माइक्रोसॉफ्ट सेंटिनल के साथ खतरों का पता लगाना (नियम और अलर्ट बनाना)

माइक्रोसॉफ्ट सेंटिनल के साथ खतरों का पता लगाना (नियम और अलर्ट बनाना)

03/01/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों को माइक्रोसॉफ्ट सेंटिनल, माइक्रोसॉफ्ट क्लाउड-नेटिव एसआईईएम (सुरक्षा सूचना और इवेंट मैनेजमेंट), और एसओएआर (सुरक्षा ऑर्केस्ट्रेशन, ऑटोमेशन और रिस्पांस) का उपयोग करके खतरों का सक्रिय रूप से पता लगाने में मार्गदर्शन करना है। माइक्रोसॉफ्ट सेंटिनल कई स्रोतों से डेटा एकत्र करके, खतरों का पता लगाकर, घटनाओं की जांच करके और स्वचालित तरीके से उनका जवाब देकर पूरे उद्यम में सुरक्षा का एक एकीकृत दृष्टिकोण प्रदान करता है [1]।

परिचय

तेजी से जटिल और विशाल साइबर खतरे के परिदृश्य में, संगठनों को ऐसे उपकरणों की आवश्यकता है जो न केवल सुरक्षा डेटा एकत्र करें, बल्कि दुर्भावनापूर्ण गतिविधि की पहचान करने के लिए इसका बुद्धिमानी से विश्लेषण भी करें। Microsoft सेंटिनल सुरक्षा टीमों को वास्तविक समय में खतरों की निगरानी, ​​पता लगाने और प्रतिक्रिया देने में सक्षम बनाकर इस अंतर को पाटता है। एनालिटिक्स नियम और अलर्ट बनाना सेंटिनल की पहचान क्षमताओं का केंद्र है, जो बड़ी मात्रा में लॉग को कार्रवाई योग्य अंतर्दृष्टि में परिवर्तित करता है [2]।

यह व्यावहारिक मार्गदर्शिका Azure सेंटिनल में एनालिटिक्स नियमों को कॉन्फ़िगर करने से लेकर डेटा अंतर्ग्रहण से लेकर कस्टम अलर्ट बनाने और उनकी प्रभावशीलता को मान्य करने तक को कवर करेगी। चरण-दर-चरण निर्देश, उदाहरण केक्यूएल (कुस्टो क्वेरी लैंग्वेज) प्रश्न और विवरण प्रदान किए जाएंगे ताकि पाठक अपने वातावरण में खतरे का पता लगाने, अपनी सुरक्षा स्थिति को मजबूत करने और घटना की प्रतिक्रिया को तेज करने के लिए कार्यान्वित और अनुकूलित कर सकें।

खतरे का पता लगाने के लिए एज़्योर सेंटिनल क्यों?

  • क्लाउड स्केलेबिलिटी: एज़्योर पर आधारित, यह लॉग इन्जेस्ट्रेशन और स्टोरेज के लिए असीमित स्केलेबिलिटी प्रदान करता है।
  • एकीकृत खतरा इंटेलिजेंस*: पहचान को समृद्ध करने के लिए माइक्रोसॉफ्ट और साझेदारों से खतरे की खुफिया जानकारी का उपयोग करता है।
  • व्यवहार विश्लेषण (यूईबीए): उपयोगकर्ताओं और संस्थाओं की विसंगतियों और संदिग्ध व्यवहारों की पहचान करता है।
  • स्वचालन (SOAR): आपको प्लेबुक के माध्यम से घटनाओं पर प्रतिक्रियाओं को स्वचालित करने की अनुमति देता है।
  • व्यापक दृश्यता: Microsoft 365, Azure, AWS, Google Cloud और तृतीय-पक्ष सुरक्षा समाधान सहित कई डेटा स्रोतों से जुड़ता है।

पूर्वावश्यकताएँ

Azure सेंटिनल के साथ खतरे का पता लगाने को कॉन्फ़िगर करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. Azure सदस्यता: एक सक्रिय Microsoft Azure सदस्यता।
  2. प्रशासनिक पहुंच: एज़्योर पोर्टल (portal.azure.com) में सेंटिनल कंट्रीब्यूटर या लॉग एनालिटिक्स एडमिनिस्ट्रेटर अनुमतियों वाला एक खाता।
  3. लॉग एनालिटिक्स वर्कस्पेस: एक कॉन्फ़िगर किया गया लॉग एनालिटिक्स वर्कस्पेस जो सेंटिनल के लिए डेटा रिपॉजिटरी के रूप में कार्य करता है।
  4. Microsoft सेंटिनल एक्टिव: Microsoft सेंटिनल को लॉग एनालिटिक्स कार्यक्षेत्र में सक्षम किया जाना चाहिए।
  5. कॉन्फ़िगर किए गए डेटा कनेक्टर्स: सुरक्षा डेटा (लॉग) को Azure AD, Microsoft 365, एंडपॉइंट के लिए Microsoft डिफ़ेंडर, फ़ायरवॉल आदि जैसे स्रोतों से लॉग एनालिटिक्स कार्यक्षेत्र में शामिल किया जाना चाहिए। [3]।

चरण दर चरण: विश्लेषण नियम और अलर्ट बनाना

आइए एक सामान्य खतरे के परिदृश्य का पता लगाने के लिए एक निर्धारित विश्लेषण नियम बनाएं: थोड़े समय में एकाधिक लॉगिन विफलताएं, एक क्रूर प्रयास का संकेत देती हैं।

1. डेटा कनेक्टर्स की जाँच करें

नियम बनाने से पहले, सुनिश्चित करें कि प्रासंगिक डेटा ग्रहण किया जा रहा है। लॉगिन विफलता का पता लगाने के लिए, हमें Azure सक्रिय निर्देशिका (Microsoft Entra ID) से लॉग की आवश्यकता है।

  1. Azure पोर्टल पर जाएँ: https://portal.azure.com
  2. माइक्रोसॉफ्ट सेंटिनल पर नेविगेट करें।
  3. बाएं नेविगेशन फलक में, डेटा कनेक्टर्स चुनें।
  4. Azure सक्रिय निर्देशिका खोजें और सत्यापित करें कि स्थिति कनेक्टेड है।

2. एक अनुसूचित विश्लेषण नियम बनाएं

आइए एक नियम बनाएं जो 10 मिनट के भीतर एक ही आईपी से 5 या अधिक लॉगिन विफलताओं का पता लगाता है।

  1. Azure सेंटिनल में, बाएँ नेविगेशन फलक में, एनालिटिक्स चुनें।
  2. + बनाएं > निर्धारित क्वेरी नियम पर क्लिक करें।

चरण 1: सामान्य

  1. नाम: एज़्योर एडी ब्रूट फ़ोर्स अटेम्प्ट
  2. विवरण: `थोड़े समय के भीतर एक ही आईपी पते से एकाधिक Azure AD लॉगिन विफलताओं का पता लगाता है, जो संभावित क्रूर बल के हमले का संकेत देता है।'
  3. रणनीति: क्रेडेंशियल एक्सेस चुनें।
  4. गंभीरता: मध्यम
  5. स्थिति: सक्षम
  6. अगला: डेफी पर क्लिक करेंनियम तर्क परिभाषित करें

चरण 2: नियम तर्क को परिभाषित करें

  1. नियम क्वेरी: KQL क्वेरी दर्ज करें:

कुस्टो साइनइनलॉग्स | जहां ResultType == "50126" // क्रेडेंशियल सत्यापन विफल रहा | IPAddress, UserPrincipalName, bin(TimeGenerated, 10m) द्वारा FailedLogins = count() को सारांशित करें | जहां FailedLogins >= 5 | AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress का विस्तार करें

  1. इकाई मैपिंग: अलर्ट को समृद्ध करने के लिए इकाइयों को मैप करें। एंटिटी मैपिंग के अंतर्गत, जोड़ें:

    • खाता: AccountCustomEntity
    • आईपी पता: आईपीकस्टमएंटिटी

  2. अपॉइंटमेंट शेड्यूल करना:

    • हर बार क्वेरी चलाएँ: 10 मिनट
    • नवीनतम खोज डेटा: 10 मिनट

  3. अलर्ट सीमा: डिफ़ॉल्ट क्वेरी परिणामों की संख्या 0 से अधिक होने पर अलर्ट उत्पन्न करें छोड़ दें।

चरण 3: घटना सेटिंग्स

  1. इस विश्लेषण नियम द्वारा ट्रिगर किए गए अलर्ट से घटनाएं बनाएं: सक्षम।
  2. अलर्ट ग्रुपिंग: यदि सभी अलर्ट एक ही इकाई से उत्पन्न होते हैं तो अलर्ट को एक ही घटना में समूहित करें

चरण 4: स्वचालित प्रतिक्रिया

वैकल्पिक रूप से, आप फ़ायरवॉल में आईपी पते को ब्लॉक करने या उपयोगकर्ता खाते को अक्षम करने जैसी क्रियाओं को स्वचालित करने के लिए एक प्लेबुक (लॉजिक ऐप्स पर आधारित) संलग्न कर सकते हैं।

चरण 5: समीक्षा करें और बनाएं

सभी सेटिंग्स की समीक्षा करें और बनाएँ पर क्लिक करें।

अलर्ट और घटनाओं की जांच करना

जब नियम संदिग्ध गतिविधि का पता लगाता है, तो एक घटना उत्पन्न होती है।

  1. Azure सेंटिनल में, घटनाएँ पर जाएँ।
  2. अपने नियम द्वारा उत्पन्न घटना पर क्लिक करें।
  3. घटना विवरण पृष्ठ पर, आप देखेंगे:
    • समयरेखा: अलर्ट का कालक्रम।
    • इकाइयाँ: मैप की गई इकाइयाँ (उपयोगकर्ता और आईपी), जिनकी आगे जांच की जा सकती है।
    • जांच ग्राफ़: संस्थाओं के बीच कनेक्शन का एक ग्राफिकल विज़ुअलाइज़ेशन।

हमले के दायरे को समझने और आवश्यक प्रतिक्रिया कार्रवाई करने के लिए इन उपकरणों का उपयोग करें।

एनालिटिक्स नियम टेम्पलेट्स का उपयोग करना

माइक्रोसॉफ्ट सेंटिनल माइक्रोसॉफ्ट और उसके सुरक्षा समुदाय से सैकड़ों पूर्व-निर्मित नियम टेम्पलेट्स के साथ आता है। उनका उपयोग करना आपकी पहचान क्षमता को बढ़ाने का एक त्वरित तरीका है।

  1. विश्लेषण में, नियम टेम्पलेट्स टैब पर जाएं।
  2. डेटा स्रोतों, MITER ATT&CK® रणनीति आदि द्वारा फ़िल्टर करें।
  3. एक प्रासंगिक टेम्पलेट चुनें (उदाहरण के लिए 'असामान्य साइन-इन स्थान')।
  4. विवरण फलक में नियम बनाएं पर क्लिक करें। विज़ार्ड टेम्पलेट तर्क और सेटिंग्स से भर जाएगा, जिसे आप सक्रिय नियम बनाने से पहले अनुकूलित कर सकते हैं।

निष्कर्ष

Azure सेंटिनल में कस्टम एनालिटिक्स नियम बनाना किसी भी सुरक्षा टीम के लिए एक आवश्यक क्षमता है। कच्चे डेटा को कार्रवाई योग्य पहचान में परिवर्तित करके, संगठन सक्रिय रूप से क्रूर बल के हमलों, पार्श्व आंदोलन और डेटा घुसपैठ जैसे खतरों की पहचान कर सकते हैं। प्रतिक्रिया स्वचालन और मौजूदा नियम टेम्पलेट्स के साथ मिलकर, सेंटिनल विश्लेषकों को सबसे महत्वपूर्ण चीज़ पर ध्यान केंद्रित करने का अधिकार देता है: संगठन की सुरक्षा।

सन्दर्भ

[1] माइक्रोसॉफ्ट। (2023)। माइक्रोसॉफ्ट सेंटिनल क्या है? [2] माइक्रोसॉफ्ट। (2023)। माइक्रोसॉफ्ट सेंटिनल में घटनाओं को देखें और जांच करें। [3] माइक्रोसॉफ्ट। (2023)। माइक्रोसॉफ्ट सेंटिनल डेटा कनेक्टर्स के साथ काम करें