SIEM AzureActivity, SignIn Log Data Explore

SIEM AzureActivity, SignIn Log Data Explore === # SignIn Log ![](https://i.imgur.com/lbTSeLM.png) - 登入事件分布 - 已SG/Central Singapore占登入事件最大宗，破50% - 其次才是員工數最多的TW/Taipei - 現象主因為：大量自動化使用的帳號產生相對巨量的登入事件 - ![](https://i.imgur.com/7ruC0lJ.png) # SignIn Track Process ## Process Flow ![](https://i.imgur.com/ngfHS4u.png) - ITU9 使用identity protection功能識別風險並且收到通知，每天通知信件約3-5封 - 通知Local SSC與潛在受害者確認是否正常為登入，一小時內需要回報是否正常 - 通知SoC頻道，Local IT收到通知後將協助潛在受害者排除高風險登入異常事件 - 若未能一小時內聯絡成功或回報確認異常，Local SSC回報Security Admin將此帳號狀態設為「確認使用者遭到盜用」 - Security Admin暫時停用受害者帳號 ## Issues - Azure Identity Protection功能 + 目前ITU9工作流程，提供基本的高風險異常登入事件處理流程，Sentinel工具的切入點是什麼？ - 自動化通報Local支援團隊的流程 - 評估自動化disable方式 - from reactive to proactive - 可能的整合想法： - https://cgnet.com/blog/working-with-azure-sentinel-and-azure-ad-identity-protection/ - https://jeffreyappel.nl/stream-azure-ad-identity-protection-events-to-azure-sentinel-log-analytics/ - 結合Sentinel，特定風險等級的高風險帳號透過整合policy要求高風險帳號使用者重設密碼或是要求啟用MFA - identity proctection功能 ![](https://i.imgur.com/burstbk.png) - 僅觀察risk event，高風險的型態有4種類型 - unfamiliarFeatures, unlikelyTravel為大宗 - 皆為相似的風險型態，皆為相比過去行為中差異過大 - 每日事件約20-30件，以高風險事件整合處理流程，1個人力可能處理不完，要挑選優先順序進行 ## Ref - Risk Event Definition - https://learn.microsoft.com/en-us/graph/api/resources/riskdetection?view=graph-rest-1.0#riskeventtype-values # SIEM and SOAR ## Problem - SIEM/SOC 小組常會週期性地面臨大量安全性警示和事件，其數量之大，讓可用人力疲於應付。這往往會導致許多警示遭到忽略，以及許多事件未受到調查，讓組織容易不知不覺地遭受攻擊。 - 傳統SOC處理方式在發現入侵（Time to Detect，TTD）和有效回應（Time to Response，TTR）所需的平均時間長，該時間給駭客有足夠時間佈局攻擊。 - 因此，預警、預測、預防的提前主動性更為重要 ## Process Flow ![](https://i.imgur.com/omjpfmt.png) - 事件應依據風險或嚴重程度被分級（高中低） - Phase I - 3個情境（Cognos, SharePoint, EBS）依照目前使用者關注程度，應皆暫時設置為低。PEM終端使用者非常低頻（每個月)關注資料甚至有問題才會問，在查詢發生後留下記錄備查即可。後續讓IT端Resource Admin, Project Owner等角色定期與PEM團隊是否有異常在決定是否持續追或者協助調查 - Phase II - 2個情境(SignIn, AzureActivity)應設定為中或高，主要是目前已發生過類似資訊安全事件。藉由使用Sentinel中的統一incident管理事件畫面可以： - ![](https://i.imgur.com/KuyFujT.png) - 統一管理incident事件留下處理記錄 - 明確指派Owner處理事件與事件狀態管理 - 各項管理指標明確地追蹤SoC performance - Current Process Flow ![](https://i.imgur.com/ng1wCzb.png) - Next Phase Process Flow ![](https://i.imgur.com/7vCOpyG.png) ## Issues - 自動依據事件建立incident容易，目前問題在於incident資訊量不足，要嘗試將告警資料也一併帶入incident供參考 - 待試如何加入SoC Admin, Azure Resource Admin進入Sentinel Incident Management頁面 - 測試取得AAD角色description ## Future Plan ![](https://i.imgur.com/5ibpJ71.png) - 被動轉主動 - 從單向變多項、自動 - 智能化 ## Ref - https://www.issdu.com.tw/perspective_detail.php?id=32 - https://www.ithome.com.tw/article/139571 - https://learn.microsoft.com/zh-tw/azure/sentinel/automation