Adaptive Application Controls 公開預覽現在發佈了

撰 / Ben Kliger, Senior Product Manager, Azure Security Center 在微軟 Ignite 中,我們發布了新的 Adaptive Application Controls (自適應應用程式控件),通過使用白名單規則來保護您的應用程序免受惡意軟件的侵害。今天,我們很高興能與大家分享這些可在 Azure 安全中心上的使用的功能的公開預覽。 應用程式控制(例如白名單)可以限制易受攻擊的應用程式對惡意軟體的暴露。應用程式白名單不會與快速發展的惡意軟體和新漏洞保持同步,而是會阻止所有除了已知的良好應用程式以外的東西。對於通常運行一組固定應用程式的專用服務器,白名單可以提供顯著的附加保護。應用程式控件解決方案現在已經存在一段時間了,但是組織通常認為它太複雜並且難以管理,特別是當每個服務器或一組服務器需要獨特的規則並且大規模時。 自適應應用程式控件利用機器學習來分析 Azure 虛擬機的行為,創建應用程式基線,將虛擬機分組,並建議並自動應用適當的白名單規則。您可以在 Azure 安全中心查看,修改和接收這些規則的警報。 自適應應用程式控件目前適用於在 Azure 中運行的 Windows 虛擬機(所有版本,經典或 Azure資源管理器)。想要開始的話,請打開安全中心並選擇應用程式白名單磁貼。   啟用自適應應用控件並套用策略 在 Adaptive Application Controls blade 中,您可以輕鬆地為您選擇的虛擬機組啟用自適應應用程序控件。 您可以查看建議並創建策略,以確定哪些應用程序最初將以審核模式運行,並在應用程序違反規則時接收警報。 創建和應用您自己的策略可降低管理複雜性,同時增加對應用程序的保護。   監控和編輯 Adaptive Application Controls 的策略 在 Adaptive Application Controls blade 中,您可以輕鬆管理和監控配置了自適應應用程式控件策略的現有虛擬機組。 您可以查看和修改在特定組內的虛擬機上應用的白名單規則,並在遇到違反這些規則時收到警報。 此外,您可以更改應用特定自適應應用程式控件策略的模式,並使用強制模式開始阻止未經批准的應用程式。 對應用程式安全狀態的可見性有助於您保持控制。 以上是在 Azure…

0

Azure Security Center 支援客製化安全資產

撰 / Miri Landau, Senior Program Manager, Azure Security Center Azure 安全中心使用一套 150 多個建議的規則來監視操作系統(OS)配置,以加強操作系統,包括與防火牆、審計、密碼策略等有關的規則。如果發現某台計算機具有易受攻擊的配置,則會為其生成安全建議。今天,我們很高興能預覽一項新功能,使您可以自定義這些規則並添加其他規則以完全符合您所需的 Windows 配置。 新的自定義安全配置被定義為安全策略的一部分,並允許您: 啟用和禁用特定的規則。 更改現有規則的所需設置(例如,密碼應在 60天內過期,而不是30天)。 根據支持的規則類型(包括註冊表,審計策略和安全策略)添加新規則。 注意:操作系統安全配置自定義僅適用於預訂級別的標準層中的安全中心用戶。 想要開始使用,請打開安全中心 – 選擇 Security policy 安全策略 – 選擇訂閱,然後選擇“ Edit security configurations (preview) 編輯安全配置(預覽)”,如下所示:   在“編輯安全配置規則” 頁面中,您可以下載配置文件(JSON格式),編輯規則,上傳修改的文件並保存以應用更改。 自定義規則集將在下次評估期間應用於所有適用的資源組和虛擬機(最長24小時)。 要詳細了解新功能和文件編輯指南,請訪問我們的文檔頁面。

0

五個網路研討會幫助您了解混合雲

若您想要更快了解如何在混合環境中發揮最佳效果,我們已經收集了過去一年中瀏覽量最高的五個網絡研討會,您可以愉快的觀看它們。這些涵蓋了許多對混合雲使用者而言很重要的主題: 1. 透過正確的混合雲解決方案做創新 若您尚未制定計劃來控制混合的地端和雲端基礎架構,將每個用戶的身份簡化為單一憑證可幫助您輕鬆管理和維護服務,並建立簡化安全性管理的資料平台。 這個線上研討會是關於-利用正確的混合雲解決方案來根據需求,進行創新: 整合身分,並建立一致的資料基礎架構 在 Azure Stack 應用程式模式幫助下,統一開發 無論您的雲端模型為何,選擇並使用最佳資料平台 2. 遷移到混合雲環境:讓內行人來告訴您三個關鍵的方法 您的公司已經制定了雲端策略,或您正在了解如何更有效率的遷移至雲端。有條不紊的完成這項遷移工作,是首要任務。 遷移到混合雲環境:讓內行人告訴您三個關鍵方法,這堂線上課程讓您了解如何: 利用 Azure Site Recovery 將系統遷移至雲端 利用 Azure Active Directory 將單一應用程式延展到雲端中 利用容器和 Windows Server 2016 在雲端運行您的應用程式 3. 強化您的安全性-從操作系統開始 多數企業在某些時刻會受到攻擊。欲防止攻擊惡化,取決於是否在做快速偵測與反應的同時,減緩攻擊者的速度。其中一種方法就是強化操作系統。 Windows Server 2016 具有大量的安全性功能,在適當使用時可以阻止攻擊者在整個網路中移動的能力。在這個線上影片-強化您的安全性 – 從操作系統開始,我們會介紹如何: 幫助強化最脆弱的系統,來減緩攻擊者透過網路進入 利用及時且充足的管理,即可為 privileged identity 添加更多保護 使用 Control Flow Guard 和 Device Guard 等工具幫助保護您的 Windows 系統 4….

0

Azure Security Center 和 Microsoft Web 應用程序防火牆集成

撰 /Shalini Pasupneti, Senior Program Manager Web 應用程序越來越成為諸如跨站點腳本、SQL 注入和應用程序 DDoS 等攻擊的目標。儘管OWASP 提供了編寫應用程序的指導,使其能夠更好地抵禦此類攻擊,但它需要在多層應用程序拓撲中進行嚴格的維護和修補。 Microsoft Web 應用程序防火牆(WAF)和 Azure 安全中心(ASC)可幫助保護 Web 應用程序免受此類漏洞的攻擊。 Microsoft WAF 是 Azure 應用程序網關(第 7 層負載均衡器)的一項功能,可使用 OWASP 核心規則集保護 Web 應用程序免受常見 Web 漏洞攻擊。 Azure 安全中心會針對漏洞掃描 Azure 資源,並針對這些問題推薦緩解措施。一個這樣的漏洞是存在不受 WAF 保護的 Web 應用程序。目前,Azure 安全中心建議對面向公眾的 IP 進行 WAF 部署,這些 IP 具有關聯的網絡安全組並具有開放的入站 Web 端口(80和443)。 Azure 安全中心提供應用程序網關 WAF 到現有 Azure 資源的供應,並向現有 Web…

0

Azure Security Center 如何使用管理工具檢測漏洞

撰 /  Azure 安全中心高級軟體工程師 Dotan Patrich 和 Azure 安全中心安全軟件工程師實習生 Yossi Weizman 撰寫。 譯 / Fu-Hsuan Liu 2017 年早些時候,Rob Mead 撰寫了一篇關於 Azure 安全中心用於檢測威脅的技術的大文章。在本文中,我們將詳細討論一個這樣的示例,使 Azure 安全中心能夠檢測 backdoor user 帳戶創建的使用情況。 backdoor user 帳戶是由攻擊者創建的作為攻擊一部分的帳戶,稍後用於獲取對網絡中其他資源的訪問權限,打開網絡的新入口點並實現持久性。 MITRE 將創建賬戶策略列為階段的憑證訪問意向的一部分,並列出了使用此技術的多個工具包。 乍看之下,檢測這種惡意賬戶創建行為很容易,但通常情況並非如此,因為創建新賬戶主要是合法行政操作的一部分。因此,安全產品通常不會對此提醒,因為大多數組織都難以應付需要進行分類的警報量。這使得賬戶創建策略成為強大的對手戰術。 本月早些時候,Azure 安全中心發布了一項新的分析,以檢測可能用作 backdoor user 帳戶的可疑帳戶創建操作。該分析包括幾個標準,用於區分良性行政賬戶創建和需要提醒的可疑活動。其中一些來源於許多租戶的規模。 與所有作為 Azure 安全中心一部分發布的安全分析一樣,正在對其進行監控並進行調查,以查看其噪聲比,性能和正確性。監控用戶創建分析揭示了一個有趣的案例,表明如果沒有通過良性工具完成,創建的帳戶也可能有系統漏洞的症狀。由於沒有對主機採取惡意行為,因此該漏洞不會被其他類型的安全警報標記,但用戶必須知道其環境中存在潛在的高風險漏洞。 深入了解 Azure 安全中心最近提出的這類警報,展示了用指令行創建用戶帳戶的情況,該指令行包含純文本中的用戶名和密碼。更令人感興趣的是,對這些事件的深入研究表明,用戶創建操作不是由對手執行的,而是由來自知名供應商的技術支持軟件執行的。 對該軟件的進一步調查顯示,它不僅在不同的安裝中使用相同的用戶名,而且還使用相同的密碼。 惡意攻擊者可能會探測不同的機器並嘗試使用這些憑據登錄。在主機配置為允許遠程管理連接的情況下,使用 PowerShell、WMI 或遠程桌面等,進而進入網絡的入口點。在惡意攻擊者已經在網絡上紮根的情況下,他可以使用這些憑證,在網絡上橫向移動到任何安裝了支持工具的機器,從而暴露這些機器上的所有信息,包括登錄到那些機器的任何其他帳戶。鑑於此帳戶是由支持工具創建的,管理員很可能會安裝它,因此這些主機可能會緩存可能被利用的高權限帳戶的憑據。 而且,當我們將軟件安裝在作為域控制器的計算機上時,創建的帳戶被設置為域用戶。這代表在這樣的情況,軟件的安裝會導致整個域的安全漏洞。 關鍵是要確保審查和評估網絡中的任何帳戶創建操作,包括本地帳戶。 此外,評估每個工具安裝所做的配置更改對於評估和減輕與其相關的任何風險至關重要。 通過 Azure 安全中心,可以更輕鬆地自動執行評估帳戶創建操作的過程,並通過異常用戶創建警報檢測異常配置。 因此,如果您在…

0

使用 Sysmon 和 Azure 安全中心檢測內存中的攻擊

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center 據報導,內存中的攻擊正在增加並引起越來越多的關注,例如,在這些帖子中,SentinelOne 報導包含:內存中的攻擊越來越強大,留下的蹤跡很少、在尋找內存中的攻擊 ,以及尋找內存中的 .NET 攻擊。 這些攻擊涉及攻擊者完全在內存中執行惡意活動,而不是將文件寫入磁盤 – 正如許多惡意軟件感染中發現的更傳統的木馬或植入物所常見的那樣。 CSO 的文章標題為“黑客如何入侵系統而不安裝軟件”提供了一個很好的概述。 檢測可能是十分具有挑戰性的,因為內存中的攻擊通常在很多標準操作系統事件日誌中幾乎沒有佔用空間。雖然許多防病毒解決方案都支持某種級別的內存保護,但它們通常是在檢測磁盤上惡意文件中的威脅方面效率最高 – 而內存方案中也沒有這種方法。 在本文中,我們將介紹兩種內存中的攻擊技術,並展示如何使用 Sysmon 和 Azure 安全中心檢測這些攻擊技術。 攻擊 在此案中攻擊策略如下: 這個攻擊鏈的前兩個階段涉及內存技術: 初始妥協 – 流程注入 受害者被誘騙點入通過電子郵件發送的 Microsoft Office Word 文檔中的 macro。 #Hancitor就是這樣的一個威脅 – 它使用一個 macro 來注入 verclsid.exe。 惡意代碼直接複製到verclsid.exe 進程空間中,因此永遠不會觸及該磁盤。 由於 verclsid.exe 是一個值得信賴的 Windows 進程,因此它的活動不太可能被入侵檢測產品阻止。 消除未來的檢測 -…

0

使用 Azure Security Center 檢測最新的勒索軟件威脅(又名 Bad Rabbit)

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center   Windows Defender 團隊最近用新的勒索軟件威脅 Ransom:Win32 / Tibbar(也被稱為 Bad Rabbit)更新了惡意軟件百科全書。 此更新包含有關緩解新威脅的全面指導。 微軟反惡意軟件解決方案(包括 Windows Defender Antivirus 和 Azure 服務和虛擬機的 Microsoft 反惡意軟件)進行了更新,以檢測並防範此威脅。 本文總結了您可以採取的其他措施,以通過 Azure 安全中心防止和檢測在 Azure 中運行的工作負載遭遇這種威脅。 獲取有關啟用 Azure 安全中心的更多信息。   預防 Azure 安全中心會掃描您的虛擬機和服務器以評估端點保護狀態。 計算後確定那些沒有受到充分保護的議題,將同時被給予相關的建議。     深入“Compute”窗格或概覽建議窗格中會顯示更多詳細信息,包括 Endpoint Protection 安裝建議,如下所示:     點擊此按鈕會導出一個對話框,允許您選擇和安裝端點保護解決方案,包括 Microsoft 自己的Azure 服務和虛擬機的反惡意軟件解決方案,這些將有助於防範此類勒索軟件威脅。  …

0

Azure Security Center 如何自動偵測網路攻擊

撰 /Rob Mead, Senior Software Engineer – Microsoft Threat Intelligence Center 今年早些時候,Greg Cottingham 撰寫了一篇偉大的文章,打破了Azure 安全中心發現的針對SQL Server 的攻擊案例。在這篇文章中,我們將更詳細地介紹安全中心如何分析數據以檢測這些類型的攻擊,以及這些方法的輸出如何用於轉向其他共享某些常用技術的入侵。 隨著攻擊技術的迅速發展,許多組織都在努力跟上步伐。安全人才的稀缺加劇了這種情況,公司不能僅僅依靠人類的檢測手段。通過烘焙算法中人類安全分析師的直覺,Azure 安全中心可以自動適應不斷變化的攻擊模式。 讓我們看看安全中心如何使用這種方法來檢測針對 SQL Server 的攻擊。通過分析MSSQLSERVER 帳戶執行的進程,我們發現它在正常情況下非常穩定 – 它幾乎始終執行一組固定的操作。這個帳戶的穩定性使我們能夠建立一個模型,以檢測在發生攻擊時發生的異常活動。 建立模型 在安全中心可以構建此數據的模型之前,它會執行一些前處理來折疊減少相似目錄的流程執行。 否則,模型會將這些視為不同的過程。它在流程目錄上使用距離函數進行聚類,然後匯整流程名稱共享的流行程度。 下面可以看到這個過程的一個例子:   這可以簡化為單個摘要狀態:   它還處理數據以捕獲託管執行程序,例如 regsvr32.exe 和 rundll32.exe,它們本身可能很常見,但可用於運行其他文件。 通過將自己作為執行文件運行的文件視為由此機制運行的任何代碼,都可以獲得洞察。 使用此規範化數據,Azure 安全中心檢測引擎可以繪製訂閱中由 MSSQLSERVER 執行的流程普遍性。 由於帳戶的穩定性,這種簡單的方法會根據進程名的稱和位置生成一個正常行為的健壯模型。 這個模型的可視化可以在下面的圖中看到:       發現異常 當像 SQL Server 這樣的攻擊目標被鎖定時,攻擊者的前幾個動作會受到高度限制。他們可以嘗試各種策略,這些策略都會留下流程執行事件的痕跡。 在下面的示例中,我們使用安全中心使用來自訂閱的數據在遇到 SQL Server 攻擊時顯示相同的模型。…

0

Azure Security Center 如何揭開可疑的 PowerShell 攻擊

撰 /Greg Cottingham, Cloud Security Investigations & Intelligence – Microsoft Azure Security 為了紀念國家網絡安全意識月(NCSAM),我們在這系列發布了一個新帖子,重點介紹 Azure 安全中心檢測、調查和緩解的實際攻擊。 這篇文章是關於使用 PowerShell 運行惡意代碼,並收集用戶憑證的攻擊。 但在我們開始之前,以下是系列中的其他貼文的回顧,其中安全中心檢測到: SQL 暴力攻擊 比特幣挖礦攻擊 使用網路威脅情報的 DDoS 攻擊 良好的應用程式被惡意使用 在這篇文章中,我們將介紹另一個有趣的現實攻擊場景,這個場景被 Azure 安全中心發現並由我們的團隊調查。受影響的公司名稱、所有計算機名稱和所有用戶名都已更改以保護隱私。 這種特殊攻擊採用 PowerShell 來運行內存中的惡意代碼,目的是通過密碼竊取,按鍵記錄,剪貼板抓取和屏幕捕獲來收集憑證信息。我們將列出以 RDP Force 攻擊開始、並導致在註冊表中設置和配置持續的自動啟動(ASEP)。本案例研究提供了有關攻擊動態的深入見解,以及如何檢測和防止您的環境中發生類似攻擊的建議。 初始 Azure 安全中心警報和詳細信息 只要互聯網連接的計算機遠程管理已經存在,黑客就會繼續努力發現遠程桌面協議(RDP)等遠程管理服務,以便他們可以通過強力攻擊破解密碼。 我們的案例從客戶的 Azure 安全中心控制台開始,提醒 RDP 暴力活動以及可疑的 PowerShell 活動。 在下面的Azure安全中心屏幕截圖中,您可以跟踪從下到上的按時間順序進展,因為“失敗的 RDP 暴力攻擊”警報之後是一個“成功的RDP暴力攻擊”警報 – 表示有人通過 RDP 猜到了用戶密碼。這個惡意的 Brute Force 登錄隨後會出現幾個關於異常…

0

Azure Security Center 如何使用機器學習來允許自適應應用程式控制

撰 / Ben Kliger, Senior Product Manager, Azure Security Center 儘管過去幾年威脅情況發生了遽變,但惡意軟體檢測依然是最大的問題之一。有一場無盡的競賽等著我們 – 攻擊者開發新的惡意軟體,所以安全廠商創建新的簽名來檢測它,然後攻擊者又創建新的惡意軟體變種以避免檢測…循環繼續。惡意軟體並不是唯一一種可能使服務器面臨風險的應用程式。未經授權的軟體可能會引入攻擊者利用的漏洞。大多數組織缺乏必要的應用程式跟踪和控制,使他們無視這些風險。   應用程式控制(例如白名單)可以限制易受攻擊的應用程式對惡意軟體的暴露。應用程式白名單不會與快速發展的惡意軟體和新漏洞保持同步,而是會阻止所有除了已知的良好應用程式以外的東西。對於通常運行一組固定應用程式的專用服務器,白名單可以提供顯著的附加保護。您可以使用應用程式控制來: 阻止新型和未知的惡意軟體。 遵守組織的安全策略,僅指定使用授權軟體。 避免舊的和不受支持的應用程式。 防止組織不允許的特定軟體工具。   雖然應用程式白名單的概念已經存在一段時間了,但它並沒有被廣泛使用。這是由於每個服務器或一組服務器創建和應用準確的白名單策略的複雜性,以及在大型環境中大規模管理這些策略所致。   Azure 安全中心最近發布了自適應應用程式控制,該應用程式控制採用創新方法應用白名單,使您能夠在不產生管理開銷的情況下實現安全優勢。機器學習用於分析 Azure VM 的行為,創建應用程式基線,將 VM 分組並確定它們是否適合應用程式白名單,並建議並自動應用適當的白名單規則。另外,安全中心還提供了可以利用這些應用程式繞過應用程式白名單解決方案的應用程式,並提供全面的管理和監控功能,通過這些功能,您可以更改現有的白名單(例如刪除/添加應用程式)並留意白名單上的違反項目。   自適應應用程式控件目前可用於在 Azure 中運行的 Windows 計算機(所有版本,經典或Azure資源管理器)。要開始使用,請打開安全中心並選擇應用程式白名單磁貼,如下所示。 選擇資源組以查看並應用推薦的應用程序白名單規則。 新規則通常被設置為審核模式,會向違反規則的應用程式發出警告,但您也可以編輯想更改的政策,以便使用強制模式阻止這些應用程序。 您也可以隨時編輯這些規則的詳細信息。   Azure Security Center Standard 的用戶可以使用自適應應用程序控製作為有限的公開預覽。( Please send an email with your subscription IDs to ASC_appcontrol@microsoft.com to join the…

0