Назад | Перейти на главную страницу

Изучите потенциальное нарушение в Службе приложений Azure

Мы подозреваем, что у нас была утечка данных, но мы не знаем, как ее расследовать, чтобы определить источник нарушения или какие данные были отправлены.

У нас есть служба приложений, которая работает некоторое время и постоянно используется. Мы заметили, что за последние пару ночей объем данных резко увеличился. На нашем веб-сайте есть зона авторизованного пользователя, и мы обеспокоены тем, что на сайте могло произойти нарушение или что-то неавторизованное.

Сайт всегда имел менее 10 МБ / 15 минут исходящего трафика. Но внезапный всплеск превысил 180 МБ, а затем мгновенно снова упал. На вторую ночь скачок составил 600 МБ. В том же 15-минутном метрическом окне Среднее время ЦП увеличилось до более чем одного часа. Время отклика, количество запросов и ошибок 4xx / 5xx оставались стабильными.

График метрик Azure

Есть ли способ с помощью Azure (Metrics или Security Center) определить, что вызвало массовый всплеск исходящих данных? Какие данные были отправлены, кому и т. Д.? Есть ли что-нибудь, что мы можем включить в Azure, чтобы мы могли просматривать эти данные, если это произойдет сегодня вечером? (например, Azure Sentinel)

Если посмотреть на другие метрики, не было явного всплеска ошибок 4XX или 5XX или количества запросов, поэтому мы не подозреваем о грубой силе или DoS-атаке.

Требуется больше материалов

Чтобы иметь данные для охоты или «нажать кнопку перемотки», у вас должны быть отличные журналы. Sentinel великолепен, но вам потребуется дополнительная реализация инфраструктуры, чтобы использовать, а затем настроить Sentinel.

1. Настройте «рабочую область Log Analytics». Убедитесь, что региональные требования Azure соответствуют двум регионам, которые позволят вам получить «рабочую область Log Analytics». И "Учетная запись автоматизации".

  • Включение аудита - это требование. Вы ДОЛЖНЫ включить аудит в своей среде для ресурсов Linux, Windows или службы приложений. Включите весь возможный аудит. Если вы укажете свои ресурсы, я могу добавить ответ о том, как включить для них аудит, или предоставить ссылки.

2. Добавьте расширения для мониторинга виртуальных машин. В зависимости от ресурсов вашего сервера / рабочей станции вам нужно будет добавить расширения для мониторинга ресурсов и использования локальных журналов на этих машинах в «Рабочую область Log Analytics». Ключевые журналы - это журналы безопасности. Если вы не можете использовать журналы безопасности в рабочей области, все не так.

  • Вы можете включить мониторинг для всех ресурсов вашей виртуальной машины, подняв пробную версию «Центр безопасности» на «Стандартный»> Включить политику мониторинга> мониторинг будет реализован на всех ваших машинах.

  • Вы можете включить мониторинг, перейдя в колонку «Параметры диагностики» на виртуальной машине и выбрав «Включить мониторинг на уровне гостя».

  • Вы можете включить мониторинг, используя шаблон .json на всех или некоторых виртуальных машинах.

3. Внутри центра безопасности;

  • Назначьте политику по умолчанию. Вы получите политику ASC (Центр безопасности Azure) по умолчанию, которая также будет использоваться для установки расширения Azure Monitoring на вашу виртуальную машину.

  • Перейдите к колонке «Автоматизация рабочего процесса» и создайте профиль предупреждения со всеми выбранными уровнями серьезности.

  • Перейдите в «Центр безопасности»> Цены $ Настройки> Сбор данных. Нажмите радиокнопку «Все события» и сохраните конфигурацию.

4. Профилактические меры

  • Перейдите в Azure Active Directory и включите 2FA или, как Microsoft называет это, MFA для всех пользователей вашего портала Azure. Это заставит всех настроить 2FA, используя свой телефон ИЛИ и внешнюю электронную почту, отличную от доменного имени, используемого для регистрации вашей подписки.

  • Если у вас есть среда сервера Windows, настройте контроллер домена и присоедините все свои машины к домену. Используйте групповую политику, чтобы включить аудит для всех журналов безопасности ваших машин и т. Д. Загрузите файлы admx для расширенных функций групповой политики и включите весь расширенный аудит на ВСЕХ машинах с помощью GPO. Это ЕДИНСТВЕННЫЙ способ выяснить, что происходит. Много логов.

5. Настроить Sentinel

  • Добавьте Sentinel и укажите его в своей рабочей области Log Analytics, а также укажите объекты AAD и Azure IAM в своей «рабочей области Log Analytics», это поможет вам понять всю аутентификацию через PowerShell, портал, bash или ACLI в Azure.

6. Перейти к колонке «Параметры диагностики»

  • Надеюсь, у вас есть группы безопасности сети (группы безопасности сети), связанные с каждой подсетью в наших виртуальных коммутаторах, и группа безопасности сети, связанная с каждым общедоступным IP-адресом. Перейдите к каждой группе безопасности сети и общедоступному IP-адресу и укажите их в «Рабочей области Log Analytics»

7. Sentinel и ASC

  • Загрузите все применимые учебники. Вы делаете это в лезвиях playbook и workbook. Теперь вы можете использовать эти учебники для поиска поведения, указывающего на ваши убеждения. Помните, во время охоты ищите факты, подтверждающие истину, а не атрибуты или предметы, подтверждающие вашу веру. Не становитесь жертвой «предвзятости подтверждения»

Это поможет вам начать. Почти у каждого объекта / службы в Azure есть своего рода диагностическая настройка, которую вы можете указать в «Рабочей области Log Analytics», а также вы можете фиксировать трафик, который вы отправляете в «Рабочую область Log Analytics». Sentinel сможет обнаружить только на основании того, что вы ему даете. Я говорю: дайте ему трафик, он значительно раздувает журналы рабочей области, вы платите только за хранилище, но IMO оно того стоит.

Удачи. Я надеюсь, что вас не скомпрометировали, и этот очень простой ответ будет вам полезен. Google ищет больше способов обнаружения и получения предупреждений, этот ответ лишь поверхностный.