Что нового в Azure Sentinel
Если вы такой же ИТ-специалист, как и я, то, вероятно, сталкиваетесь с той же проблемой, что и я — быть в курсе последних событий в области ИТ-безопасности. Это означает изучение последних угроз и новейших инструментов, которые вы можете использовать для защиты от таких угроз. Я постоянно делюсь знаниями и опытом своих коллег в сфере ИТ, а также делюсь с ними своими советами и ошибками. Одним из коллег, который помог мне быть в курсе разработок в области безопасности на платформе облачных сервисов Microsoft Azure, является Саша Краняк, генеральный директор и архитектор облачной безопасности в Kloudatech. Саша — специалист по Azure и безопасности, консультант и облачный архитектор. Он помогает компаниям и частным лицам внедрять облачные технологии и обеспечивать безопасность в киберпространстве, проводя курсы Microsoft, EC-Council и свои собственные курсы по Azure и безопасности, а также семинары PowerClass, консультируя или разрабатывая облачные решения на международном уровне. Он также является Microsoft Most Valuable Professional (MVP), Microsoft Certified Trainer (MCT), региональным руководителем MCT и сертифицированным инструктором EC-Council (CEI). Чтобы узнать о нем больше, вы можете подписаться на Сашу в Твиттере. В июне 2019 года здесь, на TechGenix, Саша познакомил нас с Azure Sentinel, инструментом управления событиями безопасности (SIEM), который Microsoft как раз готовила к выпуску. Чтобы информировать читателей о том, что произошло с Azure Sentinel с тех пор, я попросил Сашу поделиться новостями или улучшениями, внесенными Microsoft в Azure Sentinel, и вот чем он поделился со мной.
Новости и улучшения Azure Sentinel
Azure Sentinel — это решение для управления событиями безопасности (SIEM) и управления безопасностью (SOAR), облачный ответ Майкрософт на все более сложные угрозы и большие объемы предупреждений и оповещений по всему предприятию — инфраструктуре и приложениям, пользователям и устройствам. — но также и в нескольких облаках, а также в локальной среде.
В этом году виртуальный онлайн-выпуск Microsoft Ignite 2020 принес волну новостей о портфолио продуктов и услуг Microsoft, и Azure Sentinel не упустила возможность стать частью рекламы.
В свой первый день рождения Azure Sentinel отличается от того, что было год назад, и в лучшую сторону. Последние анонсы включали множество нововведений, которые помогли преобразовать Azure Sentinel в продукт, лучше подходящий для противостояния современным угрозам с повышенной эффективностью.
Мы стали свидетелями объявления:
- Аналитика поведения пользователей и организаций (UEBA)
- Профили объектов
- Аналитика угроз
- Сбор данных в масштабе предприятия
- Списки наблюдения
- Интернет вещей/ОТ
- Машинное обучение
Аналитика поведения пользователей и организаций
User and Entity Behavior Analytics, или UEBA, — это функция Azure Sentinel, которая может помочь специалистам по безопасности обнаруживать внутренние и неизвестные угрозы, выявлять аномальное поведение и сокращать время реагирования на угрозы.
UEBA — это эволюция аналитики поведения пользователей, или UBA, которая не включала объекты при поиске аномального поведения. Благодаря распространению мониторинга и анализа на объекты, такие как серверы, конечные точки, маршрутизаторы, коммутаторы и устройства IoT, решения с поддержкой UEBA становятся лучше. Они могут более эффективно обнаруживать отклонения от нормальных моделей поведения. Некоторые из сущностей, которые UEBA поддерживает в Azure Sentinel, — это ресурсы Azure, ключи и значения реестра, группы безопасности, IP-адреса, учетные записи пользователей, узлы, файлы, процессы, URL-адреса и другие.
Какие преимущества дает UEBA? У организаций могут быть инструменты для защиты от вирусов и троянов, но как они могут защитить себя от «надежных» угроз? Например, пользователь регулярно входит в систему в 9 утра, выходит около 17:00 и делает это с понедельника по пятницу. В рабочее время этот конкретный пользователь обычно имеет доступ к файлам объемом около 5 ГБ. Через неделю пользователь начинает скачивать или получать доступ к 10 ГБ файлов, включая файлы, к которым он никогда раньше не обращался. Кроме того, пользователь заходил в систему в нерабочее время и по выходным.
Вот где UEBA процветает, потому что он полагается на машинное обучение и сложные алгоритмы для установления и обнаружения аномального поведения пользователей и объектов, то есть для различения действий, которые не являются «нормальными» или законными действиями пользователя, и действиями, которые могут быть злонамеренными и угрожающими.
Типичные организации имеют множество субъектов и пользователей, где ручной анализ и отслеживание становятся практически невозможными без искусственного интеллекта не только из-за огромного количества объектов, которые специалистам по безопасности необходимо отслеживать, но и из-за чрезвычайной сложности аналитического процесса.
User and Entity Behavior Analytics не отслеживает устройства или события. Он отслеживает все сущности и пользователей, точнее, следит за их поведением.
Gartner определяет три основные характеристики UEBA, которым точно следует UEBA Azure Sentinel:
- Варианты использования: системы UEBA должны отслеживать, обнаруживать и предупреждать множество различных аномалий, таких как скомпрометированные пользователи, вредоносные инсайдеры, угрозы нулевого дня и сложные постоянные угрозы.
- Источники данных: продукты с поддержкой UEBA могут принимать и анализировать большие объемы данных из различных источников, таких как события, журналы и сетевые (мета) данные.
- Аналитика: решения UEBA дают результаты — например, обнаруживают угрозы и изолируют аномалии — с помощью машинного обучения, сложных алгоритмов и расширенного статистического моделирования.
Функции Entity Behavior и UEBA находятся в общедоступной версии в Западной Европе, регионах США и Австралии, а в предварительной версии — во всех остальных регионах.
Выполните эти простые шаги, чтобы начать использовать UEBA в Azure Sentinel. Прежде всего, вам нужно посетить Параметры, чтобы включить Entity Behavior Analytics в Azure Sentinel.
Затем щелкните Выбрать источники данных, чтобы выбрать, какие источники данных будут профилированы и проанализированы UEBA, например действия Azure, события безопасности, журналы входа и журналы аудита.
Затем в разделе Entity Behavior выполните поиск хостов или учетных записей, выбрав временной интервал для отображения количества результатов предупреждений.
Информация об объекте показывает важные поля, отображающие важные данные, которые могут помочь в расследовании и диагностике потенциальных угроз:
- Стук сердца
- Сведения о Центре безопасности Azure
- Microsoft Defender для данных конечной точки
- События и оповещения с течением времени
- Хронология оповещений и действий
- Действия при входе в Windows
- Входы с течением времени
- Информация о выполнении процесса Windows
- Редкость процесса через расчет энтропии
- Аномально большое количество событий безопасности
- Действие на счетах
- Перечисление по хостам, пользователям, группам на хосте
- Перечисления с течением времени
- Действия на аккаунте
- Аномально большое количество офисных операций
- Доступ к ресурсам с течением времени
- Аномально большое количество результатов входа в Azure и другие
Аналитика угроз
Аналитика угроз дает возможность добавлять в Azure Sentinel индикаторы угроз или аналитическую информацию о киберугрозах, что позволяет получать дополнительные сведения и сведения о потенциальных угрозах.
Индикаторы угроз — это фрагменты информации, связывающие вредоносные действия, такие как вредоносное ПО или фишинг, с такими объектами, как IP-адреса, URL-адреса или хэши файлов. Таким образом, специалисты по безопасности могут использовать индикаторы угроз, чтобы находить угрозы, обнаруживать вредоносную активность и добиваться большего успеха в своих попытках остановить атаки.
Списки наблюдения
Еще одним важным дополнением к Azure Sentinel являются списки наблюдения, используемые для сбора данных из внешних источников, таких как IP-адреса серверов и клиентов, хэши важных файлов или пользователей. Как только вы импортируете данные через CSV-файл, вы можете использовать эти списки наблюдения в различных сценариях, например, чтобы уменьшить усталость от оповещений, подавляя оповещения от известных или надежных объектов, чтобы создавать списки запрещенных или разрешенных для обнаружения определенного поведения или входа в систему. в сеть, использовать список наблюдения в запросах и правилах аналитики и многое другое.
Другие улучшения
Другие улучшения включают поддержку дополнительных продуктов Microsoft в Azure Sentinel, таких как Microsoft Teams и Microsoft Defender for Endpoint; новые соединители для Azure DDoS, Azure Firewall и Azure WAF; новые сторонние соединители для Citrix WAF, CyberArk, Beyond Security и ForgeRock. Служба машинного обучения Azure выполняет резервное копирование записных книжек в Azure Sentinel, включая поддержку IntelliSense, проводник записных книжек и моментальные снимки записных книжек на определенный момент времени. Вы можете улучшить разработку моделей машинного обучения, используя новые платформы, включающие шаблоны, инструменты и шаблоны данных.
Поскольку злоумышленники совершенствуют свои методы, чтобы получить доступ к нашим ценным данным, я уверен, что нам не нужно бояться, что наши инструменты устареют, поскольку недавние заявления Microsoft показали, что она стремится следовать последним тенденциям и инновациям. в защите облачных данных и обнаружении угроз.