0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Microsoft Azure提供云原生的威胁防护和检测系统

电子工程师 来源:微软科技 作者:微软科技 2021-05-27 16:40 次阅读

如今日益复杂的网络环境,企业 IT 安全和管理均受到巨大挑战。根据 ESG对北美和西欧620名 IT 专业人员的年度调查显示,51%的受访者称他们的企业存在应对安全威胁技能短缺的问题。Microsoft Azure 提供了一套云原生的威胁防护和检测系统——Azure Security Center,最大限度地减少和缓解整个环境中的威胁,并改善整体安全态势。

Azure Security Center 为 Azure 用户提供免费的云安全态势管理,为用户持续提供 Azure 资源评估和安全性建议。本文的重点是想和大家聊一聊 Azure Security Center 下的一项高级功能——Azure Defender。

在企业环境上,Azure Defender 不仅可以为 Azure 资源提供保护、还可以对本地 IDC 和其他云中运行的混合工作负载提供统一的安全管理和威胁防护;

在资源类型上,Azure Defender 除了对虚拟机,还可以针对 SQL 数据库、容器、Web 应用程序、网络等提供持续保护,并能够与企业现有的安全解决方案(如 SIEM)进行集成。

今天通过两组攻击实验,带着大家感受一下 Azure Defender 对 Windows 和 Linux VM 的威胁检测和高级防御功能。

黑客攻击者典型的网络杀伤链(Cyber Kill Chain),该击杀链反映了攻击者如何试图通过各种攻击手段对企业 IT 环境发起攻击,并通过一系列的潜伏和横向移动入侵企业 IT 资产,收集域内用户信息,不断扩大感染面,最终获取特权用户权限,对企业核心资产造成严重威胁,给企业带来不同程度的经济和信誉损失。有调查研究表明,在网络攻击中企业遭受的平均经济损失超过100万美金。

今天通过两组模拟攻击实验模拟攻击者在击杀链各阶段的一系列行为,向大家直观展示 azure defender 强大的安全威胁检测和告警功能。

说明:实验中的模拟攻击均为实验测试,不构成实质的攻击操作。

Lab1:Azure Defender

针对 Windows VM 的

高级威胁检测及告警

实验环境:

两台 Windows Server 2012 虚拟机,一台为“Attacker”(攻击者),另一台为“Target”(目标主机)。

实验中将使用以下几种工具:

Tool1 可以在本地或者远程管理计算机系统,常被攻击者用于在系统内做横向移动,进行信息收集、探测、反病毒、虚拟机检测、命令执行、权限持久化等操作。

Tool2 是 sysinternals 的一款强大的软件,通过他可以提权和执行远程命令,对于批量大范围的远程运维能起到很好的效果,尤其是在域环境下。

Tool3 是一款可以抓取系统内的明文密码的工具,主要用于提升进程权限以及读取进程内存,当然了,最重要的功能就是可以从 lsass 中获取当前 Active 系统的登录密码。

实验内容:

登陆 Azure Portal,在订阅级别开启 Azure Security Center 并打开 Azure Defender 功能,也支持针对指定资源开启 Azure Security Center。这里强烈建议从订阅级别开启 Azure Security Center 以获取更全面的安全防护功能。

测试一:攻击者在目标机器上创建并执行进程

在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集 域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制整个内网环境,控制域环境下的全部机器。

假设你是攻击者,在“Attacker”虚拟机上利用Tool1远程登陆到“Target”目标机器上执行 CMD 命令——创建并执行新的进程(scvhost.exe)。攻击者可以利用该方式创建系统后门,或占用大量目标系统的内存,例如有些攻击者会在用户系统中运行挖矿软件病毒等恶意行为。

此时,Azure Security Center 利用 Azure Defender 功能会立刻检测到被攻击的 Target 虚拟机被执行了可疑进程,并进行安全告警。

同时,Azure Security Center 中可以查看到详细的可疑行为信息,例如执行可疑行为的账号信息、被执行的可疑文件位置等。

测试二:攻击者获取内存凭证并进行横向移动

攻击者使用 Tool3 在目标主机上获取内存中的凭证信息,这些凭证信息用于对其他机器进行身份验证,并在系统中进行横向移动。

此时安全中心会立刻进行告警,告知用户该可疑行为的攻击者意图。通过安全告警的提示信息可以看出,该攻击者试图进行凭据访问,同时告知用户攻击者执行的可疑操作具体信息,如下图所示。

Lab2:Azure Defender

针对 Linux VM

的高级威胁检测及告警

实验环境:

攻击者 VM1 为一款特殊的 Linux 操作系统,常用于渗透测试等领域;目标主机 VM2 使用 Ubuntu 14.04 LTS 系统。Azure Security Center 支持多种 Linux 系统,具体可以参考官网[1]。

实验准备:

在实验中,为了演示攻击者对目标主机进行密码暴力破解的过程,需要在 VM2 目标主机上事先创建5个用户,信息如下:

94ff85fa-be44-11eb-9e57-12bb97331649.png

实验内容:

从订阅级别开启 Azure Security Center 并打开 Azure Defender 功能,也支持针对指定资源开启 Azure Security Center (具体操作方法见官方文档)。这里强烈建议从订阅级别开启 Azure Security Center 以获取更全面的安全防护功能。

测试一:攻击者对目标主机 VM2 发起 SSH 暴力破解

假设你是攻击者,登陆 VM1,使用内置的用户名和密码列表对目标主机发起暴力攻击。具体的命令行操作如下,可以看到 VM2 的用户账户和密码被返回给攻击者,完成了 SSH 暴力破解过程。

此时,Azure Security Center 会发出邮件告警并描述出安全威胁的具体信息。

同时,Azure 用户可以在 Security Center 中看到针对 VM2 的安全事件,从攻击者尝试进行暴力破解但未成功开始,Azure 安全中心便发起告警,因为实验中使用的暴力破解 wordlist 很短,所以从攻击者发起暴力破解攻击到破解成功所需要的遍历时间很短,在真实场景中,在攻击者尝试进行暴力破解,到破解成功之前,通过 Azure Security Center 提供的告警信息,可以让管理员进行及时的响应和处理。

测试二:攻击者在目标主机上下载恶意软件

本实验攻击者在通过暴力破解等方式,在内网中找到突破口之后,会进行一段时间的潜伏,并通过多种方式尝试进行横向移动。例如攻击者会远程记录目标主机的键盘操作,或者使用一些工具进行内部侦察以枚举服务器和域的具体信息,从而对一些服务器发起攻击。例如在特定服务器上安装恶意软件。本测试攻击者在目标主机上,尝试下载 EICAR 恶意软件测试文件,从而验证 Azure Security Center 的面对安全威胁的高级功能,并不会对目标主机产生任何恶意影响。

以上是实验中具体的操作命令行测试内容,当攻击者远程在目标主机上安装恶意软件之后,AzureSecurity Center 立刻对受到的安全威胁产生告警,并给出详细的安全威胁信息及需要采取的下一步行动建议。

Azure defender 为企业 IT 资源提供了一整套完整的高级安全防护功能,涉及智能告警、漏洞评估、合规性管理等内容。本文仅通过两个简单的攻击实验,和各位读者一起对 Azure Defender 做了一番初探,更多功能可以参考微软官方 Doc 文档:

原文标题:Azure Defender | 为用户提供企业级安全威胁防护

文章出处:【微信公众号:微软科技】欢迎添加关注!文章转载请注明出处。

责任编辑:haq

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 微软
    +关注

    关注

    4

    文章

    6591

    浏览量

    104034
  • 安全
    +关注

    关注

    1

    文章

    340

    浏览量

    35698

原文标题:Azure Defender | 为用户提供企业级安全威胁防护

文章出处:【微信号:mstech2014,微信公众号:微软科技】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    构建云原生机器学习平台流程

    构建云原生机器学习平台是一个复杂而系统的过程,涉及数据收集、处理、特征提取、模型训练、评估、部署和监控等多个环节。
    的头像 发表于 12-14 10:34 112次阅读

    什么是云原生MLOps平台

    云原生MLOps平台,是指利用云计算的基础设施和开发工具,来构建、部署和管理机器学习模型的全生命周期的平台。以下,是对云原生MLOps平台的介绍,由AI部落小编整理。
    的头像 发表于 12-12 13:13 92次阅读

    梯度科技入选2024云原生企业TOP50榜单

    近日,国内专业咨询机构DBC德本咨询发布“2024云原生企业TOP50”榜单。梯度科技凭借自主研发的“梯度智能云平台”入选该榜单,彰显公司在该领域的行业竞争力。
    的头像 发表于 12-06 11:35 256次阅读

    软通动力荣登2024云原生企业TOP50榜单

    近日,DBC德本咨询发布“2024云原生企业TOP50”榜单,软通动力凭借自研的“天鹤云原生数据库平台” 荣登该榜单第8名,彰显了公司在该领域的行业竞争力。
    的头像 发表于 12-04 11:27 222次阅读

    云原生和数据库哪个好一些?

    云原生和数据库哪个好一些?云原生和数据库各有其独特的优势,适用于不同的场景。云原生强调高效资源利用、快速开发部署和高可伸缩性,适合需要高度灵活性和快速迭代的应用。而数据库则注重数据一致性、共享和独立性,确保数据的稳定和安全,适用
    的头像 发表于 11-29 10:07 131次阅读

    k8s微服务架构就是云原生吗?两者是什么关系

    k8s微服务架构就是云原生吗?K8s微服务架构并不等同于云原生,但两者之间存在密切的联系。Kubernetes在云原生架构中扮演着核心组件的角色,它简化了容器化应用程序的管理,提供了弹
    的头像 发表于 11-25 09:39 137次阅读

    云原生和非云原生哪个好?六大区别详细对比

    云原生和非云原生各有优劣,具体选择取决于应用场景。云原生利用云计算的优势,通过微服务、容器化和自动化运维等技术,提高了应用的可扩展性、更新速度和成本效益。非云原生则可能更适合对延迟敏感
    的头像 发表于 09-13 09:53 382次阅读

    基于Arm架构的Azure虚拟机助力云原生应用开发

    定制芯片有助于解决现代基础设施所面临的计算挑战,例如人工智能 (AI) 时代与日俱增的计算复杂性。Microsoft Azure Cobalt 100 等采用 Arm Neoverse 计算子系统
    的头像 发表于 09-05 15:54 1790次阅读

    中科驭数分析DPU在云原生网络与智算网络中的实际应用

    的探索与实践”专题论坛,业内DPU专家们将讨论焦点锁定在了DPU在云原生网络与智算网络中的实际应用,深入探讨了如何利用DPU技术解决计算系统级问题,进一步推动了DPU技术与产业应用的深度融合。
    的头像 发表于 08-02 11:21 701次阅读

    京东云原生安全产品重磅发布

    “安全产品那么多,我怎么知道防住了?”“大家都说自己是云原生的,我看都是换汤不换药”在与客户沟通云原生安全方案的时候,经常会遇到这样的吐槽。越来越的客户已经开始了云原生化的技术架构改造,也意识到
    的头像 发表于 07-26 10:36 469次阅读
    京东<b class='flag-5'>云原生</b>安全产品重磅发布

    从积木式到装配式云原生安全

    云原生安全风险 随着云原生架构的快速发展,核心能力逐渐稳定,安全问题日趋紧急。在云原生安全领域不但有新技术带来的新风险,传统IT基础设施下的安全威胁也依然存在。要想做好
    的头像 发表于 07-26 10:35 296次阅读
    从积木式到装配式<b class='flag-5'>云原生</b>安全

    基于DPU与SmartNic的云原生SDN解决方案

    随着云计算,大数据和人工智能等技术的蓬勃发展,数据中心面临着前所未有的数据洪流和计算压力,这对SDN提出了更高的性能和效率要求。自云原生概念被提出以来,Kubernetes为云原生应用的落地提供了一
    的头像 发表于 07-22 11:44 690次阅读
    基于DPU与SmartNic的<b class='flag-5'>云原生</b>SDN解决方案

    云原生转型中从理念到实践的探索与挑战

    以“全面智能化,跃升数智生产力”为主题的华为第21届全球分析师大会近日在深圳举行。在本次大会的“5.5G Core,智能化点亮世界”云核心网分论坛上,广东移动网络云运维总监王喆发表了“云原生转型
    的头像 发表于 04-23 11:45 449次阅读

    云原生是大模型“降本增效”的解药吗?

    云原生AI正当时
    的头像 发表于 02-20 09:31 387次阅读

    米哈游大数据云原生实践

    近年来,容器、微服务、Kubernetes 等各项云原生技术的日渐成熟,越来越多的公司开始选择拥抱云原生,并开始将 AI、大数据等类型的企业应用部署运行在云原生之上。以 Spark 为例,在云上运行
    的头像 发表于 01-09 10:41 582次阅读
    米哈游大数据<b class='flag-5'>云原生</b>实践