Azure安全基础：Log Analytics、安全中心与Sentinel

作者：Jordan Drysdale

TL;DR

从渗透测试员的角度看防御、狩猎和安全问题：实验室环境与大规模部署的成本差异。
如果每月每台服务器花费15美元就能获取ATP数据、演示其有效性并提供技巧和基础指导，这很划算。但在Azure上为5000台虚拟服务器部署ATP，每年成本接近100万美元，这似乎非常昂贵。不过，由于我不维护其他EDR平台，也许这很便宜？我不确定……但我确定Log Analytics、Sentinel和ATP可以全面展示Azure身份验证边界防御、虚拟服务器活动及其中间的一切。

开始使用（Log Analytics）

文末有术语部分，你可能需要参考它以理解完整画面。部署一个VM，或部署一个实验室（文末通过Terraform部署APT实验室），或确保现有资源受到监控。然后，点击Azure的Log Analytics工作区仪表板。如果你打算跟随操作，可以在Microsoft维护的演示环境（如下链接：DemoLogsBlade）中完成许多步骤。

添加一个新工作区，如果需要容器化，也可以添加一个资源组。

定价层问题似乎很明显，但这里还是提一下。

最后，点击创建。完成后，我们应该有一个Log Analytics仪表板。

我们欢呼着点击“转到资源”。

从导航树中，向下滚动到“日志”。

然后，我们进入日志仪表板，在左侧找到LogManagement架构。Microsoft的定义基本上是架构是“……按逻辑类别分组的表集合”。默认情况下，只有几个表，但当我们添加新事件源时，这会更新，类似于Elastic的日志索引增长。还高亮了查询窗格，我们稍后会再次看到。

出于文档目的，开箱即用的架构如下所示。

让我们添加一些日志源——Azure平台通过几次点击即可实现。首先，将我们的VM连接到事件分析工作区。
导航到“主页”>“Log Analytics工作区”>“EventAnalytics-WS1”>在“开始使用Log Analytics”下，找到“1. 连接数据源”，然后点击“Azure虚拟机”。

进一步披露，下面列出的VM是使用这里的Terraform脚本部署的。（我们很快也会有一篇关于此的博客！）

点击此面板中列出的任何虚拟机。

点击“连接”。大约五分钟后，系统连接完成。

接下来，安装Log Analytics代理。导航到“主页”>“安全中心”>“开始使用”>“安装代理”选项卡。勾选适当的订阅框，然后点击“安装代理”。

此功能将在这些系统上安装Log Analytics代理。只需几分钟，所以不妨去 refresh 你的茶。

事件、事件处理和我们的首次观察

（注意：可能产生费用）要收集第一组安全事件，我们需要启用它们，这会产生费用。请考虑自己的钱包后再进行。我们将在博客末尾总结此努力的费用。这包括启动一个由三个VM组成的APT实验室，每个每天成本约2.40美元。这将包括按使用量付费的日志消耗定价。导航到“主页”>“安全中心”>“定价和设置”。

到达后，我做的第一件事是禁用自动配置。这将防止未来部署的所有VM在没有交互的情况下神奇地产生费用。

是时候启用标准层定价了。这将启用我们需要的事件管理，以开始在日志分析仪表板中看到事件。
导航到“主页”>“安全中心”>“定价和设置”。

编辑在此过程中创建的工作区，并将定价切换到标准，以便启用所有事件。

接下来，导航到“主页”>“安全中心”>“定价和设置”>“连续导出”。这里我们需要启用适当的导出数据类型。

此时，我们应该有一些初始事件。

接下来，Azure Sentinel

导航到“主页”>“Sentinel”。点击“添加”。

接下来，添加工作区。

一切连接完成后，只需几次点击即可让Sentinel上线。

于是，我们在Azure上的狩猎操作开始了。还有这么多问题要解决，这么多方向要探索，这么多事件要搜索。
下一篇博客已经在筹备中，将通过Roberto的工作（OTRF）在AzureSentinel2Go上部署。这是我最喜欢的标志之一……

术语

租户 – 账户和组
订阅 – 与Microsoft的协议
VM – Azure空间中的虚拟机
Log Analytics – Azure的日志记录仪表板
Log Analytics代理 – 安装在VM上用于事件集成
ATP – 高级威胁防护，昂贵但非常强大

链接

想从本文作者那里学习更多技能？
查看Jordan和Kent的课程：

防御企业
假设妥协——带有检测和Microsoft Sentinel的方法论
提供直播/虚拟和点播形式！