你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
现在可以通过易于部署的 Azure 防火墙解决方案,为 Azure Sentinel 获取检测和预防功能。
安全性是主动防御和被动防御之间的持续平衡。 它们同样重要,两者都不能被忽视。 有效保护组织意味着不断优化预防和检测。
结合预防和检测,确保在可行时防止复杂威胁,同时保持假设漏洞心态,以便有效检测和快速响应网络攻击。
先决条件
- 拥有有效订阅的 Azure 帐户。 免费创建帐户。
关键功能
将 Azure 防火墙与 Microsoft Sentinel 集成后,启用以下功能:
- 监视和可视化 Azure 防火墙活动
- 检测威胁并应用 AI 辅助调查功能
- 自动化与其他来源的响应和关联
整个体验打包为 Microsoft Sentinel 市场中的解决方案,这意味着它可以相对轻松地部署。
为 Microsoft Sentinel 部署和启用 Azure 防火墙解决方案
可以从内容中心快速部署解决方案。 在Microsoft Sentinel 工作区中,选择 “分析 ”,然后在 “内容”中心添加更多内容。 搜索并选择 Azure 防火墙 ,然后选择“ 安装”。
安装后,选择“ 管理 ”会遵循向导中的所有步骤,通过验证并创建解决方案。 只需进行一些选择,所有内容(包括连接器、检测、工作簿和 playbook)都会部署在 Microsoft Sentinel 工作区中。
监视和可视化 Azure 防火墙活动
使用 Azure 防火墙工作簿可以可视化 Azure 防火墙事件。 使用此工作簿,可以:
- 了解应用程序和网络规则
- 查看跨 URL、端口和地址的防火墙活动的统计信息
- 按防火墙和资源组进行筛选
- 在调查日志中的问题时,使用易于读取的数据集动态筛选每个类别。
该工作簿提供单个仪表板,用于持续监视防火墙活动。 在威胁检测、调查和响应方面,Azure 防火墙解决方案还提供内置的检测和搜寻功能。
检测威胁并使用 AI 辅助调查功能
解决方案的检测规则提供了Microsoft Sentinel 一种强大的方法来分析 Azure 防火墙信号,以检测表示遍历网络的恶意活动模式的流量。 这允许快速响应和修正威胁。
攻击者在防火墙解决方案中执行的攻击阶段根据 MITRE ATT&CK 框架进行分段。 MITRE 框架是一系列步骤,用于跟踪从早期侦察阶段到数据外泄的网络攻击阶段。 该框架可帮助防御者了解和打击勒索软件、安全漏洞和高级攻击。
该解决方案包括针对攻击过程中可能使用的常见场景的检测,涵盖从发现阶段(获取关于系统和内部网络的知识),通过指挥与控制(C2)阶段(与被入侵系统通信以控制它们),到数据外泄阶段(攻击者试图从组织窃取数据)。
| 检测规则 | 它有什么作用? | 它指示什么? |
|---|---|---|
| 端口扫描 | 检测到在 Azure 防火墙上对多个开放端口进行扫描的源 IP。 | 攻击者恶意扫描端口,尝试揭示组织中可能因初始访问而遭到入侵的开放端口。 |
| 端口扫描 | 识别在 Azure 防火墙不同 IP 上扫描相同开放端口的源 IP。 | 攻击者恶意扫描端口,试图找出组织中那些开放了易受攻击端口的 IP。 |
| 源 IP 异常拒绝率 | 根据配置期间完成的机器学习,识别特定源 IP 到目标 IP 的异常拒绝率。 | 潜在的外泄、初始访问或 C2,攻击者尝试利用组织中计算机上的相同漏洞,但 Azure 防火墙规则会阻止它。 |
| 异常端口到协议 | 根据活动期间进行的机器学习,识别知名协议在非标准端口上的通信。 | 攻击者试图通过已知端口(SSH、HTTP)进行通信,但不使用与端口号匹配的已知协议标头,从而进行恶意通信 (C2) 或外泄。 |
| 受同一 TI 目标影响的多个源 | 识别出多个尝试访问被 Azure 防火墙中的威胁情报(TI)阻止的同一目标的计算机。 | 同一攻击组对该组织发起攻击,企图从中窃取数据。 |
搜寻查询
搜寻查询是安全研究人员在发生事件后或主动发现新的或未知攻击后,在组织网络中查找威胁的工具。 为此,安全研究人员将研究一些泄露指标(IOC)。 Azure 防火墙解决方案中的内置 Azure Sentinel 搜寻查询为安全研究人员提供了从防火墙日志中查找高影响活动所需的工具。 几个示例包括:
| 搜寻查询 | 它有什么作用? | 它指示什么? |
|---|---|---|
| 源 IP 首次连接到目标端口 | 当新主机或 IP 尝试使用特定端口与目标通信时,有助于识别攻击(IOA)的常见指示。 | 基于在指定时间段内学习常规流量。 |
| 源 IP 首次连接到目标 | 当一台从未访问过目标的计算机首次进行恶意通信时,这有助于识别IOA。 | 基于在指定时间段内学习常规流量。 |
| 源 IP 异常连接到多个目标 | 标识异常连接到多个目标的源 IP。 | 表示攻击者的初始访问尝试,他们试图在组织中的不同计算机之间跳转,利用横向移动路径或不同计算机上的相同漏洞来查找易受攻击的计算机进行访问。 |
| 特定组织下的非标准端口 | 标识组织网络中使用的异常端口。 | 攻击者可以绕过受监视的端口,并通过不常见的端口发送数据。 这使攻击者能够逃避常规检测系统的侦查。 |
| 与目标 IP 的不常见端口连接 | 标识计算机用于连接到目标 IP 的异常端口。 | 攻击者可以绕过受监视的端口,并通过不常见的端口发送数据。 这也可能表明组织中的计算机使用从未在计算机上用于通信的端口进行了外泄攻击。 |
自动执行与其他源的响应和关联
最后,Azure 防火墙还包括 Azure Sentinel 运行手册,这使你能够自动响应威胁。 例如,防火墙记录一个事件,其中网络上的特定设备尝试通过 HTTP 协议通过非标准 TCP 端口与 Internet 通信。 该操作在 Azure Sentinel 中触发检测。 手册通过 Microsoft Teams 自动向安全运营团队发送通知,安全分析师可以通过一次简单选择来阻止设备的源 IP 地址。 这可以防止它访问 Internet,直到调查完成。 Playbook 使这一过程更加高效和精简。
实际示例
让我们看看完全集成的解决方案在真实场景中的外观。
Azure 防火墙在攻击和初始防护中的作用
该公司的销售代表意外打开了网络钓鱼电子邮件,并打开了包含恶意软件的 PDF 文件。 恶意软件会立即尝试连接到恶意网站,但 Azure 防火墙会阻止它。 防火墙通过其使用的微软威胁情报源检测到该域。
响应
连接尝试会在 Azure Sentinel 中触发检测,并启动工作手册自动化流程,通过 Teams 频道通知安全运营团队。 在那里,分析师可以阻止计算机与 Internet 通信。 然后,安全运营团队会通知 IT 部门从销售代表的计算机中删除恶意软件。 然而,采取主动措施并进行深入分析后,安全研究人员应用 Azure 防火墙搜寻查询,并运行 源 IP 异常连接到多个目标 查询。 这表明受感染计算机上的恶意软件试图与更广泛的网络上的几个其他设备通信,并尝试访问其中几个设备。 其中一次访问尝试成功,因为没有适当的网络分段来防止网络横向移动,而新设备具有已知漏洞,恶意软件被利用来感染它。
结果
安全研究人员从新设备中删除了恶意软件,完成了缓解攻击,并发现了过程中的网络弱点。