Azure Automation 的更新管理、清單和更改追踪現在已經正式推出

原文作者:Eamon O’Reilly / Principal Program Manager, Azure Automation Azure Automation 提供了利用無伺服器自動化在混合環境中自動化、配置和部署更新的功能。現在這些功能適用於所有客戶。 隨著這些新功能發布,您現在可以: 獲得操作系統資源的清單,包括已安裝的應用程式和其他配置項目。 獲取更新的合規性,並在混合環境中部署 Windows 和 Linux 系統所需的修補程式。 追蹤服務、daemons、軟體、清單,和檔案中更改的地方,以便即時調查問題。 Azure Resource Manager 虛擬機 (VM) 體驗,以及 Azure 門戶首頁內大規模管理的 Automation 帳戶,都可以使用這些額外的功能。 Azure 虛擬機整合 與虛擬機整合則可以直接從 VM 頁面上啟用更新管理、清單和更改 Windows 與 Linux 電腦的追踪。 通過更新管理,您始終會了解 Windows 和 Linux 的合規性狀態,且您可以建立部署計畫,以便在定義的維護時段內協調安裝更新。還可以排除特定的更新,並用詳細的故障排除紀錄來辨別部署期間的任何問題。 虛擬機客戶內 (in-guest) 資源清單讓您可以查看已安裝的應用程式以及您希望追踪的其他配置項。豐富的報告和檢索有益於快速查找詳細信息,來幫助了解 VM 中配置的所有內容。 變更追踪的功能會傳輸自動收集的更改訊息,且它可以跨服務、daemons、軟體、清單,和文件,來快速確定可能導致問題的原因,並在發生不必要的更改時啟用診斷和警報。 在 Azure 和混合環境中進行大規模管理 為了能夠大規模管理 Azure 和本地資源,這些功能也已經添加到…

0

需要嚴肅對待雲端安全問題嗎?來看看這項新的 Azure Security Center 訓練

撰 / Matthew Calder, Sr. Content Developer 安全威脅每天都在增加和變得更加複雜化。無論您的組織規模或所處行業如何,Azure Security Center 的威脅檢測功能、警報和建議的修復都可為您提供有助於保護雲資源的有形數據。此外,您可以監控您的本地、混合或雲環境 – Azure、亞馬遜或任何其他公共雲 – 以獲得更完整的資訊。 在 Azure 安全中心的混合雲工作負載保護中,Microsoft Virtual Academy 現在提供了一個新課程,Yuri Diogenes 和 Ty Balascio 提供了 Azure 安全中心的概述,包括需求、計劃、入職和故障排除。 Ty 和 Yuri 使用真實數據並分享他們在該行業的經驗,以展示雲或混合與內部威脅之間的差異。並且他們在實驗室中探索威脅檢測和響應,以便讓他們可以通過它進行談話。 查看使用調查儀表板詳細演示深入了解事件。您將看到屬於同一攻擊的多個實體是如何關聯,以便了解攻擊如何針對系統中的每個主機,並在其之間進行移動。您將學習如何使用這些信息繼續調查並追踪事件響應。   觀看完整課程,並在兩小時內學會設置、運行評估,以及創建自定義提醒並對其進行優先級排序、審查補救建議。開始實施安全策略並及時訪問虛擬機,了解如何部署該服務並確保其安全。 最後,您會了解有關故障排除、制定行動計劃以及後續步驟的信息,您將獲得所需的信息以增強組織的安全狀況。 Get started with the Microsoft Virtual Academy course for Azure Security Center today!

0

Adaptive Application Controls 公開預覽現在發佈了

撰 / Ben Kliger, Senior Product Manager, Azure Security Center 在微軟 Ignite 中,我們發布了新的 Adaptive Application Controls (自適應應用程式控件),通過使用白名單規則來保護您的應用程序免受惡意軟件的侵害。今天,我們很高興能與大家分享這些可在 Azure 安全中心上的使用的功能的公開預覽。 應用程式控制(例如白名單)可以限制易受攻擊的應用程式對惡意軟體的暴露。應用程式白名單不會與快速發展的惡意軟體和新漏洞保持同步,而是會阻止所有除了已知的良好應用程式以外的東西。對於通常運行一組固定應用程式的專用服務器,白名單可以提供顯著的附加保護。應用程式控件解決方案現在已經存在一段時間了,但是組織通常認為它太複雜並且難以管理,特別是當每個服務器或一組服務器需要獨特的規則並且大規模時。 自適應應用程式控件利用機器學習來分析 Azure 虛擬機的行為,創建應用程式基線,將虛擬機分組,並建議並自動應用適當的白名單規則。您可以在 Azure 安全中心查看,修改和接收這些規則的警報。 自適應應用程式控件目前適用於在 Azure 中運行的 Windows 虛擬機(所有版本,經典或 Azure資源管理器)。想要開始的話,請打開安全中心並選擇應用程式白名單磁貼。   啟用自適應應用控件並套用策略 在 Adaptive Application Controls blade 中,您可以輕鬆地為您選擇的虛擬機組啟用自適應應用程序控件。 您可以查看建議並創建策略,以確定哪些應用程序最初將以審核模式運行,並在應用程序違反規則時接收警報。 創建和應用您自己的策略可降低管理複雜性,同時增加對應用程序的保護。   監控和編輯 Adaptive Application Controls 的策略 在 Adaptive Application Controls blade 中,您可以輕鬆管理和監控配置了自適應應用程式控件策略的現有虛擬機組。 您可以查看和修改在特定組內的虛擬機上應用的白名單規則,並在遇到違反這些規則時收到警報。 此外,您可以更改應用特定自適應應用程式控件策略的模式,並使用強制模式開始阻止未經批准的應用程式。 對應用程式安全狀態的可見性有助於您保持控制。 以上是在 Azure…

0

Azure Security Center 支援客製化安全資產

撰 / Miri Landau, Senior Program Manager, Azure Security Center Azure 安全中心使用一套 150 多個建議的規則來監視操作系統(OS)配置,以加強操作系統,包括與防火牆、審計、密碼策略等有關的規則。如果發現某台計算機具有易受攻擊的配置,則會為其生成安全建議。今天,我們很高興能預覽一項新功能,使您可以自定義這些規則並添加其他規則以完全符合您所需的 Windows 配置。 新的自定義安全配置被定義為安全策略的一部分,並允許您: 啟用和禁用特定的規則。 更改現有規則的所需設置(例如,密碼應在 60天內過期,而不是30天)。 根據支持的規則類型(包括註冊表,審計策略和安全策略)添加新規則。 注意:操作系統安全配置自定義僅適用於預訂級別的標準層中的安全中心用戶。 想要開始使用,請打開安全中心 – 選擇 Security policy 安全策略 – 選擇訂閱,然後選擇“ Edit security configurations (preview) 編輯安全配置(預覽)”,如下所示:   在“編輯安全配置規則” 頁面中,您可以下載配置文件(JSON格式),編輯規則,上傳修改的文件並保存以應用更改。 自定義規則集將在下次評估期間應用於所有適用的資源組和虛擬機(最長24小時)。 要詳細了解新功能和文件編輯指南,請訪問我們的文檔頁面。

0

五個網路研討會幫助您了解混合雲

若您想要更快了解如何在混合環境中發揮最佳效果,我們已經收集了過去一年中瀏覽量最高的五個網絡研討會,您可以愉快的觀看它們。這些涵蓋了許多對混合雲使用者而言很重要的主題: 1. 透過正確的混合雲解決方案做創新 若您尚未制定計劃來控制混合的地端和雲端基礎架構,將每個用戶的身份簡化為單一憑證可幫助您輕鬆管理和維護服務,並建立簡化安全性管理的資料平台。 這個線上研討會是關於-利用正確的混合雲解決方案來根據需求,進行創新: 整合身分,並建立一致的資料基礎架構 在 Azure Stack 應用程式模式幫助下,統一開發 無論您的雲端模型為何,選擇並使用最佳資料平台 2. 遷移到混合雲環境:讓內行人來告訴您三個關鍵的方法 您的公司已經制定了雲端策略,或您正在了解如何更有效率的遷移至雲端。有條不紊的完成這項遷移工作,是首要任務。 遷移到混合雲環境:讓內行人告訴您三個關鍵方法,這堂線上課程讓您了解如何: 利用 Azure Site Recovery 將系統遷移至雲端 利用 Azure Active Directory 將單一應用程式延展到雲端中 利用容器和 Windows Server 2016 在雲端運行您的應用程式 3. 強化您的安全性-從操作系統開始 多數企業在某些時刻會受到攻擊。欲防止攻擊惡化,取決於是否在做快速偵測與反應的同時,減緩攻擊者的速度。其中一種方法就是強化操作系統。 Windows Server 2016 具有大量的安全性功能,在適當使用時可以阻止攻擊者在整個網路中移動的能力。在這個線上影片-強化您的安全性 – 從操作系統開始,我們會介紹如何: 幫助強化最脆弱的系統,來減緩攻擊者透過網路進入 利用及時且充足的管理,即可為 privileged identity 添加更多保護 使用 Control Flow Guard 和 Device Guard 等工具幫助保護您的 Windows 系統 4….

0

Azure Security Center 和 Microsoft Web 應用程序防火牆集成

撰 /Shalini Pasupneti, Senior Program Manager Web 應用程序越來越成為諸如跨站點腳本、SQL 注入和應用程序 DDoS 等攻擊的目標。儘管OWASP 提供了編寫應用程序的指導,使其能夠更好地抵禦此類攻擊,但它需要在多層應用程序拓撲中進行嚴格的維護和修補。 Microsoft Web 應用程序防火牆(WAF)和 Azure 安全中心(ASC)可幫助保護 Web 應用程序免受此類漏洞的攻擊。 Microsoft WAF 是 Azure 應用程序網關(第 7 層負載均衡器)的一項功能,可使用 OWASP 核心規則集保護 Web 應用程序免受常見 Web 漏洞攻擊。 Azure 安全中心會針對漏洞掃描 Azure 資源,並針對這些問題推薦緩解措施。一個這樣的漏洞是存在不受 WAF 保護的 Web 應用程序。目前,Azure 安全中心建議對面向公眾的 IP 進行 WAF 部署,這些 IP 具有關聯的網絡安全組並具有開放的入站 Web 端口(80和443)。 Azure 安全中心提供應用程序網關 WAF 到現有 Azure 資源的供應,並向現有 Web…

0

Azure Security Center 如何使用管理工具檢測漏洞

撰 /  Azure 安全中心高級軟體工程師 Dotan Patrich 和 Azure 安全中心安全軟件工程師實習生 Yossi Weizman 撰寫。 譯 / Fu-Hsuan Liu 2017 年早些時候,Rob Mead 撰寫了一篇關於 Azure 安全中心用於檢測威脅的技術的大文章。在本文中,我們將詳細討論一個這樣的示例,使 Azure 安全中心能夠檢測 backdoor user 帳戶創建的使用情況。 backdoor user 帳戶是由攻擊者創建的作為攻擊一部分的帳戶,稍後用於獲取對網絡中其他資源的訪問權限,打開網絡的新入口點並實現持久性。 MITRE 將創建賬戶策略列為階段的憑證訪問意向的一部分,並列出了使用此技術的多個工具包。 乍看之下,檢測這種惡意賬戶創建行為很容易,但通常情況並非如此,因為創建新賬戶主要是合法行政操作的一部分。因此,安全產品通常不會對此提醒,因為大多數組織都難以應付需要進行分類的警報量。這使得賬戶創建策略成為強大的對手戰術。 本月早些時候,Azure 安全中心發布了一項新的分析,以檢測可能用作 backdoor user 帳戶的可疑帳戶創建操作。該分析包括幾個標準,用於區分良性行政賬戶創建和需要提醒的可疑活動。其中一些來源於許多租戶的規模。 與所有作為 Azure 安全中心一部分發布的安全分析一樣,正在對其進行監控並進行調查,以查看其噪聲比,性能和正確性。監控用戶創建分析揭示了一個有趣的案例,表明如果沒有通過良性工具完成,創建的帳戶也可能有系統漏洞的症狀。由於沒有對主機採取惡意行為,因此該漏洞不會被其他類型的安全警報標記,但用戶必須知道其環境中存在潛在的高風險漏洞。 深入了解 Azure 安全中心最近提出的這類警報,展示了用指令行創建用戶帳戶的情況,該指令行包含純文本中的用戶名和密碼。更令人感興趣的是,對這些事件的深入研究表明,用戶創建操作不是由對手執行的,而是由來自知名供應商的技術支持軟件執行的。 對該軟件的進一步調查顯示,它不僅在不同的安裝中使用相同的用戶名,而且還使用相同的密碼。 惡意攻擊者可能會探測不同的機器並嘗試使用這些憑據登錄。在主機配置為允許遠程管理連接的情況下,使用 PowerShell、WMI 或遠程桌面等,進而進入網絡的入口點。在惡意攻擊者已經在網絡上紮根的情況下,他可以使用這些憑證,在網絡上橫向移動到任何安裝了支持工具的機器,從而暴露這些機器上的所有信息,包括登錄到那些機器的任何其他帳戶。鑑於此帳戶是由支持工具創建的,管理員很可能會安裝它,因此這些主機可能會緩存可能被利用的高權限帳戶的憑據。 而且,當我們將軟件安裝在作為域控制器的計算機上時,創建的帳戶被設置為域用戶。這代表在這樣的情況,軟件的安裝會導致整個域的安全漏洞。 關鍵是要確保審查和評估網絡中的任何帳戶創建操作,包括本地帳戶。 此外,評估每個工具安裝所做的配置更改對於評估和減輕與其相關的任何風險至關重要。 通過 Azure 安全中心,可以更輕鬆地自動執行評估帳戶創建操作的過程,並通過異常用戶創建警報檢測異常配置。 因此,如果您在…

0

使用 Sysmon 和 Azure 安全中心檢測內存中的攻擊

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center 據報導,內存中的攻擊正在增加並引起越來越多的關注,例如,在這些帖子中,SentinelOne 報導包含:內存中的攻擊越來越強大,留下的蹤跡很少、在尋找內存中的攻擊 ,以及尋找內存中的 .NET 攻擊。 這些攻擊涉及攻擊者完全在內存中執行惡意活動,而不是將文件寫入磁盤 – 正如許多惡意軟件感染中發現的更傳統的木馬或植入物所常見的那樣。 CSO 的文章標題為“黑客如何入侵系統而不安裝軟件”提供了一個很好的概述。 檢測可能是十分具有挑戰性的,因為內存中的攻擊通常在很多標準操作系統事件日誌中幾乎沒有佔用空間。雖然許多防病毒解決方案都支持某種級別的內存保護,但它們通常是在檢測磁盤上惡意文件中的威脅方面效率最高 – 而內存方案中也沒有這種方法。 在本文中,我們將介紹兩種內存中的攻擊技術,並展示如何使用 Sysmon 和 Azure 安全中心檢測這些攻擊技術。 攻擊 在此案中攻擊策略如下: 這個攻擊鏈的前兩個階段涉及內存技術: 初始妥協 – 流程注入 受害者被誘騙點入通過電子郵件發送的 Microsoft Office Word 文檔中的 macro。 #Hancitor就是這樣的一個威脅 – 它使用一個 macro 來注入 verclsid.exe。 惡意代碼直接複製到verclsid.exe 進程空間中,因此永遠不會觸及該磁盤。 由於 verclsid.exe 是一個值得信賴的 Windows 進程,因此它的活動不太可能被入侵檢測產品阻止。 消除未來的檢測 -…

0

使用 Azure Security Center 檢測最新的勒索軟件威脅(又名 Bad Rabbit)

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center   Windows Defender 團隊最近用新的勒索軟件威脅 Ransom:Win32 / Tibbar(也被稱為 Bad Rabbit)更新了惡意軟件百科全書。 此更新包含有關緩解新威脅的全面指導。 微軟反惡意軟件解決方案(包括 Windows Defender Antivirus 和 Azure 服務和虛擬機的 Microsoft 反惡意軟件)進行了更新,以檢測並防範此威脅。 本文總結了您可以採取的其他措施,以通過 Azure 安全中心防止和檢測在 Azure 中運行的工作負載遭遇這種威脅。 獲取有關啟用 Azure 安全中心的更多信息。   預防 Azure 安全中心會掃描您的虛擬機和服務器以評估端點保護狀態。 計算後確定那些沒有受到充分保護的議題,將同時被給予相關的建議。     深入“Compute”窗格或概覽建議窗格中會顯示更多詳細信息,包括 Endpoint Protection 安裝建議,如下所示:     點擊此按鈕會導出一個對話框,允許您選擇和安裝端點保護解決方案,包括 Microsoft 自己的Azure 服務和虛擬機的反惡意軟件解決方案,這些將有助於防範此類勒索軟件威脅。  …

0

Azure Security Center 如何自動偵測網路攻擊

撰 /Rob Mead, Senior Software Engineer – Microsoft Threat Intelligence Center 今年早些時候,Greg Cottingham 撰寫了一篇偉大的文章,打破了Azure 安全中心發現的針對SQL Server 的攻擊案例。在這篇文章中,我們將更詳細地介紹安全中心如何分析數據以檢測這些類型的攻擊,以及這些方法的輸出如何用於轉向其他共享某些常用技術的入侵。 隨著攻擊技術的迅速發展,許多組織都在努力跟上步伐。安全人才的稀缺加劇了這種情況,公司不能僅僅依靠人類的檢測手段。通過烘焙算法中人類安全分析師的直覺,Azure 安全中心可以自動適應不斷變化的攻擊模式。 讓我們看看安全中心如何使用這種方法來檢測針對 SQL Server 的攻擊。通過分析MSSQLSERVER 帳戶執行的進程,我們發現它在正常情況下非常穩定 – 它幾乎始終執行一組固定的操作。這個帳戶的穩定性使我們能夠建立一個模型,以檢測在發生攻擊時發生的異常活動。 建立模型 在安全中心可以構建此數據的模型之前,它會執行一些前處理來折疊減少相似目錄的流程執行。 否則,模型會將這些視為不同的過程。它在流程目錄上使用距離函數進行聚類,然後匯整流程名稱共享的流行程度。 下面可以看到這個過程的一個例子:   這可以簡化為單個摘要狀態:   它還處理數據以捕獲託管執行程序,例如 regsvr32.exe 和 rundll32.exe,它們本身可能很常見,但可用於運行其他文件。 通過將自己作為執行文件運行的文件視為由此機制運行的任何代碼,都可以獲得洞察。 使用此規範化數據,Azure 安全中心檢測引擎可以繪製訂閱中由 MSSQLSERVER 執行的流程普遍性。 由於帳戶的穩定性,這種簡單的方法會根據進程名的稱和位置生成一個正常行為的健壯模型。 這個模型的可視化可以在下面的圖中看到:       發現異常 當像 SQL Server 這樣的攻擊目標被鎖定時,攻擊者的前幾個動作會受到高度限制。他們可以嘗試各種策略,這些策略都會留下流程執行事件的痕跡。 在下面的示例中,我們使用安全中心使用來自訂閱的數據在遇到 SQL Server 攻擊時顯示相同的模型。…

0