คำแนะนำสำหรับการติดตามและการตรวจจับภัยคุกคาม
ใช้กับคำแนะนำรายการตรวจสอบความปลอดภัยที่ได้รับการออกแบบอย่างดีนี้: Power Platform
| SE:08 | ใช้กลยุทธ์การตรวจสอบแบบองค์รวม ซึ่งอาศัยกลไกการตรวจจับภัยคุกคามสมัยใหม่ที่สามารถผสานรวมกับแพลตฟอร์มได้ กลไกควรแจ้งเตือนการคัดแยกและส่งสัญญาณไปยังกระบวนการ SecOps ที่มีอยู่ได้อย่างน่าเชื่อถือ |
|---|
คู่มือนี้อธิบายถึงคำแนะนำในการติดตามและการตรวจจับภัยคุกคาม การติดตามเป็นกระบวนการพื้นฐานในการ รับข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นแล้ว การตรวจสอบความปลอดภัยเป็นแนวทางปฏิบัติในการรวบรวมข้อมูลที่ระดับความสูงต่างๆ ของภาระงาน (ข้อมูลประจำตัว โฟลว์ แอปพลิเคชัน การดำเนินการ) เพื่อ ได้รับการรับรู้ถึงกิจกรรมที่น่าสงสัย เป้าหมายคือการทำนายเหตุการณ์และเรียนรู้จากเหตุการณ์ในอดีต ข้อมูลการติดตามเป็นพื้นฐานของการวิเคราะห์หลังเหตุการณ์ของสิ่งที่เกิดขึ้นเพื่อช่วยตอบสนองต่อเหตุการณ์และการสืบสวนทางนิติวิทยาศาสตร์
การติดตามตรวจสอบเป็นแนวทางความเป็นเลิศในการปฏิบัติงานที่นำไปใช้ได้กับเสาหลัก Power Platform ที่ได้รับการออกแบบอย่างดีทั้งหมด คู่มือนี้ให้คำแนะนำจากมุมมองด้านความปลอดภัยเท่านั้น แนวคิดทั่วไปของการติดตามจะครอบคลุมอยู่ใน ข้อแนะนำในการออกแบบและสร้างระบบติดตามตรวจสอบ
คำจำกัดความ
| เงื่อนไข | ข้อกำหนด |
|---|---|
| บันทึกการตรวจสอบ | เรกคอร์ดกิจกรรมในระบบ |
| การจัดการเหตุการณ์และข้อมูลความปลอดภัย (SIEM) | แนวทางที่ใช้การตรวจจับภัยคุกคามและความสามารถด้านข่าวกรองในตัวโดยอิงตามข้อมูลที่รวบรวมจากหลายแหล่ง |
| การตรวจหาภัยคุกคาม | กลยุทธ์สำหรับการตรวจจับความเบี่ยงเบนจากการกระทำที่คาดหวังโดยใช้ข้อมูลที่รวบรวม วิเคราะห์ และเชื่อมโยงกัน |
| ข่าวกรองเกี่ยวกับภัยคุกคาม | กลยุทธ์สำหรับการตีความข้อมูลการตรวจจับภัยคุกคามเพื่อตรวจจับกิจกรรมหรือภัยคุกคามที่น่าสงสัยโดยการตรวจสอบรูปแบบ |
| การป้องกันภัยคุกคาม | การควบคุมความปลอดภัยที่วางอยู่ในภาระงานที่ระดับความสูงต่างๆ เพื่อปกป้องทรัพย์สิน |
กลยุทธ์การออกแบบที่สำคัญ
วัตถุประสงค์หลักของการตรวจสอบความปลอดภัยคือ การตรวจจับภัยคุกคาม วัตถุประสงค์หลักคือเพื่อป้องกันการละเมิดความปลอดภัยที่อาจเกิดขึ้นและรักษาสภาพแวดล้อมที่ปลอดภัย อย่างไรก็ตาม สิ่งสำคัญไม่แพ้กันคือต้องตระหนักว่าไม่ใช่ทุกภัยคุกคามที่สามารถปิดกั้นล่วงหน้าได้ ในกรณีดังกล่าว การตรวจสอบยังทำหน้าที่เป็นกลไกในการระบุสาเหตุของเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นแม้จะมีความพยายามในการป้องกันก็ตาม
การติดตามผลสามารถเข้าถึงได้จากมุมมองต่างๆ:
ตรวจสอบที่ระดับความสูงต่างๆ สังเกตจาก ระดับความสูงต่างๆ เป็นกระบวนการรับข้อมูลเกี่ยวกับโฟลว์ของผู้ใช้ การเข้าถึงข้อมูล ตัวตน ระบบเครือข่าย และแม้กระทั่งระบบปฏิบัติการ แต่ละด้านเหล่านี้นำเสนอข้อมูลเชิงลึกที่ไม่ซ้ำกันซึ่งสามารถช่วยคุณระบุความเบี่ยงเบนไปจากพฤติกรรมที่คาดหวังซึ่งสร้างขึ้นโดยเทียบกับพื้นฐานการรักษาความปลอดภัย ในทางกลับกัน การตรวจสอบระบบและแอปพลิเคชันอย่างต่อเนื่องตลอดเวลาสามารถทำได้ ช่วยสร้างสภาวะพื้นฐานนั้น ตัวอย่างเช่น โดยทั่วไปคุณอาจเห็นความพยายามลงชื่อเข้าใช้ประมาณ 1,000 ครั้งในระบบข้อมูลประจำตัวของคุณทุกๆ ชั่วโมง หากการตรวจสอบของคุณตรวจพบว่ามีความพยายามลงชื่อเข้าใช้ 50,000 ครั้งในช่วงเวลาสั้นๆ ผู้โจมตีอาจพยายามเข้าถึงระบบของคุณ
ติดตามผลกระทบในขอบเขตต่างๆ เป็นสิ่งสำคัญที่จะ สังเกตแอปพลิเคชันและแพลตฟอร์ม สมมติว่าผู้ใช้แอปพลิเคชันได้รับสิทธิพิเศษที่เพิ่มขึ้นโดยไม่ได้ตั้งใจหรือมีการละเมิดความปลอดภัยเกิดขึ้น หากผู้ใช้ดำเนินการนอกขอบเขตที่กำหนด ผลกระทบอาจถูกจำกัดอยู่ที่การดำเนินการที่ผู้ใช้รายอื่นสามารถทำได้
อย่างไรก็ตาม หากหน่วยงานภายในบุกรุกฐานข้อมูล ขอบเขตของความเสียหายที่อาจเกิดขึ้นนั้นไม่แน่นอน
รัศมีความเสียหายหรือขอบเขตที่ได้รับผลกระทบอาจแตกต่างกันอย่างมาก ขึ้นอยู่กับสถานการณ์ที่เกิดขึ้น
ใช้เครื่องมือตรวจสอบพิเศษ การลงทุนเป็นสิ่งสำคัญ เครื่องมือพิเศษ ที่สามารถสแกนหาพฤติกรรมผิดปกติที่อาจบ่งบอกถึงการโจมตีได้อย่างต่อเนื่อง เครื่องมือเหล่านี้ส่วนใหญ่มี ความสามารถด้านข่าวกรองเกี่ยวกับภัยคุกคาม ที่สามารถทำการวิเคราะห์เชิงคาดการณ์โดยอิงตามข้อมูลปริมาณมากและภัยคุกคามที่ทราบ เครื่องมือส่วนใหญ่ไม่ได้ไร้สัญชาติและรวมเอาความเข้าใจอย่างลึกซึ้งเกี่ยวกับการวัดและส่งข้อมูลทางไกลในบริบทด้านความปลอดภัย
เครื่องมือจำเป็นต้องบูรณาการแพลตฟอร์มหรืออย่างน้อยก็รับรู้ถึงแพลตฟอร์มเพื่อรับสัญญาณเชิงลึกจากแพลตฟอร์มและทำการคาดการณ์ด้วยความเที่ยงตรงสูง เครื่องมือจะต้องสามารถสร้างการแจ้งเตือนได้ทันท่วงทีโดยมีข้อมูลเพียงพอที่จะดำเนินการคัดแยกอย่างเหมาะสม การใช้เครื่องมือที่หลากหลายมากเกินไปอาจทำให้เกิดความซับซ้อนได้
ใช้การตรวจสอบเพื่อตอบสนองต่อเหตุการณ์ ข้อมูลที่รวบรวมไว้ซึ่งแปลงเป็นข้อมูลอัจฉริยะที่นำไปปฏิบัติได้ ช่วยให้ตอบสนองต่อเหตุการณ์ต่างๆ ได้อย่างรวดเร็วและมีประสิทธิภาพ การติดตาม ช่วยในการทำกิจกรรมหลังเหตุการณ์ เป้าหมายคือการรวบรวมข้อมูลให้เพียงพอเพื่อวิเคราะห์และทำความเข้าใจกับสิ่งที่เกิดขึ้น กระบวนการตรวจสอบจะรวบรวมข้อมูลเกี่ยวกับเหตุการณ์ในอดีตเพื่อเพิ่มขีดความสามารถเชิงรับและอาจคาดการณ์เหตุการณ์ในอนาคตได้
ส่วนต่อไปนี้ให้แนวทางปฏิบัติที่แนะนำซึ่งรวมเอามุมมองการติดตามก่อนหน้านี้
เก็บข้อมูลเพื่อติดตามกิจกรรม
วัตถุประสงค์คือเพื่อรักษา แนวทางการตรวจสอบที่ครอบคลุม ของเหตุการณ์ที่สำคัญจากมุมมองด้านความปลอดภัย การบันทึกเป็นวิธีที่ใช้กันทั่วไปในการจับภาพรูปแบบการเข้าถึง ต้องทำการบันทึกสำหรับแอปพลิเคชันและแพลตฟอร์ม
สำหรับเส้นทางการตรวจสอบ คุณต้อง กำหนด สิ่งใด, เมื่อใด และ ใคร ที่เกี่ยวข้องกับการกระทำ คุณต้องระบุกรอบเวลาเฉพาะเมื่อมีการดำเนินการ ทำการประเมินนี้ในการสร้างโมเดลภัยคุกคามของคุณ เพื่อตอบโต้ภัยคุกคามจากการปฏิเสธ คุณควรสร้างระบบการบันทึกและการตรวจสอบที่แข็งแกร่งซึ่งส่งผลให้เกิดบันทึกกิจกรรมและธุรกรรม
ส่วนต่อไปนี้จะอธิบายกรณีการใช้งานสำหรับระดับความสูงทั่วไปของภาระงาน
โฟลว์ผู้ใช้ภาระงาน
ภาระงานของคุณควรได้รับการออกแบบเพื่อให้มองเห็นรันไทม์เมื่อมีเหตุการณ์เกิดขึ้น ระบุจุดวิกฤติภายในภาระงานของคุณ และสร้างการบันทึกสำหรับจุดเหล่านี้ สิ่งสำคัญคือต้องรับทราบการเพิ่มขึ้นของสิทธิ์ของผู้ใช้ การดำเนินการของผู้ใช้ และดูว่าผู้ใช้เข้าถึงข้อมูลที่ละเอียดอ่อนในที่เก็บข้อมูลที่ปลอดภัยหรือไม่ ติดตามกิจกรรมสำหรับผู้ใช้และเซสชันผู้ใช้
เพื่ออำนวยความสะดวกในการติดตามนี้ โค้ดควร มีเครื่องมือผ่านการบันทึกที่มีโครงสร้าง การทำเช่นนี้ช่วยให้สามารถสืบค้นและกรองบันทึกได้ง่ายและสม่ำเสมอ
สำคัญ
คุณต้องบังคับใช้การบันทึกอย่างรับผิดชอบเพื่อรักษาความลับและความสมบูรณ์ของระบบของคุณ ข้อมูลลับและข้อมูลที่ละเอียดอ่อนจะต้องไม่ปรากฏในบันทึก โปรดระวังการรั่วไหลของข้อมูลส่วนบุคคลและข้อกำหนดการปฏิบัติตามข้อกำหนดอื่นๆ เมื่อคุณบันทึกข้อมูลบันทึกนี้
การตรวจสอบตัวตนและการเข้าถึง
รักษา บันทึกรูปแบบการเข้าถึงสำหรับแอปพลิเคชันและการแก้ไขทรัพยากรแพลตฟอร์ม อย่างละเอียด มีบันทึกกิจกรรมที่แข็งแกร่งและกลไกการตรวจจับภัยคุกคาม โดยเฉพาะกิจกรรมที่เกี่ยวข้องกับข้อมูลประจำตัว เนื่องจากผู้โจมตีมักจะพยายามจัดการข้อมูลประจำตัวเพื่อเข้าถึงโดยไม่ได้รับอนุญาต
ใช้การบันทึกที่ครอบคลุมโดย โดยใช้จุดข้อมูลที่มีอยู่ทั้งหมด ตัวอย่างเช่น รวมที่อยู่ IP ไคลเอ็นต์เพื่อแยกความแตกต่างระหว่างกิจกรรมของผู้ใช้ปกติและภัยคุกคามที่อาจเกิดขึ้นจากสถานที่ที่ไม่คาดคิด เหตุการณ์การบันทึกทั้งหมดควรประทับเวลาโดยเซิร์ฟเวอร์
บันทึกกิจกรรมการเข้าถึงทรัพยากรทั้งหมด โดยบันทึกว่าใครทำอะไรและเมื่อใด อินสแตนซ์ของการยกระดับสิทธิ์ถือเป็นจุดข้อมูลสำคัญที่ควรบันทึกไว้ การดำเนินการที่เกี่ยวข้องกับการสร้างหรือการลบบัญชีโดยแอปพลิเคชันจะต้องได้รับการบันทึกด้วย คำแนะนำนี้ครอบคลุมถึงความลับของแอปพลิเคชัน ตรวจสอบว่าใครเข้าถึงข้อมูลลับและเมื่อใดที่ถูกหมุนเวียน
แม้ว่าการบันทึกการดำเนินการที่ประสบความสำเร็จเป็นสิ่งสำคัญ การบันทึกล้มเหลวนั้นจำเป็นจากมุมมองด้านความปลอดภัย บันทึกการละเมิดใดๆ เช่น ผู้ใช้พยายามดำเนินการแต่ประสบความล้มเหลวในการให้สิทธิ์ ความพยายามในการเข้าถึงทรัพยากรที่ไม่มีอยู่ และการดำเนินการอื่นๆ ที่ดูน่าสงสัย
การตรวจสอบเครือข่าย
การออกแบบการแบ่งส่วนควร ทำให้สามารถมีจุดสังเกตที่ขอบเขต เพื่อตรวจสอบสิ่งที่ข้ามและบันทึกข้อมูลนั้น ตัวอย่างเช่น ตรวจสอบเครือข่ายย่อยที่มีกลุ่มความปลอดภัยของเครือข่ายที่สร้างบันทึกโฟลว์ ตรวจสอบบันทึกไฟร์วอลล์ที่แสดงโฟลว์ที่ได้รับอนุญาตหรือปฏิเสธ
มีบันทึกการเข้าถึงสำหรับการร้องขอการเชื่อมต่อขาเข้า บันทึกเหล่านี้จะบันทึกที่อยู่ IP ต้นทางที่เริ่มต้นคำขอ ประเภทของคำขอ (GET, POST) และข้อมูลอื่นๆ ทั้งหมดที่เป็นส่วนหนึ่งของคำขอ
การบันทึกโฟลว์ DNS ถือเป็นข้อกำหนดที่สำคัญสำหรับหลายองค์กร ตัวอย่างเช่น บันทึก DNS สามารถช่วยระบุผู้ใช้หรืออุปกรณ์ที่เริ่มต้นการสืบค้น DNS เฉพาะ ด้วยการเชื่อมโยงกิจกรรม DNS กับบันทึกการตรวจสอบผู้ใช้/อุปกรณ์ คุณสามารถติดตามกิจกรรมไปยังไคลเอนต์แต่ละรายได้ ความรับผิดชอบนี้มักจะขยายไปถึงทีมงานภาระงาน โดยเฉพาะอย่างยิ่งหากพวกเขาปรับใช้สิ่งใดก็ตามที่ทำให้คำขอ DNS เป็นส่วนหนึ่งของการดำเนินงานของพวกเขา การวิเคราะห์การรับส่งข้อมูล DNS เป็นส่วนสำคัญของความสามารถในการสังเกตความปลอดภัยของแพลตฟอร์ม
สิ่งสำคัญคือต้องตรวจสอบคำขอ DNS ที่ไม่คาดคิดหรือคำขอ DNS ที่ส่งตรงไปยังปลายทางคำสั่งและการควบคุมที่รู้จัก
การแลกเปลี่ยน: การบันทึกกิจกรรมเครือข่ายทั้งหมดอาจส่งผลให้มีข้อมูลจำนวนมาก น่าเสียดายที่ไม่สามารถบันทึกเฉพาะเหตุการณ์ที่ไม่พึงประสงค์ได้เท่านั้น เนื่องจากสามารถระบุได้หลังจากที่เกิดขึ้นแล้วเท่านั้น ตัดสินใจเชิงกลยุทธ์เกี่ยวกับประเภทของเหตุการณ์ที่จะจับข้อมูลและระยะเวลาในการจัดเก็บ หากคุณไม่ระวัง การจัดการข้อมูลอาจมีเรื่องล้นหลาม นอกจากนี้ยังมีข้อแลกเปลี่ยนกับค่าใช้จ่ายในการจัดเก็บข้อมูลนั้นด้วย
บันทึกการเปลี่ยนแปลงระบบ
เพื่อรักษาความสมบูรณ์ของระบบของคุณ คุณควรมีบันทึกสถานะของระบบที่ถูกต้องและทันสมัย หากมีการเปลี่ยนแปลง คุณสามารถใช้บันทึกนี้เพื่อแก้ไขปัญหาใดๆ ที่เกิดขึ้นได้ทันที
กระบวนการสร้างควรปล่อยการวัดและส่งข้อมูลทางไกลด้วย การทำความเข้าใจบริบทด้านความปลอดภัยของเหตุการณ์เป็นสิ่งสำคัญ การรู้ว่าอะไรเป็นสาเหตุของกระบวนการสร้าง ใครเป็นคนกระตุ้น และเมื่อใดที่มันถูกกระตุ้นสามารถให้ข้อมูลเชิงลึกที่มีคุณค่าได้
ติดตาม เมื่อมีการสร้างทรัพยากรและเมื่อเลิกใช้งาน ข้อมูลนี้จะต้องดึงมาจากแพลตฟอร์ม ข้อมูลนี้ให้ข้อมูลเชิงลึกที่มีคุณค่าสำหรับการจัดการทรัพยากรและความรับผิดชอบ
เฝ้าสังเกต การเบี่ยงเบนในการกำหนดค่าทรัพยากร บันทึกการเปลี่ยนแปลงใดๆ ที่เกิดขึ้นกับทรัพยากรที่มีอยู่ รวมถึงติดตามการเปลี่ยนแปลงที่ไม่สมบูรณ์โดยเป็นส่วนหนึ่งของการเปิดตัวทรัพยากรจำนวนมาก บันทึกจะต้องบันทึกข้อมูลเฉพาะของการเปลี่ยนแปลงและเวลาที่เกิดขึ้นอย่างแน่นอน
มีมุมมองที่ครอบคลุมจากมุมมองของแพตช์ว่าระบบทันสมัยและปลอดภัยหรือไม่ ตรวจสอบกระบวนการอัปเดตตามปกติ เพื่อตรวจยืนยันว่าเสร็จสิ้นตามที่วางแผนไว้ กระบวนการแพตช์ความปลอดภัยที่ไม่สมบูรณ์ควรถือเป็นช่องโหว่ คุณควรรักษาสินค้าคงคลังที่บันทึกระดับแพตช์และรายละเอียดที่จำเป็นอื่นๆ
การตรวจจับการเปลี่ยนแปลงยังใช้กับระบบปฏิบัติการด้วย สิ่งนี้เกี่ยวข้องกับการติดตามว่ามีการเพิ่มหรือปิดบริการหรือไม่ รวมถึงการตรวจสอบการเพิ่มผู้ใช้ใหม่เข้าสู่ระบบ มีเครื่องมือที่ออกแบบมาเพื่อกำหนดเป้าหมายระบบปฏิบัติการ ช่วยในการตรวจสอบแบบไร้บริบทในแง่ที่ว่าไม่ได้กำหนดเป้าหมายการทำงานของปริมาณงาน ตัวอย่างเช่น การตรวจสอบความสมบูรณ์ของไฟล์เป็นเครื่องมือสำคัญที่ช่วยให้คุณสามารถติดตามการเปลี่ยนแปลงในไฟล์ระบบได้
คุณควรตั้งค่าการแจ้งเตือนสำหรับการเปลี่ยนแปลงเหล่านี้ โดยเฉพาะอย่างยิ่งหากคุณไม่คาดหวังว่าจะเกิดขึ้นบ่อยครั้ง
สำคัญ
เมื่อคุณเปิดตัวสู่การใช้งานจริง ตรวจสอบให้แน่ใจว่าการแจ้งเตือนได้รับการกำหนดค่าให้ตรวจจับกิจกรรมที่ผิดปกติที่ตรวจพบในทรัพยากรแอปพลิเคชันและกระบวนการสร้าง
ในแผนการทดสอบของคุณ รวมถึงการตรวจสอบการบันทึกและการแจ้งเตือน เป็นกรณีทดสอบที่จัดลำดับความสำคัญ
จัดเก็บ รวบรวม และวิเคราะห์ข้อมูล
ข้อมูลที่รวบรวมจากกิจกรรมการตรวจสอบเหล่านี้จะต้องจัดเก็บไว้ในที่เก็บข้อมูลที่สามารถเก็บไว้ได้อย่างทั่วถึง ตรวจสอบ ทำให้เป็นมาตรฐาน และสัมพันธ์กัน ข้อมูลความปลอดภัยควรคงอยู่นอกที่เก็บข้อมูลของระบบ การตรวจสอบช่องไม่ว่าจะเป็นภาษาท้องถิ่นหรือแบบรวมศูนย์ จะต้องคงอยู่นานกว่าแหล่งข้อมูล ช่องไม่สามารถอยู่ชั่วคราวได้ เพราะช่องเป็นแหล่งที่มาของระบบตรวจจับการบุกรุก
บันทึกเครือข่ายสามารถละเอียดและใช้พื้นที่จัดเก็บได้ สำรวจระดับที่แตกต่างกันในระบบจัดเก็บข้อมูล บันทึกสามารถเปลี่ยนไปใช้พื้นที่จัดเก็บแบบเย็นได้ตามธรรมชาติเมื่อเวลาผ่านไป แนวทางนี้มีประโยชน์เนื่องจากโดยทั่วไปแล้วบันทึกโฟลว์เก่าๆ จะไม่ถูกใช้บ่อยและจำเป็นตามความต้องการเท่านั้น วิธีการนี้ช่วยให้มั่นใจได้ถึงการจัดการพื้นที่จัดเก็บข้อมูลที่มีประสิทธิภาพในขณะเดียวกันก็รับประกันว่าคุณสามารถเข้าถึงข้อมูลประวัติเมื่อคุณต้องการ
โดยทั่วไป โฟลว์ภาระงานของคุณประกอบด้วยแหล่งที่มาของการบันทึกหลายแหล่ง ข้อมูลการตรวจสอบจะต้อง วิเคราะห์อย่างชาญฉลาดจากแหล่งที่มาเหล่านั้นทั้งหมด ตัวอย่างเช่น ไฟร์วอลล์ของคุณจะปิดกั้นเฉพาะการรับส่งข้อมูลที่เข้าถึงเท่านั้น หากคุณมีกลุ่มความปลอดภัยเครือข่ายที่ปิดกั้นการรับส่งข้อมูลบางอย่างแล้ว ไฟร์วอลล์จะไม่เห็นการรับส่งข้อมูลนั้น หากต้องการสร้างลำดับเหตุการณ์ขึ้นใหม่ คุณต้องรวบรวมข้อมูลจากส่วนประกอบทั้งหมดที่อยู่ในโฟลว์ จากนั้นจึงรวบรวมข้อมูลจากโฟลว์ทั้งหมด ข้อมูลนี้มีประโยชน์อย่างยิ่งในสถานการณ์การตอบสนองหลังเหตุการณ์เมื่อคุณพยายามทำความเข้าใจว่าเกิดอะไรขึ้น การรักษาเวลาที่แม่นยำถือเป็นสิ่งสำคัญ เพื่อความปลอดภัย ระบบทั้งหมดจำเป็นต้องใช้แหล่งเวลาของเครือข่ายเพื่อให้ซิงค์กันอยู่เสมอ
การตรวจจับภัยคุกคามแบบรวมศูนย์พร้อมบันทึกที่สัมพันธ์กัน
คุณสามารถใช้ระบบ เช่น ข้อมูลความปลอดภัยและ การจัดการเหตุการณ์ (SIEM) เพื่อ รวบรวมข้อมูลความปลอดภัยไว้ในตำแหน่งศูนย์กลาง ซึ่งสามารถเชื่อมโยงกับบริการต่างๆ ได้ ระบบเหล่านี้มีกลไก การตรวจจับภัยคุกคาม ในตัว กลไกสามารถ เชื่อมต่อกับฟีดภายนอก เพื่อรับข้อมูลข่าวกรองเกี่ยวกับภัยคุกคาม Microsoftเช่น เผยแพร่ข้อมูลข่าวกรองด้านภัยคุกคามที่คุณสามารถใช้ได้ คุณยังสามารถซื้อฟีดข่าวกรองเกี่ยวกับภัยคุกคามจากผู้ให้บริการรายอื่น เช่น Anomali และ FireEye ฟีดเหล่านี้สามารถให้ข้อมูลเชิงลึกที่มีคุณค่าและปรับปรุงมาตรการรักษาความปลอดภัยของคุณ สำหรับข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามจาก Microsoft โปรดดูที่ Security Insider
ระบบ SIEM สามารถ สร้างการแจ้งเตือน ตามข้อมูลที่สัมพันธ์กันและเป็นมาตรฐาน การแจ้งเตือนเหล่านี้เป็นทรัพยากรที่สำคัญในระหว่างกระบวนการตอบสนองต่อเหตุการณ์
โดยปกติระบบ SIEM จะได้รับการจัดการโดยทีมงานส่วนกลางขององค์กร หากองค์กรของคุณไม่มี ลองพิจารณาสนับสนุนการใช้งาน สามารถแบ่งเบาภาระของการวิเคราะห์บันทึกด้วยตนเองและความสัมพันธ์เพื่อให้การจัดการความปลอดภัยมีประสิทธิภาพและประสิทธิผลมากขึ้น
มีตัวเลือกคุ้มต้นทุนบางส่วนที่ Microsoftนำเสนอ ผลิตภัณฑ์ Defender หลายรายการมีฟังก์ชันการแจ้งเตือนของระบบ SIEM แต่ไม่มีฟีเจอร์รวบรวมข้อมูล Microsoft
ด้วยการรวมเครื่องมือขนาดเล็กหลายๆ ชิ้นเข้าด้วยกัน คุณสามารถจำลองฟังก์ชันบางอย่างของระบบ SIEM ได้ อย่างไรก็ตาม คุณจำเป็นต้องรู้ว่าโซลูชันชั่วคราวเหล่านี้อาจไม่สามารถวิเคราะห์ความสัมพันธ์ได้ ทางเลือกเหล่านี้อาจมีประโยชน์ แต่อาจไม่สามารถแทนที่ฟังก์ชันการทำงานของระบบ SIEM เฉพาะได้อย่างสมบูรณ์
ตรวจพบการละเมิด
ต้องดำเนินการเชิงรุกเกี่ยวกับการตรวจจับภัยคุกคาม และเฝ้าระวังสัญญาณของการละเมิด เช่น การโจมตีด้วยบรูทฟอร์ซเพื่อระบุตัวตนบนส่วนประกอบ SSH หรือ RDP ตำแหน่งข้อมูล แม้ว่าภัยคุกคามภายนอกอาจส่งเสียงดังมาก โดยเฉพาะอย่างยิ่งหากแอปพลิเคชันถูกเปิดเผยบนอินเทอร์เน็ต ภัยคุกคามภายในมักเป็นปัญหาที่น่ากังวลมากกว่า การโจมตีแบบสุ่มรหัสผ่านที่ไม่คาดคิดจากแหล่งเครือข่ายที่เชื่อถือได้หรือการกำหนดค่าผิดพลาดโดยไม่ได้ตั้งใจ ควรได้รับการตรวจสอบทันที
ปฏิบัติตามแนวทางปฏิบัติที่เข้มงวดของคุณ การตรวจสอบไม่ได้ทดแทนการทำให้สภาพแวดล้อมของคุณแข็งแกร่งขึ้นในเชิงรุก ยิ่งมีขนาดใหญ่ยิ่งมีแนวโน้มที่จะถูกโจมตีมากขึ้น กระชับการควบคุมให้เท่ากับการปฏิบัติ ตรวจจับและปิดใช้งานบัญชีที่ไม่ได้ใช้ ใช้ไฟร์วอลล์ IP และปิดกั้นจุดสิ้นสุดที่ไม่จำเป็นสำหรับนโยบายการป้องกันข้อมูลสูญหาย เป็นต้น
การตรวจจับตามลายเซ็น สามารถตรวจสอบระบบได้โดยละเอียด โดยเกี่ยวข้องกับการมองหาสัญญาณหรือความสัมพันธ์ระหว่างกิจกรรมที่อาจบ่งบอกถึงการโจมตีที่อาจเกิดขึ้น กลไกการตรวจจับอาจระบุคุณลักษณะบางอย่างที่บ่งบอกถึงการโจมตีประเภทใดประเภทหนึ่งโดยเฉพาะ อาจไม่สามารถตรวจจับกลไกการสั่งการและควบคุมการโจมตีได้โดยตรงเสมอไป อย่างไรก็ตาม มักจะมีคำแนะนำหรือรูปแบบที่เกี่ยวข้องกับกระบวนการสั่งการและควบคุมเฉพาะ ตัวอย่างเช่น การโจมตีอาจระบุด้วยอัตราโฟลว์ที่แน่นอนจากมุมมองของคำขอ หรืออาจเข้าถึงโดเมนที่มีส่วนท้ายเฉพาะบ่อยครั้ง
ตรวจจับ รูปแบบการเข้าถึงของผู้ใช้ที่ผิดปกติ เพื่อให้คุณสามารถระบุและตรวจสอบความเบี่ยงเบนจากรูปแบบที่คาดหวังได้ สิ่งนี้เกี่ยวข้องกับการเปรียบเทียบพฤติกรรมผู้ใช้ปัจจุบันกับพฤติกรรมที่ผ่านมาเพื่อระบุความผิดปกติ แม้ว่าอาจไม่สามารถทำได้ด้วยตนเอง แต่คุณสามารถใช้เครื่องมือข่าวกรองเกี่ยวกับภัยคุกคามเพื่อทำสิ่งนี้ได้ ลงทุนใน เครื่องมือวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) ที่รวบรวมพฤติกรรมผู้ใช้จากการตรวจสอบข้อมูลและวิเคราะห์ เครื่องมือเหล่านี้มักจะทำการวิเคราะห์เชิงคาดการณ์ซึ่งจับคู่พฤติกรรมที่น่าสงสัยกับประเภทการโจมตีที่อาจเกิดขึ้น
ตรวจจับภัยคุกคามในระหว่างขั้นตอนก่อนการใช้งานและหลังการใช้งาน ในระหว่างขั้นตอนก่อนการปรับใช้งาน ให้รวมการสแกนช่องโหว่เข้าไปในไปป์ไลน์และดำเนินการที่จำเป็นตามผลลัพธ์ หลังการใช้งาน ให้ดำเนินการสแกนช่องโหว่ต่อไป คุณสามารถใช้เครื่องมือ เช่น Microsoft Defender for Containers ซึ่งจะสแกนภาพคอนเทนเนอร์ รวมผลลัพธ์ไว้ในข้อมูลที่รวบรวม สำหรับข้อมูลเกี่ยวกับแนวทางปฏิบัติในการพัฒนาที่ปลอดภัย โปรดดู คำแนะนำสำหรับแนวทางปฏิบัติในการปรับใช้อย่างปลอดภัย
การอำนวยความสะดวก Power Platform
ส่วนต่อไปนี้จะอธิบายกลไกที่คุณสามารถใช้เพื่อติดตามและตรวจจับภัยคุกคาม Power Platform
Microsoft เซนติเนล
Microsoft โซลูชัน Sentinel ช่วยให้ลูกค้าสามารถตรวจจับกิจกรรมที่น่าสงสัยต่างๆ ได้ เช่น: Microsoft Power Platform
- การดำเนินการ Power Apps จากพื้นที่ที่ไม่ได้รับอนุญาต
- การทำลายข้อมูลที่น่าสงสัยโดย Power Apps
- การลบจำนวนมากของ Power Apps
- การโจมตีแบบฟิชชิ่งเกิดขึ้นผ่าน Power Apps
- กิจกรรมโฟลว์ Power Automate โดยพนักงานที่ลาออก
- Microsoft Power Platform ตัวเชื่อมต่อที่เพิ่มในสภาพแวดล้อม
- อัปเดตหรือลบนโยบายการป้องกันข้อมูลสูญหาย Microsoft Power Platform
สำหรับข้อมูลเพิ่มเติม โปรดดู Microsoft โซลูชัน Sentinel สำหรับ Microsoft Power Platform ภาพรวม
Microsoft การบันทึกกิจกรรม Purview
Power Appsมีการติดตามและดูตัวเชื่อมต่อ Power Automate การป้องกันการสูญเสียข้อมูล และการบันทึกกิจกรรมการดูแลระบบจาก Power Platform พอร์ทัลการปฏิบัติตามกฎระเบียบ Purview Microsoft
สำหรับข้อมูลเพิ่มเติม โปรดดู:
- Power Apps การบันทึกกิจกรรม
- Power Automate การบันทึกกิจกรรม
- Copilot Studio การบันทึกกิจกรรม
- Power Pages การบันทึกกิจกรรม
- Power Platform การบันทึกกิจกรรมการเชื่อมต่อ
- การบันทึกกิจกรรมการป้องกันการสูญเสียข้อมูล
- Power Platform การบันทึกกิจกรรมการดำเนินการทางการบริหาร
- Microsoft Dataverse และการบันทึกกิจกรรมแอปที่ขับเคลื่อนด้วยโมเดล
การตรวจสอบ Dataverse
การเปลี่ยนแปลงบันทึกการตรวจสอบฐานข้อมูลที่ทำกับเรกคอร์ดของลูกค้าในสภาพแวดล้อมด้วยฐานข้อมูล Dataverse การตรวจสอบ Dataverse ยังบันทึกการเข้าถึงของผู้ใช้ผ่านแอปหรือผ่าน SDK ในสภาพแวดล้อม การตรวจสอบนี้เปิดใช้งานในระดับสภาพแวดล้อม และจำเป็นต้องมีการกำหนดค่าเพิ่มเติมสำหรับแต่ละตารางและคอลัมน์ สำหรับข้อมูลเพิ่มเติม ดู จัดการการตรวจสอบ Dataverse
วิเคราะห์การวัดและส่งข้อมูลทางไกลด้วย Application Insights
Application Insights เป็นคุณลักษณะหนึ่งของ Azure Monitor มีการใช้กันอย่างแพร่หลายภายในองค์กรสำหรับการตรวจสอบและวินิจฉัย ข้อมูลที่รวบรวมจากผู้เช่าหรือสภาพแวดล้อมเฉพาะจะถูกผลักไปยังสภาพแวดล้อม Application Insights ของคุณเอง ข้อมูลถูกเก็บไว้ในบันทึก Azure Monitor โดย Application Insights และมองเห็นได้ในแผงประสิทธิภาพและความล้มเหลวด้านล่างการตรวจสอบบนบานหน้าต่างด้านซ้าย ข้อมูลจะถูกส่งออกไปยังสภาพแวดล้อม Application Insights ของคุณในสคีมามาตรฐานที่กำหนดโดย Application Insights ฝ่ายสนับสนุน นักพัฒนา และผู้ดูแลระบบ สามารถใช้คุณลักษณะนี้เพื่อคัดแยกและแก้ไขปัญหา
คุณยังสามารถ:
- ตั้งค่าสภาพแวดล้อม Application Insights เพื่อรับการวัดและส่งข้อมูลทางไกลในการวินิจฉัยและประสิทธิภาพที่บันทึกโดยแพลตฟอร์ม Dataverse
- สมัครรับการวัดและส่งข้อมูลทางไกลเกี่ยวกับการดำเนินการที่แอปพลิเคชันดำเนินการบนฐานข้อมูล Dataverse ของคุณและภายในแอปแบบจำลอง การวัดและส่งข้อมูลทางไกลนี้จะให้ข้อมูลที่คุณสามารถใช้เพื่อวินิจฉัยและแก้ไขปัญหาที่เกี่ยวข้องกับข้อผิดพลาดและประสิทธิภาพ
- ตั้งค่าโฟลว์ระบบคลาวด์ Power Automate เพื่อรวมเข้ากับ Application Insights
- เขียนเหตุการณ์และกิจกรรมจากแอปพื้นที่ทำงาน Power Apps ไปที่ Application Insights
สำหรับข้อมูลเพิ่มเติม ให้ดู ภาพรวมการใช้งานร่วมกับ Application Insights
ข้อมูลเอกลักษณ์
ติดตามเหตุการณ์ความเสี่ยงที่เกี่ยวข้องกับข้อมูลประจำตัวเกี่ยวกับข้อมูลประจำตัวที่อาจถูกบุกรุกและแก้ไขความเสี่ยงเหล่านั้น ตรวจสอบเหตุการณ์ความเสี่ยงที่รายงานด้วยวิธีเหล่านี้:
ใช้การรายงาน Microsoft Entra ID สำหรับข้อมูลเพิ่มเติม ดู การป้องกันข้อมูลประจำตัวคืออะไร และ การป้องกันข้อมูลประจำตัว
ใช้สมาชิก API การตรวจจับความเสี่ยงการปกป้องข้อมูลประจำตัวเพื่อรับการเข้าถึงโปรแกรมในการตรวจจับความปลอดภัยผ่านทาง Microsoft กราฟ สำหรับข้อมูลเพิ่มเติม ดู การตรวจจับความเสี่ยง และ ผู้ใช้ที่มีความเสี่ยง
Microsoft Entra ID ใช้อัลกอริธึมการเรียนรู้เกี่ยวกับเครื่องที่ปรับเปลี่ยนได้ การวิเคราะห์พฤติกรรม และข้อมูลประจำตัวที่ทราบกันว่าถูกบุกรุก (คู่ชื่อผู้ใช้และรหัสผ่าน) เพื่อตรวจจับการกระทำที่น่าสงสัยที่เกี่ยวข้องกับบัญชีผู้ใช้ของคุณ คู่ชื่อผู้ใช้และรหัสผ่านเหล่านี้ถูกเปิดเผยโดยการตรวจสอบเว็บสาธารณะและเว็บมืด และโดยการทำงานร่วมกับนักวิจัยด้านความปลอดภัย เจ้าหน้าที่บังคับใช้กฎหมาย ทีมงานด้านความปลอดภัยที่ Microsoft และอื่นๆ
Azure Pipelines
DevOps สนับสนุนการจัดการการเปลี่ยนแปลงของภาระงานผ่านการบูรณาการอย่างต่อเนื่องและการส่งมอบอย่างต่อเนื่อง (CI/CD) อย่าลืมเพิ่มการตรวจสอบความปลอดภัยในไปป์ไลน์ ปฏิบัติตามคำแนะนำที่อธิบายไว้ใน การรักษาความปลอดภัย Azure Pipelines
ข้อมูลที่เกี่ยวข้อง
- Sentinel คืออะไร? Microsoft
- การบูรณาการข่าวกรองภัยคุกคามใน Microsoft Sentinel
- ระบุภัยคุกคามขั้นสูงด้วย User and Entity Behavior Analytics (UEBA) ใน Microsoft Sentinel
รายการตรวจสอบความปลอดภัย
โปรดดูชุดคำแนะนำทั้งหมด