Introducción a Azure Firewall con Microsoft Sentinel
Ahora puede obtener tanto la detección como la prevención en forma de una solución de Azure Firewall fácil de implementar para Azure Sentinel.
La seguridad es un equilibrio constante entre las defensas proactivas y reactivas. Ambos son igual de importantes y ninguno puede descuidarse. Proteger eficazmente su organización significa optimizar constantemente tanto la prevención como la detección.
La combinación de prevención y detección le permite asegurarse de evitar amenazas sofisticadas cuando pueda, al tiempo que mantiene una asumir la mentalidad de vulneración detectar y responder rápidamente a ataques cibernéticos.
Requisitos previos
- Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Principales capacidades
Cuando integra Azure Firewall con Microsoft Sentinel, habilita las siguientes capacidades:
- Supervisión y visualización de actividades de Azure Firewall
- Detectar amenazas y aplicar funcionalidades de investigación asistidas por IA
- Automatización de respuestas y correlación con otras fuentes
Toda la experiencia está empaquetada como solución en el marketplace de Microsoft Sentinel, lo que significa que puede implementarse con relativa facilidad.
Implementación y habilitación de la solución Azure Firewall para Microsoft Sentinel
Puede implementar rápidamente la solución desde el centro de contenido. En el área de trabajo de Microsoft Sentinel, seleccione Análisis y luego Más contenido en el centro de contenido. Busque y seleccione Azure Firewall y, a continuación, seleccione Instalar.
Una vez instalado, seleccione Administrar, siga todos los pasos del asistente, pase la validación y cree la solución. Con solo algunas selecciones, todo el contenido, incluidos conectores, detecciones, libros y cuadernos de estrategias, se implementan en el área de trabajo de Microsoft Sentinel.
Supervisión y visualización de actividades de Azure Firewall
El libro de Azure Firewall le permite visualizar eventos de Azure Firewall. Con este libro, puede hacer lo siguiente:
- Más información sobre las reglas de red y la aplicación
- Consulte las estadísticas de las actividades de firewall entre direcciones URL, puertos y direcciones
- Filtrado por firewall y grupo de recursos
- Filtre dinámicamente por categoría con conjuntos de datos fáciles de leer al investigar un problema en los registros.
El libro proporciona un único panel para la supervisión continua de la actividad del firewall. En lo que respecta a la detección, investigación y respuesta de amenazas, la solución de Azure Firewall también proporciona funcionalidades integradas de detección y búsqueda.
Detección de amenazas y uso de funcionalidades de investigación asistida por IA
Las reglas de detección de la solución proporcionan a Microsoft Sentinel un método eficaz para analizar señales de Azure Firewall para detectar el tráfico que representa patrones de actividad malintencionados que atraviesan la red. Esto permite una respuesta rápida y corrección de las amenazas.
Las fases de ataque que persigue un adversario dentro de la solución de firewall se segmentan en función del marco MITRE ATT&CK . El marco MITRE es una serie de pasos que rastrean las fases de un ataque cibernético desde las primeras fases de reconocimiento hasta la filtración de datos. El marco ayuda a los defensores a comprender y combatir ransomware, infracciones de seguridad y ataques avanzados.
La solución incluye detecciones para escenarios comunes que un adversario podría usar como parte del ataque, abarcando desde la fase de detección (obteniendo conocimiento sobre el sistema y la red interna) a través de la fase de comando y control (C2) (comunicación con sistemas comprometidos para controlarlos) a la fase de filtración (adversario que intenta robar datos de la organización).
| Regla de detección | ¿Para qué sirve? | ¿Qué indica? |
|---|---|---|
| Examen de puertos | Identifica una IP de origen que escanea varios puertos abiertos en el Azure Firewall. | Examen malintencionado de puertos por parte de un atacante, intentando revelar puertos abiertos en la organización que se pueden poner en peligro para el acceso inicial. |
| Barrido de puertos | Identifica una dirección IP de origen que examina los mismos puertos abiertos en las direcciones IP diferentes de Azure Firewall. | Examen malintencionado de un puerto por parte de un atacante que intenta revelar direcciones IP con puertos vulnerables específicos abiertos en la organización. |
| Tasa de denegación anómala para la dirección IP de origen | Identifica una tasa de denegación anómala para una dirección IP de origen específica a una dirección IP de destino basada en el aprendizaje automático realizado durante un período configurado. | Posible filtración, acceso inicial o C2, donde un atacante intenta aprovechar la misma vulnerabilidad en las máquinas de la organización, pero las reglas de Azure Firewall la bloquean. |
| Puerto anormal a protocolo | Identifica la comunicación de un protocolo conocido a través de un puerto no estándar basado en el aprendizaje automático realizado durante un período de actividad. | Comunicación malintencionada (C2) o filtración por atacantes que intentan comunicarse a través de puertos conocidos (SSH, HTTP), pero no usan los encabezados de protocolo conocidos que coinciden con el número de puerto. |
| Varios orígenes afectados por el mismo destino de TI | Identifica varias máquinas que intentan ponerse en contacto con el mismo destino bloqueado por inteligencia sobre amenazas (TI) en Azure Firewall. | Un ataque a la organización por el mismo grupo de ataques que intenta filtrar datos de la organización. |
Consultas de búsqueda
Las consultas de búsqueda son una herramienta para que el investigador de seguridad busque amenazas en la red de una organización, ya sea después de que se haya producido un incidente o de forma proactiva para detectar ataques nuevos o desconocidos. Para ello, los investigadores de seguridad examinan varios indicadores de riesgo (IOC). Las consultas de búsqueda integradas de Azure Sentinel en la solución Azure Firewall proporcionan a los investigadores de seguridad las herramientas que necesitan para encontrar actividades de alto impacto en los registros de firewall. Entre los ejemplos se incluyen:
| Consultas de búsqueda | ¿Para qué sirve? | ¿Qué indica? |
|---|---|---|
| Primera vez que una dirección IP de origen se conecta al puerto de destino | Ayuda a identificar un indicador común de un ataque (IOA) cuando un nuevo host o dirección IP intenta comunicarse con un destino mediante un puerto específico. | Basado en el aprendizaje del tráfico normal durante un período especificado. |
| La primera vez que la dirección IP de origen se conecta a un destino | Ayuda a identificar un IOA cuando la comunicación malintencionada se realiza por primera vez desde máquinas que nunca han accedido al destino antes. | Basado en el aprendizaje del tráfico normal durante un período especificado. |
| La IP de origen se conecta anormalmente a múltiples destinos | Identifica una IP de origen que se conecta anormalmente a múltiples destinos. | Indica los intentos de acceso iniciales por parte de los atacantes que intentan saltar entre diferentes máquinas de la organización, aprovechar la ruta de desplazamiento lateral o la misma vulnerabilidad en diferentes máquinas para encontrar máquinas vulnerables a las que acceder. |
| Puerto no común para la organización | Identifica los puertos anómalos utilizados en la red de la organización. | Un atacante puede omitir los puertos supervisados y enviar datos a través de puertos poco comunes. Esto permite a los atacantes eludir la detección de los sistemas de detección rutinarios. |
| Conexión de puerto no común a IP de destino | Identifica los puertos anómalos utilizados por las máquinas para conectarse a una IP de destino. | Un atacante puede omitir los puertos supervisados y enviar datos a través de puertos poco comunes. Esto también puede indicar un ataque de filtración de máquinas de la organización mediante un puerto que nunca se ha usado en la máquina para la comunicación. |
Automatizar la respuesta y la correlación con otras fuentes
Por último, Azure Firewall también incluye cuadernos de estrategias de Azure Sentinel, que permiten automatizar la respuesta a las amenazas. Por ejemplo, supongamos que el firewall registra un evento en el que un dispositivo determinado de la red intenta comunicarse con Internet a través del protocolo HTTP a través de un puerto TCP no estándar. Esta acción desencadena una detección en Azure Sentinel. El cuaderno de estrategias automatiza una notificación al equipo de operaciones de seguridad a través de Microsoft Teams y los analistas de seguridad pueden bloquear la dirección IP de origen del dispositivo con una sola selección. Esto impide que acceda a Internet hasta que pueda completarse una investigación. Los cuadernos de estrategias permiten que este proceso sea mucho más eficaz y optimizado.
Ejemplo del mundo real
Echemos un vistazo al aspecto de la solución totalmente integrada en un escenario real.
El ataque y la prevención inicial de Azure Firewall
Un representante de ventas de la empresa ha abierto accidentalmente un correo electrónico de suplantación de identidad y ha abierto un archivo PDF que contiene malware. El malware intenta conectarse inmediatamente a un sitio web malintencionado, pero Azure Firewall lo bloquea. El firewall detectó el dominio mediante la fuente de inteligencia sobre amenazas de Microsoft que consume.
La respuesta
El intento de conexión desencadena una detección en Azure Sentinel e inicia el proceso de automatización del cuaderno de estrategias para notificar al equipo de operaciones de seguridad a través de un canal de Teams. Allí, el analista puede bloquear la comunicación del equipo con Internet. Después, el equipo de operaciones de seguridad notifica al departamento de TI que quita el malware del equipo del representante de ventas. Sin embargo, tomando el enfoque proactivo y profundizando, el investigador de seguridad aplica las consultas de búsqueda de Azure Firewall y ejecuta la dirección IP de origen que se conecta anormalmente a varias consultas de destinos. Esto revela que el malware en el equipo infectado intentó comunicarse con varios otros dispositivos en la red más amplia e intentó acceder a varios de ellos. Uno de esos intentos de acceso tuvo éxito, ya que no había una segmentación de red adecuada para impedir el movimiento lateral en la red, y el nuevo dispositivo tenía una vulnerabilidad conocida que el malware aprovechó para infectarlo.
Resultado
El investigador de seguridad eliminó el malware del nuevo dispositivo, terminó de mitigar el ataque y descubrió una debilidad de la red en el proceso.