有效的 Active Directory 监控和警报 |第 4 部分 #NCSAM - Microsoft 平台管理 - 博客 - Quest 社区

现在是我们将注意力转向监控 Active Directory 环境中的变化和可疑行为并发出警报的时候了。这是我的国家网络安全意识月系列的第 4 部分，重点关注Active Directory 安全指导原则。

到目前为止，在本系列中，我们已经讨论了如何通过清理用户和组、执行定期审查以及对组策略对象 (GPO) 应用最佳实践来减少 Active Directory 安全攻击面。然而，即使您严密防范外部威胁，不良行为者仍然可以通过社会工程和网络钓鱼等策略或招募内部威胁的内部人员（只需仔细阅读 U.S.司法部知识产权工作组新闻提要）。

以下是我的系列文章的全部内容，其中包含已发布的系列文章的链接：

• 第 1 部分：IT 安全就是国家安全
• 第 2 部分：减少攻击面
• 第 3 部分：经常重新审视组策略管理
• 第 4 部分：持续警惕，又称监控和警报
• 第 5 部分：快速调查、修复和恢复

开启监控和警报！

对 Active Directory 保持持续警惕

关于 Active Directory 安全性，您已经听得够多了 - 您必须持续监视或防范威胁。 “CONSTANT VIGILANCE”一词来自 J.K. 的《哈利·波特》系列丛书。罗琳，特别是怪异偏执的傲罗阿拉斯托“疯眼汉”穆迪喊出的。这个角色的讽刺之处在于，在首部小说（《哈利·波特与火焰杯》）的大部分内容中，穆迪实际上不是穆迪，而是一个利用他的形象进入霍格沃茨并绑架大难不死的男孩的人。

您是否发现与 Active Directory 中的不良行为者有相似之处？帐户受损。冒充内部人士。存心做坏事吗？

当您考虑担任 Active Directory 管理员来保护网络安全时，请记住，攻击者窃取您组织的知识产权所需的只是一个帐户、权限和访问权限。

另请记住，Microsoft 报告称，每天有 9500 万个 AD 帐户成为网络攻击的目标2，每天有 1000 万次 Azure AD 登录尝试属于网络攻击。3

持续警惕的问题

许多组织已经通过特定的 AD 审核工具或 SIEM 解决方案来使用 Active Directory 监控和警报。问题不在于收集数据，而在于如何理解数据。毕竟，您收集的绝大多数审核数据代表正常、合法的活动，例如成功登录和授权数据访问事件。异常活动所占比例非常小，真正可疑的活动所占比例甚至更小。如何将信号与噪声隔离？

方法#1：基于规则的威胁检测

大多数威胁检测工具使用规则来识别可能涉及的特定事件。例如，当用户在五分钟内尝试进行七次身份验证但均失败时，或者在将用户添加到敏感安全组时，规则可以触发警报。

但是，虽然基于规则的策略肯定会提醒您一些潜在的威胁，但它有几个严重的缺点：

• 它产生太多误报。
• 它仅捕获规则定义的活动，并且不捕获该规则之外的异常活动
• 规则需要不断调整。

方法#2：基于模式的威胁检测

基于模式的威胁检测不依赖安全分析师预先识别威胁条件并对单个事件发出警报，而是使用模型和基线仅在某些情况确实超出正常范围时发出警报。具体来说，基于模式的检测采用机器学习来快速建立用户、设备、应用程序等之间的行为相似性，并根据正常活动的背景识别异常值或异常模式。

有效的 Active Directory 监控和警报

在评估 Active Directory 的用户威胁检测解决方案时，请牢记您的更大目标。您需要一个解决方案，使您能够发现表明系统或帐户受损、数据泄露或渗漏或内部滥用的异常活动，同时产生相对较少的误报。它还应该帮助您首先关注最大的威胁，并为您提供及时完成调查以防止或至少限制损害所需的信息。

以下是帮助您实现这些目标的解决方案中需要寻找的关键功能：

• 高级用户和实体行为分析 (UEBA) - 寻找一种解决方案，可以分析历史数据以创建用户行为基线，然后使用持续的传入数据流来更新和改进这些模型（未创建规则）。
• 数据丰富和关联 - 寻找一种解决方案，将事件关联起来，将多个异常和支持信息统一到单个警报中，以减少警报数量并促进分析。
• 风险评分和优先级 - 应按风险级别对潜在威胁进行优先级排序，以确保分析师能够首先识别和调查最严重的威胁。
• 清晰的上下文信息 - 应呈现每个潜在威胁以显示事件的顺序及其关系，以便于快速调查和响应。
• 分析师输入 - 该解决方案应使分析师能够提供反馈到风险评分和优先级模型中的输入。

下一步

正确检测威胁对于保持警惕非常重要。找到一种威胁检测解决方案至关重要，该解决方案可以专注于异常模式并减少合法活动产生的误报噪音。 Change Auditor 威胁检测是一种先进的安全解决方案，它使用先进的机器学习、UEBA、异常检测、事件关联和风险评分技术来识别环境中的真正威胁并促进快速、有效的响应。

如果您认为没有人真正试图侵入您的 AD，或者您知道他们确实试图侵入您的 AD，并且您正在尝试了解原因，那么请观看点播网络广播，该广播探讨了为什么您在保护组织安全方面的角色确实与以下问题有关：国家安全。

资料来源：

• 照片由 Caleb Oquendo 拍摄，来自 Pexels.com
• https://www.zdnet.com/article/active-directory-czar-rallies-industry-for-better-security-identity/
• https://news.softpedia.com/news/microsoft-sees-over-10-million-cyberattacks-per-day-on-its-online-infrastruct-503774.shtml