超级会员免费看
微软云安全防护:漏洞评估与安全信息管理指南
1. 微软 Defender for Cloud 豁免审查
目前没有明确的方法来审查微软 Defender for Cloud 现有的豁免情况。若要审查已创建的豁免,请参考“Policy ➤ Authoring ➤ Exemptions”。需注意,会针对资源和策略的每个适用合规标准创建一个豁免。
2. 集成漏洞评估概述
微软 Defender for Cloud 中的集成漏洞扫描器具有巨大价值,应纳入组织的网络防御计划。一般来说,漏洞扫描器是一种能发现网络和计算机等实体弱点的软件。在实际应用中,常用于识别和检测基于网络的资产(如防火墙、Web 服务器或应用服务器)因配置不当或编程缺陷而产生的漏洞。
3. 内部和外部漏洞扫描
未应用安全补丁或在未正确更新相关安全设置的情况下进行系统修改,这些虽少见但可预见的情况会为攻击创造机会。许多恶意入侵和勒索软件事件本可通过更多组织使用漏洞扫描器测试其环境来避免。因此,PCI DSS 11.2 等监管合规框架要求以电子方式存储、处理和/或传输持卡人数据的组织进行内部和外部漏洞扫描。
PCI DSS 要求采用两种独立的漏洞扫描方法:
-
外部漏洞扫描
:在网络外部(如网络边界)进行,用于识别网络结构中的已知弱点。
-
内部漏洞扫描
:在网络内部进行,检查同一网络上的其他主机以识别内部漏洞。
4. 微软 Defender for Cloud 与内部扫描
部署和使用微软 Defender for Cloud 为服务器捆绑的集成漏洞扫描器,可帮助组织在 Windows 和 Linux 服务器上实现内部扫描目标。这是通过将漏洞扫描工作卸载到 Qualys 云服务来完成的。
ASC 包含的漏洞扫描器由第三方服务提供商 Qualys 提供支持。Qualys 的扫描器是实时识别漏洞的行业领先工具,仅适用于微软 Defender for Cloud 服务器工作负载保护。无需 Qualys 许可证甚至 Qualys 账户,一切都在微软 Defender for Cloud 内无缝处理。需注意,扫描仅适用于运行代理的设备,且没有“设备发现”或“无代理扫描”组件。
漏洞扫描器扩展工作流程如下:
graph LR
A[部署 Azure 策略进行漏洞评估] --> B[Azure VMs 和 Azure Arc 服务器将遥测数据转发到 Qualys 云服务]
B --> C[Qualys 云服务进行漏洞评估并发送结果到微软 Defender for Cloud]
C --> D[微软 Defender for Cloud 报告结果并指导修复]
- 从微软 Defender for Cloud 部署 Azure 策略以执行漏洞评估。
- Azure VMs 和 Azure Arc 服务器将遥测数据转发到指定区域的 Qualys 云服务进行分析。
- Qualys 的云服务进行漏洞评估,并将结果发送到微软 Defender for Cloud。
- 结果会在微软 Defender for Cloud 中报告,并指导修复优先级和行动。
5. 将集成扫描器部署到 Azure Arc 服务器
按以下步骤开始在受微软 Defender for Cloud 保护的服务器上使用 Qualys 漏洞扫描器:
1. 在 Azure 门户中导航至“Home ➤ Microsoft Defender for Cloud”。
2. 从微软 Defender for Cloud 菜单中打开“Recommendations”页面。
3. 在“Search recommendations”框中输入“vulnerability”,找到并点击“应在虚拟机上启用漏洞评估解决方案”的建议。
- 部分或所有计算机可能会被归类为该建议的“不健康资源”,这意味着可以在这些机器上部署漏洞扫描器。
- 可能会看到一些计算机被归类为“不适用资源”,这些机器无法部署漏洞扫描器扩展,原因可能是它们是 AKS 集群中的镜像、属于虚拟机规模集 (VMSS) 或未运行集成漏洞扫描器支持的操作系统之一。
4. 会打开一个刀片式窗口列出“不健康资源”,所有混合环境中的计算机(包括 Windows 和 Linux、Azure 内和 Azure Arc 的计算机)都会统一列出。从不健康机器列表中选择要接收漏洞评估解决方案的机器,然后点击“Fix”按钮。
5. 确认要修复的资源数量,并确认正在部署由 Qualys 提供支持的微软 Defender for Cloud 集成漏洞扫描器(包含在微软 Defender for Cloud 服务器工作负载保护中),然后点击“Proceed”。
6. 在“Fixing Resources”页面,确认所选资源是要加入该解决方案的服务器,然后点击“Fix resources”按钮。
7. “修复资源”命令会为每台机器启动一个 Azure 资源管理器 (ARM) 部署,类型为“Write ServerVulnerabilityAssessment”。
- Windows 机器将通过 ARM 部署安装“WindowsAgent.AzureSecurityCenter”扩展。
- Linux 机器的扩展名为“LinuxAgent.AzureSecurityCenter”。
- 可以在 Azure Arc 服务器的“Settings ➤ Extensions”页面看到扩展正在创建,也可以在 Azure 订阅的活动日志(“Home ➤ Activity log”)中跟踪 ARM 部署的进度。
- Windows 计算机将在“控制面板 ➤ 程序和功能”中显示由 Qualys, Inc. 发布的“Qualys Cloud Security Agent”应用程序。Linux 计算机在运行“apt list –installed”命令时会列出“qualys - cloud - agent”。
8. 扩展成功部署后,扫描将自动开始,之后每 4 小时运行一次,此间隔不可配置。
目标机器必须能够与 Qualys 的云服务通信。如果控制要扫描的服务器的 Internet 访问,请将以下 IP 地址添加到允许列表(协议 HTTPS,TCP 端口 443):
- 64.39.104.113 — Qualys 的美国数据中心
- 154.59.121.74 — Qualys 的欧洲数据中心
如果机器位于欧洲 Azure 区域,其数据将在 Qualys 的欧洲数据中心处理;其他位置的机器的数据将发送到美国数据中心。
6. 自动化大规模部署
对于较大的环境,有多种大规模自动化工具可用于部署该解决方案:
-
Azure 资源管理器 (ARM)
:可从微软 Defender for Cloud 建议刀片式窗口获取此方法。返回相关视图,在页面的“受影响资源”部分上方的“修复步骤”部分,点击“查看修复逻辑”按钮,将显示自动修复脚本内容,这是部署解决方案的 ARM 模板,将内容复制出来并保存为扩展名为“.JSON”的文本文件,可用于组织首选的任何自动化解决方案。
-
Azure 策略
:将自定义策略“Deploy Qualys vulnerability assessment solution on virtual machines”从以下 GitHub URL 导入 Azure 订阅:
https://github.com/Azure/Azure - Security - Center/tree/master/Remediation%20scripts/Enable%20the%20built - in%20vulnerability%20assessment%20solution%20on%20virtual%20machines%20(powered%20by%20Qualys)/Azure%20Policy
可以在 Azure 订阅、资源组或管理组级别分配此策略。
-
Azure PowerShell
:使用“qualys - remediate - unhealthy - vms.ps1”脚本为所有不健康的虚拟机部署扩展。若要在新资源上安装,可考虑使用 Azure 自动化来自动化该脚本。该脚本会查找 ASC 建议发现的所有不健康机器,并执行 ARM 调用以部署解决方案。从以下 GitHub URL 下载脚本:
https://github.com/Azure/Azure - Security - Center/tree/main/Remediation%20scripts/Enable%20the%20built - in%20vulnerability%20assessment%20solution%20on%20virtual%20machines%20(powered%20by%20Qualys)/PowerShell
-
Azure Logic App
:使用微软 Defender for Cloud 的工作流自动化工具触发类似的逻辑应用,每当为资源生成“应在虚拟机上启用漏洞评估解决方案”建议时部署扫描器。基于以下 GitHub 位置的“Install - VulnAssesmentAgent”示例应用构建逻辑应用:
https://github.com/Azure/Azure - Security - Center/tree/main/Workflow%20automation/Install - VulnAssesmentAgent
导入逻辑应用后,需要编辑逻辑应用,并使用具有写入 Azure VM 或 Azure Arc 服务器资源权限的 API 连接凭据自定义“Create or update a template deployment”步骤。完成自定义后,在微软 Defender for Cloud 控制台中显示建议的任何位置,都可以点击“Trigger”按钮部署解决方案。
-
Azure REST API
:要使用 REST API 部署集成漏洞评估解决方案,请对以下 URL 进行 PUT 请求并添加相关资源 ID:
https://management.azure.com/
/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api - Version = 2015 - 06 - 01 - preview
7. 触发按需扫描
可以使用本地或远程脚本或组策略对象 (GPO) 从机器本身触发按需扫描。也可以在补丁部署作业结束时将按需扫描集成到软件分发工具中。以下命令可触发按需扫描:
-
Windows
:
REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
- Linux :
sudo /usr/local/qualys/cloud - agent/bin/cloudagentctl.sh action = demand type = vm
8. 查看和修复发现的问题
当漏洞评估工具报告漏洞时,微软 Defender for Cloud 会将结果和相关信息作为建议呈现。此外,结果还包括修复步骤、相关 CVE、CVSS 分数等相关信息。按以下步骤查看和修复机器上漏洞评估扫描发现的问题:
1. 在 Azure 门户中导航至“Home ➤ Microsoft Defender for Cloud”。
2. 从安全中心菜单中打开“Recommendations”页面。
3. 在“Search recommendations”框中输入“vulnerabilities”,找到并点击“应修复虚拟机中的漏洞”建议。
4. 展开“Security Checks”,在“Findings”选项卡中查看漏洞列表。
9. 禁用特定发现
如果组织需要忽略某个发现而不是修复它,可以选择禁用该发现。禁用的发现不会影响安全分数或产生不必要的干扰。
例如,某个组织因关键业务应用程序仍在使用 Adobe Flash Player 而需要继续使用它。在进行尽职调查以接受风险并可能实施其他缓解或保护措施后,可按以下步骤禁用该发现:
1. 在“应修复虚拟机中的漏洞”建议详细页面上,选择“Disable rule”。
2. 选择相关范围,如订阅。
3. 定义标准,可以使用以下任何标准:
- 发现 ID
- 类别
- 安全检查
- CVSS 分数 (v2, v3)
- 严重性
- 可修补状态
例如,使用对应此 PuTTY 漏洞的发现 ID“105943”。
4. 可在提供的区域中输入理由,然后点击“Apply rule”按钮。新的禁用规则应用到订阅可能需要长达 30 分钟才能生效。规则生效后,该项目将从发现列表中删除。
5. 可以查看所有禁用发现的列表,理由注释会保留在“Reason”列中。
10. 微软 Sentinel 与 Azure Arc 服务器
每个拥有两个或更多安全数据源的组织都需要一个 SIEM(安全信息和事件管理)工具。微软 Sentinel 是基于云的 SIEM,也是唯一的原生云 SIEM。竞争的云 SIEM 包括 Splunk Security Cloud、AT&T AlienVault USM Anywhere 和 IBM QRadar on Cloud。
如果组织尚未投资于这些或类似的 SIEM,并且已经部署了如 Azure Arc、Azure Monitor、Azure Log Analytics 和微软 Defender for Cloud 等解决方案,那么将微软 Sentinel 添加到安全堆栈应该是一个简单的决定。这样可以以添加第三方企业 SIEM 成本的一小部分获得当今世界上可能最好的 SIEM。
如果有位于 Azure 之外的服务器,采用 Azure Arc 的一个主要原因可能是部署微软 Sentinel 作为企业 SIEM。如果要进行最佳实践的微软 Sentinel 部署,且 IT 资产包括本地服务器、私有云和托管服务器或 AWS 和/或 Google 云中的服务器,应从 Azure Arc 部署开始微软 Sentinel 部署。推出微软 Sentinel 作为 SIEM 的高级步骤如下:
1. 在非 Azure 服务器上安装 Azure Arc 代理,使其能够像 Azure VMs 一样通过 VM 扩展进行带外控制。
2. 使用 VM 扩展为所有云中的所有服务器分配 Azure 策略,将它们连接到特定的 Azure Log Analytics 工作区。
3. 在 Azure 订阅中,在所有服务器连接的 Log Analytics 工作区中安装一个微软 Sentinel 实例。
微软 Sentinel 是 Azure Monitor 和 Azure Log Analytics 的超集,它既可以将服务器的安全数据与来自其他平台(如防火墙和 Office 365 等云服务登录)的安全数据进行关联,又可以处理服务器安全数据本身以发现异常和威胁指标。
将微软 Sentinel 添加到 Log Analytics 实例会使给定服务器组的 Azure 月度服务成本大约翻倍。微软 Sentinel 是在服务器可能已经消耗的日志量基础上的额外成本。以下是不同使用量下 Azure Monitor 和微软 Sentinel 摄入成本的比较(美国东部,90 天保留期):
| 使用量 | Azure Monitor | Azure Sentinel |
| ---- | ---- | ---- |
| 50 GB/月 | $3,438.50 | $3,000.00(额外 +87%) |
| 100 GB/月 | $5,880.00 | $3,000.00(额外 +51%) |
| 200 GB/月 | $11,040.00 | $5,400.00(额外 +48%) |
11. 将微软 Defender for Cloud 数据导出到微软 Sentinel
微软 Defender for Cloud 与微软 Sentinel 连接非常容易,有完全功能的免费连接模式和会产生日志摄入微费用的可选模式。
-
互补的微软 Defender for Cloud 集成
:在微软 Sentinel 控制台中,导航至“Configuration ➤ Data connectors”,找到微软 Defender for Cloud 并点击“Open connector page”按钮。在订阅列表中,将滑块移至“Connected”位置。此集成将使微软 Defender for Cloud 的安全警报在安装了微软 Sentinel 的 Azure Log Analytics 实例中显示。按照最佳实践启用的微软 Sentinel 分析规则(“Create incidents based on Azure Security Center alerts”)将在微软 Defender for Cloud 发出警报时创建微软 Sentinel 事件。启用此集成无需费用,即没有微软 Sentinel 数据摄入费用。这种模式适用于许多环境,当微软 Defender for Cloud 发出警报时,微软 Sentinel 事件将实时创建。
-
额外的微软 Defender for Cloud 数据导出
:除了微软 Sentinel 与微软 Defender for Cloud 警报的集成外,还可以选择将其他微软 Defender for Cloud 产品(如漏洞评估结果、安全分数和监管合规消息)导出到 Azure Log Analytics。如果在同一工作区中安装了微软 Sentinel,它也会摄入这些额外数据,但不像微软 Defender for Cloud 警报那样有自动创建事件的支持。启用此日志记录模式会产生 Azure Log Analytics 以及可能的微软 Sentinel 按 GB 计算的基于卷的处理费用。虽然对于这些类型的消息预期量会产生非常适度的微费用,但对于大多数环境来说,成本微不足道(但不为零)。
要启用从微软 Defender for Cloud 到 Azure Log Analytics 的额外数据导出,请按以下步骤操作:
1. 导航至“Home ➤ Microsoft Defender for Cloud ➤ Management ➤ Environment Settings ➤
➤ Continuous export”。
2. 选择“Log Analytics workspace”选项卡,将“Export enabled”设置为“On”。
3. 选择所需的导出数据类型,例如避免导出“Security alerts”类型(如果已启用默认的微软 Sentinel 集成以避免对这些事件进行双重警报)。
4. 选择资源组和目标工作区,然后点击“Save”按钮。
还可以选择基于 Log Analytics 查询创建 Azure 监视器日志警报,以在 Azure 监视器中查看导出的类型并触发警报规则,例如当漏洞评估包含高优先级发现时。可以使用内置向导快速创建 Azure 监视器警报规则:
1. 启用连续导出后,滚动到“Continuous export”设置页面底部,点击“Continue integration with Azure Monitor”链接。
2. 选择“Log alert”,点击“Create alert rules for exported recommendations”,然后点击“Create”按钮。
3. 导航至“Home ➤ Log Analytics workspace ➤ Alert rules”,找到“[Azure Security Center] New Security Recommendation”规则并点击编辑。
4. 在“Condition”部分,点击连接名称“Whenever the average custom log search is greater than 0”。
5. 在“Evaluated based on”部分,将周期和频率从 5 分钟更改为 60 分钟(这将使监视器规则本身的成本从每月 $1.50 降低到每月不到 $0.15)。
6. 在“Actions”部分,点击“Add action groups”,然后选择并添加首选的通知操作组。如果还没有操作组,可以在页面顶部使用“Create action group”控件创建。
7. 点击“Save”按钮。
微软 Defender for Cloud 漏洞扫描在报告扫描结果时会记录“SecurityRecommendation”类型的数据。在每小时检查期间,当在 Log Analytics 数据库中发现“SecurityRecomendation”类型的未来数据时,将收到通知。
如果只想在有高严重性发现时接收警报,可以按以下方式编辑警报规则中的查询:
SecurityRecommendation
| where RecommendationSeverity contains "High"
微软云安全防护:漏洞评估与安全信息管理指南
12. 总结与最佳实践建议
在前面的内容中,我们详细探讨了微软 Defender for Cloud 的漏洞评估功能以及微软 Sentinel 在安全信息管理方面的应用。为了帮助大家更好地利用这些工具提升安全防护水平,下面给出一些总结和最佳实践建议。
漏洞评估方面
- 定期扫描 :利用微软 Defender for Cloud 的集成漏洞扫描器,按照设定的时间间隔(默认每 4 小时)对服务器进行扫描,及时发现潜在的安全漏洞。同时,也可以根据实际情况触发按需扫描,确保在关键操作(如系统更新、新应用部署)后进行额外的安全检查。
- 自动化部署 :对于大规模的服务器环境,建议使用 Azure 资源管理器 (ARM)、Azure 策略、Azure PowerShell、Azure Logic App 或 Azure REST API 等自动化工具来部署漏洞评估解决方案,提高部署效率和一致性。
- 关注高风险漏洞 :在查看漏洞评估结果时,重点关注高严重性的漏洞,并优先进行修复。可以通过编辑 Azure 监视器警报规则,只在有高严重性发现时接收通知,以便及时采取措施。
- 合理使用豁免功能 :如果因为某些特殊原因需要忽略某些漏洞发现,可以使用豁免功能。但在使用前,一定要进行充分的风险评估,并记录相关的理由。
安全信息管理方面
- 集成微软 Sentinel :将微软 Defender for Cloud 与微软 Sentinel 集成,实现安全警报的集中管理和分析。免费的集成模式可以满足大多数环境的需求,实时创建微软 Sentinel 事件,帮助快速响应安全事件。
- 导出额外数据 :根据实际需求,将微软 Defender for Cloud 的漏洞评估结果、安全分数和监管合规消息等额外数据导出到 Azure Log Analytics 工作区,进行更深入的分析和监控。
- 优化成本 :在使用微软 Sentinel 时,注意根据服务器的日志使用量合理规划,避免不必要的成本支出。可以通过调整 Azure 监视器警报规则的周期和频率来降低成本。
13. 未来趋势与展望
随着云计算和数字化转型的不断发展,企业面临的安全威胁也日益复杂。微软 Defender for Cloud 和微软 Sentinel 作为强大的安全工具,也将不断发展和完善,以应对未来的安全挑战。
技术创新
- 人工智能与机器学习 :未来,微软可能会进一步将人工智能和机器学习技术应用到漏洞评估和安全信息管理中,实现更智能的漏洞检测和威胁分析。例如,通过对大量安全数据的学习和分析,自动识别潜在的安全风险,并提供更精准的修复建议。
- 自动化响应 :除了自动化部署,安全工具还将朝着自动化响应的方向发展。当检测到安全事件时,系统可以自动采取措施进行修复或隔离,减少人工干预的时间和成本。
合规性要求
- 不断变化的法规 :随着全球各地对数据安全和隐私的重视,相关的法规和合规要求也在不断变化。微软 Defender for Cloud 和微软 Sentinel 将需要不断更新和完善,以满足新的合规性要求,帮助企业轻松应对各种监管挑战。
- 行业特定需求 :不同行业对安全的要求也有所不同,未来的安全工具可能会提供更多针对特定行业的功能和解决方案,满足行业特定的合规性和安全需求。
14. 常见问题解答
为了帮助大家更好地理解和使用微软 Defender for Cloud 和微软 Sentinel,下面列出一些常见问题及解答。
漏洞评估相关问题
-
问
:漏洞扫描器是否支持所有类型的服务器?
答 :不是的,漏洞扫描器仅适用于运行代理的设备,并且有些服务器可能因为是 AKS 集群中的镜像、属于虚拟机规模集 (VMSS) 或未运行集成漏洞扫描器支持的操作系统之一,而无法部署漏洞扫描器扩展。 -
问
:扫描间隔可以自定义吗?
答 :目前扫描间隔为每 4 小时,且不可配置。但可以通过触发按需扫描来进行额外的安全检查。
微软 Sentinel 相关问题
-
问
:将微软 Defender for Cloud 与微软 Sentinel 集成需要额外付费吗?
答 :免费的集成模式不会产生微软 Sentinel 数据摄入费用,但如果选择导出额外数据,可能会产生 Azure Log Analytics 以及可能的微软 Sentinel 按 GB 计算的基于卷的处理费用。 -
问
:微软 Sentinel 可以处理多少数据量?
答 :微软 Sentinel 可以处理大规模的数据量,但具体的处理能力会受到多种因素的影响,如服务器配置、数据复杂度等。在使用时,需要根据实际情况进行合理规划。
15. 结论
微软 Defender for Cloud 和微软 Sentinel 为企业提供了全面的安全防护解决方案,从漏洞评估到安全信息管理,帮助企业及时发现和应对各种安全威胁。通过合理使用这些工具,并遵循最佳实践建议,企业可以提升自身的安全防护水平,满足不断变化的合规性要求。同时,随着技术的不断发展,这些工具也将不断创新和完善,为企业的数字化转型提供更强大的安全保障。
在实际应用中,企业应根据自身的需求和环境,选择合适的功能和配置,充分发挥这些工具的优势。希望本文能够帮助大家更好地理解和使用微软的安全工具,为企业的安全保驾护航。
graph LR
A[漏洞评估] --> B[定期扫描]
A --> C[自动化部署]
A --> D[关注高风险漏洞]
A --> E[合理使用豁免功能]
F[安全信息管理] --> G[集成微软 Sentinel]
F --> H[导出额外数据]
F --> I[优化成本]
B --> J[提升安全防护]
C --> J
D --> J
E --> J
G --> J
H --> J
I --> J
以上表格和流程图再次总结了漏洞评估和安全信息管理的关键要点以及它们对提升安全防护的作用,希望能帮助大家更好地理解和应用这些知识。
扫一扫
46
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
