Az - Defender

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Microsoft Defender for Cloud

Microsoft Defender for Cloud to kompleksowe rozwiązanie do zarządzania bezpieczeństwem, które obejmuje Azure, lokalne środowiska i środowiska wielochmurowe. Jest klasyfikowane jako Cloud-Native Application Protection Platform (CNAPP), łącząc Cloud Security Posture Management (CSPM) i Cloud Workload Protection (CWPP)​. Jego celem jest pomoc organizacjom w znalezieniu błędnych konfiguracji i słabych punktów w zasobach chmurowych, wzmocnienie ogólnej postawy bezpieczeństwa oraz ochrona obciążeń przed ewoluującymi zagrożeniami w Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), hybrydowych lokalnych konfiguracjach​ i innych.

W praktyce, Defender for Cloud ciągle ocenia Twoje zasoby w odniesieniu do najlepszych praktyk i standardów bezpieczeństwa, zapewnia zintegrowany pulpit nawigacyjny dla widoczności i wykorzystuje zaawansowane wykrywanie zagrożeń, aby powiadomić Cię o atakach. Kluczowe korzyści obejmują zintegrowany widok bezpieczeństwa w chmurach, wykonalne rekomendacje zapobiegające naruszeniom oraz zintegrowaną ochronę przed zagrożeniami, która może zmniejszyć ryzyko incydentów bezpieczeństwa​. Dzięki natywnej obsłudze AWS i GCP oraz wykorzystaniu Azure Arc dla lokalnych serwerów, zapewnia, że możesz zarządzać bezpieczeństwem w jednym miejscu dla wszystkich środowisk​.

Kluczowe funkcje

  • Rekomendacje: Ta sekcja przedstawia listę wykonalnych rekomendacji dotyczących bezpieczeństwa opartych na ciągłych ocenach. Każda rekomendacja wyjaśnia zidentyfikowane błędne konfiguracje lub luki i podaje kroki naprawcze, abyś wiedział dokładnie, co naprawić, aby poprawić swój wynik bezpieczeństwa.
  • Analiza ścieżek ataku: Analiza ścieżek ataku wizualnie mapuje potencjalne trasy ataku w Twoich zasobach chmurowych. Pokazując, jak luki łączą się i mogą być wykorzystywane, pomaga zrozumieć i przerwać te ścieżki, aby zapobiec naruszeniom.
  • Alerty bezpieczeństwa: Strona Alerty bezpieczeństwa powiadamia Cię o zagrożeniach w czasie rzeczywistym i podejrzanych działaniach. Każdy alert zawiera szczegóły, takie jak powaga, dotknięte zasoby i zalecane działania, zapewniając, że możesz szybko reagować na pojawiające się problemy.
  • Techniki wykrywania opierają się na inteligencji zagrożeń, analizie behawioralnej i wykrywaniu anomalii.
  • Możliwe jest znalezienie wszystkich możliwych alertów w https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. Na podstawie nazwy i opisu można wiedzieć czego szuka alert (aby go obejść).
  • Inwentarz: W sekcji Inwentarz znajdziesz kompleksową listę wszystkich monitorowanych zasobów w Twoich środowiskach. Zapewnia przegląd statusu bezpieczeństwa każdego zasobu, pomagając szybko zidentyfikować niechronione lub ryzykowne zasoby, które wymagają naprawy.
  • Cloud Security Explorer: Cloud Security Explorer oferuje interfejs oparty na zapytaniach do wyszukiwania i analizy Twojego środowiska chmurowego. Umożliwia odkrywanie ukrytych ryzyk bezpieczeństwa i badanie złożonych relacji między zasobami, zwiększając Twoje ogólne możliwości poszukiwania zagrożeń.
  • Workbooki: Workbooki to interaktywne raporty, które wizualizują Twoje dane dotyczące bezpieczeństwa. Używając wstępnie zbudowanych lub niestandardowych szablonów, pomagają monitorować trendy, śledzić zgodność i przeglądać zmiany w Twoim wyniku bezpieczeństwa w czasie, co ułatwia podejmowanie decyzji opartych na danych.
  • Społeczność: Sekcja Społeczność łączy Cię z rówieśnikami, ekspertami i przewodnikami najlepszych praktyk. To cenne źródło wiedzy, które pozwala uczyć się na doświadczeniach innych, znajdować porady dotyczące rozwiązywania problemów i być na bieżąco z najnowszymi wydarzeniami związanymi z Defender for Cloud.
  • Diagnostyka i rozwiązywanie problemów: Ten hub rozwiązywania problemów pomaga szybko zidentyfikować i rozwiązać problemy związane z konfiguracją lub zbieraniem danych przez Defender for Cloud. Zapewnia prowadzone diagnostyki i rozwiązania, aby zapewnić skuteczne działanie platformy.
  • Postawa bezpieczeństwa: Strona Postawa bezpieczeństwa agreguje Twój ogólny status bezpieczeństwa w jeden wynik bezpieczeństwa. Zapewnia wgląd w to, które obszary Twojej chmury są silne, a gdzie potrzebne są poprawy, służąc jako szybki przegląd zdrowia Twojego środowiska.
  • Zgodność regulacyjna: Ten pulpit ocenia, jak dobrze Twoje zasoby przestrzegają standardów branżowych i wymogów regulacyjnych. Pokazuje wyniki zgodności w odniesieniu do benchmarków, takich jak PCI DSS lub ISO 27001, pomagając zidentyfikować luki i śledzić naprawy na potrzeby audytów.
  • Ochrona obciążeń: Ochrona obciążeń koncentruje się na zabezpieczaniu konkretnych typów zasobów (takich jak serwery, bazy danych i kontenery). Wskazuje, które plany Defender są aktywne i zapewnia dostosowane alerty oraz rekomendacje dla każdego obciążenia, aby zwiększyć ich ochronę. Jest w stanie wykrywać złośliwe zachowania w konkretnych zasobach.
  • To również opcja Włącz Microsoft Defender dla X, którą można znaleźć w niektórych usługach.
  • Bezpieczeństwo danych i AI (Podgląd): W tej sekcji podglądu, Defender for Cloud rozszerza swoją ochronę na magazyny danych i usługi AI. Podkreśla luki w zabezpieczeniach i monitoruje wrażliwe dane, zapewniając, że zarówno Twoje repozytoria danych, jak i platformy AI są chronione przed zagrożeniami.
  • Menedżer zapory: Menedżer zapory integruje się z Azure Firewall, aby zapewnić centralny widok polityk bezpieczeństwa sieci. Ułatwia zarządzanie i monitorowanie wdrożeń zapory, zapewniając spójne stosowanie zasad bezpieczeństwa w całych Twoich sieciach wirtualnych.
  • Bezpieczeństwo DevOps: Bezpieczeństwo DevOps integruje się z Twoimi pipeline’ami deweloperskimi i repozytoriami kodu, aby wbudować bezpieczeństwo na wczesnym etapie cyklu życia oprogramowania. Pomaga identyfikować luki w kodzie i konfiguracjach, zapewniając, że bezpieczeństwo jest wbudowane w proces rozwoju.

Microsoft Defender EASM

Microsoft Defender External Attack Surface Management (EASM) ciągle skanuje i mapuje internetowe zasoby Twojej organizacji—w tym domeny, subdomeny, adresy IP i aplikacje internetowe—aby zapewnić kompleksowy, rzeczywisty widok Twojego zewnętrznego śladu cyfrowego. Wykorzystuje zaawansowane techniki skanowania, zaczynając od znanych źródeł odkrycia, aby automatycznie odkrywać zarówno zarządzane, jak i ukryte zasoby IT, które mogłyby pozostać niewidoczne. EASM identyfikuje ryzykowne konfiguracje, takie jak ujawnione interfejsy administracyjne, publicznie dostępne kosze na dane i usługi podatne na różne CVE, umożliwiając Twojemu zespołowi bezpieczeństwa zajęcie się tymi problemami, zanim zostaną wykorzystane. Co więcej, ciągłe monitorowanie może również pokazać zmiany w ujawnionej infrastrukturze, porównując różne wyniki skanowania, aby administrator mógł być świadomy każdej wprowadzonej zmiany. Dostarczając informacje w czasie rzeczywistym i szczegółowe inwentarze zasobów, Defender EASM umożliwia organizacjom ciągłe monitorowanie i śledzenie zmian w ich zewnętrznej ekspozycji. Wykorzystuje analizę opartą na ryzyku, aby priorytetyzować ustalenia na podstawie powagi i czynników kontekstowych, zapewniając, że wysiłki naprawcze są skoncentrowane tam, gdzie są najważniejsze. To proaktywne podejście nie tylko pomaga w odkrywaniu ukrytych luk, ale także wspiera ciągłe doskonalenie Twojej ogólnej postawy bezpieczeństwa, powiadamiając Cię o wszelkich nowych ekspozycjach, gdy się pojawią.

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks