SIEM ханипот с помощью Sentinel Azure

Система мониторинга ИБ SIEM Sentinel Azure

Microsoft Azure — это платформа предоставляющая ряд облачных сервисов. Azure используется для создания, развертывания и управления приложениями и сервисами. Microsoft Sentinel — это облачное решение для SIEM и SOAR на базе Azure. В статье покажу, как настроить и использовать Sentinel в Microsoft Azure для создания системы мониторинга ИБ-инцидентов (SIEM).

Еще по теме: Мониторинг событий в macOS с помощью ESF

Что такое SIEM

SIEM (Security Information and Event Management) – это система, объединяющая в себе средства сбора, анализа и корреляции информации об угрозах и инцидентах безопасности в реальном времени. Она позволяет выявлять аномальные активности, атаки и несанкционированный доступ, а также анализировать данные для принятия управленческих решений по усилению защиты.

Система мониторинга ИБ (SIEM) используя Sentinel Azure

Sentinel обеспечивает централизованный мониторинг и анализ безопасности для обнаружения и реагирования на угрозы кибербезопасности. Он интегрируется с другими решениями безопасности Microsoft и использует искусственный интеллект и машинное обучение для расширенного обнаружения угроз.

Настройка виртуальной машины в Azure

В первую очередь необходимо создать виртуальную машину в Microsoft Azure, которая будет открыта для доступа в Интернет в качестве ханипота (приманки), и в будущем будет атакована злоумшылениками.

Имя группы — Honeypotlab, а виртуальная машина на Windows 10 будет называться — Honeypot-vm.

Настройка виртуальной машины в Azure

Изменение правил брандмауэра для разрешения трафика

Откройте вкладку Networking (Сеть) и настройте новые правила брандмауэра так, чтобы все было открыто для доступа из Интернета. Цель сделать эту виртуальную машину максимально видимой и легко обнаруживаемой любыми возможными способами. Таким образом, независимо от того, используют ли злоумышленники TCP-пинги, SYN-сканирование или ICMP-пинги, они смогут быстро ее обнаружить.

Изменение правил брандмауэра для приема всего трафика

Я установил * для порта назначения, открыв все порты. Также изменил  Priority (Приоритет) на 100, и назвал это правило MENACE_ANY_IN.

Изменение правил файрвола для приема всего трафика

Таким образом, я удалил стандартное правило входящих сообщений и создал собственное правило, которое разрешает все.

Изменение правил файрвола для приема всего трафика

Создание рабочего пространства Log Analytics

В этом разделе я создал рабочее пространство Log Analytics с именем log-honeypot для получения журналов с виртуальной машины, таких как журналы событий Windows. Я создал пользовательский журнал, содержащий географическую информацию, чтобы определить местоположение злоумышленников.

Создание рабочего пространства Log Analytics

Настройка Sentinel

Я настроил Microsoft Sentinel, SIEM, используемый для визуализации данных об атаках, а затем выбрал рабочее пространство анализа логов, к которому хотел подключиться, — «log-honeypot».

Настройка Sentinel

Подключение к ВМ через удаленный рабочий стол

Подключение к «Honeypot-vm» через удаленный рабочий стол (RDP)

Подключение к ВМ через удаленный рабочий стол

Первая попытка входа не удалась.

Подключение к ханипоту через удаленный рабочий стол

Войдя в систему, я перешел в меню Start (Пуск) → Event Viewer (Просмотр событий).

Здесь в Event Viewer мы видим событие Audit Failure Event ID 4625, на котором я сосредоточил свое внимание в рамках данного проекта. Audit Failure и Event ID 4625 — это событие безопасности, которое говорит о неудачной попытке входа учетной записи.

Подключение к системе мониторинга ИБ с помощью Sentinel Azure

Я попытался снова войти в систему с недопустимым именем пользователя johnfail10.

Подключение к SIEM с помощью Sentinel Azure

Подключение к SIEM используя Sentinel Azure

Затем я открыл свойства события для дальнейшего изучения, и увидел попытку входа johnfail0, которое является именем пользователя, с которым я пытался войти в систему. Также видна причина сбоя: «Неизвестное имя пользователя или неверный пароль». Я пытался войти в систему с рабочей станции JBTECH, а Source Network Address — это мой IP-адрес, с которого я пытался войти в виртуальную машину.

Подключение к SIEM Sentinel Azure

Event Viewer можно использовать после того, как меня обнаружат в Интернете. Здесь будут отображаться все их IP-адреса. Далее программно с помощью PowerShell я взял IP-адрес, показанный выше, затем использовал IP Geolocation API для создания пользовательского журнала, отправил этот журнал в рабочее пространство Log Analytics в Azure и использовал Sentinel SIEM для считывания страны, долготы и широты, чтобы определить злоумышленников.

Запуск скрипта для получения геопозиции

Этот скрипт PowerShell содержит все события журнала событий — Security Log, фиксирует все события неудачных попыток входа в систему и создает новый файл журнала. Я добавил свой API-ключ и запустил скрипт.

Фиолетовый цвет появляется, когда в окне просмотра событий включен журнал неудачных попыток входа. Скрипт ищет в Event Viewer события 4625 неудачных входов в систему, извлекает их и использует API для получения данных геопозиции. Затем создается файл журнала неудачных попыток входа под названием failed_rdp.

Последняя строка — это неудачный вход johnfail0, с предыдущей попытки входа в систему. Все вышеприведенное — это пример данных, которые я буду использовать для обучения рабочей среды Log Analytics тому, что нужно искать в файле журнала.

Запуск скрипта для получения геоданных

Запуск скрипта для получения геоданных

Используя недопустимые имена пользователей johnfail2 и johnfail4, я создал еще три события неудачного входа в систему, которые отобразились фиолетовым цветом и были отправлены в файл журнала failed_rdp.

Система мониторинга ИБ инцидентов

Система мониторинга ИБ инцидентов

Система мониторинга инцидентов ИБ

Как уже упоминалось, я использовал данные выборки из файла журнала failed_rdp для создания пользовательского журнала в рабочем пространстве Log Analytics, что позволит мне обучить его выводить пользовательский журнал такого типа с данными геолокации.

Мой запрос исключит данные выборки и все, что связано с хостом выборки, чтобы предотвратить их появление, когда SIEM honeypot будет полностью функционировать.

Мониторинг инцидентов ИБ

Мониторинг инцидентов ИБ

Я выполнил приведенный ниже запрос для проверки Security Event для журналов событий Windows, и он отобразил все неудачные попытки входа по RDP.

Siem безопасность

SIEM vm

SIEM виртуальная машина

Я выполнил следующий запрос, и он отобразил все данные выборки и последние попытки, в которых не удалось войти в систему:

Создание пользовательских полей SIEM

Создание пользовательских полей

Я взял исходные данные и извлек из них определенные поля, чтобы создать поля долготы, широты, страны, временной метки и другие поля.

Создание пользовательских полей SIEM

Тестирование извлеченных полей из необработанных данных

Я протестировал извлечение полей из необработанных данных пользовательского журнала, вернувшись на виртуальную машину и намеренно не сумев войти в систему. Затем я выполнил запрос Failed_RDP, чтобы убедиться, что журналы поступают и правильно анализируются.

Тестирование извлеченных полей из необработанных данных

Тестирование извлеченных полей из необработанных данных

Настройка карты с указанием страны

Я настроил параметры карты, чтобы установить геокарту. Назвал карту Filed RDP World Map.

Настройка карты с указанием долготы, долготы и страны

Настройка SIEM

Создание SIEM

После настройки карты я подождал от 30 минут до часа, чтобы посмотреть, обнаружили ли ВМ другие пользователи.

В нижней части карты видно, где мне не удалось войти в ВМ четыре раза из США и IP-адрес. Журнал синхронизировался с рабочей областью Log Analytics, был запущен запрос в Sentinel, и мы увидим постепенное увеличение, отображаемое на карте при каждой неудачной попытке входа в виртуальную машину honeypot.

Sentinel Siem

Хакеры начинают атаку на ханипот

Проверив мой сценарий PowerShell, мы видим, что пользователи на Филиппинах обнаружили мою ВМ и пытаются взломать ее.

Со временем вы увидите все больше попыток входа в удаленный рабочий стол от людей, пытающихся войти в ВМ honeypot с различными именами пользователей из разных точек мира.

Sentinel Siem Azure

Sentinel Siem Azure

Sentinel Siem Azure

Заключение

Azure Sentinel представляет собой мощное средство для создания системы мониторинга ИБ, обеспечивая высокий уровень защиты организации от киберугроз. Правильная настройка и использование данного инструмента позволяет оперативно реагировать на инциденты и повышает общий уровень информационной безопасности.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий