Doporučení pro monitorování a detekci hrozeb

  • Článek

Platí pro toto doporučení kontrolního seznamu zabezpečení architektury Azure Well-Architected Framework:

SE:10 Implementujte holistickou strategii monitorování, která spoléhá na moderní mechanismy detekce hrozeb, které lze integrovat s platformou. Mechanismy by měly spolehlivě upozorňovat na třídění a odesílat signály do stávajících procesů SecOps.

Tato příručka popisuje doporučení pro monitorování a detekci hrozeb. Monitorování je v podstatě proces získávání informací o událostech, ke kterým již došlo. Monitorování zabezpečení je postup, kdy se zachytává informace v různých nadmořských výškách úlohy (infrastruktura, aplikace, provoz), aby se získalo povědomí o podezřelých aktivitách. Cílem je předpovídat incidenty a učit se z minulých událostí. Data monitorování poskytují základ analýzy toho, co se stalo po incidentu, což pomáhá reagovat na incidenty a forenzní šetření.

Monitorování je přístup k efektivitě provozu, který se uplatňuje na všech pilířích Well-Architected Framework. Tato příručka poskytuje doporučení pouze z hlediska zabezpečení. Obecné koncepty monitorování, jako je instrumentace kódu, shromažďování dat a analýza, jsou mimo rozsah tohoto průvodce. Informace o základních konceptech monitorování najdete v tématu Doporučení pro návrh a sestavení architektury pozorovatelnosti.

Definice

Období Definice
Protokoly auditu Záznam aktivit v systému.
Řešení SIEM (Security Information and Event Management) Přístup, který využívá integrované funkce detekce hrozeb a inteligentní funkce založené na datech agregovaných z více zdrojů.
Detekce hrozeb Strategie pro zjišťování odchylek od očekávaných akcí pomocí shromážděných, analyzovaných a korelovaných dat.
Analýza hrozeb Strategie pro interpretaci dat detekce hrozeb za účelem detekce podezřelých aktivit nebo hrozeb zkoumáním vzorů.
Prevence hrozeb Bezpečnostní prvky, které jsou umístěny v úlohách v různých nadmořských výškách, aby byly chráněny její prostředky.

Klíčové strategie návrhu

Hlavním účelem monitorování zabezpečení je detekce hrozeb. Primárním cílem je zabránit potenciálnímu porušení zabezpečení a udržovat zabezpečené prostředí. Je ale stejně důležité si uvědomit, že ne všechny hrozby je možné preventivně zablokovat. Monitorování v takových případech slouží také jako mechanismus k identifikaci příčiny incidentu zabezpečení, ke kterému došlo navzdory úsilí o prevenci.

Ke sledování je možné přistupovat z různých úhlů:

  • Monitorujte v různých nadmořských výškách. Pozorování z různých poloh je proces získávání informací o tocích uživatelů, přístupu k datům, identitě, sítích a dokonce i operačním systému. Každá z těchto oblastí nabízí jedinečné přehledy, které vám můžou pomoct identifikovat odchylky od očekávaného chování stanoveného vůči standardním hodnotám zabezpečení. Naopak průběžné monitorování systému a aplikací v průběhu času může pomoct stanovit základní stav. Například ve vašem systému identit se obvykle může zobrazit přibližně 1 000 pokusů o přihlášení každou hodinu. Pokud vaše monitorování zjistí špičku 50 000 pokusů o přihlášení během krátké doby, může se útočník pokoušet získat přístup k vašemu systému.

  • Monitorování v různých oborech dopadu. Je důležité sledovat aplikaci a platformu. Předpokládejme, že uživatel aplikace omylem získá eskalovaná oprávnění nebo dojde k narušení zabezpečení. Pokud uživatel provádí akce nad rámec určeného rozsahu, může být dopad omezen na akce, které mohou provádět jiní uživatelé.

    Pokud však interní entita databázi napadá, rozsah potenciálního poškození je nejistý.

    Pokud dojde k ohrožení zabezpečení na straně prostředku Azure, může to mít globální dopad na všechny entity, které s prostředkem komunikují.

    Poloměr výbuchu nebo rozsah dopadu se mohou výrazně lišit v závislosti na tom, který z těchto scénářů nastane.

  • Použijte specializované monitorovací nástroje. Je důležité investovat do specializovaných nástrojů , které můžou nepřetržitě kontrolovat neobvyklé chování, které by mohlo naznačovat útok. Většina těchto nástrojů má funkce analýzy hrozeb , které umožňují prediktivní analýzu založenou na velkém objemu dat a známých hrozbách. Většina nástrojů není bezstavová a zahrnuje hluboké porozumění telemetrii v kontextu zabezpečení.

    Nástroje musí být integrované na platformě nebo musí být alespoň založené na platformě, aby z platformy získaly hluboké signály a aby byly predikce vysoce věrné. Musí být schopni včas generovat výstrahy s dostatkem informací, aby bylo možné provést správné posouzení. Používání příliš mnoha různých nástrojů může vést ke složitosti.

  • K reakci na incidenty použijte monitorování. Agregovaná data, transformovaná na inteligentní informace s akcemi, umožňují rychlé a efektivní reakce na incidenty. Monitorování pomáhá s aktivitami po incidentu. Cílem je shromáždit dostatek dat k analýze a pochopení toho, co se stalo. Proces monitorování zachycuje informace o minulých událostech, aby se zlepšily reaktivní schopnosti a potenciálně předpověděly budoucí incidenty.

Následující části obsahují doporučené postupy, které zahrnují předchozí perspektivy monitorování.

Zachytávání dat za účelem uchování záznamu o aktivitách

Cílem je udržovat komplexní záznam auditu událostí, které jsou významné z hlediska zabezpečení. Protokolování je nejběžnější způsob, jak zachytit vzory přístupu. Pro aplikaci a platformu se musí provádět protokolování.

U záznamu pro audit musíte zjistit, co, kdy a kdo je přidružený k akcím. Potřebujete určit konkrétní časové rámce provádění akcí. Proveďte toto posouzení při modelování hrozeb. Pokud chcete čelit hrozbě popírání závislosti, měli byste vytvořit silné systémy protokolování a auditování, které vedou k záznamu aktivit a transakcí.

Následující části popisují případy použití v některých běžných nadmořských výškách úlohy.

Toky uživatelů aplikace

Vaše aplikace by měla být navržená tak, aby poskytovala viditelnost za běhu při výskytu událostí. Identifikujte kritické body ve vaší aplikaci a vytvořte pro tyto body protokolování. Například když se uživatel přihlásí k aplikaci, zaznamenejte identitu uživatele, umístění zdroje a další důležité informace. Je důležité potvrdit jakékoli eskalace uživatelských oprávnění, akce prováděné uživatelem a to, jestli uživatel přistupoval k citlivým informacím v zabezpečeném úložišti dat. Udržujte si přehled o aktivitách uživatele a uživatelské relace.

K usnadnění tohoto sledování by měl být kód instrumentován prostřednictvím strukturovaného protokolování. To umožňuje snadné a jednotné dotazování a filtrování protokolů.

Důležité

Abyste zachovali důvěrnost a integritu systému, musíte vynutit zodpovědné protokolování. Tajné kódy a citlivá data se nesmí zobrazovat v protokolech. Při zachytávání těchto dat protokolu mějte na paměti únik osobních údajů a dalších požadavků na dodržování předpisů.

Monitorování identit a přístupu

Udržujte důkladné záznamy o vzorech přístupu k aplikaci a změnách prostředků platformy. Mít robustní protokoly aktivit a mechanismy detekce hrozeb, zejména pro aktivity související s identitami, protože útočníci se často pokoušejí manipulovat s identitami, aby získali neoprávněný přístup.

Implementujte komplexní protokolování s využitím všech dostupných datových bodů. Přidejte například IP adresu klienta, abyste odlišili mezi běžnou aktivitou uživatele a potenciálními hrozbami z neočekávaných umístění. Všechny události protokolování by měly mít časové razítko serveru.

Zaznamenejte všechny aktivity přístupu k prostředkům a zachytávejte, kdo co dělá a kdy to dělá. Instance eskalace oprávnění jsou významným datovým bodem, který by se měl protokolovat. Akce související s vytvořením nebo odstraněním účtu aplikací musí být také zaznamenány. Toto doporučení se vztahuje i na tajné kódy aplikací. Sledujte, kdo přistupuje k tajným kódům a kdy je obměňuje.

I když je protokolování úspěšných akcí důležité, záznam selhání je z hlediska zabezpečení nezbytný. Zdokumentujte všechna porušení, například když se uživatel pokouší o akci, ale dojde k selhání autorizace, pokusy o přístup k neexistující prostředkům a další akce, které se zdají být podezřelé.

Monitorování sítě

Monitorováním síťových paketů a jejich zdrojů, cílů a struktur získáte přehled o vzorech přístupu na úrovni sítě.

Návrh segmentace by měl umožnit bodům pozorování na hranicích monitorovat, co je protíná, a tato data protokolovat. Můžete například monitorovat podsítě, které mají skupiny zabezpečení sítě, které generují protokoly toků. Monitorujte také protokoly brány firewall, které zobrazují povolené nebo zakázané toky.

Pro příchozí žádosti o připojení existují protokoly přístupu. Tyto protokoly zaznamenávají zdrojové IP adresy, které iniciují požadavky, typ požadavku (GET, POST) a všechny další informace, které jsou součástí požadavků.

Zachytávání toků DNS je významným požadavkem pro mnoho organizací. Protokoly DNS například můžou pomoct určit, který uživatel nebo zařízení zahájilo konkrétní dotaz DNS. Korelací aktivity DNS s protokoly ověřování uživatelů a zařízení můžete sledovat aktivity u jednotlivých klientů. Tato odpovědnost se často vztahuje na tým úloh, zejména v případě, že nasadí cokoli, co dělá požadavky DNS součástí jejich provozu. Analýza provozu DNS je klíčovým aspektem pozorovatelnosti zabezpečení platformy.

Je důležité monitorovat neočekávané požadavky DNS nebo požadavky DNS, které jsou směrovány na známé koncové body příkazů a řízení.

Kompromis: Protokolování všech síťových aktivit může vést k velkému množství dat. Každý požadavek z vrstvy 3 je možné zaznamenat do protokolu toku, včetně každé transakce, která překročí hranici podsítě. Bohužel není možné zachytit pouze nežádoucí události, protože je možné je identifikovat až po jejich výskytu. Proveďte strategická rozhodnutí o typu událostí, které se mají zachytit, a o tom, jak dlouho se mají ukládat. Pokud nejste opatrní, může být správa dat nepřehltivá. Je tu také kompromis z hlediska nákladů na ukládání těchto dat.

Kvůli kompromisům byste měli zvážit, jestli je výhoda monitorování sítě pro vaše úlohy dostatečná k odůvodnění nákladů. Pokud máte řešení webové aplikace s velkým objemem požadavků a váš systém ve velké míře využívá spravované prostředky Azure, můžou náklady převážit nad výhodami. Pokud ale máte řešení navržené tak, aby používalo virtuální počítače s různými porty a aplikacemi, může být důležité zachytávat a analyzovat síťové protokoly.

Zachytávání systémových změn

Pokud chcete zachovat integritu systému, měli byste mít přesný a aktuální záznam o stavu systému. Pokud dojde ke změnám, můžete pomocí tohoto záznamu rychle vyřešit případné problémy.

Procesy sestavení by také měly generovat telemetrii. Porozumění kontextu zabezpečení událostí je klíčové. Znalost toho, co spustilo proces sestavení, kdo ho aktivoval a kdy se aktivoval, vám může poskytnout cenné přehledy.

Sledujte , kdy se prostředky vytvářejí a kdy se vyřadí z provozu. Tyto informace musí být extrahovány z platformy. Tyto informace poskytují cenné přehledy týkající se správy prostředků a odpovědnosti.

Monitorování odchylek v konfiguraci prostředků Zdokumentovat všechny změny existujícího prostředku. Udržujte si také přehled o změnách, které se nedokončí v rámci zavádění pro řadu prostředků. Protokoly musí zaznamenávat specifika změny a přesný čas, kdy k ní došlo.

Z hlediska oprav můžete získat komplexní přehled o tom, jestli je systém aktuální a zabezpečený. Monitorujte rutinní procesy aktualizace a ověřte, že se dokončí podle plánu. Proces oprav zabezpečení, který se nedokončí, by se měl považovat za chybu zabezpečení. Měli byste také udržovat inventář, který zaznamenává úrovně oprav a všechny další požadované podrobnosti.

Detekce změn platí také pro operační systém. To zahrnuje sledování, zda jsou služby přidány nebo vypnuty. Zahrnuje také monitorování přidávání nových uživatelů do systému. Existují nástroje, které jsou navržené tak, aby cílily na operační systém. Pomáhají s monitorováním bez kontextu v tom smyslu, že se nezaměřují na funkce úloh. Například monitorování integrity souborů je důležitý nástroj, který umožňuje sledovat změny v systémových souborech.

Pro tyto změny byste měli nastavit upozornění, zejména pokud neočekáváte, že k nim bude docházet často.

Důležité

Při zavádění do produkčního prostředí se ujistěte, že jsou výstrahy nakonfigurované tak, aby zachytily neobvyklou aktivitu zjištěnou u prostředků aplikace a proces sestavení.

Do testovacích plánů zahrňte ověřování protokolování a upozorňování jako testovací případy s prioritou.

Ukládání, agregace a analýza dat

Data shromážděná z těchto aktivit monitorování musí být uložena v datových jímkách, kde je lze důkladně prozkoumat, normalizovat a korelovat. Data zabezpečení by se měla uchovávat mimo vlastní úložiště dat systému. Monitorovací jímky, ať už jsou lokalizované nebo centrální, musí přežívat zdroje dat. Jímky nemohou být dočasné, protože jímky jsou zdrojem systémů detekce neoprávněných vniknutí.

Protokoly sítě můžou být podrobné a zabírají úložiště. Prozkoumejte různé úrovně v systémech úložiště. Protokoly můžou v průběhu času přirozeně přecházet na chladnější úložiště. Tento přístup je výhodný, protože starší protokoly toků se obvykle nepoužívají aktivně a jsou potřeba jenom na vyžádání. Tato metoda zajišťuje efektivní správu úložiště a zároveň zajišťuje přístup k historickým datům, když je to potřeba.

Toky úloh jsou obvykle složené z několika zdrojů protokolování. Data monitorování musí být ve všech těchto zdrojích analyzována inteligentně. Brána firewall například zablokuje jenom provoz, který k ní dojde. Pokud máte skupinu zabezpečení sítě, která už určitý provoz zablokovala, není tento provoz pro bránu firewall viditelný. Pokud chcete rekonstruovat sekvenci událostí, musíte agregovat data ze všech komponent, které jsou v toku, a pak agregovat data ze všech toků. Tato data jsou zvlášť užitečná ve scénáři reakce po incidentu, když se snažíte pochopit, co se stalo. Přesné sledování času je nezbytné. Z bezpečnostních důvodů musí všechny systémy používat síťový zdroj času, aby byly vždy synchronizované.

Centralizovaná detekce hrozeb s korelovanými protokoly

Systém, jako je správa informací o zabezpečení a událostí (SIEM), můžete použít ke konsolidaci dat zabezpečení v centrálním umístění , kde je lze korelovat mezi různými službami. Tyto systémy mají integrované mechanismy detekce hrozeb . Můžou se připojit k externím informačním kanálům a získat data analýzy hrozeb. Microsoft například publikuje data analýzy hrozeb, která můžete použít. Informační kanály analýzy hrozeb si také můžete koupit od jiných poskytovatelů, jako jsou Anomali a FireEye. Tyto informační kanály můžou poskytovat cenné přehledy a vylepšit stav zabezpečení. Informace o hrozbách od Microsoftu najdete v tématu Security Insider.

Systém SIEM může generovat výstrahy na základě korelovaných a normalizovaných dat. Tyto výstrahy jsou důležitým prostředkem během procesu reakce na incidenty.

Kompromis: Systémy SIEM mohou být nákladné, složité a vyžadují specializované dovednosti. Pokud ho ale nemáte, možná budete muset data korelovat sami. Tento proces může být časově náročný a složitý.

Systémy SIEM obvykle spravují centrální týmy organizace. Pokud vaše organizace ho nemá, zvažte, jestli ho nebudete potřebovat. Mohl by zmírnit zátěž spojenou s ruční analýzou protokolů a korelací a umožnit tak efektivnější a efektivnější správu zabezpečení.

Některé nákladově efektivní možnosti poskytuje Microsoft. Mnoho Microsoft Defender produktů poskytuje funkci upozorňování systému SIEM, ale bez funkce agregace dat.

Kombinací několika menších nástrojů můžete emulovat některé funkce systému SIEM. Musíte ale vědět, že tato provizorní řešení nemusí být schopná provádět analýzu korelace. Tyto alternativy můžou být užitečné, ale nemusí plně nahradit funkce vyhrazeného systému SIEM.

Zjištění nevhodného chování

Buďte při zjišťování hrozeb proaktivní a buďte ostražití před známkami zneužití, jako jsou útoky hrubou silou identity na komponentu SSH nebo koncový bod RDP. I když externí hrozby můžou generovat spoustu šumu, zejména pokud je aplikace vystavená internetu, vnitřní hrozby jsou často větší obavou. Například neočekávaný útok hrubou silou z důvěryhodného síťového zdroje nebo neúmyslná chybná konfigurace by se měly prověřit okamžitě.

Držte krok s postupy posílení zabezpečení. Monitorování nenahrazuje proaktivní posilování vašeho prostředí. Větší povrch je náchylný k více útokům. Zpřísnit kontroly stejně jako praxi. Zjistěte a zakažte nepoužívané účty, odeberte nepoužívané porty a použijte například firewall webových aplikací. Další informace o technikách posílení zabezpečení najdete v tématu Doporučení k posílení zabezpečení.

Detekce na základě podpisů může podrobně prozkoumat systém. Zahrnuje hledání známek nebo korelací mezi aktivitami, které by mohly naznačovat potenciální útok. Mechanismus detekce může identifikovat určité charakteristiky, které naznačují konkrétní typ útoku. Nemusí být vždy možné přímo rozpoznat mechanismus řízení a řízení útoku. K určitému procesu příkazů a řízení se ale často přidružují rady nebo vzory. Útok může být například označený určitou rychlostí toku z hlediska požadavků nebo může často přistupovat k doménám, které mají konkrétní zakončení.

Detekujte neobvyklé vzory přístupu uživatelů , abyste mohli identifikovat a prozkoumat odchylky od očekávaných vzorů. To zahrnuje porovnání aktuálního chování uživatelů s chováním v minulosti, aby bylo cílem odhalit anomálie. I když nemusí být možné provést tuto úlohu ručně, můžete k tomu použít nástroje pro analýzu hrozeb. Investujte do nástrojů pro analýzu chování uživatelů a entit (UEBA), které shromažďují chování uživatelů z dat monitorování a analyzují ho. Tyto nástroje můžou často provádět prediktivní analýzu, která mapuje podezřelé chování na potenciální typy útoků.

Detekce hrozeb ve fázích před nasazením a po nasazení Během fáze před nasazením začleňte kontrolu ohrožení zabezpečení do kanálů a na základě výsledků proveďte potřebné akce. Po nasazení pokračujte ve kontrole ohrožení zabezpečení. Můžete použít nástroje, jako je Microsoft Defender pro kontejnery, které prohledávají image kontejnerů. Zahrňte výsledky do shromážděných dat. Informace o postupech zabezpečeného vývoje najdete v tématu Doporučení pro použití postupů bezpečného nasazení.

Využijte výhod mechanismů a opatření detekce poskytovaných platformou. Například Azure Firewall může analyzovat provoz a blokovat připojení k nedůvěryhodným cílům. Azure také nabízí způsoby, jak detekovat distribuované útoky DDoS (DoS) a chránit je proti těmto útokům.

Usnadnění Azure

Azure Monitor poskytuje pozorovatelnost v celém prostředí. Bez konfigurace automaticky získáte metriky platformy, protokoly aktivit a diagnostické protokoly z většiny prostředků Azure. Protokoly aktivit poskytují podrobné informace o diagnostice a auditování.

Poznámka

Protokoly platformy nejsou k dispozici po neomezenou dobu. Musíte si je nechat, abyste je mohli později zkontrolovat pro účely auditování nebo offline analýzu. Účty úložiště Azure používejte pro dlouhodobé/archivní úložiště. Ve službě Azure Monitor zadejte dobu uchovávání informací, když povolíte nastavení diagnostiky pro vaše prostředky.

Nastavte upozornění na základě předdefinovaných nebo vlastních metrik a protokolů, abyste dostávali oznámení o zjištění konkrétních událostí nebo anomálií souvisejících se zabezpečením.

Další informace najdete v dokumentaci ke službě Azure Monitor.

Microsoft Defender for Cloud poskytuje integrované funkce pro detekci hrozeb. Pracuje se shromážděnými daty a analyzuje protokoly. Vzhledem k tomu, že si je vědom typů vygenerovaných protokolů, může k informovanému rozhodování použít předdefinovaná pravidla. Například kontroluje seznamy potenciálně ohrožených IP adres a generuje výstrahy.

Povolte integrované služby ochrany před hrozbami pro prostředky Azure. Povolte například Microsoft Defender pro prostředky Azure, jako jsou virtuální počítače, databáze a kontejnery, aby bylo možné detekovat známé hrozby a chránit před nimi.

Defender for Cloud poskytuje funkce platformy CWPP (Cloud Workload Protection Platform) pro detekci hrozeb všech prostředků úloh.

Další informace najdete v tématu Co je Microsoft Defender pro cloud?.

Výstrahy vygenerované defenderem můžou být také součástí systémů SIEM. Nativní nabídka je Microsoft Sentinel. Používá AI a strojové učení k detekci bezpečnostních hrozeb a reakci na ně v reálném čase. Poskytuje centralizovaný pohled na data zabezpečení a usnadňuje proaktivní vyhledávání a vyšetřování hrozeb.

Další informace najdete v tématu Co je Microsoft Sentinel?.

Microsoft Sentinel může také používat informační kanály analýzy hrozeb z různých zdrojů. Další informace najdete v tématu Integrace analýzy hrozeb ve službě Microsoft Sentinel.

Microsoft Sentinel může analyzovat chování uživatelů z dat monitorování. Další informace najdete v tématu Identifikace pokročilých hrozeb pomocí analýzy chování uživatelů a entit (UEBA) ve službě Microsoft Sentinel.

Defender a Microsoft Sentinel spolupracují, i když se některé funkce překrývají. Tato spolupráce zlepšuje celkový stav zabezpečení tím, že pomáhá zajistit komplexní detekci hrozeb a reakci na ně.

Využijte Azure Business Continuity Center k identifikaci mezer v majetku provozní kontinuity a ochraně před hrozbami, jako jsou útoky ransomwaru, škodlivé aktivity a incidenty s podvodnými správci. Další informace najdete v tématu Co je Azure Business Continuity Center?.

Sítě

Zkontrolujte všechny protokoly, včetně nezpracovaného provozu, ze síťových zařízení.

Identita

Monitorování rizikových událostí souvisejících s identitou u potenciálně ohrožených identit a náprava těchto rizik Projděte si hlášené rizikové události těmito způsoby:

Microsoft Entra ID používá adaptivní algoritmy strojového učení, heuristiku a známé ohrožené přihlašovací údaje (dvojice uživatelských jmen a hesel) k detekci podezřelých akcí souvisejících s vašimi uživatelskými účty. Tyto páry uživatelských jmen a hesel se zobrazují na základě monitorování veřejného a tmavého webu a spolupráce s výzkumníky v oblasti zabezpečení, donucovacími orgány, bezpečnostními týmy v Microsoftu a dalšími.

Azure Pipelines

DevOps podporuje správu změn úloh prostřednictvím kontinuální integrace a průběžného doručování (CI/CD). Nezapomeňte do kanálů přidat ověření zabezpečení. Postupujte podle pokynů popsaných v tématu Zabezpečení Azure Pipelines.

Kontrolní seznam zabezpečení

Projděte si kompletní sadu doporučení.

Kontrolní seznam zabezpečení