Azure和Office 365監(jiān)視的藍(lán)色團(tuán)隊(duì)指南
責(zé)編:gltian |2019-08-21 15:49:37
檢測(cè)潛在威脅在任何組織中都是非常重要的。因?yàn)?Azure?和?Office 365?被廣泛使用,所以我決定從這里開始。我希望您會(huì)發(fā)現(xiàn)它很有用,因?yàn)椴恍业氖牵谑褂?SIEM?監(jiān)視?Azure?方面,除了微軟之外,缺少其他優(yōu)秀的資源,我不得不花費(fèi)很多時(shí)間來研究日志并找出相關(guān)的內(nèi)容。
這并不是?Azure?中所有產(chǎn)品和服務(wù)的完整指南。我只是沒有足夠的空閑時(shí)間來做所有的事情。但我認(rèn)為這是監(jiān)視常用服務(wù)的一個(gè)很好?的起點(diǎn)。
這里的大多數(shù)查詢都是為?Splunk?構(gòu)建的,因?yàn)樗鳛橐粋€(gè)?SIEM?越來越受歡迎。如果您或您的組織不使用?Splunk?,您可以手動(dòng)轉(zhuǎn)換它們,或者嘗試使用?Sigma 205?。查詢應(yīng)該是基本搜索,您可以在此基礎(chǔ)上構(gòu)建查詢,并根據(jù)需要進(jìn)行自定義。
日志攝入的要求
這取決于你的?SIEM?。大多數(shù)?SIEM?或日志管理平臺(tái)都提供了應(yīng)用程序或連接器,可以輕松地從?Azure?獲取日志。對(duì)于?Splunk,您可能需要以下應(yīng)用程序?:
如果您正在使用ArcSight,您可以在ArcSight市場(chǎng)上找到連接器。如果您正在使用的解決方案沒有這樣的應(yīng)用程序可用,您可以使用Azure API編寫提取腳本。所提供的日志是JSON格式的,因此解析應(yīng)該很容易。
Azure活動(dòng)日志集成的詳細(xì)信息可以在針對(duì)每種類型日志的集成列49中找到。具體到Office 365,可以在這里找到42。
構(gòu)建已知攻擊者列表
你可能是密碼噴霧和BruttFrand攻擊的目標(biāo)。這是您的組織可以通過構(gòu)建“已知攻擊者”列表來利用的優(yōu)勢(shì)。然后,您可以將此列表用于:
- 識(shí)別攻擊者攻擊的其他服務(wù)
- 從這些源成功地進(jìn)行身份驗(yàn)證以識(shí)別被破壞的帳戶
- 進(jìn)行情報(bào)收集,以確定您的組織是否是特定目標(biāo)
我發(fā)現(xiàn)使用Azure構(gòu)建此類列表的一個(gè)可靠方法是尋找一個(gè)未知IP,在n個(gè)不同的帳戶上生成帳戶鎖定。在下面的搜索中,我首先查找生成鎖定帳戶的源,并排除列表中已經(jīng)存在的IP地址以避免重復(fù)。然后,我在Splunk運(yùn)行iplocation命令,以獲取他們每個(gè)人的國家和城市。最后,我對(duì)clientip的userid字段做了一個(gè)獨(dú)特的計(jì)數(shù),并且將鎖定5個(gè)或更多帳戶的源IP附加到列表中。
網(wǎng)上交換
向外部收件人發(fā)送大量電子郵件的用戶
嘗試檢測(cè)可能被破壞的主機(jī)向外部收件人發(fā)送垃圾郵件。在大型組織中,由于內(nèi)部通信、群發(fā)郵件等原因,這可能會(huì)產(chǎn)生多個(gè)誤報(bào),因此我建議通過排除一些合法發(fā)件人進(jìn)行過濾。在?RecipientCount?大于等于?100?的部分中可以修改閾值
郵件轉(zhuǎn)發(fā)給外部收件人
電子郵件轉(zhuǎn)發(fā)可以由管理員和用戶設(shè)置。監(jiān)視此類事件以檢測(cè)內(nèi)部威脅非常重要。不同之處在于,管理員可以設(shè)置影響Exchange Online?中一個(gè)或多個(gè)用戶的新郵件傳輸規(guī)則,而用戶只能在自己的郵箱中從?Outlook?客戶端執(zhí)行此操作。
由管理員轉(zhuǎn)發(fā)給外部收件人
使用?New-TransportRule Cmdlet?的管理員
由用戶轉(zhuǎn)發(fā)給外部收件人
使用?Outlook?客戶端的用戶
由郵箱所有者以外的用戶刪除的郵箱項(xiàng)目
用于監(jiān)視對(duì)其他用戶郵箱具有權(quán)限的用戶刪除可能敏感或不應(yīng)首先刪除的項(xiàng)目。
一個(gè)驅(qū)動(dòng)器
與組織外的個(gè)人共享?OneDrive?項(xiàng)目的用戶
這是不言自明的,可用于檢測(cè)自愿與外部方共享機(jī)密信息或打字錯(cuò)誤的個(gè)人。在這里,一個(gè)可信的第三方(合作伙伴、子公司等)電子郵件列表也可以用來過濾噪音。
Azure?活動(dòng)目錄
關(guān)于?MFA?和遺留身份驗(yàn)證的說明
Azure?允許使用?ActiveSync?進(jìn)行遺留身份驗(yàn)證。這意味著,即使您在整個(gè)組織中都在?Azure?中強(qiáng)制執(zhí)行了?MFA?,只要啟用了遺留身份驗(yàn)證,?MFA?對(duì)于成功地強(qiáng)制、密碼噴涂或?qū)羰苡绊懙泥]箱進(jìn)行身份驗(yàn)證都是無用的。
鎖定賬戶
從現(xiàn)有用戶識(shí)別鎖定的帳戶。我說存在,是因?yàn)槠婀值氖牵?Azure?檢測(cè)并鎖定了不存在的帳戶?(?我不是在開玩笑?)?,這解釋了在“?actor {}.ID?”中排除未知的參與者?id != ”?未知?”?部分。刪除它將返回許多假陽性,因?yàn)樗鼘M織中不存在的帳戶的任何鎖。?
在不使用黑名單?IP?中的?mfa?的情況下成功進(jìn)行身份驗(yàn)證
這就是早期黑名單有用的地方。您可以使用自己已知攻擊者的黑名單或使用威脅情報(bào)源來檢測(cè)受攻擊的帳戶。
如果使用?Splunk Enterprise Security?,可以替換?|inputlookup?命令部分,并使用?ip_intel?宏來匹配聚合在?Splunk?中的?intel?威脅。
有大量失敗的mfa挑戰(zhàn)的用戶
因?yàn)榕c某些產(chǎn)品的集成可能非常麻煩,所以可能會(huì)發(fā)出噪音。否則,檢測(cè)密碼被泄露但由于啟用了mfa而導(dǎo)致身份驗(yàn)證失敗的帳戶非常有用。這取決于你和你對(duì)環(huán)境的了解來定義閾值和什么是高計(jì)數(shù)。如果您碰巧有多個(gè)辦公室或遠(yuǎn)程用戶,我強(qiáng)烈建議排除已知合法公共IP列表,以減少噪音。
電子數(shù)據(jù)發(fā)現(xiàn)
電子數(shù)據(jù)展示是一項(xiàng)非常敏感的功能,是安全與合規(guī)中心的一部分。它可以用于搜索個(gè)人帳戶或組織中的所有用戶帳戶中的任何內(nèi)容。雖然這看起來令人毛骨悚然(這就是為什么應(yīng)該監(jiān)控其使用的原因),但它對(duì)于在法律案件中獲取證據(jù)極其有用。
已啟動(dòng)或?qū)С龇闲运阉?/b>
任何時(shí)候運(yùn)行諸如電子數(shù)據(jù)展示合規(guī)性搜索之類的操作時(shí),都應(yīng)該由負(fù)責(zé)監(jiān)督公司法律案例或人力資源的人報(bào)告和驗(yàn)證,因?yàn)樾畔⒌拿舾行浴?img class="aligncenter" src="http://cdn.secjia.com/233331.png" alt="" />
要求刪除項(xiàng)目的符合性搜索
合法的大多數(shù)時(shí)間(即從用戶郵箱中刪除網(wǎng)絡(luò)釣魚郵件),它也可以用來刪除犯罪證據(jù)。請(qǐng)?zhí)貏e注意日志中顯示的?-purgetype參數(shù),因?yàn)橛矂h除表示永久刪除。
與電子數(shù)據(jù)展示搜索一樣重要的是,監(jiān)視在安全與合規(guī)中心中作為管理員添加的用戶。
轉(zhuǎn)載自安全加:http://toutiao.secjia.com/article/page?topid=111882
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧