Azure Security Center 支援客製化安全資產

撰 / Miri Landau, Senior Program Manager, Azure Security Center Azure 安全中心使用一套 150 多個建議的規則來監視操作系統(OS)配置,以加強操作系統,包括與防火牆、審計、密碼策略等有關的規則。如果發現某台計算機具有易受攻擊的配置,則會為其生成安全建議。今天,我們很高興能預覽一項新功能,使您可以自定義這些規則並添加其他規則以完全符合您所需的 Windows 配置。 新的自定義安全配置被定義為安全策略的一部分,並允許您: 啟用和禁用特定的規則。 更改現有規則的所需設置(例如,密碼應在 60天內過期,而不是30天)。 根據支持的規則類型(包括註冊表,審計策略和安全策略)添加新規則。 注意:操作系統安全配置自定義僅適用於預訂級別的標準層中的安全中心用戶。 想要開始使用,請打開安全中心 – 選擇 Security policy 安全策略 – 選擇訂閱,然後選擇“ Edit security configurations (preview) 編輯安全配置(預覽)”,如下所示:   在“編輯安全配置規則” 頁面中,您可以下載配置文件(JSON格式),編輯規則,上傳修改的文件並保存以應用更改。 自定義規則集將在下次評估期間應用於所有適用的資源組和虛擬機(最長24小時)。 要詳細了解新功能和文件編輯指南,請訪問我們的文檔頁面。

0

使用 Azure Security Center 檢測最新的勒索軟件威脅(又名 Bad Rabbit)

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center   Windows Defender 團隊最近用新的勒索軟件威脅 Ransom:Win32 / Tibbar(也被稱為 Bad Rabbit)更新了惡意軟件百科全書。 此更新包含有關緩解新威脅的全面指導。 微軟反惡意軟件解決方案(包括 Windows Defender Antivirus 和 Azure 服務和虛擬機的 Microsoft 反惡意軟件)進行了更新,以檢測並防範此威脅。 本文總結了您可以採取的其他措施,以通過 Azure 安全中心防止和檢測在 Azure 中運行的工作負載遭遇這種威脅。 獲取有關啟用 Azure 安全中心的更多信息。   預防 Azure 安全中心會掃描您的虛擬機和服務器以評估端點保護狀態。 計算後確定那些沒有受到充分保護的議題,將同時被給予相關的建議。     深入“Compute”窗格或概覽建議窗格中會顯示更多詳細信息,包括 Endpoint Protection 安裝建議,如下所示:     點擊此按鈕會導出一個對話框,允許您選擇和安裝端點保護解決方案,包括 Microsoft 自己的Azure 服務和虛擬機的反惡意軟件解決方案,這些將有助於防範此類勒索軟件威脅。  …

0

Azure Security Center 如何揭開可疑的 PowerShell 攻擊

撰 /Greg Cottingham, Cloud Security Investigations & Intelligence – Microsoft Azure Security 為了紀念國家網絡安全意識月(NCSAM),我們在這系列發布了一個新帖子,重點介紹 Azure 安全中心檢測、調查和緩解的實際攻擊。 這篇文章是關於使用 PowerShell 運行惡意代碼,並收集用戶憑證的攻擊。 但在我們開始之前,以下是系列中的其他貼文的回顧,其中安全中心檢測到: SQL 暴力攻擊 比特幣挖礦攻擊 使用網路威脅情報的 DDoS 攻擊 良好的應用程式被惡意使用 在這篇文章中,我們將介紹另一個有趣的現實攻擊場景,這個場景被 Azure 安全中心發現並由我們的團隊調查。受影響的公司名稱、所有計算機名稱和所有用戶名都已更改以保護隱私。 這種特殊攻擊採用 PowerShell 來運行內存中的惡意代碼,目的是通過密碼竊取,按鍵記錄,剪貼板抓取和屏幕捕獲來收集憑證信息。我們將列出以 RDP Force 攻擊開始、並導致在註冊表中設置和配置持續的自動啟動(ASEP)。本案例研究提供了有關攻擊動態的深入見解,以及如何檢測和防止您的環境中發生類似攻擊的建議。 初始 Azure 安全中心警報和詳細信息 只要互聯網連接的計算機遠程管理已經存在,黑客就會繼續努力發現遠程桌面協議(RDP)等遠程管理服務,以便他們可以通過強力攻擊破解密碼。 我們的案例從客戶的 Azure 安全中心控制台開始,提醒 RDP 暴力活動以及可疑的 PowerShell 活動。 在下面的Azure安全中心屏幕截圖中,您可以跟踪從下到上的按時間順序進展,因為“失敗的 RDP 暴力攻擊”警報之後是一個“成功的RDP暴力攻擊”警報 – 表示有人通過 RDP 猜到了用戶密碼。這個惡意的 Brute Force 登錄隨後會出現幾個關於異常…

0

Azure Security Center 如何使用機器學習來允許自適應應用程式控制

撰 / Ben Kliger, Senior Product Manager, Azure Security Center 儘管過去幾年威脅情況發生了遽變,但惡意軟體檢測依然是最大的問題之一。有一場無盡的競賽等著我們 – 攻擊者開發新的惡意軟體,所以安全廠商創建新的簽名來檢測它,然後攻擊者又創建新的惡意軟體變種以避免檢測…循環繼續。惡意軟體並不是唯一一種可能使服務器面臨風險的應用程式。未經授權的軟體可能會引入攻擊者利用的漏洞。大多數組織缺乏必要的應用程式跟踪和控制,使他們無視這些風險。   應用程式控制(例如白名單)可以限制易受攻擊的應用程式對惡意軟體的暴露。應用程式白名單不會與快速發展的惡意軟體和新漏洞保持同步,而是會阻止所有除了已知的良好應用程式以外的東西。對於通常運行一組固定應用程式的專用服務器,白名單可以提供顯著的附加保護。您可以使用應用程式控制來: 阻止新型和未知的惡意軟體。 遵守組織的安全策略,僅指定使用授權軟體。 避免舊的和不受支持的應用程式。 防止組織不允許的特定軟體工具。   雖然應用程式白名單的概念已經存在一段時間了,但它並沒有被廣泛使用。這是由於每個服務器或一組服務器創建和應用準確的白名單策略的複雜性,以及在大型環境中大規模管理這些策略所致。   Azure 安全中心最近發布了自適應應用程式控制,該應用程式控制採用創新方法應用白名單,使您能夠在不產生管理開銷的情況下實現安全優勢。機器學習用於分析 Azure VM 的行為,創建應用程式基線,將 VM 分組並確定它們是否適合應用程式白名單,並建議並自動應用適當的白名單規則。另外,安全中心還提供了可以利用這些應用程式繞過應用程式白名單解決方案的應用程式,並提供全面的管理和監控功能,通過這些功能,您可以更改現有的白名單(例如刪除/添加應用程式)並留意白名單上的違反項目。   自適應應用程式控件目前可用於在 Azure 中運行的 Windows 計算機(所有版本,經典或Azure資源管理器)。要開始使用,請打開安全中心並選擇應用程式白名單磁貼,如下所示。 選擇資源組以查看並應用推薦的應用程序白名單規則。 新規則通常被設置為審核模式,會向違反規則的應用程式發出警告,但您也可以編輯想更改的政策,以便使用強制模式阻止這些應用程序。 您也可以隨時編輯這些規則的詳細信息。   Azure Security Center Standard 的用戶可以使用自適應應用程序控製作為有限的公開預覽。( Please send an email with your subscription IDs to ASC_appcontrol@microsoft.com to join the…

0

Azure Security Center 將高級威脅防護擴展到混合雲上的工作負載

原文撰 / Sarah Fender Principal Program Manager, Azure Cybersecurity Azure Security Center (安全中心) 可幫助您保護在 Azure 中運行的工作負載,使其免受網絡威脅,而它現在也可以用來保護在本地和其他雲中運行的工作負載了。在越來越分散的基礎架構中,管理安全性變的非常複雜,可能會造成攻擊者利用的漏洞。 而 Security Center 通過統一整個環境中的安全管理,並使用分析以及 Microsoft Intelligent Security Graph (智能安全圖) 提供智能威脅保護來降低這種複雜性。 從較簡化的管理,到新的阻斷與檢測威脅方法,Security Center 不斷地進行創新,以幫助您解決當今面臨的安全挑戰。 Microsoft Ignite 宣布的新功能包括: 輕鬆啟動混合雲工作負載:只需要在這些機器上安裝Microsoft Monitoring Agent (監控代理),您就可以將本地和其他雲中運行的虛擬機和計算機上崗。對於運營管理套件(OMS)安全與合規客戶,已連接的計算機將被安全中心自動發現並監控。了解有關新手入門混合雲工作負載的更多信息。 企業範圍的安全策略:利用 Azure Policy,現在在有限的預覽中,可以使用管理組跨多個訂閱應用安全中心策略。 這將大大簡化具有企業協議和許多 Azure 訂閱的客戶的策略管理,有助於確保安全策略始終適用於所有 Azure 工作負載。 還可以將策略應用於在本地和其他雲中運行的工作負載,以實現簡單的集中管理。 自適應應用程序控制:安全中心自適應應用程式控制現在處於有限預覽狀態,通過應用適合您的特定工作負載並以機器學習為動力的白名單規則,幫助阻止惡意軟件和其他有害或潛在易受攻擊的應用程序。 通過分析Azure虛擬機上運行的應用程序(目前僅限於Windows),安全中心可以推薦並應用針對特定虛擬機或一組虛擬機定制的一組應用程序白名單規則,從而提高白名單的準確性,同時降低管理複雜性。 針對Windows和Linux的高級威脅檢測:增強現有的威脅檢測功能後,安全中心很快將推出由Windows Defender Advanced Threat Protection(ATP)提供支持的檢測。 為 Windows端點構建的高級後檢測漏洞檢測將擴展到 Windows 服務器,並在安全中心提供。新的檢測結果將包含在安全中心標準中,並在您的機載資源時自動啟用。預覽將在年底之前提供。…

0