Azure：華山論“見”訓(xùn)練場|斬斷信息安全黑手

信息技術(shù)在帶給我們便利和高效的同時，安全隱患始終如影隨形。隨著越來越多的企業(yè)通過上云開啟自己的數(shù)字化轉(zhuǎn)型之旅，云端信息安全問題開始受到越來越多的關(guān)注。上云了，安全問題該怎么辦？

針對企業(yè)云端安全監(jiān)控的這一重要需求，我們設(shè)計了一套可以一鍵部署，也可以動態(tài)調(diào)整的安全監(jiān)控模板方案，希望可以給客戶帶來最直觀的安全監(jiān)控方案以及后續(xù)深入調(diào)查的平臺，并通過一系列文章進行了全面介紹。

在本系列的第一篇，我們介紹了如何監(jiān)控和分析全網(wǎng)環(huán)境的網(wǎng)絡(luò)日志；

第二篇文章中，我們在前一篇的基礎(chǔ)上介紹了如何通過利用Network Watcher，NSG等網(wǎng)絡(luò)端組件的日志分析具體行為，來定位企業(yè)云環(huán)境中的高危服務(wù)器;

本篇作為這系列的最后一篇，將繼續(xù)推進，向大家介紹在確定了高危機器之后，又該如何從分析日志著手，進一步調(diào)查可能存在的安全問題。

確定目標機器，遍歷可疑行為

書接上文，首先登錄到通過上文方法定位的高危機器，打開安全中心后，檢查發(fā)現(xiàn)，這臺機器確實建立了可疑IP地址的出站連接，這屬于一種典型的異常行為：

打開以后，第二天收到了10多個高危警報。點擊查看發(fā)現(xiàn)，所有這些警報都是從某個IP地址下載一個PowerShell腳本，而查驗這一系列IP地址發(fā)現(xiàn)，所有地址都是“可疑”IP。

注意

對于云端Windows機器，在性能允許的情況下，強烈建議開啟Windows VM Microsoft Anti-Malware，這個擴展可有效阻止惡意程序執(zhí)行。否則在不開啟安全中心內(nèi)置的一系列主動安全防御功能的前提下，雖然面對類似情況安全中心也會報警，但并不會攔截惡意行為。另外對于一些高級攻擊手段，Antimalware也無法有效攔截，此時往往需要進一步使用Microsoft Defender for Endpoint來實現(xiàn)聯(lián)動的全局保護。

接下來，我們將根據(jù)監(jiān)控面板里提供的默認情況進一步深入調(diào)查。

對于Linux機器，在面板上我們主要依賴事件的嚴重等級，這種方式雖然沒有Security Event那樣完備，但這是目前相對比較有參考意義的一部分數(shù)據(jù)了。

隨后我們可以參考這個模板的語句，分別對于SeverityLevel為alert、crit等的日志用where進行篩選即可：

對于不具備安全背景的人來說，可能很難通過過濾得到有用的信息，因此我們也提供了一系列已經(jīng)寫好的，主要針對特定事件的查詢語句給大家。用戶只需要用一個自動化賬戶定期跑一遍這些查詢語句，即可了解對應(yīng)情況，進而根據(jù)業(yè)務(wù)提醒設(shè)定對應(yīng)的警報，就能借此掌握最基礎(chǔ)的安全信息了：

對于Windows系統(tǒng)，鑒于Security Event的完備，很多攻擊手段都能比較清晰、詳細地羅列出來。這里就把從身份、流程上做深入調(diào)查的案例進行一個簡單拆解。

在示例中，如前文描述，系統(tǒng)已經(jīng)被攻破，我們就需要詳細查看被攻破的Windows機器具體產(chǎn)生了多少行為：

從身份登錄檢查可以發(fā)現(xiàn)，除了有很多“4625”代表被暴力破解的痕跡外，還有一些“4672”代表有極大威脅的提權(quán)。因此我們需要調(diào)查這些提權(quán)操作是如何被發(fā)起的。這里可以先點擊當前事件，隨后即可看到詳情：

仔細檢查可以發(fā)現(xiàn)：該事件首先使用Local Admin為sshd相關(guān)賬號分配了一些特權(quán)，然后借助這些sshd賬號，利用SelmpersonatePrivilege權(quán)限執(zhí)行了進一步操作，如通過DCOM調(diào)用使服務(wù)向攻擊者監(jiān)聽的端口發(fā)起連接并進行NTLM認證等。

所以接下來就需要看看這些奇怪的賬號是怎么來的，是通過什么方式執(zhí)行了這些操作。

SecurityEvent| where EventID == "4624"| where AccountType == "User"| where Account contains "sshd"

這里我們可以非常簡便地對包含“sshd”字樣的用戶搜索其登錄成功的痕跡：

發(fā)現(xiàn)它們是通過一個名為sshd.exe的程序生成，并使用這些賬號進行登錄。隨后我們利用已經(jīng)預(yù)先寫好的Hunting語句查找奇怪進程的查詢，進行簡單修改，添加一條NewProcessName contains “sshd”的篩選，就能找到它所在的路徑。

接下來我們再來看看，對于進程的調(diào)查，從默認儀表板上，我們可以最直接地看到以下信息：

在進程部分可以發(fā)現(xiàn)很多不同維度的分析，并且需要跟業(yè)務(wù)部門的工作習慣、IT部門的人員組成等相關(guān)聯(lián)進行分析。比如上圖的示例環(huán)境中可以看到，在BigDataS這臺機器上，在一個非工作時間，有不同于其他機器比例的cmd運行次數(shù)。根據(jù)以上信息，就需要與IT和業(yè)務(wù)部門的同事一起討論看看這種情況是否正常。

除了在面板上看到的有關(guān)進程的信息，安全中心頁面上還提供了很多在狩獵階段大家都關(guān)心的維度，建議利用以下這些洞察對服務(wù)器上的進程進行摸排和了解：

總結(jié)

這一系列文章就此全部完結(jié)。本系列內(nèi)容意在向大家介紹如何利用云原生監(jiān)控平臺，從網(wǎng)絡(luò)端出發(fā)監(jiān)控環(huán)境內(nèi)南北向、東西向的流量并進行洞察分析，定位到一部分存在風險的服務(wù)器，并結(jié)合監(jiān)控平臺對于終端的洞察力，加上微軟強大的終端監(jiān)控防御武器Azure Defender + Microsoft Antimalware，借此大幅提高客戶對云環(huán)境的安全可見性。

希望這些信息能帶給大家?guī)椭蛦l(fā)。