我们怀疑我们发生了数据泄露,但我们不确定如何调查它以确定泄露的来源或发送了哪些数据。
我们有一个应用服务已经运行了一段时间并且使用稳定。我们注意到,在过去的几个晚上,数据出现了大幅飙升。我们的网站有一个经过身份验证的用户区域,我们担心网站上可能存在违规或未经授权的情况。
该网站的数据输出始终低于 10MB/15 分钟。但是突然的峰值超过了 180MB,然后又立即回落。第二天晚上,峰值为 600MB。在同一个 15 分钟指标窗口中,平均 CPU 时间飙升至超过一小时。响应时间、请求数量和 4xx/5xx 错误均保持稳定。
有没有办法使用 Azure(指标或安全中心)来确定导致数据输出大量激增的原因?发送了什么数据,发送给谁等?如果今晚再次发生这种情况,我们可以在 Azure 中启用什么功能以允许我们查看这些数据吗?(例如 Azure 哨兵)
查看其他指标,4XX 或 5XX 错误或请求数量没有明显的峰值,因此我们不怀疑暴力或 DoS 攻击。
需要更多的东西
为了让数据可以搜索或“按下倒带按钮”,您必须拥有出色的日志。Sentinel 很棒,但您需要更多的基础设施实施才能利用并配置 Sentinel。
1. 设置“Log Analytics 工作区”检查 Azure 区域要求并匹配两个允许您拥有“Log Analytics 工作区”和“自动化帐户”的区域。
2. 添加虚拟机监控扩展。根据您的服务器/工作站资源,您需要添加扩展以监控资源并将这些计算机上的本地日志消耗到您的“Log Analytics 工作区”中。关键日志是安全日志。如果您不能在工作区中使用安全日志,那么一切都不是。
您可以通过将试用版“安全中心”升级为“标准”> 启用监控策略 > 监控将在您的所有计算机上实施来启用对所有 VM 资源的监控。
您可以通过转到 VM 中的“诊断设置”刀片并选择“启用访客级别监控”来启用监控
您可以通过在所有或部分 VM 上使用 .json 模板来启用监控。
3、安全中心内;
分配默认策略。您将获得默认的 ASC(Azure 安全中心)策略,该策略还将用于将 Azure 监控扩展安装到您的 VM
转到“工作流程自动化”刀片并创建一个警报配置文件,并选择所有严重性。
转到“安全中心”> 定价 $ 设置 > 数据收集。点击“所有事件”单选按钮并保存配置。
4. 预防措施
转到 Azure Active Directory 并为所有 Azure 门户用户启用 2FA 或 Microsoft 所说的 MFA。这将迫使每个人使用他们的电话或与用于注册订阅的域名不同的外部电子邮件来设置 2FA。
如果您有 Windows 服务器环境,请设置域控制器并将所有计算机加入域。使用组策略打开对所有计算机安全日志等的审核。下载扩展组策略功能的 admx 文件,并使用 GPO 在所有计算机上启用所有高级审核。这是弄清楚发生了什么的唯一方法。很多日志。
5.配置哨兵
6.转到“诊断设置”刀片
7. 哨兵和 ASC
这会让你开始。Azure 中的几乎每个对象/服务都有某种诊断设置,您可以将其指向“Log Analytics 工作区”,此外,您还可以捕获发送到“Log Analytics 工作区”的流量。Sentinel 只能根据您提供的内容进行检测。我说,给它流量,它会大大增加工作空间日志,你只需为存储付费,但 IMO 是值得的。
祝你好运。我希望你没有受到损害,这个非常基本的回应很有帮助。谷歌了解更多检测和接收警报的方法,这种反应只是表面现象。