Doporučení pro monitorování a detekci hrozeb

Vztahuje se na toto doporučení Power Platform Dobře uspořádaného kontrolního seznamu zabezpečení:

SE:08	Implementujte komplexní strategii monitorování, která se opírá o moderní mechanismy detekce hrozeb, které lze integrovat s platformou. Mechanismy by měly spolehlivě upozorňovat na stanovování priorit a odesílat signály do stávajících procesů SecOps.

Tato příručka popisuje doporučení pro monitorování a detekci hrozeb. Monitorování je v podstatě proces získání informací o událostech, které se již staly. Monitorování zabezpečení je praxe zachycování informací v různých úrovních úlohy (identita, toky, aplikace, operace) k získání povědomí o podezřelých aktivitách. Cílem je předvídat incidenty a poučit se z minulých událostí. Data monitorování poskytují základ pro analýzu toho, co se stalo po incidentu, a napomáhají tak reakci na incidenty a forenznímu vyšetřování.

Monitoring je přístup provozní dokonalosti, který se uplatňuje u všech Power Platform dobře architektonických pilířů. Tato příručka poskytuje doporučení pouze z hlediska zabezpečení. Obecné koncepty monitorování jsou uvedeny v tématu Doporučení pro návrh a vytvoření monitorovacího systému.

Definice

Pojem	definice
Protokoly auditu	Záznam aktivit v systému.
Správa akcí a informací o zabezpečení (SIEM)	Přístup, který využívá integrované funkce detekce hrozeb a analytické funkce založené na datech, která jsou agregována z více zdrojů.
Detekce hrozeb	Strategie pro zjišťování odchylek od očekávaných akcí pomocí shromážděných, analyzovaných a korelovaných dat.
Analýza hrozeb	Strategie pro interpretaci dat detekce hrozeb k detekci podezřelé aktivity nebo hrozeb zkoumáním vzorců.
Prevence hrozeb	Ovládací prvky zabezpečení, které jsou umístěny v úloze v různých úrovních, aby chránily její zdroje.

Klíčové strategie návrhu

Hlavním účelem monitorování zabezpečení je detekce hrozeb. Primárním cílem je zabránit potenciálnímu narušení bezpečnosti a udržovat bezpečné prostředí. Je však stejně důležité si uvědomit, že ne všechny hrozby lze preventivně blokovat. V takových případech slouží monitorování také jako mechanismus k identifikaci příčiny bezpečnostního incidentu, ke kterému došlo navzdory preventivním snahám.

Ke sledování lze přistupovat z různých úhlů pohledu:

• Monitorování v různých úrovních. Pozorování z různých úrovní je proces získávání informací o tocích uživatelů, přístupu k datům, identitě, sítích, a dokonce i operačním systému. Každá z těchto oblastí nabízí jedinečné poznatky, které vám mohou pomoci identifikovat odchylky od očekávaného chování, které je založeno na základní úrovni zabezpečení. Naopak průběžné sledování systému a aplikací v průběhu času může pomoci vytvořit základní pozici. Obvykle můžete například každou hodinu zaznamenat přibližně 1000 pokusů o přihlášení ve vašem systému identity. Pokud vaše sledování během krátké doby zaznamená nárůst 50 000 pokusů o přihlášení, může se útočník pokoušet získat přístup k vašemu systému.

• Monitorujte v různém rozsahu dopadu. Je důležité sledovat aplikaci a platformu. Předpokládejme, že uživatel aplikace náhodou získá zvýšená oprávnění nebo dojde k narušení zabezpečení. Pokud uživatel provádí akce nad rámec svého určeného rozsahu, dopad může být omezen na akce, které mohou provádět ostatní uživatelé.

  Pokud však interní subjekt kompromituje databázi, rozsah potenciální škody je nejistý.

  Rozsah škod nebo rozsah dopadu se mohou výrazně lišit v závislosti na tom, který z těchto scénářů nastane.

• Používejte specializované monitorovací nástroje. Je důležité investovat do specializovaných nástrojů, které dokážou nepřetržitě vyhledávat anomální chování, které by mohlo naznačovat útok. Většina těchto nástrojů má funcke analýzy hrozeb, které mohou provádět prediktivní analýzu na základě velkého objemu dat a známých hrozeb. Většina nástrojů není bezstavová a zahrnuje hluboké porozumění telemetrii v kontextu zabezpečení.

  Nástroje musí být integrovány do platformy nebo alespoň podporovat platformu, aby mohly z platformy získávat hluboké signály a provádět předpovědi s vysokou přesností. Musí být schopni včas generovat výstrahy s dostatkem informací pro řádné určování priority. Používání příliš mnoha různých nástrojů může vést ke složitosti.

• Používejte monitorování pro reakci na incidenty. Agregovaná data přeměněná na užitečné informace umožňují rychlé a efektivní reakce na incidenty. Monitoring pomáhá s aktivitami po incidentu. Cílem je shromáždit dostatek dat k analýze a pochopení toho, co se stalo. Proces monitorování zachycuje informace o minulých událostech, aby zvýšil schopnosti reakce a potenciálně předvídal budoucí incidenty.

Následující části poskytují doporučené postupy, které zahrnují předchozí perspektivy monitorování.

Zachycujte data, abyste měli přehled o aktivitách

Cílem je udržovat komplexní auditní záznam událostí, které jsou významné z hlediska bezpečnosti. Protokolování je nejběžnějším způsobem zachycení vzorců přístupu. Protokolování musí být provedeno pro aplikaci a platformu.

Pro auditní záznam musíte stanovit co, kdy a kdo, které je spojeno s akcemi. Musíte určit konkrétní časové rámce, kdy jsou akce prováděny. Proveďte toto posouzení ve svém modelování hrozeb. Chcete-li čelit hrozbě odmítnutí, měli byste zavést silné systémy protokolování a auditu, které vedou k záznamu činností a transakcí.

Následující části popisují případy použití pro některé běžné úrovně úlohy.

Uživatelské toky úlohy

Vaše úloha by měla být navržena tak, aby poskytovala viditelnost za běhu, když dojde k událostem. Identifikujte kritické body v rámci své úlohy a zaveďte pro tyto body protokolování. Je důležité potvrdit jakoukoli eskalaci uživatelských oprávnění, akce provedené uživatelem a to, zda uživatel přistupoval k citlivým informacím v zabezpečeném úložišti dat. Sledujte aktivity uživatele a uživatelské relace.

Pro usnadnění tohoto sledování by měl být kód zřízen pomocí strukturovaného protokolování. To umožňuje snadné a jednotné dotazování a filtrování protokolů.

Důležité

Chcete-li zachovat důvěrnost a integritu vašeho systému, musíte vynutit odpovědné protokolování. V protokolech se nesmí objevit tajné klíče a citlivá data. Buďte si vědomi úniku osobních údajů a dalších požadavků na shodu, když zaznamenáváte tato data protokolu.

Monitorování identity a přístupu

Udržujte důkladný záznam vzorů přístupu pro aplikaci a úpravy prostředků platformy. Mějte robustní protokoly aktivit a mechanismy detekce hrozeb, zejména pro aktivity související s identitou, protože útočníci se často pokoušejí manipulovat s identitami, aby získali neoprávněný přístup.

Implementujte komplexní protokolování pomocí všech dostupných datových bodů. Zahrňte například IP adresu klienta, abyste rozlišili mezi běžnou aktivitou uživatele a potenciálními hrozbami z neočekávaných míst. Všechny události protokolování by měly být serverem opatřeny časovým razítkem.

Zaznamenávejte všechny aktivity přístupu ke zdrojům a zachycujte, kdo co dělá a kdy to dělá. Instance elevace oprávnění jsou významným datovým bodem, který je třeba zaprotokolovat. Musí být také zaznamenány akce související s vytvořením nebo odstraněním účtu aplikací. Toto doporučení se vztahuje na tajné klíče aplikace. Sledujte, kdo má přístup k tajným klíčům a kdy se mění.

Přestože je protokolování úspěšných akcí důležité, zaznamenávání selhání je nutné z hlediska bezpečnosti. Zdokumentujte všechna porušení, například pokus uživatele o akci, ale dojde k selhání autorizace, pokusy o přístup k neexistujícím zdrojům a další akce, které se zdají podezřelé.

Monitorování sítě

Váš návrh segmentace by měl umožnit pozorovací body na hranicích ke sledování, co jimi prochází, a zaznamenávat tato data. Například monitorujte podsítě, které mají skupiny zabezpečení sítě, které generují protokoly toku. Sledujte také protokoly brány firewall, které ukazují toky, které byly povoleny nebo zakázány.

Existují protokoly přístupu pro požadavky na příchozí připojení. Tyto protokoly zaznamenávají zdrojové IP adresy, které iniciují požadavky, typ požadavku (GET, POST) a všechny další informace, které jsou součástí požadavků.

Zachycování toků DNS je významným požadavkem pro mnoho organizací. Například protokoly DNS mohou pomoci určit, který uživatel nebo zařízení zahájilo konkrétní dotaz DNS. Porovnáním aktivity DNS s protokoly ověřování uživatele/zařízení můžete sledovat aktivity u jednotlivých klientů. Tato odpovědnost se často vztahuje i na tým úlohy, zejména pokud nasazuje cokoli, co činí požadavky DNS součástí jejich provozu. Analýza provozu DNS je klíčovým aspektem pozorovatelnosti zabezpečení platformy.

Je důležité sledovat neočekávané požadavky DNS nebo požadavky DNS, které směřují ke známým koncovým bodům příkazů a řízení.

Tradeoff: Protokolování všech síťových aktivit může vést k velkému množství dat. Bohužel není možné zachytit pouze nežádoucí události, protože mohou pouze být identifikovány poté, co nastanou. Udělejte strategická rozhodnutí o typu událostí, které chcete zachytit, a o tom, jak dlouho je ukládat. Pokud si nedáte pozor, správa dat může být zahlcující. Existuje také kompromis v nákladech na ukládání těchto dat.

Zachyťte změny systému

Chcete-li zachovat integritu vašeho systému, měli byste mít přesné a aktuální záznamy o stavu systému. Pokud dojde ke změnám, můžete tento záznam použít k rychlému řešení jakýchkoliv problémů, které nastanou.

Procesy sestavení by měly také vysílat telemetrii. Porozumění bezpečnostnímu kontextu událostí je klíčové. Znalost toho, co spustilo proces sestavení, kdo ho spustil a kdy byl spuštěn, může poskytnout cenné informace.

Sledujte, kdy jsou zdroje vytvořeny a kdy jsou vyřazeny z provozu. Tyto informace musí být extrahovány z platformy. Tyto informace poskytují cenné poznatky pro řízení zdrojů a odpovědnost.

Sledujte posun v konfiguraci prostředků. Zdokumentujte jakoukoli změnu existujícího zdroje. Sledujte také změny, které se nedokončí v rámci zavádění do flotily zdrojů. Protokoly musí zachycovat specifika změny a přesný čas, kdy k ní došlo.

Získejte komplexní pohled z pohledu oprav na to, zda je systém aktuální a bezpečný. Sledujte procesy rutinní aktualizace a ověřte, zda probíhají podle plánu. Proces opravy zabezpečení, který se nedokončí, by měl být považován za chybu zabezpečení. Měli byste také udržovat inventář, který zaznamenává úrovně oprav a jakékoli další požadované údaje.

Detekce změn se týká i operačního systému. To zahrnuje sledování, zda jsou služby přidány nebo vypnuty. Zahrnuje také sledování přidávání nových uživatelů do systému. Existují nástroje, které jsou navrženy tak, aby cílily na operační systém. Pomáhají s bezkontextovým monitorováním v tom smyslu, že se nezaměřují na funkčnost úlohy. Například monitorování integrity souborů je kritickým nástrojem, který vám umožňuje sledovat změny v systémových souborech.

Měli byste nastavit upozornění na tyto změny, zejména pokud neočekáváte, že se budou objevovat často.

Důležité

Když zavádíte do produkčního prostředí, ujistěte se, že jsou výstrahy nakonfigurovány tak, aby zachytily anomální aktivitu, která byla zjištěna na aplikačních prostředcích a procesu sestavení.

Do svých testovacích plánů zahrňte ověřování protokolování a upozornění jako prioritní testovací případy.

Ukládejte, agregujte a analyzujte data

Data shromážděná z těchto monitorovacích aktivit musí být uložena v cílech dat, kde je lze důkladně prozkoumat, normalizovat a korelovat. Data zabezpečení by měla být uložena mimo vlastní úložiště dat systému. Monitorovací cíle, ať už jsou lokalizované nebo centrální, musí vydržet déle než zdroje dat. Cíle nemohou být dočasné, protože jsou zdrojem pro zjišťování neoprávněných vniknutí.

Síťové protokoly mohou být podrobné a zabírají úložný prostor. Prozkoumejte různé úrovně v úložných systémech. Protokoly mohou časem přirozeně přejít na dlouhodobější úložiště. Tento přístup je výhodný, protože starší protokoly toku se obvykle aktivně nepoužívají a jsou potřeba pouze na vyžádání. Tato metoda zajišťuje efektivní správu úložiště a zároveň zajišťuje, že budete mít přístup k historickým datům, když to potřebujete.

Toky vaší úlohy jsou obvykle složeny z více zdrojů protokolování. Monitorovací data musí být analyzována inteligentně napříč všemi těmito zdroji. Například váš firewall bude blokovat pouze provoz, který se k němu dostane. Pokud máte skupinu zabezpečení sítě, která již zablokovala určitý provoz, brána firewall tento provoz neuvidí. Chcete-li rekonstruovat posloupnost událostí, musíte agregovat data ze všech komponent, které jsou v toku, a poté agregovat data ze všech toků. Tato data jsou zvláště užitečná ve scénáři odezvy po incidentu, když se snažíte pochopit, co se stalo. Přesné měření času je zásadní. Z bezpečnostních důvodů musí všechny systémy používat síťový zdroj času, aby byly vždy synchronizované.

Centralizovaná detekce hrozeb s korelovanými protokoly

Systém, jako je Security Information and Event Management (SIEM), můžete použít ke konsolidaci bezpečnostních dat na centrálním místě, kde je lze korelovat napříč různými službami. Tyto systémy mají vestavěné mechanismy detekce hrozeb. Mohou se připojit k externím zdrojům a získat data analýzy hrozeb. Microsoft, například zveřejňuje údaje o hrozbách, které můžete použít. Můžete si také zakoupit informační kanály analýzy hrozeb od jiných poskytovatelů, jako jsou Anomali a FireEye. Tyto zdroje mohou poskytnout cenné informace a zlepšit vaši pozici zabezpečení. Informace o hrozbách od Microsoft naleznete v části Security Insider.

Systém SIEM může generovat výstrahy na základě korelovaných a normalizovaných dat. Tyto výstrahy jsou významným zdrojem během procesu reakce na incidenty.

Kompromis: Systémy SIEM mohou být drahé, složité a vyžadují specializované dovednosti. Pokud ho však nemáte, možná budete muset korelovat data sami. To může být časově náročný a složitý proces.

Systémy SIEM jsou obvykle spravovány centrálními týmy organizace. Pokud vaše organizace žádný nemá, zvažte jeho prosazení. Mohl by to zmírnit břemeno ruční analýzy a korelace protokolů a umožnit efektivnější a účinnější správu zabezpečení.

Některé cenově výhodné možnosti poskytuje Microsoft. Mnoho produktů Microsoft Defender poskytuje funkci upozornění systému SIEM, ale bez funkce agregace dat.

Kombinací několika menších nástrojů můžete emulovat některé funkce systému SIEM. Musíte však vědět, že tato provizorní řešení nemusí být schopna provádět korelační analýzu. Tyto alternativy mohou být užitečné, ale nemusí plně nahradit funkčnost vyhrazeného systému SIEM.

Odhalení zneužití

Buďte proaktivní při zjišťování hrozeb a dávejte pozor na známky zneužití, jako jsou útoky hrubou silou na identitu na komponentu SSH nebo RDP koncový bod. Přestože vnější hrozby mohou být hodně vidět, zejména pokud je aplikace vystavena internetu, vnitřní hrozby jsou často větším problémem. Například neočekávaný útok hrubou silou z důvěryhodného síťového zdroje nebo neúmyslná nesprávná konfigurace by měly být okamžitě prošetřeny.

Nepolevujte v postupech posilování. Monitorování není náhradou za proaktivní posilování vašeho prostředí. Větší plocha je náchylná k většímu počtu útoků. Zpřísněte ovládací prvky stejně jako postupy. Detekujte a deaktivujte nepoužívané účty, používejte IP firewall a blokujte koncové body, které nejsou vyžadovány například zásadami prevence ztráty dat.

Detekce na základě podpisu může podrobně prozkoumat systém. Zahrnuje hledání známek nebo korelací mezi aktivitami, které by mohly ukazovat na potenciální útok. Detekční mechanismus může identifikovat určité charakteristiky, které ukazují na konkrétní typ útoku. Nemusí být vždy možné přímo odhalit mechanismus velení a řízení útoku. Často však existují rady nebo vzorce spojené s určitým procesem příkazů a řízení. Útok může být například indikován určitou rychlostí toku z hlediska požadavku nebo může často přistupovat k doménám, které mají specifické konce.

Detekujte anomální vzory přístupu uživatelů, abyste mohli identifikovat a prozkoumat odchylky od očekávaných vzorců. To zahrnuje porovnávání současného chování uživatelů s minulým chováním, aby bylo možné odhalit anomálie. Ačkoli nemusí být možné provést tento úkol ručně, můžete k tomu použít nástroje pro analýzu hrozeb. Investujte do nástrojů analýz chování uživatelů a entit (UEBA), které shromažďují chování uživatelů z monitorovaných dat a analyzují je. Tyto nástroje mohou často provádět prediktivní analýzu, která mapuje podezřelé chování na potenciální typy útoků.

Detekujte hrozby během fází před nasazením a po nasazení. Během fáze před nasazením zahrňte skenování zranitelnosti do kanálů a na základě výsledků proveďte nezbytná opatření. Po nasazení pokračujte ve skenování zranitelnosti. Můžete použít nástroje jako Microsoft Defender for Containers, které skenují obrázky kontejnerů. Zahrňte výsledky do shromážděných dat. Informace o postupech bezpečného vývoje viz Doporučení pro postupy bezpečného nasazení.

Usnadnění díky Power Platform

Následující části popisují mechanismy, které můžete použít ke sledování a detekci hrozeb v Power Platform.

Microsoft Stráž

Microsoft Řešení Sentinel for Microsoft Power Platform umožňuje zákazníkům detekovat různé podezřelé aktivity, včetně:

• Provádění Power Apps z neautorizovaných geografických oblastí
• Podezřelé zničení dat z Power Apps
• Hromadné odstranění Power Apps
• Phishingové útoky provedené přes Power Apps
• Aktivita toků Power Automate odcházejícími zaměstnanci
• Konektory Microsoft Power Platform používané do prostředí
• Aktualizace nebo odstranění zásad prevence ztráty dat Microsoft Power Platform

Další informace naleznete v části Microsoft Řešení Sentinel pro Microsoft Power Platform přehled.

Microsoft Protokolování činnosti Purview

Power Apps, Power Automate, konektory, prevence ztráty dat a Power Platform protokolování administrativních aktivit jsou sledovány a prohlíženy z portálu Microsoft Purview compliance.

Další informace naleznete v tématu:

• Power Apps protokolování aktivity
• Power Automate protokolování aktivity
• Copilot Studio protokolování aktivity
• Power Pages protokolování aktivity
• Power Platform protokolování aktivity konektoru
• Protokolování aktivity prevence ztráty dat
• Power Platform protokolování činnosti administrativních akcí
• Microsoft Dataverse a protokolování aktivit aplikací řízených modelem

Auditování Dataverse

Auditování databáze zaznamenává změny provedené v záznamech zákazníků v prostředí s databází Dataverse. Auditování Dataverse také zaznamenává přístup uživatelů prostřednictvím aplikace nebo sady SDK v prostředí. Toto auditování je aktivováno na úrovni prostředí a pro jednotlivé tabulky a sloupce je vyžadována další konfigurace. Další informace viz Správa auditů Dataverse.

Analýza telemetrie pomocí Application Insights

Application Insights je funkce Azure Monitor, která je široce využívaná v podnikovém prostředí pro účely monitorování a diagnostiky. Data, která již byla shromážděna od konkrétního klienta nebo prostředí, jsou přenesena do vašeho vlastního prostředí Application Insights. Data jsou službou Application Insights ukládána v protokolech Azure Monitor a vizualizována v panelech Výkon a Selhání v levém podokně v části Vyšetření. Data se exportují do vašeho prostředí Application Insights ve standardním schématu definovaném službou Application Insights. Osoby, které mají na starost podporu, vývojáři a správci mohou tuto funkci použít k třídění a řešení problémů.

Můžete rovněž:

• Nastavit prostředí Application Insights pro příjem telemetrie o diagnostice a výkonu zaznamenaném platformou Dataverse.
• Přihlásit se k odběru a přijímat telemetrii o operacích, které aplikace provádějí na vaší databázi Dataverse a v rámci modelem řízených aplikací. Tato telemetrie poskytuje informace, které můžete použít k diagnostice a řešení problémů souvisejících s chybami a výkonem.
• Nastavit cloudové toky Power Automate na integraci s Application Insights.
• Zapisovat události a aktivity z aplikace plátna Power Apps do Application Insights.

Další informace viz Přehled integrace s Application Insights.

Identita

Monitorujte rizikové události související s identitou na potenciálně ohrožených identitách a tato rizika napravte. Zkontrolujte hlášené rizikové události těmito způsoby:

• Používejte reportování Microsoft Entra ID. Další informace najdete v tématu Co je ochrana identity? a Ochrana identity.

• Pomocí členů rozhraní API pro zjišťování rizik Identity Protection získáte programový přístup k detekcím zabezpečení prostřednictvím Microsoft Graph. Další informace naleznete v článcích riskDetection a riskyUser.

Microsoft Entra ID používá algoritmy adaptivního strojového učení, heuristiku a známé kompromitované přihlašovací údaje (páry uživatelského jména a hesla) k detekci podezřelých akcí souvisejících s vašimi uživatelskými účty. Tyto páry uživatelských jmen a hesel se objevují díky monitorování veřejného a temného webu a díky spolupráci s bezpečnostními výzkumníky, donucovacími orgány, bezpečnostními týmy na Microsoft a dalšími.

Azure Pipelines

DevOps prosazuje správu změn úloh prostřednictvím kontinuální integrace a průběžné doručování (CI/CD). Ujistěte se, že jste přidali ověření zabezpečení. Postupujte podle pokynů popsaných v části Zabezpečení Azure Pipelines.

Související informace

• Co je Microsoft Sentinel?
• Integrace informací o hrozbách v Microsoft Sentinelu
• Identifikujte pokročilé hrozby pomocí User and Entity Behavior Analytics (UEBA) v Microsoft Sentinelu

Kontrolní seznam zabezpečení

Podívejte se na úplný soubor doporučení.

Bezpečnostní kontrolní seznam