问调查Azure应用服务中潜在的漏洞

EN

更多的东西是必需的

为了让数据搜索或“点击倒带按钮”，您必须拥有优秀的日志。哨兵是伟大的，但你需要更多的基础设施实现，以利用，然后配置哨兵。

1.设置一个“日志分析工作区”，检查Azure区域的需求，并匹配两个允许您拥有“日志分析工作区”和“自动化帐户”的区域。

• 启用审计是一项要求。必须在Linux、Windows或App资源上启用环境中的审核。启用所有可以进行的审核。如果您指定了您的资源，我可以添加一个响应，说明如何对它们启用审核或提供链接。

2.增加虚拟机监视扩展。根据您的服务器/工作站资源，您需要在“日志分析工作区”中添加用于监视资源和使用这些机器上的本地日志的扩展。关键日志是安全日志。如果无法在工作区中使用安全日志，则所有这些都是为了不使用安全日志。

• 您可以通过将试用版'Security‘提高到'Standard’>启用监视策略>监视将在所有计算机上实现，从而启用对所有VM资源的监视。
• 您可以通过转到VM中的“诊断设置”刀片并选择“启用客户级监视”来启用监视。
• 您可以通过在所有或部分VM上使用.json模板来启用监视。

3.保安中心内部；

• 分配默认策略。您将得到默认的ASC (Azure Security )策略，这也将用于安装VM的Azure监视扩展
• 进入‘工作流自动化’刀片，并创建一个警报配置文件与所有严重选择。
• Goto 'Security‘>定价$ Settings >数据收集.点击“所有事件”单选按钮并保存配置。

4.预防措施

• Goto Azure Active Directory和enable 2FA或微软称之为MFA的所有Azure Portal用户。它将迫使每个人建立2FA使用他们的电话或和外部电子邮件不同的域名，用于注册您的订阅。
• 如果您有windows服务器环境，请设置域控制器并将所有计算机连接到域。使用组策略打开对所有机器的安全日志等的审核。下载扩展组策略特性的admx文件，并使用GPO在所有机器上启用所有高级审核。这是弄清楚到底发生了什么的唯一方法。很多原木。

5.配置哨兵

• 添加哨兵并将其指向您的日志分析工作区，同时，将您的AAD和Azure IAM对象指向您的“日志分析工作区”，这将帮助您理解通过powershell、门户、bash或ACLI到Azure的所有身份验证。

6. Goto‘诊断设置’刀片

• 希望您有NSG (网络安全组)与我们的虚拟交换机中的每个子网相关联，以及与每个公共IP相关联的NSG。前往每个NSG和公共IP，并将其指向“日志分析工作区”

7.哨兵和ASC

• 下载所有适用的剧本。你可以在剧本和工作簿的刀片上这样做。你现在可以用这些剧本来寻找你的信念的行为。记住，在狩猎时，要寻找事实来支持事实，而不是属性或项目来支持你的信念。不要成为“确认偏见”的牺牲品

这会让你开始。Azure中的几乎每个对象/服务都有某种诊断设置，您可以指向“日志分析工作区”，也可以捕获发送到“日志分析工作区”的流量。哨兵只能根据你给它的东西来检测。我说，给它流量，它会大大膨胀工作日志，你只为存储付费，但这是值得的。

祝好运。我希望你没有被妥协，这是非常基本的反应是有帮助的。谷歌想通过更多的方法来检测和接收警报，这种反应只是在掠过表面。