Azure Güvenlik Duvarı için Microsoft Sentinel ile kötü amaçlı yazılım algılama
Kötü amaçlı yazılım, bilgisayar sistemlerinin, ağlarının veya cihazların güvenliğini ve işlevselliğini zedelemeye, kesintiye veya tehlikeye atmaya neden olacak şekilde tasarlanmış herhangi bir yazılımdır. Virüsler, solucanlar, truva atları, fidye yazılımı, casus yazılım, adware, rootkits ve daha fazlası gibi çeşitli tehdit türlerini içerir. Kötü amaçlı yazılımların hassas verileri çalma, dosyaları şifreleme veya silme, istenmeyen reklamlar görüntüleme, performansı yavaşlatma ve hatta cihazın denetimini alma gibi çeşitli olumsuz etkileri olabilir.
Bir sistem veya ağdan kötü amaçlı yazılımları tanımlamak ve ortadan kaldırmak önemlidir. Bunu imza tabanlı, davranış tabanlı, buluşsal tabanlı veya makine öğrenmesi tabanlı teknikler gibi çeşitli algılama tekniklerini kullanarak yapabilirsiniz. Kötü amaçlı yazılım algılama, kullanıcıların güvenliği ve gizliliğinin yanı sıra sistemlerin ve ağların bütünlüğünü ve kullanılabilirliğini korumak için çok önemlidir.
Azure Güvenlik Duvarı IDPS özelliği varsayılan olarak kötü amaçlı yazılımları otomatik olarak algılar ve reddeder ve bulut iş yüklerinin virüs bulaşmasını engelleyebilir. Önceden oluşturulmuş algılama sorgularını ve Microsoft Sentinel'i kullanarak otomatik algılama ve yanıt kullanarak bu özelliği daha da geliştirebilirsiniz. Bu makalede, gibi CoinminerCl0p Azure Güvenlik Duvarı günlüklerinde bulunan bazı yaygın kötü amaçlı yazılımları algılamayı ve Sunburst Azure Güvenlik Duvarı için önceden tanımlanmış KQL algılama sorgularını kullanmayı öğreneceksiniz.
Bu algılamalar, algılama kuralı sorgusunda tanımlandığı gibi, iç ağ üzerindeki makineler İnternet'teki etki alanı adlarına veya IP adreslerine bağlantı istediğinde güvenlik ekiplerinin Sentinel uyarılarını almasını sağlar. Gerçek pozitif algılamalar, Güvenliği Aşma Göstergeleri (ICS) olarak kabul edilmelidir. Ardından, güvenlik olayı yanıt ekipleri bir yanıt başlatabilir ve bu algılama sinyallerine göre uygun özel düzeltme eylemlerini uygulayabilir.
Aşağıdaki sorguları kullanarak analiz kurallarını dağıtma yönergeleri için bkz. Azure Web Uygulaması Güvenlik Duvarı ile Microsoft Sentinel kullanarak yeni tehditleri algılama.
Yaygın kötü amaçlı yazılım açıkları
Aşağıdaki kötü amaçlı yazılımlardan yararlanma işlemleri günümüzün ağlarında yaygındır.
Coinminer
Kripto para birimi madenciliğinde son zamanlarda yaşanan artış nedeniyle yüksek performanslı ağ işleme birimlerine olan ihtiyaç artmaktadır. Dağıtılmış bilgi işlem, hem yasal hem de yasa dışı bağlamlarda genişliyor ve madencilik yazılımının yaygın olarak kullanılabilirliği.
Coinminer , farkında olmayan bir kurbanın bilgisayarının donanım kaynaklarını kripto para birimi madenciliği için kullanan bir kötü amaçlı yazılım türünü temsil eder. Farkında olmayan kullanıcının bilgisayarının grafik işleme birimi (GPU), kripto para birimlerinin madenciliğini ve işlem bloğu karmalarını hesaplamayı hedefleyen çeşitli betikleri çalıştırmak için kullanılır.
Bu tehdit riskini azaltmak için, tipik giriş noktalarında proaktif önlemler uygulanmalıdır. Bu, Jupyter yazılımının güvenlik açıklarını en aza indirmek, Docker'a dış erişimi denetlemek ve ek Sıfır Güven ilkelerine uymak için uygun kimlik doğrulaması, yapılandırma ve güncelleştirme ile dağıtılmasını sağlamayı içerir.
Aşağıdaki algılama sorgusu, Azure Güvenlik Duvarı günlüklerini kullanarak bu kötü amaçlı yazılımı otomatik olarak algılamak ve yanıtlamak için Sentinel'de bir analiz kuralı oluşturmak için kullanılabilir.
// Coinminer Detection Rule
// Detects suspicious traffic patterns associated with coinmining activity in Azure Firewall logs for Sentinel
let coinminerPorts = dynamic(["2375", "2376", "2377", "4243", "4244"]); // List of known coinminer ports
//Assign the known domains to a variable
let coinminerdomains = dynamic(["teamtnt.red", "kaiserfranz.cc", "45.9.148.123"]); // List of known coinminer domains
(union isfuzzy=true
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallApplicationRule"
| parse msg_s with Protocol 'request from ' SourceHost ':' SourcePort 'to ' DestinationHost ':' DestinationPort '. Action:' Action
| extend action_s = column_ifexists("action_s", ""), transactionId_g = column_ifexists("transactionId_g", "")
| where DestinationPort in (coinminerPorts) // Filter traffic on known coinminer ports
| summarize CoinminerAttempts = count() by DestinationHost, DestinationPort
| where CoinminerAttempts > 10 // Adjust threshold as needed
),
(AZFWIdpsSignature
| where DestinationPort in (coinminerPorts)
| summarize CoinminerAttempts = count() by DestinationIp, DestinationPort
| where CoinminerAttempts > 10 // Adjust threshold as needed
),
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallDnsProxy"
| parse msg_s with "DNS Request: " ClientIP ":" ClientPort " - " QueryID " " Request_Type " " Request_Class " " Request_Name ". " Request_Protocol " " Request_Size " " EDNSO_DO " " EDNS0_Buffersize " " Response_Code " " Response_Flags " " Response_Size " " Response_Duration
| where Request_Name has_any(coinminerdomains)
| extend DNSName = Request_Name
| extend IPCustomEntity = ClientIP
),
(AzureDiagnostics
| where ResourceType == "AZUREFIREWALLS"
| where Category == "AzureFirewallApplicationRule"
| parse msg_s with Protocol ' request from ' SourceHost ':' SourcePort 'to' DestinationHost ':' DestinationPort '. Action:' Action
| where isnotempty(DestinationHost)
| where DestinationHost has_any(coinminerdomains)
| extend DNSName = DestinationHost
| extend IPCustomEntity = SourceHost),
(AZFWApplicationRule
| where isnotempty(Fqdn)
| where Fqdn has_any (coinminerdomains)
| extend DNSName = Fqdn
| extend IPCustomEntity = SourceIp),
(AZFWDnsQuery
| where isnotempty(QueryName)
| where QueryName has_any (coinminerdomains)
| extend DNSName = QueryName
| extend IPCustomEntity = SourceIp
),
(AZFWIdpsSignature
| where DestinationIp has_any (coinminerdomains)
| extend DNSName = DestinationIp
| extend IPCustomEntity = SourceIp
),
(AZFWIdpsSignature
| where Description contains "coinminer"
| extend DNSName = DestinationIp
| extend IPCustomEntity = SourceIp
)
)
Cl0p
Cl0p , kurbanın dosyalarına ayırt edici şifreleme anahtarları uygulayarak ve ardından dosyaların şifre çözmesi için fidye isteyerek çalışan bir fidye yazılımıdır. Veri aktarım yazılımı MOVEit'te bir güvenlik açığı kullanır ve teslim cl0petmek umuduyla çok sayıda çalışana zıpkınla kimlik avı e-postaları gönderir. Ardından ve gibi truebotdewmode araçları kullanarak ağ içinde yayılı olarak hareket eder ve verileri dışarı taşır. Fidye yazılımı, AES-256 şifreleme algoritmasını kullanarak dosyaları şifreler.
Cl0p güvenlik açıkları cve-2023-35036, CVE-2023-34362 ve CVE-2023-35708'tir. Haziran 2023'te, FBI ve CISA bu sömürü hakkında bir basın açıklaması yayınladı. Fidye yazılımlarının cl0p etkileri, ABD Orta Batı ve kamu kuruluşlarında çeşitli üniversitelerde kayıtlıdır. Havayolları, TV ağları ve İngiltere merkezli perakende mağazaları fidye yazılımı çetesinin cl0p en son kurbanlarıdır.
Aşağıdaki algılama sorgusu, Azure Güvenlik Duvarı günlüklerini kullanarak bu kötü amaçlı yazılımı otomatik olarak algılamak ve yanıtlamak için Sentinel'de bir analiz kuralı oluşturmak için kullanılabilir.
Algılama Sorgusu Cl0p: Sentinel için Güvenlik Duvarı Kötü Amaçlı Yazılım Algılamaları/Algılama - Cl0p.json için analitik kural sorgusu
Sunburst
Bu kötü amaçlı yazılım, algılamayı önlemek ve bir komut ve denetim arka kapı saldırısı oluşturmak için etki alanı oluşturma algoritması (DGA) dizelerini kullanarak kurbanları hedefler. DGA dizeleri, söz diziminde kullanılan desen ve etki alanı bilgilerinin sürekli değişmesi nedeniyle güvenlik araçlarının kötü amaçlı yazılım tarafından kullanılan etki alanlarını tanımlaması genellikle zordur.
Aşağıdaki algılama sorgusu, Azure Güvenlik Duvarı günlüklerini kullanarak bu kötü amaçlı yazılımı otomatik olarak algılamak ve yanıtlamak için Sentinel'de bir analiz kuralı oluşturmak için kullanılabilir.
Kötü Amaçlı Yazılım algılama Sunburst sorgusu: Sentinel için Güvenlik Duvarı Kötü Amaçlı Yazılım Algılamaları/Algılama - Sunburst.json için analitik kural sorgusu