用于應用服務的 Azure Defender 簡介

來源： Microsoft

作者：Microsoft

時間：2021-03-04

Azure應用服務是一種完全托管的平臺，用于構建和托管Web應用及API。該平臺是完全托管的，因此你無需擔心基礎結構。它提供管理、監(jiān)視和操作見解，以滿足企業(yè)級的性能、安全性和符合性要求。

Azure應用服務是一種完全托管的平臺，用于構建和托管Web應用及API。該平臺是完全托管的，因此你無需擔心基礎結構。它提供管理、監(jiān)視和操作見解，以滿足企業(yè)級的性能、安全性和符合性要求。有關詳細信息，請參閱Azure應用服務。

用于應用服務的Azure Defender使用云的規(guī)模來識別針對應用服務運行的應用程序受到的攻擊。攻擊者會探查Web應用程序，以找出并惡意利用其中的弱點。向Azure中運行的應用程序發(fā)出的請求在路由到特定的環(huán)境之前會流經(jīng)多個網(wǎng)關，網(wǎng)關會對其進行檢查并記錄其狀態(tài)。然后，將使用這些數(shù)據(jù)來識別惡意利用行為和攻擊者，并了解稍后要使用的新模式。

可用性

微信圖片_20210304152653.png

適用于應用服務的Azure Defender有哪些優(yōu)點？

啟用適用于應用服務的Azure Defender后，你立即就能從該Azure Defender計劃提供的下列服務中受益：

·安全-安全中心會對你的應用服務計劃覆蓋的資源進行評估，并根據(jù)發(fā)現(xiàn)結果生成安全建議。可按照這些建議中的詳細說明來強化你的應用服務資源。

·檢測-Azure Defender會監(jiān)視以下內(nèi)容，檢測你的應用服務資源面臨的多種威脅：

正在運行Azure應用服務的VM實例及其管理接口

發(fā)送至/發(fā)送自你的應用服務應用的請求和響應

基礎沙盒和VM

應用服務內(nèi)部日志-得益于Azure作為云提供商而具備的可見性，有這些日志可供查看

Azure Defender是一種云原生解決方案，可識別應用于多個目標的攻擊方法。例如，從單個主機上很難確定來自一小部分IP的分布式攻擊，這些IP對多個主機上相似的終結點進行爬網(wǎng)。

而日志數(shù)據(jù)和基礎結構結合起來，可呈現(xiàn)從四處傳播的新攻擊到客戶計算機遭到入侵的整個情況。因此，即使是在Web應用被惡意利用后再部署安全中心，它也能夠檢測不斷發(fā)生的攻擊。

適用于應用服務的Azure Defender可檢測哪些威脅？

按MITRE ATT&CK技巧排列的威脅

Azure Defender會監(jiān)視指向應用服務資源的多種威脅。警報涵蓋了從預攻擊到命令和控制措施等各種MITRE ATT&CK技巧的完整列表。Azure Defender可檢測：

·預攻擊威脅-Defender可檢測攻擊者經(jīng)常用來探測應用程序薄弱之處的多種漏洞掃描程序類型的執(zhí)行。

·初始訪問威脅-Microsoft威脅情報為這些警報提供支持，其中包括在已知惡意IP地址連接到Azure應用服務FTP接口時觸發(fā)警報。

·執(zhí)行威脅-Defender可檢測嘗試運行高權限命令、Windows應用服務上的Linux命令、無文件攻擊行為、數(shù)字貨幣挖掘工具，以及其他許多可疑和惡意代碼執(zhí)行活動的操作。

檢測無關聯(lián)的DNS

適用于應用服務的Azure Defender還可識別當應用服務網(wǎng)站被解除授權時DNS注冊器中剩下了任何DNS條目-它們被稱作無關聯(lián)的DNS條目。如果刪除某個網(wǎng)站但不從DNS注冊機構刪除其自定義域，則該DNS條目將指向一個不存在的資源，并且子域容易遭到接管。Azure Defender不會在DNS注冊器中掃描當前是否存在無關聯(lián)的DNS條目；當應用服務網(wǎng)站解除授權，但其自定義域（DNS條目）沒被刪除時，它會發(fā)出警報。

子域接管是組織常見的嚴重威脅。當威脅執(zhí)行者檢測到無關聯(lián)的DNS條目時，會在目標地址創(chuàng)建自己的網(wǎng)站。然后，本打算發(fā)送給組織的域的流量會被定向到威脅執(zhí)行者的網(wǎng)站中，他們會利用該流量實施各種惡意活動。

無論你的域是由Azure DNS托管還是由外部域注冊器托管，可都使用無關聯(lián)DNS防護；該服務既適用于Windows上的應用服務，也適用于Linux上的應用服務。