標題：如何調查雲服務提供商的安全環境

在微軟最近的一篇文章中，他們介紹了最新的安全保護策略以保護用戶免受NOBELIUM活動的影響，該活動針對的是技術服務提供商。

早在5 月，微軟就認定有俄羅斯背景的NOBELIUM 黑客組織要對持續數月的SolarWinds 網絡攻擊事件負責，並同企業、政府和執法機構達成了合作，以遏制此類網絡攻擊的負面影響。早些時候，微軟更進一步地剖析了NOBELIUM 使用的一套更加複雜的惡意軟件傳送方法。可知其用於造成破壞，並獲得“HTML Smuggling”系統的訪問權。微軟表示，HTML Smuggling 是一種利用合法HTML5 和JavaScript 功能、以高度規避安全系統檢測的惡意軟件傳送技術。近年來，這項技術已被越來越多地用於部署網銀惡意軟件、遠程訪問木馬（RAT）、以及其它有針對性的釣魚郵件活動。

Microsoft 365 和Microsoft Azure 中存在多種類型的信任鏈，包括委派管理權限(DAP)、Azure 代表管理員(AOBO)、Microsoft Azure Active Directory (Azure AD) 企業對企業(B2B) 、多租戶Azure AD 應用程序以及客戶用戶。其中許多信任鏈可以授予對Azure 資源和Microsoft 365 的高級訪問權限，這需要密切監視。

委託管理特權DAP是一種方法，通過它，服務提供商可以管理Microsoft 365環境，而不需要維護本地身份。 DAP 對服務提供商和最終客戶都有好處，因為它允許服務提供商使用他們自己的身份和安全策略管理下游租戶。

使用DAP的服務提供商可以在Microsoft 365管理中心通過導航到“設置”，然後到“合作夥伴關係”來識別。在合作夥伴關係中，你可以查看與租戶建立計費關係的所有服務提供商的列表，以及服務提供商是否分配了任何角色。

將DAP 識別為下游客戶

雖然終端客戶無法看到服務提供商租戶中所有可以對最終客戶租戶進行管理更改的用戶的列表，但他們可以通過查看Azure Active Directory 登錄日誌來查看服務提供商的登錄並過濾服務提供商的跨租戶訪問類型。可以通過單擊“下載”導出結果，並利用這些結果進一步針對Azure 和Microsoft 365 進行分類。

服務提供商的登錄

AzureAOBOAzure AOBO在本質上類似於DAP，儘管訪問的範圍僅限於針對個人Azure訂閱和資源的Azure資源管理器(ARM)角色分配，以及Azure Key Vault訪問策略。 Azure AOBO帶來了與DAP類似的管理效益。

要全面評估你訂閱中的AOBO權限，請確保已授予全局管理員訪問權限，後者將評估服務提供商對每個租戶中的所有訂閱的訪問權限。

Azure AOBO訪問是在創建訂閱時添加的，可以在給定Azure訂閱的訪問控制(IAM)中看到。

如果你有多個訂閱，請考慮運行以下命令來識別服務提供商可能訪問資源的訂閱:

Get-AzSubscription|%{Set-AzContext-Subscription$_;Get-AzRoleAssignment-Scope'/subscriptions/$($_.Id)'|Where-Object{$_.DisplayName-like'ForeignPrincipalfor*inRole'TenantAdmins'(*)'}|SelectDisplayName,Scope|Format-Table}也可以授予csp直接訪問Key Vault的權限。下面的PowerShell命令可以用來識別允許通過AOBO訪問的訪問策略Key vault:

Get-AzKeyVault|%{$vault=Get-AzKeyVault-VaultName$_.VaultName;if($vault.AccessPolicies|Where-Object{$_.DisplayName-like'ForeignPrincipalfor'*'inrole'TenantAdmins'(*)'}){$vault|selectVaultName,ResourceId|Format-Table}}除了上述命令之外，Azure Red Team工具Stormspotter也可以用於大型環境。

從前面的步驟中收集的信息將用於在分類期間進行日誌審查。

Azure AD B2BAzure AD B2B帳戶(客戶)可用於管理Azure和Microsoft 365資源。這種管理訪問方法利用了另一個租戶中的個人現有身份，由於對身份控制的限制，Microsoft通常不推薦這種方法。調查人員應注意授予客戶訪問Microsoft 365 中資源的多種方式，其中可能包括Exchange Online 角色和SharePoint Online 角色。

Azure訂閱為了全面評估你的訂閱中的B2B權限，請確保你已授予用戶訪問權限，這些用戶將根據以下指導評估服務提供商對每個租戶中所有訂閱的訪問：提升訪問權限以管理所有Azure 訂閱和管理組。

授予Azure 角色的Azure AD B2B 身份顯示在Azure 門戶的訪問控制邊欄選項卡中。

在訂閱中具有所有者角色的客戶用戶

可以使用以下命令系統地識別Azure AD B2B 身份，該命令將生成可用於定位初始分類的身份和資源列表。

Get-AzSubscription|%{Set-AzContext-Subscription$_;Get-AzRoleAssignment-Scope'/subscriptions/$($_.Id)'|Where-Object{$_.SignInName-like'*#EXT#@*'}|SelectDisplayName,SignInName,Scope|Format-Table}.Microsoft 365 (Azure AD)可以在Azure AD 特權身份管理邊欄選項卡的分配邊欄選項卡中查看已在Azure AD 中授予角色的Azure AD B2B 身份。過濾“#EXT#”將允許你查看分配給管理角色的所有訪客用戶。

過濾客戶用戶

下面的PowerShell還可以用於識別具有管理角色的客戶帳戶。這些身份信息將用於幫助目標分類。

Get-AzureADDirectoryRole|Get-AzureADDirectoryRoleMember|Where-Object{$_.UserPrincipalName-like'*#EXT#@*'}.調查信任鏈在Microsoft 365和Microsoft Azure中，通過信任鏈的活動可以看到多個活動，包括Azure AD審計日誌、Azure activity日誌、Intune審計日誌和統一審計日誌。使用在“識別”階段收集的數據，可以執行有針對性的日誌檢查，以識別信任鏈濫用。應審查每個日誌的來自信任鏈的活動，特別是重點關注促進持久性、數據收集和偵察的活動。

Azure AD攻擊者通常會使用各種方法來建立持久性，這些方法包括創建新的服務主體、向現有應用程序註冊中添加新的秘密、服務主體、創建新的特權用戶以及接管現有的特權帳戶。你可以通過查看Azure AD 審核日誌並篩選在“識別”階段識別為最近登錄的用戶，來識別通過信任鏈對Azure AD 所做的修改，比如：

密碼重置；

修改服務主體；

將用戶添加到特權角色；

對多因素身份驗證(MFA)的更改；

創建新用戶；

統一審計日誌統一審核日誌可用於識別通過SharePoint Online、Exchange Online、Azure AD 和其他Microsoft 365 產品中的信任鏈執行的活動。

統一審核日誌從Azure AD 和Office 365 中提取數據並將這些數據保留至少90 天，使其成為非常有價值的集中信息來源，如果應用E5 許可證，此數據將保留1 年，使用高級審計的最長可配置保留期為10 年。

Search-UnifiedAuditLog cmdlet 可用於搜索在“識別”階段識別的用戶執行的操作。或者，可以使用Microsoft 365 Defender 門戶中的GUI 搜索日誌。

Azure活動攻擊者對Azure資源的訪問使他們能夠竊取數據並橫向移動到連接到目標Azure環境的其他環境。有權訪問訂閱的攻擊者可以部署新資源、通過虛擬機擴展訪問現有資源，或者直接從Azure 訂閱中竊取數據和密鑰。對Azure資源的訪問和操作可以通過檢查每個訂閱中存在的Azure Activity日誌進行審計。

微軟終端管理器

攻擊者可能通過各種信任鏈訪問Microsoft終端管理器，由於Microsoft終端管理器管理設備的配置，因此它是另一個需要查看的重要審核日誌。可以在微軟終端管理器門戶的租戶管理邊欄選項卡下訪問微軟終端管理器審核日誌。在審計日誌中，啟動器“Partner”可用於過濾由Partner發起的操作。在“身份識別”階段被識別為具有特權的客戶用戶所採取的操作將需要通過用戶主體名稱進行搜索。應該檢查這些日誌事件，以確保沒有通過識別的信任鏈發生惡意活動。

緩解措施如果在調查過程中發現並確認惡意活動或發現不需要的和過度放任的信任鏈，則應採取果斷措施阻止或最小化訪問。根據信任鏈的類型，可能需要採取不同的步驟來阻止訪問。在任何正在進行的調查結束之前，不建議完全刪除工件；刪除某些工件可能會延遲或增加完成調查的難度。客戶應該與他們的服務提供商交流以了解他們有哪些保護措施，並且在發生潛在惡意活動時，通知他們的服務提供商以獲得他們在活動驗證方面的幫助。

委託管理權限如果服務提供商對租戶的日常活動管理不需要DAP，則應該刪除它。在某些情況下，需要權限以方便服務提供商的管理。在這些情況下，微軟將引入細粒度的委派管理員權限(GDAP)，這將允許合作夥伴控制對其客戶工作負載的更細粒度和有時間限制的訪問。

微軟建議服務提供商利用客戶租戶中的命名帳戶來降低風險。如果存在來自服務提供商關係的攻擊證據，建議至少在調查結束之前從關係中刪除被委派的管理員權限。

要刪除委託的管理員權限，請在Microsoft 365管理中心導航到“設置”，然後到“合作夥伴關係”。在夥伴關係中，點擊該關係，然後在詳細信息選項中選擇“刪除角色”。採取此操作將阻止服務提供商以全局管理員或幫助台管理員的身份訪問租戶。刪除此訪問權限不會更改或更改當前通過服務提供商購買的計費關係或許可證。

AzureAOBO如果Azure 訂閱的有效日常管理不需要Azure AOBO 訪問權限，則應刪除它。如果服務提供商需要訪問Azure 訂閱，則應該通過添加具有適當角色和權限的外部主體來應用最小權限。如果有證據表明來自服務提供商的攻擊，那麼應該從每個Azure訂閱中刪除外部主體。

可以利用Azure 策略監控通過AOBO 授予的權限。你可以在Tenant Root Group部署Azure 策略，如果將外部主體的權限分配給Azure中的資源，則該策略將引發不合規。雖然Azure 策略不能阻止使用外國主體創建訂閱，但它簡化了關於訂閱存在的報告，並允許在需要時自動刪除或阻止創建。

可以通過導航到受影響訂閱上的訪問控制(IAM) 邊欄選項卡，為服務提供商選擇外部主體，然後刪除Azure AOBO 權限

刪除外部主體的Azure AOBO 權限

安全檢測日誌記錄的集中可用性對於響應和調查潛在事件至關重要，並且是此類DART 調查的首要障礙。如果組織正在監控其云環境的特權訪問和管理更改，則應該可以發現並警告涉及授權管理特權濫用的惡意活動。

應將雲活動日誌提取到安全信息和事件管理器(SIEM) 中並保留以供分析。包括：

Office 365 統一審核日誌；

Azure AD 管理員審核日誌和登錄日誌；

Microsoft終端管理器審計日誌。

可以利用Azure活動日誌和特定的數據平面日誌(如Azure Key Vault和Storage Azure 策略)來強制執行一致的日誌標準。

作為事件響應者，當有數量和質量都豐富的可用數據時，DART 最有效。一種感興趣的日誌類型是登錄日誌；身份事件可以告訴我們很多關於攻擊活動的信息。通常可以在這些日誌中識別模式，這些模式可以像IP 地址匹配一樣簡單，也可以像UserAgent 字符串、時間和應用程序ID 匹配一樣複雜。

話雖如此，最關鍵的日誌記錄是管理活動的日誌記錄。管理帳戶的任何使用或執行的操作都非常重要，應受到監控，在企業環境中，大多數更改通常是在批准的更改窗口期間進行的，應評估此範圍之外的更改的有效性和完整性。

日誌本身是很有用的，但對於及時顯示不尋常或惡意活動，警報是至關重要的。 Microsoft 365 Defender 門戶有一些有用的內置警報來識別可疑活動。比如：

提升Exchange管理權限；

啟動或導出eDiscovery搜索；

創建轉發或重定向規則；

還可以創建自定義警報以提醒其他類型的活動，另一個比較好用的警報工具是Microsoft Defender for Cloud Apps（以前稱為Microsoft Cloud App Security）。此工具可以從Azure AD、Office 365、Azure、Defender for Endpoint、Defender for Identity 以及許多第三方服務中提取數據。策略引擎可用於基於內置模板或自定義定義創建警報策略。以下是一些模板化策略的例子：

來自非公司IP地址的管理活動；

可疑的管理活動；

向OAuth應用程序添加可疑憑證；

可疑的OAuth應用程序文件下載活動；

多個虛擬機創建活動；

微軟安全建議微軟建議客戶定期與服務提供商進行交流，以了解為訪問其租戶設置的安全控制。應該密切監視服務提供商對資源的訪問，如果一段時間未使用，則應按照嚴格的最低權限流程進行刪除。

保護管理訪問的一些具體方法包括使用即時管理解決方案，例如特權身份管理，包括定期審查管理員以確保仍然需要他們的訪問。 MFA 也很關鍵，不僅是啟用MFA，還要確保所有管理員都註冊了MFA 方法。