Azure Defender为用户提供企业级安全威胁防护

时间:2021-07-15 | 标签: | 作者:Q8 | 来源:菜农网络

小提示:您能找到这篇{Azure Defender为用户提供企业级安全威胁防护}绝对不是偶然,我们能帮您找到潜在客户,解决您的困扰。如果您对本页介绍的Azure Defender为用户提供企业级安全威胁防护内容感兴趣,有相关需求意向欢迎拨打我们的服务热线,或留言咨询,我们将第一时间联系您!

< ">如今日益复杂的网络环境,企业IT安全和管理均受到巨大挑战。根据ESG对北美和西欧620名IT专业人员的年度调查显示,51%的受访者称他们的企业存在应对安全威胁技能短缺的问题。Microsoft Azure提供了一套云原生的威胁防护和检测系统——Azure Security Center,最大限度地减少和缓解整个环境中的威胁,并改善整体安全态势。

< ">Azure Security Center为Azure用户提供免费的云安全态势管理,为用户持续提供Azure资源评估和安全性建议。本文的重点是想和大家聊一聊Azure Security Center下的一项高级功能——Azure Defender。

< ">在企业环境上,Azure Defender不仅可以为Azure资源提供保护、还可以对本地IDC和其他云中运行的混合工作负载提供统一的安全管理和威胁防护;

< ">在资源类型上,Azure Defender除了对虚拟机,还可以针对SQL数据库、容器、Web应用程序、网络等提供持续保护,并能够与企业现有的安全解决方案(如SIEM)进行集成。

< ">今天通过两组攻击实验,带着大家感受一下Azure Defender对Windows和Linux VM的威胁检测和高级防御功能。

< ">上图展示了黑客攻击者典型的网络杀伤链(Cyber Kill Chain),该击杀链反映了攻击者如何试图通过各种攻击手段对企业IT环境发起攻击,并通过一系列的潜伏和横向移动入侵企业IT资产,收集域内用户信息,不断扩大感染面,最终获取特权用户权限,对企业核心资产造成严重威胁,给企业带来不同程度的经济和信誉损失。有调查研究表明,在网络攻击中企业遭受的平均经济损失超过100万美金。

< ">今天< font-size: 16px;">通过两组模拟攻击< font-size: 16px;">实验模拟攻击者在击杀链各阶段的一系列行为,向大家直观展示azure defender强大的安全威胁检测和告警功能。

< ">说明:实验中的模拟攻击均为实验测试,不构成实质的攻击操作。

< ">Lab1:Azure Defender针对Windows VM的高级威胁检测及告警

< ">实验环境:两台Windows Server 2012虚拟机,一台为“Attacker”(攻击者),另一台为“Target”(目标主机)。

< ">实验中将使用以下几种工具:

< ">Tool1可以在本地或者远程管理计算机系统,常被攻击者用于在系统内做横向移动,进行信息收集、探测、反病毒、虚拟机检测、命令执行、权限持久化等操作。

< ">Tool2是sysinternals的一款强大的软件,通过他可以提权和执行远程命令,对于批量大范围的远程运维能起到很好的效果,尤其是在域环境下。

< ">Tool3是一款可以抓取系统内的明文密码的工具,主要用于提升进程权限以及读取进程内存,当然了,最重要的功能就是可以从lsass中获取当前Active系统的登录密码。

< ">实验内容:

< ">登陆Azure Portal,在订阅级别开启Azure Security Center并打开Azure Defender功能,也支持针对指定资源开启Azure Security Center。这里强烈建议从订阅级别开启Azure Security Center以获取更全面的安全防护功能。



< ">测试一:攻击者在目标机器上创建并执行进程微信小程序的开发工具

< ">在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集 域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制整个内网环境,控制域环境下的全部机器。

< ">假设你是攻击者,在“Attacker”虚拟机上利用Tool1远程登陆到“Target”目标机器上执行CMD命令——创建并执行新的进程(scvhost.exe)。攻击者可以利用该方式创建系统后门,或占用大量目标系统的内存,例如有些攻击者会在用户系统中运行挖矿软件病毒等恶意行为。

< ">此时,Azure Security Center利用Azure Defender功能会立刻检测到被攻击的Target虚拟机被执行了可疑进程,并进行安全告警。

< ">同时,Azure Security Center中可以查看到详细的可疑行为信息,例如执行可疑行为的账号信息、被执行的可疑文件位置等。

< ">测试二:攻击者获取内存凭证并进行横向移动

< ">攻击者使用Tool3在目标主机上获取内存中的凭证信息,这些凭证信息用于对其他机器进行身份验证,并在系统中进行横向移动。

< ">此时安全中心会立刻进行告警,告知用户该可疑行为的攻击者意图。通过安全告警的提示信息可以看出,该攻击者试图进行凭据访问,同时告知用户攻击者执行的可疑操作具体信息,如下图所示。

< ">Lab2:Azure Defender针对Linux VM的高级威胁检测及告警

< ">实验环境:攻击者VM1为一款特殊的Linux操作系统,常用于渗透测试等领域;目标主机VM2使用Ubuntu 14.04 LTS系统。Azure Security Center支持多种Linux系统,具体可以参考官网:https://docs.microsoft.com/en-us/azure/security-center/security-center-os-coverage

< ">实验准备:

< ">在实验中,为了演示攻击者对目标主机进行密码暴力破解的过程,需要在VM2目标主机上事先创建5个用户,信息如下:

< ">实验内容:

< ">从订阅级别开启Azure Security Center并打开Azure Defender功能,也支持针对指定资源开启Azure Security Center (具体操作方法见官方文档)。这里强烈建议从订阅级别开启Azure Security Center以获取更全面的安全防护功能。

< ">测试一:攻击者对目标主机VM2发起SSH暴力破解



< ">假设你是攻击者,登陆VM1,使用内置的用户名和密码列表对目标主机发起暴力攻击。具体的命令行操作如下,可以看到VM2的用户账户和密码被返回给攻击者,完成了SSH暴力破解过程。

< ">此时,Azure Security Center会发出邮件告警并描述出安全威胁的具体信息,如下图所示。

< ">同时,Azure用户可以在Security Center中看到针对VM2的安全事件,从攻击者尝试进行暴力破解但未成功开始,Azure安全中心便发起告警,因为实验中使用的暴力破解wordlist很短,所以从攻击者发起暴力破解攻击到破解成功所需要的遍历时间很短,在真实场景中,在攻击者尝试进行暴力破解,到破解成功之前,通过Azure Security Center提供的告警信息,可以让管理员进行及时的响应和处理。

< ">测试二:攻击者在目标主机上下载恶意软件

< ">本实验攻击者在通过暴力破解等方式,在内网中找到突破口之后,会进行一段时间的潜伏,并通过多种方式尝试进行横向移动。例如攻击者会远程记录目标主机的键盘操作,或者使用一些工具进行内部侦察以枚举服务器和域的具体信息,从而对一些服务器发起攻击。例如在特定服务器上安装恶意软件。本测试攻击者在目标主机上,尝试下载EICAR恶意软件测试文件,从而验证Azure Security Center的面对安全威胁的高级功能,并不会对目标主机产生任何恶意影响。

< ">以上是实验中具体的操作命令行测试内容,当攻击者远程在目标主机上安装雪碧危机公关恶意软件之后,Azure



< ">Security Center立刻对受到的安全威胁产生告警,并给出详细的安全威胁信息及需要采取的下一步行动建议。

< ">Azure defender为企业IT资源提供了一整套完整的高级安全防护功能,涉及智能告警、漏洞评估、合规性管理等内容。本文仅通过两个简单的攻击实验,和各位读者一起对Azure Defender做了一番初探,更多功能可以参考微软官方Doc文档:

< ">https://docs.microsoft.com/zh-cn/azure/security-center/azure-defender#azure-defender-advanced-protection-capabilities

< ">感谢阅读,欢迎交流学习。

Azure Defender为用户提供企业级安全威胁防护

上一篇:B2B业务在使用PayPal时的“雷区”
下一篇:敦煌网自动广告系统介绍及操作指引


版权声明:以上主题为“Azure Defender为用户提供企业级安全威胁防护"的内容可能是本站网友自行发布,或者来至于网络。如有侵权欢迎联系我们客服QQ处理,谢谢。
相关内容
推荐内容
扫码咨询
    Azure Defender为用户提供企业级安全威胁防护
    打开微信扫码或长按识别二维码

小提示:您应该对本页介绍的“Azure Defender为用户提供企业级安全威胁防护”相关内容感兴趣,若您有相关需求欢迎拨打我们的服务热线或留言咨询,我们尽快与您联系沟通Azure Defender为用户提供企业级安全威胁防护的相关事宜。

关键词:Azure,Defender为用户提供企业

关于 | 业务 | 案例 | 免责 | 隐私
客服邮箱:sales@1330.com.cn
电话:400-021-1330 | 客服QQ:865612759
沪ICP备12034177号 | 沪公网安备31010702002418号