轻松斩断信息安全黑手!就这?

针对企业云端安全监控的这一重要需求，我们设计了一套可以一键部署，也可以动态调整的安全监控模板方案，希望可以给客户带来最直观的安全监控方案以及后续深入调查的..，并通过一系列文章进行了全面介绍。

在本系列的第一篇，我们介绍了如何监控和分析全网环境的网络日志（点击这里回看）；

第二篇文章中，我们在前一篇的基础上介绍了如何通过利用 Network Watcher，NSG 等网络端组件的日志分析具体行为，来定位企业云环境中的高危服务器（点击这里回看）；

本篇作为这系列的最后一篇，将继续推进，向大家介绍在确定了高危机器之后，又该如何从分析日志着手，进一步调查可能存在的安全问题。

书接上文，首先登录到通过上文方法定位的高危机器，打开安全中心后，检查发现，这台机器确实建立了可疑 IP 地址的出站连接，这属于一种典型的异常行为：

注意

对于云端 Windows 机器，在性能允许的情况下，强烈建议开启Windows VM Microsoft Anti-Malware，这个扩展可有效阻止恶意程序执行。否则在不开启安全中心内置的一系列主动安全防御功能的前提下，虽然面对类似情况安全中心也会报警，但并不会拦截恶意行为。另外对于一些高级攻击手段，Antimalware 也无法有效拦截，此时往往需要进一步使用 Microsoft Defender for Endpoint 来实现联动的全局保护。

接下来，我们将根据监控面板里提供的默认情况进一步深入调查。

对于 Linux 机器，在面板上我们主要依赖事件的严重等级，这种方式虽然没有 Security Event 那样完备，但这是目前相对比较有参考意义的一部分数据了。

随后我们可以参考这个模板的语句，分别对于 SeverityLevel 为 alert、crit 等的日志用 where 进行筛选即可：

从身份登录检查可以发现，除了有很多“4625”代表被暴力破解的痕迹外，还有一些“4672”代表有极大威胁的提权。因此我们需要调查这些提权操作是如何被发起的。这里可以先点击当前事件，随后即可看到详情：

仔细检查可以发现：该事件首先使用 Local Admin 为 sshd 相关账号分配了一些特权，然后借助这些 sshd 账号，利用 SelmpersonatePrivilege 权限执行了进一步操作，如通过 DCOM 调用使服务向攻击者监听的端口发起连接并进行 NTLM 认证等。

所以接下来就需要看看这些奇怪的账号是怎么来的，是通过什么方式执行了这些操作。

SecurityEvent
| where EventID == "4624"| where AccountType == "User"| where Account contains "sshd"

这里我们可以非常简便地对包含“sshd”字样的用户搜索其登录成功的痕迹：

接下来我们再来看看，对于进程的调查，从默认仪表板上，我们可以最直接地看到以下信息：

在进程部分可以发现很多不同维度的分析，并且需要跟业务部门的工作习惯、IT 部门的人员组成等相关联进行分析。比如上图的示例环境中可以看到，在 BigDataS 这台机器上，在一个非工作时间，有不同于其他机器比例的 cmd 运行次数。根据以上信息，就需要与 IT 和业务部门的同事一起讨论看看这种情况是否正常。

除了在面板上看到的有关进程的信息，安全中心页面上还提供了很多在狩猎阶段大家都关心的维度，建议利用以下这些洞察对服务器上的进程进行摸排和了解：

这一系列文章就此全部完结。本系列内容意在向大家介绍如何利用云原生监控..，从网络端出发监控环境内南北向、东西向的流量并进行洞察分析，定位到一部分存在风险的服务器，并结合监控..对于终端的洞察力，加上微软强大的终端监控防御武器 Azure Defender + Microsoft Antimalware，借此大幅提高客户对云环境的安全可见性。

希望这些信息能带给大家帮助和启发。