Azure和Office 365監視的藍色團隊指南
責編:gltian |2019-08-21 15:49:37
檢測潛在威脅在任何組織中都是非常重要的。因為?Azure?和?Office 365?被廣泛使用,所以我決定從這里開始。我希望您會發現它很有用,因為不幸的是,在使用?SIEM?監視?Azure?方面,除了微軟之外,缺少其他優秀的資源,我不得不花費很多時間來研究日志并找出相關的內容。
這并不是?Azure?中所有產品和服務的完整指南。我只是沒有足夠的空閑時間來做所有的事情。但我認為這是監視常用服務的一個很好?的起點。
這里的大多數查詢都是為?Splunk?構建的,因為它作為一個?SIEM?越來越受歡迎。如果您或您的組織不使用?Splunk?,您可以手動轉換它們,或者嘗試使用?Sigma 205?。查詢應該是基本搜索,您可以在此基礎上構建查詢,并根據需要進行自定義。
日志攝入的要求
這取決于你的?SIEM?。大多數?SIEM?或日志管理平臺都提供了應用程序或連接器,可以輕松地從?Azure?獲取日志。對于?Splunk,您可能需要以下應用程序?:
如果您正在使用ArcSight,您可以在ArcSight市場上找到連接器。如果您正在使用的解決方案沒有這樣的應用程序可用,您可以使用Azure API編寫提取腳本。所提供的日志是JSON格式的,因此解析應該很容易。
Azure活動日志集成的詳細信息可以在針對每種類型日志的集成列49中找到。具體到Office 365,可以在這里找到42。
構建已知攻擊者列表
你可能是密碼噴霧和BruttFrand攻擊的目標。這是您的組織可以通過構建“已知攻擊者”列表來利用的優勢。然后,您可以將此列表用于:
- 識別攻擊者攻擊的其他服務
- 從這些源成功地進行身份驗證以識別被破壞的帳戶
- 進行情報收集,以確定您的組織是否是特定目標
我發現使用Azure構建此類列表的一個可靠方法是尋找一個未知IP,在n個不同的帳戶上生成帳戶鎖定。在下面的搜索中,我首先查找生成鎖定帳戶的源,并排除列表中已經存在的IP地址以避免重復。然后,我在Splunk運行iplocation命令,以獲取他們每個人的國家和城市。最后,我對clientip的userid字段做了一個獨特的計數,并且將鎖定5個或更多帳戶的源IP附加到列表中。
網上交換
向外部收件人發送大量電子郵件的用戶
嘗試檢測可能被破壞的主機向外部收件人發送垃圾郵件。在大型組織中,由于內部通信、群發郵件等原因,這可能會產生多個誤報,因此我建議通過排除一些合法發件人進行過濾。在?RecipientCount?大于等于?100?的部分中可以修改閾值
郵件轉發給外部收件人
電子郵件轉發可以由管理員和用戶設置。監視此類事件以檢測內部威脅非常重要。不同之處在于,管理員可以設置影響Exchange Online?中一個或多個用戶的新郵件傳輸規則,而用戶只能在自己的郵箱中從?Outlook?客戶端執行此操作。
由管理員轉發給外部收件人
使用?New-TransportRule Cmdlet?的管理員
由用戶轉發給外部收件人
使用?Outlook?客戶端的用戶
由郵箱所有者以外的用戶刪除的郵箱項目
用于監視對其他用戶郵箱具有權限的用戶刪除可能敏感或不應首先刪除的項目。
一個驅動器
與組織外的個人共享?OneDrive?項目的用戶
這是不言自明的,可用于檢測自愿與外部方共享機密信息或打字錯誤的個人。在這里,一個可信的第三方(合作伙伴、子公司等)電子郵件列表也可以用來過濾噪音。
Azure?活動目錄
關于?MFA?和遺留身份驗證的說明
Azure?允許使用?ActiveSync?進行遺留身份驗證。這意味著,即使您在整個組織中都在?Azure?中強制執行了?MFA?,只要啟用了遺留身份驗證,?MFA?對于成功地強制、密碼噴涂或對帳戶受影響的郵箱進行身份驗證都是無用的。
鎖定賬戶
從現有用戶識別鎖定的帳戶。我說存在,是因為奇怪的是,?Azure?檢測并鎖定了不存在的帳戶?(?我不是在開玩笑?)?,這解釋了在“?actor {}.ID?”中排除未知的參與者?id != ”?未知?”?部分。刪除它將返回許多假陽性,因為它將包含組織中不存在的帳戶的任何鎖。?
在不使用黑名單?IP?中的?mfa?的情況下成功進行身份驗證
這就是早期黑名單有用的地方。您可以使用自己已知攻擊者的黑名單或使用威脅情報源來檢測受攻擊的帳戶。
如果使用?Splunk Enterprise Security?,可以替換?|inputlookup?命令部分,并使用?ip_intel?宏來匹配聚合在?Splunk?中的?intel?威脅。
有大量失敗的mfa挑戰的用戶
因為與某些產品的集成可能非常麻煩,所以可能會發出噪音。否則,檢測密碼被泄露但由于啟用了mfa而導致身份驗證失敗的帳戶非常有用。這取決于你和你對環境的了解來定義閾值和什么是高計數。如果您碰巧有多個辦公室或遠程用戶,我強烈建議排除已知合法公共IP列表,以減少噪音。
電子數據發現
電子數據展示是一項非常敏感的功能,是安全與合規中心的一部分。它可以用于搜索個人帳戶或組織中的所有用戶帳戶中的任何內容。雖然這看起來令人毛骨悚然(這就是為什么應該監控其使用的原因),但它對于在法律案件中獲取證據極其有用。
已啟動或導出符合性搜索
任何時候運行諸如電子數據展示合規性搜索之類的操作時,都應該由負責監督公司法律案例或人力資源的人報告和驗證,因為信息的敏感性。
要求刪除項目的符合性搜索
合法的大多數時間(即從用戶郵箱中刪除網絡釣魚郵件),它也可以用來刪除犯罪證據。請特別注意日志中顯示的?-purgetype參數,因為硬刪除表示永久刪除。
與電子數據展示搜索一樣重要的是,監視在安全與合規中心中作為管理員添加的用戶。
轉載自安全加:http://toutiao.secjia.com/article/page?topid=111882