Dela via

Rekommendationer för övervakning och hotidentifiering

  • Artikel

Gäller för den här Power Platform rekommendationen för checklista för Well-Architected Security:

SE:08 Implementera en övervakningsstrategi som bygger på moderna mekanismer för hotidentifiering som kan integreras med plattformen. Mekanismer ska tillförlitligt avisera om prioritering och skicka signaler till befintliga SecOps-processer.

I den här guiden beskrivs rekommendationer för övervakning och hotidentifiering. Övervakning är i grunden en process där du får information om händelser som redan har inträffat. Med säkerhetsövervakning kan du samla in information på olika sätt om arbetsbelastningen (identitet, flöden, program och åtgärder) för att öka medvetenheten om misstänkta aktiviteter. Målet är att förutse incidenter och lära sig från tidigare händelser. Övervakningsdata utgör grunden för analyser som utförs efter incidenter, som visar vad som har inträffat för att underlätta incidentsvar och forensiska undersökningar.

Övervakning är en metod för driftseffektivitet som tillämpas i alla Power Platform Well-Architected-pelare. Den här guiden innehåller enbart rekommendationer ur ett säkerhetsperspektiv. Allmänna övervakningsbegrepp beskrivs i Rekommendationer för att designa och skapa ett övervakningssystem.

Definitioner

Begrepp Definition
Granskningsloggar En post med aktiviteter i ett system.
Säkerhetsinformation och händelsehantering (SIEM) En metod som använder de inbyggda funktionerna för hotidentifiering och hotinformation som baseras på data som har sammanställts från olika källor.
Hotidentifiering En strategi för att identifiera avvikelser från förväntade åtgärder med hjälp av insamlade, analyserade och korrelerade data.
Hotinformation En strategi för att tolka hotidentifieringsdata för att upptäcka misstänkt aktivitet eller hot genom att undersöka mönster.
Hotskydd Säkerhetskontroller som placeras i en arbetsbelastning på olika nivåer för att skydda tillgångarna.

Viktiga designstrategier

Det huvudsakliga syftet med säkerhetsövervakning är hotidentifiering. Det primära målet är att förhindra säkerhetsintrång och att upprätthålla en säker miljö. Det är dock lika viktigt att känna till att inte alla hot kan blockeras i förväg. I sådana fall fungerar övervakning också som en mekanism för att identifiera orsaken till en säkerhetsincident som har inträffat trots de förebyggande åtgärderna.

Övervakning kan utföras utifrån olika perspektiv:

  • Övervaka på olika nivåer. Observera från olika nivåer handlar om att få information om användarflöden, dataåtkomst, identitet, nätverk och till och med operativsystemet. Varje område erbjuder unika insikter som hjälper dig att identifiera avvikelser från förväntade beteenden som fastställts utifrån säkerhetsbaslinjen. Omvänt kan kontinuerlig övervakning av ett system och appar över tid hjälpa till att fastställa baslinjeläget. Du kanske till exempel ser runt 1 000 inloggningsförsök i ditt identitetssystem varje timme. Om övervakningen upptäcker 50 000 inloggningsförsök under en kort period, kanske en användare försöker komma åt systemet.

  • Övervaka vid olika omfattningar av påverkan. Det är viktigt att observera appen och plattformen. Anta att en appanvändare av misstag får eskalerade privilegier eller att en säkerhetsrisk uppstår. Om en användare utför åtgärder utöver användarens bestämda omfattning, kan påverkan begränsas till åtgärder som andra användare kan utföra.

    Om en intern entitet gör intrång i en databas, är omfattningen av den potentiella skadan osäker.

    Skadans omfattning eller påverkansomfånget kan skilja sig betydligt, beroende på vilka av dessa scenarier som inträffar.

  • Använd specialiserade övervakningsverktyg. Det är viktigt att investera i specialiserade verktyg som kontinuerligt kan söka efter avvikande beteenden som kan tyda på en attack. De flesta av verktygen har funktioner för hotinformation som kan utföra förutsägelseanalyser utifrån en stor mängd data och kända hot. De flesta verktyg är inte tillståndslösta och har en djup förståelse av telemetri i en säkerhetskontext.

    Verktygen måste vara plattformsintegrerade eller åtminstone plattformsmedvetna för att få djupa signaler från plattformen och göra förutsägelser med hög sannolikhet. De måste kunna skapa aviseringar i rätt tid med tillräckligt med information för att kunna utföra korrekt sortering. Om du använder för många olika verktyg kan det leda till komplexitet.

  • Använd övervakning för incidentsvar. Sammanställda data, som omvandlas till användbar information, gör det möjligt att snabbt och effektivt reagera på incidenter. Övervakning underlättar aktiviteter efter incidenter. Målet är att samla in tillräckligt med data för att kunna analysera och förstå vad som har hänt. Övervakningsprocessen samlar in information om tidigare händelser för att förbättra reaktiva funktioner och potentiellt förutse framtida incidenter.

I följande avsnitt beskrivs rekommenderade metoder som införlivar de föregående övervakningsperspektiven.

Samla in data för att spåra aktiviteter

Målet är att upprätthålla en omfattande spårningslogg med viktiga händelser ur ett säkerhetsperspektiv. Loggning är det vanligaste sättet att registrera åtkomstmönster. Loggning måste utföras för appen och plattformen.

För en spårningslogg måste du ange upprätta vad, när och vem som är associerad med åtgärderna. Du måste identifiera specifika tidsramar när åtgärderna utförs. Gör den här utvärderingen i din hotmodell. För att kunna förhindra ett hot bör du upprätta kraftfulla loggnings- och granskningssystem som skapar en post för aktiviteter och transaktioner.

I följande avsnitt beskrivs hur du använder ärenden för vanliga nivåer för en arbetsbelastning.

Arbetsbelastningens aanvändarflöden

Arbetsbelastningen bör vara utformad så att den ger synlighet i körningen när händelser inträffar. Identifiera viktiga punkter i arbetsbelastningen och upprätta loggning för dessa punkter. Det är viktigt att bekräfta eventuell eskalering av användarprivilegier, de åtgärder som utförts av användaren och huruvida användaren har åtkomst till känslig information i ett säkert datalager. Spåra aktiviteter för användaren och användarsessionen.

För att underlätta spårningen bör koden instrumenteras via strukturerad loggning. Det gör det enkelt och enhetligt att söka efter och filtrera loggarna.

Viktigt

Du måste upprätthålla en ansvarsfull loggning för att bevara systemets sekretess och integritet. Hemligheter och känsliga data får inte visas i loggar. Var försiktig så att personlig information inte läcker och var medveten om andra efterlevnadskrav när du samlar in loggdata.

Identitets- och åtkomstövervakning

Upprätthåll en omfattande post över åtkomstmönster för appen och ändringar av plattformsresurser. Ha robusta aktivitetsloggar och hotidentifieringsmekanismer, särskilt för identitetsrelaterade aktiviteter eftersom användare ofta försöker manipulera identiteter för att få obehörig åtkomst.

Implementera omfattande loggning genom att använda alla tillgängliga datapunkter. Inkludera till exempel klientens IP-adress för att skilja mellan vanlig användaraktivitet och potentiella hot från oväntade platser. Alla loggningshändelser ska vara tidsstämplade av servern.

Registrera alla resursåtkomstaktiviteter, samla in vem som gör vad och när de gör det. Instanser av privilegieeskalering är en viktiga datapunkt som ska loggas. Åtgärder som är relaterade till att skapa eller ta bort konton i appen måste också registreras. Den här rekommendationen omfattar även apphemligheter. Övervaka vem som får åtkomst till hemligheter och när de byter tjänst.

Även om det är viktigt att logga lyckade åtgärder är det nödvändigt att registrera fel ur ett säkerhetsperspektiv. Dokumentera alla överträdelse, till exempel när en användare försöker utföra en åtgärd men stöter på ett autentiseringsfel, försök att få åtkomst till resurser som inte finns och andra åtgärder som verkar misstänkta.

Nätverksövervakning

Din segmenteringsdesign bör aktivera observationspunkter vid gränserna som gör det möjligt att övervaka vad som passerar dem och logga dessa data. Till exempel övervaka undernät som har nätverkssäkerhetsgrupper som genererar flödesloggar. Övervaka även brandväggsloggar som visar de flöden som tilläts eller nekades.

Det finns åtkomstloggar för förfrågningar om inkommande anslutningar. I de här loggarna loggas de käll-IP-adresser som initierar förfrågningarna, typen av förfrågan (GET, POST) och all annan information som är en del av förfrågningarna.

Att samla in DNS-flöden är ett viktigt krav för många organisationer. Till exempel kan DNS-loggar hjälpa till att identifiera vilken användare eller enhet som startade en viss DNS-fråga. Genom att ange DNS-aktivitet med användar-/enhetsautentiseringsloggar kan du spåra aktiviteter till enskilda klienter. Det här ansvaret omfattar ofta arbetsbelastningsteamet, särskilt om de distribuerar något som gör DNS-förfrågningar till en del av verksamheten. DNS-trafikanalyser är en viktig aspekt av plattformssäkerhetens överskådlighet.

Det är viktigt att övervaka oväntade DNS-förfrågningar eller DNS-förfrågningar som är dirigerade till kända kommando- och kontrollslutpunkter.

Avvägning: Loggning av alla nätverksaktiviteter kan resultera i en stor mängd data. Tyvärr är det inte möjligt att bara fånga upp biverkningar eftersom de bara kan identifieras efter att de har inträffat. Fatta strategiska beslut om vilken typ av händelser som ska samlas in och hur länge de ska lagras. Om du inte är försiktig kan hanteringen av data bli överväldigande. Det finns också en avvägning mellan kostnaden för att lagra dessa data.

Samla in systemändringar

För att kunna upprätthålla systemets integritet bör du ha en korrekt och uppdaterad post för systemtillståndet. Om det uppstår ändringar kan du använda den här posten för att snabbt åtgärda eventuella problem.

Build-processer bör också användas för telemetri. Det är viktigt att förstå säkerhetskontexten för händelser. Om du vet vad som utlöste build-processen, vem som utlöste den och när den utlöstes kan du få värdefulla insikter.

Spåra när resurser skapas och när de inaktiveras. Informationen måste extraheras från plattformen. Den här informationen ger värdefulla insikter om resurshantering och ansvarighet.

Övervaka avdrift i resurskonfigurationen. Dokumentera alla ändringar av en befintlig resurs. Du kan även spåra ändringar som inte utgörs som en del i en lansering till en resurspark. Loggar måste registrera informationen om ändringen och den exakta tiden den inträffade.

Ha en heltäckande bild av om systemet är uppdaterat och säkert ur ett korrigeringsperspektiv. Övervaka rutinmässiga uppdateringsprocesser för att kontrollera att de slutförs som planerat. En säkerhetskorrigeringsprocess som inte har slutförts bör betraktas som en sårbarhet. Du bör även upprätthålla ett lager som registrerar korrigeringsnivåerna och annan information som krävs.

Ändringsidentifiering gäller även för operativsystemet. Detta innebär att du kan spåra om tjänster läggs till eller är inaktiverade. Det omfattar även övervakning av nya användares som läggs till i systemet. Det finns verktyg som är utformade för att rikta sig till ett operativsystem. De hjälper till med övervakning vid mindre sammanhang i den mening att de inte riktar in sig på arbetsbelastningens funktionalitet. Filintegritetsövervakning är till exempel ett viktigt verktyg som gör att du kan spåra ändringar i systemfiler.

Du bör konfigurera aviseringar för dessa ändringar, särskilt om du inte förväntar dig att de ska inträffa ofta.

Viktigt

När du distribuerar till produktion bör du se till att aviseringarna är konfigurerade att fånga upp avvikande aktiviteter som har identifierats för appresurserna och build-processen.

I dina testplaner ska du inkludera validering av loggning och avisering som prioriterade testfall.

Lagra, sammanställ och analysera data

Data som samlas in från dessa övervakningsaktiviteter måste lagras i datasänkor där de kan analyseras noggrant, normaliseras och korreleras. Säkerhetsdata ska lagras utanför systemets egna dataarkiv. Övervakningssänkorna, oavsett om de är lokaliserade eller centrala, måste överleva datakällorna. Dessa sänkor kan inte vara efemära eftersom sänkor är källan till intrångsidentifieringssystemen.

Nätverksloggar kan vara utförliga och uppta och lagringsutrymme. Utforska olika nivåer i lagringssystem. Loggar kan övergå till kallare lagring med tiden. Den här metoden är fördelaktig eftersom äldre flödesloggar vanligtvis inte används aktivt och bara behövs på begäran. Den här metoden säkerställer effektiv lagringshantering och säkerställer även att du har tillgång till historiska data när de behövs.

Arbetsbelastningens flöden består vanligtvis av flera olika loggningskällor. Övervakningsdata måste analyseras på ett intelligent sätt i alla dessa källor. Brandväggen blockerar till exempel bara den trafik som når den. Om det finns en nätverkssäkerhetsgrupp som redan har blockerat viss trafik, visas inte den här trafiken för brandväggen. Om du vill rekonstruera händelseförloppet måste du sammanställa data från alla komponenter som finns i flödet och sedan sammanställa data från alla flöden. Dessa data är särskilt användbara i ett svarsscenario efter incidenten, när du försöker förstå vad som har hänt. Det är viktigt med korrekt tidsrapportering. Av säkerhetsskäl måste alla system använda en nätverkstidskälla så att de alltid är synkroniserade.

Centraliserad hotidentifiering med korrelerade loggar

Du kan använda ett system som SIEM (säkerhetsinformation och händelsehantering) för att konsolidera säkerhetsdata på en centralplats där de kan korreleras mellan olika tjänster. De här systemen har inbyggda mekanismer för hotidentifiering. De kan ansluta till externa flöden för att få tillgång till hotinformation. Microsoft publicerar till exempel de hotinformationsdata som du kan använda. Du kan också köpa hotinformationsfeeds från andra leverantörer, till exempel Anomali och FireEye. Dessa feeds kan ge värdefulla insikter och förbättra säkerheten. Mer information om hotinsikter från Microsoft finns i Security Insider.

Ett SIEM-system kan generera aviseringar baserat på korrelerade och normaliserade data. De här aviseringarna är en viktig resurs under en incidentsvarsprocess.

Kompromiss: SIEM-system kan vara dyra, komplexa och kräva specialiserade färdigheter. Men om du inte har något kan du behöva korrelera data på egen hand. Det kan vara en tidskrävande och komplex process.

SIEM-system hanteras vanligtvis av organisationens centrala team. Om din organisation inte har ett sådant kan du överväga att förespråka det. Det skulle kunna minska belastningen med manuell logganalys och leda till en effektivare säkerhetshantering.

Vissa kostnadseffektiva alternativ tillhandahålls av Microsoft. Många Microsoft Defender-produkter omfattar aviseringsfunktionen i ett SIEM-system, men har ingen funktion för datasammanställning.

Genom att kombinera flera mindre verktyg kan du emulera vissa funktioner i ett SIEM-system. Du måste dock känna till att de här lösningarna kanske inte kan användas för att utföra korreleringssanalyser. Dessa alternativ kan vara användbara, men de kanske inte helt ersätter funktionerna i ett speciellt SIEM-system.

Identifiera missbruk

Var proaktiv när det gäller hotidentifiering och var vaksam på tecken på missbruk, till exempel brute force-attacker för identiteter på en SSH-komponent eller en RDP-slutpunkt. Även om externa hot kan generera mycket brus, särskilt om appen är exponerad på internet, utgör interna hot ofta ett större bekymmer. En oväntad råstyrkeattack från en betrodd nätverkskälla eller oavsiktlig felkonfiguration bör till exempel undersökas omedelbart.

Fortsätt med dina förstärkningsmetoder. Övervakning ersätter inte en proaktiv förstärkning av miljön. En större yta drabbas av fler angrepp. Täta till kontrollerna som en del av praxis. Identifiera och inaktivera oanvända konton, använd till exempel en IP-brandvägg, och blockera slutpunkter som inte behövs med principer för dataförlustskydd.

Signaturbaserad identifiering kan inspektera ett system i detalj. Det handlar om att leta efter tecken eller korrelationer mellan aktiviteter som kan tyda på en möjlig attack. En identifieringsmekanism kan identifiera vissa egenskaper som kännetecknar en viss typ av angrepp. Det kanske inte alltid är möjligt att direkt identifiera kommando- och kontrollmekanismen för en attack. Det finns emellertid ofta ledtrådar eller mönster som är associerade med en viss kommando- och kontrollprocess. En attack kan till exempel visas med en anges via en viss flödestakt ur ett begäranperspektiv, eller så kommer den ofta åt domäner som har specifika avslut.

Identifiera avvikande användargränssnittsmönster så att du kan identifiera och undersöka avvikelser från förväntade mönster. Detta innebär att man jämför aktuellt användarbeteende med tidigare beteende för att upptäcka avvikelser. Det kanske inte är praktiskt att utföra uppgiften manuellt, men kan du använda verktygen för hotinformation för att utföra den. Investera i verktyg för användar- och entitetsbeteendeanalys (UEBA) som samlar in beteende från övervakningsdata och analyserar dem. Dessa verktyg kan ofta utföra konsekvensanalyser som mappar misstänkta beteenden till potentiella typer av angrepp.

Identifiera hot under stadierna före och efter distributionen. Under fördistributionsfasen ska du införliva du sårbarhetsgenomsökning i pipelines och vidta nödvändiga åtgärder utifrån resultaten. Efter distributionen ska du fortsätta att utföra sårbarhetsgenomsökningar. Du kan använda verktyg som Microsoft Defender for Containers som söker igenom behållarbilder. Ta med resultaten i den insamlade informationen. Information om säkra utvecklingsmetoder finns i Rekommendationer för säkra distributionsmetoder.

Underlätta Power Platform

I följande avsnitt beskrivs vilka metoder du kan använda för att övervaka och identifiera hot i Power Platform.

Microsoft Sentinel

Med Microsoft Sentinel-lösningen kan Microsoft Power Platform kunderna upptäcka olika typer av aktiviteter, till exempel:

  • Power Apps-körning från obehöriga geografiska områden
  • Misstänkt dataförstörelse i Power Apps
  • Massborttagning av Power Apps
  • Nätfiskeangrepp genom Power Apps
  • Flödesaktivitet i Power Automate från avgående anställda
  • Microsoft Power Platform-anslutningsprogram tillagda i en miljö
  • Uppdatering eller borttagning av Microsoft Power Platform-principer som förhindrar dataförlust

Mer information finns i Översikt till Microsoft Sentinel-lösning för Microsoft Power Platform.

Aktivitetsloggning i Microsoft Purview

Power Apps, Power Automate, anslutningsprogram, dataförlustskydd och Power Platforms loggning av administrativ aktivitet spåras och visas i Microsoft Purview-portalen för regelefterlevnad.

Mer information finns i

Dataverse-granskning

Databasgranskningen loggar förändringar som görs i kundposter i en miljö med Dataverse-databas. Dataverse-granskning loggar även användaråtkomst via ett program eller via SDK i en miljö. Den här granskningen aktiveras på miljönivå och ytterligare konfiguration krävs för enskilda tabeller och kolumner. Mer information finns i Hantera Dataverse-granskning.

Analysera telemetri med Application Insights

Application Insights, en funktion i Azure Monitor, används ofta inom företagslandskapet för övervakning och diagnostik. Data som redan har samlats in från en viss klient eller miljö skickas till din egen Application Insights miljö. Data lagras i Azure Monitor-loggar av Application Insights, och visualiseras i panelerna Prestanda och Fel under Undersök till vänster. Uppgifterna exporteras till din Application Insights miljö i det standardschema som definieras av Application Insights. Support-, utvecklar- och adminpersonerna kan använda den här funktionen för att testa och lösa problem.

Du kan också:

  • Ställa in en Application Insights-miljö för att ta emot telemetri om diagnostik och prestanda som fångas av Dataverse-plattformen.
  • Prenumerera på mottagning av telemetri om åtgärder som applikationer utför på din Dataverse-databas och inom modellbaserade appar. Denna telemetri innehåller information som du kan använda för att diagnostisera och felsöka problem relaterade till fel och prestanda.
  • Ställa in Power Automate-molnflöden som integreras med Application Insights
  • Skriva händelser och aktiviteter från Power Apps-arbetsyteappar till Application Insights.

Mer information finns i Översikt för integration med Application Insights.

Identitet

Övervaka identitetsrelaterade riskhändelser för potentiellt angripna identiteter och åtgärda sådana risker. Granska de rapporterade riskhändelserna på följande sätt:

Microsoft Entra ID använder maskininlärningsalgoritmer, heuristik och kända angripna autentiseringsuppgifter (användarnamn och lösenordspar) för att identifiera misstänkta aktiviteter som är relaterade till dina användarkonton. De här användarnamn- och lösenordsparen tas fram genom att övervaka det offentliga nätet och dark webb, samt genom att arbeta med säkerhetsforskare, polis och säkerhetsteam på Microsoft med flera.

Azure-pipelines

DevOps förespråkar ändringshantering av arbetsbelastningar via kontinuerlig integrering och kontinuerlig leverans (CI/CD). Se till att lägga till säkerhetsvalidering i pipelines. Följ vägledningen som beskrivs i Skydda Azure-pipelines.

Checklista för säkerhet

Se den fullständiga uppsättningen med rekommendationer.

Checklista för säkerhet