Vysvětlení výstrah zabezpečení
V programu Microsoft Defender pro cloud existují různá upozornění pro mnoho různých typů prostředků. Defender for Cloud generuje výstrahy pro prostředky nasazené v Azure a pro prostředky nasazené v místních a hybridních cloudových prostředích. Výstrahy zabezpečení se aktivují pokročilými detekcemi a jsou k dispozici pouze v programu Defender for Cloud.
Reakce na dnešní hrozby
Za posledních 20 let došlo ve světě hrozeb k významným změnám. V minulosti se společnosti obvykle musely starat pouze o odstranění stránky jednotlivými útočníky, kteří se většinou zajímali o to, "co by mohli udělat". Dnešní útočníci jsou mnohem sofistikovanější a organizovanější. Často mají konkrétní finanční a strategické cíle. Mají také k dispozici více zdrojů, protože mohou být financovány národními státy nebo organizovaným zločinem.
Tyto měnící se reality vedly k nevídané úrovni professionalismu v řadách útočníka. Již je nezajímá pouhé poškození vzhledu webu. Nyní mají zájem o krádež informací, finanční účty a soukromá data – z nichž všechny můžou využívat k vygenerování hotovosti na otevřeném trhu nebo použití konkrétní obchodní, politické nebo vojenské pozice. Ještě více o tom, co se týká těch útočníků s finančními cíli, jsou ti, kteří porušují sítě za účelem poškození infrastruktury a lidí.
V reakci na to organizace často nasazují různá bodová řešení zaměřená na ochranu podnikové hraniční sítě nebo koncových bodů hledáním známých podpisů útoku. Tato řešení často generují velký objem málo specifických výstrah, které pak musí bezpečnostní analytik třídit a prošetřovat. Většina organizací nemá dostatek času a potřebné odborné znalosti, aby si s těmito výstrahami poradily, a mnoho z nich tak zůstane neprošetřených.
Kromě toho útočníci vyvinuli své metody, aby odvrátili mnoho obran založených na podpisech a přizpůsobili se cloudovým prostředím. Je nutné zavést nové přístupy za účelem rychlejší identifikace nově se vynořujících hrozeb a urychlení detekce a reakce na ně.
Co jsou výstrahy zabezpečení a incidenty zabezpečení?
Upozornění jsou oznámení, která Defender for Cloud generuje, když detekuje hrozby u vašich prostředků. Defender for Cloud upřednostňuje a vypíše výstrahy spolu s informacemi potřebnými k rychlému prozkoumání problému. Defender for Cloud také poskytuje doporučení pro nápravu útoku.
Incident zabezpečení je kolekce souvisejících výstrah místo výpisu jednotlivých výstrah. Defender for Cloud používá korelaci cloudových inteligentních výstrah ke korelaci různých výstrah a signálů s nízkou věrností do incidentů zabezpečení.
Díky incidentům zabezpečení vám Defender for Cloud poskytuje jediný pohled na kampaň útoku a všechny související výstrahy. Toto zobrazení umožňuje rychle pochopit, jaké akce útočník provedl a jaké prostředky byly ovlivněny. Další informace najdete v tématu Korelace inteligentních upozornění v cloudu.
Jak Defender for Cloud detekuje hrozby?
Výzkumníci v oblasti zabezpečení ze společnosti Microsoft neustále vyhledávají nové hrozby. Vzhledem k naší globální přítomnosti v cloudu a místním prostředí máme přístup k rozsáhlé sadě telemetrických dat. Široká a různorodá kolekce datových sad nám umožňuje objevit nové vzory útoků a trendy v našich místních spotřebitelských a podnikových produktech a také naše online služby. V důsledku toho může Defender for Cloud rychle aktualizovat své algoritmy detekce, protože útočníci vydávají nové a stále sofistikovanější zneužití. Tento přístup vám pomůže držet krok s rychle se měnícím prostředím hrozeb.
K detekci skutečných hrozeb a omezení falešně pozitivních výsledků shromažďuje Defender for Cloud, analyzuje a integruje data protokolů z vašich prostředků Azure a sítě. Funguje také s připojenými partnerskými řešeními, jako jsou řešení brány firewall a ochrana koncových bodů. Defender for Cloud analyzuje tyto informace, často koreluje informace z více zdrojů za účelem identifikace hrozeb.
Defender for Cloud využívá pokročilou analýzu zabezpečení, která přesahuje přístupy založené na podpisech. Objevy v technologiích pro velké objemy dat a strojové učení se používají k vyhodnocení událostí v celé cloudové prostředcích infrastruktury – zjišťování hrozeb, které by nebylo možné identifikovat pomocí ručních přístupů a předpovídání vývoje útoků. Do této analýzy zabezpečení patří:
Integrovaná analýza hrozeb: Microsoft má obrovské množství globální analýzy hrozeb. Telemetrie proudí z několika zdrojů, jako jsou Azure, Microsoft 365, aplikace Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) a Microsoft Security Response Center (MSRC). Výzkumní pracovníci také dostávají informace o analýze hrozeb sdílené mezi hlavními poskytovateli cloudových služeb a informačními kanály od jiných třetích stran. Defender for Cloud může tyto informace použít k upozorňování na hrozby známých chybných účastníků.
Behaviorální analýza: Behaviorální analýza je technika, která analyzuje a porovnává data s kolekcí známých vzorů. Tyto vzory ale nejsou jednoduché podpisy. Určují se prostřednictvím složitých algoritmů strojového učení, které se použijí na masivní datové sady. Také jsou určeny pečlivou analýzou škodlivého chování expertních analytiků. Defender for Cloud může pomocí analýzy chování identifikovat ohrožené prostředky na základě analýzy protokolů virtuálních počítačů, protokolů zařízení virtuální sítě, protokolů prostředků infrastruktury a dalších zdrojů.
Detekce anomálií: Defender for Cloud také používá detekci anomálií k identifikaci hrozeb. Na rozdíl od behaviorální analýzy (která závisí na známých vzorech odvozených z velkých datových sad), detekce anomálií je "přizpůsobená" a zaměřuje se na směrné plány specifické pro vaše nasazení. Strojové učení se použije k určení normální aktivity pro vaše nasazení. Pak se vygenerují pravidla, která definují odlehlé podmínky, které by mohly představovat událost zabezpečení.
Jak jsou výstrahy klasifikovány?
Defender for Cloud přiřazuje upozorněním závažnost, aby vám pomohl určit prioritu pořadí, ve kterém reagujete na každou výstrahu, takže když dojde k ohrožení zabezpečení prostředku, můžete se k nim dostat hned. Závažnost je založená na tom, jak je Defender for Cloud v hledání sebevědomý, nebo na úrovni spolehlivosti používané k vydání výstrahy a na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, došlo k škodlivému záměru.
Vysoká: Existuje vysoká pravděpodobnost ohrožení vašeho prostředku. Měli byste se na to podívat hned. Defender for Cloud má vysokou důvěru v škodlivý záměr i ve zjištěních použitých k vydání výstrahy. Výstraha například detekuje spuštění známého škodlivého nástroje, jako je Mimikatz, běžný nástroj používaný ke krádeži přihlašovacích údajů.
Střední: Tato závažnost značí, že se jedná o podezřelou aktivitu, která může značit ohrožení prostředků. Důvěra Defenderu pro cloud v analýzu nebo hledání je střední a spolehlivost škodlivého záměru je střední až vysoká. Obvykle se jedná o detekce založené na strojovém učení nebo anomáliích. Například pokus o přihlášení z neobvyklého umístění.
Nízká: Tato závažnost značí, že se jedná o neškodný pozitivní nebo blokovaný útok.
Defender for Cloud nemá jistotu, že je záměr škodlivý a aktivita může být nevinná. Vymazání protokolu je například akce, která může nastat, když se útočník pokusí skrýt stopy, ale v mnoha případech se jedná o rutinní operaci prováděnou správci.
Defender for Cloud vás obvykle neřekne, kdy se útoky zablokovaly, pokud se nejedná o zajímavý případ, na který doporučujeme podívat se.
Informační: Informační výstrahy se zobrazí jenom v případě, že přejdete k podrobnostem incidentu zabezpečení nebo použijete rozhraní REST API s konkrétním ID výstrahy. Incident se obvykle skládá z mnoha výstrah, z nichž některé můžou být samy o sobě pouze informativní, ale v kontextu ostatních výstrah by mohly být užitečné bližší pohled.
Průběžné monitorování a hodnocení
Program Defender for Cloud přináší výhody z oblasti výzkumu zabezpečení a datových věd v microsoftu, kteří nepřetržitě monitorují změny v oblasti hrozeb. To zahrnuje následující iniciativy:
Monitorování analýzy hrozeb: Analýza hrozeb zahrnuje mechanismy, indikátory, důsledky a užitečné rady k existujícím nebo vznikajícím hrozbám. Tyto informace se sdílí v komunitě zabezpečení a Microsoft nepřetržitě monitoruje informační kanály analýzy hrozeb z interních a externích zdrojů.
Sdílení signálů: Přehledy od týmů zabezpečení v širokém portfoliu cloudových a místních služeb, serverů a zařízení koncových bodů klienta od Microsoftu se sdílí a analyzuje.
Odborníci na zabezpečení společnosti Microsoft: Průběžné zapojování týmů v rámci společnosti Microsoft, které pracují ve specializovaných oblastech zabezpečení, například forenzní analýza nebo detekce webových útoků.
Ladění detekce: Algoritmy se spouštějí proti skutečným sadám dat zákazníků a pracovníci zabývající se zabezpečením pracují se zákazníky na ověření výsledků. Pravdivě a falešně pozitivní výsledky pak slouží ke zlepšování algoritmů strojového učení.
Vysvětlení typů výstrah
Aktuální seznam odkazů na výstrahy obsahuje více než 500 typů výstrah. Seznam odkazů si můžete prohlédnout na adrese: Výstrahy zabezpečení – referenční příručka
Každý typ výstrahy má popis, závažnost a taktiku MITRE ATT&CK.
Taktika MITRE ATT&CK
Pochopení záměru útoku vám může pomoct snadněji prozkoumat a nahlásit událost. V rámci tohoto úsilí zahrnuje defender pro cloudová upozornění taktiku MITRE s mnoha upozorněními. Série kroků, které popisují průběh kyberútoku z rekognoskace na exfiltraci dat, se často označuje jako "kill chain".
Podporované záměry kill chainu Defender for Cloud jsou založené na verzi 7 matice MITRE ATT&CK a jsou popsány v následující tabulce.
| Taktika | Popis |
|---|---|
| Předběžné připojení | Předběžné připojení může být pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr nebo neúspěšný pokus o získání přístupu k cílovému systému kvůli shromáždění informací před zneužitím. Tento krok se obvykle detekuje jako pokus, který pochází z oblasti mimo síť, ke kontrole cílového systému a identifikaci vstupního bodu. |
| InitialAccess | InitialAccess je fáze, ve které se útočníkovi podaří získat zápatí napadeného prostředku. Tato fáze je relevantní pro výpočetní hostitele a prostředky, jako jsou uživatelské účty, certifikáty atd. Aktéři hrozeb budou moct po této fázi často řídit prostředek. |
| Uchování | Trvalost je jakákoli změna přístupu, akce nebo konfigurace v systému, která dává objektu actor hrozby trvalou přítomnost v daném systému. Aktéři hrozeb budou často muset udržovat přístup k systémům prostřednictvím přerušení, jako jsou restartování systému, ztráta přihlašovacích údajů nebo jiná selhání, která by vyžadovala restartování nástroje pro vzdálený přístup nebo poskytnutí alternativního zadního vrátka, aby znovu získali přístup. |
| PrivilegeEscalation | Eskalace oprávnění je výsledkem akcí, které nežádoucímu uživateli umožňují získat vyšší úroveň oprávnění v systému nebo síti. Některé nástroje nebo akce vyžadují vyšší úroveň oprávnění pro práci a jsou pravděpodobně nezbytné v mnoha bodech celé operace. Uživatelské účty s oprávněními pro přístup ke konkrétním systémům nebo provádění konkrétních funkcí nezbytných k dosažení jejich cíle mohou být také považovány za eskalaci oprávnění. |
| DefenseEvasion | Úniky se skládají z technik, které může nežádoucí osoba použít k tomu, aby se zabránilo detekci nebo zabránění jiným obranám. Někdy jsou tyto akce stejné jako (nebo varianty) technik v jiných kategoriích, které mají přidanou výhodu převrácení konkrétní obrany nebo zmírnění rizik. |
| CredentialAccess | Přístup k přihlašovacím údajům představuje techniky, které vedou k přístupu k systému, doméně nebo přihlašovacím údajům služby používaným v podnikovém prostředí nebo k jejich řízení. Nežádoucí uživatelé se pravděpodobně pokusí získat legitimní přihlašovací údaje od uživatelů nebo účtů správců (místní správce systému nebo uživatelé domény s přístupem správce) pro použití v síti. S dostatečným přístupem v rámci sítě může nežádoucí osoba vytvářet účty pro pozdější použití v rámci prostředí. |
| Zjišťování | Zjišťování se skládá z technik, které nežádoucímu uživateli umožňují získat znalosti o systému a interní síti. Když nežádoucí osoba získá přístup k novému systému, musí se sladit s tím, co teď má pod kontrolou a jaké výhody přináší provoz z tohoto systému svému aktuálnímu cíli nebo celkovému cíli během narušení. Operační systém poskytuje mnoho nativních nástrojů, které pomáhají v této fázi shromažďování informací po ohrožení zabezpečení. |
| LateralMovement | Laterální pohyb se skládá z technik, které umožňují nežádoucí ovládnutí vzdálených systémů v síti a cloudu, ale nemusí nutně zahrnovat spouštění nástrojů ve vzdálených systémech. Techniky laterálního pohybu by mohly nežádoucímu uživateli umožnit shromažďovat informace ze systému, aniž by potřeboval další nástroje, jako je například nástroj pro vzdálený přístup. Nežádoucí osoba může použít laterální pohyb pro mnoho účelů, včetně vzdáleného spuštění nástrojů, otáčení do více systémů, přístupu k určitým informacím nebo souborům, přístupu k jiným přihlašovacím údajům nebo k ovlivnění. |
| Provádění | Taktika spouštění představuje postupy, které vedou ke spuštění kódu ovládaného útočníkem v místním nebo vzdáleném systému. Tato taktika se často používá s laterálním pohybem k rozšíření přístupu ke vzdáleným systémům v síti. |
| Kolekce | Kolekce se skládá z technik používaných k identifikaci a shromažďování informací, jako jsou citlivé soubory, z cílové sítě před exfiltrací. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci. |
| Exfiltrace | Exfiltrace odkazuje na techniky a atributy, které vedou k nežádoucímu odebrání souborů a informací z cílové sítě nebo pomáhají. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci. |
| CommandAndControl | Taktika příkazů a řízení představuje způsob, jakým nežádoucí osoba komunikují se systémy pod jejich kontrolou v rámci cílové sítě. |
| Dopad | Události dopadu se primárně snaží snížit dostupnost nebo integritu systému, služby nebo sítě, včetně manipulace s daty, aby ovlivnily obchodní nebo provozní proces. To by často odkazovalo na techniky, jako je ransomware, defacement, manipulace s daty a další. |