|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
226 Активные сенсоры |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Размещение устройств |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Используя те же принципы, которые ранее обсуждались в разделе IDS, место, где вы будете устанавливать свой UEBA, будет варьироваться в зависимости от потребностей компании и требований поставщика. Microsoft ATA, которая использовалась в примерах, описанных в предыдущих разделах, требует ис- пользования зеркалирования трафика с контроллером домена. ATA не окажет влияниянапропускнуюспособностьсети,посколькубудеттолькослушатьтра- фик контроллера. Другие решения могут потребовать иного подхода. По этой причине важно составить план в соответствии с решением,которое вы приоб- рели для своей среды.
Поведенческая аналитика в гибридном облаке
Когда Синей команде необходимо принять контрмеры для защиты гибрид- ной среды, ей следует расширить свое представление о текущем ландшафте угроз и выполнить оценку, чтобы проверить возможность непрерывного со- единения с облаком и оценить влияние на общее состояние безопасности. В гибридном облаке большинство компаний предпочитает использовать мо- дель IaaS. Хотя внедрение этой модели растет, согласно исследованию Oracle, аспект безопасности по-прежнему остается главной проблемой. Согласно тому же отчету,долгосрочные пользователи IaaS полагают,что эта технология в конечном итоге окажет положительное влияние на безопасность. Она на са-
мом деле оказывает положительное влияние, и именно здесь Синяя команда должна сосредоточить свои усилия, чтобы улучшить процесс всеобщего об- наружения. Цель состоит в использовании возможности гибридного облака, чтобы содействовать всеобщей концепции безопасности. Первыми шагами являются установление хороших партнерских отношений с вашим облачным провайдероми пониманиетого,какиевозможностипообеспечениюбезопас ности он предлагает,а также как эти возможности можно использовать в гиб ридной среде.Это важно,потому что некоторые возможности доступнытоль- ко в облаке, а не локально.
Прочитайте статью Cloud security can enhance your overall security posture, чтобы лучше понятьпреимущества облачных вычислений для безопасности.Ее можно найти на стра-
нице http://go2l.ink/SecPosture.
Центр безопасности Azure
Причина, по которой мы используем Центр безопасности Azure для монито- ринга гибридной среды, заключается в том, что агента центра можно устано- вить на локальном компьютере (Windows или Linux), на виртуальной машине, работающей в Azure, или в AWS. Такая гибкость важна, а централизованное
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
|||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Поведенческая аналитика в гибридном облаке 227to |
BUY |
|
|
|||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
m |
|||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
управление важно для Синей команды. Центр безопасности использует ин- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
теллектуальные средства безопасности и расширенную аналитику для более |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
быстрогообнаруженияугрозиуменьшенияколичестваложныхсрабатываний. |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
В идеале Синяя команда будет использовать систему одного окна для визуа- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
лизации оповещений и подозрительных действий на всех рабочих нагрузках. |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
Основная топология выглядит аналогично той, что показана на рис. 11.11. |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Amazon AWS |
Microsoft Azure |
|
|
|
|
|
|
|
|
|
|
|
|
Локальные ресурсы
Брандмауэр
Панель
управления
Рис.11.11
Когда Центр безопасности будет установлен на этих компьютерах, он будет собиратьтрассировкиETW(EventTracingforWindows),событияжурналовопе- рационной системы, запущенные процессы, имя компьютера, IP-адреса и за- регистрированных пользователей. Эти события отправляются в Azure и хра- нятся в вашемличном хранилище рабочего пространства.Центр безопасности проанализирует эти данные, используя такие методы, как:
киберразведка;поведенческая аналитика;
обнаружение аномалий.
После оценки этих данных Центр безопасности запустит оповещение на основе приоритетаидобавитэтонапанельмониторинга,какпоказанонапри- веденном ниже рис. 11.12.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
228 |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Активные сенсоры
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
m |
|||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
- |
|
|
n |
e |
|
||
|
|
|
|
x cha |
|
|
|
|
|||
Рис.11.12
Обратите внимание,что первое оповещение имеетдругой значок и называ- ется Security incident detected (Обнаружен инцидент в сфере безопасности). Происходит это потому, что он был идентифицирован, а две или более атак являются частью одной и той же кампании, направленной против определен- ного ресурса. Это означает, что, вместо того чтобы просить кого-то из Синей команды собратьданные с целью найти взаимосвязьмежду событиями,Центр безопасности делает это автоматически и предоставляет соответствующие оповещения для анализа. Когда вы нажмете на это оповещение, то увидите следующее (рис. 11.13).
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Поведенческая аналитика в гибридном облаке
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
229to |
BUY |
|
|
||||||||
|
|
|
|
|
|||||||
|
|
|
|
|
m |
||||||
w Click |
|
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
- |
|
|
n |
e |
|
||
|
|
|
|
x cha |
|
|
|
|
|||
Рис.11.13
В нижней части этой страницы видны все три атаки (в порядке их возник- новения) на ВМ1 и уровень серьезности, назначенный Центром безопасности. Приведем одно важное наблюдение относительно преимущества использо- вания поведенческой аналитики для обнаружения угроз. Речь идет о третьем по счету оповещении Multiple Domain Accounts Queried (Запрос нескольких учетных записей домена). Команда, которая была выполнена, чтобы выдать это оповещение: net user <username> /domain. Однако, чтобы принять решение о том, что это выглядит подозрительно, необходимо посмотреть на нормаль- ное поведение пользователя, который выполнил эту команду, и сопоставить
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
230 Активные сенсоры |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
эту информацию с другими данными, которые при анализе в контексте будут |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
отнесены к категории подозрительных. Как видно из этого примера, хаке- ры используют встроенные системные инструменты и нативный интерфейс командной строки для выполнения своей атаки.По этой причине крайне важ- но иметь в наличии инструментлогирования вызовов из командной строки.
Центр безопасности также будет использовать статистическое профилиро- вание для построения традиционных базовых показателей и оповещения об отклонениях, которые соответствуют потенциальному вектору атаки. Это по- лезно во многих сценариях. Типичный пример – отклонения от нормальной деятельности. Например, предположим, что хост запускает подключения по RDP 3 раза в день, но в определенный день предпринимается сотня попыток. Когда такое отклонение происходит, должно быть выдано оповещение, чтобы предупредить вас об этом.
Еще одним важным аспектом работы с облачным сервисом является встро- енная интеграция с другими поставщиками. Центр безопасности может ин- тегрироваться со многими другими решениями, такими как Barracuda, F5, Imperva и Fortinet для брандмауэра веб-приложений, среди прочих для за-
щиты конечных точек, оценки уязвимостей и брандмауэра следующего поко- ления.Приведенное ниже изображение показывает пример такой интеграции (рис. 11.14). Обратите внимание, что это оповещение было сгенерировано Deep Security Agent,и поскольку оно интегрировано с Центром безопасности, то будет отображаться на той же панели мониторинга, что и другие события, обнаруженные Центром безопасности.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Поведенческая аналитика в гибридном облаке
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
231to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Рис.11.14
Помните, что Центр безопасности – это не единственное решение, которое будет осуществлять мониторинг систем и интегрироваться с другими постав-
щиками. Существует множество SIEM (Security Information and Event Management) – решений для обеспечения безопасности информации и управле- ния событиями, таких как Splunk и LogRhythm, которые будут выполнять мониторинг аналогичного типа.