Anbefalinger for overvåking og trusselregistrering

Gjelder for denne Power Platform anbefalingen for sjekkliste for godt strukturert sikkerhet:

SE:08	Implementer en helhetlig overvåkningsstrategi som er avhengig av moderne trusselregistreringsmekanismer som kan integreres med plattformen. Mekanismer bør pålitelig varsle for å behandle og sende signaler til eksisterende SecOps-prosesser.

Denne veiledningen beskriver anbefalingene for overvåking og trusselregistrering. Overvåking er fundamentalt en prosess for å få informasjon om hendelser som allerede har funnet sted. Sikkerhetsovervåking er en praksis for å fange opp informasjon på ulike høyder i arbeidsbelastningen (identitet, flyter, app, operasjoner) for å bli oppmerksom på mistenkelige aktiviteter. Målet er å forutsi hendelser og lære av tidligere hendelser. Overvåkingsdata gir grunnlag for analyse etter hendelse av hva som har skjedd for å hjelpe hendelsesresponsen og tenkiske undersøkelser.

Overvåking er en Operational Excellence-tilnærming som brukes på tvers av alle Power Platform godt konstruerte pilarer. Denne veiledningen inneholder bare anbefalinger fra et sikkerhetsperspektiv. Generelle overvåkingskonsepter dekkes i Anbefalinger for utforming og oppretting av et overvåkingssystem.

Definisjoner

Term	Definisjon
Logger for sporing av endringer	En oppføring av aktiviteter i et system.
Sikkerhetsinformasjon og hendelsesbehandling (SIEM)	En metode som bruker innebygde funksjoner for trusselregistrering og intelligens basert på data som er aggregert fra flere kilder.
Trusselregistrering	En strategi for å finne avvik fra forventede handlinger ved hjelp av innsamlede, analyserte og korrelerte data.
Trusselinformasjon	En strategi for å tolke trusselregistreringsdata for å oppdage mistenkelige aktiviteter eller trusler ved å undersøke mønstre.
Trusselforebygging	Sikkerhetskontroller som plasseres i en arbeidsbelastning på ulike steder for å beskytte aktivaene.

Viktige utformingsstrategier

Hovedformålet med sikkerhetsovervåking er trusselregistrering. Hovedmålet er å hindre potensielle sikkerhetsbrudd og opprettholde et sikkert miljø. Det er imidlertid like viktig å innse at ikke alle trusler kan blokkeres før de inntreffer. I slike tilfeller fungerer overvåking også som en mekanisme for å identifisere årsaken til en sikkerhetshendelse som har forekommet, til tross for det forebyggende arbeidet.

Overvåking kan tilnærmes fra ulike perspektiver:

• Overvåk på ulike høyder. Observering fra ulike høyder er prosessen med å få informasjon om brukerflyter, datatilgang, identitet, nettverk og til og med operativsystemet. Hvert av disse områdene gir unik innsikt som kan hjelpe deg med å identifisere avvik fra forventet atferd som er etablert i forhold til sikkerhetsgrunnlinjen. Kontinuerlig overvåkning av et system og programmer over tid kan derimot bidra til å fastslå denne grunnlinjetilnærmingen. Det kan for eksempel hende at du vanligvis ser rundt 1000 påloggingsforsøk i identitetssystemet hver time. Hvis overvåkingen registrerer en topp på 50 000 påloggingsforsøk i løpet av en kort periode, kan det hende at en angriper prøver å få tilgang til systemet ditt.

• Overvåk på ulike omfang av innvirkning. Det er kritisk å observere appen og plattformen. Anta at en appbruker får eskalerte rettigheter ved et uhell, eller at et sikkerhetsbrudd inntreffer. Hvis brukeren utfører handlinger utover det angitte omfanget, kan innvirkningen være begrenset til handlinger som andre brukere kan utføre.

  Hvis en intern enhet imidlertid kompromitterer en database, er omfanget av den potensielle skaden usikkert.

  Skadeomfanget eller innvirkningsområdet kan variere betydelig, avhengig av hvilket av disse scenarioene som inntreffer.

• Bruk spesialiserte overvåkingsverktøy. Det er kritisk å investere i spesialiserte verktøy som kontinuerlig kan søke etter avvikende virkemåte som kan indikere et angrep. De fleste av disse verktøyene har funksjoner for trusselinformasjon som kan utføre prediktiv analyse basert på et stort datavolum og kjente trusler. De fleste verktøy er ikke tilstandsløse og innlemmer en grundig forståelse av telemetri i en sikkerhetskontekst.

  Verktøyene må være plattformintegrerte eller i det minste plattformbevisste for å få dypsignaler fra plattformen og lage prognoser med høy nøyaktighet. De må kunne generere varsler i rett tid med nok informasjon til å utføre riktig sortering. Bruk av for mange forskjellige verktøy kan føre til kompleksitet.

• Bruk overvåking for hendelsesrespons. Aggregerte data, som er transformert til handlingsrettet intelligens, muliggjør raske og effektive reaksjoner på hendelser. Overvåking hjelper deg med aktiviteter etter hendelsen. Målet er å samle inn nok data til å analysere og forstå hva som har skjedd. Overvåkingsprosessen fanger opp informasjon om tidligere hendelser for å forbedre reaktive funksjoner og potensielt forutsi fremtidige hendelser.

Avsnittene nedenfor inneholder anbefalte fremgangsmåter som omfatter de foregående overvåkingsperspektivene.

Registrer data for å holde et spor av aktiviteter

Målet er å opprettholde et omfattende revisjonsspor for hendelser som er signifikante fra et sikkerhetsperspektiv. Logging er den vanligste måten å fange opp tilgangsmønstre på. Logging må utføres for appen og plattformen.

For et revisjonsspor må du etablere hva, når og hvem som er knyttet til handlinger. Du må identifisere de spesifikke tidsrammene når handlinger utføres. Foreta denne vurderingen i trusselmodelleringen. For å motvirke en avvisningsstrussel må du opprette sterke loggings- og sporingssystemer som fører til en oppføring av aktiviteter og transaksjoner.

Avsnittene nedenfor beskriver brukstilfeller for enkelte vanlige høyder i en arbeidsbelastning.

Arbeidsbelastning for brukerflyter

Arbeidsbelastningen må utformes slik at du kan se kjøretiden når hendelser inntreffer. Identifiser kritiske punkter i arbeidsbelastningen, og opprett logging for disse punktene. Det er viktig å erkjenne eventuell eskalering av brukerrettigheter, handlingene som utføres av brukeren, samt om brukeren har fått tilgang til sensitiv informasjon på et sikkert datalager. Hold oversikt over aktiviteter for brukeren og brukerøkten.

For å tilrettelegge for denne sporingen må koden instrumenteres via strukturert logging. Dette muliggjør enkel og ensartet spørring og filtrering av loggene.

Viktig!

Du må håndheve ansvarlig logging for å opprettholde konfidensialitet og integritet i systemet. Hemmeligheter og sensitive data må ikke vises i logger. Vær oppmerksom på lekkasje av personlige data og andre samsvarskrav når du registrerer disse loggdataene.

Overvåking av identitet og tilgang

Oppretthold en grundig oppføring av tilgangsmønstre for appen og endringer av plattformressurser. Har robuste aktivitetslogger og mekanismer for trusselregistrering, spesielt for identitetsrelaterte aktiviteter, fordi angripere ofte prøver å manipulere identiteter for å få uautorisert tilgang.

Implementere omfattende logging ved hjelp av alle tilgjengelige datapunkter. Inkluder for eksempel klientens IP-adresse for å skille mellom vanlig brukeraktivitet og potensielle trusler fra uventede steder. Alle loggingshendelser må være tidsstemplet av serveren.

Registrer alle ressurstilgangsaktiviteter, og registrer hvem som gjør hva og når de gjør det. Eskalering av rettigheter er et signifikant datapunkt som bør logges. Handlinger relatert til oppretting eller sletting av kontoer må også registreres. Denne anbefalingen utvides til apphemmeligheter. Overvåk hvem som har tilgang til hemmeligheter, og når de roteres.

Selv om det er viktig å logge vellykkede handlinger, er det nødvendig å registrere feil fra et sikkerhetsperspektiv. Dokumenter alle brudd, for eksempel en bruker som prøver å utføre en handling, men som får en autorisasjonsfeil, forsøk på tilgang til ikke-eksisterende ressurser og andre handlinger som virker mistenkelige.

Nettverksovervåking

Segmenteringsutformingen må gjøre det mulig å registrere punkter ved grensene for å overvåke hva som krysser dem, og logge disse dataene. Overvåk for eksempel delnett som har nettverkssikkerhetsgrupper som genererer flytlogger. Overvåk også brannmurlogger som viser flytene som var tillatt eller avslått.

Det finnes tilgangslogger for inngående tilkoblingsforespørsler. Disse loggene registrerer kilde-IP-adressene som starter forespørslene, forespørselstypen (GET, POST) og all annen informasjon som er en del av forespørslene.

Registrering av DNS-flyter er et signifikant krav for mange organisasjoner. For eksempel kan DNS-logger hjelpe med å identifisere hvilken bruker eller enhet som startet en bestemt DNS-spørring. Ved å knytte DNS-aktivitet til bruker-/enhetsgodkjenningslogger kan du spore aktiviteter til enkeltklienter. Dette ansvaret utvides ofte til arbeidsbelastningsteamet, spesielt hvis de distribuerer noe som gjør DNS-forespørsler til en del av operasjonen. Analyse av DNS-trafikk er svært viktig når det gjelder observering av plattformsikkerhet.

Det er viktig å overvåke uventede DNS-forespørsler eller DNS-forespørsler som er rettet mot kjente kommando- og kontrollendepunkter.

Avveining: Logging av alle nettverksaktiviteter kan resultere i en stor mengde data. Dessverre er det ikke mulig å fange opp bare uønskede hendelser fordi de bare kan identifiseres etter at de oppstår. Ta strategiske avgjørelser om typen hendelser som skal registreres, og hvor lenge de skal lagres. Hvis du ikke er nøye, kan det være overveldende å administrere dataene. Det er også en avveining på kostnadene ved å lagre disse dataene.

Registrer systemendringer

For å opprettholde integriteten til systemet må du ha en nøyaktig og oppdatert oppføring av systemtilstanden. Hvis det er endringer, kan du bruke denne oppføringen til umiddelbart å løse eventuelle problemer som oppstår.

Byggeprosesser bør også sende ut telemetri. Det er viktig å forstå sikkerhetskonteksten for hendelser. Å vite hva som utløste byggeprosessen, hvem som utløste den og når den ble utløst, kan gi verdifull innsikt.

Spor når ressurser opprettes og når de blir avviklet. Denne informasjonen må trekkes ut fra plattformen. Denne informasjonen gir verdifull innsikt for ressursadministrasjon og ansvarlighet.

Overvåk avvik i ressurskonfigurasjonen. Dokumenter enhver endring i en eksisterende ressurs. Hold også oversikt over endringer som ikke fullføres som en del av en utrulling til en ressurspark. Logger må registrere detaljene for endringen og nøyaktig når den inntraff.

Ha en omfattende visning fra et oppdateringsperspektiv om systemet er oppdatert og sikkert. Overvåk rutinemessige oppdateringsprosesser for å bekrefte at de fullføres som planlagt. En sikkerhetsoppdateringsprosess som ikke blir fullført, bør betraktes som en sårbarhet. Du må også vedlikeholde en lagerbeholdning som registrerer oppdateringsnivåene og andre nødvendige detaljer.

Endringsregistrering gjelder også for operativsystemet. Dette innebærer sporing av om tjenester er lagt til eller deaktivert. Det omfatter også overvåkning av tilføyning av nye brukere i systemet. Det finnes verktøy som er utformet for å målrette seg mot et operativsystem. De bidrar til kontekstløs overvåking i den forstand at de ikke målretter seg mot funksjonaliteten til arbeidsbelastningen. Overvåking av filintegritet er for eksempel et viktig verktøy som gjør det mulig å spore endringer i systemfiler.

Du må konfigurere varsler for disse endringene, spesielt hvis du ikke forventer at de skjer ofte.

Viktig!

Når du ruller ut til produksjon, må du sørge for at varsler er konfigurert til å fange opp avvikende aktivitet som registreres på appressursene og byggeprosessen.

I testplanene må du inkludere validering av logging og varsling som prioriterte testsaker.

Lagre, aggreger og analyser data

Data som samles inn fra disse overvåkingsaktivitetene, må lagres i datamottakere der de kan undersøkes grundig, normaliseres og korreleres. Sikkerhetsdata må beholdes utenfor systemets egne datalagre. Overvåkingsmottakere, enten de er lokalisert eller sentrale, må eksistere lenger enn datakildene. Mottakerne kan ikke være midlertidige fordi mottakere er kilden for inntrengingsregistreringssystemer.

Nettverkslogger kan være detaljerte og ta opp lagringsplass. Utforsk ulike nivåer i lagringssystemer. Logger kan naturligvis gå over til kaldere lagring over tid. Denne metoden er fordelaktig fordi eldre flytlogger vanligvis ikke brukes aktivt og bare er nødvendige ved behov. Denne metoden sikrer effektiv lagringsadministrasjon samtidig som du kan få tilgang til historiske data når du trenger det.

Flytene i arbeidsbelastningen er vanligvis en sammensetning av flere loggingskilder. Overvåkingsdata må analyseres intelligent for alle disse kildene. Brannmuren blokkerer for eksempel bare trafikk som når den. Hvis du har en nettverkssikkerhetsgruppe som allerede har blokkert bestemt trafikk, er ikke denne trafikken synlig for brannmuren. Hvis du vil rekonstruere hendelsessekvensen, må du aggregere data fra alle komponenter som er i flyten, og deretter aggregere data fra alle flyter. Disse dataene er spesielt nyttige i et scenario for respons etter hendelse når du prøver å forstå hva som har skjedd. Nøyaktig tidsrapportering er viktig. Av sikkerhetshensyn må alle systemer bruke en nettverkstidskilde slik at de alltid er synkronisert.

Sentralisert trusselregistrering med korrelerte logger

Du kan bruke et system som sikkerhetsinformasjon og hendelsesbehandling (SIEM) til å konsolidere sikkerhetsdata på en sentral plassering der de kan korreleres på tvers av ulike tjenester. Disse systemene har innebygde mekanismer for trusselregistrering. De kan kobles til eksterne feeder for å hente trusselinformasjonsdata. Microsoft publiserer for eksempel trusselinformasjonsdata du kan bruke. Du kan også kjøpe feeder med trusselinformasjon fra andre leverandører, for eksempel Anomalia og FireEye. Disse feedene kan gi verdifull innsikt og forbedre sikkerheten. Hvis du vil ha trusselinformasjon fra Microsoft, kan du se Security Insider.

Et SIEM-system kan generere varsler basert på korrelerte og normaliserte data. Disse varslene er en betydelig ressurs under en hendelsesresponsprosess.

Avveining: SIEM-systemer kan være dyre, komplekse og krever spesialiserte kompetanser. Hvis du ikke har et, kan det imidlertid hende du må korrelere data på egen hånd. Dette kan være en tidkrevende og komplisert prosess.

SIEM-systemer administreres vanligvis av en organisasjons sentrale team. Hvis organisasjonen ikke har et system, bør du vurdere å foreslå at dere skaffer dere et. Det kan dempe byrden ved manuell logganalyse og korrelasjon for å muliggjøre en mer effektiv sikkerhetsadministrasjon.

Microsoft har noen kostnadseffektive alternativer. Mange Microsoft Defender-produkter gir varselfunksjonaliteten til et SIEM-system, men uten en dataaggregeringsfunksjon.

Ved å kombinere flere mindre verktøy kan du emulere enkelte funksjoner i et SIEM-system. Du må imidlertid være klar over at det ikke er sikkert at disse provisoriske løsningene kan utføre korrelasjonsanalyse. Disse alternativene kan være nyttige, men det er ikke sikkert at de erstatter funksjonaliteten til et dedikert SIEM-system fullt ut.

Registrer misbruk

Vær proaktiv når det gjelder trusseldeteksjon og vær årvåken for tegn på misbruk, for eksempel identitetsbrute force-angrep på en SSH-komponent eller et RDP-endepunkt. Selv om eksterne trusler kan generere mye støy, spesielt hvis appen er eksponert mot Internett, er interne trusler ofte en større grunn til bekymring. Et uventet angrep med rå kraft fra en klarert nettverkskilde eller en utilsiktet feilkonfigurasjon må for eksempel undersøkes umiddelbart.

Hold deg oppdatert om fremgangsmåtene for herding. Overvåking er ikke en erstatning for proaktiv herding av miljøet. Et større areal er utsatt for flere angrep. Hold kontrollene så strenge som praktisk mulig. Oppdag og deaktiver ubrukte kontoer, bruk en IP-brannmur, og blokker endepunkter som ikke kreves med policyer for beskyttelse mot tap av data.

Signaturbasert deteksjon kan inspisere et system i detalj. Det innebærer å se etter tegn eller korrelasjoner mellom aktiviteter som kan indikere et mulig angrep. En registreringsmekanisme kan identifisere bestemte kjennetegn som angir en bestemt type angrep. Det er ikke sikkert at det alltid er mulig å registrere kommando- og kontrollmekanismen for et angrep direkte. Det finnes imidlertid ofte hint eller mønstre som er knyttet til en bestemt kommando- og kontrollprosess. Et angrep kan for eksempel indikeres av en bestemt flytfrekvens fra et forespørselsperspektiv, eller det kan ofte få tilgang til domener som har bestemte avslutninger.

Finn avvikende brukertilgangsmønstre, slik at du kan identifisere og undersøke avvik fra forventede mønstre. Dette innebærer å sammenligne nåværende brukeratferd med tidligere atferd for å oppdage avvik. Selv om det ikke er mulig å utføre denne oppgaven manuelt, kan du bruke verktøy for trusselinformasjon til å utføre den. Invester i UEBA-verktøy (analyse av bruker- og enhetsatferd) som samler inn brukeratferd fra overvåkingsdata og analyserer den. Disse verktøyene kan ofte utføre prediktiv analyse som kartlegger mistenkelig atferd til potensielle typer angrep.

Oppdag trusler før og etter distribusjon. Under fasen før distribusjon bør du innlemme sårbarhetsskanning i forløp og iverksette nødvendige tiltak basert på resultatene. Etter distribusjon fortsetter du å utføre sårbarhetsskanning. Du kan bruke verktøy som Microsoft Defender for Containers, som søker i beholderbilder. Inkluder resultatene i de innsamlede dataene. Hvis du vil ha informasjon om sikre utviklingspraksiser, kan du se Anbefalinger for sikker distribusjonspraksis.

Tilrettelegging for Power Platform

Avsnittene nedenfor beskriver mekanismene du kan bruke til å overvåke og oppdage trusler i Power Platform.

Microsoft Sentinel

Med Microsoft Sentinel-løsningen for Microsoft Power Platform kan kunder oppdage ulike mistenkelige aktiviteter, inkludert følgende:

• Power Apps-kjøring fra uautoriserte geografiske områder
• Eliminering av mistenkelige data av Power Apps
• Massesletting av Power Apps
• Phishing-angrep utført via Power Apps
• Power Automate-flytaktivitet av ansatte som har forlatt selskapet
• Microsoft Power Platform-koblinger lagt til i et miljø
• Oppdatering eller fjerning av Microsoft Power Platform-policyer for datatap

Hvis du vil ha mer informasjon, kan du se Oversikt over Microsoft Sentinel-løsningen for Microsoft Power Platform.

Aktivitetslogging for Microsoft Purview

Power Apps, Power Automate, koblinger, hindring av datatap og administrativ Power Platform-aktivitetslogging spores og vises fra Microsoft Purview-samsvarsportalen.

Hvis du vil ha mer informasjon, kan du se:

• Power Apps Loggføring av aktivitet
• Power Automate Loggføring av aktivitet
• Copilot Studio Loggføring av aktivitet
• Power Pages Loggføring av aktivitet
• Power Platform Loggføring av koblingsaktivitet
• Aktivitetslogging for hindring av datatap
• Power Platform Aktivitetslogging for administrative handlinger
• Microsoft Dataverse og aktivitetslogging for modelldrevne apper

Dataverse-sporing

Databasesporing logger endringer som gjøres i kundeoppføringer i et miljø med en Dataverse-database. Dataverse-sporing av endringer logger også brukertilgang via en app eller via SDK i et miljø. Denne revisjonen aktiveres på miljønivå, og ekstra konfigurasjon kreves for individuelle tabeller og kolonner. Hvis du vil ha mer informasjon, kan du se Behandle Dataverse-sporing.

Analyser telemetri med Application Insights

Application Insights, en funksjon i Azure Monitor, brukes mye i virksomhetslandskapet til overvåking og diagnostisering. Data som allerede er samlet inn fra en bestemt leier eller et bestemt miljø, blir sendt til ditt eget Application Insights-miljø. Dataene lagres i Azure Monitor-logger av Application Insights og visualiseres i Ytelse og Feil-paneler under Undersøk i venstre rute. Dataene eksporteres til Application Insights-miljøet i standardskjemaet definert av Application Insights. Kundestøtte-, utvikler- og administratorpersonalet kan bruke denne funksjonen til å sortere og løse problemer.

Du kan også:

• Konfigurer et Application Insights-miljø for å motta telemetri om diagnostisering og ytelse som registreres av Dataverse-plattformen.
• Abonner for å motta telemetri om operasjoner som programmer utfører i Dataverse-databasen og i modelldrevne apper. Denne telemetrien inneholder informasjon som du kan bruke til å diagnostisere og feilsøke problemer relatert til feil og ytelse.
• Konfigurer Power Automate-skyflyter til å integrere med Application Insights.
• Skriv hendelser og aktivitet fra Power Apps-lerretsapper til Application Insights.

Hvis du vil ha mer informasjon, kan du se Oversikt over integrering med Application Insights.

Identitet

Overvåk identitetsrelaterte risikohendelser for potensielt kompromitterte identiteter og håndter disse risikoene. Gå gjennom de rapporterte risikohendelsene på disse måtene:

• Bruk Microsoft Entra ID-rapportering. Hvis du vil ha mer informasjon, kan du se Hva er identitetsbeskyttelse? og Identitetsbeskyttelse.

• Bruk API-medlemmer for identifisering av identitetsbeskyttelse for å få programmatisk tilgang til sikkerhetsregistreringer via Microsoft Graph. Hvis du vil ha mer informasjon, kan du se riskDetection og riskyUser.

Microsoft Entra ID bruker adaptive maskinlæringsalgoritmer, heuristikk og kjent kompromittert legitimasjon (brukernavn og passordpar) til å registrere mistenkelige handlinger som er relatert til brukerkontoene dine. Disse brukernavn- og passordparene oppdages ved å overvåke det offentlige og mørke nettet og ved å arbeide med sikkerhetsforskere, rettshåndhevelse, sikkerhetsteam hos Microsoft og andre.

Azure-forløp

DevOps anbefaler endringsadministrasjon av arbeidsbelastninger via kontinuerlig integrasjon og kontinuerlig levering (CI/CD). Sørg for at du legger til sikkerhetsvalidering i forløpene. Følg veiledningen som er beskrevet i Sikring av Azure-forløp.

Relatert informasjon

• Hva er Microsoft Sentinel?
• Integrering av trusseletterretning i Microsoft Sentinel
• Identifiser avanserte trusler med bruker- og enhetsatferdsanalyse (UEBA) i Microsoft Sentinel

Sikkerhetssjekkliste

Se hele settet med anbefalinger.

Sjekkliste for sikkerhet