Übersicht über die Azure-Firewall mit Microsoft Sentinel
Mit der Azure Firewall-Lösung für Azure Sentinel erhalten Sie sowohl Erkennung als auch Prävention in Form einer einfach bereitzustellenden Lösung.
Sicherheit ist ein ständiges Gleichgewicht zwischen proaktiven und reaktiven Abwehrmaßnahmen. Sie sind beide gleichermaßen wichtig und können auch nicht vernachlässigt werden. Der effektive Schutz Ihrer Organisation bedeutet, die Prävention und Erkennung kontinuierlich zu optimieren.
Durch die Kombination von Prävention und Erkennung können Sie sicherstellen, dass Sie komplexe Bedrohungen nach Möglichkeit verhindern und gleichzeitig eine Annahme der Sicherheitsverletzungsmentalität beibehalten, um Cyberangriffe zu erkennen und schnell darauf zu reagieren.
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
Wichtige Funktionen
Wenn Sie Azure Firewall in Microsoft Sentinel integrieren, aktivieren Sie die folgenden Funktionen:
- Überwachen und Visualisieren von Azure Firewall-Aktivitäten
- Erkennen von Bedrohungen und Anwenden von KI-unterstützten Untersuchungsfunktionen
- Automatisieren von Antworten und Korrelationen zu anderen Quellen
Die gesamte Oberfläche ist als Lösung im Microsoft Sentinel Marketplace verpackt, was bedeutet, dass sie relativ einfach bereitgestellt werden kann.
Bereitstellen und Aktivieren der Azure Firewall-Lösung für Microsoft Sentinel
Sie können die Lösung schnell über den Inhaltshub bereitstellen. Wählen Sie in Ihrem Microsoft Sentinel-Arbeitsbereich Analyse und dann Weitere Inhalte im Inhaltshub aus. Suchen Sie nach Azure Firewall und wählen Sie dann Installieren aus.
Wählen Sie nach der Installation Verwalten alle Schritte im Assistenten aus, übergeben Sie die Überprüfung, und erstellen Sie die Lösung. Mit nur wenigen Auswahlen werden alle Inhalte, einschließlich Connectors, Erkennungen, Arbeitsmappen und Playbooks, in Ihrem Microsoft Sentinel-Arbeitsbereich bereitgestellt.
Überwachen und Visualisieren von Azure Firewall-Aktivitäten
Mit der Azure Firewall-Arbeitsmappe können Sie Azure Firewall-Ereignisse visualisieren. Diese Arbeitsmappe ermöglicht Folgendes:
- Informationen zu Ihren Anwendungs- und Netzwerkregeln
- Informationen zu Firewallaktivitäten finden Sie in Statistiken über URLs, Ports und Adressen hinweg
- Filtern nach Firewall und Ressourcengruppe
- Dynamisches Filtern pro Kategorie mit einfach zu lesenden Datensätzen bei der Untersuchung eines Problems in den Protokollen.
Die Arbeitsmappe stellt ein einzelnes Dashboard für die fortlaufende Überwachung Ihrer Firewallaktivität bereit. Bei der Bedrohungserkennung, Untersuchung und Reaktion bietet die Azure Firewall-Lösung auch integrierte Erkennungs- und Suchfunktionen.
Erkennen von Bedrohungen und Verwenden von KI-unterstützten Untersuchungsfunktionen
Die Erkennungsregeln der Lösung bieten Microsoft Sentinel eine leistungsstarke Methode zum Analysieren von Azure Firewall-Signalen, um Datenverkehr zu erkennen, der bösartige Aktivitätsmuster darstellt, die durch das Netzwerk durchlaufen werden. Dies ermöglicht eine schnelle Reaktion und Behebung der Bedrohungen.
Die Angriffsphasen, die ein Angreifer innerhalb der Firewalllösung verfolgt, werden basierend auf dem MITRE ATT&CK-Framework segmentiert. Bei dem MITRE Framework handelt es sich um eine Abfolge von Schritten, mit denen die Phasen eines Cyberangriffs von den frühen Reconnaissance-Phasen bis hin zur Exfiltration von Daten verfolgt werden. Das Framework hilft Verteidigern, Ransomware, Sicherheitsverletzungen und erweiterten Angriffen zu verstehen und zu bekämpfen.
Die Lösung umfasst Erkennungen für häufige Szenarien, die ein Angreifer als Teil des Angriffs verwenden kann, über die Ermittlungsphase (Gewinnung von Kenntnissen über das System und internes Netzwerk) über die Befehls- und Kontrollphase (C2) (Kommunikation mit kompromittierten Systemen zur Kontrolle) bis zur Exfiltrationsphase (Angreifer, die Versuchen, Daten aus der Organisation zu stehlen).
| Erkennungsregel | Behandelte Themen | Was bedeutet dies? |
|---|---|---|
| Portüberprüfung | Identifiziert eine Quell-IP-Überprüfung mehrerer geöffneter Ports in der Azure-Firewall. | Böswilliges Scannen von Ports durch einen Angreifer, der versucht, offene Ports in der Organisation aufzudecken, die für den anfänglichen Zugriff kompromittiert werden können. |
| Port-Aufräumen | Identifiziert eine Quell-IP-Überprüfung der gleichen offenen Ports in der Azure Firewall unterschiedliche IPs. | Böswillige Überprüfung eines Ports durch einen Angreifer, der versucht, mit bestimmten anfälligen Ports IPs in der Organisation zu enthüllen. |
| Ungewöhnliche Verweigerungsrate für Quell-IP | Identifiziert eine ungewöhnliche Verweigerungsrate für eine bestimmte Quell-IP an eine Ziel-IP basierend auf maschinellem Lernen, das während eines konfigurierten Zeitraums durchgeführt wurde. | Potenzielle Exfiltration, anfänglicher Zugriff oder C2, bei dem ein Angreifer versucht, die gleiche Sicherheitsanfälligkeit auf Computern in der Organisation auszunutzen, aber Azure Firewall-Regeln blockieren sie. |
| Ungewöhnlicher Port zum Protokoll | Identifiziert die Kommunikation für ein bekanntes Protokoll über einen nicht standardmäßigen Port basierend auf maschinellem Lernen während eines Aktivitätszeitraums. | Bösartige Kommunikation (C2) oder Exfiltration durch Angreifer, die versuchen, über bekannte Ports (SSH, HTTP) zu kommunizieren, verwenden aber nicht die bekannten Protokollheader, die der Portnummer entsprechen. |
| Mehrere Quellen, die von demselben TI-Ziel betroffen sind | Identifiziert mehrere Computer, die versuchen, sich an dasselbe Ziel zu wenden, das durch Bedrohungserkennung (Threat Intelligence, TI) in der Azure-Firewall blockiert wird. | Ein Angriff auf die Organisation durch dieselbe Angriffsgruppe, die versucht, Daten aus der Organisation zu exfiltrieren. |
Hunting-Abfragen
Suchabfragen sind ein Tool für den Sicherheitsforscher, um nach Bedrohungen im Netzwerk einer Organisation zu suchen, entweder nachdem ein Vorfall aufgetreten ist, oder proaktiv, um neue oder unbekannte Angriffe zu ermitteln. Dazu betrachten Sicherheitsforscher mehrere Gefährdungsindikatoren (Indicators Of Compromise, IOCs). Die integrierten Azure Sentinel-Suchabfragen in der Azure Firewall-Lösung bieten Sicherheitsforschern die Tools, die sie benötigen, um Aktivitäten mit hohem Einfluss aus den Firewallprotokollen zu finden. Zu den folgenden Beispielen gehören:
| Hunting-Abfrage | Behandelte Themen | Was bedeutet dies? |
|---|---|---|
| Wenn eine Quell-IP zum ersten Mal eine Verbindung mit dem Zielport herstellt | Hilft dabei, einen häufigen Hinweis auf einen Angriff (Indication Of Attack, IOA) zu identifizieren, wenn ein neuer Host oder eine neue IP versucht, mit einem Ziel über einen bestimmten Port zu kommunizieren. | Basierend auf dem Erlernen des regelmäßigen Verkehrs während eines bestimmten Zeitraums. |
| Erstmalige Verbindung der Quell-IP mit einem Ziel | Hilft, eine IOA zu identifizieren, wenn die böswillige Kommunikation zum ersten Mal von Computern durchgeführt wird, die nie zuvor auf das Ziel zugegriffen haben. | Basierend auf dem Erlernen des regelmäßigen Verkehrs während eines bestimmten Zeitraums. |
| Quell-IP stellt eine abnormale Verbindung mit mehreren Zielen bereit | Identifiziert eine Quell-IP, die eine abnormale Verbindung mit mehreren Zielen herstellt. | Gibt erste Zugriffsversuche von Angreifern an, die versuchen, zwischen verschiedenen Computern in der Organisation zu springen, laterale Bewegungspfade oder die gleiche Sicherheitsanfälligkeit auf verschiedenen Computern auszunutzen, um anfällige Computer für den Zugriff zu finden. |
| Ungewöhnlicher Port für die Organisation | Identifiziert ungewöhnliche Ports, die im Organisationsnetzwerk verwendet werden. | Ein Angreifer kann überwachte Ports umgehen und Daten über ungewöhnliche Ports senden. Auf diese Weise können Angreifer die Erkennung von Routineerkennungssystemen umgehen. |
| Ungewöhnliche Portverbindung mit Ziel-IP | Identifiziert ungewöhnliche Ports, die von Computern zum Herstellen einer Verbindung mit einer Ziel-IP verwendet werden. | Ein Angreifer kann überwachte Ports umgehen und Daten über ungewöhnliche Ports senden. Dies kann auch auf einen Exfiltrationsangriff von Computern in der Organisation hinweisen, indem ein Port verwendet wird, der noch nie auf dem Computer für die Kommunikation verwendet wurde. |
Automatisieren der Reaktion und Korrelation mit anderen Quellen
Schließlich umfasst die Azure Firewall auch Azure Sentinel-Playbooks, mit denen Sie die Reaktion auf Bedrohungen automatisieren können. Angenommen, die Firewall protokolliert ein Ereignis, bei dem ein bestimmtes Gerät im Netzwerk versucht, über das HTTP-Protokoll über einen nicht standardmäßigen TCP-Port mit dem Internet zu kommunizieren. Diese Aktion löst eine Erkennung in Azure Sentinel aus. Das Playbook automatisiert eine Benachrichtigung an das Sicherheitsbetriebsteam über Microsoft Teams, und die Sicherheitsanalysten können die Quell-IP-Adresse des Geräts mit einer einzigen Auswahl blockieren. Dadurch wird verhindert, dass sie auf das Internet zugreift, bis eine Untersuchung abgeschlossen werden kann. Playbooks ermöglichen es diesem Prozess, viel effizienter und optimierter zu sein.
Praktische Beispiele
Sehen wir uns an, wie die vollständig integrierte Lösung in einem realen Szenario aussieht.
Der Angriff und die anfängliche Verhinderung von Azure Firewall
Ein Vertriebsmitarbeiter im Unternehmen hat versehentlich eine Phishing-E-Mail geöffnet und eine PDF-Datei mit Schadsoftware geöffnet. Die Schadsoftware versucht sofort, eine Verbindung mit einer schädlichen Website herzustellen, aber die Azure Firewall blockiert sie. Die Firewall hat die Domäne mit dem von ihr verbrauchten Microsoft Threat Intelligence-Feed erkannt.
Die Antwort
Der Verbindungsversuch löst eine Erkennung in Azure Sentinel aus und startet den Playbook-Automatisierungsprozess, um das Sicherheitsbetriebsteam über einen Teams-Kanal zu benachrichtigen. Dort kann der Analyst verhindern, dass der Computer mit dem Internet kommuniziert. Das Sicherheitsteam benachrichtigt dann die IT-Abteilung, welche die Schadsoftware vom Computer des Vertriebsmitarbeiters entfernt. Der Sicherheitsforscher wendet jedoch die Azure Firewall-Suchabfragen an und führt die Abfrage zurungewöhnlich Verbindung der Quell-IP mit mehreren Zielen aus. Dies zeigt, dass die Schadsoftware auf dem infizierten Computer versucht hat, mit mehreren anderen Geräten im breiteren Netzwerk zu kommunizieren und versucht, auf mehrere von ihnen zuzugreifen. Einer dieser Zugriffsversuche war erfolgreich, da es keine ordnungsgemäße Netzwerksegmentierung gab, um die laterale Bewegung im Netzwerk zu verhindern, und das neue Gerät hatte eine bekannte Sicherheitsanfälligkeit, die von der Schadsoftware ausgenutzt wurde, um sie zu infizieren.
Das Ergebnis
Der Sicherheitsforscher entfernte die Schadsoftware vom neuen Gerät, beendete die Verringerung des Angriffs und entdeckte eine Netzwerkschwäche im Prozess.