使用 Microsoft Sentinel 的 Azure 防火墙概述
现在,可以通过轻松部署适用于 Microsoft Sentinel 的 Azure 防火墙解决方案来获取检测和防御功能。
安全性是主动防御和被动防御之间的持续平衡。 它们同样重要,两者都不能被忽视。 有效保护组织意味着不断优化预防和检测。
通过将预防和检测相结合,可确保在可能的情况下既能预防复杂的威胁,又能维护“假定违反思维”来检测和快速响应网络攻击。
先决条件
- 具有活动订阅的 Azure 帐户。 创建试用版订阅。
关键功能
将 Azure 防火墙与 Microsoft Sentinel 集成后,启用以下功能:
- 监视和可视化 Azure 防火墙活动
- 检测威胁并应用 AI 辅助调查功能
- 自动化响应和与其他源的关联
整个体验打包为 Microsoft Sentinel 市场中的解决方案,这意味着它可以相对轻松地部署。
为 Microsoft Sentinel 部署和启用 Azure 防火墙解决方案
可以从内容中心快速部署解决方案。 在 Microsoft Sentinel 工作区中,选择“分析”,然后选择“内容中心的更多内容”。 搜索并选择“Azure 防火墙”,然后选择“安装”。
安装后,选择“管理”,遵循向导中的所有步骤,通过验证并创建解决方案。 只需进行一些选择,所有内容(包括连接器、检测、工作簿和 playbook)都会部署在 Microsoft Sentinel 工作区中。
监视和可视化 Azure 防火墙活动
使用 Azure 防火墙工作簿可以可视化 Azure 防火墙事件。 使用此工作簿,可以:
- 了解应用程序和网络规则
- 查看跨 URL、端口和地址的防火墙活动的统计信息
- 按防火墙和资源组进行筛选
- 在调查日志中的问题时,使用易于读取的数据集动态筛选每个类别。
该工作簿提供单个仪表板,用于持续监视防火墙活动。 在威胁检测、调查和响应方面,Azure 防火墙解决方案还提供内置检测和搜寻功能。
检测威胁并使用 AI 辅助调查功能
该解决方案的检测规则为 Microsoft Sentinel 提供了一个分析 Azure 防火墙信号的强大方法,以检测表示遍历网络的恶意活动模式的流量。 这允许快速响应和修正威胁。
攻击者在防火墙解决方案中执行的攻击阶段根据 MITRE ATT&CK 框架进行分段。 MITRE 框架是一系列步骤,用于跟踪从早期侦查阶段到数据外泄的网络攻击阶段。 该框架可帮助防御者了解和打击勒索软件、安全违反和高级攻击。
该解决方案包括针对对手可能用作攻击一部分的常见场景的检测,从发现阶段(获得有关系统和内部网络的知识)到命令和控制 (C2) 阶段(与受损系统通信以控制它们),再到外泄阶段(对手试图从组织窃取数据)。
检测规则 | 它有什么作用? | 它指示什么? |
---|---|---|
端口扫描 | 识别在 Azure 防火墙上扫描多个开放端口的源 IP。 | 攻击者恶意扫描端口,试图揭示组织中可能因初始访问而遭到入侵的开放端口。 |
端口清理 | 识别在 Azure 防火墙不同 IP 上扫描相同开放端口的源 IP。 | 攻击者恶意扫描端口,试图揭示组织中开放的特定易受攻击端口的 IP。 |
源 IP 的异常拒绝率 | 根据配置期间完成的机器学习,识别特定源 IP 到目标 IP 的异常拒绝率。 | 潜在外泄、初始访问或 C2,攻击者试图利用组织中计算机上的相同漏洞,但 Azure 防火墙规则会阻止它。 |
异常端口到协议 | 根据活动期间完成的机器学习,通过非标准端口识别已知协议的通信。 | 攻击者尝试通过已知端口 (SSH、HTTP) 进行通信但不使用与端口号匹配的已知协议标头,从而引起的恶意通信 (C2) 或外泄。 |
受同一 TI 目标影响的多个源 | 识别试图访问 Azure 防火墙中威胁情报 (TI) 阻止的同一目标的多台计算机。 | 同一攻击组试图从组织外泄数据,对组织发起攻击。 |
搜寻查询
搜寻查询是安全研究人员在发生事件后或主动发现新的或未知攻击后,在组织网络中查找威胁的工具。 为此,安全研究人员研究了一些入侵指标 (IOC)。 Azure 防火墙解决方案中内置的 Microsoft Sentinel 搜寻查询为安全研究人员提供了从防火墙日志中查找高影响力活动所需的工具。 几个示例包括:
搜寻查询 | 它有什么作用? | 它指示什么? |
---|---|---|
源 IP 首次连接到目标端口 | 当新主机或 IP 尝试使用特定端口与目标通信时,有助于识别攻击的常见指示 (IOA)。 | 基于在指定时间段内学习常规流量。 |
源 IP 首次连接到目标 | 当从以前从未访问过目标的计算机首次进行恶意通信时,有助于识别IOA。 | 基于在指定时间段内学习常规流量。 |
源 IP 异常连接到多个目标 | 识别异常连接到多个目标的源 IP。 | 表示攻击者的初始访问尝试,他们试图在组织中的不同计算机之间跳转,利用横向移动路径或不同计算机上的相同漏洞来查找易受攻击的计算机进行访问。 |
组织的不常见端口 | 识别组织网络中使用的异常端口。 | 攻击者可以绕过受监视的端口,并通过不常见的端口发送数据。 这使得攻击者能够逃避例程检测系统的检测。 |
与目标 IP 的不常见端口连接 | 识别计算机用于连接到目标 IP 的异常端口。 | 攻击者可以绕过受监视的端口,并通过不常见的端口发送数据。 这也可能表明组织中的计算机使用从未在计算机上用于通信的端口进行了外泄攻击。 |
自动化响应和与其他源的关联
最后,Azure 防火墙还包括 Microsoft Sentinel playbook,使你能够自动响应威胁。 例如,防火墙记录网络上的特定设备试图通过非标准 TCP 端口利用 HTTP 协议与 Internet 通信的事件。 此操作会在 Microsoft Sentinel 中触发检测。 playbook 通过 Microsoft Teams 自动向安全运营团队发送通知,安全分析师可以通过一次选择来阻止设备的源 IP 地址。 这使得它在调查完成之前无法访问 Internet。 Playbook 使这一过程更加高效和精简。
真实示例
让我们看看完全集成的解决方案在真实场景中的样子。
Azure 防火墙的攻击和初始防护
该公司的销售代表意外打开了网络钓鱼电子邮件,并打开了包含恶意软件的 PDF 文件。 恶意软件立即尝试连接到恶意网站,但 Azure 防火墙会阻止它。 防火墙使用它所使用的 Azure 威胁情报源检测到域。
响应
连接尝试将会在 Microsoft Sentinel 中触发检测,并启动通过 Teams 频道向安全运营团队发送通知的 playbook 自动化过程。 在那里,分析师可以阻止计算机与 Internet 通信。 然后,安全运营团队会通知 IT 部门从销售代表的计算机中删除哪个恶意软件。 然而,采取主动方法并深入研究,安全研究人员应用 Azure 防火墙搜寻查询,并运行“源 IP 异常连接到多个目标”查询。 这表明,受感染计算机上的恶意软件试图与更广泛网络上的许多其他设备通信,并试图访问其中的许多设备。 其中一次访问尝试成功了,因为没有适当的网络分段来防止网络中的横向移动,而且新设备存在已知的漏洞,恶意软件会利用该漏洞来感染该设备。
结果
安全研究人员从新设备中删除了恶意软件,完成了攻击缓解,并在此过程中发现了网络弱点。