• Cloud, Sicurezza
• 30 Ottobre 2023

Nei precedenti articoli vi ho spiegato come poter “collezionare” log di dispositivi Windows e Linux in Microsoft Sentinel, vi lascio a titolo informativo i due articoli che descrivono questi scenari:

• Data Collection Rule Microsoft Sentinel Creare Data Collection Rule con Azure ARC e Microsoft Sentinel per il monitoraggio dei sistemi operativi Windows on-premises – ICT Power
• Collezionare Eventi di dispositivi On-Premise Configurare Microsoft Sentinel per ricevere Log da dispositivi On-Premises – ICT Power

In questo articolo, invece, vorrei darvi evidenza di come “sfruttare” questi eventi per automatizzare alcuni processi che altrimenti avreste dovuto eseguire in modo manuale con conseguente “perdita” di tempo prezioso, che in caso di compromissione potrebbe portarvi ad avere dei problemi per il vostro Business.

Licenze

Per utilizzare Microsoft Sentinel dovrete avere a disposizione una sottoscrizione di Microsoft Azure a consumo che vi permetterà di creare il contenitore di tutti i log ed inoltro vi permetterà di creare Logic App, necessaire per automatizzare i processi attraverso i flussi che andremo ad implementare.

Nel caso specifico dovrete avere anche una licenza per la parte di Microsoft Defender for Cloud Apps, acquistale come add-on, oppure incluse nei seguenti piani di Licensing:

• Microsoft 365 E5
• Enterprise Mobility & Security E5

Questo perché l’evento di “Proxy Anonimo o Rete Tor” è generato da questa componente di Microsoft 365 Defender.

Scenario

All’interno di questo articolo vedrete come poter bloccare un utente, quando viene generato un “incident” di Impossible Travel o di accesso a servizi Cloud di Microsoft da Proxy Anonimi, che è uno strumento utilizzato molto spesso dagli attaccanti per rendersi anonimi all’interno del web.

Di fondamentale importanza è avere a disposizione i log di Microsoft 365 Defender, nel nostro caso Microsoft Defender for Cloud Apps, collegato e attivo, vi mostro come poter abilitare questo Data Connector qual ora non lo aveste già attivato.

Recatevi all’interno del Workspace di Microsoft Sentinel tramite il portale di Azure Home – Microsoft Azure

Figura 1: Microsoft Sentinel

Figura 2: Microsoft Sentinel

Figura 3: Microsoft Sentinel

Figura 4: Installazione Connettore

NB: Vi consiglio di installare direttamente il connettore generico Microsoft 365 Defender, questo perché include già tutti i Workload di Defender incluso Cloud Apps, così nell’eventualità che servisse il connettore di Microsoft Defender for Endpoint o Microsoft Defender for Office 365, lo avrete già a disposizone.

Figura 5: Microsoft Sentinel

Figura 6: Connettore Microsoft 365 Defender

Ora dovrete procedere alla configurazione del connettore appena installato

Figura 7: Configurazione Connettore

Figura 8: Microsoft Sentinel

Figura 9: Configurazione Connettore

Figura 10: Connettore Configurato Correttamente

Ora Microsoft Sentinel sarà in grado di ricevere i vostri log di Microsoft Defender for Cloud Apps e di conseguenza, sarà in grado di eseguire correlazione e generare alert in caso di attività anomala. Ora avrete questi log e verrà generato un incident, ma come risponderete in moto automatico a questi eventi ?

Semplice, sfruttando i Playbook di Microsoft Sentinel, i playbook potete crearli e renderli disponibili agli analisti di sicurezza per rispondere in modo semi-automatico agli incident, oppure automatizzarli totalmente, per eventuali approfondimenti in merito vi rimando al link Microsoft ufficiale Automate threat response with playbooks in Microsoft Sentinel | Microsoft Learn

Dovrete recarvi all’interno del workspace con cui avrete creato l’istanza di Microsoft Sentinel:

Figura 11: Creazione Automation Rule

Figura 12: Creazione Playbook

Figura 13: Creazione Playbook

Figura 14: Creazione Playbook

Figura 15: Creazione Playbook

Ora dovrete configurare in Configuration Designer i flussi, sostanzialmente passando solo le utenze per l’accesso perché il processo di creazione è tutto automatizzato:

Figura 16: Configurazione Playbook

Io utilizzerò un account di Servizio per connettermi ai vari servizi per il processo di automazione che sarà [email protected]

Figura 17: Creazione Playbook

Figura 18: Creazione Playbook

Figura 19: Creazione Playbook

Figura 20: Configurazione Playbook

Figura 21: Configurazione Playbook

Dovrete ripetere questo passaggio per tutti gli step del flusso.

Il mio consiglio è quello di andare a modificare il flusso nella sezione “For Each”:

Figura 22: Creazione Playbook

Questo vi permetterà di “passare” al flusso lo USERID in modo puntuale e non incorrere in errori di “User Not Found”

Ora avrete creato il Playbook che sarà necessario per il blocco degli utenti coinvolti nell’Incident, non vi resta che creare la regola di automazione per richiamare il Playbook.

Figura 23: Creazione Automation Rule

Selezionare quindi l’incident con cui creare la regola di automazione, nel mio caso è riferito a Reti Tor o Proxy Anonimi:

Figura 24: Creazione Automation Rule

Consiglio di cancellare i due filtri che vengono creati ed inoltre di creare la regola quando viene generato un incident in base al titolo come mostrato nello screen, questo per applicare la regola in modo più preciso solo ed esclusivamente per quell’incident:

Figura 25: Creazione Automation Rule

Ora dovrete inserire il Playbook creato in precedenza e configurare una data di Expiration della regola:

Figura 26: Creazione Automation Rule

Figura 27: Salvataggio Regola

Figura 28: Automation Rule

Ora, per darvi evidenza del funzionamento di quanto creato eseguiremo con un utente di test, nel mio caso [email protected] da una rete tor/ proxy anonimo sfruttamento il nostro amato Tor Browser

Innanzitutto vi riporto lo stato attuale dell’utente che non risulta bloccato

Figura 29: Utente Demo

Apriamo quindi ora il tor Browser:

Figura 30: Connessione Portale Microsoft da rete Tor

Figura 31: Login Riuscito da Rete Tor

Figura 32: Playbook Eseguito

Figura 33: Utente Demo dopo Esecuzione Playbook

Conclusioni

Avete visto come poter ottimizzare e rendere Microsoft Sentinel autonomo nella gestione degli incident di sicurezza.

Vero, potete anche non automatizzare, perché potreste ricevere l’incident via email e procedere al blocco in modo manuale sulla vostra infrastruttura, ma se questo incident si presentasse in orari notturni o durante le festività ?

Ecco a cosa serve automatizzare determinati processi, sicuramente rendere automatico il blocco dell’utenza in caso di comportamenti sospetti vi aiuterà a proteggervi in modo puntuale a determinati attacchi, e non solo puntualmente, ma anche in modo proattivo ed in tempo reale, evitando di conseguenza spiacevoli sorprese.