Az - Defender

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Microsoft Sentinel

Microsoft Sentinel to natywne w chmurze SIEM (Zarządzanie Informacjami o Bezpieczeństwie i Zdarzeniami) oraz SOAR (Orkiestracja, Automatyzacja i Reakcja na Bezpieczeństwo) rozwiązanie na platformie Azure​.

Agreguje dane dotyczące bezpieczeństwa z całej organizacji (lokalnie i w chmurze) w jedną platformę i wykorzystuje wbudowaną analitykę i inteligencję zagrożeń do identyfikacji potencjalnych zagrożeń​. Sentinel korzysta z usług Azure, takich jak Log Analytics (do masowego przechowywania i zapytań logów) oraz Logic Apps (do zautomatyzowanych przepływów pracy) – co oznacza, że może skalować się na żądanie i integrować z możliwościami AI i automatyzacji Azure​.

W istocie, Sentinel zbiera i analizuje logi z różnych źródeł, wykrywa anomalie lub złośliwe działania oraz pozwala zespołom bezpieczeństwa szybko badać i reagować na zagrożenia, wszystko za pośrednictwem portalu Azure, bez potrzeby posiadania lokalnej infrastruktury SIEM​.

Konfiguracja Microsoft Sentinel

Zaczynasz od włączenia Sentinel w przestrzeni roboczej Azure Log Analytics (przestrzeń robocza to miejsce, w którym logi będą przechowywane i analizowane). Poniżej znajdują się ogólne kroki, aby rozpocząć:

  1. Włącz Microsoft Sentinel w przestrzeni roboczej: W portalu Azure utwórz lub użyj istniejącej przestrzeni roboczej Log Analytics i dodaj do niej Microsoft Sentinel. To wdraża możliwości Sentinel w Twojej przestrzeni roboczej.
  2. Połącz źródła danych (Konektory danych): Po włączeniu Sentinel, połącz swoje źródła danych za pomocą wbudowanych konektorów danych. Niezależnie od tego, czy są to logi Entra ID, Office 365, czy nawet logi zapory, Sentinel zaczyna automatycznie pobierać logi i alerty. Zwykle odbywa się to poprzez tworzenie ustawień diagnostycznych, aby wysyłać logi do używanej przestrzeni roboczej.
  3. Zastosuj zasady analityczne i treści: Gdy dane zaczynają napływać, włącz wbudowane zasady analityczne lub stwórz własne, aby wykrywać zagrożenia. Użyj Centrum Treści do prepakowanych szablonów zasad i zeszytów roboczych, które przyspieszają Twoje możliwości wykrywania.
  4. (Opcjonalnie) Skonfiguruj automatyzację: Ustaw automatyzację za pomocą książek akcji, aby automatycznie reagować na incydenty – takie jak wysyłanie alertów lub izolowanie skompromitowanych kont – co zwiększa Twoją ogólną reakcję.

Główne funkcje

  • Logi: Karta Logi otwiera interfejs zapytań Log Analytics, gdzie możesz dogłębnie analizować swoje dane za pomocą Kusto Query Language (KQL). Ten obszar jest kluczowy dla rozwiązywania problemów, analizy kryminalistycznej i raportowania niestandardowego. Możesz pisać i wykonywać zapytania, aby filtrować zdarzenia logów, korelować dane z różnych źródeł, a nawet tworzyć niestandardowe pulpity nawigacyjne lub alerty na podstawie swoich ustaleń. To centrum eksploracji surowych danych Sentinel.
  • Wyszukiwanie: Narzędzie Wyszukiwanie oferuje zintegrowany interfejs do szybkiego lokalizowania zdarzeń bezpieczeństwa, incydentów, a nawet konkretnych wpisów logów. Zamiast ręcznie przeszukiwać wiele kart, możesz wpisać słowa kluczowe, adresy IP lub nazwy użytkowników, aby natychmiast wyświetlić wszystkie powiązane zdarzenia. Ta funkcja jest szczególnie przydatna podczas dochodzenia, gdy musisz szybko połączyć różne informacje.
  • Incydenty: Sekcja Incydenty centralizuje wszystkie grupowane alerty w zarządzalne przypadki. Sentinel agreguje powiązane alerty w jeden incydent, dostarczając kontekst, taki jak powaga, oś czasu i dotknięte zasoby. W ramach incydentu możesz zobaczyć szczegółowy wykres dochodzeniowy, który mapuje relacje między alertami, co ułatwia zrozumienie zakresu i wpływu potencjalnego zagrożenia. Zarządzanie incydentami obejmuje również opcje przypisywania zadań, aktualizacji statusów i integracji z przepływami pracy odpowiedzi.
  • Zeszyty robocze: Zeszyty robocze to konfigurowalne pulpity nawigacyjne i raporty, które pomagają wizualizować i analizować dane dotyczące bezpieczeństwa. Łączą różne wykresy, tabele i zapytania, aby oferować kompleksowy widok trendów i wzorców. Na przykład, możesz użyć zeszytu roboczego do wyświetlenia osi czasu aktywności logowania, geograficznego mapowania adresów IP lub częstotliwości konkretnych alertów w czasie. Zeszyty robocze są zarówno wstępnie zbudowane, jak i w pełni konfigurowalne, aby odpowiadały specyficznym potrzebom monitorowania Twojej organizacji.
  • Polowanie: Funkcja Polowanie zapewnia proaktywne podejście do znajdowania zagrożeń, które mogą nie wywołać standardowych alertów. Posiada wstępnie zbudowane zapytania polowania, które są zgodne z ramami takimi jak MITRE ATT&CK, ale także pozwala na pisanie niestandardowych zapytań. To narzędzie jest idealne dla zaawansowanych analityków, którzy chcą odkrywać ukryte lub pojawiające się zagrożenia poprzez badanie danych historycznych i w czasie rzeczywistym, takich jak nietypowe wzorce sieciowe lub anomalne zachowanie użytkowników.
  • Notatniki: Dzięki integracji Notatników, Sentinel wykorzystuje Notatniki Jupyter do zaawansowanej analizy danych i zautomatyzowanych dochodzeń. Ta funkcja pozwala na uruchamianie kodu Python bezpośrednio na danych Sentinel, co umożliwia przeprowadzanie analiz uczenia maszynowego, budowanie niestandardowych wizualizacji lub automatyzację złożonych zadań dochodzeniowych. Jest szczególnie przydatna dla naukowców danych lub analityków bezpieczeństwa, którzy potrzebują przeprowadzać analizy głębokie wykraczające poza standardowe zapytania.
  • Zachowanie podmiotów: Strona Zachowanie podmiotów wykorzystuje Analizę Zachowań Użytkowników i Podmiotów (UEBA) do ustalania podstawowych norm normalnej aktywności w Twoim środowisku. Wyświetla szczegółowe profile użytkowników, urządzeń i adresów IP, podkreślając odchylenia od typowego zachowania. Na przykład, jeśli konto o normalnie niskiej aktywności nagle wykazuje wysoką ilość transferów danych, to odchylenie zostanie oznaczone. To narzędzie jest kluczowe do identyfikacji zagrożeń wewnętrznych lub skompromitowanych poświadczeń na podstawie anomalii behawioralnych.
  • Inteligencja zagrożeń: Sekcja Inteligencja zagrożeń pozwala na zarządzanie i korelację zewnętrznych wskaźników zagrożeń – takich jak złośliwe adresy IP, URL-e lub hashe plików – z danymi wewnętrznymi. Integrując się z zewnętrznymi źródłami informacji, Sentinel może automatycznie oznaczać zdarzenia, które odpowiadają znanym zagrożeniom. Pomaga to szybko wykrywać i reagować na ataki, które są częścią szerszych, znanych kampanii, dodając kolejny poziom kontekstu do Twoich alertów bezpieczeństwa.
  • MITRE ATT&CK: Na karcie MITRE ATT&CK, Sentinel mapuje Twoje dane bezpieczeństwa i zasady wykrywania do powszechnie uznawanego frameworka MITRE ATT&CK. Ten widok pomaga zrozumieć, które taktyki i techniki są obserwowane w Twoim środowisku, zidentyfikować potencjalne luki w pokryciu i dostosować strategię wykrywania do uznawanych wzorców ataków. Zapewnia to strukturalny sposób analizy, jak przeciwnicy mogą atakować Twoje środowisko i pomaga w priorytetyzacji działań obronnych.
  • Centrum Treści: Centrum Treści to scentralizowany repozytorium prepakowanych rozwiązań, w tym konektorów danych, zasad analitycznych, zeszytów roboczych i książek akcji. Te rozwiązania są zaprojektowane, aby przyspieszyć Twoje wdrożenie i poprawić Twoją postawę bezpieczeństwa, dostarczając konfiguracje najlepszych praktyk dla powszechnych usług (takich jak Office 365, Entra ID itp.). Możesz przeglądać, instalować i aktualizować te pakiety treści, co ułatwia integrację nowych technologii z Sentinel bez rozbudowanej konfiguracji ręcznej.
  • Repozytoria: Funkcja Repozytoria (obecnie w wersji podglądowej) umożliwia kontrolę wersji dla Twojej treści Sentinel. Integruje się z systemami kontroli wersji, takimi jak GitHub lub Azure DevOps, pozwalając na zarządzanie zasadami analitycznymi, zeszytami roboczymi, książkami akcji i innymi konfiguracjami jako kodem. To podejście nie tylko poprawia zarządzanie zmianami i współpracę, ale także ułatwia powrót do wcześniejszych wersji, jeśli zajdzie taka potrzeba.
  • Zarządzanie przestrzenią roboczą: Menedżer przestrzeni roboczej Microsoft Sentinel umożliwia użytkownikom centralne zarządzanie wieloma przestrzeniami roboczymi Microsoft Sentinel w jednym lub więcej dzierżawach Azure. Centralna przestrzeń robocza (z włączonym menedżerem przestrzeni roboczej) może konsolidować elementy treści do publikacji na dużą skalę w przestrzeniach roboczych członkowskich.
  • Konektory danych: Strona Konektory danych wyświetla wszystkie dostępne konektory, które wprowadzają dane do Sentinel. Każdy konektor jest wstępnie skonfigurowany dla konkretnych źródeł danych (zarówno Microsoft, jak i zewnętrznych) i pokazuje jego status połączenia. Ustawienie konektora danych zazwyczaj wymaga kilku kliknięć, po czym Sentinel zaczyna pobierać i analizować logi z tego źródła. Ten obszar jest kluczowy, ponieważ jakość i zakres Twojego monitorowania bezpieczeństwa zależą od zakresu i konfiguracji Twoich połączonych źródeł danych.
  • Analityka: Na karcie Analityka tworzysz i zarządzasz zasadami wykrywania, które napędzają alerty Sentinel. Te zasady to w zasadzie zapytania, które są uruchamiane według harmonogramu (lub w czasie rzeczywistym), aby zidentyfikować podejrzane wzorce lub naruszenia progów w Twoich danych logów. Możesz wybierać spośród wbudowanych szablonów dostarczonych przez Microsoft lub tworzyć własne niestandardowe zasady za pomocą KQL. Zasady analityczne określają, jak i kiedy generowane są alerty, co bezpośrednio wpływa na to, jak incydenty są formowane i priorytetyzowane.
  • Lista obserwacyjna: Lista obserwacyjna Microsoft Sentinel umożliwia zbieranie danych z zewnętrznych źródeł danych do korelacji z wydarzeniami w Twoim środowisku Microsoft Sentinel. Po utworzeniu, wykorzystaj listy obserwacyjne w swoim wyszukiwaniu, zasadach wykrywania, polowaniu na zagrożenia, zeszytach roboczych i książkach akcji odpowiedzi.
  • Automatyzacja: Zasady automatyzacji pozwalają na centralne zarządzanie wszystkimi automatyzacjami obsługi incydentów. Zasady automatyzacji upraszczają użycie automatyzacji w Microsoft Sentinel i umożliwiają uproszczenie złożonych przepływów pracy dla Twoich procesów orkiestracji incydentów.

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks