Шаг 10. Обнаружение и расследование инцидентов безопасности: топ 10 действий для защиты вашей среды
active directory, advanced threat protection, exchange online protection, защита ит-инфраструктуры, информационная безопасность, персональные данные
«Шаг 10. Обнаружение и расследование инцидентов безопасности» – это последняя публикация в серии статей, посвященных топ 10 основным действиям по защите вашей среды. Здесь мы расскажем, как настроить расширенную защиту от угроз Azure (Azure ATP) для защиты айдентити в облаке и локально.
Azure ATP – это служба внутри решения Microsoft Threat Protection, которая интегрируется с Azure Identity Protection и Microsoft Cloud App Security и использует ваши локальные сигналы Active Directory для выявления подозрительных действий пользователей и устройств с помощью известных методов обнаружения и поведенческой аналитики вместе. Служба защищает айдентити пользователей и учетные данные, хранящиеся в Active Directory, позволяет просматривать четкую информацию об атаках на простой временной шкале для быстрой сортировки. Интеграция с Windows Defender Advanced Threat Protection (Windows Defender ATP) обеспечивает единый интерфейс для мониторинга нескольких точек входа.
Azure ATP работает посредством анализа данных, отправляемых датчиками Azure ATP, которые анализируют сетевой трафик с контроллеров домена (рисунок 1). В этом блоге мы делимся ресурсами и советами, которые помогут вам установить и настроить датчики Azure ATP, выполнив следующие действия:
- Спланируйте емкость Azure ATP.
- Установите пакет датчиков Azure ATP.
- Настройте датчик Azure ATP.
- Выявите предупреждения.
Рисунок 1. Датчики Azure ATP анализируют сетевой трафик с контроллеров домена и отправляют его в Azure ATP для анализа.
Спланируйте емкость Azure ATP
Прежде чем приступить к развертыванию Azure ATP, необходимо определить, какие ресурсы требуются для поддержки ваших датчиков Azure ATP. Датчик Azure ATP анализирует сетевой трафик и считывает события локально, без надобности покупать и обслуживать дополнительное оборудование или конфигурации. Датчик Azure ATP также поддерживает трассировку событий для Event Tracing for Windows (ETW), которая предоставляет информацию сразу для нескольких обнаружений. Обнаружения на основе ETW включают предполагаемые атаки DCShadow, где происходят попытки использовать запросы репликации контроллера домена и повышения уровня контроллера домена.
Рекомендуемый и самый простой способ определить емкость для развертывания Azure ATP – использовать инструмент определения размера Azure ATP. После загрузки и запуска инструмента в поле «Занятые пакеты / с» появятся данные – они помогут вам определить ресурсы, необходимые для ваших датчиков.
Затем вы создаете экземпляр Azure Advanced Threat Protection и подключаетесь к лесу каталога Azure. Понадобится клиент Azure Active Directory (Azure AD) как минимум с одним глобальным администратором или администратором безопасности. Каждый экземпляр Azure ATP поддерживает несколько границ леса Active Directory, а также функциональный уровень леса (FFL) Windows 2003 и более поздних версий.
Установите пакет датчиков Azure ATP
После подключения Azure ATP к Azure Directory вы можете загрузить пакет датчика. Нажмите Загрузить на портале Azure ATP, чтобы запустить процесс. Вам необходимо скопировать ключ доступа для использования при установке датчика (Рисунок 2).
Рисунок 2: При установке используется ключ доступа.
Затем проверьте, чтобы контроллеры домена, на которых вы собираетесь установить датчики Azure ATP, были подключены к Интернету с облачной службой Azure ATP. Эти URL-адреса автоматически сопоставляются с правильным расположением службы для вашего экземпляра Azure ATP:
- Для подключения к консоли: <имя-вашего-экземпляра> .atp.azure.com (например, «Contoso-corp.atp.azure.com»)
- Для подключения датчиков: <имя-вашего-экземпляра> sensorapi.atp.azure.com (например, «contoso-corpsensorapi.atp.azure.com»)
Внимание: Между
Извлеките файлы из ZIP-архива и запустите файл setup.exe датчика Azure ATP, после чего стартует мастер установки. Перейдя на экран Настроить датчик (Configure the Sensor), введите ключ доступа, скопированный во время загрузки.
Обратите внимание, что все контроллеры домена в вашей среде должны быть покрыты датчиком Azure ATP. Датчик Azure ATP поддерживает использование прокси.
Дополнительные сведения о настройке прокси-сервера смотрите в разделе Настройка прокси-сервера для Azure ATP.
Настройте датчик Azure ATP
Синхронизатор домена отвечает за синхронизацию между Azure ATP и вашим доменом Active Directory. В зависимости от размера домена, для начальной синхронизация может потребоваться много времени и ресурсов. Рекомендуем установить хотя бы один контроллер домена в качестве кандидата на синхронизатор домена для каждого домена. Это послужит гарантией постоянного активного сканирования вашей сети Azure ATP. По умолчанию датчики Azure ATP не являются кандидатами на синхронизатор домена. Чтобы установить датчик Azure ATP в качестве кандидата на синхронизатор домена вручную, установите переключатель кандидата на синхронизатор домена в положение ON на экране конфигурации (рисунок 3).
Рисунок 3: Параметр переключения кандидата на синхронизатор домена на экране конфигурации в положении ON.
Затем вручную пометьте группы или учетные записи как конфиденциальные, чтобы улучшить обнаружение. Это важно, потому что некоторые обнаружения Azure ATP, такие как обнаружение модификации чувствительной группы и пути бокового перемещения, полагаются на конфиденциальные группы и учетные записи.
Мы также рекомендуем интегрировать Azure ATP с Windows Defender ATP. Windows Defender ATP отслеживает ваши конечные точки, а интеграция создает единый интерфейс для мониторинга и защиты вашей среды. Включить интеграцию с портала Azure ATP легко (рисунок 4).
Рисунок 4. Простой переключатель обеспечивает интеграцию с Windows Defender ATP.
Вы также можете интегрироваться с вашим решением VPN для сбора дополнительной информации о пользователях, такой как IP-адреса и местоположения, где были созданы соединения. Это дополняет процесс расследования, давая дополнительную информацию об активности пользователей, а также новое обнаружение аномальных соединений VPN.
Обнаруживайте предупреждения
После настройки Azure ATP мы рекомендуем вам настроить Azure ATP security alert lab для более ясного понимания сути предупреждений, которые могут появляться в вашей среде. Лаборатория включает руководство по зондированию, в котором разъясняется как Azure ATP выявляет и обнаруживает подозрительные действия от потенциальных атак. Пособие по латеральному движению внутри среды помогает выявлять угрозы во время латерального движения и службы предупреждений безопасности Azure ATP. В руководстве по доминированию домена вы увидите модели некоторых распространенных методов доминирования домена. Для наилучших результатов делайте настройки максимально лаборатории приближенными к инструкциям в руководстве.
После настройки Azure ATP вы сможете управлять предупреждениями о безопасности на временной шкале предупреждений безопасности портала Azure ATP. Оповещения безопасности Azure ATP предоставляют инструменты для обнаружения подозрительных действий, выявленных в вашей сети, а также хакеров и компьютеров, от которых исходят попытки взломов. Оповещения организованы по фазам угроз, классифицируются по степени серьезности и имеют цветовую кодировку для простой визуальной фильтрации.
Узнайте больше
На этом завершается наша серия публикаций «Топ 10 действий для защиты вашей среды». Ознакомьтесь со всеми публикациями этой серии и получите рекомендации по настройке других продуктов безопасности Microsoft 365, таких как Azure AD или Microsoft Cloud App Security.