Övervaka Azure-resurser i Microsoft Defender för molnet

  • Artikel
  • 9 minuter för att läsa

Som ett första steg aktiverar och granskar du alla loggar (inklusive rådatatrafik) från dina nätverksenheter.

Dra nytta av funktionen för paketfångst för att ställa in aviseringar och få åtkomst till prestandainformation i realtid på paketnivå.

Paketfångst spårar trafik till och från virtuella datorer. Det ger dig möjlighet att köra proaktiva avbildningar baserat på definierade nätverksavvikelser, inklusive information om nätverksintrång.

Ett exempel finns i Scenario: Hämta aviseringar när en virtuell dator skickar fler TCP-segment än vanligt.

Fokusera sedan på observerbarheten för specifika tjänster genom att granska diagnostikloggarna. Information om hur du Azure Application Gateway med integrerad brandvägg för webbaserade program finns i Brandväggsloggar för webbaserade program. Microsoft Defender for Cloud analyserar diagnostikloggar på virtuella nätverk, gatewayer, nätverkssäkerhetsgrupper och avgör om kontrollerna är tillräckligt säkra. Till exempel:

  • Exponeras den virtuella datorn för offentligt Internet? I så fall, har du nära regler för nätverkssäkerhetsgrupper för att skydda datorn?
  • Är nätverkssäkerhetsgrupper (NSG) och regler som styr åtkomsten till de virtuella datorerna för tillåtande?
  • Tar lagringskontona emot trafik via säkra anslutningar?

Följ rekommendationerna från Defender for Cloud. Mer information finns i Nätverksrekommendationer. Använd Azure Firewall loggar och mått för observerbarhet i drift- och granskningsloggar.

Integrera alla loggar i en TJÄNST för säkerhetsinformations- och händelsehantering (SIEM), till exempel Microsoft Sentinel. SIEM-lösningarna stöder inmatning av stora mängder information och kan analysera stora datamängder snabbt. Baserat på dessa insikter kan du:

  • Ange aviseringar eller blockera trafik som passerar segmenteringsgränser.
  • Identifiera avvikelser.
  • Justera intaget för att avsevärt minska de falska positiva aviseringarna.

Identitet

Övervaka identitetsrelaterade riskhändelser med anpassningsbara maskininlärningsalgoritmer, heuristik snabbt innan angriparen kan få djupare åtkomst till systemet.

Granska identitetsrisker

De flesta säkerhetsincidenter sker när en angripare först får åtkomst med hjälp av en stulen identitet. Även om identiteten har låg behörighet kan angriparen använda den för att bläddra i sidled och få åtkomst till fler privilegierade identiteter. På så sätt kan angriparen styra åtkomsten till måldata eller målsystem.

Övervakar organisationen aktivt identitetsrelaterade riskhändelser relaterade till potentiellt komprometterade identiteter?

Övervaka identitetsrelaterade riskhändelser på potentiellt komprometterade identiteter och åtgärda dessa risker. Granska de rapporterade riskhändelserna på följande sätt:

Azure AD använder anpassningsbara maskininlärningsalgoritmer, heuristik och kända komprometterade autentiseringsuppgifter (par med användarnamn/lösenord) för att identifiera misstänkta åtgärder som är relaterade till dina användarkonton. Dessa par med användarnamn/lösenord kommer från övervakning av offentliga och mörka webbplatser och genom att arbeta med säkerhetsforskare, polis och säkerhetsteam på Microsoft med mera.

Åtgärda risker genom att manuellt åtgärda varje rapporterat konto eller genom att konfigurera en princip för användarrisk som kräver en lösenordsändring för händelser med hög risk.

Granska kritisk åtkomst regelbundet

Granska regelbundet roller som tilldelas behörigheter med en affärskritisk inverkan.

Konfigurera ett återkommande granskningsmönster för att säkerställa att konton tas bort från behörigheter när rollerna ändras. Du kan utföra granskningen manuellt eller via en automatiserad process med hjälp av verktyg som Azure AD-åtkomstgranskningar.

Identifiera & ersätta osäkra protokoll

Identifiera och inaktivera användningen av äldre osäkra protokoll SMBv1, LM/NTLMv1, wDigest, Osignerade LDAP-bindningar och svaga chiffer i Kerberos.

Program bör använda SHA-2-familjen med hash-algoritmer (SHA-256, SHA-384, SHA-512). Användning av svagare algoritmer, till exempel SHA-1 och MD5, bör undvikas.

Autentiseringsprotokoll är en viktig grund för nästan alla säkerhetssäkerhetssäkran. Dessa äldre versioner kan utnyttjas av angripare med åtkomst till ditt nätverk och används ofta i stor utsträckning på äldre system i IaaS (Infrastruktur som en tjänst).

Här är några sätt att minska risken:

  • Identifiera protokollanvändning genom att granska loggar med Microsoft Sentinel-instrumentpanelen för oskyddat protokoll eller verktyg från tredje part.

  • Begränsa eller inaktivera användningen av dessa protokoll genom att följa riktlinjerna för SMB,NTLM,WDigest.

  • Använd endast säkra hash-algoritmer (SHA-2-familj).

Vi rekommenderar att du implementerar ändringar med hjälp av pilotmetoder eller andra testmetoder för att minska risken för driftavbrott.

Läs mer

Mer information om hash-algoritmer finns i Hash- och signaturalgoritmer.

Anslutna klienter

Har ditt säkerhetsteam insyn i alla befintliga prenumerationer och molnmiljöer? Hur identifierar de nya?

Kontrollera att säkerhetsteamet är medvetna om alla registreringar och associerade prenumerationer som är anslutna till din befintliga miljö via ExpressRoute eller Site-Site VPN. Övervaka dem som en del av det övergripande företaget.

Utvärdera om organisationsprinciper och tillämpliga regelkrav följs för de anslutna klienterna. Detta gäller för alla Azure-miljöer som ansluter till nätverket för produktionsmiljön.

Organisationernas molninfrastruktur bör vara väldokumenterad, med säkerhetsteamets åtkomst till alla resurser som krävs för övervakning och insikter. Genomför frekventa genomsökningar av de molnanslutna tillgångarna för att säkerställa att inga ytterligare prenumerationer eller klienter har lagts till utanför organisationens kontroller. Gå regelbundet igenom Microsofts vägledning för att säkerställa att bästa praxis för åtkomst till säkerhetsteamet följs.

Information om behörigheter för den här åtkomsten finns i avsnittet Tilldela behörigheter för att hantera miljön.

Föreslagna åtgärder

Se till att alla Azure-miljöer som ansluter till produktionsmiljön och nätverket tillämpar organisationens policy och IT-styrningskontroller för säkerhet.

Du kan identifiera befintliga anslutna klienter med hjälp av ett verktyg som tillhandahålls av Microsoft. Vägledning om behörigheter som du kan tilldela till säkerhet finns i avsnittet Tilldela behörigheter för att hantera miljön.

CI/CD-pipelines

DevOps-metoder är till för ändringshantering av arbetsbelastningen via kontinuerlig integrering, kontinuerlig leverans (CI/CD). Se till att du lägger till säkerhetsverifiering i pipelines. Följ vägledningen som beskrivs i Lär dig hur du lägger till kontinuerlig säkerhetsvalidering i CI/CD-pipelinen.

Nästa steg

Visa loggar och aviseringar

De flesta molnarkitekturer har komponenter för beräkning, nätverk, data och identitet och var och en kräver olika övervakningsmekanismer. Även Azure-tjänster har individuella övervakningsbehov. Om du till exempel vill övervaka Azure Functions du vill aktivera Azure Application Insights.

Microsoft Defender for Cloud har många planer som övervakar säkerhetspositionen för datorer, nätverk, lagrings- och datatjänster och program för att identifiera potentiella säkerhetsproblem. Vanliga problem är internetanslutna virtuella datorer, saknade säkerhetsuppdateringar, slutpunktsskydd eller kryptering som saknas, avvikelser från baslinjesäkerhetskonfigurationer, saknade Web Application Firewall (WAF) med mera.

Huvudpunkter

[!div class="checklist"]

  • Aktivera Microsoft Defender för moln som ett djup defense-in-depth-mått. Använd resursspecifika Defender for Cloud-funktioner som Microsoft Defender för servrar, Microsoft Defender för slutpunkt, Microsoft Defender för Storage.
  • Observera containerhygienen via containermedvetna verktyg och regelbunden genomsökning.
  • Granska alla nätverksflödesloggar via Network Watcher. Se diagnostikloggar i Microsoft Defender för molnet.
  • Integrera alla loggar i en central SIEM-lösning för att analysera och identifiera misstänkt beteende.
  • Övervaka identitetsrelaterade riskhändelser i Azure AD som rapporterar amd Azure Active Directory Identity Protection.

Allmän bästa praxis

Att identifiera vanliga säkerhetsaktiviteter minskar den övergripande risken avsevärt.

  • Övervaka misstänkta aktiviteter från administrativa konton.
  • Övervaka platsen där Azure-resurser hanteras.
  • Övervaka försök att komma åt inaktiverade autentiseringsuppgifter.
  • Använd automatiserade verktyg för att övervaka nätverksresurskonfigurationer och identifiera ändringar.

Mer information finns i Azure-säkerhetsbaslinje för Azure Monitor.

IaaS- och PaaS-säkerhet

I en IaaS-modell kan du vara värd för arbetsbelastningen i Azure-infrastrukturen. Azure tillhandahåller säkerhetsgaranti som upprätthåller isolering och snabb säkerhetsuppdateringar av infrastrukturen. För större kontroll kan du vara värd för hela IaaS-lösningen lokalt eller i ett värdbaserade datacenter och ansvarar för säkerheten. Du måste implementera säkerhet på värden, den virtuella datorn, nätverket och lagringen. Om du till exempel har ett eget VNet kan du överväga att aktivera Azure Private Link över Azure Monitor så att du kan komma åt detta via en privat slutpunkt.

I PaaS har du delat ansvar med Azure för att skydda data.

Virtuella datorer

Om du kör egna virtuella datorer Windows Linux använder du Microsoft Defender för molnet. Dra nytta av de kostnadsfria tjänsterna för att söka efter os-korrigeringar som saknas, felkonfiguration av säkerhet och grundläggande nätverkssäkerhet. Vi rekommenderar starkt att du aktiverar Microsoft Defender for Cloud eftersom du får funktioner som ger anpassningsbara programkontroller, övervakning av filintegritet (FIM) med mera.

En vanlig risk är till exempel att de virtuella datorerna inte har sårbarhetsgenomsökningslösningar som söker efter hot. Microsoft Defender för moln rapporterar dessa datorer. Du kan åtgärda problemet i Microsoft Defender for Cloud genom att distribuera en genomsökningslösning. Du kan använda den inbyggda sårbarhetsskannern för virtuella datorer. Du behöver ingen licens. I stället kan du använda din licens för partnerlösningar som stöds.

Anteckning

Sårbarhetsbedömningar är också tillgängliga för containeravbildningar och SQL servrar.

Angripare söker ständigt igenom IP-intervall för offentliga moln efter öppna hanteringsportar, vilket kan leda till attacker, till exempel vanliga lösenord och kända, icke-adresserade sårbarheter. Med JIT-åtkomst (just-in-time) kan du låsa inkommande trafik till de virtuella datorerna samtidigt som du enkelt kan ansluta till datorer när det behövs. Defender for Cloud identifierar vilka datorer som ska ha JIT tillämpat.

Med Microsoft Defender för moln får du även Microsoft Defender för slutpunkt. Detta ger undersökande verktyg slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) som hjälper till vid hotidentifiering och analys.

Microsoft Defender för servrar bevakar även nätverket till och från virtuella datorer. Om du använder nätverkssäkerhetsgrupper för att styra åtkomsten till de virtuella datorerna och reglerna är överpresterande flaggar Defender för moln dem. Anpassningsbar nätverkshärdning ger rekommendationer för att ytterligare stärka NSG-reglerna.

En fullständig lista över funktioner finns i Funktionstäckning för datorer.

Ta bort direkt Internetanslutning

Se till att principer och processer kräver att du begränsar och övervakar direkt Internetanslutning för virtuella datorer.

För Azure kan du tillämpa principer genom att:

  • Företagsomfattande skydd: Förhindra oavsiktlig exponering genom att följa de behörigheter och roller som beskrivs i referensmodellen.

    • Säkerställer att nätverkstrafiken dirigeras via godkända utgående punkter som standard.

    • Undantag (till exempel att lägga till en offentlig IP-adress till en resurs) måste gå igenom en centraliserad grupp som utvärderar undantagsbegäranden och ser till att lämpliga kontroller tillämpas.

  • Identifiera och åtgärda exponerade virtuella datorer med hjälp av nätverksvisualiseringen Microsoft Defender for Cloud för att snabbt identifiera internet exponerade resurser.

  • Begränsa hanteringsportar (RDP, SSH) med just-in-time-åtkomst i Microsoft Defender för molnet.

Ett sätt att hantera virtuella datorer i det virtuella nätverket är att använda Azure Bastion. Med den här tjänsten kan du logga in på virtuella datorer i det virtuella nätverket via SSH eller RDP (Remote Desktop Protocol) utan att exponera de virtuella datorerna direkt på Internet. En referensarkitektur som använder Bastion finns i Network DMZ between Azure and an on-premises datacenter (Nätverks-DMZ mellan Azure och ett lokalt datacenter).

Containers

Containeriserade arbetsbelastningar har ett extra lager av abstraktion och orkestrering. Den komplexiteten kräver specifika säkerhetsåtgärder som skyddar mot vanliga containerattacker, till exempel attacker i leveranskedjan.

  • Använd containerregister som har verifierats för säkerhet. Avbildningar i offentliga register kan innehålla skadlig kod eller oönskade program som aktiveras när containern körs. Skapa en process där utvecklare kan begära och snabbt få säkerhetsvalidering av nya containrar och avbildningar. Processen bör verifieras mot dina säkerhetsstandarder. Detta omfattar att tillämpa säkerhetsuppdateringar, söka efter oönskad kod, till exempel bakdörrar och otillåtna kryptovalutaminatorer, söka efter säkerhetsrisker och tillämpa säkra utvecklingsmetoder.

    Ett populärt processmönster är karantänmönstret. Med det här mönstret kan du hämta dina avbildningar i ett dedikerat containerregister och göra dem föremål för säkerhets- eller efterlevnadsgranskande som gäller för din organisation. När den har verifierats kan de sedan släppas från karantänen och befordras till att vara tillgängliga.

    Microsoft Defender for Cloud identifierar ohanterade containrar som finns på virtuella IaaS Linux-datorer eller andra Linux-datorer som kör Docker-containrar.

  • Se till att du använder avbildningar från auktoriserade register. Du kan tillämpa den här begränsningen via Azure Policy. För ett Azure Kubernetes Service-kluster (AKS) har du till exempel principer som begränsar klustret till att endast hämta avbildningar från Azure Container Registry (ACR) som distribueras som en del av arkitekturen.

    Tips

    Här är resurserna för föregående exempel:

    GitHub logotypGitHub: Azure Kubernetes Service (AKS) Secure Baseline Reference Implementation.

    Designöverväganden beskrivs i Baslinjearkitektur för ett AKS-kluster.

  • Sök regelbundet igenom containrar efter kända risker i containerregistret, före användning och under användning.

  • Använd säkerhetsövervakningsverktyg som är containermedvetna för att övervaka avvikande beteende och möjliggöra undersökning av incidenter.

    Microsoft Defender för containerregister är utformade för att skydda AKS-kluster, containervärdar (virtuella datorer som kör Docker) och ACR-register. När det här alternativet är aktiverat kan de avbildningar som hämtas eller push-skickas till register genomsöka säkerhetsriskerna.

Mer information finns i de här artiklarna:

Nätverk

Hur övervakar och diagnostiserar du villkor i nätverket?