วันเสาร์ที่ 15 ตุลาคม พ.ศ. 2565

สำรวจฟีเจอร์ใหม่ๆ ของ Microsoft Defender for Cloud

      สวัสดีครับทุกท่าน สำหรับบทความตอนนี้ของผม จะพาทุกท่านมาทำความรู้จักกับฟีเจอร์ใหม่ๆ ที่น่าสนใจของ Microsoft Defender for Cloud กันครับ หลังจากที่ทาง Microsoft ได้ประกาศและอัพเดทในงาน Microsoft Ignite 2022 ครับ สำหรับท่านใดที่ยังไม่รู้จักหรือยังไม่คุ้นเคยกับ Microsoft Defender for Cloud ซึ่งเป็น Service หนึ่งใน Microsoft Azure ที่มีบทบาทสำคัญสำหรับเรื่องของ Cloud Security สามารถเข้าไปอ่านบทความของผมที่เขียนไว้ก่อนหน้านี้ ซึ่งจะเป็นอธิบายให้ทุกท่านได้ทราบและเข้าใจกันก่อนครับ http://itgeist5blog.blogspot.com/2021/12/microsoft-defender-for-cloud.html


สำหรับฟีเจอร์ใหม่ของ Microsoft Defender for Cloud ที่ผมจะหยิบเอามานำเสนอในบทความนี้ของผม มีดังนี้ครับ Cloud Security Graph, Attack Path Analysis, และ Cloud Security Explorer ครับ โดยฟีเจอร์ใหม่ๆ เหล่านี้จะเข้ามาช่วย SOC หรือ Security Teams ในการทำ Day-to- Day Tasks ของ Security Operations ให้มีความง่ายและหยืดหยุ่นมากขึ้น












Cloud Security Graph

คือ Graph-Based Context Engine (ทำงานอยู่ใน Microsoft Defender for Cloud) จะทำการรวบรวมข้อมูลต่างๆ จาก Environments ขององค์กร ไม่ว่าจะเป็น Hybrid หรือ Multi-Cloud ตลอดจน Sources อื่นๆ ที่องค์กรต้องการรวบรวมข้อมูล ยกตัวอย่างเช่น Cloud Assets Inventory, Connections และ Lateral Movement ที่อาจจะเกิดขึ้นและเป็นไปได้ระหว่าง Resources ต่างๆ, Permissions, Network Connections, Vulnerabilities, และอื่นๆ  

โดยข้อมูลที่ได้รวบรวมมานั้นจะถูกสร้างหรือ Build เป็น Graph เพื่อแสดงถึง Environments ขององค์กรนั้นๆ  จากนั้น Microsoft Defender for Cloud จะใช้ Graph ที่ได้ถูกสร้างหรือ Build ขึ้นมาก่อนหน้านี้เพื่อทำ "Attack Path Analysis" เพื่อทำการค้นหาภัยคุกคาม (Threats), สิ่งผิดปรกติที่เกิดขึ้นใน Environments องค์กร โดย SOC Teams สามารถทำการ Query Graph โดยใช้ "Cloud Security Explorer" ครับ










Attack Path Analysis

คือ Graph-Based Algorithm ที่ทำการสแกนหรือตรวจสอบ Cloud Security Graph เพื่อทำการเปิดเผยเส้นทางต่างๆ ที่ Attackers ในการเข้ามาใน Environments ขององค์กรเพื่อเข้าถึง Resources ต่างๆ จากนั้น Attack Path Analysis ทำการตรวจสอบและค้นหาจากข้อมูลต่างๆ ที่ได้รวบรวมมาก่อนหน้านี้ เช่น Internet Exposure, Permissions, Lateral Movement, และอื่นๆ เพื่อดูว่ามีสิ่งผิดปรกติที่น่าสงสัยที่อาจจะก่อให้เกิดช่องโหว่ ตลอดจนการให้คำแนะนำหรือ Recommendations ในการ Remediate หรือการปรับปรุงแก้ไขอย่างไรเพื่อทำการหยุดหรือยับยั้งเส้นทางดังกล่าว







รูปด้านล่างจะเป็นรูปที่เกี่ยวข้องกับฟีเจอร์ Attack Path Analysis ซึ่งจะเป็นรูปที่แสดงถึงการใช้งาน Attack Path Analysis ครับ

















อ้างอิงจากรูปด้านบนทั้งหมดเป็นรูปที่เกี่ยวข้องกับ Environment ของผมนะครับ และผมได้ทำการทดลองใช้งาน Cloud Security Graph และ Attack Path Analysis ทำให้ผมได้ทราบว่ามีช่องโหว่หรือจุดที่อาจจะก่อให้เกิดความสุ่มเสี่ยงต่อความไม่ปลอดภัยกับ Azure VM  (Internet exposed VM has high serverity vulnerabilities) ของผมครับ จาก Issues ดังกล่าวนี้ ผมสามารถดู Recommendations ที่ Microsoft Defender for Cloud (Cloud Security Graph + Attack Path Analysis) ดังรูปด้านล่างครับ






Cloud Security Explorer

เป็นฟีเจอร์ที่จะเข้ามาช่วย SOC หรือ Security Teams ในการตรวจสอบและค้นหา Security Risks แบบ Proactive โดย SOC หรือ Security สามารถใช้ Cloud Security Explorer ทำการรัน Query (Graph-Based Query กับ Cloud Security Graph) ที่สามารถสร้างขึ้นด้วย Query Builder เพื่อทำการค้นหา Risks  รูปด้านล่างเป็นตัวอย่างการสร้าง Query รวมถึงการใช้ Query Templates ที่ทาง Microsoft Defender for Cloud เตรียมไว้ให้ครับ
















และรูปด้านล่างคือ ตัวอย่างของผลลัพธ์ที่ได้จาก Query ซึ่งเป็นการค้นหา Risks แบบ Proactive ครับ หลังจากนั้น SOC หรือ Security Teams สามารถที่จะนำเอาผลลัพธ์ที่ได้ ไปทำการพิจารณาเพื่อทำการปรับปรุง Resources ดังกล่าวนี้ให้มีความปลอดภัยมากขึ้น ส่งผลให้ภาพรวมของ Security Posture ในองค์กรดังกล่าวนั้นมีความปลอดภัยมากขึ้นครับ







Microsoft Defender for Cloud (DevOps Security)

หรือเรียกว่า Microsoft Defender for DevOps เป็นฟีเจอร์ที่เข้าไป Integrate เพื่อทำงานร่วมกับ GitHub Advanced Security ซึ่ง Embeded อยู่ภายใน GitHub และ Azure DevOps เพื่อเพิ่มความสามารถในการเข้าไปป้องกัน Resources จาก Code ไปยัง Cloud  โดยตัวของ Microsoft Defender for Cloud (DevOps Security) ได้เตรียมความสามารถต่างๆ เอาให้ SOC หรือ DevOps Teams สามารถเห็นและทำความเช้าใจข้อมูลและรายละเอียดต่างๆ เช่น GitHub และ Azure DevOps ที่อยู่ใน Environments (ครอบคลุมทั้ง Hybrid และ Mulit-Cloud) และมีการเชื่อมโยงเข้ากับ Contextual Cloud Security Intelligence อื่นๆ เพื่อช่วยในการสร้างความปลอดภัย 






ความสามารถคร่าวๆ ของ Microsoft Defender for Cloud (DevOps Security) หรือ Microsoft Defender for DevOps มีดังนี้ครับ

- Security หรือ DevOps Teams ตลอดจผู้ที่เกี่ยวข้องเช่น Security Administrators สามารถเห็นและเข้าใจภาพรวมทั้งหมด เช่น DevOps Inventory, Security Posture ของ Pre-Production Application Code, Resource Configuration ที่ข้ามหรือ Across หลายๆ Pipelines ภายใน Single View





- ตรวจสอบ Infrastructure as Code (IaC) Templates และ Container Images โดย Microsoft Defender for DevOps จะเข้าไปทำการตรวจสอบ Micsconfigurations ต่างๆ และสิ่งผิดปรกติที่น่าสงสัย ก่อนที่จะนำไปใช้งานใน Production Environments 






และทั้งหมดนี้คือการสำรวจฟีเจอร์ใหม่ๆ ของ Microsoft Defender for Cloud ครับผม.....


















2 ความคิดเห็น: