????在上一篇文章中，我們看到了如何對(duì)案件通過相關(guān)性迅速找到事件發(fā)生的根源，但查找到威脅僅僅只是個(gè)開端，后續(xù)如何流程化的解決這個(gè)威脅，實(shí)現(xiàn)安全編排和自動(dòng)相應(yīng)。也是安全團(tuán)隊(duì)所需要去完成的工作，而這個(gè)過程，Azure Sentinel作為SOAR平臺(tái)，也能夠幫助客戶將整個(gè)case解決的流程給自動(dòng)化。

????點(diǎn)擊View Full Details

點(diǎn)擊case最右邊的view playbook，就會(huì)出現(xiàn)整片右邊的菜單欄，這些是微軟根據(jù)特定的case所預(yù)先生成和定義的自動(dòng)化腳本，您只需一鍵RUN選擇所需要執(zhí)行的動(dòng)作，就會(huì)觸發(fā)對(duì)應(yīng)的安全動(dòng)作。

如果您對(duì)于所列的安全修復(fù)措施想做額外的修改和補(bǔ)充，您只需點(diǎn)擊需要改進(jìn)的action，通過Logic App自己設(shè)計(jì)觸發(fā)的邏輯及動(dòng)作。

此外，在Playbook中，微軟現(xiàn)在支持連接ServiceNow, Jira等ticket system來對(duì)接到客戶的案件平臺(tái)，對(duì)案件做有序的追蹤，解決和記錄。

除了以上一系列對(duì)于安全事件的快速響應(yīng)機(jī)制，Azure Sentinel 還為客戶提供了客制化安全防御的功能。

????一段時(shí)間以來，公眾對(duì)于安全可能一直存在一種固定認(rèn)知，即安全與防御是緊密關(guān)聯(lián)的，殊不知，一個(gè)成熟的安全團(tuán)隊(duì)，也會(huì)根據(jù)客戶的行業(yè)屬性，長時(shí)間對(duì)于公司內(nèi)部應(yīng)用，人員的使用情況的熟悉，進(jìn)行主動(dòng)的威脅追蹤。借用Azure Sentinel中的Hunting模塊，客戶就可以為企業(yè)度身定做一款安全的矛，主動(dòng)地去定位及清掃企業(yè)環(huán)境可能存在地風(fēng)險(xiǎn)。

??????? 舉個(gè)場(chǎng)景，某企業(yè)客戶中，他們的安全團(tuán)隊(duì)清楚的了解，他們公司設(shè)計(jì)的應(yīng)用所在的托管服務(wù)器常年都只由同一個(gè)用戶名做登錄，因此，即使公司內(nèi)部存在其他賬號(hào)，可能可以被賦予相應(yīng)的權(quán)限，在公司內(nèi)部受信任的IP登錄這臺(tái)Host，但即使針對(duì)這個(gè)看似正常的行為，我也希望對(duì)這一個(gè)行為進(jìn)行監(jiān)控。因此他可以通過Hunting對(duì)所有這臺(tái)托管機(jī)上新登錄的這個(gè)操作進(jìn)行監(jiān)控及告警：

這里，我們就以針對(duì)一臺(tái)服務(wù)器的登錄情況，建立Query，并定期觸發(fā)這個(gè)搜索，返回相應(yīng)的結(jié)果給到安全團(tuán)隊(duì)。

微軟的安全專家團(tuán)隊(duì)已經(jīng)為客戶可能關(guān)心的幾十種場(chǎng)景，針對(duì)不同的log來源，編寫了對(duì)應(yīng)的查詢語句腳本，羅列給到客戶進(jìn)行選用。大家可能會(huì)比較疑惑的是，Bookmark會(huì)有什么用處，其實(shí)它是為了方便安全團(tuán)隊(duì)在今后的事件中，提前做個(gè)標(biāo)記，方便之后將相關(guān)聯(lián)的事件能夠做匯聚，可以把比如服務(wù)器上單個(gè)用戶名的正常登錄狀態(tài)與兩三個(gè)月前，該用戶在其他某處的異常登錄狀態(tài)做關(guān)聯(lián)，分析這個(gè)ID的行為狀況。從而幫助安全團(tuán)隊(duì)對(duì)威脅進(jìn)行預(yù)判。

點(diǎn)開Query，我們就可以把所有新用戶登錄成功及登錄失敗的事件都查看到，并且做了一個(gè)計(jì)數(shù)。

仔細(xì)來看搜索語句就可以看到，具體的搜索邏輯在這個(gè)查詢中是通過Event ID來進(jìn)行篩選。這里的EventID的4624，4625在Windows Security Log中都指的登錄相關(guān)的事件。因此如果想了解對(duì)應(yīng)到Linux機(jī)器中的登錄情況，就可以去搜索在Syslog中對(duì)應(yīng)登錄狀態(tài)的EventID或者EventType來放到查詢語句中做查找。

如果對(duì)于這里所使用的查詢語句不太熟悉，建議大家學(xué)習(xí)Azure Log Analytics中的查詢語句的規(guī)范。如果是對(duì)于使用的場(chǎng)景不太熟悉，則可以借助微軟團(tuán)隊(duì)建立的Query庫中的各種Hunting不同事件的Notebook中進(jìn)行學(xué)習(xí)：

簡單介紹下Azure Notebook，它是微軟提供的運(yùn)行在Azure云平臺(tái)上的Jupyte rNotebook，幫助大家快速的進(jìn)行代碼的調(diào)試和計(jì)算而不用擔(dān)心底層承載的物理機(jī)的性能。 Azure 的安全團(tuán)隊(duì)也利用這個(gè)平臺(tái)，為客戶真實(shí)場(chǎng)景中碰到的主動(dòng)防御的場(chǎng)景，編寫了不同的腳本。

????點(diǎn)擊Clone Azure Sentinel Notebooks,就會(huì)跳轉(zhuǎn)到屬于每個(gè)人自己的Notebook的目錄，并且把github上Azure Sentinel中的部分都clone到你的目錄中。

????我們進(jìn)到其中一個(gè)Hunt demo來一起看下：

????在這個(gè)Notebook的目錄下，微軟的安全工程師會(huì)按上圖所示的邏輯把Hunt的腳本描述清楚，如Description中，會(huì)把暴力破解的幾個(gè)場(chǎng)景羅列并解釋清楚，并建議給客戶推薦的數(shù)據(jù)收集來源。

????????接下來我們來看下如何Hunting攻擊者的暴力破解。

????????首先，當(dāng)然需要從海量的日志數(shù)據(jù)中，把可疑的SSH登錄的事件都篩選出來，借助Azure在各個(gè)組件中內(nèi)置的檢測(cè)機(jī)制，利用ML的分析能力，在事件發(fā)生的第一時(shí)間，就能夠去判斷事件自身是否異常。

????????那再經(jīng)過Azure 日志分析的大漏斗以后，就可以定位到發(fā)生可疑登錄的服務(wù)器，找到這些服務(wù)器的IP地址等信息，經(jīng)由其IP找到它與公司內(nèi)部其他服務(wù)器間的流量往來，從而定位公司內(nèi)部可能遭受公司的整個(gè)面。

?

回到Azure Sentinel的平臺(tái)，不知道大家是否還記得，在上篇文章中，我們提到過，Case是由Alerts匯聚而成，那想問的是Alerts又是從何而來。那接下來，我們就來看下Alerts的出處，以及是否公司可以根據(jù)自己的企業(yè)應(yīng)用使用情況，來自行定義Alerts。

我們回到Azure Sentinel的面板上，來看下Alert是的定義。打開左側(cè)欄的Analytics：

我們就會(huì)發(fā)現(xiàn)，之前Case中的一系列Alerts其實(shí)都來自于這個(gè)警報(bào)庫。那我們也嘗試著自己來添加一個(gè)Alert，點(diǎn)擊左上角的添加：

?

?

????這里能看到對(duì)于一個(gè)警報(bào)，我們可以自己定義命名警報(bào)的名稱和嚴(yán)重級(jí)別。

然后就是最核心的部分，自定義查詢語句，比如對(duì)于Azure中所有創(chuàng)建資源的動(dòng)作，或者流量達(dá)到什么峰值之類的。如果對(duì)于查詢語句不太了解，推薦可以到左側(cè)欄中的Community，跳往Github中，來參考微軟安全團(tuán)隊(duì)及其他貢獻(xiàn)者定義的特殊事件的查詢方案。另外對(duì)于所需要查詢的范圍，也可以通過限定操作人員，服務(wù)器主機(jī)或者IP的形式進(jìn)行精細(xì)查詢。

點(diǎn)擊藍(lán)色按鈕，我們跳轉(zhuǎn)到社區(qū)來仔細(xì)查看下由微軟團(tuán)隊(duì)及其他貢獻(xiàn)者所定義的警報(bào)類型及搜索機(jī)制。

?

????????進(jìn)入Detections子目錄后就能根據(jù)你所連接的數(shù)據(jù)集，選擇相應(yīng)的Query語句，修改編輯后就可以應(yīng)用于之后新創(chuàng)建的Alert rule里了。
????????接下來我們回到Analytics來繼續(xù)看下可以對(duì)警報(bào)進(jìn)行的其他配置。

在定義完警報(bào)的類型及覆蓋的主體后，可以接著設(shè)定其觸發(fā)的閾值以及運(yùn)行的時(shí)間表。并且這里可以連接到前文提到的Playbook，從而設(shè)定自動(dòng)化的程序，比如對(duì)于虛機(jī)暴力破解的警報(bào)，可以接入Playbook來啟動(dòng)安全團(tuán)隊(duì)較高的響應(yīng)機(jī)制，任命負(fù)責(zé)人員進(jìn)行調(diào)查等。如果對(duì)于一些警報(bào)，如果其發(fā)生的頻次較高，也可以在最后打開壓縮的設(shè)定，從而降低警報(bào)的數(shù)量對(duì)于安全人員的調(diào)查的阻礙。

?

?????以上就是對(duì)Azure Sentinel的初步嘗試，可以看到的是，Azure Sentinel背靠微軟強(qiáng)大的安全解決方案以及ML的分析能力，今后會(huì)在其與更多的微軟一方的解決方案如Office 365 ATP相結(jié)合，依托于強(qiáng)大的AAD體系(Azure B2B, Azure B2C)，將監(jiān)測(cè)的顆粒度可以落到每個(gè)人員的ID上，幫助企業(yè)建立新型的企業(yè)安全邊界應(yīng)對(duì)當(dāng)前開放的企業(yè)辦公環(huán)境。保證企業(yè)中每個(gè)員工靈活高效的辦公方式的同時(shí)，保護(hù)企業(yè)的數(shù)據(jù)及資產(chǎn)安全。

總結(jié)

以上是生活随笔為你收集整理的Azure Sentinel -- 初探系列二 案件调查及追踪的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。