diff --git a/src/pentesting-cloud/azure-security/az-services/az-defender.md b/src/pentesting-cloud/azure-security/az-services/az-defender.md new file mode 100644 index 000000000..6c3c30cdc --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-services/az-defender.md @@ -0,0 +1,37 @@ +# Az - Defender + +{{#include ../../../banners/hacktricks-training.md}} + +## Microsoft Defender for Cloud + +Microsoft Defender for Cloud είναι μια ολοκληρωμένη λύση διαχείρισης ασφάλειας που εκτείνεται σε Azure, τοπικά και πολυ-σύννεφα περιβάλλοντα. Κατηγοριοποιείται ως Cloud-Native Application Protection Platform (CNAPP), συνδυάζοντας Cloud Security Posture Management (CSPM) και Cloud Workload Protection (CWPP) δυνατότητες. Σκοπός του είναι να βοηθήσει τις οργανώσεις να βρουν **κακώς διαμορφωμένα και αδύνατα σημεία στους πόρους του σύννεφου**, να ενισχύσουν τη συνολική ασφάλεια και να προστατεύσουν τα φορτία εργασίας από εξελισσόμενες απειλές σε Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), υβριδικές τοπικές ρυθμίσεις και άλλα. + +Στην πράξη, ο Defender for Cloud **αξιολογεί συνεχώς τους πόρους σας σε σχέση με τις καλύτερες πρακτικές και τα πρότυπα ασφάλειας**, παρέχει έναν ενοποιημένο πίνακα ελέγχου για ορατότητα και χρησιμοποιεί προηγμένη ανίχνευση απειλών για να σας ειδοποιεί για επιθέσεις. Τα κύρια οφέλη περιλαμβάνουν μια **ενιαία εικόνα της ασφάλειας σε όλα τα σύννεφα**, εφαρμόσιμες συστάσεις για την αποφυγή παραβιάσεων και ενσωματωμένη προστασία από απειλές που μπορεί να μειώσει τον κίνδυνο περιστατικών ασφάλειας. Υποστηρίζοντας το AWS και το GCP και άλλες πλατφόρμες SaaS εγγενώς και χρησιμοποιώντας το Azure Arc για τοπικούς διακομιστές, διασφαλίζει ότι μπορείτε να **διαχειρίζεστε την ασφάλεια σε ένα μέρος** για όλα τα περιβάλλοντα. + +### Key Features + +- **Συστάσεις**: Αυτή η ενότητα παρουσιάζει μια λίστα με εφαρμόσιμες συστάσεις ασφάλειας βασισμένες σε συνεχείς αξιολογήσεις. Κάθε σύσταση εξηγεί τις αναγνωρισμένες κακώς διαμορφώσεις ή ευπάθειες και παρέχει βήματα αποκατάστασης, ώστε να γνωρίζετε ακριβώς τι να διορθώσετε για να βελτιώσετε το ασφαλές σκορ σας. +- **Ανάλυση Διαδρομών Επίθεσης**: Η Ανάλυση Διαδρομών Επίθεσης οπτικοποιεί τις πιθανές διαδρομές επίθεσης στους πόρους του σύννεφου σας. Δείχνοντας πώς οι ευπάθειες συνδέονται και θα μπορούσαν να εκμεταλλευτούν, σας βοηθά να κατανοήσετε και να σπάσετε αυτές τις διαδρομές για να αποτρέψετε παραβιάσεις. +- **Ειδοποιήσεις Ασφάλειας**: Η σελίδα Ειδοποιήσεων Ασφάλειας σας ειδοποιεί για απειλές σε πραγματικό χρόνο και ύποπτες δραστηριότητες. Κάθε ειδοποίηση περιλαμβάνει λεπτομέρειες όπως η σοβαρότητα, οι επηρεαζόμενοι πόροι και οι προτεινόμενες ενέργειες, διασφαλίζοντας ότι μπορείτε να ανταποκριθείτε γρήγορα σε αναδυόμενα ζητήματα. +- Οι τεχνικές ανίχνευσης βασίζονται σε **πληροφορίες απειλών, συμπεριφορική ανάλυση και ανίχνευση ανωμαλιών**. +- Είναι δυνατή η εύρεση όλων των πιθανών ειδοποιήσεων στο https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. Βασισμένο στο όνομα και την περιγραφή, είναι δυνατό να γνωρίζετε **τι αναζητά η ειδοποίηση** (για να την παρακάμψετε). +- **Κατάλογος**: Στην ενότητα Κατάλογος, θα βρείτε μια ολοκληρωμένη λίστα όλων των παρακολουθούμενων περιουσιακών στοιχείων σε όλα τα περιβάλλοντά σας. Παρέχει μια γρήγορη εικόνα της κατάστασης ασφάλειας κάθε πόρου, βοηθώντας σας να εντοπίσετε γρήγορα μη προστατευμένα ή επικίνδυνα περιουσιακά στοιχεία που χρειάζονται αποκατάσταση. +- **Cloud Security Explorer**: Το Cloud Security Explorer προσφέρει μια διεπαφή βασισμένη σε ερωτήματα για να αναζητήσετε και να αναλύσετε το περιβάλλον του σύννεφου σας. Σας επιτρέπει να αποκαλύψετε κρυφούς κινδύνους ασφάλειας και να εξερευνήσετε πολύπλοκες σχέσεις μεταξύ πόρων, ενισχύοντας τις συνολικές ικανότητες ανίχνευσης απειλών σας. +- **Workbooks**: Τα Workbooks είναι διαδραστικές αναφορές που οπτικοποιούν τα δεδομένα ασφάλειας σας. Χρησιμοποιώντας προ-κατασκευασμένα ή προσαρμοσμένα πρότυπα, σας βοηθούν να παρακολουθείτε τάσεις, να παρακολουθείτε τη συμμόρφωση και να αναθεωρείτε τις αλλαγές στο ασφαλές σκορ σας με την πάροδο του χρόνου, διευκολύνοντας τις αποφάσεις ασφάλειας που βασίζονται σε δεδομένα. +- **Κοινότητα**: Η ενότητα Κοινότητα σας συνδέει με ομότιμους, φόρουμ ειδικών και οδηγούς βέλτιστων πρακτικών. Είναι μια πολύτιμη πηγή για να μάθετε από τις εμπειρίες άλλων, να βρείτε συμβουλές επίλυσης προβλημάτων και να παραμείνετε ενημερωμένοι για τις τελευταίες εξελίξεις του Defender for Cloud. +- **Διάγνωση και Επίλυση Προβλημάτων**: Αυτό το κέντρο επίλυσης προβλημάτων σας βοηθά να εντοπίσετε και να επιλύσετε γρήγορα ζητήματα που σχετίζονται με τη διαμόρφωση ή τη συλλογή δεδομένων του Defender for Cloud. Παρέχει καθοδηγούμενες διαγνώσεις και λύσεις για να διασφαλίσει ότι η πλατφόρμα λειτουργεί αποτελεσματικά. +- **Κατάσταση Ασφάλειας**: Η σελίδα Κατάστασης Ασφάλειας συγκεντρώνει τη συνολική κατάσταση ασφάλειας σας σε ένα μόνο ασφαλές σκορ. Παρέχει πληροφορίες σχετικά με ποιες περιοχές του σύννεφου σας είναι ισχυρές και πού χρειάζονται βελτιώσεις, λειτουργώντας ως γρήγορος έλεγχος υγείας του περιβάλλοντός σας. +- **Κανονιστική Συμμόρφωση**: Αυτός ο πίνακας ελέγχει πόσο καλά οι πόροι σας συμμορφώνονται με τα βιομηχανικά πρότυπα και τις κανονιστικές απαιτήσεις. Δείχνει σκορ συμμόρφωσης σε σχέση με ορόσημα όπως το PCI DSS ή το ISO 27001, βοηθώντας σας να εντοπίσετε κενά και να παρακολουθείτε την αποκατάσταση για ελέγχους. +- **Προστασίες Φορτίου Εργασίας**: Οι Προστασίες Φορτίου Εργασίας επικεντρώνονται στην ασφάλεια συγκεκριμένων τύπων πόρων (όπως διακομιστές, βάσεις δεδομένων και κοντέινερ). Δείχνει ποια σχέδια Defender είναι ενεργά και παρέχει προσαρμοσμένες ειδοποιήσεις και συστάσεις για κάθε φορτίο εργασίας για να ενισχύσει την προστασία τους. Είναι ικανός να εντοπίσει κακόβουλες συμπεριφορές σε συγκεκριμένους πόρους. +- Υπάρχει επίσης η επιλογή **`Enable Microsoft Defender for X`** που μπορείτε να βρείτε σε ορισμένες υπηρεσίες. +- **Ασφάλεια Δεδομένων και AI (Προεπισκόπηση)**: Σε αυτή την προεπισκόπηση, ο Defender for Cloud επεκτείνει την προστασία του σε αποθηκευτικούς χώρους δεδομένων και υπηρεσίες AI. Επισημαίνει κενά ασφάλειας και παρακολουθεί ευαίσθητα δεδομένα, διασφαλίζοντας ότι τόσο οι αποθήκες δεδομένων σας όσο και οι πλατφόρμες AI είναι προστατευμένες από απειλές. +- **Διαχειριστής Τείχους Προστασίας**: Ο Διαχειριστής Τείχους Προστασίας ενσωματώνεται με το Azure Firewall για να σας δώσει μια κεντρική εικόνα των πολιτικών ασφάλειας του δικτύου σας. Απλοποιεί τη διαχείριση και την παρακολούθηση των αναπτύξεων τείχους προστασίας, διασφαλίζοντας τη συνεπή εφαρμογή κανόνων ασφάλειας σε όλα τα εικονικά δίκτυά σας. +- **Ασφάλεια DevOps**: Η Ασφάλεια DevOps ενσωματώνεται με τις αναπτυξιακές σας ροές εργασίας και τα αποθετήρια κώδικα για να ενσωματώσει την ασφάλεια νωρίς στον κύκλο ζωής του λογισμικού. Βοηθά στην αναγνώριση ευπαθειών στον κώδικα και τις διαμορφώσεις, διασφαλίζοντας ότι η ασφάλεια είναι ενσωματωμένη στη διαδικασία ανάπτυξης. + +## Microsoft Defender EASM + +Microsoft Defender External Attack Surface Management (EASM) συνεχώς **σκανάρει και χαρτογραφεί τα περιουσιακά στοιχεία που είναι εκτεθειμένα στο διαδίκτυο της οργάνωσής σας**—συμπεριλαμβανομένων τομέων, υποτομέων, διευθύνσεων IP και διαδικτυακών εφαρμογών—για να παρέχει μια ολοκληρωμένη, σε πραγματικό χρόνο εικόνα του εξωτερικού ψηφιακού αποτυπώματος σας. Εκμεταλλεύεται προηγμένες τεχνικές σάρωσης, ξεκινώντας από γνωστά σπόρια ανακάλυψης, για να αποκαλύψει αυτόματα τόσο τα διαχειριζόμενα όσο και τα κρυφά IT περιουσιακά στοιχεία που διαφορετικά θα παρέμεναν κρυφά. Το EASM εντοπίζει **επικίνδυνες διαμορφώσεις** όπως εκτεθειμένα διαχειριστικά περιβάλλοντα, δημόσια προσβάσιμα αποθηκευτικά δοχεία και υπηρεσίες ευάλωτες σε διάφορα CVEs, επιτρέποντας στην ομάδα ασφάλειας σας να αντιμετωπίσει αυτά τα ζητήματα πριν εκμεταλλευτούν. +Επιπλέον, η συνεχής παρακολούθηση μπορεί επίσης να δείξει **αλλαγές στην εκτεθειμένη υποδομή** συγκρίνοντας διαφορετικά αποτελέσματα σάρωσης, ώστε ο διαχειριστής να είναι ενήμερος για κάθε αλλαγή που πραγματοποιείται. +Παρέχοντας πληροφορίες σε πραγματικό χρόνο και λεπτομερείς καταλόγους περιουσιακών στοιχείων, ο Defender EASM ενδυναμώνει τις οργανώσεις να **παρακολουθούν συνεχώς και να παρακολουθούν τις αλλαγές στην εξωτερική τους έκθεση**. Χρησιμοποιεί ανάλυση βασισμένη σε ρίσκο για να δώσει προτεραιότητα στα ευρήματα με βάση τη σοβαρότητα και τα συμφραζόμενα, διασφαλίζοντας ότι οι προσπάθειες αποκατάστασης επικεντρώνονται εκεί που έχουν τη μεγαλύτερη σημασία. Αυτή η προληπτική προσέγγιση όχι μόνο βοηθά στην αποκάλυψη κρυφών ευπαθειών αλλά υποστηρίζει επίσης τη συνεχή βελτίωση της συνολικής κατάστασης ασφάλειας σας ειδοποιώντας σας για οποιεσδήποτε νέες εκθέσεις καθώς προκύπτουν. + +{{#include ../../../banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-monitoring.md b/src/pentesting-cloud/azure-security/az-services/az-monitoring.md new file mode 100644 index 000000000..9926fb0f0 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-services/az-monitoring.md @@ -0,0 +1,104 @@ +# Az - Monitoring + +{{#include ../../../banners/hacktricks-training.md}} + +## Entra ID - Logs + +Υπάρχουν 3 τύποι καταγραφών διαθέσιμες στο Entra ID: + +- **Sign-in Logs**: Οι καταγραφές σύνδεσης καταγράφουν κάθε προσπάθεια αυθεντικοποίησης, είτε επιτυχής είτε αποτυχημένη. Προσφέρουν λεπτομέρειες όπως διευθύνσεις IP, τοποθεσίες, πληροφορίες συσκευών και εφαρμοσμένες πολιτικές πρόσβασης, οι οποίες είναι απαραίτητες για την παρακολούθηση της δραστηριότητας των χρηστών και την ανίχνευση ύποπτης συμπεριφοράς σύνδεσης ή πιθανών απειλών ασφαλείας. +- **Audit Logs**: Οι καταγραφές ελέγχου παρέχουν ένα αρχείο όλων των αλλαγών που έγιναν στο περιβάλλον του Entra ID σας. Καταγράφουν ενημερώσεις σε χρήστες, ομάδες, ρόλους ή πολιτικές, για παράδειγμα. Αυτές οι καταγραφές είναι ζωτικής σημασίας για τη συμμόρφωση και τις έρευνες ασφαλείας, καθώς σας επιτρέπουν να ελέγξετε ποιος έκανε ποια αλλαγή και πότε. +- **Provisioning Logs**: Οι καταγραφές προμήθειας παρέχουν πληροφορίες σχετικά με τους χρήστες που έχουν προμηθευτεί στο ενοίκιο σας μέσω μιας τρίτης υπηρεσίας (όπως τοπικοί κατάλογοι ή εφαρμογές SaaS). Αυτές οι καταγραφές σας βοηθούν να κατανοήσετε πώς συγχρονίζεται η πληροφορία ταυτότητας. + +> [!WARNING] +> Σημειώστε ότι αυτές οι καταγραφές αποθηκεύονται μόνο για **7 ημέρες** στην δωρεάν έκδοση, **30 ημέρες** στην έκδοση P1/P2 και 60 επιπλέον ημέρες σε σήματα ασφαλείας για επικίνδυνη δραστηριότητα σύνδεσης. Ωστόσο, ούτε καν ένας παγκόσμιος διαχειριστής δεν θα μπορεί να **τροποποιήσει ή να διαγράψει νωρίτερα**. + +## Entra ID - Log Systems + +- **Diagnostic Settings**: Μια ρύθμιση διαγνωστικών καθορίζει μια λίστα κατηγοριών καταγραφών πλατφόρμας και/ή μετρήσεων που θέλετε να συλλέξετε από μια πηγή, και έναν ή περισσότερους προορισμούς στους οποίους θα τις μεταδώσετε. Θα ισχύσουν κανονικές χρεώσεις χρήσης για τον προορισμό. Μάθετε περισσότερα για τις διάφορες κατηγορίες καταγραφών και το περιεχόμενο αυτών των καταγραφών. +- **Destinations**: +- **Analytics Workspace**: Έρευνα μέσω του Azure Log Analytics και δημιουργία ειδοποιήσεων. +- **Storage account**: Στατική ανάλυση και αντίγραφα ασφαλείας. +- **Event hub**: Ροή δεδομένων σε εξωτερικά συστήματα όπως τρίτα SIEM. +- **Monitor partner solutions**: Ειδικές ενσωματώσεις μεταξύ του Azure Monitor και άλλων μη Microsoft πλατφορμών παρακολούθησης. +- **Workbooks**: Τα workbooks συνδυάζουν κείμενο, ερωτήματα καταγραφών, μετρήσεις και παραμέτρους σε πλούσιες διαδραστικές αναφορές. +- **Usage & Insights**: Χρήσιμο για να δείτε τις πιο κοινές δραστηριότητες στο Entra ID. + +## Azure Monitor + +Αυτές είναι οι κύριες δυνατότητες του Azure Monitor: + +- **Activity Logs**: Οι καταγραφές δραστηριότητας Azure καταγράφουν γεγονότα σε επίπεδο συνδρομής και διαχειριστικές ενέργειες, δίνοντάς σας μια επισκόπηση των αλλαγών και των ενεργειών που πραγματοποιήθηκαν στους πόρους σας. +- **Activily logs** δεν μπορούν να τροποποιηθούν ή να διαγραφούν. +- **Change Analysis**: Η ανάλυση αλλαγών ανιχνεύει αυτόματα και οπτικοποιεί τις αλλαγές διαμόρφωσης και κατάστασης στους πόρους Azure σας για να βοηθήσει στη διάγνωση προβλημάτων και την παρακολούθηση τροποποιήσεων με την πάροδο του χρόνου. +- **Alerts**: Οι ειδοποιήσεις από το Azure Monitor είναι αυτοματοποιημένες ειδοποιήσεις που ενεργοποιούνται όταν πληρούνται καθορισμένες συνθήκες ή όρια στο περιβάλλον Azure σας. +- **Workbooks**: Τα workbooks είναι διαδραστικοί, προσαρμόσιμοι πίνακες ελέγχου εντός του Azure Monitor που σας επιτρέπουν να συνδυάζετε και να οπτικοποιείτε δεδομένα από διάφορες πηγές για ολοκληρωμένη ανάλυση. +- **Investigator**: Ο Investigator σας βοηθά να εμβαθύνετε στα δεδομένα καταγραφών και τις ειδοποιήσεις για να διεξάγετε σε βάθος ανάλυση και να προσδιορίσετε την αιτία των περιστατικών. +- **Insights**: Τα Insights παρέχουν αναλύσεις, μετρικές απόδοσης και εφαρμόσιμες συστάσεις (όπως αυτές στο Application Insights ή VM Insights) για να σας βοηθήσουν να παρακολουθείτε και να βελτιστοποιείτε την υγεία και την αποδοτικότητα των εφαρμογών και της υποδομής σας. + +### Log Analytics Workspaces + +Τα workspaces Log Analytics είναι κεντρικές αποθήκες στο Azure Monitor όπου μπορείτε να **συλλέγετε, να αναλύετε και να οπτικοποιείτε δεδομένα καταγραφών και απόδοσης** από τους πόρους Azure και τα τοπικά περιβάλλοντά σας. Ακολουθούν τα κύρια σημεία: + +- **Centralized Data Storage**: Λειτουργούν ως η κεντρική τοποθεσία για την αποθήκευση διαγνωστικών καταγραφών, μετρικών απόδοσης και προσαρμοσμένων καταγραφών που παράγονται από τις εφαρμογές και τις υπηρεσίες σας. +- **Powerful Query Capabilities**: Μπορείτε να εκτελείτε ερωτήματα χρησιμοποιώντας τη γλώσσα ερωτημάτων Kusto (KQL) για να αναλύσετε τα δεδομένα, να δημιουργήσετε insights και να επιλύσετε προβλήματα. +- **Integration with Monitoring Tools**: Τα workspaces Log Analytics ενσωματώνονται με διάφορες υπηρεσίες Azure (όπως Azure Monitor, Azure Sentinel και Application Insights) επιτρέποντάς σας να δημιουργείτε πίνακες ελέγχου, να ρυθμίζετε ειδοποιήσεις και να αποκτάτε μια ολοκληρωμένη εικόνα του περιβάλλοντός σας. + +Συνοψίζοντας, ένα workspace Log Analytics είναι απαραίτητο για προηγμένη παρακολούθηση, επίλυση προβλημάτων και ανάλυση ασφαλείας στο Azure. + +Μπορείτε να ρυθμίσετε μια πηγή να στέλνει δεδομένα σε ένα analytics workspace από τις **ρυθμίσεις διαγνωστικών** της πηγής. + +## Enumeration + +### Entra ID +```bash +# Get last 10 sign-ins +az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10' + +# Get last 10 audit logs +az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10' + +# Get last 10 provisioning logs +az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’ + +# Get EntraID Diagnostic Settings +az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview" + +# Get Entra ID Workbooks +az rest \ +--method POST \ +--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \ +--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \ +--body '{ +"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"], +"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties", +"options": {"resultFormat": "table"}, +"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a" +}' | jq '.data.rows' +``` +### Azure Monitor +```bash +# Get last 10 activity logs +az monitor activity-log list --max-events 10 + +# Get Resource Diagnostic Settings +az rest --url "https://management.azure.com/subscriptions//resourceGroups//providers/Microsoft.DocumentDb/databaseAccounts//providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview" + +# Get Entra ID Workbooks +az rest \ +--method POST \ +--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \ +--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \ +--body '{ +"content": {}, +"commandName": "AppInsightsExtension.GetWorkbooksListArg" +}' + +# List Log Analytic groups +az monitor log-analytics workspace list --output table + +# List alerts +az monitor metrics alert list --output table +az monitor activity-log alert list --output table +``` +{{#include ../../../banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-sentinel.md b/src/pentesting-cloud/azure-security/az-services/az-sentinel.md new file mode 100644 index 000000000..83ea2fa73 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-services/az-sentinel.md @@ -0,0 +1,45 @@ +# Az - Defender + +{{#include ../../../banners/hacktricks-training.md}} + +## Microsoft Sentinel + +Το Microsoft Sentinel είναι μια cloud-native **SIEM** (Διαχείριση Πληροφοριών και Συμβάντων Ασφαλείας) και **SOAR** (Αυτοματοποίηση, Ορχήστρωση και Αντίκτυπος Ασφαλείας) λύση στο Azure​. + +Συγκεντρώνει δεδομένα ασφαλείας από όλη την οργάνωση (on-premises και cloud) σε μια ενιαία πλατφόρμα και χρησιμοποιεί **ενσωματωμένη ανάλυση και πληροφορίες απειλών** για να εντοπίσει πιθανές απειλές​. +Το Sentinel αξιοποιεί υπηρεσίες Azure όπως το Log Analytics (για μαζική αποθήκευση και ερώτηση καταγραφών) και τα Logic Apps (για αυτοματοποιημένες ροές εργασίας) – αυτό σημαίνει ότι μπορεί να κλιμακώνεται κατά παραγγελία και να ενσωματώνεται με τις δυνατότητες AI και αυτοματοποίησης του Azure​. + +Στην ουσία, το Sentinel συλλέγει και αναλύει καταγραφές από διάφορες πηγές, **εντοπίζει ανωμαλίες ή κακόβουλες δραστηριότητες**, και επιτρέπει στις ομάδες ασφαλείας να ερευνούν και να ανταποκρίνονται γρήγορα σε απειλές, όλα μέσω της πύλης Azure χωρίς να χρειάζεται υποδομή SIEM on-premises​. + + +### Ρύθμιση Microsoft Sentinel + +Ξεκινάτε ενεργοποιώντας το Sentinel σε ένα Azure Log Analytics workspace (το workspace είναι όπου θα αποθηκευτούν και θα αναλυθούν οι καταγραφές). Παρακάτω είναι τα βασικά βήματα για να ξεκινήσετε: + +1. **Ενεργοποιήστε το Microsoft Sentinel σε ένα Workspace**: Στην πύλη Azure, δημιουργήστε ή χρησιμοποιήστε ένα υπάρχον Log Analytics workspace και προσθέστε το Microsoft Sentinel σε αυτό. Αυτό αναπτύσσει τις δυνατότητες του Sentinel στο workspace σας. +2. **Συνδέστε Πηγές Δεδομένων (Data Connectors)**: Μόλις ενεργοποιηθεί το Sentinel, συνδέστε τις πηγές δεδομένων σας χρησιμοποιώντας ενσωματωμένους συνδέσμους δεδομένων. Είτε πρόκειται για καταγραφές Entra ID, Office 365, ή ακόμα και καταγραφές τείχους προστασίας, το Sentinel αρχίζει να εισάγει καταγραφές και ειδοποιήσεις αυτόματα. Αυτό γίνεται συνήθως δημιουργώντας διαγνωστικές ρυθμίσεις για να στέλνετε καταγραφές στο workspace καταγραφών που χρησιμοποιείται. +3. **Εφαρμόστε Κανόνες Ανάλυσης και Περιεχόμενο**: Με τα δεδομένα να ρέουν, ενεργοποιήστε τους ενσωματωμένους κανόνες ανάλυσης ή δημιουργήστε προσαρμοσμένους για να ανιχνεύσετε απειλές. Χρησιμοποιήστε το Content Hub για προ-πακεταρισμένα πρότυπα κανόνων και βιβλία εργασίας που θα επιταχύνουν τις δυνατότητές σας στην ανίχνευση. +4. **(Προαιρετικά) Ρυθμίστε Αυτοματοποίηση**: Ρυθμίστε αυτοματοποίηση με playbooks για να ανταποκριθείτε αυτόματα σε περιστατικά—όπως η αποστολή ειδοποιήσεων ή η απομόνωση συμβιβασμένων λογαριασμών—ενισχύοντας τη συνολική σας ανταπόκριση. + + +## Κύριες Δυνατότητες + +- **Καταγραφές**: Η καρτέλα Καταγραφές ανοίγει τη διεπαφή ερωτήσεων Log Analytics, όπου μπορείτε να εμβαθύνετε **στα δεδομένα σας χρησιμοποιώντας τη Γλώσσα Ερωτήσεων Kusto (KQL)**. Αυτή η περιοχή είναι κρίσιμη για την αποσφαλμάτωση, την εγκληματολογική ανάλυση και την προσαρμοσμένη αναφορά. Μπορείτε να γράψετε και να εκτελέσετε ερωτήσεις για να φιλτράρετε γεγονότα καταγραφών, να συσχετίσετε δεδομένα από διαφορετικές πηγές και ακόμη και να δημιουργήσετε προσαρμοσμένα πίνακες ή ειδοποιήσεις με βάση τα ευρήματά σας. Είναι το κέντρο εξερεύνησης ακατέργαστων δεδομένων του Sentinel. +- **Αναζήτηση**: Το εργαλείο Αναζήτησης προσφέρει μια ενιαία διεπαφή για **γρήγορη εντοπισμό γεγονότων ασφαλείας, περιστατικών και ακόμη και συγκεκριμένων καταγραφών**. Αντί να πλοηγείστε χειροκίνητα μέσω πολλών καρτελών, μπορείτε να πληκτρολογήσετε λέξεις-κλειδιά, διευθύνσεις IP ή ονόματα χρηστών για να εμφανίσετε αμέσως όλα τα σχετικά γεγονότα. Αυτή η δυνατότητα είναι ιδιαίτερα χρήσιμη κατά τη διάρκεια μιας έρευνας όταν χρειάζεται να συνδέσετε γρήγορα διαφορετικά κομμάτια πληροφοριών. +- **Περιστατικά**: Η ενότητα Περιστατικά κεντρικοποιεί όλες τις **ομαδοποιημένες ειδοποιήσεις σε διαχειρίσιμες περιπτώσεις**. Το Sentinel συγκεντρώνει σχετικές ειδοποιήσεις σε ένα μόνο περιστατικό, παρέχοντας συμφραζόμενα όπως σοβαρότητα, χρονοδιάγραμμα και επηρεαζόμενους πόρους. Μέσα σε ένα περιστατικό, μπορείτε να δείτε ένα λεπτομερές γράφημα έρευνας που απεικονίζει τη σχέση μεταξύ των ειδοποιήσεων, διευκολύνοντας την κατανόηση της έκτασης και του αντίκτυπου μιας πιθανής απειλής. Η διαχείριση περιστατικών περιλαμβάνει επίσης επιλογές για την ανάθεση εργασιών, την ενημέρωση καταστάσεων και την ενσωμάτωση με ροές εργασίας αντίκτυπου. +- **Βιβλία Εργασίας**: Τα Βιβλία Εργασίας είναι προσαρμόσιμες πίνακες και αναφορές που σας βοηθούν να **οπτικοποιήσετε και να αναλύσετε τα δεδομένα ασφαλείας σας**. Συνδυάζουν διάφορα γραφήματα, πίνακες και ερωτήσεις για να προσφέρουν μια συνολική εικόνα των τάσεων και των προτύπων. Για παράδειγμα, μπορεί να χρησιμοποιήσετε ένα βιβλίο εργασίας για να εμφανίσετε μια χρονογραμμή δραστηριοτήτων σύνδεσης, γεωγραφική χαρτογράφηση διευθύνσεων IP ή τη συχνότητα συγκεκριμένων ειδοποιήσεων με την πάροδο του χρόνου. Τα Βιβλία Εργασίας είναι τόσο προ-κατασκευασμένα όσο και πλήρως προσαρμόσιμα για να ταιριάζουν στις συγκεκριμένες ανάγκες παρακολούθησης της οργάνωσής σας. +- **Κυνήγι**: Η δυνατότητα Κυνήγι παρέχει μια προληπτική προσέγγιση για **να βρείτε απειλές που μπορεί να μην έχουν ενεργοποιήσει τυπικές ειδοποιήσεις**. Έρχεται με προ-κατασκευασμένες ερωτήσεις κυνήγι που ευθυγραμμίζονται με πλαίσια όπως το MITRE ATT&CK αλλά σας επιτρέπει επίσης να γράφετε προσαρμοσμένες ερωτήσεις. Αυτό το εργαλείο είναι ιδανικό για **προχωρημένους αναλυτές που επιθυμούν να ανακαλύψουν κρυφές ή αναδυόμενες απειλές** εξερευνώντας ιστορικά και δεδομένα σε πραγματικό χρόνο, όπως ασυνήθιστους δικτυακούς προτύπους ή ανωμαλίες στη συμπεριφορά χρηστών. +- **Σημειωματάρια**: Με την ενσωμάτωση Σημειωματάριων, το Sentinel αξιοποιεί **Jupyter Notebooks για προχωρημένη ανάλυση δεδομένων και αυτοματοποιημένες έρευνες**. Αυτή η δυνατότητα σας επιτρέπει να εκτελείτε κώδικα Python απευθείας στα δεδομένα του Sentinel, καθιστώντας δυνατή την εκτέλεση αναλύσεων μηχανικής μάθησης, τη δημιουργία προσαρμοσμένων οπτικοποιήσεων ή την αυτοματοποίηση σύνθετων ερευνητικών εργασιών. Είναι ιδιαίτερα χρήσιμο για επιστήμονες δεδομένων ή αναλυτές ασφαλείας που χρειάζονται να διεξάγουν σε βάθος αναλύσεις πέρα από τις τυπικές ερωτήσεις. +- **Συμπεριφορά Οντοτήτων**: Η σελίδα Συμπεριφορά Οντοτήτων χρησιμοποιεί **Αναλύσεις Συμπεριφοράς Χρηστών και Οντοτήτων (UEBA)** για να καθορίσει τις βάσεις για κανονική δραστηριότητα στο περιβάλλον σας. Εμφανίζει λεπτομερή προφίλ για χρήστες, συσκευές και διευθύνσεις IP, **τονίζοντας τις αποκλίσεις από τη συνήθη συμπεριφορά**. Για παράδειγμα, αν ένας λογαριασμός με κανονικά χαμηλή δραστηριότητα ξαφνικά εμφανίζει υψηλούς όγκους μεταφορών δεδομένων, αυτή η απόκλιση θα σημειωθεί. Αυτό το εργαλείο είναι κρίσιμο για την αναγνώριση εσωτερικών απειλών ή συμβιβασμένων διαπιστευτηρίων με βάση ανωμαλίες συμπεριφοράς. +- **Πληροφορίες Απειλών**: Η ενότητα Πληροφορίες Απειλών σας επιτρέπει να **διαχειρίζεστε και να συσχετίζετε εξωτερικούς δείκτες απειλών**—όπως κακόβουλες διευθύνσεις IP, URLs ή κατακερματισμούς αρχείων—με τα εσωτερικά σας δεδομένα. Με την ενσωμάτωση με εξωτερικές ροές πληροφοριών, το Sentinel μπορεί αυτόματα να σημειώνει γεγονότα που ταιριάζουν με γνωστές απειλές. Αυτό σας βοηθά να ανιχνεύετε και να ανταποκρίνεστε γρήγορα σε επιθέσεις που είναι μέρος ευρύτερων, γνωστών εκστρατειών, προσθέτοντας ένα ακόμη επίπεδο συμφραζομένων στις ειδοποιήσεις ασφαλείας σας. +- **MITRE ATT&CK**: Στην καρτέλα MITRE ATT&CK, το Sentinel **χαρτογραφεί τα δεδομένα ασφαλείας σας και τους κανόνες ανίχνευσης στο ευρέως αναγνωρισμένο πλαίσιο MITRE ATT&CK**. Αυτή η προβολή σας βοηθά να κατανοήσετε ποιες τακτικές και τεχνικές παρατηρούνται στο περιβάλλον σας, να εντοπίσετε πιθανά κενά κάλυψης και να ευθυγραμμίσετε τη στρατηγική ανίχνευσής σας με αναγνωρισμένα πρότυπα επιθέσεων. Παρέχει έναν δομημένο τρόπο ανάλυσης του πώς οι αντίπαλοι μπορεί να επιτίθενται στο περιβάλλον σας και βοηθά στην προτεραιοποίηση αμυντικών ενεργειών. +- **Content Hub**: Το Content Hub είναι μια κεντρική αποθήκη **προ-πακεταρισμένων λύσεων, συμπεριλαμβανομένων συνδέσμων δεδομένων, κανόνων ανάλυσης, βιβλίων εργασίας και playbooks**. Αυτές οι λύσεις έχουν σχεδιαστεί για να επιταχύνουν την ανάπτυξή σας και να βελτιώσουν τη θέση ασφαλείας σας παρέχοντας βέλτιστες ρυθμίσεις για κοινές υπηρεσίες (όπως το Office 365, Entra ID κ.λπ.). Μπορείτε να περιηγηθείτε, να εγκαταστήσετε και να ενημερώσετε αυτά τα πακέτα περιεχομένου, διευκολύνοντας την ενσωμάτωση νέων τεχνολογιών στο Sentinel χωρίς εκτενή χειροκίνητη ρύθμιση. +- **Αποθετήρια**: Η δυνατότητα Αποθετηρίων (προς το παρόν σε προεπισκόπηση) επιτρέπει τον έλεγχο εκδόσεων για το περιεχόμενο του Sentinel σας. Ενσωματώνεται με συστήματα ελέγχου πηγών όπως το GitHub ή το Azure DevOps, επιτρέποντάς σας να **διαχειρίζεστε τους κανόνες ανάλυσης, τα βιβλία εργασίας, τα playbooks και άλλες ρυθμίσεις ως κώδικα**. Αυτή η προσέγγιση όχι μόνο βελτιώνει τη διαχείριση αλλαγών και τη συνεργασία αλλά διευκολύνει επίσης την επιστροφή σε προηγούμενες εκδόσεις αν χρειαστεί. +- **Διαχείριση Workspace**: Ο διαχειριστής Workspace του Microsoft Sentinel επιτρέπει στους χρήστες να **διαχειρίζονται κεντρικά πολλαπλά workspaces Microsoft Sentinel** εντός ενός ή περισσότερων ενοικιαστών Azure. Ο Κεντρικός χώρος εργασίας (με ενεργοποιημένο τον διαχειριστή Workspace) μπορεί να συγκεντρώσει στοιχεία περιεχομένου για δημοσίευση σε κλίμακα σε μέλη workspaces. +- **Συνδέσμοι Δεδομένων**: Η σελίδα Συνδέσμων Δεδομένων απαριθμεί όλους τους διαθέσιμους συνδέσμους που φέρνουν δεδομένα στο Sentinel. Κάθε σύνδεσμος είναι **προ-ρυθμισμένος για συγκεκριμένες πηγές δεδομένων** (τόσο Microsoft όσο και τρίτων) και δείχνει την κατάσταση σύνδεσής του. Η ρύθμιση ενός συνδέσμου δεδομένων συνήθως περιλαμβάνει μερικά κλικ, μετά τα οποία το Sentinel αρχίζει να εισάγει και να αναλύει καταγραφές από αυτή την πηγή. Αυτή η περιοχή είναι ζωτικής σημασίας επειδή η ποιότητα και η έκταση της παρακολούθησης ασφαλείας σας εξαρτώνται από την ποικιλία και τη ρύθμιση των συνδεδεμένων πηγών δεδομένων σας. +- **Ανάλυση**: Στην καρτέλα Ανάλυσης, **δημιουργείτε και διαχειρίζεστε τους κανόνες ανίχνευσης που τροφοδοτούν τις ειδοποιήσεις του Sentinel**. Αυτοί οι κανόνες είναι ουσιαστικά ερωτήσεις που εκτελούνται σε προγραμματισμένο χρόνο (ή σχεδόν σε πραγματικό χρόνο) για να εντοπίσουν ύποπτα πρότυπα ή παραβιάσεις ορίων στα δεδομένα καταγραφών σας. Μπορείτε να επιλέξετε από προ-κατασκευασμένα πρότυπα που παρέχονται από τη Microsoft ή να δημιουργήσετε τους δικούς σας προσαρμοσμένους κανόνες χρησιμοποιώντας KQL. Οι κανόνες ανάλυσης καθορίζουν πώς και πότε παράγονται οι ειδοποιήσεις, επηρεάζοντας άμεσα το πώς σχηματίζονται και προτεραιοποιούνται τα περιστατικά. +- **Λίστα Παρακολούθησης**: Η λίστα παρακολούθησης του Microsoft Sentinel επιτρέπει τη **συλλογή δεδομένων από εξωτερικές πηγές δεδομένων για συσχέτιση με τα γεγονότα** στο περιβάλλον Microsoft Sentinel σας. Μόλις δημιουργηθεί, αξιοποιήστε τις λίστες παρακολούθησης στην αναζήτησή σας, στους κανόνες ανίχνευσης, στο κυνήγι απειλών, στα βιβλία εργασίας και στα playbooks αντίκτυπου. +- **Αυτοματοποίηση**: Οι κανόνες αυτοματοποίησης σας επιτρέπουν να **διαχειρίζεστε κεντρικά όλη την αυτοματοποίηση της διαχείρισης περιστατικών**. Οι κανόνες αυτοματοποίησης απλοποιούν τη χρήση αυτοματοποίησης στο Microsoft Sentinel και σας επιτρέπουν να απλοποιήσετε σύνθετες ροές εργασίας για τις διαδικασίες ορχήστρωσης περιστατικών σας. + + +{{#include ../../../banners/hacktricks-training.md}}