2020年微软在线技术峰会嘉宾演讲PPT资料合集.rar

1、Microsoft Online Tech Forum陈健宁 陈彬彬微软全球技术支持中心云平台安全响应机制内容安排云平台安全和应急响应更廉价的攻击负载(受控设备)平均价格区间PC-$0.13 到$0.89移动端-$0.82 到$2.78鱼叉式钓鱼每成功一个账号收取$100 到$1,000 不等0days 价格从$5,000 到$350,000勒索软件:预付$66 或者30%的盈利用于遮掩IP地理位置的代理服务价格100,000个最低每周$100拒绝服务(DOS)平均价格每天:$102.05每周:$327.00每月:$766.67破解的账号最低4亿只需$150平均$0.97每千个.现代化攻击链在

2、不断演进综合性攻击被完全用于云端或影响混合环境密码扫描从云端执行恶意代码供应链攻击Exchange侦察Exchange/OneDrive 渗透恶意OAuth 应用共享责任和策略要点云平台安全响应启用多因素认证（MFA），阻止99.9%针对身份的攻击在构建生产环境同时设计启用安全特性Secure Score启用并保存日志，定期备份日志关注官方公开信息并采取行动（https:/aka.ms/SUG）云平台安全应急响应报告资源滥用、报告钓鱼邮件（https:/cert.M）冷静分析追踪，补足短板云平台安全响应利器和最佳实践ASC,MDATP,AAD,Azure SentinelAzure Secur

3、ity Center 提供的解决方案Azure Security Center 最佳实践（1）Azure Security Center 最佳实践（2）ASC 案例resourceType:Virtual Machine,Attacker IP:199.59.x.x,Victim IP:“x.x.x.x,Attacker Port:15796,Victim Port:389发现虚拟机没有使用NSG进行访问控制，导致了安全漏洞。此前，ASC已经给出加固NSG及JIT的建议MDATP 提供的解决方案MDATP 管理员面板使用MDATP响应安全事件案例Ryuk勒索软件攻击链检测案例Advanced

4、Hunting/Find use of Base64 encoded PowerShell/Indicating possible Cobalt Strike DeviceProcessEvents|where Timestamp ago(7d)|where InitiatingProcessFileName=wmiprvse.exe|where FileName=powershell.exeand(ProcessCommandLine hasprefix-e or ProcessCommandLine contains frombase64)|where ProcessCommandLine

5、 matches regex A-Za-z0-9+/50,=0,2|project DeviceId,Timestamp,InitiatingProcessId,InitiatingProcessFileName,ProcessId,FileName,ProcessCommandLineAAD保护身份，检测异常Conditional Access 及 Identify ProtectionAAD身份信息保护最佳实践利用Conditional Access对管理角色用户进行多因素认证对所有用户进行多因素认证对Azure的管理访问（Azure portal,Azure PowerShell,Azu

6、re CLI）登陆进行多因素认证禁用传统认证协议结合AAD Identity Protection，对高风险用户强制密码重置，对中风险及以上用户要求多因素认证对访问发起的地点进行限制只允许特定客户端访问特定服务对设备合规性进行要求利用Identity Protection：设置MFA策略设置风险策略对风险采取控制风险用户风险登录确保AAD 登录日志的保存期限符合安全审计及响应策略案例AAD身份信息保护3/10/2020:安全人员发现某台Azure虚拟机被异常开启，机器没有NSG网络安全组保护，暴露给Internet后遭遇攻击我们调查发现2020年第一次开机请求是通过用户A的Azure Port