Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
事件响应是调查和处置企业正在遭受的攻击活动。 Azure 环境的有效事件响应需要了解共同的责任模型、Azure 原生调查功能和自动化响应工具。
本文重点介绍特定于 Azure 的事件响应注意事项。 有关与平台无关的全面事件响应指南,包括关于网络钓鱼、密码喷射、令牌盗窃和其他攻击类型的详细计划,请参阅 Microsoft 安全文档中的 事件响应概述。
本文与 NIST SP 800-61 阶段保持一致:准备、检测和分析、遏制和恢复以及事件后活动。 有关实施 Azure Policy 的规范性安全控制,请参阅 Microsoft云安全基准 v2 - 事件响应。
为事件响应做好准备
在事件发生之前建立计划、过程和功能。
制定特定于 Azure 的事件响应计划。 传统计划通常在云环境中失败,其中共享责任模型、基于 API 的证据收集和服务提供商协作不同于数据中心事件处理。 计划应解决以下问题:
- 明确划分 Microsoft 与您的组织之间的 IaaS、PaaS 和 SaaS 服务的责任
- 使用 Azure Monitor 日志、Microsoft Entra 审核日志和 NSG 流日志进行云原生调查
- 虚拟机快照、内存转储和网络数据包捕获的操作程序
- Microsoft协作过程,包括Microsoft支持和Microsoft安全响应中心(MSRC)
在 Microsoft Defender for Cloud 中配置安全联系人。 指定Microsoft在需要协作的事件期间可以访问的联系人。 包括 24/7 全天候可联系的主要联系人、全球覆盖的备份联系人,以及针对不同事件类型的角色联系人。 有关详细信息,请参阅 配置安全联系人。
实现自动化通知工作流。 手动通知引入了严重延迟。 使用 Azure 逻辑应用和 Microsoft Sentinel playbook 根据事件严重性、法规要求和受影响的资源自动将警报路由到适当的利益干系人。 使用基于时间的触发器为未确认的关键事件配置升级流程。
定期测试响应过程。 在实际事件中,而不是在受控测试中,组织会发现差距。 使用勒索软件、数据外泄和内部威胁等攻击方案进行季度桌面练习。
检测和分析事件
实现高质量的警报生成和系统调查功能。
启用统一威胁检测
将 Microsoft Defender XDR 部署 为主要统一安全平台。 Defender XDR 自动将终结点、标识、电子邮件和云应用中的警报关联到统一事件中,以计算机速度提供自动调查和响应。 有关详细信息,请参阅 Microsoft Defender XDR。
适用于您的工作负荷(服务器、存储、容器、Key Vault)的相应 Defender 计划来配置 Microsoft Defender for Cloud。 优化警报阈值,并为已知的误报创建抑制规则,同时保持威胁覆盖范围。 有关详细信息,请参阅 Microsoft Defender for Cloud。
实现 Microsoft Sentinel 以实现集中式 SIEM 和 SOAR 功能。 使用智能警报分组和实体增强功能配置分析规则,实现事件的自动创建。 使用调查图和实体行为分析进行全面调查。 有关详细信息,请参阅 Microsoft Sentinel。
建立全面的日志记录
综合日志数据对于构建攻击时间线和理解范围至关重要。 收集:
- Microsoft Entra ID 日志:登录日志、审核日志和有风险的用户检测
- Azure 活动日志:控制平面操作,包括对资源的修改和策略的更改
- NSG 流日志:具有源/目标映射的网络流量,用于横向移动检测
- 资源诊断日志:Azure 存储、Key Vault、SQL、防火墙和应用程序网关日志
将日志发送到 Log Analytics 工作区,以便长期保留和集中查询。 有关详细信息,请参阅 Azure Monitor。
根据业务影响确定事件优先级
根据业务影响、收入依赖关系和法规范围标记关键级别的 Azure 资源。 在Microsoft Sentinel 中配置自动严重性评分,以考虑资产关键性、数据敏感度和威胁情报置信度。 自动上报涉及受监管保护的数据或关键业务系统的事件。 有关详细信息,请参阅 标记资源。
控制和从事件中恢复
自动响应以匹配自动攻击的速度。
立即保留证据
证据收集延迟和不当处理损害取证完整性。 自动保存证据:
- VM 快照:在修正之前为已泄露的 VM 创建时间点快照
- 不可变存储:使用 不可变存储策略 和法定保留将日志和证据导出到 Azure 存储
- 网络数据包捕获:使用 Azure 网络观察程序进行网络取证
- 内存转储:使用 Azure 扩展收集易失性证据
通过加密哈希和访问日志记录来维护监管链,以便进行法律诉讼。
自动化遏制行动
手动遏制需要数小时,而自动攻击在几分钟内完成目标。 部署 Microsoft Sentinel 操作手册:
- 用户帐户响应:禁用帐户、重置密码、终止会话、撤销权限
- 网络隔离:修改 NSG 规则以在保留调查访问的同时隔离 VM
- 设备隔离:通过 Microsoft Defender for Endpoint 隔离遭到入侵的端点
- 恶意软件响应:隔离整个组织中的文件和阻止哈希
为高风险操作配置审批流程,以防止误报导致的损害。 有关详细信息,请参阅使用剧本自动响应威胁。
使用 Azure 本机隔离功能
- 网络安全组:添加拒绝规则以阻止攻击者流量
- Azure 防火墙:部署阻止恶意 IP 和域的规则
- Microsoft Entra 条件访问:阻止来自受损帐户或位置的访问
- Privileged Identity Management:撤销特权访问分配
事故后总结和改进
进行系统的事件后活动,以防止重复。
记录已吸取的教训。 确定效果良好,需要改进的内容。 捕获完整的攻击时间线、响应效果,以及在事件期间发现的问题和差距。
适当保留证据。 将证据存储在不可变的 Azure 存储中,保留策略符合不同事件类型的法规要求。
更新检测功能。 为事件期间观察到的攻击技术添加检测规则。 将检测到的活动映射到 MITRE ATT&CK 技术,以确定防御差距。
改进响应过程。 根据学到的教训更新 playbook 和 Runbook。 优化自动化,以解决响应期间发现的手动瓶颈。
事件响应手册
Microsoft提供了详细的常见攻击方案行动手册:
| 剧本 | 说明 |
|---|---|
| 网络钓鱼调查 | 调查网络钓鱼攻击 |
| 密码喷射调查 | 响应密码喷射攻击 |
| 应用授权调查 | 调查恶意 OAuth 许可授予 |
| 被破解和恶意应用程序 | 调查遭到入侵或恶意的应用程序 |
| 令牌被盗 | 调查令牌盗窃攻击 |
有关更多的操作手册,请参阅事件响应操作手册。
后续步骤
- 查看 事件响应概述 以获取全面指南
- 了解 Azure 中的威胁防护
- 查看 操作安全最佳做法
- 探索 Microsoft 云安全基准 v2 - 事故响应