Del via

Anbefalinger til overvågning og registrering af trusler

  • Artikel

Gælder for denne Power Platform anbefaling af Well-Architected Security-tjekliste:

SE:08 Implementer en holistisk overvågningsstrategi, der bygger på moderne mekanismer til registrering af trusler, som kan integreres med platformen. Mekanismer skal være pålideligt på vagt over for prioritering og sende signaler til eksisterende SecOps-processer.

I denne vejledning beskrives anbefalingerne til overvågning og registrering af trusler. Overvågning er grundlæggende en proces til at få oplysninger om hændelser, der allerede har fundet sted. Sikkerhedsovervågning er en praksis til registrering af oplysninger på forskellige niveauer af arbejdsbelastningen (identitet, strømme, program og handlinger) for at blive opmærksom på de aktiviteter, der udføres på stedet. Målet er at opmåle hændelser og lære af tidligere hændelser. Overvågningsdata udgør grundlaget for analyse efter hændelse af det, der indtraf for at hjælpe undersøgelse af hændelsesrespons og undersøgelse af hændelser.

Overvågning er en Operational Excellence-tilgang, der anvendes på tværs af alle Power Platform veldesignede søjler. Denne vejledning indeholder kun anbefalinger fra et sikkerhedssynspunkt. Generelle begreber for overvågning beskrives i Anbefalinger til design og oprettelse af et overvågningssystem.

Definitioner

Begreb Definition
Overvågningslogfiler En post med aktiviteter i et system.
Sikkerheds- og arrangementsstyring (SIEM) En fremgangsmåde, der bruger indbyggede funktioner til registrering af trusler og intelligence baseret på data, der er samlet fra flere kilder.
Trusselsregistrering En strategi til registrering af værdier, der afviger fra forventede handlinger, ved hjælp af indsamlede, analyserede og korrelerede data.
Trusselsintelligens En strategi til fortolkning af data til registrering af trusler med henblik på at registrere aktivitet eller trusler, der er tilgængelige på lige måde, ved hjælp af mønstre, der gør det muligt at identificere trusler.
Forhindring af trusler Sikkerhedskontrolelementer, der er placeret i en arbejdsbelastning på forskellige måder for at beskytte aktiverne.

Vigtigste designstrategier

Hovedformålet med overvågning af sikkerhed er registrering af trusler. Det primære mål er at forhindre potentielle sikkerhedsroller og bevare et sikkert miljø. Det er dog lige så vigtigt at vide, at ikke alle trusler kan blokeres på forhånd. I sådanne tilfælde fungerer overvågningen også som en mekanisme til identifikation af årsagen til en sikkerhedshændelse, der er indtruffet på trods af de forebyggende foranstaltninger.

Overvågningen kan overvåges fra forskellige perspektiver:

  • Overvåg på forskellige måder. Indsamling fra forskellige kilder er processen til at få oplysninger om brugerstrømme, dataadgang, identitet, netværk og endda operativsystemet. Hvert af disse områder indeholder entydige indsigter, der kan hjælpe dig med at identificere eventuelle problemer i forhold til forventede funktionsmåder, der er oprettet i forhold til den grundlæggende sikkerhed. Omvendt kan kontinuerlig overvågning af et system og programmer over tid hjælpe med at etablere den grundlæggende arbejdsstilling. Du kan f.eks. som regel se omkring 1.000 logonforsøg i dit identitetssystem hver time. Hvis overvågningen registrerer et angreb på 50.000 logonforsøg i løbet af en kort periode, forsøger en hacker måske at få adgang til systemet.

  • Overvåg i forskellige omfang. Det er vigtigt at overholde programmet og platformen. Antag, at en programbruger ved et uheld får eskalerede rettigheder, eller at der opstår en sikkerhedsfejl. Hvis brugeren udfører handlinger uden for det angivne omfang, kan påvirkningen påvirkes af handlinger, som andre brugere kan udføre.

    Men hvis et internt objekt kompromitterer en database, er omfanget af den potentielle skadeskadelighed lige så vigtigt.

    Omfanget af blast eller impact kan være betydeligt anderledes, afhængigt af hvilke af disse scenarier der opstår.

  • Brug særlige overvågningsværktøjer. Det er vigtigt at vide, at specialværktøjer kontinuerligt kan scanne for afvigende funktionsmåde, der kan indikere et angreb. De fleste af disse værktøjer har funktioner til trusselsintelligens, der kan udføre en analyse baseret på en stor mængde data og kendte trusler. De fleste værktøjer er ikke tilstandsløse og indeholder en omfattende forståelse af telemetri i en sikkerhedskontekst.

    Værktøjerne skal være platformintegrerede eller i det mindste platformbaserede for at få omfattende sendere fra platformen og komme med store forudsigelser. De skal være i stand til at oprette advarsler rettidigt med oplysninger, der er tilstrækkelige til at udføre den rette triade. Brug af for mange forskellige værktøjer kan medføre kompleksitet.

  • Brug overvågning af hændelsesrespons. Aggregerede data, der er transformeret til handlingsbar intelligens, gør det muligt hurtigt og effektivt at reagere på hændelser. Overvågning hjælper med aktiviteter efter hændelsen. Målet er at indsamle data nok til at analysere og forstå, hvad der er sket. Overvågningsprocessen registrerer oplysninger om tidligere hændelser for at forbedre reaktive funktioner og potentielt undgå fremtidige hændelser.

Følgende afsnit indeholder anbefalede fremgangsmåder, der indarbejder de foregående overvågnings perspektiver.

Registrere data for at bevare aktivitetssporet

Målet er at bevare et omfattende overvågningsspor med hændelser, der er vigtige ud fra et sikkerhedssynspunkt. Logføring er den mest almindelige måde at registrere adgangsmønstre på. Logføring skal udføres for programmet og platformen.

I forbindelse med en overvågningslog skal du fastslå, hvad, hvornår og hvem, der er knyttet til handlinger Du skal identificere de specifikke tidsrammer, når handlinger udføres. Foretag denne vurdering i din trusselsmodellering. Hvis du vil undgå en trussel om genregistrering, skal du oprette stærke logførings- og overvågningssystemer, der resulterer i en registrering af aktiviteter og transaktioner.

I følgende afsnit beskrives brug af sager til nogle almindelige arbejdsbelastninger.

Arbejdsbelastning for brugerprocesser

Arbejdsbelastningen skal være designet til at give synlighed under kørsel, når der indtræffer hændelser. Identificer vigtige punkter i arbejdsbelastningen, og opret logføring for disse punkter. Det er vigtigt at vide, om brugerrettigheder er eskaleret, hvilke handlinger brugeren har udført, og om brugeren har adgang til følsomme oplysninger i en sikker datalager. Hold styr på aktiviteter for brugeren og brugersessionen.

For at lette denne sporing skal koden anvendes via struktureret logføring. Hvis du gør det, er det nemt og ensartet at forespørge om og filtrere loggene.

Vigtigt!

Du skal gennemtvinge ansvarlig logføring for at bevare systemets fortrolighed og integritet. Hemmeligheder og følsomme data må ikke vises i logge. Vær opmærksom på, at der overholdes personlige data og andre overholdelseskrav, når du registrerer disse logdata.

Identitets- og adgangsovervågning

Opret en grundig registrering af adgangsmønstre for programmet og ændringer af platformsressourcer. Have effektive aktivitetslogfiler og mekanismer til registrering af trusler, især i forbindelse med identitetsrelaterede aktiviteter, da hackere ofte forsøger at manipulere identiteter for at få uautoriseret adgang.

Implementer omfattende logføring ved hjælp af alle tilgængelige datapunkter. Du kan f.eks. bruge klientens IP-adresse til at skelne mellem almindelig brugeraktivitet og potentielle trusler fra uventede placeringer. Alle logføringshændelser skal tidsstemples af serveren.

Registrer alle ressourceadgangsaktiviteter, og registrer, hvem der gør hvad, og hvornår de gør det. Forekomster af eskalering af rettigheder er en datapunkt, der skal logføres. Handlinger, der er relateret til oprettelse eller sletning af konti i programmet, skal også registreres. Denne anbefaling gælder også programhemmeligheder. Overvåg, hvem der har adgang til hemmeligheder, og når de drejes.

Selvom logføring af vellykkede handlinger er vigtig, er det nødvendigt at registrere fejl fra et sikkerhedssynspunkt. Dokumenter eventuelle brud, f.eks. en bruger, der forsøger at udføre en handling, men støder på en godkendelsesfejl, adgangsforsøg på ressourcer, der ikke eksisterer, og andre handlinger, der virker stødende.

Netværksovervågning

Du kan bruge dit segmenteringsdesign til at aktivere observationspunkter ved grænserne for at overvåge, hvad der krydser dem og logfører dataene. Du kan f.eks. overvåge undernet, der har netværkssikkerhedsgrupper, som opretter flowlogfiler. Du kan også overvåge firewall-logfiler, der viser de strømme, der er tilladte eller nægtet.

Der findes adgangslogfiler til indgående forbindelsesanmodninger. Disse logge registrerer de KILDE-IP-adresser, der starter forespørgslerne, anmodningstypen (GET, POST) og alle andre oplysninger, der er en del af forespørgslerne.

Registrering af DNS-flow er et betydeligt krav for mange organisationer. DNS-logge kan f.eks. hjælpe med at identificere, hvilken bruger eller enhed der startede en bestemt DNS-forespørgsel. Hvis du korrelerer DNS-aktivitet med logge til bruger-/enhedsgodkendelse, kan du spore aktiviteter på de enkelte klienter. Dette ansvar omfatter ofte arbejdsbelastningsteamet, især hvis de installerer noget, der gør DNS-anmodninger til en del af driften. DNS-trafikanalyse er et nøgleaspekt i forbindelse med platformssikkerhed.

Det er vigtigt at overvåge uventede DNS-forespørgsler eller DNS-forespørgsler, der er rettet mod kendte kommando- og kontrolslutpunkter.

Afvejning: Logning af alle netværksaktiviteter kan resultere i en stor mængde data. Desværre er det ikke muligt kun at fange uønskede hændelser, fordi de først kan identificeres, når de er opstået. Tag strategiske beslutninger om, hvilken type arrangementer der skal registreres, og hvor lang tid de skal lagres. Hvis du ikke er forsigtig, kan du undgå at administrere dataene. Der er også en afvejning i omkostningerne ved at gemme dataene.

Registrere systemændringer

Hvis du vil bevare systemets integritet, skal du have en nøjagtig og opdateret registrering af systemtilstanden. Hvis der er ændringer, kan du bruge denne post til straks at løse eventuelle problemer, der opstår.

Build-processer skal også udsende telemetri. Det er vigtigt at forstå hændelsernes sikkerhedskontekst. Hvis du ved, hvad der udløste byggeprocessen, hvem der udløste den, og hvornår den blev udløst, kan du give en værdifuld indsigt.

Spor når ressourcer oprettes, og hvornår de er afviklet. Disse oplysninger skal udtrækkes fra platformen. Disse oplysninger giver værdifuld indsigt i ressourcestyring og -ansvar.

Overvåg drift i ressourcekonfigurationen. Dokumentere eventuelle ændringer af en eksisterende ressource. Du kan også holde styr på ændringer, der ikke fuldføres som en del af en udrulning til en ressourceflåde. Logfiler skal registrere de specifikke oplysninger om ændringen, og det nøjagtige tidspunkt, hvor ændringen fandt sted.

Få en omfattende visning fra et programrettelses perspektiv af, om systemet er opdateret og sikkert. Overvåg rutinemæssige opdateringsprocesser for at kontrollere, at de fuldføres som planlagt. En proces til sikkerhedsrettelse, der ikke fuldføres, skal opfattes som en sårbarhed. Du skal også vedligeholde en lageropgørelse, der registrerer programrettelsesniveauerne og eventuelle andre påkrævede detaljer.

Registrering af ændringer gælder også for operativsystemet. Dette indebærer, at du skal registrere, om servicer tilføjes eller deaktiveres. Den omfatter også overvågning af tilføjelsen af nye brugere til systemet. Der findes værktøjer, der er udviklet til at målrette mod et operativsystem. De hjælper med kontekstafhængig overvågning i den forstand, at de ikke er rettet mod funktionaliteten af arbejdsbelastningen. Overvågning af filintegritet er f.eks. et vigtigt værktøj, der giver dig mulighed for at spore ændringer i systemfiler.

Du bør konfigurere advarsler for disse ændringer, især hvis du ikke forventer, at de opstår ofte.

Vigtigt!

Når du udruller til produktionen, skal du sørge for, at vigtige beskeder er konfigureret til at registrere afvigende aktivitet, der er registreret i programressourcerne og i build-processen.

I testplanerne skal du inkludere validering af logføring og vigtige beskeder som prioriterede testsager.

Gemme, aggregere og analysere data

Data, der indsamles fra disse overvågningsaktiviteter, skal lagres i data sinker, hvor de kan grundigt undersøges, normaliseres og korreleres. Sikkerhedsdata skal opbevares uden for systemets egne datalagre. Overvågning af sinks, uanset om de er oversatte eller centrale, skal overvåge datakilderne. Sinker kan ikke være flygtig, da sinker er kilden til systemer til registrering af uautoriseret adgang.

Netværkslogge kan bruges i detaljer og bruges til lagerplads. Udforsk forskellige niveauer i lagersystemer. Logge kan overgå til koldere lager over tid. Denne fremgangsmåde er nyttig, fordi ældre flowlogfiler typisk ikke bruges aktivt og kun skal bruges efter behov. Denne metode sikrer en effektiv lagerstyring og sikrer også, at du har adgang til historiske data, når der er behov for det.

Arbejdsbelastningsforløbet er typisk sammensat af flere logføringskilder. Overvågningsdata skal analyseres intelligent på tværs af alle disse kilder. Firewallen blokerer f.eks. kun trafik, der når den. Hvis du har en netværkssikkerhedsgruppe, der allerede har blokeret for visse typer trafik, er denne trafik ikke synlig for firewallen. Hvis du vil adskille hændelsessekvensen, skal du aggregere data fra alle komponenter, der er i flow, og derefter aggregere data fra alle flow. Disse data er især nyttige i et responsscenarie efter hændelse, når du forsøger at forstå, hvad der er sket. Nøjagtig tidsoverholdelse er vigtig. Af sikkerhedsmæssige årsager skal alle systemer bruge en netværkstidskilde, så de altid er synkroniseret.

Central registrering af trusler med korrelerede logge

Du kan bruge et system som sikkerhedsoplysninger og arrangementsstyring (SIEM) til at samle sikkerhedsdata på et centralt sted, hvor de kan korreleres på tværs af forskellige tjenester. Disse systemer har indbyggede mekanismer til registrering af trusler. De kan oprette forbindelse til eksterne feeds for at få trusselsintelligensdata. Microsoft, udgiver f.eks. trusselsefterretningsdata, som du kan bruge. Du kan også købe feeds med trusselsintelligens fra andre udbydere, f.eks. A malware og FireSoplysninger. Disse feeds kan give værdifuld indsigt og forbedre din sikkerhedsstilling. Du kan finde trusselsindsigt fra Microsoft under Security Insider.

Et SIEM-system kan oprette vigtige beskeder på baggrund af korrelerede og normaliserede data. Disse advarsler er en vigtig ressource under en hændelsesresponsproces.

Afvejning: SIEM-systemer kan være dyre, komplekse og kræve specialiserede færdigheder. Men hvis du ikke har en, skal du måske selv korrelere data. Det kan være en tidskrævende og kompleks proces.

SIEM-systemer administreres som regel af en organisations centrale teams. Hvis din organisation ikke har en, skal du overveje at gøre det. Den kan lette belastningen af manuel loganalyse og korrelation for at muliggøre en mere effektiv sikkerhedsstyring.

Nogle omkostningseffektive muligheder leveres af Microsoft. Mange Microsoft Defender-produkter indeholder beskedfunktionaliteten i et SIEM-system, men uden en dataaggregeringsfunktion.

Ved at kombinere flere mindre værktøjer kan du emulere nogle af funktionerne i et SIEM-system. Du skal dog vide, at disse løsninger af denne grund ikke kan udføre korrelationsanalyse. Disse alternativer kan være nyttige, men de erstatter måske ikke fuldt ud funktionaliteten i et dedikeret SIEM-system.

Registrer misbrug

Vær proaktiv med hensyn til trusselsregistrering , og vær opmærksom på tegn på misbrug, f.eks. Identity Brute Force-angreb på en SSH-komponent eller et RDP-slutpunkt. Selvom eksterne trusler kan skabe mange problemer, især hvis programmet bliver udsat for internettet, er interne trusler ofte større problemer. Et uventet brute force-angreb fra en netværkskilde, der er tillid til, eller en utilsigtet forkert konfiguration skal f.eks. undersøges straks.

Hold dig i gang med dine forhærdningsfremgangsmåder. Overvågning er ikke en erstatning for proaktivt at beskytte miljøet. Et større overfladeområde er udsat for flere angreb. Kontrolelementer, der gør det nemmere at styre, lige så meget som praksis. Registrer og deaktiver ubrugte firmaer, brug en IP-firewall, og bloker slutpunkter, der ikke kræves i politikker til forhindring af datatab, f.eks.

Signaturbaseret detektion kan inspicere et system i detaljer. Det indebærer, at du skal søge efter tegn eller korrelationer mellem aktiviteter, der kan indikere et muligt angreb. En registreringsmekanisme kan identificere visse karakteristika, der gør det muligt at identificere en bestemt type angreb. Det er muligvis ikke altid muligt direkte at registrere kommando- og kontrolmekanismen for et angreb. Der er dog ofte tip eller mønstre knyttet til en bestemt kommando- og kontrolproces. Et angreb kan f.eks. angives med en bestemt flowhastighed fra et forespørgsels perspektiv, eller det kan ofte åbne domæner, der har bestemte slutninger.

Registrer afvigende brugeradgangsmønstre, så du kan identificere og undersøge undtagelser fra forventede mønstre. Dette indebærer, at den aktuelle brugers funktionsmåde sammenlignes med tidligere funktionsmåder for at registrere uregelmæssigheder. Selvom det måske ikke er nemt at udføre denne opgave manuelt, kan du bruge værktøjer til trusselsintelligens til at udføre den. Invester i i UEBA-værktøjer (User and Entity Behavior Analytics), der indsamler brugerfunktionsmåder fra overvågning af data og analyserer dem. Disse værktøjer kan ofte udføre forudsigende analyse, der knytter angrebsfunktionsmåder til potentielle typer angreb.

Registrer trusler under faserne før og efter installationen. I fasen før installationen skal der inkorporeres sårbarhedsscanning i pipelines, og der skal tages de nødvendige handlinger på baggrund af resultaterne. Fortsæt med at foretage scanning af sårbarheder efter installationen. Du kan bruge værktøjer som Microsoft Defender for Containers, der scanner objektbeholderafbildninger. Medtag resultaterne i de indsamlede data. Du kan finde oplysninger om sikre udviklingsfremgangsmåder i Anbefalinger til sikker installationspraksis.

Power Platform-processtyring

I følgende afsnit beskrives de mekanismer, du kan bruge til at overvåge og registrere trusler i Power Platform.

Microsoft Sentinel

Microsoft Sentinel-løsning giver kunderne mulighed for Microsoft Power Platform at opdage forskellige mistænkelige aktiviteter, herunder:

  • Power Apps-eksekvering fra uautoriserede geografiske områder
  • Destruktion af mistænkelige data af Power Apps
  • Massesletning af Power Apps
  • Phishing-angreb foretaget gennem Power Apps
  • Power Automate-flowaktivitet efter medarbejdere, som ikke længere er ansat
  • Microsoft Power Platform-connectorer, der er føjet til miljøet
  • Opdatering eller fjernelse af Microsoft Power Platform-politikker til forebyggelse af datatab

Du kan finde flere oplysninger i Microsoft Sentinel-løsningen for at få Microsoft Power Platform et overblik.

Microsoft Logføring af Purview-aktivitet

Power Apps, Power Automate, Connectorer, forebyggelse af tab af data og Power Platform logføring af administrativ aktivitet spores og vises fra Purview-compliance-portal Microsoft .

Du kan finde flere oplysninger i:

Dataverse overvågning

Databaseovervågning af logfiler, der foretages i kundeposter i et miljø med en Dataverse-database. Dataverse-overvågning logfører også brugeradgang via en app eller via SDK'en i et miljø. Denne overvågning er aktiveret på miljøniveau, og der kræves yderligere konfiguration for de enkelte tabeller og kolonner. Flere oplysninger i Administrere Dataverse-overvågning.

Analysere telemetri med Application Insights

Application Insights, som er en funktion i Azure Monitor, anvendes i virksomhedsbilledet til overvågning og diagnosticering. Data, der allerede er indsamlet fra en bestemt lejer eller et bestemt miljø, bliver sendt til dit eget Application Insights-miljø. Dataene gemmes i Azure Monitor-logge af Application Insights og visualiseres i Ydeevne og Fejl-paneler under Undersøg i venstre rude. Dataene eksporteres til dit Application Insights-miljø i det standardskema, der er defineret af Application Insights. Support-, udvikler- og administratorpersonerne kan bruge denne funktion til at løse problemer.

Du kan også:

  • Konfigurere et Application Insights-miljø, der skal modtage telemetri på diagnose og ydeevne, der registreres af Dataverse-platformen.
  • Abonnér for at modtage telemetri om handlinger, som programmer udfører på din Dataverse-database og i modelbaserede apps. Denne telemetri kan bruges til at diagnosticere og foretage fejlfinding af problemer, der vedrører fejl og ydeevne.
  • Konfigurer Power Automate-cloudflows for at integrere med Application Insights.
  • Skriv hændelser og aktivitet fra Power Apps-lærredsapps til Application Insights.

Du kan finde flere oplysninger under Oversigt over integration med Application Insights.

Id

Overvåg identitetsrelaterede risikohændelser på potentielt kompromitterede identiteter, og overvåg disse risici. Gennemgå de rapporterede risikohændelser på følgende måder:

Microsoft Entra-id bruger maskinel indlæring algoritmer, heuristik og kendte kompromitterede legitimationsoplysninger (brugernavn og adgangskodepar) til at registrere handlinger, der vedrører dine brugerkonti. Disse brugernavns- og adgangskodepar vises ved at overvåge det offentlige og mørke web og ved at arbejde med sikkerhedsforskere, retshåndhævelse, sikkerhedsteams og Microsoft andre.

Azure-pipelines

DevOps overvåger ændringsstyring af arbejdsbelastninger via løbende integration og løbende levering (CI/CD). Sørg for at tilføje sikkerhedsvalidering i pipelines. Følg den vejledning, der er beskrevet under Sikring af Azure-pipelines.

Kontrolliste til sikkerhed

Se det fuldstændige sæt anbefalinger.

Tjekliste for sikkerhed