對監視和威脅偵測的建議
適用於此 Power Platform Well-Architected 安全檢查表建議:
| 東南:08 | 實施整體監視原則,該原則仰賴可與平台整合的現代威脅偵測機制。 機制應可靠地發出情況鑒別分類警示,並將信號發送到現有的 SecOps 進程。 |
|---|
本指南介紹有關監視和威脅偵測的建議。 監視從根本上來說是獲取有關已發生事件的資訊的過程。 安全監視是一種在工作負載的不同高度 (身分識別、流程、應用程式、作業) 擷取資訊,以了解可疑活動的做法。 目標是預測事件並從過去的事件中學習。 監視資料為事件後分析提供了基礎,有助於事件回應和取證調查。
監控是一種卓越運營方法,適用於所有 Power Platform Well-Architected 支柱。 本指南僅從安全角度提供建議。 設計和建立監視系統的建議中介紹了監視的一般概念。
定義
| 詞彙 | 定義 |
|---|---|
| 稽核記錄 | 系統中活動的記錄。 |
| 安全性資訊與事件管理 (SIEM) | 這種方法會根據從多個來源彙總的資料,使用內建威脅偵測和情報功能。 |
| 威脅偵測 | 這種策略會透過使用收集、分析和關聯的資料來偵測與預期動作的偏差。 |
| 威脅情報 | 這種策略可解釋威脅偵測資料,以透過檢查模式來偵測可疑活動或威脅。 |
| 威脅防護 | 這是放置在不同高度的工作負載中,以保護其資產的安全控制。 |
關鍵設計原則
安全監視的主要目的是威脅偵測。 主要目標是防止潛在的安全性漏洞並維護安全的環境。 但另一個重要觀念是,並非所有威脅都可以預先阻止。 在這種情況下,監視還是一種機制,用於查明儘管採取了預防措施但仍發生安全性事件的原因。
可從多個角度進行監視:
在不同高度進行監視。 從不同高度觀察是指獲取有關使用者流量、資料存取、身分識別、網路,甚至作業系統資訊的過程。 其中每個領域都提供了獨特的見解,可以幫助您識別與根據安全基線建立的預期行為的偏差。 相反,隨著時間的推移持續監視系統和應用程式有助於建立基線狀態。 例如,您通常每小時會在身分識別系統中看到約 1,000 次登入嘗試。 如果您的監視偵測到短時間內登入嘗試次數激增 50,000 次,則攻擊者可能正在嘗試存取您的系統。
監視不同範圍的影響。 觀察應用程式和平台至關重要。 假設應用程式使用者意外獲得升級的權限或發生安全性漏洞。 如果使用者執行超出其指定範圍的操作,則影響可能僅限於其他使用者可以執行的操作。
然而,如果內部實體破壞資料庫,潛在損害的程度是不確定的。
爆炸半徑或影響範圍可能會有極大的差異,具體取決於發生哪種情況。
使用專門的監視工具。 投資能夠持續掃描可能表明攻擊的異常行為的專用工具至關重要。 這些工具大多具有威脅情報功能,可以根據大量資料和已知威脅進行預測分析。 大多數工具都不是無狀態的,並且在安全環境中融入了對遙測的深刻理解。
這些工具需要是平台整合的,或至少是平台感知的,才能從平台獲取深層訊號並做出高保真度的預測。 他們必須能夠及時產生警示,並提供足夠的資訊來進行正確的分類。 使用太多不同的工具可能會導致複雜性。
使用監視來回應事件。 彙總資料轉化為可操作的情報,可以對事件做出快速有效的反應。 監視有助於事件後的活動。 目標是收集足夠的資料來分析和了解發生的情況。 監視程序會擷取有關過去事件的資訊,以增強反應能力並可能預測未來的事件。
以下各節提供了結合前述監視觀點的建議實務。
擷取資料以追蹤活動
目標是對從安全性角度來看具有重要意義的事件,進行全面的稽核追蹤。 記錄是擷取存取模式最常見的方法。 必須對應用程式和平台執行記錄。
對於稽核追蹤,您需要確定與操作相關的內容、時間和人員。您需要確定執行操作的具體時間範圍。 在威脅建模中進行此評估。 為了應對拒絕威脅,您應該建立強大的記錄和稽核系統,以記錄活動和交易。
以下章節介紹工作負載的一些常見高度的使用案例。
工作負載使用者流程
您的工作負載應設計為在事件發生時,提供執行階段可見性。 識別工作負載中的關鍵點,並為這些點建立記錄。 重要的是要確認使用者權限的任何升級、使用者執行的操作,以及使用者是否存取了安全資料存放區中的敏感資訊。 追蹤使用者和使用者工作階段的活動。
為了便於進行此追蹤,應該透過結構化記錄來偵測程式碼。 這樣做可以輕鬆、統一地查詢和篩選記錄。
重要
您需要強制執行負責任的記錄,以維護系統的密碼性和完整性。 密碼和敏感資料不得出現在記錄中。 擷取此記錄資料時,請注意洩露個人資料和其他合規性要求。
身分識別和存取監視
維護應用程式存取模式和平台資源修改的完整記錄。 擁有強大的活動記錄和威脅偵測機制,特別是對於與身分相關的活動,因為攻擊者經常嘗試操縱身分以獲得未經授權的存取。
透過使用所有可用的資料點實施全面的記錄。 例如,包含用戶端 IP 位址以區分常規使用者活動和來自意外位置的潛在威脅。 所有記錄事件都應由伺服器加上時間戳記。
記錄所有資源訪問活動,捕獲誰在做什麼以及何時執行。 權限提升執行個體是應該記錄的重要資料點。 還必須記錄與應用程式建立或刪除帳戶相關的操作。 此建議延伸到應用程式密碼。 監視誰訪問密碼,以及其何時輪換。
儘管記錄成功的操作很重要,但從安全角度來看,記錄失敗也是必要的。 記錄任何違規行為,例如使用者嘗試執行操作但遇到授權失敗、嘗試存取不存在的資源,以及其他看似可疑的操作。
網路監視
您的區段設計應該在邊界啟用觀察點,以監視穿過它們的內容並記錄該資料。 例如,監視具有產生流程記錄的網路安全性群組的子網路。 還可以監視顯示已允許或已拒絕流程的防火牆記錄。
有入站連線要求的存取記錄。 這些記錄發起要求的來源 IP 位址、要求類型 (GET、POST),以及屬於要求的所有其他資訊。
擷取 DNS 流程是許多組織的重要要求。 例如,DNS 記錄可以幫助識別哪個使用者或裝置發起了特定的 DNS 查詢。 透過將 DNS 活動與使用者/裝置身分驗證記錄相關聯,您可以追蹤各個用戶端的活動。 這種責任通常會延伸到工作負載團隊,特別是當他們部署任何使 DNS 要求成為其操作一部分的內容時。 DNS 流量分析是平台安全可觀測性的關鍵面向。
監視意外的 DNS 要求或定向到已知命令和控制端點的 DNS 要求非常重要。
權衡: 記錄所有網路活動可能會導致大量數據。 不幸的是,不可能只捕獲不良事件,因為它們只能在不良事件發生後才能識別。 關於要擷取的事件類型以及儲存事件的時間做出戰略決策。 如果不謹慎,管理資料可能會令人難以承受。 還需要取捨儲存資料的成本。
擷取系統變更
為了保持系統的完整性,您應該擁有準確且最新的系統狀態記錄。 如果有變化,您可以使用此記錄來及時解決出現的任何問題。
建置過程也應該發出遙測資料。 了解事件的資訊安全內容是關鍵。 了解什麼觸發了建置過程、誰觸發了它以及何時觸發,可以提供有價值的見解。
追蹤資源的建立時間和停用時間。 該資訊必須從平台中提取。 這些資訊為資源管理和問責制提供了寶貴的見解。
監視資源設定中的偏差。 記錄對現有資源的任何變更。 還要追蹤資源群組部署過程中未完成的變更。 記錄必須擷取變更的細節,及其發生的確切時間。
從修補的角度全面了解系統是否是最新且安全的。 監控例行更新過程 以驗證它們是否按計劃完成。 未完成的安全性修補程序應視為漏洞。 您還應該維護一個記錄修補程序等級和任何其他所需詳細資訊的清單。
變更偵測也適用於作業系統。 這包含追蹤系統是否新增或關閉服務。 它還包括監視系統中新增的新使用者。 有些工具是專為作業系統而設計的。 它們有助於無內容監視,因為它們不以工作負載的功能為主。 例如,檔案完整性監視是一個重要的工具,可讓您追蹤系統檔案的變更。
您應該為這些變更設定警示,特別是當您不希望它們經常發生時。
重要
當您推出到生產環境時,請確保設定警示以擷取在應用程式資源和建置過程中偵測到的異常活動。
在您的測試計劃中,納入記錄和警示的驗證做為優先測試案例。
儲存、彙總和分析資料
從這些監視活動中收集的資料必須儲存在資料接收器中,以便對其進行徹底地檢查、標準化和關聯。 安全資料應保留在系統本身的資料存放區之外。 監視接收器 (無論是當地語系化的還是中央的),都必須比資料來源的壽命更長。 接收器不能是短暫的,因為接收器是入侵偵測系統的來源。
網絡記錄可能很詳細並且佔用儲存空間。 探索存儲系統中的不同層。 隨著時間的推移,記錄可以自然地過渡到較不常用的儲存體。 此方法非常有用,因為較舊的流程記錄通常不會被主動使用,並且僅在需要時才使用。 此方法可確保高效的儲存體管理,同時還確保您可以在需要時存取歷史資料。
您的工作負載流通常是多個記錄來源的組合。 必須對所有這些來源的監視資料進行智慧分析。 例如,您的防火牆只會阻止到達它的流量。 如果您的網路安全性群組已封鎖某些流量,則該流量對防火牆不可見。 若要重建事件序列,您需要彙總流程中所有元件的資料,然後彙總所有流程的資料。 當您嘗試了解發生的情況時,此資料在事件後回應場景中特別有用。 準確的計時至關重要。 出於安全目的,所有系統都需要使用網路時間來源,以便它們始終保持同步。
透過相關記錄進行集中式威脅偵測
您可以使用安全性資訊與事件管理 (SIEM) 等系統將安全性資料整合到一個中央位置,在該位置可以跨各種服務進行關聯。 這些系統具有內建的威脅偵測機制。 他們可以連接到外部摘要,以獲取威脅情報資料。 Microsoft,例如,發佈您可以使用的威脅情報數據。 您也可以從其他提供者 (例如 Anomali 和 FireEye) 購買威脅情報來源。 這些摘要可以提供有價值的見解,並增強您的安全性態勢。 有關威脅見解, Microsoft請參閱 Security Insider。
SIEM 系統可以根據相關和標準化的資料產生警示。 這些警示是事件回應過程中的重要資源。
SIEM 系統通常由組織的中央團隊管理。 如果您的組織沒有使用該系統,請考慮進行推廣。 它可以減輕手動記錄分析和關聯的負擔,從而實現更有效率、更有效的安全性管理。
提供了 Microsoft一些具有成本效益的選項。 許多 Microsoft Defender 產品提供 SIEM 系統的警報功能,但沒有數據聚合功能。
透過組合幾個較小的工具,您可以模擬 SIEM 系統的某些功能。 但是,您需要知道這些臨時解決方案可能無法執行相關性分析。 這些替代方案可能很有用,但它們可能無法完全取代專用 SIEM 系統的功能。
偵測濫用行為
積極主動地進行威脅檢測 ,並警惕濫用跡象,例如對 SSH 元件或 RDP 端點的身份暴力攻擊。 儘管外部威脅可能會產生大量噪音,特別是當應用程式暴露在網路上時,但內部威脅通常更令人擔憂。 例如,應立即調查來自受信任網路來源的意外暴力密碼破解攻擊或無意的錯誤設定。
跟上您的強化實踐。 監視並不能取代主動強化環境。 表面積越大,就越容易受到更多攻擊。 與實踐一樣加強控制。 例如,偵測並停用未使用的帳戶、使用 IP 防火牆,以及阻止資料遺失防護原則不需要的端點。
基於簽名的檢測 可以詳細檢查系統。 它能尋找可能表明潛在攻擊活動間的跡象或相關性。 偵測機制可以識別指示特定類型攻擊的某些特徵。 直接偵測攻擊的命令和控制機制可能並不一定可行。 然而,通常存在與特定命令和控制程序相關的提示或模式。 例如,從要求的角度來看,攻擊可能由特定的流量來指示,或者它可能會經常存取具有特定結尾的網域。
偵測異常使用者存取模式,以便您可以識別和調查與預期模式的偏差。 這涉及將目前使用者行為與過去的行為進行比較,以發現異常情況。 儘管手動執行此任務可能不可行,但您可以使用威脅情報工具來完成此任務。 投資使用者和實體行為分析 (UEBA) 工具,透過監視資料收集使用者行為並進行分析。 這些工具通常可以執行預測分析,將可疑行為對應到潛在的攻擊類型。
在部署前和部署後階段偵測威脅。 在預先部署階段,將漏洞掃描納入管道中,並根據結果採取必要的措施。 部署後,繼續進行漏洞掃描。 可以使用 Defender for Containers 等 Microsoft 工具來掃描容器映像。 將結果包含在收集的資料中。 有關安全開發實務的資訊,請參閱安全部署實務的建議。
Power Platform 簡易化
以下章節介紹了可用於監視和偵測 Power Platform 中的威脅機制。
Microsoft 哨兵
Microsoft Sentinel Microsoft Power Platform 解決方案允許客戶檢測各種可疑活動,包括:
- 從未經授權的地理位置執行 Power Apps
- Power Apps 銷毀可疑資料
- 大量刪除 Power Apps
- 透過 Power Apps 發動的網路釣魚攻擊
- 離職員工進行的 Power Automate 流程活動
- Microsoft Power Platform 連接器已新增至環境中
- 更新或刪除 Microsoft Power Platform 資料外洩防護原則
有關詳細資訊,請參閱 Microsoft Sentinel 解決方案的 Microsoft Power Platform 概述。
Microsoft Purview 活動日誌記錄
Power Apps、 Power Automate連接器、數據丟失防護和管理 Power Platform 活動日誌記錄從 Purview 合規門戶進行跟蹤和查看 Microsoft 。
如需詳細資訊,請參閱:
- Power Apps 活動記錄
- Power Automate 活動記錄
- Copilot Studio 活動記錄
- Power Pages 活動記錄
- Power Platform 連接器活動記錄
- 數據丟失防護活動日誌記錄
- Power Platform 管理操作活動日誌記錄
- Microsoft Dataverse 和模型驅動應用活動日誌記錄
Dataverse 稽核
資料庫稽核會記錄在具有 Dataverse 資料庫的環境中對客戶記錄所做的變更。 Dataverse 稽核也會透過應用程式或透過環境中的 SDK,來記錄使用者的存取權。 此稽核在環境層級啟用,並且需要對個別資料表和資料行進行其他設定。 如需其他資訊,請參閱管理 Dataverse 稽核。
使用 Application Insights 分析遙測
Application Insights 是 Azure 監視器的一項功能,可在企業環境中廣泛用於監視和診斷。 從特定租用戶或環境收集的資料會被推送至您自己的 Application Insights 環境。 資料會由 Application Insights 儲存在 Azure 監視器記錄中,並在左窗格調查下的效能和失敗面板中進行視覺化。 資料以 Application Insights 定義的標準結構描述匯出至 Application Insights 環境。 支援、開發人員和管理人員可以使用此功能來分級和解決問題。
您也可以:
- 設定 Application Insights 環境,以接收由 Dataverse 平台擷取的診斷和效能遙測。
- 訂閱以接收有關應用程式在 Dataverse 資料庫和模型導向應用程式中執行之作業的遙測。 此遙測提供的資訊可用於診斷和疑難排解與錯誤和效能相關的問題。
- 設定 Power Automate 雲端流程,以與 Application Insights 整合。
- 將事件和活動從 Power Apps 畫布應用程式寫入 Application Insights。
如需詳細資訊,請參閱與 Application Insights 整合的概觀。
身分識別
監視身分識別相關風險事件 (可能已受入侵的身分識別),並修復這些風險。 透過以下方式檢閱報告的風險事件:
使用 Microsoft Entra ID 報告。 有關詳細資訊,請參閱什麼是身分識別保護?和身分識別保護。
使用 Identity Protection 風險檢測 API 成員通過 Microsoft Graph 以程式設計方式訪問安全檢測。 有關詳細資訊,請參閱 riskDetection 和 riskyUser。
Microsoft Entra ID 使用調適性機器學習演算法、啟發式方法和已知受損的憑證 (使用者名稱和密碼組),來偵測與您的使用者帳戶相關的可疑操作。 這些使用者名和密碼對是通過監控公共和暗網以及與安全研究人員、執法部門、安全團隊 Microsoft等合作而浮出水面的。
Azure Pipelines
DevOps 提倡透過持續整合與持續傳遞 (CI/CD) 來變更工作負載管理。 請務必在管道中新增安全性驗證。 請遵循保護 Azure Pipelines 中所述的指南。
相關資訊
- 什麼是 Microsoft Sentinel?
- Sentinel 中的 Microsoft 威脅情報集成
- 使用 Sentinel 中的 Microsoft 使用者和實體行為分析 (UEBA) 識別高級威脅
安全性檢查清單
請參閱完整的建議集。