Az - Defender

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

Microsoft Defender for Cloud

Microsoft Defender for Cloud 是一个全面的安全管理解决方案,涵盖 Azure、本地和多云环境。它被归类为云原生应用保护平台(CNAPP),结合了云安全态势管理(CSPM)和云工作负载保护(CWPP)能力。其目的是帮助组织发现 云资源中的错误配置和弱点,增强整体安全态势,并保护工作负载免受 Azure、亚马逊网络服务(AWS)、谷歌云平台(GCP)、混合本地设置等不断演变的威胁。

在实际操作中,Defender for Cloud 持续评估您的资源与安全最佳实践和标准的符合性,提供统一的仪表板以便于可视化,并使用先进的威胁检测来提醒您攻击。主要好处包括 跨云的统一安全视图、可采取的建议以防止数据泄露,以及集成的威胁保护,可以降低安全事件的风险。通过原生支持 AWS 和 GCP 及其他 SaaS 平台,并使用 Azure Arc 管理本地服务器,确保您可以 在一个地方管理所有环境的安全

Key Features

  • Recommendations: 本节提供基于持续评估的可操作安全建议列表。每个建议解释了识别出的错误配置或漏洞,并提供修复步骤,让您确切知道该修复什么以提高安全评分。
  • Attack Path Analysis: 攻击路径分析可视化地映射潜在的攻击路线。通过展示漏洞如何连接并可能被利用,它帮助您理解并打破这些路径以防止数据泄露。
  • Security Alerts: 安全警报页面通知您实时威胁和可疑活动。每个警报包括严重性、受影响资源和推荐行动等详细信息,确保您能够迅速应对新出现的问题。
  • 检测技术基于 威胁情报、行为分析和异常检测
  • 可以在 https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference 找到所有可能的警报。根据名称和描述,可以知道 警报在寻找什么(以绕过它)。
  • Inventory: 在库存部分,您可以找到跨环境监控的所有资产的综合列表。它提供每个资源安全状态的一目了然的视图,帮助您快速发现需要修复的未保护或风险资产。
  • Cloud Security Explorer: 云安全探索器提供基于查询的界面,以搜索和分析您的云环境。它允许您发现隐藏的安全风险,并探索资源之间的复杂关系,增强您的整体威胁狩猎能力。
  • Workbooks: 工作簿是可视化您的安全数据的交互式报告。使用预构建或自定义模板,它们帮助您监控趋势、跟踪合规性,并审查安全评分随时间的变化,使数据驱动的安全决策变得更容易。
  • Community: 社区部分将您与同行、专家论坛和最佳实践指南连接起来。它是一个宝贵的资源,可以从他人的经验中学习,找到故障排除技巧,并随时了解最新的 Defender for Cloud 发展。
  • Diagnose and Solve Problems: 这个故障排除中心帮助您快速识别和解决与 Defender for Cloud 的配置或数据收集相关的问题。它提供指导诊断和解决方案,以确保平台有效运行。
  • Security Posture: 安全态势页面将您的整体安全状态汇总为一个安全评分。它提供有关您的云中哪些区域强大以及哪些区域需要改进的见解,作为您环境的快速健康检查。
  • Regulatory Compliance: 此仪表板评估您的资源在多大程度上遵循行业标准和监管要求。它显示与 PCI DSS 或 ISO 27001 等基准的合规评分,帮助您找出差距并跟踪审计的修复情况。
  • Workload Protections: 工作负载保护专注于保护特定类型的资源(如服务器、数据库和容器)。它指示哪些 Defender 计划处于活动状态,并为每个工作负载提供量身定制的警报和建议,以增强其保护。它能够在特定资源中发现恶意行为。
  • 这也是您可以在某些服务中找到的 Enable Microsoft Defender for X 选项。
  • Data and AI Security (Preview): 在此预览部分,Defender for Cloud 将其保护扩展到数据存储和 AI 服务。它突出安全漏洞并监控敏感数据,确保您的数据存储库和 AI 平台免受威胁。
  • Firewall Manager: 防火墙管理器与 Azure 防火墙集成,为您提供网络安全策略的集中视图。它简化了防火墙部署的管理和监控,确保在您的虚拟网络中一致应用安全规则。
  • DevOps Security: DevOps 安全与您的开发管道和代码库集成,以在软件生命周期的早期嵌入安全。它帮助识别代码和配置中的漏洞,确保安全内置于开发过程中。

Microsoft Defender EASM

Microsoft Defender 外部攻击面管理(EASM)持续 扫描和映射您组织的互联网面向资产——包括域、子域、IP 地址和 Web 应用程序——以提供您外部数字足迹的全面实时视图。它利用先进的爬虫技术,从已知的发现种子开始,自动发现可能保持隐藏的管理和影子 IT 资产。EASM 识别 风险配置,例如暴露的管理接口、公开可访问的存储桶和易受不同 CVE 攻击的服务,使您的安全团队能够在这些问题被利用之前解决它们。 此外,持续监控还可以显示 暴露基础设施的变化,比较不同的扫描结果,以便管理员能够意识到每个执行的更改。 通过提供实时洞察和详细的资产清单,Defender EASM 使组织能够 持续监控和跟踪其外部暴露的变化。它使用基于风险的分析,根据严重性和上下文因素优先处理发现,确保修复工作集中在最重要的地方。这种主动的方法不仅有助于发现隐藏的漏洞,还通过在新暴露出现时提醒您,支持您整体安全态势的持续改进。

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks