Az - Defender

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

Microsoft Sentinel

Microsoft Sentinel 是一个云原生的 SIEM(安全信息和事件管理)和 SOAR(安全编排、自动化和响应)解决方案,运行在 Azure 上。

它将组织内(本地和云)的安全数据聚合到一个平台中,并使用 内置分析和威胁情报 来识别潜在威胁。Sentinel 利用 Azure 服务,如 Log Analytics(用于大规模日志存储和查询)和 Logic Apps(用于自动化工作流)——这意味着它可以按需扩展并与 Azure 的 AI 和自动化能力集成。

本质上,Sentinel 收集和分析来自各种来源的日志,检测异常或恶意活动,并允许安全团队快速调查和响应威胁,所有这些都通过 Azure 门户进行,无需本地 SIEM 基础设施。

Microsoft Sentinel 配置

您可以通过在 Azure Log Analytics 工作区上启用 Sentinel 开始(工作区是存储和分析日志的地方)。以下是开始的高层步骤:

  1. 在工作区上启用 Microsoft Sentinel:在 Azure 门户中,创建或使用现有的 Log Analytics 工作区,并将 Microsoft Sentinel 添加到其中。这将把 Sentinel 的功能部署到您的工作区。
  2. 连接数据源(数据连接器):一旦启用 Sentinel,使用内置数据连接器连接您的数据源。无论是 Entra ID 日志、Office 365,还是防火墙日志,Sentinel 开始自动摄取日志和警报。通常通过创建诊断设置将日志发送到正在使用的日志工作区来完成此操作。
  3. 应用分析规则和内容:随着数据的流入,启用内置分析规则或创建自定义规则以检测威胁。使用内容中心获取预打包的规则模板和工作簿,以快速启动您的检测能力。
  4. (可选)配置自动化:设置自动化与剧本,以自动响应事件——例如发送警报或隔离受损账户——增强您的整体响应能力。

主要功能

  • 日志:日志刀片打开 Log Analytics 查询界面,您可以使用 Kusto 查询语言(KQL) 深入分析数据。此区域对于故障排除、取证分析和自定义报告至关重要。您可以编写和执行查询以过滤日志事件、关联来自不同来源的数据,甚至根据您的发现创建自定义仪表板或警报。它是 Sentinel 的原始数据探索中心。
  • 搜索:搜索工具提供统一界面,以 快速定位安全事件、事件和特定日志条目。您可以输入关键字、IP 地址或用户名,立即提取所有相关事件,而无需手动浏览多个刀片。此功能在调查期间特别有用,当您需要快速连接不同的信息时。
  • 事件:事件部分将所有 分组警报集中到可管理的案例中。Sentinel 将相关警报聚合到一个事件中,提供严重性、时间线和受影响资源等上下文。在事件中,您可以查看详细的调查图,绘制警报之间的关系,使理解潜在威胁的范围和影响变得更容易。事件管理还包括分配任务、更新状态和与响应工作流集成的选项。
  • 工作簿:工作簿是可自定义的仪表板和报告,帮助您 可视化和分析安全数据。它们结合各种图表、表格和查询,提供趋势和模式的全面视图。例如,您可以使用工作簿显示登录活动的时间线、IP 地址的地理映射或特定警报的频率。工作簿既有预构建的,也可以完全自定义,以满足您组织的特定监控需求。
  • 狩猎:狩猎功能提供了一种主动的方法来 发现可能未触发标准警报的威胁。它配备了与 MITRE ATT&CK 等框架对齐的预构建狩猎查询,但也允许您编写自定义查询。此工具非常适合 希望揭示隐秘或新兴威胁的高级分析师,通过探索历史和实时数据,例如异常的网络模式或异常的用户行为。
  • 笔记本:通过笔记本集成,Sentinel 利用 Jupyter 笔记本进行高级数据分析和自动化调查。此功能允许您直接对 Sentinel 数据运行 Python 代码,使得执行机器学习分析、构建自定义可视化或自动化复杂调查任务成为可能。对于需要进行超出标准查询的深入分析的数据科学家或安全分析师来说,这尤其有用。
  • 实体行为:实体行为页面使用 用户和实体行为分析(UEBA) 来建立您环境中正常活动的基线。它显示用户、设备和 IP 地址的详细配置文件,突出显示与典型行为的偏差。例如,如果一个通常低活动的账户突然表现出高数据传输量,这种偏差将被标记。此工具对于基于行为异常识别内部威胁或受损凭证至关重要。
  • 威胁情报:威胁情报部分允许您 管理和关联外部威胁指标——例如恶意 IP 地址、URL 或文件哈希——与您的内部数据。通过与外部情报源集成,Sentinel 可以自动标记与已知威胁匹配的事件。这有助于您快速检测和响应属于更广泛已知攻击活动的攻击,为您的安全警报增加另一层上下文。
  • MITRE ATT&CK:在 MITRE ATT&CK 刀片中,Sentinel 将您的安全数据和检测规则映射到广泛认可的 MITRE ATT&CK 框架。此视图帮助您了解在您的环境中观察到的战术和技术,识别覆盖中的潜在空白,并将您的检测策略与公认的攻击模式对齐。它提供了一种结构化的方法来分析对手可能如何攻击您的环境,并帮助优先考虑防御行动。
  • 内容中心:内容中心是一个集中式存储库,包含 预打包的解决方案,包括数据连接器、分析规则、工作簿和剧本。这些解决方案旨在加速您的部署并改善您的安全态势,通过提供常见服务(如 Office 365、Entra ID 等)的最佳实践配置。您可以浏览、安装和更新这些内容包,使得将新技术集成到 Sentinel 中变得更容易,而无需大量手动设置。
  • 存储库:存储库功能(目前处于预览阶段)为您的 Sentinel 内容启用版本控制。它与源控制系统(如 GitHub 或 Azure DevOps)集成,允许您 将分析规则、工作簿、剧本和其他配置作为代码进行管理。这种方法不仅改善了变更管理和协作,还使得在必要时更容易回滚到先前版本。
  • 工作区管理:Microsoft Sentinel 的工作区管理器使用户能够 集中管理一个或多个 Azure 租户中的多个 Microsoft Sentinel 工作区。中央工作区(启用工作区管理器)可以将内容项整合到规模上发布到成员工作区。
  • 数据连接器:数据连接器页面列出所有可用的连接器,将数据引入 Sentinel。每个连接器都是 为特定数据源预配置的(包括 Microsoft 和第三方),并显示其连接状态。设置数据连接器通常只需几次点击,之后 Sentinel 开始从该源摄取和分析日志。此区域至关重要,因为您的安全监控的质量和广度取决于您连接的数据源的范围和配置。
  • 分析:在分析刀片中,您 创建和管理驱动 Sentinel 警报的检测规则。这些规则本质上是按计划(或近实时)运行的查询,用于识别日志数据中的可疑模式或阈值突破。您可以选择 Microsoft 提供的内置模板,或使用 KQL 编写自己的自定义规则。分析规则决定了警报的生成方式和时间,直接影响事件的形成和优先级。
  • 观察列表:Microsoft Sentinel 观察列表使您能够 从外部数据源收集数据,以便与 Microsoft Sentinel 环境中的事件进行关联。创建后,在您的搜索、检测规则、威胁狩猎、工作簿和响应剧本中利用观察列表。
  • 自动化:自动化规则允许您 集中管理所有事件处理的自动化。自动化规则简化了 Microsoft Sentinel 中的自动化使用,并使您能够简化事件编排过程中的复杂工作流。

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks