轻松斩断信息安全黑手！就这？

针对企业云端安全监控的这一重要需求，我们设计了一套可以一键部署，也可以动态调整的安全监控模板方案，希望可以给客户带来最直观的安全监控方案以及后续深入调查的平台，并通过一系列文章进行了全面介绍。

在本系列的第一篇，我们介绍了如何监控和分析全网环境的网络日志（点击这里回看）；

第二篇文章中，我们在前一篇的基础上介绍了如何通过利用 Network?Watcher，NSG 等网络端组件的日志分析具体行为，来定位企业云环境中的高危服务器（点击这里回看）；

本篇作为这系列的最后一篇，将继续推进，向大家介绍在确定了高危机器之后，又该如何从分析日志着手，进一步调查可能存在的安全问题。

书接上文，首先登录到通过上文方法定位的高危机器，打开安全中心后，检查发现，这台机器确实建立了可疑 IP 地址的出站连接，这属于一种典型的异常行为：

注意

对于云端 Windows 机器，在性能允许的情况下，强烈建议开启Windows VM Microsoft Anti-Malware，这个扩展可有效阻止恶意程序执行。否则在不开启安全中心内置的一系列主动安全防御功能的前提下，虽然面对类似情况安全中心也会报警，但并不会拦截恶意行为。另外对于一些高级攻击手段，Antimalware 也无法有效拦截，此时往往需要进一步使用 Microsoft Defender for Endpoint 来实现联动的全局保护。

接下来，我们将根据监控面板里提供的默认情况进一步深入调查。

对于 Linux 机器，在面板上我们主要依赖事件的严重等级，这种方式虽然没有 Security Event 那样完备，但这是目前相对比较有参考意义的一部分数据了。

随后我们可以参考这个模板的语句，分别对于 SeverityLevel 为 alert、crit 等的日志用 where 进行筛选即可：

从身份登录检查可以发现，除了有很多“4625”代表被暴力破解的痕迹外，还有一些“4672”代表有极大威胁的提权。因此我们需要调查这些提权操作是如何被发起的。这里可以先点击当前事件，随后即可看到详情：

仔细检查可以发现：该事件首先使用 Local Admin 为 sshd 相关账号分配了一些特权，然后借助这些 sshd 账号，利用 SelmpersonatePrivilege 权限执行了进一步操作，如通过 DCOM 调用使服务向攻击者监听的端口发起连接并进行 NTLM 认证等。

所以接下来就需要看看这些奇怪的账号是怎么来的，是通过什么方式执行了这些操作。

SecurityEvent
| where EventID == "4624"| where AccountType == "User"| where Account contains "sshd"

这里我们可以非常简便地对包含“sshd”字样的用户搜索其登录成功的痕迹：

接下来我们再来看看，对于进程的调查，从默认仪表板上，我们可以最直接地看到以下信息：

在进程部分可以发现很多不同维度的分析，并且需要跟业务部门的工作习惯、IT 部门的人员组成等相关联进行分析。比如上图的示例环境中可以看到，在 BigDataS 这台机器上，在一个非工作时间，有不同于其他机器比例的 cmd 运行次数。根据以上信息，就需要与 IT 和业务部门的同事一起讨论看看这种情况是否正常。

除了在面板上看到的有关进程的信息，安全中心页面上还提供了很多在狩猎阶段大家都关心的维度，建议利用以下这些洞察对服务器上的进程进行摸排和了解：

这一系列文章就此全部完结。本系列内容意在向大家介绍如何利用云原生监控平台，从网络端出发监控环境内南北向、东西向的流量并进行洞察分析，定位到一部分存在风险的服务器，并结合监控平台对于终端的洞察力，加上微软强大的终端监控防御武器 Azure Defender + Microsoft Antimalware，借此大幅提高客户对云环境的安全可见性。

希望这些信息能带给大家帮助和启发。