国产三级级在线电影,欧美巨波霸乳影院免费观看,亚洲另类日韩精品无码

Azure：華山論“見”訓(xùn)練場(chǎng)|斬?cái)嘈畔踩谑?/h1>

來源： Microsoft云科技

作者：Microsoft云科技

時(shí)間：2021-06-04

信息技術(shù)在帶給我們便利和高效的同時(shí)，安全隱患始終如影隨形。隨著越來越多的企業(yè)通過上云開啟自己的數(shù)字化轉(zhuǎn)型之旅，云端信息安全問題開始受到越來越多的關(guān)注。上云了，安全問題該怎么辦？

針對(duì)企業(yè)云端安全監(jiān)控的這一重要需求，我們?cè)O(shè)計(jì)了一套可以一鍵部署，也可以動(dòng)態(tài)調(diào)整的安全監(jiān)控模板方案，希望可以給客戶帶來最直觀的安全監(jiān)控方案以及后續(xù)深入調(diào)查的平臺(tái)，并通過一系列文章進(jìn)行了全面介紹。

在本系列的第一篇，我們介紹了如何監(jiān)控和分析全網(wǎng)環(huán)境的網(wǎng)絡(luò)日志；

第二篇文章中，我們?cè)谇耙黄幕A(chǔ)上介紹了如何通過利用Network Watcher，NSG等網(wǎng)絡(luò)端組件的日志分析具體行為，來定位企業(yè)云環(huán)境中的高危服務(wù)器;

本篇作為這系列的最后一篇，將繼續(xù)推進(jìn)，向大家介紹在確定了高危機(jī)器之后，又該如何從分析日志著手，進(jìn)一步調(diào)查可能存在的安全問題。

確定目標(biāo)機(jī)器，遍歷可疑行為

書接上文，首先登錄到通過上文方法定位的高危機(jī)器，打開安全中心后，檢查發(fā)現(xiàn)，這臺(tái)機(jī)器確實(shí)建立了可疑IP地址的出站連接，這屬于一種典型的異常行為：

打開以后，第二天收到了10多個(gè)高危警報(bào)。點(diǎn)擊查看發(fā)現(xiàn)，所有這些警報(bào)都是從某個(gè)IP地址下載一個(gè)PowerShell腳本，而查驗(yàn)這一系列IP地址發(fā)現(xiàn)，所有地址都是“可疑”IP。

注意

對(duì)于云端Windows機(jī)器，在性能允許的情況下，強(qiáng)烈建議開啟Windows VM Microsoft Anti-Malware，這個(gè)擴(kuò)展可有效阻止惡意程序執(zhí)行。否則在不開啟安全中心內(nèi)置的一系列主動(dòng)安全防御功能的前提下，雖然面對(duì)類似情況安全中心也會(huì)報(bào)警，但并不會(huì)攔截惡意行為。另外對(duì)于一些高級(jí)攻擊手段，Antimalware也無法有效攔截，此時(shí)往往需要進(jìn)一步使用Microsoft Defender for Endpoint來實(shí)現(xiàn)聯(lián)動(dòng)的全局保護(hù)。

接下來，我們將根據(jù)監(jiān)控面板里提供的默認(rèn)情況進(jìn)一步深入調(diào)查。

對(duì)于Linux機(jī)器，在面板上我們主要依賴事件的嚴(yán)重等級(jí)，這種方式雖然沒有Security Event那樣完備，但這是目前相對(duì)比較有參考意義的一部分?jǐn)?shù)據(jù)了。

隨后我們可以參考這個(gè)模板的語句，分別對(duì)于SeverityLevel為alert、crit等的日志用where進(jìn)行篩選即可：

對(duì)于不具備安全背景的人來說，可能很難通過過濾得到有用的信息，因此我們也提供了一系列已經(jīng)寫好的，主要針對(duì)特定事件的查詢語句給大家。用戶只需要用一個(gè)自動(dòng)化賬戶定期跑一遍這些查詢語句，即可了解對(duì)應(yīng)情況，進(jìn)而根據(jù)業(yè)務(wù)提醒設(shè)定對(duì)應(yīng)的警報(bào)，就能借此掌握最基礎(chǔ)的安全信息了：

對(duì)于Windows系統(tǒng)，鑒于Security Event的完備，很多攻擊手段都能比較清晰、詳細(xì)地羅列出來。這里就把從身份、流程上做深入調(diào)查的案例進(jìn)行一個(gè)簡(jiǎn)單拆解。

在示例中，如前文描述，系統(tǒng)已經(jīng)被攻破，我們就需要詳細(xì)查看被攻破的Windows機(jī)器具體產(chǎn)生了多少行為：

從身份登錄檢查可以發(fā)現(xiàn)，除了有很多“4625”代表被暴力破解的痕跡外，還有一些“4672”代表有極大威脅的提權(quán)。因此我們需要調(diào)查這些提權(quán)操作是如何被發(fā)起的。這里可以先點(diǎn)擊當(dāng)前事件，隨后即可看到詳情：

仔細(xì)檢查可以發(fā)現(xiàn)：該事件首先使用Local Admin為sshd相關(guān)賬號(hào)分配了一些特權(quán)，然后借助這些sshd賬號(hào)，利用SelmpersonatePrivilege權(quán)限執(zhí)行了進(jìn)一步操作，如通過DCOM調(diào)用使服務(wù)向攻擊者監(jiān)聽的端口發(fā)起連接并進(jìn)行NTLM認(rèn)證等。

所以接下來就需要看看這些奇怪的賬號(hào)是怎么來的，是通過什么方式執(zhí)行了這些操作。

SecurityEvent| where EventID == "4624"| where AccountType == "User"| where Account contains "sshd"

這里我們可以非常簡(jiǎn)便地對(duì)包含“sshd”字樣的用戶搜索其登錄成功的痕跡：

發(fā)現(xiàn)它們是通過一個(gè)名為sshd.exe的程序生成，并使用這些賬號(hào)進(jìn)行登錄。隨后我們利用已經(jīng)預(yù)先寫好的Hunting語句查找奇怪進(jìn)程的查詢，進(jìn)行簡(jiǎn)單修改，添加一條NewProcessName contains “sshd”的篩選，就能找到它所在的路徑。

接下來我們?cè)賮砜纯?，?duì)于進(jìn)程的調(diào)查，從默認(rèn)儀表板上，我們可以最直接地看到以下信息：

在進(jìn)程部分可以發(fā)現(xiàn)很多不同維度的分析，并且需要跟業(yè)務(wù)部門的工作習(xí)慣、IT部門的人員組成等相關(guān)聯(lián)進(jìn)行分析。比如上圖的示例環(huán)境中可以看到，在BigDataS這臺(tái)機(jī)器上，在一個(gè)非工作時(shí)間，有不同于其他機(jī)器比例的cmd運(yùn)行次數(shù)。根據(jù)以上信息，就需要與IT和業(yè)務(wù)部門的同事一起討論看看這種情況是否正常。

除了在面板上看到的有關(guān)進(jìn)程的信息，安全中心頁面上還提供了很多在狩獵階段大家都關(guān)心的維度，建議利用以下這些洞察對(duì)服務(wù)器上的進(jìn)程進(jìn)行摸排和了解：

總結(jié)

這一系列文章就此全部完結(jié)。本系列內(nèi)容意在向大家介紹如何利用云原生監(jiān)控平臺(tái)，從網(wǎng)絡(luò)端出發(fā)監(jiān)控環(huán)境內(nèi)南北向、東西向的流量并進(jìn)行洞察分析，定位到一部分存在風(fēng)險(xiǎn)的服務(wù)器，并結(jié)合監(jiān)控平臺(tái)對(duì)于終端的洞察力，加上微軟強(qiáng)大的終端監(jiān)控防御武器Azure Defender + Microsoft Antimalware，借此大幅提高客戶對(duì)云環(huán)境的安全可見性。

希望這些信息能帶給大家?guī)椭蛦l(fā)。

立即登錄，閱讀全文

Azure 微軟云微軟

上一篇：企業(yè)如何成功應(yīng)用機(jī)器學(xué)習(xí)？看這四點(diǎn)就夠了！

版權(quán)說明：

本文內(nèi)容來自于Microsoft云科技，本站不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn)，不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán)，請(qǐng)聯(lián)系管理員（zzx@kchuhai.com）刪除！

相關(guān)文章