快出海  > 微软云  >  Azure Defender|为用户提供企业级安全威胁防护

Azure Defender|为用户提供企业级安全威胁防护

作者:Microsoft云科技
时间:2021-05-08
如今日益复杂的网络环境,企业IT安全和管理均受到巨大挑战。根据ESG对北美和西欧620名IT专业人员的年度调查显示,51%的受访者称他们的企业存在应对安全威胁技能短缺的问题。Microsoft Azure提供了一套云原生的威胁防护和检测系统——Azure Security Center,最大限度地减少和缓解整个环境中的威胁,并改善整体安全态势。

如今日益复杂的网络环境,企业IT安全和管理均受到巨大挑战。根据ESG对北美和西欧620名IT专业人员的年度调查显示,51%的受访者称他们的企业存在应对安全威胁技能短缺的问题。Microsoft Azure提供了一套云原生的威胁防护和检测系统——Azure Security Center,最大限度地减少和缓解整个环境中的威胁,并改善整体安全态势。

Azure Security Center为Azure用户提供免费的云安全态势管理,为用户持续提供Azure资源评估和安全性建议。本文的重点是想和大家聊一聊Azure Security Center下的一项高级功能——Azure Defender。

在企业环境上,Azure Defender不仅可以为Azure资源提供保护、还可以对本地IDC和其他云中运行的混合工作负载提供统一的安全管理和威胁防护;

在资源类型上,Azure Defender除了对虚拟机,还可以针对SQL数据库、容器、Web应用程序、网络等提供持续保护,并能够与企业现有的安全解决方案(如SIEM)进行集成。

今天通过两组攻击实验,带着大家感受一下Azure Defender对Windows和Linux VM的威胁检测和高级防御功能。

上图展示了黑客攻击者典型的网络杀伤链(Cyber Kill Chain),该击杀链反映了攻击者如何试图通过各种攻击手段对企业IT环境发起攻击,并通过一系列的潜伏和横向移动入侵企业IT资产,收集域内用户信息,不断扩大感染面,最终获取特权用户权限,对企业核心资产造成严重威胁,给企业带来不同程度的经济和信誉损失。有调查研究表明,在网络攻击中企业遭受的平均经济损失超过100万美金。

今天通过两组模拟攻击实验模拟攻击者在击杀链各阶段的一系列行为,向大家直观展示azure defender强大的安全威胁检测和告警功能。

说明:实验中的模拟攻击均为实验测试,不构成实质的攻击操作。

Lab1:Azure Defender针对Windows VM的高级威胁检测及告警

实验环境:

两台Windows Server 2012虚拟机,一台为“Attacker”(攻击者),另一台为“Target”(目标主机)。

实验中将使用以下几种工具:

Tool1可以在本地或者远程管理计算机系统,常被攻击者用于在系统内做横向移动,进行信息收集、探测、反病毒、虚拟机检测、命令执行、权限持久化等操作。

Tool2是sysinternals的一款强大的软件,通过他可以提权和执行远程命令,对于批量大范围的远程运维能起到很好的效果,尤其是在域环境下。

Tool3是一款可以抓取系统内的明文密码的工具,主要用于提升进程权限以及读取进程内存,当然了,最重要的功能就是可以从lsass中获取当前Active系统的登录密码。

实验内容:

登陆Azure Portal,在订阅级别开启Azure Security Center并打开Azure Defender功能,也支持针对指定资源开启Azure Security Center。这里强烈建议从订阅级别开启Azure Security Center以获取更全面的安全防护功能。

测试一:攻击者在目标机器上创建并执行进程

在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集 域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制整个内网环境,控制域环境下的全部机器。

假设你是攻击者,在“Attacker”虚拟机上利用Tool1远程登陆到“Target”目标机器上执行CMD命令——创建并执行新的进程(scvhost.exe)。攻击者可以利用该方式创建系统后门,或占用大量目标系统的内存,例如有些攻击者会在用户系统中运行挖矿软件病毒等恶意行为。

此时,Azure Security Center利用Azure Defender功能会立刻检测到被攻击的Target虚拟机被执行了可疑进程,并进行安全告警。

同时,Azure Security Center中可以查看到详细的可疑行为信息,例如执行可疑行为的账号信息、被执行的可疑文件位置等。

试二:攻击者获取内存凭证并进行横向移动

攻击者使用Tool3在目标主机上获取内存中的凭证信息,这些凭证信息用于对其他机器进行身份验证,并在系统中进行横向移动。

此时安全中心会立刻进行告警,告知用户该可疑行为的攻击者意图。通过安全告警的提示信息可以看出,该攻击者试图进行凭据访问,同时告知用户攻击者执行的可疑操作具体信息,如下图所示。

Lab2:Azure Defender针对Linux VM的高级威胁检测及告警

实验环境:

攻击者VM1为一款特殊的Linux操作系统,常用于渗透测试等领域;目标主机VM2使用Ubuntu 14.04 LTS系统。Azure Security Center支持多种Linux系统,具体可以参考官网:https://docs.microsoft.com/en-us/azure/security-center/security-center-os-coverage

实验准备:

在实验中,为了演示攻击者对目标主机进行密码暴力破解的过程,需要在VM2目标主机上事先创建5个用户,信息如下:

实验内容:

从订阅级别开启Azure Security Center并打开Azure Defender功能,也支持针对指定资源开启Azure Security Center (具体操作方法见官方文档)。这里强烈建议从订阅级别开启Azure Security Center以获取更全面的安全防护功能。

试一:攻击者对目标主机VM2发起SSH暴力破解

假设你是攻击者,登陆VM1,使用内置的用户名和密码列表对目标主机发起暴力攻击。具体的命令行操作如下,可以看到VM2的用户账户和密码被返回给攻击者,完成了SSH暴力破解过程。

此时,Azure Security Center会发出邮件告警并描述出安全威胁的具体信息,如下图所示。

同时,Azure用户可以在Security Center中看到针对VM2的安全事件,从攻击者尝试进行暴力破解但未成功开始,Azure安全中心便发起告警,因为实验中使用的暴力破解wordlist很短,所以从攻击者发起暴力破解攻击到破解成功所需要的遍历时间很短,在真实场景中,在攻击者尝试进行暴力破解,到破解成功之前,通过Azure Security Center提供的告警信息,可以让管理员进行及时的响应和处理。

试二:攻击者在目标主机上下载恶意软件

本实验攻击者在通过暴力破解等方式,在内网中找到突破口之后,会进行一段时间的潜伏,并通过多种方式尝试进行横向移动。例如攻击者会远程记录目标主机的键盘操作,或者使用一些工具进行内部侦察以枚举服务器和域的具体信息,从而对一些服务器发起攻击。例如在特定服务器上安装恶意软件。本测试攻击者在目标主机上,尝试下载EICAR恶意软件测试文件,从而验证Azure Security Center的面对安全威胁的高级功能,并不会对目标主机产生任何恶意影响。

以上是实验中具体的操作命令行测试内容,当攻击者远程在目标主机上安装恶意软件之后,Azure Security Center立刻对受到的安全威胁产生告警,并给出详细的安全威胁信息及需要采取的下一步行动建议。

Azure defender为企业IT资源提供了一整套完整的高级安全防护功能,涉及智能告警、漏洞评估、合规性管理等内容。本文仅通过两个简单的攻击实验,和各位读者一起对Azure Defender做了一番初探,更多功能可以参考微软官方Doc文档:https://docs.microsoft.com/zh-cn/azure/security-center/azure-defender#azure-defender-advanced-protection-capabilities

感谢阅读,欢迎交流学习。

立即登录,阅读全文
版权说明

本文内容来自于Microsoft云科技,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(hj@kchuhai.com)删除!

相关文章
什么是 Azure 认知服务?
什么是 Azure 认知服务?
Azure 认知服务是具有 REST API 和客户端库 SDK 的基于云的服务,可用于帮助你将认知智能构建到应用程序中。 即使你没有人工智能 (AI) 或数据科学技能,也可向应用程序添加认知功能。 Azure 认知服务包含各种 AI 服务,让你能够构建可以看、听、说、理解,甚至可以决策的认知解决方案。
Microsoft
3天前
Azure IoT Central 设备开发指南
Azure IoT Central 设备开发指南
IoT Central 应用程序使你可以在设备整个生命周期内监视和管理数百万台设备。 本指南适用于要执行以下操作的设备开发人员:实现代码以在连接到 IoT Central 的设备上运行。
Microsoft
4天前
Azure 解决方案:如何有效地保护Azure 资源
Azure 解决方案:如何有效地保护Azure 资源
Azure VMWare Solution(AVS)是由Azure管理和维护的经过VMWare验证的私有云解决方案,AVS 允许客户使用一致的操作框架管理和保护跨VMWare环境和Microsoft Azure的应用程序,它支持工作负载迁移、VM部署和Azure Service Consumption.
Nancy198305
4天前
使用正确的Azure安全合规工具,为企业的数据信息保驾护航
使用正确的Azure安全合规工具,为企业的数据信息保驾护航
我们都知道,文档对于企业来说是重要的数字资产,一般都以电子文档的形式存在,比如Office文件、pdf文档,影音多媒体文档。从内容上可划分为商务合同、会议记录、产品手册、客户资料、设计文档、项目文档等等,所以不同文档使用场景,对文档的要求也不同,随着信息化进程的加速,文档管理对企业来说越来越重视,其中满足员工高效协作的的情况下,确保档案的安全和合规,就成为IT Admin的硬性挑战,数据管理不再是IT部门的责任,而是企业CIO的首要考量。
Nancy198305
6天前
Azure Stack Hub 集成系统连接模型
Azure Stack Hub 集成系统连接模型
如果你有兴趣购买 Azure Stack Hub 集成系统,则需要了解几个数据中心集成注意事项,以便 Azure Stack Hub 部署确定系统将如何适应数据中心。 此外,还需要确定如何将 Azure Stack Hub 集成到混合云环境。 本文概述了这些主要决策,包括 Azure 连接模型、标识存储选项和计费模型选项。
Microsoft
6天前
扫描关注获取更多 微软云 的相关信息
服务商推荐 更多 >
北京蓝色光标数字传媒科技有限公司
蓝瀚互动
专注于为出海企业提供全套价值链服务,包括海外市场洞察、品牌营销策略、创意设计、广告优化、 账户管理、全球KOL营销、粉丝页运营等一站式整合营销服务,满足出海广告主的多元化需求。
推广
百度国际MediaGo
百度国际MediaGo
百度国际是百度极具战略意义的海外业务发展部门,拥有超过10年的出海经验。旗下出海营销平台MediaGo旨在为全球广告主提供营销整合方案。成立以来,MediaGo不断进化,在磨炼一站式海外营销服务能力的同时,连接Snapchat、Pinterest、Reddit等优质海外平台,成为连接广告主与价值洼地的桥梁。
本地化变现推广
北京易掌云峰科技有限公司
环信即时通讯云
环信,国内领先的即时通讯、在线客服、智能客服机器人提供商。
云服务
iGlobe Advisory Inc.
爱个萝卜本地化 iGlobe
爱个萝卜总部位于加拿大温哥华,为游戏出海提供所有主要语言的母语级本地化翻译,并由专业项目经理为您保驾护航。并可向全球游戏伙伴提供全方位服务,包括目标市场开拓策略,以及各国本地化运营项目监督。
本地化
厦门比朋科技股份有限公司
比朋科技股份
云服务,软件服务,定制开发
云服务外包源码
福建博士通信息有限责任公司
博士通云通讯
福建博士通信息有限责任公司专注于融合短彩信运营、互联网精准投放、语音服务、流量营销、物联网卡等多种专业的通讯能力,为金融、互联网、汽车、物流、教育、游戏、公共服务等多个领域机构提供专业的融合通讯服务和系统平台定制化开发。公司成立于1999年,总部坐落于福州,在北京、上海、深圳、成都、山东等地建立了分公司和办事处。
云服务
扫码登录
打开扫一扫, 关注公众号后即可登录/注册
加载中
二维码已失效 请重试
刷新
账号登录/注册
小程序
公众号
商务合作
投稿采访
出海管家