Az - Defender

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Microsoft Sentinel

Microsoft Sentinel is ā€™n cloud-native SIEM (Security Information and Event Management) en SOAR (Security Orchestration, Automation, and Response) oplossing op Azureā€‹.

Dit aggregeer sekuriteitsdata van regoor ā€™n organisasie (op-premises en cloud) in ā€™n enkele platform en gebruik ingeboude analise en bedreigingsintelligensie om potensiĆ«le bedreigings te identifiseerā€‹. Sentinel benut Azure-dienste soos Log Analytics (vir massiewe logberging en navraag) en Logic Apps (vir geoutomatiseerde werksvloei) ā€“ dit beteken dit kan op aanvraag skaal en integreer met Azure se KI en outomatiseringsvermoĆ«nsā€‹.

In wese versamel en analiseer Sentinel logs van verskeie bronne, ontdek anomalieĆ« of kwaadwillige aktiwiteite, en laat sekuriteitspanne toe om vinnig te ondersoek en op bedreigings te reageer, alles deur die Azure-portaal sonder om op-premises SIEM-infrastruktuur te benodigā€‹.

Microsoft Sentinel Konfigurasie

Jy begin deur Sentinel op ā€™n Azure Log Analytics-werksruimte in te skakel (die werksruimte is waar logs gestoor en geanaliseer sal word). Hieronder is die hoĆ«vlak stappe om te begin:

  1. Skakel Microsoft Sentinel op ā€™n Werksruimte in: In die Azure-portaal, skep of gebruik ā€™n bestaande Log Analytics-werksruimte en voeg Microsoft Sentinel daaraan toe. Dit ontplooi Sentinel se vermoĆ«ns na jou werksruimte.
  2. Koppel Data Bronne (Data Koppelaars): Sodra Sentinel ingeskakel is, koppel jou databronne met behulp van ingeboude datakoppelaars. Of dit nou Entra ID logs, Office 365, of selfs firewall logs is, Sentinel begin outomaties logs en waarskuwings in te neem. Dit word gewoonlik gedoen deur diagnostiese instellings te skep om logs na die log werksruimte te stuur wat gebruik word.
  3. Pas Analise Reƫls en Inhoud toe: Met data wat vloei, skakel ingeboude analise reƫls in of skep pasgemaakte om bedreigings te ontdek. Gebruik die Inhoud Hub vir vooraf verpakte reƫl templates en werksboeke wat jou opsporingsvermoƫns kan aanhelp.
  4. (Opsioneel) Konfigureer Outomatisering: Stel outomatisering op met speelboeke om outomaties op voorvalle te reageerā€”soos om waarskuwings te stuur of gecompromitteerde rekeninge te isoleerā€”wat jou algehele reaksie verbeter.

Hoof Kenmerke

  • Logs: Die Logs-bladsy open die Log Analytics navraag koppelvlak, waar jy diep in jou data kan delf met Kusto Query Language (KQL). Hierdie area is noodsaaklik vir probleemoplossing, forensiese analise, en pasgemaakte verslagdoening. Jy kan navrae skryf en uitvoer om loggebeurtenisse te filter, data oor verskillende bronne te korreleer, en selfs pasgemaakte dashboards of waarskuwings te skep gebaseer op jou bevindinge. Dit is die rou data verkenningsentrum van Sentinel.
  • Soek: Die Soek-gereedskap bied ā€™n verenigde koppelvlak om vinnige toegang tot sekuriteitsgebeurtenisse, voorvalle, en selfs spesifieke loginskrywings te verkry. In plaas daarvan om handmatig deur verskeie bladsye te navigeer, kan jy sleutelwoorde, IP-adresse, of gebruikersname intik om onmiddellik alle verwante gebeurtenisse op te roep. Hierdie kenmerk is veral nuttig tydens ā€™n ondersoek wanneer jy vinnig verskillende stukke inligting moet verbind.
  • Voorvalle: Die Voorvalle-afdeling sentraliseer alle gegroepe waarskuwings in hanteerbare sake. Sentinel aggregeer verwante waarskuwings in ā€™n enkele voorval, wat konteks bied soos erns, tydlyn, en geraakte hulpbronne. Binne ā€™n voorval kan jy ā€™n gedetailleerde ondersoekgrafiek sien wat die verhouding tussen waarskuwings in kaart bring, wat dit makliker maak om die omvang en impak van ā€™n potensiĆ«le bedreiging te verstaan. Voorvalbestuur sluit ook opsies in om take toe te ken, statusse op te dateer, en met reaksiewerksvloei te integreer.
  • Werksboeke: Werksboeke is aanpasbare dashboards en verslae wat jou help om jou sekuriteitsdata te visualiseer en te analiseer. Hulle kombineer verskeie grafieke, tabelle, en navrae om ā€™n omvattende oorsig van tendense en patrone te bied. Byvoorbeeld, jy mag ā€™n werkboek gebruik om ā€™n tydlyn van aanmeldaktiwiteite, geografiese kaart van IP-adresse, of die frekwensie van spesifieke waarskuwings oor tyd te vertoon. Werksboeke is beide vooraf gebou en volledig aanpasbaar om aan jou organisasie se spesifieke moniteringsbehoeftes te voldoen.
  • Jag: Die Jag-funksie bied ā€™n proaktiewe benadering tot die vind van bedreigings wat dalk nie standaard waarskuwings geaktiveer het nie. Dit kom met vooraf geboude jagnavrae wat ooreenstem met raamwerke soos MITRE ATT&CK, maar laat jou ook toe om pasgemaakte navrae te skryf. Hierdie gereedskap is ideaal vir gevorderde ontleders wat op soek is na stil of opkomende bedreigings deur historiese en regte tyd data te verken, soos ongewone netwerkpatrone of anomale gebruikersgedrag.
  • Notebooks: Met die Notebooks-integrasie benut Sentinel Jupyter Notebooks vir gevorderde data-analise en geoutomatiseerde ondersoeke. Hierdie funksie laat jou toe om Python-kode direk teen jou Sentinel-data uit te voer, wat dit moontlik maak om masjienleeranalises uit te voer, pasgemaakte visualisasies te bou, of komplekse ondersoektake te outomatiseer. Dit is veral nuttig vir datawetenskaplikes of sekuriteitsontleders wat diepgaande analises moet uitvoer wat verder gaan as standaard navrae.
  • Entiteit Gedrag: Die Entiteit Gedrag-bladsy gebruik User and Entity Behavior Analytics (UEBA) om baselines vir normale aktiwiteit in jou omgewing te vestig. Dit vertoon gedetailleerde profiele vir gebruikers, toestelle, en IP-adresse, wat afwykings van tipiese gedrag uitlig. Byvoorbeeld, as ā€™n normaalweg lae-aktiwiteit rekening skielik hoĆ«-volume datatransfers toon, sal hierdie afwyking gemerk word. Hierdie gereedskap is krities vir die identifisering van insider bedreigings of gecompromitteerde kredensiale gebaseer op gedragsanomaliĆ«.
  • Bedreigingsintelligensie: Die Bedreigingsintelligensie-afdeling laat jou toe om buitelandse bedreigingsaanwysers te bestuur en te korreleerā€”soos kwaadwillige IP-adresse, URLā€™s, of lĆŖer hashesā€”met jou interne data. Deur te integreer met eksterne intelligensievoedings, kan Sentinel outomaties gebeurtenisse merk wat ooreenstem met bekende bedreigings. Dit help jou om vinnig aanvalle te ontdek en daarop te reageer wat deel uitmaak van breĆ«r, bekende veldtogte, wat ā€™n ander laag konteks aan jou sekuriteitswaarskuwings toevoeg.
  • MITRE ATT&CK: In die MITRE ATT&CK-bladsy, kaart Sentinel jou sekuriteitsdata en opsporingsreĆ«ls na die algemeen erkende MITRE ATT&CK-raamwerk. Hierdie uitsig help jou om te verstaan watter taktieke en tegnieke in jou omgewing waargeneem word, potensiĆ«le gaps in dekking te identifiseer, en jou opsporingsstrategie met erkende aanvalspatrone te align. Dit bied ā€™n gestruktureerde manier om te analiseer hoe teenstanders jou omgewing mag aanval en help om verdediging aksies te prioritiseer.
  • Inhoud Hub: Die Inhoud Hub is ā€™n gesentraliseerde berging van vooraf verpakte oplossings, insluitend datakoppelaars, analise reĆ«ls, werksboeke, en speelboeke. Hierdie oplossings is ontwerp om jou ontplooiing te versnel en jou sekuriteitsposisie te verbeter deur beste-praktyk konfigurasies vir algemene dienste (soos Office 365, Entra ID, ens.) te bied. Jy kan deur hierdie inhoudspakke blaai, installeer, en opdateer, wat dit makliker maak om nuwe tegnologieĆ« in Sentinel te integreer sonder uitgebreide handmatige opstelling.
  • Repositories: Die Repositories-funksie (huidiglik in voorvertoning) stel weergawebeheer vir jou Sentinel-inhoud in staat. Dit integreer met bronbeheer stelsels soos GitHub of Azure DevOps, wat jou toelaat om jou analise reĆ«ls, werksboeke, speelboeke, en ander konfigurasies as kode te bestuur. Hierdie benadering verbeter nie net veranderingsbestuur en samewerking nie, maar maak dit ook makliker om terug te rol na vorige weergawes indien nodig.
  • Werksruimte Bestuur: Microsoft Sentinel se Werksruimte bestuurder stel gebruikers in staat om sentraal verskeie Microsoft Sentinel werksruimtes te bestuur binne een of meer Azure-tenants. Die Sentraal werksruimte (met Werksruimte bestuurder geaktiveer) kan inhouditems konsolideer om op groot skaal aan Lid werksruimtes gepubliseer te word.
  • Data Koppelaars: Die Data Koppelaars-bladsy lys al beskikbare koppelaars wat data in Sentinel bring. Elke koppelaar is vooraf geconfigureer vir spesifieke databronne (sowel Microsoft as derdeparty) en toon sy verbindingsstatus. Om ā€™n datakoppelaar op te stel behels gewoonlik ā€™n paar klik, waarna Sentinel begin om logs van daardie bron in te neem en te analiseer. Hierdie area is noodsaaklik omdat die kwaliteit en breedte van jou sekuriteitsmonitering afhang van die reeks en konfigurasie van jou gekoppelde databronne.
  • Analise: In die Analise-bladsy, skep en bestuur jy die opsporingsreĆ«ls wat Sentinel se waarskuwing aandryf. Hierdie reĆ«ls is in wese navrae wat op ā€™n skedule (of naby regte tyd) loop om verdagte patrone of drempel oortredings in jou logdata te identifiseer. Jy kan kies uit ingeboude templates wat deur Microsoft verskaf word of jou eie pasgemaakte reĆ«ls met KQL skep. Analise reĆ«ls bepaal hoe en wanneer waarskuwings gegenereer word, wat direk ā€™n impak het op hoe voorvalle gevorm en geprioritiseer word.
  • Kyklys: Microsoft Sentinel kyklys stel die versameling van data van eksterne databronne vir korrelasie teen die gebeurtenisse in jou Microsoft Sentinel omgewing in staat. Sodra dit geskep is, benut kyklyste in jou soek, opsporingsreĆ«ls, bedreigingsjag, werksboeke en reaksie speelboeke.
  • Outomatisering: OutomatiseringsreĆ«ls laat jou toe om sentraal al die outomatisering van voorvalhantering te bestuur. OutomatiseringsreĆ«ls stroomlyn outomatiseringsgebruik in Microsoft Sentinel en stel jou in staat om komplekse werksvloei vir jou voorval orkestrasie prosesse te vereenvoudig.

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks