需要嚴肅對待雲端安全問題嗎?來看看這項新的 Azure Security Center 訓練

撰 / Matthew Calder, Sr. Content Developer 安全威脅每天都在增加和變得更加複雜化。無論您的組織規模或所處行業如何,Azure Security Center 的威脅檢測功能、警報和建議的修復都可為您提供有助於保護雲資源的有形數據。此外,您可以監控您的本地、混合或雲環境 – Azure、亞馬遜或任何其他公共雲 – 以獲得更完整的資訊。 在 Azure 安全中心的混合雲工作負載保護中,Microsoft Virtual Academy 現在提供了一個新課程,Yuri Diogenes 和 Ty Balascio 提供了 Azure 安全中心的概述,包括需求、計劃、入職和故障排除。 Ty 和 Yuri 使用真實數據並分享他們在該行業的經驗,以展示雲或混合與內部威脅之間的差異。並且他們在實驗室中探索威脅檢測和響應,以便讓他們可以通過它進行談話。 查看使用調查儀表板詳細演示深入了解事件。您將看到屬於同一攻擊的多個實體是如何關聯,以便了解攻擊如何針對系統中的每個主機,並在其之間進行移動。您將學習如何使用這些信息繼續調查並追踪事件響應。   觀看完整課程,並在兩小時內學會設置、運行評估,以及創建自定義提醒並對其進行優先級排序、審查補救建議。開始實施安全策略並及時訪問虛擬機,了解如何部署該服務並確保其安全。 最後,您會了解有關故障排除、制定行動計劃以及後續步驟的信息,您將獲得所需的信息以增強組織的安全狀況。 Get started with the Microsoft Virtual Academy course for Azure Security Center today!

0

Adaptive Application Controls 公開預覽現在發佈了

撰 / Ben Kliger, Senior Product Manager, Azure Security Center 在微軟 Ignite 中,我們發布了新的 Adaptive Application Controls (自適應應用程式控件),通過使用白名單規則來保護您的應用程序免受惡意軟件的侵害。今天,我們很高興能與大家分享這些可在 Azure 安全中心上的使用的功能的公開預覽。 應用程式控制(例如白名單)可以限制易受攻擊的應用程式對惡意軟體的暴露。應用程式白名單不會與快速發展的惡意軟體和新漏洞保持同步,而是會阻止所有除了已知的良好應用程式以外的東西。對於通常運行一組固定應用程式的專用服務器,白名單可以提供顯著的附加保護。應用程式控件解決方案現在已經存在一段時間了,但是組織通常認為它太複雜並且難以管理,特別是當每個服務器或一組服務器需要獨特的規則並且大規模時。 自適應應用程式控件利用機器學習來分析 Azure 虛擬機的行為,創建應用程式基線,將虛擬機分組,並建議並自動應用適當的白名單規則。您可以在 Azure 安全中心查看,修改和接收這些規則的警報。 自適應應用程式控件目前適用於在 Azure 中運行的 Windows 虛擬機(所有版本,經典或 Azure資源管理器)。想要開始的話,請打開安全中心並選擇應用程式白名單磁貼。   啟用自適應應用控件並套用策略 在 Adaptive Application Controls blade 中,您可以輕鬆地為您選擇的虛擬機組啟用自適應應用程序控件。 您可以查看建議並創建策略,以確定哪些應用程序最初將以審核模式運行,並在應用程序違反規則時接收警報。 創建和應用您自己的策略可降低管理複雜性,同時增加對應用程序的保護。   監控和編輯 Adaptive Application Controls 的策略 在 Adaptive Application Controls blade 中,您可以輕鬆管理和監控配置了自適應應用程式控件策略的現有虛擬機組。 您可以查看和修改在特定組內的虛擬機上應用的白名單規則,並在遇到違反這些規則時收到警報。 此外,您可以更改應用特定自適應應用程式控件策略的模式,並使用強制模式開始阻止未經批准的應用程式。 對應用程式安全狀態的可見性有助於您保持控制。 以上是在 Azure…

0

Azure Security Center 支援客製化安全資產

撰 / Miri Landau, Senior Program Manager, Azure Security Center Azure 安全中心使用一套 150 多個建議的規則來監視操作系統(OS)配置,以加強操作系統,包括與防火牆、審計、密碼策略等有關的規則。如果發現某台計算機具有易受攻擊的配置,則會為其生成安全建議。今天,我們很高興能預覽一項新功能,使您可以自定義這些規則並添加其他規則以完全符合您所需的 Windows 配置。 新的自定義安全配置被定義為安全策略的一部分,並允許您: 啟用和禁用特定的規則。 更改現有規則的所需設置(例如,密碼應在 60天內過期,而不是30天)。 根據支持的規則類型(包括註冊表,審計策略和安全策略)添加新規則。 注意:操作系統安全配置自定義僅適用於預訂級別的標準層中的安全中心用戶。 想要開始使用,請打開安全中心 – 選擇 Security policy 安全策略 – 選擇訂閱,然後選擇“ Edit security configurations (preview) 編輯安全配置(預覽)”,如下所示:   在“編輯安全配置規則” 頁面中,您可以下載配置文件(JSON格式),編輯規則,上傳修改的文件並保存以應用更改。 自定義規則集將在下次評估期間應用於所有適用的資源組和虛擬機(最長24小時)。 要詳細了解新功能和文件編輯指南,請訪問我們的文檔頁面。

0

Azure Security Center 如何使用管理工具檢測漏洞

撰 /  Azure 安全中心高級軟體工程師 Dotan Patrich 和 Azure 安全中心安全軟件工程師實習生 Yossi Weizman 撰寫。 譯 / Fu-Hsuan Liu 2017 年早些時候,Rob Mead 撰寫了一篇關於 Azure 安全中心用於檢測威脅的技術的大文章。在本文中,我們將詳細討論一個這樣的示例,使 Azure 安全中心能夠檢測 backdoor user 帳戶創建的使用情況。 backdoor user 帳戶是由攻擊者創建的作為攻擊一部分的帳戶,稍後用於獲取對網絡中其他資源的訪問權限,打開網絡的新入口點並實現持久性。 MITRE 將創建賬戶策略列為階段的憑證訪問意向的一部分,並列出了使用此技術的多個工具包。 乍看之下,檢測這種惡意賬戶創建行為很容易,但通常情況並非如此,因為創建新賬戶主要是合法行政操作的一部分。因此,安全產品通常不會對此提醒,因為大多數組織都難以應付需要進行分類的警報量。這使得賬戶創建策略成為強大的對手戰術。 本月早些時候,Azure 安全中心發布了一項新的分析,以檢測可能用作 backdoor user 帳戶的可疑帳戶創建操作。該分析包括幾個標準,用於區分良性行政賬戶創建和需要提醒的可疑活動。其中一些來源於許多租戶的規模。 與所有作為 Azure 安全中心一部分發布的安全分析一樣,正在對其進行監控並進行調查,以查看其噪聲比,性能和正確性。監控用戶創建分析揭示了一個有趣的案例,表明如果沒有通過良性工具完成,創建的帳戶也可能有系統漏洞的症狀。由於沒有對主機採取惡意行為,因此該漏洞不會被其他類型的安全警報標記,但用戶必須知道其環境中存在潛在的高風險漏洞。 深入了解 Azure 安全中心最近提出的這類警報,展示了用指令行創建用戶帳戶的情況,該指令行包含純文本中的用戶名和密碼。更令人感興趣的是,對這些事件的深入研究表明,用戶創建操作不是由對手執行的,而是由來自知名供應商的技術支持軟件執行的。 對該軟件的進一步調查顯示,它不僅在不同的安裝中使用相同的用戶名,而且還使用相同的密碼。 惡意攻擊者可能會探測不同的機器並嘗試使用這些憑據登錄。在主機配置為允許遠程管理連接的情況下,使用 PowerShell、WMI 或遠程桌面等,進而進入網絡的入口點。在惡意攻擊者已經在網絡上紮根的情況下,他可以使用這些憑證,在網絡上橫向移動到任何安裝了支持工具的機器,從而暴露這些機器上的所有信息,包括登錄到那些機器的任何其他帳戶。鑑於此帳戶是由支持工具創建的,管理員很可能會安裝它,因此這些主機可能會緩存可能被利用的高權限帳戶的憑據。 而且,當我們將軟件安裝在作為域控制器的計算機上時,創建的帳戶被設置為域用戶。這代表在這樣的情況,軟件的安裝會導致整個域的安全漏洞。 關鍵是要確保審查和評估網絡中的任何帳戶創建操作,包括本地帳戶。 此外,評估每個工具安裝所做的配置更改對於評估和減輕與其相關的任何風險至關重要。 通過 Azure 安全中心,可以更輕鬆地自動執行評估帳戶創建操作的過程,並通過異常用戶創建警報檢測異常配置。 因此,如果您在…

0

使用 Azure Security Center 檢測最新的勒索軟件威脅(又名 Bad Rabbit)

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center   Windows Defender 團隊最近用新的勒索軟件威脅 Ransom:Win32 / Tibbar(也被稱為 Bad Rabbit)更新了惡意軟件百科全書。 此更新包含有關緩解新威脅的全面指導。 微軟反惡意軟件解決方案(包括 Windows Defender Antivirus 和 Azure 服務和虛擬機的 Microsoft 反惡意軟件)進行了更新,以檢測並防範此威脅。 本文總結了您可以採取的其他措施,以通過 Azure 安全中心防止和檢測在 Azure 中運行的工作負載遭遇這種威脅。 獲取有關啟用 Azure 安全中心的更多信息。   預防 Azure 安全中心會掃描您的虛擬機和服務器以評估端點保護狀態。 計算後確定那些沒有受到充分保護的議題,將同時被給予相關的建議。     深入“Compute”窗格或概覽建議窗格中會顯示更多詳細信息,包括 Endpoint Protection 安裝建議,如下所示:     點擊此按鈕會導出一個對話框,允許您選擇和安裝端點保護解決方案,包括 Microsoft 自己的Azure 服務和虛擬機的反惡意軟件解決方案,這些將有助於防範此類勒索軟件威脅。  …

0

Azure Security Center 如何自動偵測網路攻擊

撰 /Rob Mead, Senior Software Engineer – Microsoft Threat Intelligence Center 今年早些時候,Greg Cottingham 撰寫了一篇偉大的文章,打破了Azure 安全中心發現的針對SQL Server 的攻擊案例。在這篇文章中,我們將更詳細地介紹安全中心如何分析數據以檢測這些類型的攻擊,以及這些方法的輸出如何用於轉向其他共享某些常用技術的入侵。 隨著攻擊技術的迅速發展,許多組織都在努力跟上步伐。安全人才的稀缺加劇了這種情況,公司不能僅僅依靠人類的檢測手段。通過烘焙算法中人類安全分析師的直覺,Azure 安全中心可以自動適應不斷變化的攻擊模式。 讓我們看看安全中心如何使用這種方法來檢測針對 SQL Server 的攻擊。通過分析MSSQLSERVER 帳戶執行的進程,我們發現它在正常情況下非常穩定 – 它幾乎始終執行一組固定的操作。這個帳戶的穩定性使我們能夠建立一個模型,以檢測在發生攻擊時發生的異常活動。 建立模型 在安全中心可以構建此數據的模型之前,它會執行一些前處理來折疊減少相似目錄的流程執行。 否則,模型會將這些視為不同的過程。它在流程目錄上使用距離函數進行聚類,然後匯整流程名稱共享的流行程度。 下面可以看到這個過程的一個例子:   這可以簡化為單個摘要狀態:   它還處理數據以捕獲託管執行程序,例如 regsvr32.exe 和 rundll32.exe,它們本身可能很常見,但可用於運行其他文件。 通過將自己作為執行文件運行的文件視為由此機制運行的任何代碼,都可以獲得洞察。 使用此規範化數據,Azure 安全中心檢測引擎可以繪製訂閱中由 MSSQLSERVER 執行的流程普遍性。 由於帳戶的穩定性,這種簡單的方法會根據進程名的稱和位置生成一個正常行為的健壯模型。 這個模型的可視化可以在下面的圖中看到:       發現異常 當像 SQL Server 這樣的攻擊目標被鎖定時,攻擊者的前幾個動作會受到高度限制。他們可以嘗試各種策略,這些策略都會留下流程執行事件的痕跡。 在下面的示例中,我們使用安全中心使用來自訂閱的數據在遇到 SQL Server 攻擊時顯示相同的模型。…

0

OMS 客戶現在可以用 Azure 安全中心來保護他們的混合雲工作負載

隨著近期 Azure Security Center 支援混合雲工作負載解決方案發布,OMS 安全及稽核的客戶可以開始使用 Security Center 來整合 Azure、內部部署以及其他雲端的安全管理和威脅防護。對於已連結 OMS 安全及稽核解決方案之電腦, Security Center 會自動發覺並監控其安全,透過安裝 Microsoft Monitoring Agent 您可以輕鬆的與其他電腦連結。 Azure Security Center 現在涵蓋了與 OMS 安全及稽核解決方案相同的安全管理能力,包括: 安全資料蒐集、搜尋以及分析 由預定義和自定義驅動的焦點事件 安全評定儀表板,包含系統更新狀態、反惡意程式碼防護狀態、OS 基準組態以及識別與評估 已連線電腦的清單 進階威脅偵測 互動威脅情報圖 此外,Security Center 提供: 確保企業和監管安全標準之相容性的安全原則 有助於減輕安全性弱點的可執行安全建議 Azure 新資源的自動探索和監控 Azure 服務的附加安全性評估,包含虛擬機 (VM)、網絡、儲存以及 SQL 設定的監控 適用於 Azure 虛擬機的應用程式與即時評定控制 安全事件和對威脅快速反應的高效率調查 多數功能預設為啟用,但您需指定 Security Center Standard 定價層級到包含您虛擬機器的訂閱或資源群組,以便針對您的 Azure 資源使用及時…

0