¿Qué es Azure Sentinel?
Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) y orquestación, automatización y respuesta de seguridad (SOAR) nativa de la nube. Proporciona análisis de seguridad, inteligencia de amenazas, visibilidad de amenazas, detección de ataques, búsqueda proactiva y respuesta a amenazas.
Se basa en los servicios de Azure e incorpora de forma nativa bases comprobadas como Logic Apps y Log Analytics. Enriquece las investigaciones y detecciones con inteligencia artificial (IA) y flujos de inteligencia de amenazas de Microsoft, y le permite usar su inteligencia de amenazas.
Empresas que usan Azure Sentinel Obtenga una visión general centralizada del panorama de amenazas.colección centinela datos En todos los usuarios, aplicaciones, infraestructura y dispositivos locales y en múltiples nubes.
Sentinel aprovecha el análisis y la inteligencia de amenazas de Microsoft para detectar amenazas y minimizar los falsos positivos, y utiliza IA para investigar amenazas. Y busque actividad sospechosa.responde Procese incidentes rápidamente con orquestación integrada y automatización de tareas comunes.
Tabla de Contenidos
¿Qué es Azure Kubernetes Service (AKS)?
Azure Kubernetes Service (AKS) descarga la sobrecarga operativa de implementar clústeres de Kubernetes en Azure. Este servicio administrado de Kubernetes maneja tareas operativas, como el mantenimiento y la supervisión del estado, y la administración de Kubernetes. Los clientes solo necesitan administrar y mantener nodos proxy.
AKS es gratuito y a los clientes solo se les cobra por los nodos proxy en el clúster. Después de implementar el clúster de AKS, Azure configura e implementa el maestro y los nodos de Kubernetes.Puedes configurar varias funciones Durante la implementación de Kubernetesincluida la integración avanzada de redes, supervisión y Azure Active Directory (Azure AD).
Monitoreo de Azure Kubernetes Service (AKS) con Microsoft Sentinel
Puede configurar la supervisión de AKS con Microsoft Sentinel aplicando los siguientes pasos:
Habilite Sentinel y conecte sus fuentes de datos
Sentinel proporciona conectores a las soluciones de Microsoft, lo que hace que funcionen de manera inmediata con integración en tiempo real, que incluye:
- Defensor de Microsoft 365
- Fuente de Microsoft 365
- publicidad azul
- Microsoft defender para la identidad
- Seguridad de aplicaciones en la nube de Microsoft
Para conectar soluciones que no son de Microsoft y varias fuentes de datos, puede usar conectores integrados, formato de evento común (CEF), REST-API o Syslog.
Elija entre libros de trabajo creados profesionalmente
Una vez que haya conectado su fuente de datos, puede elegir entre una variedad de libros de trabajo que ayudan a obtener información basada en sus datos. Puede personalizar fácilmente estos libros de trabajo según sus necesidades.
Detección de amenazas mediante plantillas
Sentinel filtra sus fuentes de datos y le notifica sobre eventos sospechosos. Puede usar plantillas integradas para crear reglas de detección de amenazas diseñadas por expertos y analistas de seguridad de Microsoft basadas en amenazas conocidas, cadenas de escalada de actividad sospechosa y vectores de ataque comunes.
Las reglas creadas a partir de plantillas de detección de amenazas buscan automáticamente en todo su entorno actividades sospechosas. Puede personalizar la plantilla para buscar eventos específicos o filtrarlos. Estas reglas generan alertas que crean eventos que puede distribuir e investigar en su entorno.
Supervisión del clúster de AKS
Los clústeres de AKS se pueden supervisar mediante varios orígenes. El siguiente diagrama ilustra cómo se integran las diferentes fuentes en Sentinel:
Azure Security Center (ASC) AKS Protección contra amenazas
Azure Security Center Standard incluye protección contra amenazas integrada para los recursos que supervisa. Proporciona un paquete de Kubernetes opcional. Cuando el paquete está habilitado, ASC Threat Protection supervisa el clúster de AKS en busca de actividad sospechosa. Puede habilitar paquetes en ASC siguiendo estos pasos:
- navegación Precios y Configuración
- elige suscribirte
- Cerciorarse Kubernetes Habilitado como un tipo de recurso (ver imagen a continuación)
Si conectó alertas de amenazas de ASC a su espacio de trabajo de Sentinel mediante el conector de ASC nativo, esas alertas de AKS se enviarán directamente a Sentinel. ASC puede detectar una variedad de amenazas en clústeres de AKS, incluidos contenedores con montajes de volúmenes confidenciales, Tablero de Kubernetes expuestoy contenedores de minería de moneda digital.
Registros de diagnóstico de Azure
Los registros de diagnóstico de Azure son registros emitidos por recursos en Azure que brindan información sobre el funcionamiento de esos recursos. Los registros de diagnóstico se pueden usar para solucionar problemas, monitorear el estado de los recursos e identificar patrones de uso.
Hay varios tipos de registros de diagnóstico que se pueden recopilar en Azure:
- Registro de actividades: Estos registros proporcionan información sobre las operaciones que se han realizado en los recursos.
- Registro de métricas: Estos registros proporcionan información sobre el rendimiento y el estado de los recursos.
- Registro de recursos: Estos registros son específicos de los tipos de recursos y proporcionan información específica de los recursos.
Los registros de diagnóstico se pueden recopilar mediante Azure Monitor, un servicio que le permite recopilar, analizar y procesar datos de varias fuentes. Como alternativa, puede reenviar estos registros a su área de trabajo de Log Analytics. Puede recuperar registros de AKS para componentes de Kubernetes, como kube-apiserver, kube-controller-manager, kube-scheduler, kube-audit y cluster-autoscaler.
Una vez que los registros están visibles en la tabla AzureDiagnostics, se puede ejecutar la instrumentación. .
Aquí hay una consulta básica que puede usar en Azure Sentinel para ver los registros de NGINX para un pod específico:
Inventario de KubernetesPod
| donde PodName contiene «nginx»
| extender Pod = parse_json(Pod)
| contenedor de extensión = parse_json(Pod.spec.containers)
|extended-image=Contenedor.imagen
|NombreImagen extendido = extract(“(.+):.+”, 1, Imagen)
| Nombre del módulo del proyecto, nombre de la imagen
Esta consulta buscará filas en la tabla KubernetesPodInventory cuyo campo PodName contenga la cadena «nginx» y extraerá los campos PodName e ImageName para esas filas. La cláusula extend se usa para analizar el objeto JSON en los campos Pod y Container, y extraer el campo de imagen del objeto Container. Luego use la función de extracción para extraer el nombre de la imagen del campo Imagen.
Este es un ejemplo de una consulta centrada en la seguridad que puede ejecutar en los registros recopilados de Azure Kubernetes Service (AKS):
Auditoría de Kubernetes
| donde nivel == «advertencia»
| donde TipoEvento == «Ejecutivo»
|ext usuario = parse_json(usuario)
| Elemento TimeGenerated, User.username, Namespace, Resource, Action
Esta consulta buscará filas en la tabla KubernetesAudit con un campo de Nivel de «Advertencia» y un campo de Tipo de evento de «Ejecutivo». Luego extraerá los campos TimeGenerated, nombre de usuario, espacio de nombres, recurso y acción para estas filas, y analizará el campo de usuario en un objeto JSON para que se pueda extraer el campo de nombre de usuario.
Esta consulta devolverá una lista de eventos de auditoría que corresponden a eventos de ejecución de nivel de advertencia, que pueden incluir cosas como intentos de ejecutar un comando en un contenedor o acceder a un shell en un pod. Puede usar esta consulta para identificar actividades sospechosas e investigar más a fondo.
En conclusión
En resumen, Azure Sentinel es una poderosa herramienta para proteger las implementaciones de Kubernetes. Sus capacidades avanzadas de análisis de seguridad y la integración con una amplia gama de fuentes de datos lo hacen ideal para detectar y responder a las amenazas en los entornos de Kubernetes. Al recopilar registros y otros datos de su clúster de Kubernetes y usar Azure Sentinel para monitorear y analizar esos datos, puede obtener información sobre el rendimiento de su clúster e identificar posibles problemas de seguridad antes de que se conviertan en problemas.
Además, la capacidad de crear alertas y realizar acciones automatizadas en función de los datos de los registros puede ayudarlo a responder a las amenazas de manera oportuna y eficaz, lo que reduce el riesgo de infracciones u otros incidentes de seguridad.