Azure Defender為用戶(hù)提供企業(yè)級(jí)安全威脅防護(hù),azure defender-ESG跨境

Azure Defender為用戶(hù)提供企業(yè)級(jí)安全威脅防護(hù),azure defender

來(lái)源網(wǎng)絡(luò)
來(lái)源網(wǎng)絡(luò)
2022-05-31
點(diǎn)贊icon 0
查看icon 603

Azure Defender為用戶(hù)提供企業(yè)級(jí)安全威脅防護(hù),azure defenderAzure Defender為用戶(hù)提供企業(yè)級(jí)安全威脅防護(hù)如今日益復(fù)雜的網(wǎng)絡(luò)環(huán)境,企業(yè)IT安全和管理均受到巨大挑戰(zhàn)。根據(jù)ESG對(duì)北美和西歐620名IT專(zhuān)業(yè)人員的年度調(diào)查顯示,51%的受訪者稱(chēng)他們的企業(yè)存在應(yīng)對(duì)安全威脅技能短缺的問(wèn)題。Mi......

Azure Defender為用戶(hù)提供企業(yè)級(jí)安全威脅防護(hù),azure defender




Azure Defender為用戶(hù)提供企業(yè)級(jí)安全威脅防護(hù)

如今日益復(fù)雜的網(wǎng)絡(luò)環(huán)境,企業(yè)IT安全和管理均受到巨大挑戰(zhàn)。根據(jù)ESG對(duì)北美和西歐620名IT專(zhuān)業(yè)人員的年度調(diào)查顯示,51%的受訪者稱(chēng)他們的企業(yè)存在應(yīng)對(duì)安全威脅技能短缺的問(wèn)題。Microsoft Azure提供了一套云原生的威脅防護(hù)和檢測(cè)系統(tǒng)——Azure Security Center,最大限度地減少和緩解整個(gè)環(huán)境中的威脅,并改善整體安全態(tài)勢(shì)。

Azure Security Center為Azure用戶(hù)提供免費(fèi)的云安全態(tài)勢(shì)管理,為用戶(hù)持續(xù)提供Azure資源評(píng)估和安全性建議。本文的重點(diǎn)是想和大家聊一聊Azure Security Center下的一項(xiàng)高級(jí)功能——Azure Defender。

在企業(yè)環(huán)境上,Azure Defender不僅可以為Azure資源提供保護(hù)、還可以對(duì)本地IDC和其他云中運(yùn)行的混合工作負(fù)載提供統(tǒng)一的安全管理和威脅防護(hù);

在資源類(lèi)型上,Azure Defender除了對(duì)虛擬機(jī),還可以針對(duì)SQL數(shù)據(jù)庫(kù)、容器、Web應(yīng)用程序、網(wǎng)絡(luò)等提供持續(xù)保護(hù),并能夠與企業(yè)現(xiàn)有的安全解決方案(如SIEM)進(jìn)行集成。

今天通過(guò)兩組攻擊實(shí)驗(yàn),帶著大家感受一下Azure Defender對(duì)Windows和Linux VM的威脅檢測(cè)和高級(jí)防御功能。

上圖展示了黑客攻擊者典型的網(wǎng)絡(luò)殺傷鏈(Cyber Kill Chain),該擊殺鏈反映了攻擊者如何試圖通過(guò)各種攻擊手段對(duì)企業(yè)IT環(huán)境發(fā)起攻擊,并通過(guò)一系列的潛伏和橫向移動(dòng)入侵企業(yè)IT資產(chǎn),收集域內(nèi)用戶(hù)信息,不斷擴(kuò)大感染面,最終獲取特權(quán)用戶(hù)權(quán)限,對(duì)企業(yè)核心資產(chǎn)造成嚴(yán)重威脅,給企業(yè)帶來(lái)不同程度的經(jīng)濟(jì)和信譽(yù)損失。有調(diào)查研究表明,在網(wǎng)絡(luò)攻擊中企業(yè)遭受的平均經(jīng)濟(jì)損失超過(guò)100萬(wàn)美金。

今天通過(guò)兩組模擬攻擊實(shí)驗(yàn)?zāi)M攻擊者在擊殺鏈各階段的一系列行為,向大家直觀展示azure defender強(qiáng)大的安全威脅檢測(cè)和告警功能。

說(shuō)明:實(shí)驗(yàn)中的模擬攻擊均為實(shí)驗(yàn)測(cè)試,不構(gòu)成實(shí)質(zhì)的攻擊操作。

Lab1:Azure Defender針對(duì)Windows VM的高級(jí)威脅檢測(cè)及告警

實(shí)驗(yàn)環(huán)境:

兩臺(tái)Windows Server 2012虛擬機(jī),一臺(tái)為“Attacker”(攻擊者),另一臺(tái)為“Target”(目標(biāo)主機(jī))。

實(shí)驗(yàn)中將使用以下幾種工具:

Tool1可以在本地或者遠(yuǎn)程管理計(jì)算機(jī)系統(tǒng),常被攻擊者用于在系統(tǒng)內(nèi)做橫向移動(dòng),進(jìn)行信息收集、探測(cè)、反病毒、虛擬機(jī)檢測(cè)、命令執(zhí)行、權(quán)限持久化等操作。

Tool2是sysinternals的一款強(qiáng)大的軟件,通過(guò)他可以提權(quán)和執(zhí)行遠(yuǎn)程命令,對(duì)于批量大范圍的遠(yuǎn)程運(yùn)維能起到很好的效果,尤其是在域環(huán)境下。

Tool3是一款可以抓取系統(tǒng)內(nèi)的明文密碼的工具,主要用于提升進(jìn)程權(quán)限以及讀取進(jìn)程內(nèi)存,當(dāng)然了,最重要的功能就是可以從lsass中獲取當(dāng)前Active系統(tǒng)的登錄密碼。

實(shí)驗(yàn)內(nèi)容:

登陸Azure Portal,在訂閱級(jí)別開(kāi)啟Azure Security Center并打開(kāi)Azure Defender功能,也支持針對(duì)指定資源開(kāi)啟Azure Security Center。這里強(qiáng)烈建議從訂閱級(jí)別開(kāi)啟Azure Security Center以獲取更全面的安全防護(hù)功能。

測(cè)試一:攻擊者在目標(biāo)機(jī)器上創(chuàng)建并執(zhí)行進(jìn)程

在內(nèi)網(wǎng)滲透中,當(dāng)攻擊者獲取到內(nèi)網(wǎng)某臺(tái)機(jī)器的控制權(quán)后,會(huì)以被攻陷的主機(jī)為跳板,通過(guò)收集 域內(nèi)憑證等各種方法,訪問(wèn)域內(nèi)其他機(jī)器,進(jìn)一步擴(kuò)大資產(chǎn)范圍。通過(guò)此類(lèi)手段,攻擊者最終可能獲得域控制器的訪問(wèn)權(quán)限,甚至完全控制整個(gè)內(nèi)網(wǎng)環(huán)境,控制域環(huán)境下的全部機(jī)器。

假設(shè)你是攻擊者,在“Attacker”虛擬機(jī)上利用Tool1遠(yuǎn)程登陸到“Target”目標(biāo)機(jī)器上執(zhí)行CMD命令——?jiǎng)?chuàng)建并執(zhí)行新的進(jìn)程(scvhost.exe)。攻擊者可以利用該方式創(chuàng)建系統(tǒng)后門(mén),或占用大量目標(biāo)系統(tǒng)的內(nèi)存,例如有些攻擊者會(huì)在用戶(hù)系統(tǒng)中運(yùn)行挖礦軟件病毒等惡意行為。

此時(shí),Azure Security Center利用Azure Defender功能會(huì)立刻檢測(cè)到被攻擊的Target虛擬機(jī)被執(zhí)行了可疑進(jìn)程,并進(jìn)行安全告警。

同時(shí),Azure Security Center中可以查看到詳細(xì)的可疑行為信息,例如執(zhí)行可疑行為的賬號(hào)信息、被執(zhí)行的可疑文件位置等。

測(cè)試二:攻擊者獲取內(nèi)存憑證并進(jìn)行橫向移動(dòng)

攻擊者使用Tool3在目標(biāo)主機(jī)上獲取內(nèi)存中的憑證信息,這些憑證信息用于對(duì)其他機(jī)器進(jìn)行身份驗(yàn)證,并在系統(tǒng)中進(jìn)行橫向移動(dòng)。

此時(shí)安全中心會(huì)立刻進(jìn)行告警,告知用戶(hù)該可疑行為的攻擊者意圖。通過(guò)安全告警的提示信息可以看出,該攻擊者試圖進(jìn)行憑據(jù)訪問(wèn),同時(shí)告知用戶(hù)攻擊者執(zhí)行的可疑操作具體信息,如下圖所示。

Lab2:Azure Defender針對(duì)Linux VM的高級(jí)威脅檢測(cè)及告警

實(shí)驗(yàn)環(huán)境:

攻擊者VM1為一款特殊的Linux操作系統(tǒng),常用于滲透測(cè)試等領(lǐng)域;目標(biāo)主機(jī)VM2使用Ubuntu 14.04 LTS系統(tǒng)。Azure Security Center支持多種Linux系統(tǒng),具體可以參考官網(wǎng):https://docs.microsoft.com/enus/azure/securitycenter/securitycenteroscoverage

實(shí)驗(yàn)準(zhǔn)備:

在實(shí)驗(yàn)中,為了演示攻擊者對(duì)目標(biāo)主機(jī)進(jìn)行密碼暴力破解的過(guò)程,需要在VM2目標(biāo)主機(jī)上事先創(chuàng)建5個(gè)用戶(hù),信息如下:

實(shí)驗(yàn)內(nèi)容:

從訂閱級(jí)別開(kāi)啟Azure Security Center并打開(kāi)Azure Defender功能,也支持針對(duì)指定資源開(kāi)啟Azure Security Center (具體操作方法見(jiàn)官方文檔)。這里強(qiáng)烈建議從訂閱級(jí)別開(kāi)啟Azure Security Center以獲取更全面的安全防護(hù)功能。

測(cè)試一:攻擊者對(duì)目標(biāo)主機(jī)VM2發(fā)起SSH暴力破解

假設(shè)你是攻擊者,登陸VM1,使用內(nèi)置的用戶(hù)名和密碼列表對(duì)目標(biāo)主機(jī)發(fā)起暴力攻擊。具體的命令行操作如下,可以看到VM2的用戶(hù)賬戶(hù)和密碼被返回給攻擊者,完成了SSH暴力破解過(guò)程。

此時(shí),Azure Security Center會(huì)發(fā)出郵件告警并描述出安全威脅的具體信息,如下圖所示。

同時(shí),Azure用戶(hù)可以在Security Center中看到針對(duì)VM2的安全事件,從攻擊者嘗試進(jìn)行暴力破解但未成功開(kāi)始,Azure安全中心便發(fā)起告警,因?yàn)閷?shí)驗(yàn)中使用的暴力破解wordlist很短,所以從攻擊者發(fā)起暴力破解攻擊到破解成功所需要的遍歷時(shí)間很短,在真實(shí)場(chǎng)景中,在攻擊者嘗試進(jìn)行暴力破解,到破解成功之前,通過(guò)Azure Security Center提供的告警信息,可以讓管理員進(jìn)行及時(shí)的響應(yīng)和處理。

測(cè)試二:攻擊者在目標(biāo)主機(jī)上下載惡意軟件

本實(shí)驗(yàn)攻擊者在通過(guò)暴力破解等方式,在內(nèi)網(wǎng)中找到突破口之后,會(huì)進(jìn)行一段時(shí)間的潛伏,并通過(guò)多種方式嘗試進(jìn)行橫向移動(dòng)。例如攻擊者會(huì)遠(yuǎn)程記錄目標(biāo)主機(jī)的鍵盤(pán)操作,或者使用一些工具進(jìn)行內(nèi)部偵察以枚舉服務(wù)器和域的具體信息,從而對(duì)一些服務(wù)器發(fā)起攻擊。例如在特定服務(wù)器上安裝惡意軟件。本測(cè)試攻擊者在目標(biāo)主機(jī)上,嘗試下載EICAR惡意軟件測(cè)試文件,從而驗(yàn)證Azure Security Center的面對(duì)安全威脅的高級(jí)功能,并不會(huì)對(duì)目標(biāo)主機(jī)產(chǎn)生任何惡意影響。

以上是實(shí)驗(yàn)中具體的操作命令行測(cè)試內(nèi)容,當(dāng)攻擊者遠(yuǎn)程在目標(biāo)主機(jī)上安裝惡意軟件之后,AzureSecurity Center立刻對(duì)受到的安全威脅產(chǎn)生告警,并給出詳細(xì)的安全威脅信息及需要采取的下一步行動(dòng)建議。

Azure defender為企業(yè)IT資源提供了一整套完整的高級(jí)安全防護(hù)功能,涉及智能告警、漏洞評(píng)估、合規(guī)性管理等內(nèi)容。本文僅通過(guò)兩個(gè)簡(jiǎn)單的攻擊實(shí)驗(yàn),和各位讀者一起對(duì)Azure Defender做了一番初探,更多功能可以參考微軟官方Doc文檔:https://docs.microsoft.com/zhcn/azure/securitycenter/azuredefender#azuredefenderadvancedprotectioncapabilities

感謝閱讀,歡迎交流學(xué)習(xí)。


文章推薦
App Annie Ascend助力Tripledot Studios實(shí)現(xiàn)收入大幅攀升,what kind of noodles would you like
Azure 中的 Power BI Embedded 是指什么,azure平臺(tái)是什么東西
AppLovin Ask The Developer Live  Fanatee分享從廣告瀑布流到應(yīng)用內(nèi)競(jìng)價(jià)之路
APP技巧篇|應(yīng)用市場(chǎng)CPD位置判別技巧,app市場(chǎng)上架規(guī)則


特別聲明:以上文章內(nèi)容僅代表作者本人觀點(diǎn),不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。

搜索 放大鏡
韓國(guó)平臺(tái)交流群
加入
韓國(guó)平臺(tái)交流群
掃碼進(jìn)群
歐洲多平臺(tái)交流群
加入
歐洲多平臺(tái)交流群
掃碼進(jìn)群
美國(guó)賣(mài)家交流群
加入
美國(guó)賣(mài)家交流群
掃碼進(jìn)群
ESG跨境專(zhuān)屬福利分享群
加入
ESG跨境專(zhuān)屬福利分享群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
亞馬遜跨境增長(zhǎng)交流群
加入
亞馬遜跨境增長(zhǎng)交流群
掃碼進(jìn)群
亞馬遜跨境增長(zhǎng)交流群
加入
亞馬遜跨境增長(zhǎng)交流群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
ESG獨(dú)家招商-PHH GROUP賣(mài)家交流群
加入
ESG獨(dú)家招商-PHH GROUP賣(mài)家交流群
掃碼進(jìn)群
《TikTok官方運(yùn)營(yíng)干貨合集》
《TikTok綜合運(yùn)營(yíng)手冊(cè)》
《TikTok短視頻運(yùn)營(yíng)手冊(cè)》
《TikTok直播運(yùn)營(yíng)手冊(cè)》
《TikTok全球趨勢(shì)報(bào)告》
《韓國(guó)節(jié)日營(yíng)銷(xiāo)指南》
《開(kāi)店大全-全球合集》
《開(kāi)店大全-主流平臺(tái)篇》
《開(kāi)店大全-東南亞篇》
《CD平臺(tái)自注冊(cè)指南》
通過(guò)ESG入駐平臺(tái),您將解鎖
綠色通道,更高的入駐成功率
專(zhuān)業(yè)1v1客戶(hù)經(jīng)理服務(wù)
運(yùn)營(yíng)實(shí)操指導(dǎo)
運(yùn)營(yíng)提效資源福利
平臺(tái)官方專(zhuān)屬優(yōu)惠

立即登記,定期獲得更多資訊

訂閱
聯(lián)系顧問(wèn)

平臺(tái)顧問(wèn)

平臺(tái)顧問(wèn) 平臺(tái)顧問(wèn)

微信掃一掃
馬上聯(lián)系在線顧問(wèn)

icon icon

小程序

微信小程序

ESG跨境小程序
手機(jī)入駐更便捷

icon icon

返回頂部

【免費(fèi)領(lǐng)取】全球跨境電商運(yùn)營(yíng)干貨 關(guān)閉
進(jìn)行中
進(jìn)行中
TikTok運(yùn)營(yíng)必備干貨包
包含8個(gè)TikTok最新運(yùn)營(yíng)指南(市場(chǎng)趨勢(shì)、運(yùn)營(yíng)手冊(cè)、節(jié)日攻略等),官方出品,專(zhuān)業(yè)全面!
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
韓國(guó)電商節(jié)日營(yíng)銷(xiāo)指南
10+韓國(guó)電商重要營(yíng)銷(xiāo)節(jié)點(diǎn)詳細(xì)解讀;2024各節(jié)日熱度選品助力引爆訂單增長(zhǎng);8大節(jié)日營(yíng)銷(xiāo)技巧輕松撬動(dòng)大促流量密碼。
免費(fèi)領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——全球合集
涵括全球100+個(gè)電商平臺(tái)的核心信息,包括平臺(tái)精煉簡(jiǎn)介、競(jìng)爭(zhēng)優(yōu)勢(shì)、熱銷(xiāo)品類(lèi)、入駐要求以及入駐須知等關(guān)鍵內(nèi)容。
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——主流平臺(tái)篇
火爆全球的跨境電商平臺(tái)合集,平臺(tái)優(yōu)勢(shì)、開(kāi)店選品、入駐條件盡在掌握
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——拉美篇
涵蓋9大熱門(mén)拉美電商平臺(tái),成熟的市場(chǎng)是跨境賣(mài)家的熱門(mén)選擇!
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——日韓篇
涵蓋10+日韓電商平臺(tái),入駐條件一看就懂,優(yōu)勢(shì)熱銷(xiāo)品應(yīng)有盡有
立即領(lǐng)取
進(jìn)行中
進(jìn)行中
全球平臺(tái)詳解——?dú)W洲篇
涵蓋20+歐洲電商平臺(tái),詳細(xì)解讀優(yōu)勢(shì)、入駐條件、熱銷(xiāo)品等
立即領(lǐng)取