Рекомендации по мониторингу и обнаружению угроз

  • Статья

Применяется к этой рекомендации по контрольным спискам безопасности Azure Well-Architected Framework:

SE:10 Реализуйте целостную стратегию мониторинга, основанную на современных механизмах обнаружения угроз, которые можно интегрировать с платформой. Механизмы должны надежно оповещать о рассмотрении и отправлять сигналы в существующие процессы SecOps.

В этом руководстве описываются рекомендации по мониторингу и обнаружению угроз. По сути, мониторинг — это процесс получения сведений о событиях, которые уже произошли. Мониторинг безопасности — это практика сбора информации на разных высотах рабочей нагрузки (инфраструктура, приложение, операции) для получения информации о подозрительных действиях. Цель состоит в прогнозировании инцидентов и изучении прошлых событий. Данные мониторинга предоставляют основу для анализа того, что произошло после инцидента, чтобы помочь в реагировании на инциденты и судебно-медицинской экспертизе.

Мониторинг — это подход к эффективности операций, который применяется во всех компонентах Well-Architected Framework. В этом руководстве приводятся рекомендации только с точки зрения безопасности. Общие понятия мониторинга, такие как инструментирование кода, сбор и анализ данных, не область в этом руководстве. Сведения об основных понятиях мониторинга см. в статье Рекомендации по проектированию и созданию платформы наблюдаемости.

Определения

Термин Определение
Журналы аудита Запись действий в системе.
SIEM Подход, использующий встроенные возможности обнаружения угроз и аналитики на основе данных, агрегированных из нескольких источников.
Обнаружение угроз Стратегия обнаружения отклонений от ожидаемых действий с помощью собранных, проанализированных и коррелированных данных.
Анализ угроз Стратегия интерпретации данных обнаружения угроз для обнаружения подозрительных действий или угроз путем изучения закономерностей.
Предотвращение угроз Элементы управления безопасностью, размещенные в рабочей нагрузке на разных высотах для защиты ее ресурсов.

Ключевые стратегии проектирования

Main целью мониторинга безопасности является обнаружение угроз. Основная цель — предотвратить потенциальные нарушения безопасности и поддерживать безопасную среду. Однако не менее важно понимать, что не все угрозы могут быть предварительно заблокированы. В таких случаях мониторинг также служит механизмом для выявления причины инцидента безопасности, который произошел, несмотря на усилия по предотвращению.

Мониторинг можно рассматривать с разных точек зрения:

  • Мониторинг на разных высотах. Наблюдение с различных высот — это процесс получения информации о потоках пользователей, доступе к данным, удостоверениях, сети и даже операционной системе. Каждая из этих областей предоставляет уникальные аналитические сведения, которые помогут выявить отклонения от ожидаемого поведения, установленного в базовом плане безопасности. И наоборот, постоянный мониторинг системы и приложений с течением времени может помочь установить это базовое состояние. Например, каждый час в системе удостоверений может выполняться около 1000 попыток входа. Если мониторинг обнаруживает всплеск попыток входа в 50 000 в течение короткого периода времени, злоумышленник может попытаться получить доступ к вашей системе.

  • Мониторинг в различных областях влияния. Крайне важно следить за приложением и платформой. Предположим, что пользователь приложения случайно получает повышенные привилегии или происходит нарушение безопасности. Если пользователь выполняет действия, выходящие за рамки назначенных им область, влияние может ограничиваться действиями, которые могут выполнять другие пользователи.

    Однако если внутренняя сущность компрометирует базу данных, степень потенциального ущерба будет неопределенной.

    Если компрометация происходит на стороне ресурса Azure, влияние может быть глобальным, затрагивая все сущности, взаимодействующие с ресурсом.

    Радиус взрыва или область удара могут значительно отличаться в зависимости от того, какой из этих сценариев происходит.

  • Используйте специализированные средства мониторинга. Крайне важно инвестировать в специализированные средства , которые могут постоянно проверять на наличие аномального поведения, которое может указывать на атаку. Большинство из этих средств имеют возможности аналитики угроз , которые могут выполнять прогнозный анализ на основе большого объема данных и известных угроз. Большинство средств не без отслеживания состояния и включают глубокое понимание телеметрии в контексте безопасности.

    Инструменты должны быть интегрированы с платформой или, по крайней мере, с учетом платформы, чтобы получать глубокие сигналы от платформы и делать прогнозы с высокой точностью. Они должны иметь возможность своевременно создавать оповещения с достаточным объемом информации для проведения надлежащей проверки. Использование слишком большого количества разнообразных средств может привести к усложнять.

  • Используйте мониторинг для реагирования на инциденты. Агрегированные данные, преобразованные в оперативную аналитику, позволяют быстро и эффективно реагировать на инциденты. Мониторинг помогает выполнять действия после инцидента. Цель состоит в том, чтобы собрать достаточно данных для анализа и понимания того, что произошло. Процесс мониторинга собирает информацию о прошлых событиях для расширения возможностей реагирования и потенциального прогнозирования будущих инцидентов.

В следующих разделах приведены рекомендуемые методики, которые включают предыдущие перспективы мониторинга.

Сбор данных для сохранения отслеживания действий

Цель состоит в том, чтобы вести комплексный журнал аудита событий, которые важны с точки зрения безопасности. Ведение журнала является наиболее распространенным способом записи шаблонов доступа. Для приложения и платформы необходимо вести журнал.

Для журнала аудита необходимо определить, что, когда и кто связан с действиями. Необходимо определить конкретные сроки выполнения действий. Сделайте такую оценку в моделировании угроз. Для противодействия угрозе отказа необходимо создать надежные системы ведения журнала и аудита, которые приводят к записи действий и транзакций.

В следующих разделах описаны варианты использования некоторых распространенных высот рабочей нагрузки.

Потоки пользователей приложения

Приложение должно быть разработано таким образом, чтобы обеспечить видимость среды выполнения при возникновении событий. Определите критические точки в приложении и создайте ведение журнала для этих точек. Например, когда пользователь входит в приложение, запишите удостоверение пользователя, исходное расположение и другие важные сведения. Важно подтвердить любое повышение привилегий пользователя, действия, выполненные пользователем, а также доступ пользователя к конфиденциальной информации в безопасном хранилище данных. Отслеживайте действия пользователя и сеанс пользователя.

Чтобы упростить это отслеживание, код следует инструментировать с помощью структурированного ведения журнала. Это обеспечивает простой и унифицированный запрос и фильтрацию журналов.

Важно!

Необходимо обеспечить ответственное ведение журнала для обеспечения конфиденциальности и целостности системы. Секреты и конфиденциальные данные не должны отображаться в журналах. Помните об утечке персональных данных и других требованиях к соответствию при сборе этих данных журнала.

Мониторинг идентификации и доступа

Вести тщательную запись шаблонов доступа для приложения и изменений ресурсов платформы. Иметь надежные журналы действий и механизмы обнаружения угроз, особенно для действий, связанных с удостоверениями, так как злоумышленники часто пытаются манипулировать удостоверениями для получения несанкционированного доступа.

Реализуйте полное ведение журнала , используя все доступные точки данных. Например, включите IP-адрес клиента, чтобы различать обычные действия пользователей и потенциальные угрозы из непредвиденных расположений. Все события ведения журнала должны быть метками времени сервера.

Запишите все действия по доступу к ресурсам, чтобы узнать, кто и когда это делает. Экземпляры повышения привилегий — это важная точка данных, которую необходимо заносить в журнал. Действия, связанные с созданием или удалением учетной записи приложением, также должны быть записаны. Эта рекомендация распространяется на секреты приложения. Отслеживайте, кто обращается к секретам и когда они сменяются.

Хотя регистрация успешных действий важна, запись сбоев необходима с точки зрения безопасности. Задокументируйте все нарушения, например пользователь пытается выполнить действие, но сталкивается со сбоем авторизации, попытки доступа к несуществующим ресурсам и другие действия, которые кажутся подозрительными.

Мониторинг сетей

Отслеживая сетевые пакеты, их источники, назначения и структуры, вы получаете представление о шаблонах доступа на уровне сети.

Ваша конструкция сегментации должна включать точки наблюдения на границах , чтобы отслеживать, что их пересекает, и регистрировать эти данные. Например, можно отслеживать подсети с группами безопасности сети, которые создают журналы потоков. Кроме того, отслеживайте журналы брандмауэра, в которые отображаются разрешенные или запрещенные потоки.

Существуют журналы доступа для входящих запросов на подключение. Эти журналы записывают исходные IP-адреса, которые инициируют запросы, тип запроса (GET, POST) и все другие сведения, которые входят в состав запросов.

Запись потоков DNS является важным требованием для многих организаций. Например, журналы DNS могут помочь определить, какой пользователь или устройство инициировал конкретный запрос DNS. Сопоставляя действия DNS с журналами проверки подлинности пользователей или устройств, можно отслеживать действия отдельных клиентов. Эта ответственность часто распространяется на команду рабочей нагрузки, особенно если они развертывают что-либо, что делает DNS-запросы частью их работы. Анализ трафика DNS является ключевым аспектом наблюдаемости безопасности платформы.

Важно отслеживать непредвиденные запросы DNS или DNS-запросы, направленные на известные конечные точки команд и управления.

Компромисс. Ведение журнала всех сетевых действий может привести к большому объему данных. Каждый запрос уровня 3 можно записать в журнал потоков, включая каждую транзакцию, которая пересекает границу подсети. К сожалению, невозможно записать только неблагоприятные события, так как их можно определить только после их возникновения. Принимать стратегические решения о типе событий для записи и о том, как долго их хранить. Если вы не будете осторожны, управление данными может быть слишком большим. Существует также компромисс по стоимости хранения этих данных.

Из-за недостатков следует подумать о том, достаточно ли преимущества сетевого мониторинга рабочей нагрузки, чтобы оправдать затраты. Если у вас есть решение веб-приложения с большим объемом запросов и ваша система широко использует управляемые ресурсы Azure, затраты могут перевесить преимущества. С другой стороны, если у вас есть решение, предназначенное для использования виртуальных машин с различными портами и приложениями, может быть важно собирать и анализировать сетевые журналы.

Запись изменений в системе

Для поддержания целостности системы необходимо иметь точную и актуальную запись о состоянии системы. При наличии изменений эту запись можно использовать для оперативного устранения возникающих проблем.

Процессы сборки также должны выдавать данные телеметрии. Важно понимать контекст безопасности событий. Знание того, что вызвало процесс сборки, кто его активировал и когда он был активирован, может предоставить ценные сведения.

Отслеживайте , когда создаются ресурсы и когда они выводятся из эксплуатации. Эти сведения должны быть извлечены из платформы. Эти сведения предоставляют ценные аналитические сведения для управления ресурсами и подотчетности.

Мониторинг смещения в конфигурации ресурсов. Задокументируйте любые изменения существующего ресурса. Кроме того, отслеживайте изменения, которые не выполняются в рамках развертывания для парка ресурсов. В журналах должны быть зафиксированы особенности изменения и точное время его возникновения.

С точки зрения исправления вы сможете получить исчерпывающее представление о том, является ли система актуальной и безопасной. Отслеживайте обычные процессы обновления , чтобы убедиться, что они выполняются должным образом. Процесс исправления системы безопасности, который не завершается, следует рассматривать как уязвимость. Также следует вести инвентаризацию, в которую записываются уровни исправлений и любые другие необходимые сведения.

Обнаружение изменений также применяется к операционной системе. Это включает в себя отслеживание того, добавляются ли службы или отключаются. Он также включает мониторинг добавления новых пользователей в систему. Существуют средства, предназначенные для операционной системы. Они помогают с мониторингом без контекста в том смысле, что они не ориентированы на функциональные возможности рабочей нагрузки. Например, мониторинг целостности файлов — это критически важный инструмент, позволяющий отслеживать изменения в системных файлах.

Для этих изменений следует настроить оповещения, особенно если вы не ожидаете, что они будут происходить часто.

Важно!

При развертывании в рабочей среде убедитесь, что оповещения настроены для перехвата аномальных действий, обнаруженных в ресурсах приложения и процессе сборки.

В планы тестирования включите проверку ведения журнала и оповещений в качестве приоритетных тестовых случаев.

Хранение, статистическая обработка и анализ данных

Данные, собранные в рамках этих действий мониторинга, должны храниться в приемниках данных, где их можно тщательно изучить, нормализовать и сопоставить. Данные безопасности должны сохраняться за пределами собственных системных хранилищ данных. Приемники мониторинга, будь то локализованные или центральные, должны перехитить источники данных. Приемники не могут быть временными, так как приемники являются источником для систем обнаружения вторжений.

Сетевые журналы могут быть подробными и занимать место в хранилище. Изучите различные уровни в системах хранения. Со временем журналы могут переходить в более холодное хранилище. Этот подход полезен, так как старые журналы потоков обычно не используются активно и требуются только по требованию. Этот метод обеспечивает эффективное управление хранилищем, а также обеспечивает доступ к историческим данным при необходимости.

Потоки рабочей нагрузки обычно представляют собой составную часть из нескольких источников ведения журнала. Данные мониторинга должны быть интеллектуально проанализированы во всех этих источниках. Например, брандмауэр будет блокировать только трафик, который достигает его. Если у вас есть группа безопасности сети, которая уже заблокировала определенный трафик, этот трафик не будет виден брандмауэру. Чтобы воссоздать последовательность событий, необходимо агрегировать данные из всех компонентов, которые находятся в потоке, а затем агрегировать данные из всех потоков. Эти данные особенно полезны в сценарии реагирования после инцидента, когда вы пытаетесь понять, что произошло. Точное хранение времени имеет важное значение. В целях безопасности все системы должны использовать источник сетевого времени, чтобы они всегда были синхронизированы.

Централизованное обнаружение угроз с помощью коррелированных журналов

Вы можете использовать такую систему, как управление информационной безопасностью и событиями безопасности (SIEM), для консолидации данных безопасности в центральном расположении , где их можно сопоставить между различными службами. Эти системы имеют встроенные механизмы обнаружения угроз . Они могут подключаться к внешним веб-каналам для получения данных аналитики угроз. Корпорация Майкрософт, например, публикует данные аналитики угроз, которые можно использовать. Вы также можете приобрести веб-каналы аналитики угроз от других поставщиков, таких как Anomali и FireEye. Эти веб-каналы могут предоставить ценные сведения и повысить уровень безопасности. Сведения об угрозах от Корпорации Майкрософт см. в разделе Security Insider.

Система SIEM может создавать оповещения на основе коррелированных и нормализованных данных. Эти оповещения являются значительным ресурсом в процессе реагирования на инциденты.

Компромисс: системы SIEM могут быть дорогостоящими, сложными и требовать специальных навыков. Однако если у вас ее нет, может потребоваться сопоставить данные самостоятельно. Это может быть длительный и сложный процесс.

Системами SIEM обычно управляют центральные команды организации. Если у вашей организации ее нет, рассмотрите возможность ее поддержки. Это может облегчить бремя ручного анализа журналов и корреляции, чтобы обеспечить более эффективное и эффективное управление безопасностью.

Некоторые экономичные варианты предоставляются корпорацией Майкрософт. Многие Microsoft Defender продукты предоставляют функции оповещений системы SIEM, но без функции агрегирования данных.

Объединяя несколько небольших средств, можно эмулировать некоторые функции системы SIEM. Однако необходимо знать, что эти временные решения могут не выполнять корреляционный анализ. Эти альтернативы могут быть полезны, но они могут не полностью заменить функциональные возможности выделенной системы SIEM.

Обнаружение злоупотреблений

Будьте упреждающими при обнаружении угроз и будьте бдительны в отношении признаков злоупотреблений, таких как атаки методом подбора удостоверений на компонент SSH или конечную точку RDP. Хотя внешние угрозы могут создавать много шума, особенно если приложение доступно через Интернет, внутренние угрозы часто вызывают большую озабоченность. Непредвиденная атака методом подбора из надежного сетевого источника или непреднамеренная ошибка конфигурации, например, должна быть расследовательна немедленно.

Следите за своими практиками закалки. Мониторинг не заменяет упреждающее усиление защиты среды. Большая площадь поверхности подвержена большему объему атак. Ужесточите контроль так же, как и практика. Обнаружение и отключение неиспользуемых учетных записей, удаление неиспользуемых портов и использование брандмауэра веб-приложения. Дополнительные сведения о методах усиления защиты см. в статье Рекомендации по защите безопасности.

Обнаружение на основе сигнатур может подробно проверить систему. Она включает поиск признаков или корреляций между действиями, которые могут указывать на потенциальную атаку. Механизм обнаружения может определять определенные характеристики, указывающие на определенный тип атаки. Не всегда можно напрямую обнаружить механизм управления и командой атаки. Однако часто существуют подсказки или шаблоны, связанные с определенным процессом управления и командой. Например, атака может указываться определенной скоростью потока с точки зрения запроса или часто обращаться к доменам с определенным окончанием.

Обнаруживайте аномальные шаблоны доступа пользователей , чтобы можно было выявлять и исследовать отклонения от ожидаемых шаблонов. Это включает в себя сравнение текущего поведения пользователя с прошлым поведением для выявления аномалий. Хотя выполнить эту задачу вручную нецелесообразно, для этого можно использовать средства аналитики угроз. Инвестируйте в средства аналитики поведения пользователей и сущностей (UEBA), которые собирают поведение пользователей из данных мониторинга и анализируют его. Эти средства часто могут выполнять прогнозный анализ, который сопоставляет подозрительное поведение с потенциальными типами атак.

Обнаружение угроз на этапах перед развертыванием и после развертывания. На этапе перед развертыванием включите сканирование уязвимостей в конвейеры и выполните необходимые действия на основе результатов. После развертывания продолжайте проверять уязвимости. Вы можете использовать такие средства, как Microsoft Defender для контейнеров, которые сканируют образы контейнеров. Включите результаты в собранные данные. Сведения о методах безопасной разработки см. в статье Рекомендации по использованию методов безопасного развертывания.

Воспользуйтесь преимуществами предоставляемых платформой механизмов и мер обнаружения. Например, Брандмауэр Azure может анализировать трафик и блокировать подключения к недоверенным назначениям. Azure также предоставляет способы обнаружения и защиты от распределенных атак типа "отказ в обслуживании" (DDoS).

Упрощение azure

Azure Monitor позволяет отслеживать все показатели инфраструктуры. Без настройки вы автоматически получаете метрики платформы, журналы действий и журналы диагностика из большинства ресурсов Azure. Журналы действий содержат подробные сведения о диагностике и аудите.

Примечание

Журналы платформы недоступны неограниченное время. Их необходимо сохранить, чтобы позже их можно было просмотреть для аудита или анализа в автономном режиме. Используйте учетные записи хранения Azure для долгосрочного или архивного хранения. В Azure Monitor укажите период хранения при включении параметров диагностики для ресурсов.

Настройте оповещения на основе предопределенных или пользовательских метрик и журналов, чтобы получать уведомления при обнаружении определенных событий или аномалий, связанных с безопасностью.

Дополнительные сведения см. в документации по Azure Monitor.

Microsoft Defender для облака предоставляет встроенные возможности для обнаружения угроз. Он работает с собранными данными и анализирует журналы. Поскольку он знает о типах создаваемых журналов, он может использовать встроенные правила для принятия обоснованных решений. Например, он проверяет списки потенциально скомпрометированных IP-адресов и создает оповещения.

Включите встроенные службы защиты от угроз для ресурсов Azure. Например, включите Microsoft Defender для ресурсов Azure, таких как виртуальные машины, базы данных и контейнеры, для обнаружения и защиты от известных угроз.

Defender для облака предоставляет возможности облачной платформы защиты рабочих нагрузок (CWPP) для обнаружения угроз для всех ресурсов рабочей нагрузки.

Дополнительные сведения см. в статье Что такое Microsoft Defender для облака?.

Оповещения, созданные Defender, также могут передаваться в системы SIEM. Microsoft Sentinel — это собственное предложение. Он использует ИИ и машинное обучение для обнаружения угроз безопасности и реагирования на них в режиме реального времени. Он обеспечивает централизованное представление данных о безопасности и упрощает упреждающий поиск и исследование угроз.

Дополнительные сведения см. в статье о Microsoft Sentinel.

Microsoft Sentinel также может использовать каналы аналитики угроз из различных источников. Дополнительные сведения см. в статье Интеграция аналитики угроз в Microsoft Sentinel.

Microsoft Sentinel может анализировать поведение пользователей на основе данных мониторинга. Дополнительные сведения см. в статье Определение расширенных угроз с помощью аналитики поведения пользователей и сущностей (UEBA) в Microsoft Sentinel.

Defender и Microsoft Sentinel работают вместе, несмотря на некоторые перекрытия функций. Такая совместная работа повышает общую безопасность, помогая обеспечить комплексное обнаружение угроз и реагирование на нее.

Воспользуйтесь преимуществами Центра непрерывности бизнес-процессов Azure , чтобы выявить пробелы в пространстве непрерывности бизнес-процессов и защититься от таких угроз, как атаки программ-шантажистов, вредоносные действия и инциденты с изгоями администраторов. Дополнительные сведения см. в статье Что такое Центр непрерывности бизнес-процессов Azure?.

Сеть

Просмотрите все журналы, включая необработанный трафик, с сетевых устройств.

Идентификация

Отслеживайте события риска, связанные с потенциально скомпрометированными удостоверениями, и устраняйте эти риски. Изучите зарегистрированные события риска следующими способами:

Microsoft Entra ID использует адаптивные алгоритмы машинного обучения, эвристики и известные скомпрометированные учетные данные (пары имени пользователя и пароля) для обнаружения подозрительных действий, связанных с учетными записями пользователей. Эти пары имени пользователя и пароля отображаются при мониторинге общедоступного и темного интернета, а также при работе с исследователями по безопасности, правоохранительными органами, группами безопасности корпорации Майкрософт и другими.

Azure Pipelines

DevOps выступает за управление изменениями рабочих нагрузок с помощью непрерывной интеграции и непрерывной поставки (CI/CD). Не забудьте добавить проверку безопасности в конвейеры. Следуйте указаниям, описанным в разделе Защита Azure Pipelines.

Контрольный список по безопасности

Ознакомьтесь с полным набором рекомендаций.

Контрольный список по безопасности