Средства киберразведки компании Microsoft

Для организаций, которые используют продукты Microsoft, будь то локаль- ные или облачные решения, они представляют собой средства киберразведки как части самого продукта. Это связано с тем, что в настоящее время многие продукты и услуги Microsoft используют преимущества общей киберразведки и благодаря этому могут предложить контекст, релевантность и управление приоритетами, чтобы помочь людям принять меры. Microsoft использует для этих целей различные каналы,такие как:

Microsoft Threat Intelligence Center, который объединяетданные из:

–  Honeypot,вредоносныхIP-адресов,ботнетовисводоковспышкахвре- доносного ПО;

–  сторонних источников (сводок данных об угрозах); –  наблюдений за людьми и сбора разведданных;

интеллект, поступающий от потребления их услуг;

сводки данных об угрозах, созданные Microsoft и третьими лицами. Microsoft интегрирует результаты в свои продукты, такие как Windows De-

fender Advanced Threat Protection, Центр безопасности Azure, Office 365 Threat Intelligence, Cloud App Security и др.

Посетите сайт https://aka.ms/MSTI для получения дополнительной информации о том, как Microsoft использует киберразведку для защиты, обнаружения и реагирования на угрозы.

Центр безопасности Azure

В предыдущей главе мы использовали Центр безопасности для выявления по- дозрительных действий на основе поведенческого анализа. Хотя это отличная возможностьдля облачныхвиртуальных машинилокальныхсерверов,вытак- же можете использовать киберразведку, чтобы лучше понять, была ли ском- прометирована ваша сеть (и остается ли она в таком состоянии). На панели мониторингаЦентрабезопасностивлевомменюнавигацииестьопцияThreat intelligence. Когда вы нажимаете на нее,то должны выбрать рабочую область, в которой содержатся вашиданные.Послетого как вы сделаете выбор,вы смо- жете увидеть панель управления.

Нарис.12.9показаннаяпанельуправления,которуювывидите,представля- ет собой демонстрационную среду, полностью скомпрометированную. Имен- но поэтому здесьтак много оповещений.

Рис.12.9

На этой панели у вас есть сводка типов угроз.В этом случае все они являют- ся ботнетами. У вас также есть страна происхождения (откуда исходит угроза) икарта,показывающаягеолокациюугроз.Отличнаяновостьсостоитвтом,что вы можете продолжать изучатьданные.Другими словами,если вы нажмете на одну из стран, откроется результат поиска, показывающий все системы, кото- рыебылискомпрометированыврезультатеэтойугрозы,исходящейизданной страны.В этом случае приведенное ниже изображение–результатпоиска всех скомпрометированных систем. Там, где злоумышленник из Украины, «сырой поиск» выглядиттак:

let schemaColumns = datatable(RemoteIPCountry:string)[];

union isfuzzy= true schemaColumns, W3CIISLog, DnsEvents, WireData, WindowsFirewall, CommonSecurityLog | where isnotempty(MaliciousIP) and (isnotempty(MaliciousIPCountry) or isnotempty(RemoteIPCountry))| extend Country = iff(isnotempty(MaliciousIPCountry), MaliciousIPCountry, iff(isnotempty(RemoteIPCountry), RemoteIPCountry, ''))

| where Country == "Ukraine"

Результат показан на рис. 12.10.

Рис.12.10

Исходные данные, которые вы получаете, содержат интересную информа- цию, включая локальный IP-адрес скомпрометированной системы, исполь- зованный протокол, направление и IP-адрес атакующего. Тем не менее самое интересное появляется, когда вы нажимаете show more (подробнее).

Там вы увидите, какой файл был скомпрометирован и какое приложение использовалось:

...IndicatorThreatType:Botnet

...Confidence:75

...FirstReportedDateTime:2017-10-27T11:40:44.0000000Z

...LastReportedDateTime:2017-10-27T16:27:01.2410977Z

...IsActive:true

...RemoteIPLongitude:27.82

...RemoteIPLatitude:48.44

...SessionStartTime:10/27/2017 12:29:30.000 PM

...SessionEndTime:10/27/2017 12:29:45.000 PM

...LocalSubnet:10.0.0.0/24

...LocalPortNumber:3389

...RemotePortNumber:0

...SentBytes:1591

...TotalBytes:2755

...ApplicationProtocol:RDP

...ProcessID:3052

...ProcessName:C:WindowsSystem32svchost.exe

В данном случае svchost.exe, видимо, является тем процессом, который скомпрометировал злоумышленник. На этом этапе вам нужно перейти к си- стеме, выбранной злоумышленником в качестве цели, и приступить к рассле- дованию.

для расследования подозрительной деятельности

На этом этапе больше нет сомнений в том, что использование киберразвед- ки,чтобы помочь своей системе обнаружения,является крайне необходимым. Теперь ответьте, как вы используете эту информацию при реагировании на инцидент в области безопасности? Хотя Синяя команда работает главным об- разом над системой защиты, она тем не менее сотрудничает с группой реа- гирования на компьютерные инциденты, предоставляя правильные данные, которые могут помочь найти основную причину проблемы. Если бы мы ис- пользовали предыдущий пример из Центра безопасности,то могли бы просто передать этот результат поиска. Этого было бы вполне достаточно. Но знание системы, которая была скомпрометирована, – это не единственная цель реа- гирования на инцидент.

В конце расследования вы должны дать ответы как минимум на следующие вопросы:

Какие системы были скомпрометированы?Где началась атака?

Какая учетная запись пользователя была использована, чтобы начать атаку?

Имело ли место дальнейшее распространение по сети?

–  Если да,то какие системы участвуют в этом распространении?Имело ли место повышение привилегий?

–  Если да,то какая учетная запись была скомпрометирована?

Была ли предпринята попытка связаться с командно-контрольным сер- вером?

Если да,то была ли она успешной?

–  Если да, было ли что-либо скачано оттуда? –  Если да, было ли что-либо отправлено туда?

Была ли предпринята попытка избавиться от улик? –  Если да, была ли эта попытка успешной?

Это некоторые ключевые вопросы, на которые вы должны ответить в конце расследования, и это может помочь вам по-настоящему приблизиться к делу

ибытьуверенным,чтоугрозабылаполностьюлокализованаиудаленаизсреды. ВыможетеиспользоватьфункциюрасследованияЦентрабезопасности,что-

бы ответить на большинство из этих вопросов. Эта функция позволяет видеть путь атаки, задействованные учетные записи пользователей, скомпромети- рованные системы и осуществленные вредоносные действия. В предыдущей главе вы узнали о функции Security Incident, которая присутствует в Центре безопасности. Она объединяет оповещения, являющиеся частью одной и той же кампании атаки. Используя этот интерфейс, вы можете кликнуть кнопкой мыши на Start Investigation, чтобы получить доступ к панели Investigation, как показано на рис. 12.11.

Рис.12.11

Карта расследований содержит все сущности (оповещения, компьютеры и пользователи), которые связаны с этим инцидентом. Когда вы впервые от- крываете приборную панель, в центре внимания карты находится сам инци- дентбезопасности.Темнеменеевыможетенажатьналюбуюсущность,икарта будет расширяться, показывая информацию, связанную с объектом, который вы только что выбрали. Вторая часть панели инструментов содержит более подробную информацию о выбранной сущности, которая включает в себя:

хронологию обнаружения;взломанный хост;подробное описание события;

шаги по исправлению;этап инцидента.

На рис.12.12 на карте расследований был выбран инцидент,а вот информа- ция,доступная для этого объекта.

Рис.12.12

Содержимое панели будет варьироваться в зависимости от выбора объекта слева (карты расследований). Обратите внимание, что для самого инцидента существуют параметры, которые выделены серым цветом, а это означает, что они недоступны для этого конкретного объекта, как и ожидалось.

Посмотрите, как один из авторов этой книги, Юрий Диогенес, демонстрирует работу данной функции на конференции Ignite 2017в Орландо: https://blogs.technet.microsoft.

com/yuridiogenes/2017/09/30/ignite-2017-azure-security-center-domination/.