From 3eac812b9c915fee61bc7f5bbd8ed15a8a1f0ef4 Mon Sep 17 00:00:00 2001 From: Translator Date: Fri, 21 Mar 2025 09:34:32 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-services/az-defender --- .../azure-security/az-services/az-defender.md | 37 +++++++ .../az-services/az-monitoring.md | 104 ++++++++++++++++++ .../azure-security/az-services/az-sentinel.md | 42 +++++++ 3 files changed, 183 insertions(+) create mode 100644 src/pentesting-cloud/azure-security/az-services/az-defender.md create mode 100644 src/pentesting-cloud/azure-security/az-services/az-monitoring.md create mode 100644 src/pentesting-cloud/azure-security/az-services/az-sentinel.md diff --git a/src/pentesting-cloud/azure-security/az-services/az-defender.md b/src/pentesting-cloud/azure-security/az-services/az-defender.md new file mode 100644 index 000000000..94c0a5499 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-services/az-defender.md @@ -0,0 +1,37 @@ +# Az - Defender + +{{#include ../../../banners/hacktricks-training.md}} + +## Microsoft Defender for Cloud + +Microsoft Defender for Cloud एक व्यापक सुरक्षा प्रबंधन समाधान है जो Azure, ऑन-प्रिमाइसेस, और मल्टी-क्लाउड वातावरणों में फैला हुआ है। इसे एक Cloud-Native Application Protection Platform (CNAPP) के रूप में वर्गीकृत किया गया है, जो Cloud Security Posture Management (CSPM) और Cloud Workload Protection (CWPP) क्षमताओं को जोड़ता है। इसका उद्देश्य संगठनों को **क्लाउड संसाधनों में गलत कॉन्फ़िगरेशन और कमजोर स्थानों** को खोजने, समग्र सुरक्षा स्थिति को मजबूत करने, और Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), हाइब्रिड ऑन-प्रिमाइसेस सेटअप और अधिक में विकसित हो रहे खतरों से कार्यभार की रक्षा करने में मदद करना है। + +व्यावहारिक रूप से, Defender for Cloud **सुरक्षा सर्वोत्तम प्रथाओं और मानकों के खिलाफ आपके संसाधनों का निरंतर मूल्यांकन करता है**, दृश्यता के लिए एक एकीकृत डैशबोर्ड प्रदान करता है, और हमलों की चेतावनी देने के लिए उन्नत खतरा पहचान का उपयोग करता है। मुख्य लाभों में **क्लाउड में सुरक्षा का एकीकृत दृश्य**, उल्लंघनों को रोकने के लिए कार्यात्मक सिफारिशें, और एकीकृत खतरा सुरक्षा शामिल है जो सुरक्षा घटनाओं के जोखिम को कम कर सकती है। AWS और GCP और अन्य SaaS प्लेटफार्मों का स्वदेशी समर्थन करके और ऑन-प्रिमाइसेस सर्वरों के लिए Azure Arc का उपयोग करके, यह सुनिश्चित करता है कि आप सभी वातावरणों के लिए **एक स्थान पर सुरक्षा प्रबंधन कर सकें**। + +### Key Features + +- **Recommendations**: इस अनुभाग में निरंतर आकलनों के आधार पर कार्यात्मक सुरक्षा सिफारिशों की एक सूची प्रस्तुत की गई है। प्रत्येक सिफारिश में पहचाने गए गलत कॉन्फ़िगरेशन या कमजोरियों की व्याख्या की गई है और सुधार के कदम प्रदान किए गए हैं, ताकि आप जान सकें कि अपने सुरक्षित स्कोर को सुधारने के लिए क्या ठीक करना है। +- **Attack Path Analysis**: Attack Path Analysis आपके क्लाउड संसाधनों के बीच संभावित हमले के मार्गों को दृश्य रूप से मानचित्रित करता है। यह दिखाकर कि कमजोरियाँ कैसे जुड़ती हैं और उनका शोषण कैसे किया जा सकता है, यह आपको इन मार्गों को समझने और तोड़ने में मदद करता है ताकि उल्लंघनों को रोका जा सके। +- **Security Alerts**: Security Alerts पृष्ठ आपको वास्तविक समय के खतरों और संदिग्ध गतिविधियों की सूचना देता है। प्रत्येक अलर्ट में गंभीरता, प्रभावित संसाधनों, और अनुशंसित कार्यों जैसे विवरण शामिल होते हैं, यह सुनिश्चित करते हुए कि आप उभरती समस्याओं का त्वरित उत्तर दे सकें। +- Detection techniques are based on **threat intelligence, behavioral analytics and anomaly detection**. +- यह संभव है कि सभी संभावित अलर्ट https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference में पाए जाएं। नाम और विवरण के आधार पर यह जानना संभव है कि **अलर्ट क्या खोज रहा है** (इसे बायपास करने के लिए)। +- **Inventory**: Inventory अनुभाग में, आप अपने वातावरणों में सभी निगरानी किए गए संपत्तियों की एक व्यापक सूची पाते हैं। यह प्रत्येक संसाधन की सुरक्षा स्थिति का त्वरित दृश्य प्रदान करता है, जिससे आप बिना सुरक्षा या जोखिम वाले संपत्तियों को जल्दी से पहचान सकते हैं जिन्हें सुधारने की आवश्यकता है। +- **Cloud Security Explorer**: Cloud Security Explorer एक क्वेरी-आधारित इंटरफ़ेस प्रदान करता है ताकि आप अपने क्लाउड वातावरण की खोज और विश्लेषण कर सकें। यह आपको छिपे हुए सुरक्षा जोखिमों को उजागर करने और संसाधनों के बीच जटिल संबंधों का पता लगाने की अनुमति देता है, जिससे आपकी समग्र खतरा-शिकार क्षमताएँ बढ़ती हैं। +- **Workbooks**: Workbooks इंटरैक्टिव रिपोर्ट हैं जो आपकी सुरक्षा डेटा को दृश्य रूप में प्रस्तुत करती हैं। पूर्व-निर्मित या कस्टम टेम्पलेट्स का उपयोग करके, ये आपको रुझानों की निगरानी करने, अनुपालन को ट्रैक करने, और समय के साथ अपने सुरक्षित स्कोर में परिवर्तनों की समीक्षा करने में मदद करती हैं, जिससे डेटा-आधारित सुरक्षा निर्णय लेना आसान हो जाता है। +- **Community**: Community अनुभाग आपको साथियों, विशेषज्ञ फोरम, और सर्वोत्तम प्रथाओं के मार्गदर्शिकाओं से जोड़ता है। यह दूसरों के अनुभवों से सीखने, समस्या निवारण सुझाव खोजने, और Defender for Cloud के नवीनतम विकास पर अद्यतित रहने के लिए एक मूल्यवान संसाधन है। +- **Diagnose and Solve Problems**: यह समस्या निवारण केंद्र आपको Defender for Cloud की कॉन्फ़िगरेशन या डेटा संग्रह से संबंधित मुद्दों की पहचान और समाधान में तेजी से मदद करता है। यह सुनिश्चित करने के लिए मार्गदर्शित निदान और समाधान प्रदान करता है कि प्लेटफ़ॉर्म प्रभावी ढंग से कार्य करता है। +- **Security Posture**: Security Posture पृष्ठ आपके समग्र सुरक्षा स्थिति को एकल सुरक्षित स्कोर में संकलित करता है। यह आपको यह जानने में मदद करता है कि आपके क्लाउड के कौन से क्षेत्र मजबूत हैं और कहाँ सुधार की आवश्यकता है, आपके वातावरण की त्वरित स्वास्थ्य जांच के रूप में कार्य करता है। +- **Regulatory Compliance**: यह डैशबोर्ड आपके संसाधनों के उद्योग मानकों और नियामक आवश्यकताओं के प्रति कितनी अच्छी तरह से अनुपालन करता है, इसका मूल्यांकन करता है। यह PCI DSS या ISO 27001 जैसे बेंचमार्क के खिलाफ अनुपालन स्कोर दिखाता है, जिससे आप अंतराल को पहचान सकते हैं और ऑडिट के लिए सुधार को ट्रैक कर सकते हैं। +- **Workload Protections**: Workload Protections विशिष्ट संसाधन प्रकारों (जैसे सर्वर, डेटाबेस, और कंटेनर) की सुरक्षा पर ध्यान केंद्रित करता है। यह बताता है कि कौन से Defender योजनाएँ सक्रिय हैं और प्रत्येक कार्यभार के लिए सुरक्षा बढ़ाने के लिए अनुकूलित अलर्ट और सिफारिशें प्रदान करता है। यह विशिष्ट संसाधनों में दुर्भावनापूर्ण व्यवहारों को पहचानने में सक्षम है। +- यह भी **`Enable Microsoft Defender for X`** विकल्प है जिसे आप कुछ सेवाओं में पा सकते हैं। +- **Data and AI Security (Preview)**: इस पूर्वावलोकन अनुभाग में, Defender for Cloud अपने सुरक्षा को डेटा स्टोर्स और AI सेवाओं तक बढ़ाता है। यह सुरक्षा अंतराल को उजागर करता है और संवेदनशील डेटा की निगरानी करता है, यह सुनिश्चित करते हुए कि आपके डेटा भंडार और AI प्लेटफार्म दोनों खतरों से सुरक्षित हैं। +- **Firewall Manager**: Firewall Manager Azure Firewall के साथ एकीकृत होता है ताकि आपको अपने नेटवर्क सुरक्षा नीतियों का केंद्रीकृत दृश्य मिल सके। यह फ़ायरवॉल तैनाती को प्रबंधित और निगरानी करना सरल बनाता है, यह सुनिश्चित करते हुए कि आपके वर्चुअल नेटवर्क में सुरक्षा नियमों का लगातार अनुप्रयोग हो। +- **DevOps Security**: DevOps Security आपके विकास पाइपलाइनों और कोड रिपॉजिटरी के साथ एकीकृत होता है ताकि सॉफ़्टवेयर जीवनचक्र में सुरक्षा को प्रारंभिक रूप से शामिल किया जा सके। यह कोड और कॉन्फ़िगरेशन में कमजोरियों की पहचान करने में मदद करता है, यह सुनिश्चित करते हुए कि विकास प्रक्रिया में सुरक्षा शामिल है। + +## Microsoft Defender EASM + +Microsoft Defender External Attack Surface Management (EASM) निरंतर **आपके संगठन की इंटरनेट-फेसिंग संपत्तियों**—जिसमें डोमेन, सबडोमेन, IP पते, और वेब अनुप्रयोग शामिल हैं—को स्कैन और मानचित्रित करता है ताकि आपके बाहरी डिजिटल फुटप्रिंट का एक व्यापक, वास्तविक समय का दृश्य प्रदान किया जा सके। यह उन्नत क्रॉलिंग तकनीकों का उपयोग करता है, ज्ञात खोज बीजों से शुरू होकर, स्वचालित रूप से प्रबंधित और शैडो IT संपत्तियों को उजागर करता है जो अन्यथा छिपी रह सकती हैं। EASM **खतरनाक कॉन्फ़िगरेशन** की पहचान करता है जैसे कि उजागर प्रशासनिक इंटरफेस, सार्वजनिक रूप से सुलभ स्टोरेज बकेट और विभिन्न CVEs के प्रति संवेदनशील सेवाएँ, जिससे आपकी सुरक्षा टीम इन मुद्दों को संबोधित कर सके इससे पहले कि उनका शोषण किया जाए। +इसके अलावा, निरंतर निगरानी **उजागर अवसंरचना में परिवर्तनों** को भी दिखा सकती है, विभिन्न स्कैन परिणामों की तुलना करके ताकि व्यवस्थापक हर परिवर्तन से अवगत हो सके। +वास्तविक समय की अंतर्दृष्टि और विस्तृत संपत्ति सूची प्रदान करके, Defender EASM संगठनों को **अपने बाहरी एक्सपोजर की निरंतर निगरानी और परिवर्तनों को ट्रैक करने** में सक्षम बनाता है। यह गंभीरता और संदर्भ कारकों के आधार पर निष्कर्षों को प्राथमिकता देने के लिए जोखिम-आधारित विश्लेषण का उपयोग करता है, यह सुनिश्चित करते हुए कि सुधार प्रयास उन स्थानों पर केंद्रित हों जहाँ उनकी सबसे अधिक आवश्यकता है। यह सक्रिय दृष्टिकोण न केवल छिपी हुई कमजोरियों को उजागर करने में मदद करता है बल्कि आपके समग्र सुरक्षा स्थिति में निरंतर सुधार का समर्थन भी करता है, आपको किसी भी नए एक्सपोजर के बारे में चेतावनी देकर जैसे ही वे उभरते हैं। + +{{#include ../../../banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-monitoring.md b/src/pentesting-cloud/azure-security/az-services/az-monitoring.md new file mode 100644 index 000000000..bcfd74bfc --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-services/az-monitoring.md @@ -0,0 +1,104 @@ +# Az - Monitoring + +{{#include ../../../banners/hacktricks-training.md}} + +## Entra ID - Logs + +Entra ID में 3 प्रकार के लॉग उपलब्ध हैं: + +- **Sign-in Logs**: साइन-इन लॉग हर प्रमाणीकरण प्रयास का दस्तावेज़ीकरण करते हैं, चाहे वह सफल हो या असफल। वे IP पते, स्थान, डिवाइस जानकारी और लागू की गई शर्तीय पहुंच नीतियों जैसे विवरण प्रदान करते हैं, जो उपयोगकर्ता गतिविधि की निगरानी और संदिग्ध लॉगिन व्यवहार या संभावित सुरक्षा खतरों का पता लगाने के लिए आवश्यक हैं। +- **Audit Logs**: ऑडिट लॉग आपके Entra ID वातावरण में किए गए सभी परिवर्तनों का रिकॉर्ड प्रदान करते हैं। वे उपयोगकर्ताओं, समूहों, भूमिकाओं या नीतियों में अपडेट को कैप्चर करते हैं। ये लॉग अनुपालन और सुरक्षा जांच के लिए महत्वपूर्ण हैं, क्योंकि वे आपको यह समीक्षा करने की अनुमति देते हैं कि किसने क्या परिवर्तन किया और कब। +- **Provisioning Logs**: प्रोविजनिंग लॉग उन उपयोगकर्ताओं के बारे में जानकारी प्रदान करते हैं जो आपके टेनेट में एक तृतीय-पक्ष सेवा (जैसे ऑन-प्रिमाइसेस निर्देशिकाएँ या SaaS अनुप्रयोग) के माध्यम से प्रोविज़न किए गए हैं। ये लॉग आपको यह समझने में मदद करते हैं कि पहचान जानकारी कैसे समन्वयित की जाती है। + +> [!WARNING] +> ध्यान दें कि ये लॉग केवल **7 दिन** के लिए मुफ्त संस्करण में, **30 दिन** के लिए P1/P2 संस्करण में और जोखिमपूर्ण साइन-इन गतिविधि के लिए सुरक्षा संकेतों में 60 अतिरिक्त दिनों के लिए संग्रहीत होते हैं। हालाँकि, न ही एक वैश्विक व्यवस्थापक उन्हें **पहले संशोधित या हटाने** में सक्षम होगा। + +## Entra ID - Log Systems + +- **Diagnostic Settings**: एक डायग्नोस्टिक सेटिंग प्लेटफ़ॉर्म लॉग और/या मैट्रिक्स की श्रेणियों की एक सूची निर्दिष्ट करती है जिसे आप एक संसाधन से एकत्र करना चाहते हैं, और एक या एक से अधिक गंतव्यों को जिन्हें आप उन्हें स्ट्रीम करेंगे। गंतव्य के लिए सामान्य उपयोग शुल्क लागू होंगे। उन लॉग की विभिन्न श्रेणियों और सामग्री के बारे में अधिक जानें। +- **Destinations**: +- **Analytics Workspace**: Azure Log Analytics के माध्यम से जांच करें और अलर्ट बनाएं। +- **Storage account**: स्थिर विश्लेषण और बैकअप। +- **Event hub**: डेटा को तृतीय-पक्ष SIEM जैसे बाहरी सिस्टम में स्ट्रीम करें। +- **Monitor partner solutions**: Azure Monitor और अन्य गैर-माइक्रोसॉफ्ट निगरानी प्लेटफार्मों के बीच विशेष एकीकरण। +- **Workbooks**: वर्कबुक्स टेक्स्ट, लॉग क्वेरी, मैट्रिक्स और पैरामीटर को समृद्ध इंटरैक्टिव रिपोर्ट में संयोजित करते हैं। +- **Usage & Insights**: Entra ID में सबसे सामान्य गतिविधियों को देखने के लिए उपयोगी। + +## Azure Monitor + +Azure Monitor की मुख्य विशेषताएँ हैं: + +- **Activity Logs**: Azure Activity Logs सदस्यता-स्तरीय घटनाओं और प्रबंधन संचालन को कैप्चर करते हैं, जिससे आपको अपने संसाधनों पर किए गए परिवर्तनों और कार्यों का अवलोकन मिलता है। +- **Activily logs** को संशोधित या हटाया नहीं जा सकता। +- **Change Analysis**: Change Analysis स्वचालित रूप से आपके Azure संसाधनों में कॉन्फ़िगरेशन और स्थिति परिवर्तनों का पता लगाता है और उन्हें दृश्य रूप में प्रस्तुत करता है ताकि समस्याओं का निदान करने और समय के साथ संशोधनों को ट्रैक करने में मदद मिल सके। +- **Alerts**: Azure Monitor से अलर्ट स्वचालित सूचनाएँ हैं जो तब सक्रिय होती हैं जब आपके Azure वातावरण में निर्दिष्ट शर्तें या थ्रेशोल्ड पूरे होते हैं। +- **Workbooks**: वर्कबुक्स Azure Monitor के भीतर इंटरैक्टिव, अनुकूलन योग्य डैशबोर्ड हैं जो आपको विभिन्न स्रोतों से डेटा को संयोजित और दृश्य रूप में प्रस्तुत करने की अनुमति देते हैं ताकि व्यापक विश्लेषण किया जा सके। +- **Investigator**: Investigator आपको लॉग डेटा और अलर्ट में गहराई से विश्लेषण करने और घटनाओं के कारण की पहचान करने में मदद करता है। +- **Insights**: Insights विश्लेषण, प्रदर्शन मैट्रिक्स, और क्रियाशील सिफारिशें (जैसे Application Insights या VM Insights में) प्रदान करते हैं ताकि आप अपने अनुप्रयोगों और अवसंरचना के स्वास्थ्य और दक्षता की निगरानी और अनुकूलन कर सकें। + +### Log Analytics Workspaces + +Log Analytics कार्यक्षेत्र Azure Monitor में केंद्रीय भंडार हैं जहाँ आप अपने Azure संसाधनों और ऑन-प्रिमाइसेस वातावरण से लॉग और प्रदर्शन डेटा को **एकत्र, विश्लेषण और दृश्य रूप में प्रस्तुत** कर सकते हैं। यहाँ प्रमुख बिंदु हैं: + +- **Centralized Data Storage**: ये निदान लॉग, प्रदर्शन मैट्रिक्स, और आपके अनुप्रयोगों और सेवाओं द्वारा उत्पन्न कस्टम लॉग को संग्रहीत करने के लिए केंद्रीय स्थान के रूप में कार्य करते हैं। +- **Powerful Query Capabilities**: आप डेटा का विश्लेषण करने, अंतर्दृष्टि उत्पन्न करने और समस्याओं का निदान करने के लिए Kusto Query Language (KQL) का उपयोग करके क्वेरी चला सकते हैं। +- **Integration with Monitoring Tools**: Log Analytics कार्यक्षेत्र विभिन्न Azure सेवाओं (जैसे Azure Monitor, Azure Sentinel, और Application Insights) के साथ एकीकृत होते हैं, जिससे आप डैशबोर्ड बना सकते हैं, अलर्ट सेट कर सकते हैं, और अपने वातावरण का व्यापक दृश्य प्राप्त कर सकते हैं। + +संक्षेप में, एक Log Analytics कार्यक्षेत्र Azure में उन्नत निगरानी, समस्या निवारण, और सुरक्षा विश्लेषण के लिए आवश्यक है। + +आप एक संसाधन को **डायग्नोस्टिक सेटिंग्स** से एक एनालिटिक्स कार्यक्षेत्र में डेटा भेजने के लिए कॉन्फ़िगर कर सकते हैं। + +## Enumeration + +### Entra ID +```bash +# Get last 10 sign-ins +az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10' + +# Get last 10 audit logs +az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10' + +# Get last 10 provisioning logs +az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’ + +# Get EntraID Diagnostic Settings +az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview" + +# Get Entra ID Workbooks +az rest \ +--method POST \ +--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \ +--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \ +--body '{ +"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"], +"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties", +"options": {"resultFormat": "table"}, +"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a" +}' | jq '.data.rows' +``` +### Azure Monitor +```bash +# Get last 10 activity logs +az monitor activity-log list --max-events 10 + +# Get Resource Diagnostic Settings +az rest --url "https://management.azure.com/subscriptions//resourceGroups//providers/Microsoft.DocumentDb/databaseAccounts//providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview" + +# Get Entra ID Workbooks +az rest \ +--method POST \ +--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \ +--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \ +--body '{ +"content": {}, +"commandName": "AppInsightsExtension.GetWorkbooksListArg" +}' + +# List Log Analytic groups +az monitor log-analytics workspace list --output table + +# List alerts +az monitor metrics alert list --output table +az monitor activity-log alert list --output table +``` +{{#include ../../../banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-sentinel.md b/src/pentesting-cloud/azure-security/az-services/az-sentinel.md new file mode 100644 index 000000000..089b36b23 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-services/az-sentinel.md @@ -0,0 +1,42 @@ +# Az - Defender + +{{#include ../../../banners/hacktricks-training.md}} + +## Microsoft Sentinel + +Microsoft Sentinel एक क्लाउड-नेटिव **SIEM** (सुरक्षा सूचना और घटना प्रबंधन) और **SOAR** (सुरक्षा ऑर्केस्ट्रेशन, स्वचालन, और प्रतिक्रिया) समाधान है जो Azure पर है। + +यह एक संगठन (ऑन-प्रिमाइसेस और क्लाउड) से सुरक्षा डेटा को एकल प्लेटफॉर्म में एकत्र करता है और संभावित खतरों की पहचान करने के लिए **बिल्ट-इन एनालिटिक्स और थ्रेट इंटेलिजेंस** का उपयोग करता है। +Sentinel Azure सेवाओं जैसे Log Analytics (विशाल लॉग स्टोरेज और क्वेरी के लिए) और Logic Apps (स्वचालित वर्कफ़्लो के लिए) का लाभ उठाता है - इसका मतलब है कि यह मांग पर स्केल कर सकता है और Azure की AI और स्वचालन क्षमताओं के साथ एकीकृत हो सकता है। + +संक्षेप में, Sentinel विभिन्न स्रोतों से लॉग एकत्र करता है और उनका विश्लेषण करता है, **अनियमितताओं या दुर्भावनापूर्ण गतिविधियों का पता लगाता है**, और सुरक्षा टीमों को तेजी से खतरों की जांच और प्रतिक्रिया करने की अनुमति देता है, सभी Azure पोर्टल के माध्यम से बिना ऑन-प्रिमाइसेस SIEM अवसंरचना की आवश्यकता के। + +### Microsoft Sentinel Configuration + +आप Azure Log Analytics कार्यक्षेत्र पर Sentinel को सक्षम करके शुरू करते हैं (कार्यक्षेत्र वह स्थान है जहाँ लॉग संग्रहीत और विश्लेषित किए जाएंगे)। शुरू करने के लिए उच्च-स्तरीय चरण नीचे दिए गए हैं: + +1. **Workspace पर Microsoft Sentinel सक्षम करें**: Azure पोर्टल में, एक नया या मौजूदा Log Analytics कार्यक्षेत्र बनाएं और उसमें Microsoft Sentinel जोड़ें। यह आपके कार्यक्षेत्र में Sentinel की क्षमताओं को तैनात करता है। +2. **डेटा स्रोतों (डेटा कनेक्टर्स) को कनेक्ट करें**: एक बार Sentinel सक्षम होने के बाद, अपने डेटा स्रोतों को बिल्ट-इन डेटा कनेक्टर्स का उपयोग करके कनेक्ट करें। चाहे वह Entra ID लॉग हो, Office 365, या यहां तक कि फ़ायरवॉल लॉग, Sentinel स्वचालित रूप से लॉग और अलर्ट को ग्रहण करना शुरू कर देता है। यह आमतौर पर लॉग को उस लॉग कार्यक्षेत्र में भेजने के लिए डायग्नोस्टिक सेटिंग्स बनाने के द्वारा किया जाता है जिसका उपयोग किया जा रहा है। +3. **एनालिटिक्स नियम और सामग्री लागू करें**: डेटा प्रवाहित होने के साथ, खतरों का पता लगाने के लिए बिल्ट-इन एनालिटिक्स नियम सक्षम करें या कस्टम बनाएं। पूर्व-निर्मित नियम टेम्पलेट्स और कार्यपुस्तिकाओं के लिए सामग्री हब का उपयोग करें जो आपकी पहचान क्षमताओं को प्रारंभ करने में मदद करते हैं। +4. **(वैकल्पिक) स्वचालन कॉन्फ़िगर करें**: घटनाओं पर स्वचालित रूप से प्रतिक्रिया देने के लिए प्लेबुक के साथ स्वचालन सेट करें - जैसे अलर्ट भेजना या समझौता किए गए खातों को अलग करना - आपकी समग्र प्रतिक्रिया को बढ़ाना। + +## Main Features + +- **Logs**: लॉग्स ब्लेड Log Analytics क्वेरी इंटरफ़ेस खोलता है, जहाँ आप **Kusto Query Language (KQL)** का उपयोग करके अपने डेटा में गहराई से जा सकते हैं। यह क्षेत्र समस्या निवारण, फोरेंसिक विश्लेषण, और कस्टम रिपोर्टिंग के लिए महत्वपूर्ण है। आप लॉग घटनाओं को फ़िल्टर करने, विभिन्न स्रोतों के बीच डेटा को सहसंबंधित करने, और यहां तक कि अपने निष्कर्षों के आधार पर कस्टम डैशबोर्ड या अलर्ट बनाने के लिए क्वेरी लिख और निष्पादित कर सकते हैं। यह Sentinel का कच्चा डेटा अन्वेषण केंद्र है। +- **Search**: सर्च टूल एक एकीकृत इंटरफ़ेस प्रदान करता है ताकि आप **सुरक्षा घटनाओं, घटनाओं, और यहां तक कि विशिष्ट लॉग प्रविष्टियों को जल्दी से खोज सकें**। कई ब्लेड के माध्यम से मैन्युअल रूप से नेविगेट करने के बजाय, आप कीवर्ड, IP पते, या उपयोगकर्ता नाम टाइप कर सकते हैं ताकि तुरंत सभी संबंधित घटनाओं को खींच सकें। यह विशेष रूप से जांच के दौरान उपयोगी है जब आपको विभिन्न जानकारी के टुकड़ों को जल्दी से जोड़ने की आवश्यकता होती है। +- **Incidents**: घटनाएँ अनुभाग सभी **समूहित अलर्ट को प्रबंधनीय मामलों में केंद्रीकृत करता है**। Sentinel संबंधित अलर्ट को एकल घटना में एकत्र करता है, संदर्भ प्रदान करता है जैसे गंभीरता, समयरेखा, और प्रभावित संसाधन। एक घटना के भीतर, आप एक विस्तृत जांच ग्राफ़ देख सकते हैं जो अलर्ट के बीच संबंध को मानचित्रित करता है, जिससे संभावित खतरे के दायरे और प्रभाव को समझना आसान हो जाता है। घटना प्रबंधन में कार्य सौंपने, स्थिति अपडेट करने, और प्रतिक्रिया वर्कफ़्लो के साथ एकीकृत करने के विकल्प भी शामिल हैं। +- **Workbooks**: कार्यपुस्तिकाएँ अनुकूलन योग्य डैशबोर्ड और रिपोर्ट हैं जो आपको **अपने सुरक्षा डेटा को दृश्य और विश्लेषण करने में मदद करती हैं**। वे विभिन्न चार्ट, तालिकाओं, और क्वेरी को संयोजित करती हैं ताकि रुझानों और पैटर्न का एक व्यापक दृश्य प्रदान किया जा सके। उदाहरण के लिए, आप एक कार्यपुस्तिका का उपयोग साइन-इन गतिविधियों की समयरेखा, IP पते का भौगोलिक मानचित्रण, या समय के साथ विशिष्ट अलर्ट की आवृत्ति प्रदर्शित करने के लिए कर सकते हैं। कार्यपुस्तिकाएँ पूर्व-निर्मित और पूरी तरह से अनुकूलन योग्य होती हैं ताकि आपकी संगठन की विशिष्ट निगरानी आवश्यकताओं के अनुसार हो सकें। +- **Hunting**: हंटिंग फीचर एक सक्रिय दृष्टिकोण प्रदान करता है **खतरों को खोजने के लिए जो मानक अलर्ट को ट्रिगर नहीं कर सकते**। इसमें पूर्व-निर्मित हंटिंग क्वेरी शामिल हैं जो MITRE ATT&CK जैसे ढांचों के साथ मेल खाती हैं लेकिन आपको कस्टम क्वेरी लिखने की भी अनुमति देती हैं। यह उपकरण **उन्नत विश्लेषकों के लिए आदर्श है जो छिपे हुए या उभरते खतरों को उजागर करने के लिए ऐतिहासिक और वास्तविक समय के डेटा का अन्वेषण करते हैं, जैसे असामान्य नेटवर्क पैटर्न या असामान्य उपयोगकर्ता व्यवहार**। +- **Notebooks**: नोटबुक्स एकीकरण के साथ, Sentinel **Jupyter Notebooks का उपयोग करता है ताकि उन्नत डेटा एनालिटिक्स और स्वचालित जांच की जा सके**। यह सुविधा आपको अपने Sentinel डेटा के खिलाफ सीधे Python कोड चलाने की अनुमति देती है, जिससे मशीन लर्निंग विश्लेषण करना, कस्टम दृश्य बनाना, या जटिल जांच कार्यों को स्वचालित करना संभव हो जाता है। यह डेटा वैज्ञानिकों या सुरक्षा विश्लेषकों के लिए विशेष रूप से उपयोगी है जिन्हें मानक क्वेरी से परे गहराई से विश्लेषण करने की आवश्यकता होती है। +- **Entity Behavior**: एंटिटी बिहेवियर पृष्ठ **यूजर और एंटिटी बिहेवियर एनालिटिक्स (UEBA)** का उपयोग करके आपके वातावरण में सामान्य गतिविधि के लिए बुनियादी मान स्थापित करता है। यह उपयोगकर्ताओं, उपकरणों, और IP पतों के लिए विस्तृत प्रोफाइल प्रदर्शित करता है, **सामान्य व्यवहार से विचलनों को उजागर करता है**। उदाहरण के लिए, यदि एक सामान्यतः कम गतिविधि वाला खाता अचानक उच्च मात्रा में डेटा ट्रांसफर करता है, तो इस विचलन को चिह्नित किया जाएगा। यह उपकरण आंतरिक खतरों या व्यवहार संबंधी असामान्यताओं के आधार पर समझौता किए गए क्रेडेंशियल्स की पहचान करने के लिए महत्वपूर्ण है। +- **Threat Intelligence**: थ्रेट इंटेलिजेंस अनुभाग आपको **बाहरी खतरे के संकेतकों का प्रबंधन और सहसंबंधित करने की अनुमति देता है** - जैसे दुर्भावनापूर्ण IP पते, URLs, या फ़ाइल हैश - आपके आंतरिक डेटा के साथ। बाहरी इंटेलिजेंस फ़ीड के साथ एकीकृत करके, Sentinel स्वचालित रूप से उन घटनाओं को चिह्नित कर सकता है जो ज्ञात खतरों से मेल खाती हैं। यह आपको तेजी से उन हमलों का पता लगाने और प्रतिक्रिया करने में मदद करता है जो व्यापक, ज्ञात अभियानों का हिस्सा हैं, आपके सुरक्षा अलर्ट में संदर्भ की एक और परत जोड़ता है। +- **MITRE ATT&CK**: MITRE ATT&CK ब्लेड में, Sentinel **आपके सुरक्षा डेटा और पहचान नियमों को व्यापक रूप से मान्यता प्राप्त MITRE ATT&CK ढांचे से मानचित्रित करता है**। यह दृश्य आपको यह समझने में मदद करता है कि आपके वातावरण में कौन सी रणनीतियाँ और तकनीकें देखी जा रही हैं, कवरेज में संभावित अंतर की पहचान करें, और आपकी पहचान रणनीति को मान्यता प्राप्त हमले के पैटर्न के साथ संरेखित करें। यह इस बात का संरचित तरीका प्रदान करता है कि शत्रु आपके वातावरण पर कैसे हमला कर सकते हैं और रक्षा कार्यों को प्राथमिकता देने में मदद करता है। +- **Content Hub**: सामग्री हब **पूर्व-निर्मित समाधानों का एक केंद्रीकृत भंडार है, जिसमें डेटा कनेक्टर्स, एनालिटिक्स नियम, कार्यपुस्तिकाएँ, और प्लेबुक शामिल हैं**। ये समाधान आपकी तैनाती को तेज करने और आपकी सुरक्षा स्थिति में सुधार करने के लिए डिज़ाइन किए गए हैं, सामान्य सेवाओं (जैसे Office 365, Entra ID, आदि) के लिए सर्वोत्तम प्रथाओं के कॉन्फ़िगरेशन प्रदान करते हैं। आप इन सामग्री पैक्स को ब्राउज़, इंस्टॉल, और अपडेट कर सकते हैं, जिससे नई तकनीकों को Sentinel में एकीकृत करना आसान हो जाता है बिना व्यापक मैनुअल सेटअप के। +- **Repositories**: रिपॉजिटरी फीचर (वर्तमान में पूर्वावलोकन में) आपके Sentinel सामग्री के लिए संस्करण नियंत्रण सक्षम करता है। यह स्रोत नियंत्रण प्रणालियों जैसे GitHub या Azure DevOps के साथ एकीकृत होता है, जिससे आप **अपने एनालिटिक्स नियम, कार्यपुस्तिकाएँ, प्लेबुक, और अन्य कॉन्फ़िगरेशन को कोड के रूप में प्रबंधित कर सकते हैं**। यह दृष्टिकोण न केवल परिवर्तन प्रबंधन और सहयोग में सुधार करता है बल्कि आवश्यक होने पर पिछले संस्करणों पर वापस लौटना भी आसान बनाता है। +- **Workspace Management**: Microsoft Sentinel का कार्यक्षेत्र प्रबंधक उपयोगकर्ताओं को **एक या अधिक Azure टेनेन्ट के भीतर कई Microsoft Sentinel कार्यक्षेत्रों का केंद्रीकृत प्रबंधन** करने में सक्षम बनाता है। केंद्रीय कार्यक्षेत्र (जिसमें कार्यक्षेत्र प्रबंधक सक्षम है) सामग्री आइटम को सदस्य कार्यक्षेत्रों में बड़े पैमाने पर प्रकाशित करने के लिए समेकित कर सकता है। +- **Data Connectors**: डेटा कनेक्टर्स पृष्ठ सभी उपलब्ध कनेक्टर्स की सूची देता है जो डेटा को Sentinel में लाते हैं। प्रत्येक कनेक्टर **विशिष्ट डेटा स्रोतों के लिए पूर्व-कॉन्फ़िगर किया गया है** (Microsoft और तीसरे पक्ष दोनों) और इसका कनेक्शन स्थिति दिखाता है। डेटा कनेक्टर सेट करना आमतौर पर कुछ क्लिक में होता है, जिसके बाद Sentinel उस स्रोत से लॉग को ग्रहण और विश्लेषित करना शुरू कर देता है। यह क्षेत्र महत्वपूर्ण है क्योंकि आपकी सुरक्षा निगरानी की गुणवत्ता और चौड़ाई आपके जुड़े डेटा स्रोतों की रेंज और कॉन्फ़िगरेशन पर निर्भर करती है। +- **Analytics**: एनालिटिक्स ब्लेड में, आप **उन पहचान नियमों को बनाते और प्रबंधित करते हैं जो Sentinel के अलर्टिंग को शक्ति प्रदान करते हैं**। ये नियम मूल रूप से क्वेरी हैं जो एक शेड्यूल (या लगभग वास्तविक समय) पर चलती हैं ताकि आपके लॉग डेटा में संदिग्ध पैटर्न या थ्रेशोल्ड उल्लंघनों की पहचान की जा सके। आप Microsoft द्वारा प्रदान किए गए पूर्व-निर्मित टेम्पलेट्स में से चुन सकते हैं या KQL का उपयोग करके अपने कस्टम नियम बना सकते हैं। एनालिटिक्स नियम यह निर्धारित करते हैं कि अलर्ट कैसे और कब उत्पन्न होते हैं, सीधे यह प्रभावित करते हैं कि घटनाएँ कैसे बनती हैं और प्राथमिकता दी जाती है। +- **Watchlist**: Microsoft Sentinel वॉचलिस्ट **बाहरी डेटा स्रोतों से डेटा संग्रह की अनुमति देती है ताकि आपके Microsoft Sentinel वातावरण में घटनाओं के खिलाफ सहसंबंधित किया जा सके**। एक बार बनाई जाने के बाद, अपने खोज, पहचान नियम, थ्रेट हंटिंग, कार्यपुस्तिकाएँ और प्रतिक्रिया प्लेबुक में वॉचलिस्ट का लाभ उठाएं। +- **Automation**: स्वचालन नियम आपको **घटना हैंडलिंग के सभी स्वचालन का केंद्रीकृत प्रबंधन** करने की अनुमति देते हैं। स्वचालन नियम Microsoft Sentinel में स्वचालन के उपयोग को सरल बनाते हैं और आपके घटना ऑर्केस्ट्रेशन प्रक्रियाओं के लिए जटिल वर्कफ़्लो को सरल बनाने में सक्षम बनाते हैं। + +{{#include ../../../banners/hacktricks-training.md}}