轻松斩断信息安全黑手！就这？

信息技术在带给我们便利和高效的同时，安全隐患始终如影随形。随着越来越多的企业通过上云开启自己的数字化转型之旅，云端信息安全问题开始受到越来越多的关注。上云了，安全问题该怎么办？

针对企业云端安全监控的这一重要需求，我们设计了一套可以一键部署，也可以动态调整的安全监控模板方案，希望可以给客户带来最直观的安全监控方案以及后续深入调查的平台，并通过一系列文章进行了全面介绍。

在本系列的第一篇，我们介绍了如何监控和分析全网环境的网络日志。

第二篇文章中，我们在前一篇的基础上介绍了如何通过利用 Network Watcher，NSG 等网络端组件的日志分析具体行为，来定位企业云环境中的高危服务器。

本篇作为这系列的最后一篇，将继续推进，向大家介绍在确定了高危机器之后，又该如何从分析日志着手，进一步调查可能存在的安全问题。

确定目标机器，遍历可疑行为

书接上文，首先登录到通过上文方法定位的高危机器，打开安全中心后，检查发现，这台机器确实建立了可疑 IP 地址的出站连接，这属于一种典型的异常行为：

打开以后，第二天收到了10多个高危警报。点击查看发现，所有这些警报都是从某个 IP 地址下载一个 PowerShell 脚本，而查验这一系列 IP 地址发现，所有地址都是“可疑”IP。

注意

对于云端 Windows 机器，在性能允许的情况下，强烈建议开启Windows VM Microsoft Anti-Malware，这个扩展可有效阻止恶意程序执行。否则在不开启安全中心内置的一系列主动安全防御功能的前提下，虽然面对类似情况安全中心也会报警，但并不会拦截恶意行为。另外对于一些高级攻击手段，Antimalware 也无法有效拦截，此时往往需要进一步使用 Microsoft Defender for Endpoint 来实现联动的全局保护。

接下来，我们将根据监控面板里提供的默认情况进一步深入调查。

对于 Linux 机器，在面板上我们主要依赖事件的严重等级，这种方式虽然没有 Security Event 那样完备，但这是目前相对比较有参考意义的一部分数据了。

随后我们可以参考这个模板的语句，分别对于 SeverityLevel 为 alert、crit 等的日志用 where 进行筛选即可：

对于不具备安全背景的人来说，可能很难通过过滤得到有用的信息，因此我们也提供了一系列已经写好的，主要针对特定事件的查询语句给大家。用户只需要用一个自动化账户定期跑一遍这些查询语句，即可了解对应情况，进而根据业务提醒设定对应的警报，就能借此掌握最基础的安全信息了：

对于 Windows 系统，鉴于 Security Event 的完备，很多攻击手段都能比较清晰、详细地罗列出来。这里就把从身份、流程上做深入调查的案例进行一个简单拆解。

在示例中，如前文描述，系统已经被攻破，我们就需要详细查看被攻破的 Windows 机器具体产生了多少行为：

从身份登录检查可以发现，除了有很多“4625”代表被暴力破解的痕迹外，还有一些“4672”代表有极大威胁的提权。因此我们需要调查这些提权操作是如何被发起的。这里可以先点击当前事件，随后即可看到详情：

仔细检查可以发现：该事件首先使用 Local Admin 为 sshd 相关账号分配了一些特权，然后借助这些 sshd 账号，利用 SelmpersonatePrivilege 权限执行了进一步操作，如通过 DCOM 调用使服务向攻击者监听的端口发起连接并进行 NTLM 认证等。

所以接下来就需要看看这些奇怪的账号是怎么来的，是通过什么方式执行了这些操作。

SecurityEvent | where EventID == "4624" | where AccountType == "User" | where Account contains "sshd"

这里我们可以非常简便地对包含“sshd”字样的用户搜索其登录成功的痕迹：

发现它们是通过一个名为 sshd.exe 的程序生成，并使用这些账号进行登录。随后我们利用已经预先写好的 Hunting 语句查找奇怪进程的查询，进行简单修改，添加一条 NewProcessName contains “sshd”的筛选，就能找到它所在的路径。

接下来我们再来看看，对于进程的调查，从默认仪表板上，我们可以最直接地看到以下信息：

在进程部分可以发现很多不同维度的分析，并且需要跟业务部门的工作习惯、IT 部门的人员组成等相关联进行分析。比如上图的示例环境中可以看到，在 BigDataS 这台机器上，在一个非工作时间，有不同于其他机器比例的 cmd 运行次数。根据以上信息，就需要与 IT 和业务部门的同事一起讨论看看这种情况是否正常。

除了在面板上看到的有关进程的信息，安全中心页面上还提供了很多在狩猎阶段大家都关心的维度，建议利用以下这些洞察对服务器上的进程进行摸排和了解：

总结

这一系列文章就此全部完结。本系列内容意在向大家介绍如何利用云原生监控平台，从网络端出发监控环境内南北向、东西向的流量并进行洞察分析，定位到一部分存在风险的服务器，并结合监控平台对于终端的洞察力，加上微软强大的终端监控防御武器 Azure Defender + Microsoft Antimalware，借此大幅提高客户对云环境的安全可见性。

希望这些信息能带给大家帮助和启发。

轻松斩断信息安全黑手！就这？相关推荐

海龙科技荣获2011年IP-Guard企业信息安全监管系统深圳地区最高白金代理商
如何在不影响原有工作流程的前提下保护设计图纸.财务数据.客户信息等关系到公司核心利益的敏感数据? 如何防止内部用户在使用机密文档时利用剪贴板.截屏.打印等方式有意或者无意的泄露敏感内容? 如何防止用户 ...
明修栈道，暗渡陈仓----之私募一哥徐翔新玩法 z
前言:去年以来,因徐翔和宁电突然举牌资质平平的 000692 惠天热电,引起本人的兴趣,陆陆续续花了比较多的时间和精力去研究和跟踪000692惠天热电,期间也两次亲自去沈阳调研,从一些台前幕后人士那里 ...
用法治之剑斩断伸向公民个人信息黑手
5月16日,最高人民检察院发布6起侵犯公民个人信息犯罪典型案例,从不同角度反映了检察机关依法履行审查批捕.审查起诉.立案监督等检察职能,旨在为各地检察机关办理相关案件,正确适用法律和司法解释,规范统一 ...
轻松看懂CCRC信息安全服务资质认证
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位.资源状况.管理水平. 技术能力等方面的要求.信息安全服务资质认证是依据国家法律法规.国家标准.行业标准和技术规范,按照认证基本规 ...
金山发布《2006年度信息安全报告》
2006年度,国内的互联网环境因接踵而至的信息安全事件一再掀起了波澜.作为国内领先的信息安全厂商,金山毒霸同数千万国内用户一起见证了对病毒.对流氓软件发出的各种绝技杀手锏. 2007年2月8日,金山软 ...
ipsec协议_网工知识角轻松学网络|三分钟了解PPPOE协议
学网络,就在IE-LAB 国内高端网络工程师培养基地 PPPOE( Point-to-PointProtocol Over Ethernet)以太网上的点对点协议,是将点对点协议(PPP)封装在以太网 ...
个人信息安全不能止于“打补丁”
5分钟就能搞到上千银行卡信息,而且密码大部分正确!近日,央视曝光了一条盗取银行卡的黑色产业链.其中"下料人""洗料人"等分工之明确,架设伪基站.拦截验证码等技术 ...
永信至诚CTO张凯：CloudStack＋Docker构建云端信息安全实验场
5月14日,2016中国云计算技术大会(CCTC)在京召开,作为本次大会的亮点环节之一--Container技术峰会吸引了众多业内人士的关注.本届Container技术峰会不仅注重前沿技术的分享,在容 ...
大学生信息安全_给大学生的信息
大学生信息安全 You're an undergraduate. Either you're graduating soon (like me) or you're in the process of ...
esxi管理端口_网工知识角|一分钟轻松了解华为端口安全机制
学网络,就在IE-LAB 国内高端网络工程师培养基地为防止MAC地址洪泛攻击,防止未经允许的设备访问网络,并增强安全性.通过端口安全机制,录连接到交换机端口的以太网MAC地址,只允许某个或者某些合法 ...

轻松斩断信息安全黑手！就这？

轻松斩断信息安全黑手！就这？相关推荐

最新文章

热门文章