第一章:Azure Monitor日志在AZ-500中的核心地位
Azure Monitor 日志是 AZ-500 认证考试中监控与威胁防护能力的核心组件,它为云环境提供集中化的日志收集、分析和告警机制。通过 Log Analytics 工作区,管理员能够从虚拟机、网络设备、应用服务等多种资源中聚合数据,并利用 Kusto 查询语言(KQL)进行深度安全分析。
日志数据的安全价值
- 实时检测异常登录行为,如来自非常用地域的访问尝试
- 追踪 Azure AD 中的危险操作,例如多次失败的身份验证
- 监控 NSG 流日志以识别潜在的横向移动攻击
Kusto 查询语言基础示例
以下代码展示如何查询过去6小时内所有失败的登录事件:
// 查询 SecurityEvent 表中 EventID 为 4625 的记录(表示登录失败)
SecurityEvent
| where EventID == 4625
| where TimeGenerated > ago(6h)
| project TimeGenerated, Account, IPAddress, Computer
| order by TimeGenerated desc
该查询逻辑首先筛选出代表登录失败的安全事件,限定时间范围后提取关键字段用于调查,最终按时间倒序排列以便快速定位最新威胁。
告警规则配置流程
| 组件 | 作用 |
|---|
| Log Analytics 工作区 | 存储和执行日志查询的中心平台 |
| KQL 查询 | 定义需检测的安全信号逻辑 |
| Action Group | 指定告警触发后的通知或自动化响应方式 |
第二章:深入理解Azure安全日志的构成与来源
2.1 Azure Activity Log解析:掌握操作审计的关键线索
Azure Activity Log 记录了订阅级别的控制平面操作,是实现安全合规与故障排查的核心数据源。通过分析该日志,可追踪用户操作、系统事件及服务健康状态。
日志分类与典型场景
Activity Log 包含以下主要类别:
- Administrative:资源创建、删除、角色分配等管理操作
- Service Health:平台服务中断或维护通知
- Alert:基于监控指标触发的告警事件
查询示例与分析
使用Kusto语言在Log Analytics中检索关键操作:
AzureActivity
| where OperationName == "Microsoft.Compute/virtualMachines/write"
| project TimeGenerated, Caller, ResourceGroup, Status
上述查询定位虚拟机创建行为,输出时间、操作者、资源组及结果状态,适用于安全审计与变更追溯。字段
Caller标识请求发起者,
Status反映执行结果,是定位异常操作的关键依据。
2.2 Azure Security Center日志实践:识别潜在安全威胁
Azure Security Center 提供统一的安全管理和高级威胁防护,通过集中收集虚拟机、网络和存储资源的日志数据,实现对潜在威胁的实时检测。
启用日志收集与威胁监控
需在Azure门户中启用“Log Analytics”工作区并关联Security Center策略:
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize count() by AlertName, Severity
| order by count_ desc
该Kusto查询用于分析过去7天内的安全警报分布。其中,
Severity字段标识威胁等级(High/Medium/Low),帮助优先响应高风险事件。
常见威胁模式识别
- 异常登录行为:来自非常用地域的登录尝试
- 横向移动迹象:频繁访问多个主机的同一账户
- 恶意进程执行:已知勒索软件进程名触发告警
通过持续运行上述查询并设置自动化告警规则,可快速识别并响应潜在攻击链。
2.3 Azure AD登录日志分析:洞察身份验证行为模式
Azure AD登录日志是监控用户身份验证活动的核心数据源,通过分析这些日志可识别异常登录行为、潜在的凭证滥用及地理欺诈。
关键字段解析
登录日志包含多个关键属性,如 `userPrincipalName`、`ipAddress`、`location`、`status` 和 `riskLevel`。例如,频繁失败登录后紧跟成功登录可能暗示暴力破解尝试。
Kusto查询示例
AuditLogs
| where OperationName == "UserLogin"
| project TimeGenerated, UserPrincipalName, IPAddress, Location, Status, RiskDetail
| where Status contains "failure"
| summarize failCount = count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where failCount > 5
该查询统计每小时内失败登录超过5次的用户,有助于快速定位可疑账户。`summarize` 按用户和时间分组,`bin` 实现时间窗口聚合,提升分析效率。
风险信号关联表
| 风险类型 | 典型表现 | 响应建议 |
|---|
| 匿名IP | 来自Tor或公共代理的登录 | 阻断并标记 |
| 非工作时间登录 | UTC+8时区23:00–5:00活动 | 触发MFA挑战 |
2.4 NSG Flow Logs与网络监控实战:可视化流量风险
Azure网络安全组(NSG)流日志记录虚拟网络中各资源间的入站与出站流量,是识别异常通信模式的关键工具。启用流日志后,系统将定期采集IP流信息并推送至Log Analytics工作区,便于后续分析。
日志结构与关键字段
每条流日志包含源/目标IP、端口、协议、流量方向及决策(允许/拒绝)。例如:
{
"Time": "2023-10-01T12:00:00Z",
"SystemId": "a1b2c3d4",
"MACAddress": "00-0D-3A-XX-XX-XX",
"FlowRecords": [
{
"Rule": "Allow_Web_Traffic",
"Direction": "Inbound",
"Action": "Allow",
"Flows": [
{ "SrcIP": "203.0.113.10", "DstIP": "10.0.0.4", "DstPort": 80 }
]
}
]
}
其中
Action字段直接反映安全策略执行结果,结合频繁的外部IP访问可识别潜在扫描行为。
威胁可视化实践
通过Azure Monitor创建仪表板,关联Kusto查询语句实现高危端口趋势图:
- 筛选目标端口为22、3389的外联流量
- 按源IP聚合统计尝试次数
- 标记TOP 10可疑IP并触发告警
此方法显著提升对暴力破解与横向移动的感知能力。
2.5 Key Vault访问日志解读:保护密钥资产的操作痕迹
Azure Key Vault 的访问日志记录了所有对密钥、机密和证书的访问行为,是安全审计的核心依据。通过 Azure Monitor 日志,可追踪身份、时间、操作类型及结果状态。
日志核心字段解析
- CallerIdentity:发起请求的用户或应用注册信息
- OperationName:如
GET KEY、DELETE SECRET - ResultType:HTTP 状态码与自定义错误(如
Success 或 AuthenticationFailed)
典型查询示例
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where OperationName contains "SECRET"
| project TimeGenerated, CallerIdentity_s, OperationName, ResultType
该 Kusto 查询筛选出所有与机密相关的操作,便于快速识别异常访问模式。例如,高频失败尝试可能暗示暴力破解攻击。
告警策略建议
| 场景 | 推荐阈值 | 响应动作 |
|---|
| 认证失败 | >5次/分钟 | 触发Azure Alert并冻结主体 |
| 密钥导出 | 任何实例 | 立即通知安全团队 |
第三章:Kusto查询语言(KQL)基础与安全场景应用
3.1 KQL入门:过滤、投影与排序在日志检索中的运用
基础语法结构
Kusto查询语言(KQL)是Azure Monitor和Log Analytics中用于日志分析的核心工具。其查询流程通常以数据表为起点,通过管道操作符“|”串联多个处理步骤。
过滤:精准定位目标数据
使用
where 操作符可实现高效的数据筛选,例如:
SecurityEvent
| where TimeGenerated > ago(24h) and EventID == 4624
该语句从 SecurityEvent 表中筛选过去24小时内发生的登录成功事件(EventID 4624),TimeGenerated 是时间戳字段,ago(24h) 返回24小时前的时间点。
投影与排序:控制输出格式与顺序
project 可选择输出字段,
sort by 实现结果排序:
| sort by TimeGenerated desc
| project TimeGenerated, Computer, User
上述代码按时间降序排列,并仅展示时间、主机名和用户信息,提升结果可读性。
3.2 联合查询跨表分析:构建全面的安全视图
在复杂安全分析场景中,单一数据源难以揭示完整威胁链。通过联合查询多个异构表(如登录日志、网络流量与终端行为),可构建统一的上下文视图。
跨表关联逻辑
使用标准SQL进行多表JOIN操作,关联字段需具备唯一标识能力,例如用户ID或IP地址:
SELECT
u.username,
l.login_time,
n.dst_ip,
e.process_name
FROM users u
JOIN login_logs l ON u.user_id = l.user_id
JOIN network_traffic n ON l.ip = n.src_ip
JOIN endpoint_events e ON u.host = e.machine_id
WHERE l.login_time BETWEEN '2023-10-01' AND '2023-10-02';
上述查询将身份认证、网络通信与终端执行行为串联,识别潜在横向移动行为。关键在于时间窗口对齐与主键一致性。
性能优化策略
- 为关联字段建立索引以加速JOIN操作
- 优先过滤再关联,减少中间数据集大小
- 采用分区表按时间裁剪扫描范围
3.3 常见安全用例的KQL实战:从异常登录到权限提升检测
异常登录行为检测
通过分析Azure AD登录日志,可识别来自非常用地点或非工作时间的登录尝试。以下KQL查询用于发现来自高风险国家的登录:
SigninLogs
| where LocationDetails_countryOrRegion != "China"
| where RiskLevelDuringSignIn == "high"
| project TimeGenerated, UserPrincipalName, IPAddress, LocationDetails_countryOrRegion, RiskLevelDuringSignIn
该查询筛选出登录时风险等级为“高”且非中国境内的记录,重点关注IP地理位置异常行为。
权限提升活动监控
本地系统中管理员组成员变更可能预示权限滥用。使用以下查询检测Administrators组的添加操作:
- Event ID 4732:本地组成员更改
- 目标组包含“Administrators”
- 关注SubjectUserName而非TargetUserName
结合多维度信号可提升检测准确率,避免单一规则误报。
第四章:基于日志的威胁检测与合规性验证
4.1 配置Azure Monitor Alerts:实现主动式安全响应
在现代云环境中,及时发现并响应潜在安全威胁至关重要。Azure Monitor Alerts 提供了强大的监控能力,支持基于指标、日志和活动日志的告警规则配置,从而实现主动式安全响应。
创建基于日志的告警规则
可通过Kusto查询语言(KQL)定义检测逻辑。例如,检测多次登录失败事件:
SecurityEvent
| where EventID == 4625
| summarize FailedAttempts = count() by IPAddress, User
| where FailedAttempts > 5
该查询统计来自同一IP地址的连续登录失败次数,超过5次即触发告警,有助于识别暴力破解行为。
告警操作组配置
当触发条件满足时,可通过操作组执行响应动作:
- 发送邮件至安全团队
- 调用Webhook通知SIEM系统
- 自动启动Azure Automation Runbook进行隔离
结合智能分析与自动化响应机制,显著提升威胁处置效率。
4.2 利用日志工作区进行SIEM集成与事件关联分析
数据同步机制
通过配置日志代理(如Azure Monitor Agent),可将分散在各类资源中的安全日志集中采集至日志工作区。该过程支持结构化与非结构化数据的统一摄入,确保原始事件上下文完整性。
SecurityEvent
| where EventLevelName == "Error"
| summarize count() by Computer, bin(TimeGenerated, 1h)
| where count_ > 5
上述Kusto查询用于识别单位时间内错误事件频发的主机,实现初步异常检测。其中
bin()函数将时间戳按小时分组,
summarize聚合各主机事件数量。
跨源事件关联
利用日志工作区内置的跨表查询能力,可融合
SecurityEvent、
SigninLogs与
AzureActivity等多源数据,构建攻击链视图。例如,将异常登录行为与后续特权命令执行关联,提升威胁研判准确率。
4.3 模拟攻防演练:通过日志发现隐蔽攻击路径
在红蓝对抗中,攻击者常利用合法工具进行横向移动,规避传统检测机制。通过分析系统与安全日志,可识别异常行为模式。
典型攻击行为日志特征
- 异常登录时间或频率,如深夜批量SSH尝试
- PsExec、WMI等管理工具的非授权调用
- 敏感文件访问与权限变更记录
日志分析代码示例
# 分析Windows事件日志中的异常登录
import pandas as pd
df = pd.read_csv('security_logs.csv')
suspicious = df[(df['EventID'] == 4624) & (df['LogonType'] == 3) & (df['IpAddress'].str.startswith('192.168.'))]
print(suspicious[['TimeCreated', 'AccountName', 'IpAddress']])
该脚本筛选成功登录事件(EventID 4624),聚焦网络登录类型(LogonType 3)并过滤内网IP,辅助识别潜在横向移动。
关键检测指标对比
| 行为 | 正常阈值 | 可疑阈值 |
|---|
| 每日登录次数 | <5 | >50 |
| 跨主机连接数 | <3 | >10 |
4.4 合规报告生成:满足监管要求的日志证据链构建
在金融、医疗等强监管行业中,合规报告的生成依赖于完整、不可篡改的日志证据链。通过集中式日志采集与结构化存储,系统可自动聚合安全事件、访问记录和操作审计数据。
日志标准化处理流程
- 采集:使用 Filebeat 或 Fluentd 收集多源日志
- 解析:通过正则或 Grok 模式提取关键字段
- 标记:添加时间戳、用户身份、操作类型等元数据
自动化报告生成代码示例
def generate_compliance_report(logs):
# 筛选过去30天的敏感操作
recent_logs = [log for log in logs if log['timestamp'] > thirty_days_ago]
# 按用户和操作类型分组统计
report_data = {}
for log in recent_logs:
key = (log['user'], log['action'])
report_data[key] = report_data.get(key, 0) + 1
return report_data
该函数实现基础合规数据聚合,输入为结构化日志列表,输出按用户-操作维度统计的行为频次,可用于异常行为识别与审计追溯。
证据链完整性验证机制
| 验证项 | 技术手段 |
|---|
| 日志防篡改 | SHA-256哈希链+区块链存证 |
| 时间一致性 | NTP同步+数字签名 |
第五章:结语——日志分析能力决定AZ-500通关质量
实战中的日志溯源场景
在一次模拟攻防演练中,考生需定位某虚拟机遭受暴力破解的源头。利用Azure Monitor和Log Analytics,执行以下KQL查询可快速筛选异常登录行为:
SecurityEvent
| where EventID == 4625 // 账户登录失败
| where TargetUserName has "admin"
| summarize FailedAttempts = count(), IPs = makeset(IpAddress) by Computer
| where FailedAttempts > 10
该查询直接暴露高频失败登录的主机与源IP集合,是检测横向移动的关键入口。
日志与安全策略联动机制
有效的日志分析不仅限于观察,更应驱动自动化响应。以下为常见响应模式:
- 通过Azure Sentinel设置规则,当检测到多次4648事件(显式凭据登录)时触发Playbook
- 自动隔离受影响主机并禁用关联用户账户
- 向SOAR平台推送工单,同步更新防火墙黑名单
典型误判规避策略
| 日志类型 | 常见误报原因 | 优化建议 |
|---|
| Azure AD Sign-in Logs | 多地时间短登录(用户使用漫游设备) | 启用可信位置白名单,结合设备标识过滤 |
| Network Security Group Flow Logs | 内部健康探测流量误判为扫描 | 排除Azure平台IP段(如168.63.129.16) |
检测流程图:
日志摄入 → KQL过滤 → 异常评分 → 关联分析 → 告警分级 → 自动化响应
扫一扫
1411
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
