نشر ومراقبة Azure Key Vault honeytokens باستخدام Microsoft Sentinel (معاينة عامة)

  • مقالة
  • قراءة خلال 13 دقائق

هام

حل Microsoft Sentinel Deception (Honey Tokens) قيد المعاينة حاليا. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.

توضح هذه المقالة كيفية استخدام حل Microsoft Sentinel Deception (Honey Tokens) لزرع مفاتيح وأسرار Key Vault Azure الخداعية، تسمى honeytokens، في أحمال العمل الموجودة.

استخدم قواعد التحليلاتوقوائم المراقبةوالمصنفات التي يوفرها الحل لمراقبة الوصول إلى رموز العسل المنشورة.

عند استخدام honeytokens في نظامك ، تظل مبادئ الكشف كما هي. نظرا لعدم وجود سبب مشروع للوصول إلى honeytoken ، فإن أي نشاط سيشير إلى وجود مستخدم ليس على دراية بالبيئة ، ويمكن أن يكون مهاجما.

قبل أن تبدأ

لبدء استخدام حل Microsoft Sentinel Deception (Honey Tokens) ، تأكد من أن لديك:

  • الأدوار المطلوبة: يجب أن تكون مسؤولا مستأجرا لتثبيت حل Microsoft Sentinel Deception (Honey Tokens ). بمجرد تثبيت الحل، يمكنك مشاركة المصنف مع مالكي المخزن الرئيسي حتى يتمكنوا من نشر رموز العسل الخاصة بهم.

  • موصلات البيانات المطلوبة: تأكد من نشر Key Vault Azure وموصلات بيانات AzureActivity في مساحة العمل الخاصة بك، ومن اتصالهما.

    تحقق من نجاح توجيه البيانات ومن تدفق بيانات KeyVaultوAzureActivity إلى Microsoft Sentinel. لمزيد من المعلومات، انظر:

تثبيت الحل

قم بتثبيت حل Microsoft Sentinel Deception (Honey Tokens) كما تفعل مع الحلول الأخرى. في صفحة حل Azure Sentinel Deception ، حدد ابدأ للبدء.

Screenshot of the create solution page.

لتثبيت حل الخداع:

تصف الخطوات التالية الإجراءات المحددة المطلوبة لحل Microsoft Sentinel Deception (Honey Tokens ).

  1. ضمن علامة التبويب أساسيات ، حدد نفس مجموعة الموارد التي توجد بها مساحة عمل Microsoft Sentinel.

  2. في علامة التبويب المتطلبات الأساسية ، في الحقل اسم تطبيق الوظيفة ، أدخل اسما ذا معنى لتطبيق دالة Azure الذي سيقوم بإنشاء رموز العسل في خزائن المفاتيح الخاصة بك.

    يجب أن يكون اسم تطبيق الدالة فريدا، يتراوح طوله بين 2-22 حرفا، والأحرف الأبجدية الرقمية فقط.

    يتم عرض أمر أدناه بالاسم الذي حددته. على سبيل المثال:

    Screenshot of the prerequisites tab showing the updated curl command.

  3. حدد انقر هنا لفتح غلاف سحابي لفتح علامة تبويب Cloud Shell. قم بتسجيل الدخول إذا طلب منك ذلك، ثم قم بتشغيل الأمر المعروض.

    يقوم البرنامج النصي الذي تقوم بتشغيله بإنشاء تطبيق وظيفة Azure AD (AAD (دليل Azure النشط)) ، والذي سينشر رموز العسل الخاصة بك. على سبيل المثال:

    Requesting a Cloud Shell.Succeeded
Connecting terminal...

Welcome to Azure Cloud Shell

Type "az" to use Azure CLI
Type "help" to learn about Cloud Shell

maria@Azure:~$curl -sL https://aka.ms/sentinelhoneytokensappcreate | bash -s HoneyTokenFunctionApp

    يتضمن إخراج البرنامج النصي معرف التطبيق AAD (دليل Azure النشط) وسريته. على سبيل المثال:

    WARNING: The output includes credentials that you must protect. Be sure that you do not include these credentials in your code or check the credentials into your source control. For more information, see https://aka.ms/azadsp-cli
function app name: HoneyTokenFunctionApp
AAD App Id: k4js48k3-97gg-3958=sl8d=48620nne59k4
AAD App secret: v9kUtSoy3u~K8DKa8DlILsCM_K-s9FR3Kj
maria@Azure:~$

  4. مرة أخرى في Microsoft Sentinel ، في أسفل علامة التبويب المتطلبات الأساسية ، أدخل معرف تطبيق AAD (دليل Azure النشط) والسر في الحقول ذات الصلة. على سبيل المثال:

    Screenshot of the function app's client app and secret values added.

  5. حدد انقر هنا للمتابعة في إعدادات تطبيق الوظيفة ضمن الخطوة 4. يتم فتح علامة تبويب مستعرض جديدة في إعدادات تطبيق Azure AD.

    سجل الدخول إذا طلب منك ذلك، ثم حدد منح موافقة المسؤول على المتابعة <your directory name> . على سبيل المثال:

    Screenshot of the grant admin consent for your directory button.

    لمزيد من المعلومات، راجع منح موافقة المسؤول في تسجيلات التطبيقات.

  6. بالعودة إلى Microsoft Sentinel مرة أخرى، في علامات التبويب المصنفاتوالتحليلاتوقوائم المراقبةوكتب التشغيل ، لاحظ محتوى الأمان الذي سيتم إنشاؤه، وقم بتعديل الأسماء حسب الحاجة.

    ملاحظة

    تشير الإرشادات الأخرى الواردة في هذه المقالة إلى مصنفات HoneyTokensIncidentsوSOCHTManagement . إذا قمت بتغيير أسماء هذه المصنفات، فتأكد من تدوين أسماء المصنفات الجديدة للرجوع إليها واستخدامها حسب الحاجة بدلا من الأسماء الافتراضية.

  7. في علامة التبويب وظائف Azure ، حدد القيم التالية:

    تكوين المخزن الرئيسي: تحدد الحقول التالية قيم المخزن الرئيسي حيث ستخزن سر تطبيق AAD (دليل Azure النشط). لا تحدد هذه الحقول المخزن الرئيسي الذي ستقوم فيه بنشر رموز العسل.

    الحقل الوصف
    خطة الخدمة حدد ما إذا كنت تريد استخدام خطة Premium أو استهلاك لتطبيق الوظائف. لمزيد من المعلومات، راجع استضافة خطة استهلاك وظائف Azure وخطةPremium وظائف Azure.
    في حالة إنشاء KeyVault جديد حدد جديد لإنشاء مخزن مفاتيح جديد لسر تطبيقك، أو موجود لاستخدام مخزن مفاتيح موجود بالفعل.
    اسم KeyVault يتم عرضها فقط عند تحديد إنشاء مخزن مفاتيح جديد.

    أدخل اسم مخزن المفاتيح الذي تريد استخدامه لتخزين سر تطبيقك. يجب أن يكون هذا الاسم فريدًا بشكل عام.
    مجموعة موارد KeyVault يتم عرضها فقط عند تحديد إنشاء مخزن مفاتيح جديد.

    حدد اسم مجموعة الموارد حيث تريد تخزين مخزن المفاتيح لمفتاح التطبيق.
    خزائن المفاتيح الحالية يتم عرضها فقط عند تحديد استخدام مخزن مفاتيح موجود. حدد مخزن المفاتيح الذي تريد استخدامه.
    الاسم السري ل KeyVault أدخل اسما للسر الذي تريد تخزين سر تطبيق AAD (دليل Azure النشط) فيه. لقد قمت بإنشاء تطبيق AAP هذا مرة أخرى في الخطوة 3.

    تكوين Honeytoken: تحدد الحقول التالية الإعدادات المستخدمة للمفاتيح والأسرار المستخدمة في honeytokens الخاصة بك. استخدم اصطلاحات التسمية التي ستندمج مع متطلبات تسمية مؤسستك حتى لا يتمكن المهاجمون من معرفة الفرق.

    الحقل الوصف
    الكلمات الرئيسية للمفاتيح أدخل قوائم مفصولة بفواصل للقيم التي تريد استخدامها مع أسماء رموز العسل المخادعة. على سبيل المثال، ⁧key,prod,dev⁩. يجب أن تكون القيم أبجدية رقمية فقط.
    البيانات السرية أدخل قوائم مفصولة بفواصل من القيم التي تريد استخدامها مع أسرار رمز العسل المخادع. على سبيل المثال، ⁧secret,secretProd,secretDev⁩. يجب أن تكون القيم أبجدية رقمية فقط.
    احتمال إضافي ل HoneyToken أدخل قيمة بين 0 و 1، مثل 0.6. تحدد هذه القيمة احتمال إضافة أكثر من رمز عسل واحد إلى Key Vault.

  8. حدد التالي: مراجعة + إنشاء لإنهاء تثبيت الحل الخاص بك.

    بعد تثبيت الحل، يتم عرض العناصر التالية:

    • ارتباط إلى مصنف SOCHTManagement الخاص بك. ربما قمت بتعديل هذا الاسم على علامة التبويب المصنفات في وقت سابق من هذا الإجراء.

    • عنوان URL لقالب ARM مخصص. يمكنك استخدام قالب ARM هذا لنشر مبادرة نهج Azure، المتصلة بتوصية مخصصة ل Microsoft Defender for Cloud، والتي توزع مصنف SOCHTManagement على مالكي الخزائن الرئيسية في مؤسستك.

  9. تشير علامة التبويب خطوات ما بعد النشر إلى أنه يمكنك استخدام المعلومات المعروضة في مخرج النشر لتوزيع توصية Microsoft Defender for Cloud المخصصة على جميع مالكي الخزائن الرئيسية في مؤسستك، مع التوصية بنشر رموز العسل في خزائنهم الرئيسية.

    استخدم عنوان URL المخصص لقالب ARM الموضح في إخراج التثبيت لفتح صفحة النشر المخصص للقالب المرتبط .

    لمزيد من المعلومات، راجع توزيع مصنف SOCHTManagement.

نشر رموز العسل الخاصة بك

بعد تثبيت حل Microsoft Sentinel Deception (Honey Tokens)، تصبح جاهزا لبدء نشر رموز العسل في خزائنك الرئيسية باستخدام الخطوات الواردة في مصنف SOCHTManagement .

نوصي بمشاركة مصنف SOCHTManagement مع مالكي الخزائن الرئيسية في مؤسستك حتى يتمكنوا من إنشاء رموز العسل الخاصة بهم في خزائنهم الرئيسية. ربما قمت بإعادة تسمية هذا المصنف عند تثبيت الحل. عند المشاركة، تأكد من منح أذونات القراءة فقط.

نشر رموز العسل في خزائنك الرئيسية:

  1. في Microsoft Sentinel، انتقل إلى المصنفات مصنفاتي > وافتح مصنف SOCHTManagement. ربما قمت بتعديل هذا الاسم عند نشر الحل.

  2. حدد عرض المصنف>المحفوظإضافة كموثوق به. على سبيل المثال:

    Screenshot of the SOCHTManagement workbook 'Add as trusted' button.

    يتم نشر البنية التحتية في خزائنك الرئيسية للسماح بنشر honeytoken.

  3. في علامة التبويب Key Vault في المصنف، قم بتوسيع اشتراكك لعرض الخزائن الرئيسية الجاهزة لنشر رموز العسل وأي خزائن رئيسية تحتوي على رموز العسل التي تم نشرها بالفعل.

    في العمود "مراقب بواسطة SOC " ، تشير علامة الاختيار الخضراء إلى أن قبو المفاتيح يحتوي بالفعل على honeytokens. تشير علامة x الحمراء إلى أن قبو المفاتيح لا يحتوي بعد على رموز العسل. على سبيل المثال:

    Screenshot of the SOCHTManagement workbooks showing deployed honeytokens.

  4. مرر لأسفل على صفحة المصنف واستخدم الإرشادات والارتباطات في القسم اتخاذ إجراء لنشر رموز العسل على جميع الخزائن الرئيسية على نطاق واسع، أو نشرها يدويا واحدة تلو الأخرى.

    لنشر رموز العسل على نطاق واسع:

    1. حدد الارتباط تمكين المستخدم لنشر قالب ARM الذي ينشر سياسة الوصول إلى المخزن الرئيسي، مما يمنح معرف المستخدم المحدد بحقوق إنشاء رموز العسل.

      قم بتسجيل الدخول إذا طلب منك ذلك، وأدخل قيما لمنطقتي تفاصيل Projectوتفاصيل المثيل لنشر قالب ARM. ابحث عن معرف المستأجرومعرف كائن المستخدم على صفحة Azure Active Directory الرئيسية للمستخدمين.

      عند الانتهاء، حدد مراجعة + إنشاء لنشر قالب ARM. على سبيل المثال:

      Screenshot of the Custom deployment page.

      يتم التحقق من صحة إعداداتك، وعندما يمر التحقق من الصحة، يتم عرض تأكيد: تم تمرير التحقق من الصحة

      في أسفل الصفحة، حدد إنشاء لنشر قالب ARM، وشاهد صفحة تأكيد النشر الناجحة.

    2. مرة أخرى في Microsoft Sentinel، في مصنف >SOCHTManagementاتخاذ إجراءالنشر>على نطاق واسع، حدد الارتباط انقر لنشر لإضافة رموز العسل إلى جميع الخزائن الرئيسية التي لديك حق الوصول إليها في الاشتراك المحدد.

      عند الانتهاء، يتم عرض نتائج نشر رمز العسل في جدول في علامة تبويب جديدة.

    3. تأكد من تحديد الرابط تعطيل المستخدم لإزالة سياسة الوصول التي أنشأتها سابقا. قم بتسجيل الدخول مرة أخرى إذا طلب منك ذلك، وأدخل قيما لنشر ARM المخصص، ثم انشر قالب ARM. تنشر هذه الخطوة سياسة الوصول إلى المخزن الرئيسي التي تزيل حقوق المستخدم لإنشاء المفاتيح والأسرار.

قد تحتاج إلى الانتظار بضع دقائق أثناء ملء البيانات وتحديث الأذونات. قم بتحديث الصفحة لعرض أي تحديثات في نشر المخزن الرئيسي.

اختبار وظيفة الحل

لاختبار أنه يتم تنبيهك لأي محاولة للوصول إلى رموز العسل الخاصة بك:

  1. في صفحة قوائم مراقبة Microsoft Sentinel، حدد علامة التبويب قوائم المراقبة الخاصة بي، ثم حدد قائمة مراقبةHoneyTokens.

    حدد عرض في Log Analytics لعرض قائمة بقيم honeytoken الحالية التي تم العثور عليها. في صفحة السجلات ، يتم استخراج العناصر الموجودة في قائمة المراقبة تلقائيا للاستعلام. على سبيل المثال:

    Screenshot of the honeytokens watchlist values in Log Analytics.

    لمزيد من المعلومات، راجع استخدام قوائم مراقبة Microsoft Sentinel.

  2. من القائمة في Log Analytics ، اختر قيمة honeytoken لاختبارها.

    بعد ذلك ، انتقل إلى Azure Key Vault ، وقم بتنزيل المفتاح العام أو عرض سر رمز العسل الذي اخترته.

    على سبيل المثال، حدد رمز العسل الخاص بك ثم حدد تنزيل المفتاح العام. يقوم هذا الإجراء بإنشاء KeyGet سجل أو SecretGet سجل يقوم بتشغيل تنبيه في Microsoft Sentinel.

    لمزيد من المعلومات، راجع وثائق Key Vault.

  3. مرة أخرى في Microsoft Sentinel، انتقل إلى صفحة الحوادث . قد تحتاج إلى الانتظار لمدة خمس دقائق أو نحو ذلك ، ولكن يجب أن ترى حادثا جديدا ، يسمى على سبيل المثال HoneyTokens: تم الوصول إلى مفتاح KeyVault HoneyTokens.

    حدد الحادث لعرض تفاصيله، مثل عملية المفتاح التي تم تنفيذها، والمستخدم الذي وصل إلى مفتاح honeytoken، واسم مخزن المفاتيح المخترق.

    تلميح

    سيؤدي أي وصول أو تشغيل باستخدام مفاتيح وأسرار رمز العسل إلى إنشاء حوادث يمكنك التحقيق فيها في Microsoft Sentinel. نظرا لعدم وجود سبب لاستخدام مفاتيح وأسرار honeytoken فعليا ، فقد يكون أي نشاط مماثل في مساحة العمل الخاصة بك ضارا ويجب التحقيق فيه.

  4. عرض نشاط honeytoken في مصنف HoneyTokensIncident . في صفحة مصنفات Microsoft Sentinel، ابحث عن مصنف HoneyTokensIncident وافتحه.

    يعرض هذا المصنف جميع الحوادث المتعلقة ب honeytokens ، والكيانات ذات الصلة ، والخزائن الرئيسية المخترقة ، والعمليات الرئيسية التي تم تنفيذها ، و honeytokens التي تم الوصول إليها.

    حدد حوادث وعمليات محددة للتحقيق في جميع الأنشطة ذات الصلة بشكل أكبر.

توزيع مصنف SOCHTManagement

نوصي بنشر رموز العسل في أكبر عدد ممكن من الخزائن الرئيسية لضمان قدرات الكشف المثلى في مؤسستك.

ومع ذلك ، لا تستطيع العديد من فرق SOC الوصول إلى الخزائن الرئيسية. للمساعدة في تغطية هذه الفجوة، قم بتوزيع مصنف SOCHTManagement على جميع مالكي الخزائن الرئيسية في المستأجر الخاص بك، بحيث يمكن لفرق SOC نشر رموز العسل الخاصة بهم. ربما قمت بتعديل اسم هذا المصنف عند تثبيت الحل.

يمكنك دائما مشاركة الارتباط المباشر إلى المصنف. بدلا من ذلك، يصف هذا الإجراء كيفية استخدام قالب ARM لنشر مبادرة نهج Azure، المتصلة بتوصية مخصصة ل Microsoft Defender for Cloud، والتي تقوم بتوزيع مصنف SOCHTManagement على مالكي المخزن الرئيسيين في مؤسستك.

ملاحظة

كلما قمت بتوزيع المصنف، تأكد من منح حق الوصول للقراءة فقط.

لتوزيع مصنف SOCHTManagement عبر مبادرة نهج Azure

  1. من الجدول التالي، حدد أزرار نشر إلى Azure لفتح قالب ARM إلى صفحة النشر المخصص ، استنادا إلى الطريقة التي تريد بها نشر قالب ARM. استخدم ارتباطات GitHUb لعرض تفاصيل ما يتم تضمينه في قالب ARM، أو لتخصيص قالب ARM لبيئتك.

    تستخدم أزرار النشر إلى Azure نفس عناوين URL التي تظهر في علامة التبويب الإخراج بعد تثبيت الحل.

    خيار النشر الوصف نشر في Azure رابط GitHub
    مجموعة الإدارة موصى به للنشر على مستوى المؤسسة DTA-Button-MG مثال في GitHub
    الاشتراك يوصى بالاختبار في اشتراك واحد DTA-Button-Sub مثال في GitHub

    سجل الدخول عند مطالبتك بذلك.

  2. في علامة التبويب أساسياتنشر> نهج حل الخداع في قالب ARM، حدد قيمة مجموعة الإدارة ومنطقتها. ثم حدد التالي: هدف >النشر للمتابعة.

  3. ضمن علامة التبويب هدف النشر، حدد مجموعة الإدارة مرة أخرى، ثم حدد التالي: مصنف >الإدارة .

  4. ضمن علامة التبويب مصنف الإدارة ، الصق الارتباط إلى مصنف SOCHTManagement .

    يمكنك العثور على ارتباط المصنف من مصنف SOCHTManagement في Microsoft Sentinel، وتم تضمينه أيضا في علامة التبويب "الإخراج " الخاصة بنشر الحلول.

    على سبيل المثال، للبحث عن الارتباط في المصنف، حدد المصنفاتالمصنفاتSOCHTManagement>>، ثم حدد نسخ الارتباط في شريط الأدوات.

  5. بعد إدخال رابط المصنف، حدد التالي: مراجعة + إنشاء > للمتابعة. انتظر رسالة تأكيد تفيد بأن التحقق من الصحة قد انتهى، ثم حدد إنشاء.

  6. بعد اكتمال النشر ، سترى أن النشر يتضمن مبادرة HoneyTokens جديدة وسياستين جديدتين ، باسم KeyVault HoneyTokens و KVReviewTag. على سبيل المثال:

    Screenshot of a successfully deployed ARM template policy.

  7. في نهج Azure، قم بتعيين نهج KVReviewTag الجديد بالنطاق الذي تحتاجه. يضيف هذا الواجب علامة KVReview وقيمة ReviewNeed إلى جميع الخزائن الرئيسية في النطاق المحدد.

    1. في نهج Azure، ضمن التأليف على اليمين، حدد التعريفات. حدد موقع صف نهج KVReviewTag، وحدد قائمة الخيارات على اليمين.

    2. في صفحة نشر الإعدادات التشخيصية لسجل النشاط إلى مساحة عمل Log Analytics، أدخل القيم المطلوبة لنشر إعدادات التشخيص لبيئتك.

      في علامة التبويب معالجة ، تأكد من تحديد الخيار إنشاء مهمة معالجة لتطبيق العلامة على خزائن المفاتيح الموجودة.

    لمزيد من المعلومات، راجع وثائق نهج Azure.

  8. في Microsoft Defender for Cloud، أضف توصية تدقيق إلى جميع الخزائن الرئيسية في النطاق المحدد:

    1. حدد الامتثال التنظيمي > إدارة سياسات الامتثال، ثم حدد نطاقك.

    2. في صفحة التفاصيل الخاصة بالنطاق المحدد، مرر لأسفل وفي قسم المبادرات المخصصة ، حدد إضافة مبادرة مخصصة.

    3. في صف مبادرة HoneyTokens ، حدد إضافة.

تتم إضافة توصية تدقيق، مع ارتباط إلى مصنف SOCHTManagement ، إلى جميع الخزائن الرئيسية في النطاق المحدد. ربما قمت بتعديل اسم هذا المصنف عند تثبيت الحل.

لمزيد من المعلومات، راجع وثائق Microsoft Defender for Cloud.

شاهد الفيديو التجريبي الشامل

الخطوات التالية

لمزيد من المعلومات، انظر: