Microsoft Exposure Graph: Tối Ưu Phát Hiện Tấn Công Lai & Bảo Mật Hybrid

Microsoft đã công bố những cải tiến đáng kể trong khả năng phát hiện các cuộc tấn công lai (hybrid attack), tận dụng nền tảng Microsoft Exposure Graph và tích hợp sâu rộng vào Microsoft Defender XDR. Cách tiếp cận dựa trên đồ thị (graph-based) này được thiết kế để kết nối người dùng và thiết bị thông qua các “bí mật” (secrets) như cookie người dùng và token, nhằm phát hiện các cuộc tấn công vượt ranh giới (cross-realm) trải dài từ môi trường on-premises đến môi trường đám mây.

Chi Tiết Kỹ Thuật

Microsoft Exposure Graph

Microsoft Exposure Graph đóng vai trò là một nền tảng thu thập và phân tích dữ liệu cốt lõi, cung cấp cái nhìn toàn diện về môi trường kỹ thuật số của tổ chức. Nền tảng này tập hợp thông tin từ nhiều nguồn khác nhau để xây dựng một bản đồ phức tạp về các mối quan hệ và rủi ro tiềm ẩn.

• Chức năng: Nền tảng này được thiết kế để thu thập dữ liệu chi tiết về các loại tài sản (assets), người dùng (users), các “bí mật” (secrets) và các khối lượng công việc (workloads) trong môi trường của tổ chức. Điều này bao gồm việc thu thập thông tin từ cả các thiết bị đầu cuối truyền thống và các tài nguyên đám mây.
• Các “bí mật” (Secrets): Một trong những điểm nhấn quan trọng của Exposure Graph là khả năng nhận diện và theo dõi các “bí mật” kỹ thuật số. Các “bí mật” này bao gồm các token và cookie của người dùng, chẳng hạn như Entra session cookies (trước đây là Azure AD session cookies), cũng như các khóa truy cập tài nguyên đám mây (cloud resource access keys). Việc truy cập hoặc lạm dụng các bí mật này thường là mục tiêu chính của những kẻ tấn công để duy trì quyền truy cập và di chuyển ngang.
• Ánh xạ kết nối (Connection Mapping): Điểm độc đáo của đồ thị này là khả năng tương quan một cách đặc biệt giữa các thiết bị và danh tính người dùng bằng cách liên kết các “bí mật” được tìm thấy trên các thiết bị đầu cuối (ví dụ: cookie trình duyệt như entra-userCookie) với các danh tính người dùng tương ứng. Việc này cho phép hệ thống hiểu rõ hơn về mối quan hệ giữa một thiết bị cụ thể và các phiên người dùng hoạt động trên đó.

Ví dụ minh họa:

Một thiết bị chứa Entra session cookie (entra-userCookie) được ghi nhận là đã xác thực một người dùng cụ thể trong ngữ cảnh của Exposure Graph. Khi cookie này bị lạm dụng hoặc đánh cắp, hệ thống có thể lập tức nhận diện mối liên hệ giữa hành vi bất thường trên thiết bị và danh tính người dùng bị ảnh hưởng, từ đó đưa ra cảnh báo chính xác hơn về một cuộc tấn công chiếm đoạt phiên hoặc lạm dụng thông tin xác thực.

Khả năng Phát hiện

Hệ thống sử dụng khả năng quét “bí mật” mở rộng trên cả các máy tính on-premises và tài nguyên đám mây thông qua Microsoft Security Exposure Management (MSEM). Kỹ thuật này cho phép phát hiện các “bí mật” bị lộ hoặc bị lạm dụng, vốn có thể dẫn đến việc chiếm đoạt tài khoản hoặc di chuyển ngang trong môi trường hybrid.

• Hệ thống có khả năng tương quan các sự kiện từ thiết bị đầu cuối (endpoint device events) với các sự kiện liên quan đến danh tính người dùng (user identity events) để tạo ra các cảnh báo hoặc sự cố (incidents) thống nhất với độ tin cậy cao. Sự kết hợp này giúp các nhà phân tích SOC nhanh chóng nắm bắt bức tranh tổng thể của một cuộc tấn công.
• Các cảnh báo này cung cấp mô tả toàn diện về các đường dẫn tấn công (attack paths), minh họa rõ ràng cách thức kẻ tấn công di chuyển ngang (lateral movement) từ một thiết bị sang môi trường đám mây hoặc ngược lại. Điều này cực kỳ quan trọng để hiểu rõ phạm vi và tác động của một sự cố bảo mật.

Tích hợp với Defender XDR

Việc tích hợp chặt chẽ với Microsoft Defender XDR là yếu tố then chốt giúp Exposure Graph phát huy tối đa hiệu quả. Các kết nối dựa trên đồ thị được sử dụng để làm giàu ngữ cảnh trong việc tương quan cảnh báo, giúp các nhà phân tích hiểu rõ hơn về mối quan hệ giữa các cảnh báo riêng lẻ và liên kết chúng thành một sự cố duy nhất.

• Sự tích hợp này hỗ trợ phát hiện các cuộc tấn công vượt ranh giới (cross-realm attacks) có tính phá hoại cao bằng cách hợp nhất nhiều cảnh báo thành các sự cố đơn lẻ. Việc hợp nhất này dựa trên các kỹ thuật tấn công chung hoặc danh tính kẻ tấn công đã được chia sẻ, cung cấp cái nhìn thống nhất về chuỗi tấn công thay vì các cảnh báo rời rạc.
• Điều này cải thiện đáng kể khả năng phản ứng sự cố, giúp đội ngũ bảo mật tập trung vào bức tranh lớn và ưu tiên các mối đe dọa nghiêm trọng nhất.

Các Tính năng & API Liên quan

Microsoft Graph Activity Logs

Microsoft Graph Activity Logs cung cấp cái nhìn sâu sắc và chi tiết về các hoạt động API diễn ra trong môi trường Microsoft 365. Những nhật ký này rất quan trọng để giám sát và phát hiện các hành vi bất thường hoặc độc hại.

• Các nhật ký này ghi lại các giao dịch được thực hiện bởi các ứng dụng và máy khách API được cấp quyền (consented applications/API clients), bao gồm cả các quy trình không tương tác (non-interactive) hoặc chạy nền (background processes). Đây là một nguồn dữ liệu phong phú để phát hiện các hoạt động tự động hoặc bí mật của kẻ tấn công.

Các trường hợp sử dụng (Use Cases):

• Truy vết các hành động được thực hiện bởi các tài khoản bị xâm nhập: Khi một tài khoản người dùng hoặc ứng dụng bị chiếm đoạt, các hoạt động API của chúng sẽ được ghi lại, cho phép đội ngũ bảo mật truy ngược lại các bước của kẻ tấn công.
• Phát hiện các mẫu sử dụng API bất thường: Các hoạt động API nằm ngoài quy tắc hoặc với tần suất bất thường có thể là dấu hiệu của một cuộc tấn công hoặc việc lạm dụng tài nguyên.
• Xác định các quyền ứng dụng quá mức (overprivileged) hoặc đáng ngờ: Nhật ký giúp theo dõi các quyền được cấp cho ứng dụng và cách chúng được sử dụng, giúp xác định các ứng dụng có quyền truy cập rộng hơn mức cần thiết hoặc đang thực hiện các hành động đáng ngờ.

Kích hoạt nhật ký:

Các quản trị viên tenant có thể kích hoạt nhật ký thông qua cài đặt chẩn đoán Azure Monitor diagnostic settings. Các nhật ký này có thể được định tuyến đến nhiều đích khác nhau tùy thuộc vào nhu cầu về phân tích, lưu trữ hoặc tích hợp:

Azure Log Analytics workspace – Để phân tích KQL, tạo bảng điều khiển và thiết lập cảnh báo.
Azure Storage account – Để lưu trữ dài hạn và tuân thủ quy định.
Azure Event Hubs – Để truyền trực tuyến nhật ký đến các giải pháp SIEM bên ngoài hoặc các giải pháp tùy chỉnh.

Cảnh báo & Tương quan sự cố qua Security API

Loại tài nguyên alert trong namespace bảo mật của Microsoft Graph đại diện cho các vấn đề bảo mật tiềm ẩn được phát hiện trong một tenant. Đây là giao diện lập trình chính để truy cập và quản lý các cảnh báo bảo mật.

Namespace: microsoft.graph.security
Resource: alert (batch mới nhất)

Những điểm chính:

• Các cảnh báo được tạo ra khi các mối đe dọa được phát hiện bởi các dịch vụ gốc như Microsoft 365 Defender hoặc bởi các nhà cung cấp bên thứ ba đã tích hợp. Điều này đảm bảo một nguồn cảnh báo tập trung, bất kể nguồn gốc của phát hiện.
• Mỗi cảnh báo bao gồm các manh mối về các cuộc tấn công liên quan, các tài sản bị ảnh hưởng, và các bằng chứng đã thu thập trong quá trình điều tra. Thông tin này rất quan trọng để hỗ trợ quá trình phân tích và ứng phó sự cố.
• Hệ thống thực hiện tương quan tự động (automatic correlation) bằng cách tổng hợp nhiều cảnh báo có cùng danh tính kẻ tấn công hoặc cùng kỹ thuật tấn công thành các sự cố rộng hơn (incidents). Điều này cung cấp cái nhìn ngữ cảnh đầy đủ, giúp đội ngũ bảo mật hiểu rõ mối liên hệ giữa các cảnh báo và ưu tiên phản ứng dựa trên tác động tổng thể của sự cố.

Không đề cập rõ ràng CVE / Họ phần mềm độc hại / Nhóm APT

Nội dung này không chỉ rõ bất kỳ mã định danh CVE nào cũng như không đề cập đến các họ phần mềm độc hại cụ thể hay các nhóm APT (Advanced Persistent Threat) hoặc các nhóm tội phạm mạng. Thay vào đó, nó tập trung vào các cải tiến kiến trúc trong phát hiện mối đe dọa bằng cách sử dụng công nghệ đồ thị của Microsoft, thay vì đi sâu vào chi tiết các lỗ hổng cụ thể đã bị khai thác.

Bảng tóm tắt các yếu tố kỹ thuật chính được trích xuất từ nội dung