我们怀疑发生了数据泄露,但我们不确定如何调查以确定泄露的来源或发送了哪些数据。
我们有一个应用服务,已经运行了一段时间,使用率稳定。我们注意到,在过去的几个晚上,数据输出量大幅增加。我们的网站有一个经过身份验证的用户区,我们担心网站上可能存在违规行为或未经授权的行为。
该网站的数据输出量始终低于 10MB/15 分钟。但突然激增超过 180MB,然后又立即回落。第二天晚上,峰值为 600MB。在相同的 15 分钟指标窗口中,平均 CPU 时间激增至超过一小时。响应时间、请求数量和 4xx/5xx 错误都保持稳定。
有没有办法使用 Azure(指标或安全中心)来确定导致数据输出大幅飙升的原因?发送了哪些数据、发送给了谁等等?如果今晚再次发生这种情况,我们可以在 Azure 中启用什么功能来查看这些数据?(例如 Azure Sentinel)
查看其他指标,4XX 或 5XX 错误或请求数量没有明显激增,因此我们不怀疑存在暴力攻击或 DoS 攻击。
答案1
需要更多东西
为了获得可供搜索的数据或“按下倒带按钮”,您必须拥有出色的日志。Sentinel 很棒,但您需要更多的基础设施实施才能利用并配置 Sentinel。
1. 设置“Log Analytics 工作区”检查 Azure 区域要求并匹配两个允许您拥有“Log Analytics 工作区”的区域和一个“自动化账户”。
- 启用审计是一项要求。您必须在您的环境中的 Linux、Windows 或应用服务资源上启用审计。启用所有可以启用的审计。如果您指定您的资源,我可以添加有关如何在其上启用审计的回复或提供链接。
2. 添加虚拟机监控扩展。根据您的服务器/工作站资源,您需要添加扩展来监控资源并将这些机器上的本地日志消费到您的“日志分析工作区”。关键日志是安全日志。如果您无法将安全日志消费到工作区,那么一切都将一事无成。
您可以通过将试用版“安全中心”升级到“标准”>启用监控策略>在所有机器上实施监控来启用所有 VM 资源的监控。
您可以通过转到虚拟机中的“诊断设置”刀片并选择“启用客户机级别监控”来启用监控
您可以通过使用全部或部分虚拟机上的 .json 模板来启用监控。
3.保安中心内部;
分配默认策略。您将获得默认的 ASC(Azure 安全中心)策略,该策略还将用于将 Azure 监控扩展安装到您的 VM
转到“工作流自动化”刀片并创建一个选择所有严重程度的警报配置文件。
转到“安全中心”>“定价 $ 设置”>“数据收集”。点击“所有事件”单选按钮并保存配置。
4. 预防措施
转到 Azure Active Directory 并启用 2FA 或 Microsoft 所称的 MFA,适用于所有 Azure 门户用户。它将强制每个人使用他们的电话或与注册订阅所用的域名不同的外部电子邮件设置 2FA。
如果您有 Windows 服务器环境,请设置域控制器并将所有计算机加入域。使用组策略打开所有计算机安全日志等的审核。下载扩展组策略功能的 admx 文件,并使用 GPO 在所有计算机上启用所有高级审核。这是找出问题的唯一方法。大量日志。
5.配置 Sentinel
- 添加 Sentinel 并将其指向您的 Log Analytics 工作区,同时将您的 AAD 和 Azure IAM 对象指向您的“Log Analytics 工作区”,这将帮助您了解通过 powershell、门户、bash 或 ACLI 进入 Azure 的所有身份验证。
6.转到“诊断设置”刀片
- 希望您有与虚拟交换机内的每个子网关联的 NSG(网络安全组)以及与每个公共 IP 关联的 NSG。转到每个 NSG 和公共 IP,并将它们指向“Log Analytics 工作区”
7. Sentinel 和 ASC
- 下载所有适用的剧本。您可以在剧本和工作簿刀片中执行此操作。现在,您可以使用这些剧本来寻找表明您信念的行为。请记住,在狩猎时,寻找支持真相的事实,而不是支持您信念的属性或项目。不要成为“确认偏见”的牺牲品
这将帮助您入门。Azure 中的几乎每个对象/服务都有某种诊断设置,您可以将其指向“日志分析工作区”,此外,您还可以捕获发送到“日志分析工作区”的流量。Sentinel 只能根据您提供的内容进行检测。我说,给它流量,它将大大增加工作区日志,您只需支付存储费用,但在我看来这是值得的。
祝你好运。我希望你没有受到攻击,这个非常基本的回复对你有帮助。谷歌搜索更多检测和接收警报的方法,这个回复只是浮于表面。