Azure Defender為用戶提供企業級安全威脅防護,azure defender

Azure Defender為用戶提供企業級安全威脅防護

如今日益復雜的網絡環境，企業IT安全和管理均受到巨大挑戰。根據ESG對北美和西歐620名IT專業人員的年度調查顯示，51%的受訪者稱他們的企業存在應對安全威脅技能短缺的問題。Microsoft Azure提供了一套云原生的威脅防護和檢測系統——Azure Security Center，最大限度地減少和緩解整個環境中的威脅，并改善整體安全態勢。

Azure Security Center為Azure用戶提供免費的云安全態勢管理，為用戶持續提供Azure資源評估和安全性建議。本文的重點是想和大家聊一聊Azure Security Center下的一項高級功能——Azure Defender。

在企業環境上，Azure Defender不僅可以為Azure資源提供保護、還可以對本地IDC和其他云中運行的混合工作負載提供統一的安全管理和威脅防護；

在資源類型上，Azure Defender除了對虛擬機，還可以針對SQL數據庫、容器、Web應用程序、網絡等提供持續保護，并能夠與企業現有的安全解決方案（如SIEM）進行集成。

今天通過兩組攻擊實驗，帶著大家感受一下Azure Defender對Windows和Linux VM的威脅檢測和高級防御功能。

上圖展示了黑客攻擊者典型的網絡殺傷鏈(Cyber Kill Chain)，該擊殺鏈反映了攻擊者如何試圖通過各種攻擊手段對企業IT環境發起攻擊，并通過一系列的潛伏和橫向移動入侵企業IT資產，收集域內用戶信息，不斷擴大感染面，最終獲取特權用戶權限，對企業核心資產造成嚴重威脅，給企業帶來不同程度的經濟和信譽損失。有調查研究表明，在網絡攻擊中企業遭受的平均經濟損失超過100萬美金。

今天通過兩組模擬攻擊實驗模擬攻擊者在擊殺鏈各階段的一系列行為，向大家直觀展示azure defender強大的安全威脅檢測和告警功能。

說明：實驗中的模擬攻擊均為實驗測試，不構成實質的攻擊操作。

Lab1：Azure Defender針對Windows VM的高級威脅檢測及告警

實驗環境：

兩臺Windows Server 2012虛擬機，一臺為“Attacker”(攻擊者)，另一臺為“Target”(目標主機)。

實驗中將使用以下幾種工具：

Tool1可以在本地或者遠程管理計算機系統，常被攻擊者用于在系統內做橫向移動，進行信息收集、探測、反病毒、虛擬機檢測、命令執行、權限持久化等操作。

Tool2是sysinternals的一款強大的軟件，通過他可以提權和執行遠程命令，對于批量大范圍的遠程運維能起到很好的效果，尤其是在域環境下。

Tool3是一款可以抓取系統內的明文密碼的工具，主要用于提升進程權限以及讀取進程內存，當然了，最重要的功能就是可以從lsass中獲取當前Active系統的登錄密碼。

實驗內容：

登陸Azure Portal，在訂閱級別開啟Azure Security Center并打開Azure Defender功能，也支持針對指定資源開啟Azure Security Center。這里強烈建議從訂閱級別開啟Azure Security Center以獲取更全面的安全防護功能。

測試一：攻擊者在目標機器上創建并執行進程

在內網滲透中，當攻擊者獲取到內網某臺機器的控制權后，會以被攻陷的主機為跳板，通過收集 域內憑證等各種方法，訪問域內其他機器，進一步擴大資產范圍。通過此類手段，攻擊者最終可能獲得域控制器的訪問權限，甚至完全控制整個內網環境，控制域環境下的全部機器。

假設你是攻擊者，在“Attacker”虛擬機上利用Tool1遠程登陸到“Target”目標機器上執行CMD命令——創建并執行新的進程（scvhost.exe）。攻擊者可以利用該方式創建系統后門，或占用大量目標系統的內存，例如有些攻擊者會在用戶系統中運行挖礦軟件病毒等惡意行為。

此時，Azure Security Center利用Azure Defender功能會立刻檢測到被攻擊的Target虛擬機被執行了可疑進程，并進行安全告警。

同時，Azure Security Center中可以查看到詳細的可疑行為信息，例如執行可疑行為的賬號信息、被執行的可疑文件位置等。

測試二：攻擊者獲取內存憑證并進行橫向移動

攻擊者使用Tool3在目標主機上獲取內存中的憑證信息，這些憑證信息用于對其他機器進行身份驗證，并在系統中進行橫向移動。

此時安全中心會立刻進行告警，告知用戶該可疑行為的攻擊者意圖。通過安全告警的提示信息可以看出，該攻擊者試圖進行憑據訪問，同時告知用戶攻擊者執行的可疑操作具體信息，如下圖所示。

Lab2：Azure Defender針對Linux VM的高級威脅檢測及告警

實驗環境：

攻擊者VM1為一款特殊的Linux操作系統，常用于滲透測試等領域；目標主機VM2使用Ubuntu 14.04 LTS系統。Azure Security Center支持多種Linux系統，具體可以參考官網：https://docs.microsoft.com/enus/azure/securitycenter/securitycenteroscoverage

實驗準備：

在實驗中，為了演示攻擊者對目標主機進行密碼暴力破解的過程，需要在VM2目標主機上事先創建5個用戶，信息如下：

實驗內容：

從訂閱級別開啟Azure Security Center并打開Azure Defender功能，也支持針對指定資源開啟Azure Security Center (具體操作方法見官方文檔)。這里強烈建議從訂閱級別開啟Azure Security Center以獲取更全面的安全防護功能。

測試一：攻擊者對目標主機VM2發起SSH暴力破解

假設你是攻擊者，登陸VM1，使用內置的用戶名和密碼列表對目標主機發起暴力攻擊。具體的命令行操作如下，可以看到VM2的用戶賬戶和密碼被返回給攻擊者，完成了SSH暴力破解過程。

此時，Azure Security Center會發出郵件告警并描述出安全威脅的具體信息，如下圖所示。

同時，Azure用戶可以在Security Center中看到針對VM2的安全事件，從攻擊者嘗試進行暴力破解但未成功開始，Azure安全中心便發起告警，因為實驗中使用的暴力破解wordlist很短，所以從攻擊者發起暴力破解攻擊到破解成功所需要的遍歷時間很短，在真實場景中，在攻擊者嘗試進行暴力破解，到破解成功之前，通過Azure Security Center提供的告警信息，可以讓管理員進行及時的響應和處理。

測試二：攻擊者在目標主機上下載惡意軟件

本實驗攻擊者在通過暴力破解等方式，在內網中找到突破口之后，會進行一段時間的潛伏，并通過多種方式嘗試進行橫向移動。例如攻擊者會遠程記錄目標主機的鍵盤操作，或者使用一些工具進行內部偵察以枚舉服務器和域的具體信息，從而對一些服務器發起攻擊。例如在特定服務器上安裝惡意軟件。本測試攻擊者在目標主機上，嘗試下載EICAR惡意軟件測試文件，從而驗證Azure Security Center的面對安全威脅的高級功能，并不會對目標主機產生任何惡意影響。

以上是實驗中具體的操作命令行測試內容，當攻擊者遠程在目標主機上安裝惡意軟件之后，AzureSecurity Center立刻對受到的安全威脅產生告警，并給出詳細的安全威脅信息及需要采取的下一步行動建議。

Azure defender為企業IT資源提供了一整套完整的高級安全防護功能，涉及智能告警、漏洞評估、合規性管理等內容。本文僅通過兩個簡單的攻擊實驗，和各位讀者一起對Azure Defender做了一番初探，更多功能可以參考微軟官方Doc文檔：https://docs.microsoft.com/zhcn/azure/securitycenter/azuredefender#azuredefenderadvancedprotectioncapabilities

感謝閱讀，歡迎交流學習。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。