4,497 views

安全威胁分析——使用运营管理套件

By | 2015年11月30日

深入OMS之前,最好有一个基本的了解什么样的威胁存在,什么高级安全市场对策,和OMS在哪里适合空间。

它是公平地说,网络营销峰会刚刚开始它的旅程,我们已经建立了一个伟大的分析解决方案和有更多的,根据你的反馈。 OMS主要是基于实现和引入新特性用户的声音。 就我个人而言,我认为这是伟大的直接通过客户反馈纳入我们的工程过程 Azure Operational Insights反馈页面。 你可以建议你的期望特性或功能,让别人你的建议进行投票。 我们优先考虑请求基于选票的数量。 这给了我们一个真正的生活和动态视图的你真正需要的和想要的东西。

让我们谈谈安全威胁。 除了病毒、恶意软件和其他讨厌的东西,有一个特别的威胁电话,被称为先进的持续威胁(APT)。 这不是典型的脚本小家伙试图让你点击一个“谁想看到飞猪”电子邮件可以引起恼人的事情,这是一个复杂的和非常持久的攻击针对您公司的资源。 一个恰当的超越典型的恶意软件或广告软件攻击。

外边界的APT通常始于你的网络,可能会开始攻击者获得一个非特权帐户。 从攻击者他们花费他们的时间去做。 这个过程可能需要几个月或更长时间,没有急时执行一个恰当的攻击。 研究发现,经常一个恰当的攻击是由“公司结构”执行实体实际上已经“员工”工作的转变。

攻击者破坏一个非特权帐户后他们开始他们的侦察工作探索和地图资源。 因为他们使用的是一个合法的账号,没有警钟了此时,假设攻击者保持在特定的模式,这将不会触发一个入侵检测系统。 复杂的恰当的攻击不会执行明显的攻击,如枚举大规模的用户或股票——这显然会引发一些警钟——相反,他们以一种隐形的方式进行显示为正常流量。 攻击者知道,也不会引发你的入侵检测系统(IDS)和/或入侵预防系统(IPS)。

这就引出了话题的id和IPS系统。 我先说OMS不是一个id也不是一个IPS系统。 你可以总结OMS功能——特别是运营见解——一个词:分析。

注意,OMS今天是一套由不仅操作的见解,但也包括Azure自动化、Azure备份,和Azure网站恢复。

有很多信息在互联网上找到id和IPS,这里我不会重复互联网除了简要总结它们的属性。

IDS有以下属性:

基于网络,分析网络流量和检查匹配是否已知的攻击。
基于主机的——监视入站和出站数据包从一个设备和寻找可疑活动。 它可以利用现有的系统文件的快照,可以发现变化。
基于统计异常——利用基线标识正常网络流量和偏离基线。
基于签名的,比较网络数据包对数据库包含签名的已知的恶意威胁。 这是同样的挑战,可以发现当使用一个反病毒解决方案:必须有一个签名用于检测攻击,系统必须保持最新。
IPS是IDS的延伸,但与一个id、一个IPS是被动的,可以采取应对措施,积极预防或阻止攻击的攻击。

如前所述,可以使检测攻击的一些挑战困难的包括以下:

没有签名用于特定的攻击;例如,攻击者可能会使用不同的港口或协议掩盖了攻击。
可能会有大量的假阳性可能导致“谎报军情”场景,影响这些警报的可靠性和可信度
这次袭击可能低于定义阈值或在一个建立基线——通常是在恰当的攻击。
我在这里强调尽管id和IPS系统是非常强大的安全解决方案,尽管他们的缺点。

所以OMS放在哪里?

OMS既不是一个id,也不是一个ip解决方案,那么它是什么呢?

OMS帮助你在法医安全调查。 换句话说,当你怀疑可疑活动或安全漏洞,网络营销峰会将有助于指导您完成分析数以百万计的潜在事件,并允许您关联相关的事件。

OMS取决于提供者带来安全数据,可以分析。 在当前版本的数据提供者是基于Windows事件日志——包括安全日志,IIS日志,还有syslog。 此外,OMS能够利用Azure诊断数据,和OMS可以连接一个Azure存储容器。 Linux供应商和一个AWS提供者是快到了。
让我们走进一个例子如何利用网络营销峰会开始您的安全调查。

这个示例使用虚构的名字,行动,和描述仅供演示目的。

提示:我经常使用这个“小抄”来快速找到安全相关事件id:https://support.microsoft.com/en-us/kb/977519

OMS将协助你将注意力转移到解决方案包瓷砖,例如值得注意的问题部分的安全与审计解决方案包。

OMS解包是一组预定义的查询、可视化在drilldown-capable瓷砖。 我们提供了预定义的查询最常见的查询,我们认为有用的协助你的调查。

OMS搜索引擎的灵活性是关键。 例如,你可以开始你的调查,当你提醒的值得注意的问题的安全和审计解决方案包。 您可以通过钻探开始搜索的信息,或开始你的搜索/关键字或与一个预定义的查询。 OMS的目标是为您提供一个用户友好的门户用户界面的体验和搜索功能,同时使您能够创建非常灵活和强大的自定义查询。

当你从OMS概述导航窗格中,您将看到的安全和审计视图失败的登录数:
当你深入点击失败的登录你注意到有一个失败的登录备份服务帐户:
让我们深入和放大信息发现有交互式登录尝试:
我们可以看看那些试图登录该帐户:
所以我们立即能吸引人的注意BadGuy用户。 让我们看看什么样的安全事件相关用户当我们使用一个查询字符串搜索包含他的名字。 这将搜索所有安全事件,看看“BadGuy”可以找到的匹配:
我们得到1110个结果,我一眼就能看到我们BadGuy用户一直活跃在两台计算机,WHDVM1 WHDVM4。

现在让我们联系两个服务器上的两个BadGuy用户实例发现通过检查复选框并单击应用。 我们只是想确保我们关联帐户名称,而不是潜在的匹配发现在其他领域:
请注意,当你点击应用被修改,以包括一个自动查询或过滤器。 结合智能感知你快速、轻松地学习OMS搜索语法是如何工作的。

我可以看到当我们执行这个搜索查询活动和流程列在左边。 点击3点(…)扩大的过程:
快速浏览过程列出了一些令人不安的实例:
正如你可能知道,Mimikatz用于转储LSA秘密和SysInternal的吗PsExec是用于执行远程命令;它并不是一个好的迹象发现这些过程在我的服务器上。

让我们看看别的地方Mimikatz已经使用,但要避免重复劳动的搜索查询和利用通用查询OMS提供对我来说,我选择的查询共同安全查询:
这个查询修改后更换hash.exe与mimikatz.exe,我可以看到以下这告诉我,mimikatz。 exe已经被我们的BadGuy:在两个服务器上执行
也许我应该看什么改变了这些系统。 我可以利用安全和审计视图看软件更改甚至在Windows服务更改:
请注意,软件更改的数据不是引发的变化本身,但是我们利用一个周期快照捕获变化。 因此它是公平地说,更改跟踪无法定位是独家安全检测机制对于恶意软件安装,需要使用相关性。 除了是非常不可能的恶意用户“安装”工具使用常规安装方法。

当看配置更改我服务器上WHDVM4(通过选择服务器在左窗格中),我一眼就可以看到,FTP相关软件已经安装(和可能使用):
让我们看看这实际上已经被列出所有服务器上执行进程WHDVM4(您也可以使用滑块的时间范围特定时刻):
我没有修改我的搜索查询,因为我可以看到列表中的进程filezilla.exe已经被使用。 我甚至可以看到这已经安装 FileZilla_3.11.02_win64-setup.exe,但请注意,您可以检测这些过程,即使他们没有安装,只是复制。 毫无疑问是谁用它当我们进程名称添加到查询和使用选择语句来控制我们的视图中显示过程中,账户和计算机:
的连接数据解包(即将)将使我能够关联流量,像这协议,港口和远程IP地址,我们BadGuy的行动:
从这里我可以继续我的调查和相关数据。

恢复一个恰当的攻击

这是一种常见的和一个有趣的问题。 我相信有多个意见这个话题,这是我的:

IDS,IPS系统甚至OMS,不能帮助你恢复一个恰当的攻击。 我知道这是一个大胆的声明。 目前没有解决方案,可以100%保证你,你从一个恰当的攻击中恢复过来,。 重建你的环境是唯一防水解决方案从一个恰当的攻击中恢复过来。 另一个观点是,你需要小心恢复备份。 你可能已经被攻破的时候创建备份。 不幸的很难确定哪些备份可以恢复。

发表评论

电子邮件地址不会被公开。 必填项已用*标注