Azure Defender为用户提供企业级安全威胁防护

小提示：您能找到这篇{Azure Defender为用户提供企业级安全威胁防护}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Azure Defender为用户提供企业级安全威胁防护内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">如今日益复杂的网络环境，企业IT安全和管理均受到巨大挑战。根据ESG对北美和西欧620名IT专业人员的年度调查显示，51%的受访者称他们的企业存在应对安全威胁技能短缺的问题。Microsoft Azure提供了一套云原生的威胁防护和检测系统——Azure Security Center，最大限度地减少和缓解整个环境中的威胁，并改善整体安全态势。

< ">Azure Security Center为Azure用户提供免费的云安全态势管理，为用户持续提供Azure资源评估和安全性建议。本文的重点是想和大家聊一聊Azure Security Center下的一项高级功能——Azure Defender。

< ">在企业环境上，Azure Defender不仅可以为Azure资源提供保护、还可以对本地IDC和其他云中运行的混合工作负载提供统一的安全管理和威胁防护；

< ">在资源类型上，Azure Defender除了对虚拟机，还可以针对SQL数据库、容器、Web应用程序、网络等提供持续保护，并能够与企业现有的安全解决方案（如SIEM）进行集成。

< ">今天通过两组攻击实验，带着大家感受一下Azure Defender对Windows和Linux VM的威胁检测和高级防御功能。

< ">上图展示了黑客攻击者典型的网络杀伤链(Cyber Kill Chain)，该击杀链反映了攻击者如何试图通过各种攻击手段对企业IT环境发起攻击，并通过一系列的潜伏和横向移动入侵企业IT资产，收集域内用户信息，不断扩大感染面，最终获取特权用户权限，对企业核心资产造成严重威胁，给企业带来不同程度的经济和信誉损失。有调查研究表明，在网络攻击中企业遭受的平均经济损失超过100万美金。

< ">今天< font-size: 16px;">通过两组模拟攻击< font-size: 16px;">实验模拟攻击者在击杀链各阶段的一系列行为，向大家直观展示azure defender强大的安全威胁检测和告警功能。

< ">说明：实验中的模拟攻击均为实验测试，不构成实质的攻击操作。

< ">Lab1：Azure Defender针对Windows VM的高级威胁检测及告警

< ">实验环境：两台Windows Server 2012虚拟机，一台为“Attacker”(攻击者)，另一台为“Target”(目标主机)。

< ">实验中将使用以下几种工具：

< ">Tool1可以在本地或者远程管理计算机系统，常被攻击者用于在系统内做横向移动，进行信息收集、探测、反病毒、虚拟机检测、命令执行、权限持久化等操作。

< ">Tool2是sysinternals的一款强大的软件，通过他可以提权和执行远程命令，对于批量大范围的远程运维能起到很好的效果，尤其是在域环境下。

< ">Tool3是一款可以抓取系统内的明文密码的工具，主要用于提升进程权限以及读取进程内存，当然了，最重要的功能就是可以从lsass中获取当前Active系统的登录密码。

< ">实验内容：

< ">登陆Azure Portal，在订阅级别开启Azure Security Center并打开Azure Defender功能，也支持针对指定资源开启Azure Security Center。这里强烈建议从订阅级别开启Azure Security Center以获取更全面的安全防护功能。

< ">测试一：攻击者在目标机器上创建并执行进程微信小程序的开发工具

< ">在内网渗透中，当攻击者获取到内网某台机器的控制权后，会以被攻陷的主机为跳板，通过收集 域内凭证等各种方法，访问域内其他机器，进一步扩大资产范围。通过此类手段，攻击者最终可能获得域控制器的访问权限，甚至完全控制整个内网环境，控制域环境下的全部机器。

< ">假设你是攻击者，在“Attacker”虚拟机上利用Tool1远程登陆到“Target”目标机器上执行CMD命令——创建并执行新的进程（scvhost.exe）。攻击者可以利用该方式创建系统后门，或占用大量目标系统的内存，例如有些攻击者会在用户系统中运行挖矿软件病毒等恶意行为。

< ">此时，Azure Security Center利用Azure Defender功能会立刻检测到被攻击的Target虚拟机被执行了可疑进程，并进行安全告警。

< ">同时，Azure Security Center中可以查看到详细的可疑行为信息，例如执行可疑行为的账号信息、被执行的可疑文件位置等。

< ">测试二：攻击者获取内存凭证并进行横向移动

< ">攻击者使用Tool3在目标主机上获取内存中的凭证信息，这些凭证信息用于对其他机器进行身份验证，并在系统中进行横向移动。

< ">此时安全中心会立刻进行告警，告知用户该可疑行为的攻击者意图。通过安全告警的提示信息可以看出，该攻击者试图进行凭据访问，同时告知用户攻击者执行的可疑操作具体信息，如下图所示。

< ">Lab2：Azure Defender针对Linux VM的高级威胁检测及告警

< ">实验环境：攻击者VM1为一款特殊的Linux操作系统，常用于渗透测试等领域；目标主机VM2使用Ubuntu 14.04 LTS系统。Azure Security Center支持多种Linux系统，具体可以参考官网：https://docs.microsoft.com/en-us/azure/security-center/security-center-os-coverage

< ">实验准备：

< ">在实验中，为了演示攻击者对目标主机进行密码暴力破解的过程，需要在VM2目标主机上事先创建5个用户，信息如下：

< ">实验内容：

< ">从订阅级别开启Azure Security Center并打开Azure Defender功能，也支持针对指定资源开启Azure Security Center (具体操作方法见官方文档)。这里强烈建议从订阅级别开启Azure Security Center以获取更全面的安全防护功能。

< ">测试一：攻击者对目标主机VM2发起SSH暴力破解

< ">假设你是攻击者，登陆VM1，使用内置的用户名和密码列表对目标主机发起暴力攻击。具体的命令行操作如下，可以看到VM2的用户账户和密码被返回给攻击者，完成了SSH暴力破解过程。

< ">此时，Azure Security Center会发出邮件告警并描述出安全威胁的具体信息，如下图所示。

< ">同时，Azure用户可以在Security Center中看到针对VM2的安全事件，从攻击者尝试进行暴力破解但未成功开始，Azure安全中心便发起告警，因为实验中使用的暴力破解wordlist很短，所以从攻击者发起暴力破解攻击到破解成功所需要的遍历时间很短，在真实场景中，在攻击者尝试进行暴力破解，到破解成功之前，通过Azure Security Center提供的告警信息，可以让管理员进行及时的响应和处理。

< ">测试二：攻击者在目标主机上下载恶意软件

< ">本实验攻击者在通过暴力破解等方式，在内网中找到突破口之后，会进行一段时间的潜伏，并通过多种方式尝试进行横向移动。例如攻击者会远程记录目标主机的键盘操作，或者使用一些工具进行内部侦察以枚举服务器和域的具体信息，从而对一些服务器发起攻击。例如在特定服务器上安装恶意软件。本测试攻击者在目标主机上，尝试下载EICAR恶意软件测试文件，从而验证Azure Security Center的面对安全威胁的高级功能，并不会对目标主机产生任何恶意影响。

< ">以上是实验中具体的操作命令行测试内容，当攻击者远程在目标主机上安装雪碧危机公关恶意软件之后，Azure

< ">Security Center立刻对受到的安全威胁产生告警，并给出详细的安全威胁信息及需要采取的下一步行动建议。

< ">Azure defender为企业IT资源提供了一整套完整的高级安全防护功能，涉及智能告警、漏洞评估、合规性管理等内容。本文仅通过两个简单的攻击实验，和各位读者一起对Azure Defender做了一番初探，更多功能可以参考微软官方Doc文档：

< ">https://docs.microsoft.com/zh-cn/azure/security-center/azure-defender#azure-defender-advanced-protection-capabilities

< ">感谢阅读，欢迎交流学习。