Мы подозреваем, что у нас была утечка данных, но мы не знаем, как ее расследовать, чтобы определить источник нарушения или какие данные были отправлены.
У нас есть служба приложений, которая работает некоторое время и постоянно используется. Мы заметили, что за последние пару ночей объем данных резко увеличился. На нашем веб-сайте есть зона авторизованного пользователя, и мы обеспокоены тем, что на сайте могло произойти нарушение или что-то неавторизованное.
Сайт всегда имел менее 10 МБ / 15 минут исходящего трафика. Но внезапный всплеск превысил 180 МБ, а затем мгновенно снова упал. На вторую ночь скачок составил 600 МБ. В том же 15-минутном метрическом окне Среднее время ЦП увеличилось до более чем одного часа. Время отклика, количество запросов и ошибок 4xx / 5xx оставались стабильными.
Есть ли способ с помощью Azure (Metrics или Security Center) определить, что вызвало массовый всплеск исходящих данных? Какие данные были отправлены, кому и т. Д.? Есть ли что-нибудь, что мы можем включить в Azure, чтобы мы могли просматривать эти данные, если это произойдет сегодня вечером? (например, Azure Sentinel)
Если посмотреть на другие метрики, не было явного всплеска ошибок 4XX или 5XX или количества запросов, поэтому мы не подозреваем о грубой силе или DoS-атаке.
Требуется больше материалов
Чтобы иметь данные для охоты или «нажать кнопку перемотки», у вас должны быть отличные журналы. Sentinel великолепен, но вам потребуется дополнительная реализация инфраструктуры, чтобы использовать, а затем настроить Sentinel.
1. Настройте «рабочую область Log Analytics». Убедитесь, что региональные требования Azure соответствуют двум регионам, которые позволят вам получить «рабочую область Log Analytics». И "Учетная запись автоматизации".
2. Добавьте расширения для мониторинга виртуальных машин. В зависимости от ресурсов вашего сервера / рабочей станции вам нужно будет добавить расширения для мониторинга ресурсов и использования локальных журналов на этих машинах в «Рабочую область Log Analytics». Ключевые журналы - это журналы безопасности. Если вы не можете использовать журналы безопасности в рабочей области, все не так.
Вы можете включить мониторинг для всех ресурсов вашей виртуальной машины, подняв пробную версию «Центр безопасности» на «Стандартный»> Включить политику мониторинга> мониторинг будет реализован на всех ваших машинах.
Вы можете включить мониторинг, перейдя в колонку «Параметры диагностики» на виртуальной машине и выбрав «Включить мониторинг на уровне гостя».
Вы можете включить мониторинг, используя шаблон .json на всех или некоторых виртуальных машинах.
3. Внутри центра безопасности;
Назначьте политику по умолчанию. Вы получите политику ASC (Центр безопасности Azure) по умолчанию, которая также будет использоваться для установки расширения Azure Monitoring на вашу виртуальную машину.
Перейдите к колонке «Автоматизация рабочего процесса» и создайте профиль предупреждения со всеми выбранными уровнями серьезности.
Перейдите в «Центр безопасности»> Цены $ Настройки> Сбор данных. Нажмите радиокнопку «Все события» и сохраните конфигурацию.
4. Профилактические меры
Перейдите в Azure Active Directory и включите 2FA или, как Microsoft называет это, MFA для всех пользователей вашего портала Azure. Это заставит всех настроить 2FA, используя свой телефон ИЛИ и внешнюю электронную почту, отличную от доменного имени, используемого для регистрации вашей подписки.
Если у вас есть среда сервера Windows, настройте контроллер домена и присоедините все свои машины к домену. Используйте групповую политику, чтобы включить аудит для всех журналов безопасности ваших машин и т. Д. Загрузите файлы admx для расширенных функций групповой политики и включите весь расширенный аудит на ВСЕХ машинах с помощью GPO. Это ЕДИНСТВЕННЫЙ способ выяснить, что происходит. Много логов.
5. Настроить Sentinel
6. Перейти к колонке «Параметры диагностики»
7. Sentinel и ASC
Это поможет вам начать. Почти у каждого объекта / службы в Azure есть своего рода диагностическая настройка, которую вы можете указать в «Рабочей области Log Analytics», а также вы можете фиксировать трафик, который вы отправляете в «Рабочую область Log Analytics». Sentinel сможет обнаружить только на основании того, что вы ему даете. Я говорю: дайте ему трафик, он значительно раздувает журналы рабочей области, вы платите только за хранилище, но IMO оно того стоит.
Удачи. Я надеюсь, что вас не скомпрометировали, и этот очень простой ответ будет вам полезен. Google ищет больше способов обнаружения и получения предупреждений, этот ответ лишь поверхностный.