針對企業(yè)云端安全監(jiān)控的這一重要需求,我們設計了 一套可以一鍵部署,也可以動態(tài)調整的安全監(jiān)控模板方案, 希望可以給客戶帶來最直觀的安全監(jiān)控方案以及后續(xù)深入調查的平臺。
接下來我們就會通過一個 demo 環(huán)境演示整套方案是如何帶給客戶安全監(jiān)控的能力。
首先我們一起來看下方案的組成部分:
基于很多用戶對于云環(huán)境的需求大多都是起始于搭建一些對外的,面向全網(wǎng)的服務,從而能夠把一些風險從本地數(shù)據(jù)中心中隔離轉移出去,以及保證業(yè)務的靈活搭建,快速響應市場的需求。因此這些業(yè)務將會是很多攻擊者眼中最直接的攻擊目標,利用其暴露的 IP 和端口,發(fā)起一輪又一輪的攻擊。
因此,我們設計了階段一對于全網(wǎng)環(huán)境的網(wǎng)絡日志的監(jiān)控和分析,借助網(wǎng)絡觀察程序搜集到的各個網(wǎng)絡安全組上的日志,再利用日志分析工具(Log Analytics)從諸如可疑 IP 的訪問、每日流量的觀察、內部網(wǎng)段互訪等維度來幫助企業(yè)的安全團隊定位一些存在風險的虛擬機。
經(jīng)過了階段一,企業(yè)安全團隊將會從網(wǎng)絡層對于企業(yè)的網(wǎng)絡情況有了一個全局的可見性,之后根據(jù)從業(yè)務端的理解和梳理,就能夠初步甄別一些危險信號,定位一些可疑的終端目標。接下來就需要通過階段二進入到具體的終端服務器上的日志,通過分析具體的行為來判定機器是否存在異常。
在進入階段二的高風險機器中,我們需要通過終端服務器的日志的具體行為,利用 Azure Defender( 原名 Azure Security Center)或者 Microsoft Defender for Endpoint( 原名 Microsoft Defender ATP)根據(jù) MITRE ATT&CK 上所定義的,以及微軟安全團隊總結的一些與當年威脅相關的動作,對應到具體的 SysLog 或者 Windows Events 中的具體日志,監(jiān)控和狩獵是否存在一些異常情況,來最終確定機器是否存在泄漏的問題。
當客戶經(jīng)過一段時間的觀測和梳理,逐漸掌握了云端各個資源的正常業(yè)務情況,便可以進入階段三,通過 Sentinel 接入更多的非 Azure 云端的系統(tǒng),利用同一套監(jiān)控邏輯和日常安全運維的思路,統(tǒng)一管理本地的或者第三方云端的虛擬機集群。當然也可以加入更多的第三方的安全設備,建立更多維度的安全監(jiān)控服務,提升企業(yè)的安全監(jiān)控等級。
接下來,我們就一起來看下客戶可以通過預設的模板一鍵部署以后能夠用來監(jiān)控的各個維度:
通過該模板,首先客戶可以從幾個關鍵的維度出發(fā),來掌握云端資源在網(wǎng)絡層面的一些行為,例如總的流量的實時進出,細化到各個機器,各個子網(wǎng)段的情況;另外還能從可疑 IP 對于公司資源的訪問情況,細化到對于每臺機器、每個端口的訪問情況。如下圖所示就是客戶從網(wǎng)絡端可以觀察到的維度,這些維度可以給到客戶對于整個云端網(wǎng)絡層的運行狀態(tài)的大致狀態(tài)的理解,后續(xù)可以再根據(jù)相應的異常狀態(tài)進行深入的分析,例如下圖一所示,可以看到 Denied Flow 在某幾天的特定時段有個指數(shù)級的暴增,這就需要深入調查這些 Flow 指的是對應到哪些 IP 的攻擊,攻擊的是什么端口,來源是哪里等。
另外補充一點,對于可疑 IP 的定義是動態(tài)變化的一個區(qū)間,如果想要對可疑 IP 的可信度進一步驗證或者了解具體的 IP 源為何處,大家可以參考以下網(wǎng)站,輸入 IP 進行進一步的了解:
https://www.virustotal.com/gui/home/search
這邊我們嘗試搜索上述實例中排在攻擊我們 Demo 環(huán)境第二多的來自 CN 的 IP:
首先我們會看到這個 IP 的源是哪里(可見云資源對于任何使用者都是十分便捷的資源),可以看到具體被全球哪幾個機構標記成了 Malicious IP 的記號。
以上就是我們在第一階段,通過網(wǎng)絡層每個網(wǎng)絡安全組上所落點的所有東西向、南北向流量的日志的初步統(tǒng)計和分析結果,客戶的安全團隊可以通過一些排名和總計,動態(tài)掌握每周或者每月哪些服務器是需要重點關注的。有了以上的初步定義以后,便可以通過抓取和分析終端機上的日志來了解具體終端機和用戶的行為,來做進一步的判斷。
同樣在虛機層面,我們也針對一些維度提供了一些已經(jīng)預先寫好的查詢語句,幫助客戶安全團隊快速掌握整個局面。針對單機的檢查,我們提供了以下三個維度的情況:身份登錄情況、補丁情況以及異常進行的情況。
身份登錄檢查
終端機上的用戶行為分析是比較直觀以及能夠快速跟業(yè)務部門溝通了解情況的維度,因此這里通過把 Windows Events 中和身份相關的 事件都做了搜集和排名,可以快速的掌握各個賬戶相對應的行為情況。此外,這里還按照具體賬號的維度,以及單點服務器的維度展開了各類事件發(fā)生的頻率和變化趨勢,從而有助于客戶的安全團隊能夠快速通過是否有新的賬號的登錄或者是單臺服務器上是否有新的事件產生等信息,快速判斷出對應服務器是否存在異常。
補丁情況檢查
補丁檢查一直以來都是客戶在做資產清點和固件維護中十分重要的一環(huán),由于云端業(yè)務的快速拉起以及影子 IT 的影響,這部分信息可能也無法在云端被實時掌控,而只要通過此部分的監(jiān)控面板,客戶就能很清楚的看到所監(jiān)控的環(huán)境中有多少機器缺乏多少補丁,并且可以根據(jù)單臺服務器詳細展開其缺失的補丁,快速掌握新上線服務器的系統(tǒng)狀態(tài)。
進程情況檢查
在終端服務器上,另一個最直觀的反應就是可疑進程,同樣的,在這個維度,客戶的安全團隊可以在面板上快速根據(jù)進程名字,進程的行為(Windows Events),終端服務器,用戶以及時間等維度快速了解對應的情況,比如是否在非工作時間,一些服務器上有些異常的進程。如上圖 Demo 中所示,在 BigDataS 這臺機器上,CMD 在下班時間短時間內運行了28次,這個異于日常的操作馬上就會引起安全團隊的警覺,需要進一步做深入的調查。
使用以上的云原生監(jiān)控面板,可以通過網(wǎng)絡端抓取并分析全網(wǎng)的流量情況,由面定點,多維度的定位企業(yè)的疑似風險服務器,再通過針對終端機的分析,全面排查風險服務器的情況,真正做到動態(tài)監(jiān)控企業(yè)的云端環(huán)境,幫助企業(yè)構建 SecOps 的能力。那在后續(xù)的文章中,我們會通過一個 Demo 環(huán)境的演示來展示如何利用現(xiàn)有的監(jiān)控面板對突發(fā)情況做深入的調查與分析,敬請期待!來源:微軟科技
