Rekommendationer för övervakning och hotidentifiering

Gäller för denna checklista för Azure Well-Architected Framework Security:

SE:10 Implementera en holistisk övervakningsstrategi som förlitar sig på moderna hotidentifieringsmekanismer som kan integreras med plattformen. Mekanismer bör på ett tillförlitligt sätt varna för sortering och skicka signaler till befintliga SecOps-processer.

Den här guiden beskriver rekommendationerna för övervakning och hotidentifiering. Övervakning är i grunden en process för att hämta information om händelser som redan har inträffat. Säkerhetsövervakning är en metod för att samla in information på olika höjder för arbetsbelastningen (infrastruktur, program, åtgärder) för att öka medvetenheten om misstänkta aktiviteter. Målet är att förutsäga incidenter och lära sig av tidigare händelser. Övervakningsdata utgör grunden för analys efter incident av vad som har inträffat för att hjälpa till med incidenthantering och kriminaltekniska undersökningar.

Övervakning är en metod för driftseffektivitet som tillämpas på alla Well-Architected Framework-pelare. Den här guiden ger endast rekommendationer ur ett säkerhetsperspektiv. Allmänna begrepp för övervakning, till exempel kodinstrumentation, datainsamling och analys, omfattas inte av den här guiden. Information om grundläggande övervakningsbegrepp finns i Rekommendationer för att utforma och skapa ett ramverk för observerbarhet.

Definitioner

Period Definition
Granskningsloggar En post med aktiviteter i ett system.
Säkerhetsinformations- och händelsehantering (SIEM) En metod som använder inbyggda funktioner för hotidentifiering och intelligens baserat på data som aggregeras från flera källor.
Hotidentifiering En strategi för att identifiera avvikelser från förväntade åtgärder med hjälp av insamlade, analyserade och korrelerade data.
Hotinformation En strategi för att tolka hotidentifieringsdata för att identifiera misstänkt aktivitet eller hot genom att undersöka mönster.
Skydd mot hot Säkerhetskontroller som placeras i en arbetsbelastning på olika höjder för att skydda dess tillgångar.

Viktiga designstrategier

Huvudsyftet med säkerhetsövervakning är hotidentifiering. Det primära målet är att förhindra potentiella säkerhetsöverträdelser och upprätthålla en säker miljö. Det är dock lika viktigt att inse att inte alla hot kan blockeras förebyggande. I sådana fall fungerar övervakning också som en mekanism för att identifiera orsaken till en säkerhetsincident som har inträffat trots de förebyggande insatserna.

Övervakning kan hanteras från olika perspektiv:

  • Övervaka på olika höjder. Att observera från olika höjder är processen att hämta information om användarflöden, dataåtkomst, identitet, nätverk och till och med operativsystemet. Vart och ett av dessa områden erbjuder unika insikter som kan hjälpa dig att identifiera avvikelser från förväntade beteenden som upprättas mot säkerhetsbaslinjen. Omvänt kan kontinuerlig övervakning av ett system och program över tid hjälpa dig att fastställa den baslinjestatusen. Du kan till exempel vanligtvis se cirka 1 000 inloggningsförsök i ditt identitetssystem varje timme. Om övervakningen upptäcker en topp på 50 000 inloggningsförsök under en kort period kanske en angripare försöker få åtkomst till systemet.

  • Övervaka i olika omfattningar av påverkan. Det är viktigt att observera programmet och plattformen. Anta att en programanvändare av misstag får eskalerade privilegier eller att ett säkerhetsintrång inträffar. Om användaren utför åtgärder utanför sitt avsedda omfång kan effekten begränsas till åtgärder som andra användare kan utföra.

    Men om en intern entitet komprometterar en databas är omfattningen av den potentiella skadan osäker.

    Om en kompromiss inträffar på Azure-resurssidan kan effekten bli global, vilket påverkar alla entiteter som interagerar med resursen.

    Sprängradien eller påverkansomfånget kan skilja sig avsevärt beroende på vilket av dessa scenarier som inträffar.

  • Använd specialiserade övervakningsverktyg. Det är viktigt att investera i specialiserade verktyg som kontinuerligt kan söka efter avvikande beteende som kan tyda på en attack. De flesta av dessa verktyg har funktioner för hotinformation som kan utföra förutsägelseanalys baserat på en stor mängd data och kända hot. De flesta verktyg är inte tillståndslösa och innehåller en djup förståelse för telemetri i en säkerhetskontext.

    Verktygen måste vara plattformsintegrerade eller åtminstone plattformsmedvetna för att få djupa signaler från plattformen och göra förutsägelser med hög återgivning. De måste kunna generera aviseringar i tid med tillräckligt med information för att utföra rätt sortering. Att använda för många olika verktyg kan leda till komplexitet.

  • Använd övervakning för incidenthantering. Aggregerade data, omvandlade till användbar intelligens, möjliggör snabba och effektiva reaktioner på incidenter. Övervakning hjälper till med aktiviteter efter incident. Målet är att samla in tillräckligt med data för att analysera och förstå vad som hände. Övervakningsprocessen samlar in information om tidigare händelser för att förbättra reaktiva funktioner och potentiellt förutsäga framtida incidenter.

Följande avsnitt innehåller rekommenderade metoder som omfattar föregående övervakningsperspektiv.

Samla in data för att hålla koll på aktiviteter

Målet är att upprätthålla en omfattande granskningslogg av händelser som är viktiga ur ett säkerhetsperspektiv. Loggning är det vanligaste sättet att samla in åtkomstmönster. Loggning måste utföras för programmet och plattformen.

För en granskningslogg måste du fastställa vad, när och vem som är associerad med åtgärder. Du måste identifiera de specifika tidsramarna när åtgärder utförs. Gör den här utvärderingen i hotmodellering. För att motverka ett avvislighetshot bör du upprätta starka loggnings- och granskningssystem som resulterar i en post med aktiviteter och transaktioner.

I följande avsnitt beskrivs användningsfall för några vanliga höjder för en arbetsbelastning.

Programanvändarflöden

Programmet bör utformas för att ge körningssynlighet när händelser inträffar. Identifiera kritiska punkter i ditt program och upprätta loggning för dessa punkter. När en användare till exempel loggar in i programmet samlar du in användarens identitet, källplats och annan relevant information. Det är viktigt att bekräfta eskalering av användarprivilegier, åtgärder som utförs av användaren och om användaren har använt känslig information i ett säkert datalager. Håll reda på aktiviteter för användaren och användarsessionen.

För att underlätta spårningen bör koden instrumenteras via strukturerad loggning. Detta möjliggör enkel och enhetlig frågekörning och filtrering av loggarna.

Viktigt

Du måste framtvinga ansvarsfull loggning för att upprätthålla systemets konfidentialitet och integritet. Hemligheter och känsliga data får inte visas i loggar. Var medveten om läckande personuppgifter och andra efterlevnadskrav när du samlar in dessa loggdata.

Identitets- och åtkomstövervakning

Upprätthålla en grundlig förteckning över åtkomstmönster för programmet och ändringar av plattformsresurser. Ha robusta aktivitetsloggar och mekanismer för hotidentifiering, särskilt för identitetsrelaterade aktiviteter, eftersom angripare ofta försöker manipulera identiteter för att få obehörig åtkomst.

Implementera omfattande loggning med hjälp av alla tillgängliga datapunkter. Inkludera till exempel klientens IP-adress för att skilja mellan vanlig användaraktivitet och potentiella hot från oväntade platser. Alla loggningshändelser ska tidsstämplas av servern.

Registrera alla resursåtkomstaktiviteter och samla in vem som gör vad och när de gör det. Instanser av privilegieeskalering är en viktig datapunkt som ska loggas. Åtgärder som rör skapande eller borttagning av konton av programmet måste också registreras. Den här rekommendationen gäller även programhemligheter. Övervaka vem som har åtkomst till hemligheter och när de roteras.

Även om det är viktigt att logga lyckade åtgärder är det viktigt att registrera fel ur ett säkerhetsperspektiv. Dokumentera eventuella överträdelser, till exempel en användare som försöker utföra en åtgärd men som påträffar ett auktoriseringsfel, åtkomstförsök för obefintliga resurser och andra åtgärder som verkar misstänkta.

Nätverksövervakning

Genom att övervaka nätverkspaket och deras källor, mål och strukturer får du insyn i åtkomstmönster på nätverksnivå.

Segmenteringsdesignen bör aktivera observationspunkter vid gränserna för att övervaka vad som korsar dem och logga dessa data. Övervaka till exempel undernät som har nätverkssäkerhetsgrupper som genererar flödesloggar. Övervaka även brandväggsloggar som visar de flöden som har tillåtits eller nekats.

Det finns åtkomstloggar för inkommande anslutningsbegäranden. Dessa loggar registrerar käll-IP-adresserna som initierar begäranden, typen av begäran (GET, POST) och all annan information som ingår i begäranden.

Att samla in DNS-flöden är ett stort krav för många organisationer. DNS-loggar kan till exempel hjälpa dig att identifiera vilken användare eller enhet som initierade en viss DNS-fråga. Genom att korrelera DNS-aktivitet med användar-/enhetsautentiseringsloggar kan du spåra aktiviteter till enskilda klienter. Det här ansvaret sträcker sig ofta till arbetsbelastningsteamet, särskilt om de distribuerar något som gör DNS-begäranden till en del av sin åtgärd. DNS-trafikanalys är en viktig aspekt av plattformssäkerhetsobservabilitet.

Det är viktigt att övervaka oväntade DNS-begäranden eller DNS-begäranden som riktas mot kända kommando- och kontrollslutpunkter.

Kompromiss: Loggning av alla nätverksaktiviteter kan resultera i en stor mängd data. Varje begäran från lager 3 kan registreras i en flödeslogg, inklusive varje transaktion som korsar en undernätsgräns. Tyvärr går det inte att samla in endast negativa händelser eftersom de bara kan identifieras när de inträffar. Fatta strategiska beslut om vilken typ av händelser som ska registreras och hur länge de ska lagras. Om du inte är försiktig kan det vara överväldigande att hantera data. Det finns också en kompromiss med kostnaden för att lagra dessa data.

På grund av kompromisserna bör du överväga om fördelen med nätverksövervakning av din arbetsbelastning är tillräcklig för att motivera kostnaderna. Om du har en webbappslösning med en hög begärandevolym och systemet använder hanterade Azure-resurser i stor utsträckning kan kostnaden uppväga fördelarna. Om du å andra sidan har en lösning som är utformad för att använda virtuella datorer med olika portar och program kan det vara viktigt att samla in och analysera nätverksloggar.

Avbilda systemändringar

För att upprätthålla systemets integritet bör du ha en korrekt och uppdaterad post för systemtillstånd. Om det finns ändringar kan du använda den här posten för att snabbt åtgärda eventuella problem som uppstår.

Byggprocesser bör också generera telemetri. Det är viktigt att förstå säkerhetskontexten för händelser. Att veta vad som utlöste byggprocessen, vem som utlöste den och när den utlöstes kan ge värdefulla insikter.

Spåra när resurser skapas och när de inaktiveras. Den här informationen måste extraheras från plattformen. Den här informationen ger värdefulla insikter om resurshantering och ansvarstagande.

Övervaka drift i resurskonfigurationen. Dokumentera eventuella ändringar av en befintlig resurs. Håll också reda på ändringar som inte slutförs som en del av en distribution till en resurspark. Loggarna måste avbilda detaljerna för ändringen och den exakta tidpunkten då den inträffade.

Ha en heltäckande vy, ur ett korrigeringsperspektiv, om systemet är uppdaterat och säkert. Övervaka rutinuppdateringsprocesser för att kontrollera att de slutförs som planerat. En säkerhetskorrigeringsprocess som inte slutförs bör betraktas som en säkerhetsrisk. Du bör också ha en inventering som registrerar korrigeringsnivåer och annan nödvändig information.

Ändringsidentifiering gäller även för operativsystemet. Detta innebär att spåra om tjänster läggs till eller inaktiveras. Den omfattar även övervakning av tillägg av nya användare till systemet. Det finns verktyg som är utformade för att rikta in sig på ett operativsystem. De hjälper till med sammanhangslös övervakning i den meningen att de inte riktar in sig på arbetsbelastningens funktioner. Övervakning av filintegritet är till exempel ett viktigt verktyg som gör att du kan spåra ändringar i systemfiler.

Du bör konfigurera aviseringar för dessa ändringar, särskilt om du inte förväntar dig att de ska inträffa ofta.

Viktigt

När du distribuerar till produktion ska du se till att aviseringar har konfigurerats för att fånga avvikande aktivitet som identifieras på programresurserna och byggprocessen.

I dina testplaner inkluderar du validering av loggning och aviseringar som prioriterade testfall.

Lagra, aggregera och analysera data

Data som samlas in från dessa övervakningsaktiviteter måste lagras i datamottagare där de kan undersökas noggrant, normaliseras och korreleras. Säkerhetsdata bör bevaras utanför systemets egna datalager. Övervakningsmottagare, oavsett om de är lokaliserade eller centrala, måste överleva datakällorna. Mottagare kan inte vara tillfälliga eftersom mottagare är källan för intrångsidentifieringssystem.

Nätverksloggar kan vara utförliga och ta upp lagring. Utforska olika nivåer i lagringssystem. Loggar kan naturligt övergå till kallare lagring över tid. Den här metoden är fördelaktig eftersom äldre flödesloggar vanligtvis inte används aktivt och bara behövs på begäran. Den här metoden säkerställer effektiv lagringshantering samtidigt som du kan komma åt historiska data när du behöver det.

Arbetsbelastningens flöden är vanligtvis sammansatta av flera loggningskällor. Övervakningsdata måste analyseras intelligent över alla dessa källor. Brandväggen blockerar till exempel bara trafik som når den. Om du har en nätverkssäkerhetsgrupp som redan har blockerat viss trafik är trafiken inte synlig för brandväggen. För att återskapa händelsesekvensen måste du aggregera data från alla komponenter som finns i flödet och sedan aggregera data från alla flöden. Dessa data är särskilt användbara i ett scenario med svar efter incident när du försöker förstå vad som hände. Korrekt tidshållning är viktigt. I säkerhetssyfte måste alla system använda en tidskälla för nätverket så att de alltid är synkroniserade.

Centraliserad hotidentifiering med korrelerade loggar

Du kan använda ett system som säkerhetsinformation och händelsehantering (SIEM) för att konsolidera säkerhetsdata på en central plats där de kan korreleras mellan olika tjänster. Dessa system har inbyggda mekanismer för hotidentifiering . De kan ansluta till externa feeds för att hämta hotinformationsdata. Microsoft publicerar till exempel hotinformationsdata som du kan använda. Du kan också köpa hotinformationsflöden från andra leverantörer, till exempel Anomali och FireEye. Dessa feeds kan ge värdefulla insikter och förbättra din säkerhetsstatus. Information om hot från Microsoft finns i Security Insider.

Ett SIEM-system kan generera aviseringar baserat på korrelerade och normaliserade data. Dessa aviseringar är en viktig resurs under en incidenthanteringsprocess.

Kompromiss: SIEM-system kan vara dyra, komplexa och kräva specialiserade kunskaper. Men om du inte har någon kan du behöva korrelera data på egen hand. Detta kan vara en tidskrävande och komplex process.

SIEM-system hanteras vanligtvis av en organisations centrala team. Om din organisation inte har någon kan du överväga att förespråka det. Det kan minska belastningen på manuell logganalys och korrelation för att möjliggöra en effektivare och effektivare säkerhetshantering.

Vissa kostnadseffektiva alternativ tillhandahålls av Microsoft. Många Microsoft Defender produkter tillhandahåller aviseringsfunktionen i ett SIEM-system, men utan en funktion för dataaggregering.

Genom att kombinera flera mindre verktyg kan du emulera vissa funktioner i ett SIEM-system. Du behöver dock veta att dessa provisoriska lösningar kanske inte kan utföra korrelationsanalys. Dessa alternativ kan vara användbara, men de kanske inte helt ersätter funktionerna i ett dedikerat SIEM-system.

Identifiera missbruk

Var proaktiv när det gäller hotidentifiering och var vaksam på tecken på missbruk, till exempel brute force-identitetsattacker på en SSH-komponent eller en RDP-slutpunkt. Även om externa hot kan generera mycket brus, särskilt om programmet exponeras för Internet, är interna hot ofta ett större problem. En oväntad råstyrkeattack från en betrodd nätverkskälla eller en oavsiktlig felkonfiguration, till exempel, bör undersökas omedelbart.

Håll dig uppdaterad med dina härdningsmetoder. Övervakning ersätter inte proaktivt härdning av din miljö. En större yta är utsatt för fler attacker. Skärp kontrollerna lika mycket som praxis. Identifiera och inaktivera oanvända konton, ta bort oanvända portar och använd till exempel en brandvägg för webbprogram. Mer information om härdningstekniker finns i Rekommendationer om säkerhetshärdning.

Signaturbaserad identifiering kan granska ett system i detalj. Det handlar om att söka efter tecken eller korrelationer mellan aktiviteter som kan tyda på en potentiell attack. En identifieringsmekanism kan identifiera vissa egenskaper som tyder på en viss typ av attack. Det kanske inte alltid är möjligt att direkt identifiera kommando- och kontrollmekanismen för en attack. Det finns dock ofta tips eller mönster som är associerade med en viss kommando- och kontrollprocess. Till exempel kan en attack indikeras av en viss flödeshastighet ur ett begärandeperspektiv, eller så kan den ofta komma åt domäner som har specifika slut.

Identifiera avvikande användaråtkomstmönster så att du kan identifiera och undersöka avvikelser från förväntade mönster. Detta innebär att jämföra aktuellt användarbeteende med tidigare beteende för att upptäcka avvikelser. Även om det kanske inte är möjligt att utföra den här uppgiften manuellt kan du använda verktyg för hotinformation för att göra det. Investera i UEBA-verktyg (User and Entity Behavior Analytics) som samlar in användarbeteenden från övervakningsdata och analyserar dem. De här verktygen kan ofta utföra förutsägelseanalyser som mappar misstänkta beteenden till potentiella typer av attacker.

Identifiera hot under faserna före distributionen och efter distributionen. Under fördistributionsfasen införlivar du sårbarhetsgenomsökning i pipelines och vidtar nödvändiga åtgärder baserat på resultaten. Efter distributionen fortsätter du att utföra sårbarhetsgenomsökning. Du kan använda verktyg som Microsoft Defender for Containers, som genomsöker containeravbildningar. Inkludera resultaten i insamlade data. Information om säkra utvecklingsmetoder finns i Rekommendationer för användning av säkra distributionsmetoder.

Dra nytta av de identifieringsmekanismer och åtgärder som tillhandahålls av plattformen. Till exempel kan Azure Firewall analysera trafik och blockera anslutningar till ej betrodda mål. Azure tillhandahåller också sätt att identifiera och skydda mot distribuerade överbelastningsattacker (DDoS).

Azure-underlättande

Azure Monitor ger observerbarhet i hela miljön. Utan konfiguration får du automatiskt plattformsmått, aktivitetsloggar och diagnostikloggar från de flesta av dina Azure-resurser. Aktivitetsloggarna innehåller detaljerad diagnostik- och granskningsinformation.

Anteckning

Plattformsloggar är inte tillgängliga på obestämd tid. Du måste behålla dem så att du kan granska dem senare i granskningssyfte eller offlineanalys. Använd Azure Storage-konton för långsiktig/arkiveringslagring. I Azure Monitor anger du en kvarhållningsperiod när du aktiverar diagnostikinställningar för dina resurser.

Konfigurera aviseringar baserat på fördefinierade eller anpassade mått och loggar för att få meddelanden när specifika säkerhetsrelaterade händelser eller avvikelser identifieras.

Mer information finns i Dokumentation om Azure Monitor.

Microsoft Defender för molnet innehåller inbyggda funktioner för hotidentifiering. Den fungerar på insamlade data och analyserar loggar. Eftersom den är medveten om vilka typer av loggar som genereras kan den använda inbyggda regler för att fatta välgrundade beslut. Den kontrollerar till exempel listor över potentiellt komprometterade IP-adresser och genererar aviseringar.

Aktivera inbyggda hotskyddstjänster för Azure-resurser. Du kan till exempel aktivera Microsoft Defender för Azure-resurser, till exempel virtuella datorer, databaser och containrar, för att identifiera och skydda mot kända hot.

Defender för molnet tillhandahåller CWPP-funktioner (Cloud Workload Protection Platform) för hotidentifiering av alla arbetsbelastningsresurser.

Mer information finns i Vad är Microsoft Defender för molnet?.

Aviseringar som genereras av Defender kan också matas in i SIEM-system. Microsoft Sentinel är det inbyggda erbjudandet. Den använder AI och maskininlärning för att identifiera och svara på säkerhetshot i realtid. Den ger en centraliserad vy över säkerhetsdata och underlättar proaktiv hotjakt och undersökning.

Mer information finns i Vad är Microsoft Sentinel?.

Microsoft Sentinel kan också använda hotinformationsflöden från olika källor. Mer information finns i Hotinformationsintegrering i Microsoft Sentinel.

Microsoft Sentinel kan analysera användarbeteende från övervakningsdata. Mer information finns i Identifiera avancerade hot med UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel.

Defender och Microsoft Sentinel fungerar tillsammans, trots viss överlappning i funktionaliteten. Det här samarbetet förbättrar din övergripande säkerhetsstatus genom att säkerställa omfattande hotidentifiering och svar.

Dra nytta av Azure Business Continuity Center för att identifiera luckor i din affärskontinuitetsegendom och försvara dig mot hot som utpressningstrojanattacker, skadliga aktiviteter och incidenter med obehörig administratör. Mer information finns i Vad är Azure Business Continuity Center?.

Nätverk

Granska alla loggar, inklusive rå trafik, från dina nätverksenheter.

Identitet

Övervaka identitetsrelaterade riskhändelser på potentiellt komprometterade identiteter och åtgärda dessa risker. Granska de rapporterade riskhändelserna på följande sätt:

Microsoft Entra ID använder anpassningsbara maskininlärningsalgoritmer, heuristik och kända komprometterade autentiseringsuppgifter (användarnamn och lösenordspar) för att identifiera misstänkta åtgärder som är relaterade till dina användarkonton. Dessa användarnamn och lösenordspar visas genom övervakning av den offentliga och mörka webben och genom att arbeta med säkerhetsforskare, brottsbekämpning, säkerhetsteam på Microsoft och andra.

Azure-pipelines

DevOps förespråkar ändringshantering av arbetsbelastningar via kontinuerlig integrering och kontinuerlig leverans (CI/CD). Se till att lägga till säkerhetsvalidering i pipelines. Följ anvisningarna i Skydda Azure Pipelines.

Säkerhetskontrollista

Se den fullständiga uppsättningen rekommendationer.