調查 Azure 應用服務中的潛在漏洞
我們懷疑我們發生了數據洩露,但我們不確定如何調查它以確定洩露的來源或發送了哪些數據。
我們有一個應用服務已經執行了一段時間並且使用穩定。我們注意到,在過去的幾個晚上,數據出現了大幅飆升。我們的網站有一個經過身份驗證的使用者區域,我們擔心網站上可能存在違規或未經授權的情況。
該網站的數據輸出始終低於 10MB/15 分鐘。但是突然的峰值超過了 180MB,然後又立即回落。第二天晚上,峰值為 600MB。在同一個 15 分鐘指標視窗中,平均 CPU 時間飆升至超過一小時。響應時間、請求數量和 4xx/5xx 錯誤均保持穩定。
有沒有辦法使用 Azure(指標或安全中心)來確定導致數據輸出大量激增的原因?發送了什麼數據,發送給誰等?如果今晚再次發生這種情況,我們可以在 Azure 中啟用什麼功能以允許我們查看這些數據嗎?(例如 Azure 哨兵)
查看其他指標,4XX 或 5XX 錯誤或請求數量沒有明顯的峰值,因此我們不懷疑暴力或 DoS 攻擊。
需要更多的東西
為了讓數據可以搜尋或“按下倒帶按鈕”,您必須擁有出色的日誌。Sentinel 很棒,但您需要更多的基礎設施實施才能利用並配置 Sentinel。
1. 設置“Log Analytics 工作區”檢查 Azure 區域要求並匹配兩個允許您擁有“Log Analytics 工作區”和“自動化帳戶”的區域。
- 啟用審計是一項要求。您必須在 Linux、Windows 或應用服務資源的環境中啟用審核。啟用所有可以進行的審核。如果您指定您的資源,我可以添加關於如何啟用對它們進行審核的響應或提供連結。
2. 添加虛擬機監控擴展。根據您的伺服器/工作站資源,您需要添加擴展以監控資源並將這些電腦上的本地日誌消耗到您的“Log Analytics 工作區”中。關鍵日誌是安全日誌。如果您不能在工作區中使用安全日誌,那麼一切都不是。
- 您可以通過將試用版“安全中心”升級為“標準”> 啟用監控策略 > 監控將在您的所有電腦上實施來啟用對所有 VM 資源的監控。
- 您可以通過轉到 VM 中的“診斷設置”刀片並選擇“啟用訪客級別監控”來啟用監控
- 您可以通過在所有或部分 VM 上使用 .json 模板來啟用監控。
3、安全中心內;
- 分配預設策略。您將獲得預設的 ASC(Azure 安全中心)策略,該策略還將用於將 Azure 監控擴展安裝到您的 VM
- 轉到“工作流程自動化”刀片並創建一個警報配置文件,並選擇所有嚴重性。
- 轉到“安全中心”> 定價 $ 設置 > 數據收集。點擊“所有事件”單選按鈕並保存配置。
4. 預防措施
- 轉到 Azure Active Directory 並為所有 Azure 門戶使用者啟用 2FA 或 Microsoft 所說的 MFA。這將迫使每個人使用他們的電話或與用於註冊訂閱的域名不同的外部電子郵件來設置 2FA。
- 如果您有 Windows 伺服器環境,請設置域控制器並將所有電腦加入域。使用組策略打開對所有電腦安全日誌等的審核。下載擴展組策略功能的 admx 文件,並使用 GPO 在所有電腦上啟用所有高級審核。這是弄清楚發生了什麼的唯一方法。很多日誌。
**5.**配置哨兵
- 添加 Sentinel 並將其指向您的 Log Analytics 工作區,還將您的 AAD 和 Azure IAM 對象指向您的“Log Analytics 工作區”,這將幫助您了解通過 powershell、門戶、bash 或 ACLI 進入 Azure 的所有身份驗證。
**6.**轉到“診斷設置”刀片
- 希望您擁有與我們的虛擬交換機中的每個子網相關聯的 NSG(網路安全組)以及與每個公共 IP 相關聯的 NSG。轉到每個 NSG 和公共 IP 並將它們指向“Log Analytics 工作區”
7. 哨兵和 ASC
- 下載所有適用的劇本。您可以在劇本和工作簿刀片中執行此操作。您現在可以使用這些手冊來尋找表明您的信念的行為。請記住,在打獵時,尋找支持事實的事實,而不是支持你信念的屬性或物品。不要成為“確認偏見”的犧牲品
這會讓你開始。Azure 中的幾乎每個對象/服務都有某種診斷設置,您可以將其指向“Log Analytics 工作區”,此外,您還可以擷取發送到“Log Analytics 工作區”的流量。Sentinel 只能根據您提供的內容進行檢測。我說,給它流量,它會大大增加工作空間日誌,你只需為儲存付費,但 IMO 是值得的。
祝你好運。我希望你沒有受到損害,這個非常基本的回應很有幫助。Google了解更多檢測和接收警報的方法,這種反應只是表面現象。