Detekce hrozeb pomocí Microsoft Sentinel (vytváření pravidel a výstrah)

Detekce hrozeb pomocí Microsoft Sentinel (vytváření pravidel a výstrah)

03/01/2024

Tento technický a vzdělávací článek si klade za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při proaktivní detekci hrozeb pomocí Microsoft Sentinel, cloudové nativní Microsoft SIEM (Security Information and Event Management) a SOAR (Security Orchestration, Automation and Response). Microsoft Sentinel poskytuje jednotný pohled na zabezpečení v celém podniku tím, že shromažďuje data z více zdrojů, zjišťuje hrozby, vyšetřuje incidenty a reaguje na ně automatizovaným způsobem [1].

Úvod

Ve stále složitějším a objemnějším prostředí kybernetických hrozeb potřebují organizace nástroje, které nejen shromažďují bezpečnostní data, ale také je inteligentně analyzují, aby identifikovaly škodlivé aktivity. Microsoft Sentinel překlenuje tuto mezeru tím, že bezpečnostním týmům umožňuje monitorovat, detekovat a reagovat na hrozby v reálném čase. Vytváření analytických pravidel a výstrah je srdcem detekčních schopností Sentinelu, které přeměňuje obrovské objemy protokolů na užitečné informace [2].

Tato praktická příručka se bude zabývat konfigurací pravidel analýzy v Azure Sentinel, od ingestování dat po vytváření vlastních výstrah a ověřování jejich účinnosti. Budou poskytnuty podrobné pokyny, příklady dotazů KQL (Kusto Query Language) a popisy, aby čtenář mohl implementovat a optimalizovat detekci hrozeb ve svém prostředí, čímž posílí svůj bezpečnostní postoj a urychlí reakci na incidenty.

Proč Azure Sentinel pro detekci hrozeb?

  • Škálovatelnost cloudu: Na základě Azure nabízí neomezenou škálovatelnost pro příjem protokolů a úložiště.
  • Integrovaná inteligence hrozeb: Využívá informace o hrozbách od společnosti Microsoft a partnerů k obohacení detekce.
  • Behavioral Analysis (UEBA): Identifikuje anomálie a podezřelé chování uživatelů a subjektů.
  • Automatizace (SOAR): Umožňuje automatizovat reakce na incidenty prostřednictvím příruček.
  • Komplexní viditelnost: Připojuje se k více zdrojům dat, včetně Microsoft 365, Azure, AWS, Google Cloud a bezpečnostních řešení třetích stran.

Předpoklady

Ke konfiguraci zjišťování hrozeb pomocí Azure Sentinel budete potřebovat následující položky:

  1. Azure Subscription: Aktivní předplatné Microsoft Azure.
  2. Přístup pro správce: Účet s oprávněními správce Sentinel Contributor nebo Log Analytics na Azure Portal (portal.azure.com).
  3. Log Analytics Workspace: Konfigurovaný pracovní prostor Log Analytics, který slouží jako úložiště dat pro Sentinel.
  4. Microsoft Sentinel Active: Microsoft Sentinel musí být povolen v pracovním prostoru Log Analytics.
  5. Konfigurované datové konektory: Bezpečnostní data (protokoly) musí být ingestována do pracovního prostoru Log Analytics ze zdrojů, jako je Azure AD, Microsoft 365, Microsoft Defender for Endpoint, firewally atd. [3].

Krok za krokem: Vytváření pravidel analýzy a výstrah

Vytvořme pravidlo naplánované analýzy pro detekci běžného scénáře hrozby: vícenásobné selhání přihlášení v krátkém časovém období, což naznačuje pokus o hrubou sílu.

1. Zkontrolujte datové konektory

Před vytvořením pravidel se ujistěte, že jsou přijímána příslušná data. Pro detekci selhání přihlášení potřebujeme protokoly z Azure Active Directory (Microsoft Entra ID).

  1. Přejděte na Azure Portal: https://portal.azure.com.
  2. Přejděte na Microsoft Sentinel.
  3. V levém navigačním panelu vyberte Datové konektory.
  4. Vyhledejte Azure Active Directory a ověřte, že stav je Připojeno.

2. Vytvořte pravidlo plánované analýzy

Vytvořme pravidlo, které během 10 minut zjistí 5 a více neúspěšných přihlášení ze stejné IP.

  1. V Azure Sentinel v levém navigačním podokně vyberte Analytics.
  2. Klikněte na + Vytvořit > Pravidlo plánovaného dotazování.

Krok 1: Obecné

  1. Název: Azure AD Brute Force Pokus
  2. Popis: Detekuje vícenásobná selhání přihlášení k Azure AD ze stejné IP adresy během krátké doby, což naznačuje možný útok hrubou silou.
  3. Taktika: Vyberte „Přístup k pověření“.
  4. Závažnost: „Střední“.
  5. Stav: „Povoleno“.
  6. Klikněte na Další: Defidefinovat logiku pravidel.

Krok 2: Definujte logiku pravidla

  1. Dotaz na pravidlo: Zadejte dotaz KQL:
SigninLogs
| kde ResultType == "50126" // Ověření pověření se nezdařilo
| shrnout FailedLogins = count() podle IPAddress, UserPrincipalName, bin(TimeGenerated, 10m)
| kde FailedLogins >= 5
| extend AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress

  1. Mapování entit: Mapujte entity pro obohacení výstrah. V části Mapování entit přidejte:

    • Účet: AccountCustomEntity
    • IP adresa: IPCustomEntity

  2. Naplánování schůzky:

    • Spustit dotaz každých: 10 minut
    • Poslední údaje o vyhledávání: 10 minut

  3. Limit výstrah: Ponechte výchozí Generovat výstrahu, když je počet výsledků dotazu větší než 0.

Krok 3: Nastavení incidentu

  1. Vytvářejte incidenty z výstrah spouštěných tímto pravidlem analýzy: Povoleno.
  2. Seskupení výstrah: Seskupit výstrahy do jednoho incidentu, pokud jsou všechna upozornění generována od stejné entity.

Krok 4: Automatická odpověď

Volitelně můžete připojit příručku (založenou na Logic Apps) pro automatizaci akcí, jako je blokování IP adresy v bráně firewall nebo deaktivace uživatelského účtu.

Krok 5: Zkontrolujte a vytvořte

Zkontrolujte všechna nastavení a klikněte na Vytvořit.

Vyšetřování výstrah a incidentů

Když pravidlo zjistí podezřelou aktivitu, vytvoří se incident.

  1. V Azure Sentinel přejděte na Incidenty.
  2. Klikněte na incident vygenerovaný vaším pravidlem.
  3. Na stránce podrobností o incidentu uvidíte:
    • Časová osa: Chronologie upozornění.
    • Entity: Mapované entity (uživatel a IP), které lze dále zkoumat.
    • Graf vyšetřování: Grafická vizualizace propojení mezi entitami.

Pomocí těchto nástrojů porozumíte rozsahu útoku a provedete nezbytné akce reakce.

Používání šablon pravidel Analytics

Microsoft Sentinel přichází se stovkami předem vytvořených šablon pravidel od společnosti Microsoft a její bezpečnostní komunity. Jejich použití je rychlý způsob, jak zvýšit vaši detekční kapacitu.

  1. V Analýza přejděte na kartu Šablony pravidel.
  2. Filtrujte podle zdrojů dat, taktiky MITER ATT&CK® atd.
  3. Vyberte relevantní šablonu (např. „Anomální místo přihlášení“).
  4. V podokně podrobností klikněte na Vytvořit pravidlo. Průvodce se naplní logikou šablony a nastavením, které můžete upravit před vytvořením aktivního pravidla.

Závěr

Vytváření vlastních pravidel analýzy v Azure Sentinel je nezbytnou funkcí pro jakýkoli tým zabezpečení. Transformací nezpracovaných dat na použitelné detekce mohou organizace proaktivně identifikovat hrozby, jako jsou útoky hrubou silou, boční pohyb a exfiltrace dat. V kombinaci s automatizací odezvy a existujícími šablonami pravidel umožňuje Sentinel analytikům soustředit se na to, co je nejdůležitější: na ochranu organizace.

Reference

[1] Microsoft. (2023). Co je Microsoft Sentinel? [2] Microsoft. (2023). Zobrazení a prošetření incidentů v aplikaci Microsoft Sentinel. [3] Microsoft. (2023). Práce s datovými konektory Microsoft Sentinel.