Referentiegids met beveiligingswaarschuwingen
Dit artikel bevat koppelingen naar pagina's met de beveiligingswaarschuwingen die u kunt ontvangen van Microsoft Defender voor Cloud en eventuele ingeschakelde Microsoft Defender-abonnementen. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Deze pagina bevat ook een tabel met een beschrijving van de Microsoft Defender voor Cloud kill chain die is afgestemd op versie 9 van de MITRE ATT&CK-matrix.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Beveiligingswaarschuwingspagina's per categorie
- Waarschuwingen voor Windows-computers
- Waarschuwingen voor Linux-machines
- Waarschuwingen voor DNS
- Waarschuwingen voor Azure VM-extensies
- Waarschuwingen voor Azure-app Service
- Waarschuwingen voor containers - Kubernetes-clusters
- Waarschuwingen voor SQL Database en Azure Synapse Analytics
- Waarschuwingen voor opensource-relationele databases
- Waarschuwingen voor Resource Manager
- Waarschuwingen voor Azure Storage
- Waarschuwingen voor Azure Cosmos DB
- Waarschuwingen voor Azure-netwerklaag
- Waarschuwingen voor Azure Key Vault
- Waarschuwingen voor Azure DDoS Protection
- Waarschuwingen voor Defender voor API's
- Waarschuwingen voor AI-workloads
- Afgeschafte beveiligingswaarschuwingen
MITRE ATT&CK-tactieken
Inzicht in de intentie of de bedoeling van een aanval kan helpen om het onderzoeken en rapporteren van de gebeurtenis te vereenvoudigen. Voor hulp bij deze inspanningen zijn Microsoft Defender voor Cloud waarschuwingen de MITRE-tactieken met veel waarschuwingen.
De reeks stappen die de voortgang beschrijft van een cyberaanval van verkenning tot gegevensexfiltratie wordt vaak een 'killchain' genoemd.
Defender voor Cloud ondersteunde kill chain-intenties zijn gebaseerd op versie 9 van de MITRE ATT&CK-matrix en worden beschreven in de onderstaande tabel.
| Tactiek | ATT&CK-versie | Beschrijving |
|---|---|---|
| PreAttack (Voorbereiding) | PreAttack kan een poging zijn om toegang te krijgen tot een bepaalde resource, ongeacht een kwaadwillende bedoeling, of een mislukte poging om toegang te krijgen tot een doelsysteem om informatie te verzamelen voorafgaand aan exploitatie. Deze stap wordt meestal gedetecteerd als een poging, afkomstig van buiten het netwerk, om het doelsysteem te scannen en een ingangspunt te identificeren. | |
| Eerste toegang | V7, V9 | Initiële toegang is de fase waarin een aanvaller erin slaagt om een voet aan de aanvalsresource te krijgen. Deze fase is relevant voor rekenhosts en resources, zoals gebruikersaccounts, certificaten, enzovoort. Bedreigingsactoren kunnen na deze fase vaak de resource beheren. |
| Volharding | V7, V9 | Persistentie (Persistence in de matrix) is elke wijziging van toegang, actie of configuratie van een systeem waarmee een bedreigingsactor een permanente of persistente aanwezigheid kan verkrijgen in dat systeem. Het is belangrijk voor bedreigingsactoren dat ze ook na onderbrekingen toegang houden tot het aangevallen systeem. Voorbeelden van dergelijke onderbrekingen zijn het opnieuw opstarten van het systeem, verlies van referenties of andere fouten waardoor een tool voor externe toegang opnieuw moet worden gestart of een alternatieve achterdeur moet worden gevonden om de toegang te herstellen. |
| Escalatie van bevoegdheden | V7, V9 | Het verhogen of escaleren van bevoegdheden is het resultaat van acties waarmee een indringer de beschikking krijgt over een hoger machtigingsniveau op een systeem of in een netwerk. Bepaalde tools of acties vereisen een hoger bevoegdheidsniveau en zijn waarschijnlijk op verschillende punten tijdens een bewerking noodzakelijk. Gebruikersaccounts met machtigingen voor toegang tot specifieke systemen of het uitvoeren van specifieke functies die nodig zijn voor kwaadwillende personen om hun doelstelling te bereiken, kunnen ook worden beschouwd als een escalatie van bevoegdheden. |
| Verdedigingsontduiking | V7, V9 | Verdedigingsontduiking bestaat uit technieken die een kwaadwillende persoon kan gebruiken om detectie te omzeilen of andere verdediging te voorkomen. Soms zijn deze acties hetzelfde als (of variaties van) technieken in andere categorieën met het toegevoegde voordeel van het ondermijnen van een bepaalde verdediging of beperking. |
| Referentietoegang | V7, V9 | Toegang tot referenties bestaat uit technieken die leiden tot toegang tot of controle over systeem-, domein- of servicereferenties die worden gebruikt binnen een bedrijfsomgeving. Indringers zullen waarschijnlijk proberen om geldige referenties te verkrijgen van gebruikers of beheerdersaccounts (lokale systeembeheerder of domeingebruikers met beheerderstoegang) voor gebruik binnen het netwerk. Als een indringer voldoende toegang heeft binnen een netwerk, kan hij of zij accounts maken voor later gebruik binnen de omgeving. |
| Discovery (Detectie) | V7, V9 | Detectie bestaat uit technieken waarmee de indringer kennis kan verkrijgen over het systeem en het interne netwerk. Wanneer indringers toegang hebben tot een nieuw systeem, moeten ze vaststellen waarover ze nu controle hebben en wat ze kunnen inzetten van dat systeem om hun huidige doelstelling of algemene doelstellingen van de aanval te realiseren. Het besturingssysteem biedt verschillende ingebouwde programma's die kunnen helpen bij deze fase van het verzamelen van gegevens na de overname van het systeem. |
| Lateral Movement (Zijdelingse verplaatsing) | V7, V9 | Zijdelingse verplaatsing bestaat uit technieken die een indringer in staat stellen om externe systemen in een netwerk over te nemen en te beheren, maar dit hoeft niet noodzakelijkerwijs het uitvoeren van tools op externe systemen te omvatten. De laterale verplaatsingstechnieken kunnen een kwaadwillende persoon in staat stellen om informatie van een systeem te verzamelen zonder dat er meer hulpprogramma's nodig zijn, zoals een hulpprogramma voor externe toegang. Een kwaadwillende persoon kan zijdelingse verplaatsing gebruiken voor veel doeleinden, waaronder externe uitvoering van hulpprogramma's, draaien naar meer systemen, toegang tot specifieke informatie of bestanden, toegang tot meer referenties of om een effect te veroorzaken. |
| Uitvoering | V7, V9 | De uitvoeringstactiek bestaat uit technieken die leiden tot het uitvoeren van door de indringer beheerde code op een lokaal of extern systeem. Deze tactiek wordt vaak gebruikt in combinatie met zijdelingse verplaatsing om toegang uit te breiden tot externe systemen in een netwerk. |
| Verzameling | V7, V9 | Verzameling bestaat uit technieken die worden gebruikt voor het identificeren en verzamelen van informatie, zoals gevoelige bestanden, op een doelnetwerk voorafgaand aan exfiltratie. Deze categorie omvat ook locaties in een systeem of netwerk waar de kwaadwillende persoon kan zoeken naar informatie om te exfiltreren. |
| Opdracht en beheer | V7, V9 | De Command and Control-tactiek laat zien hoe indringers communiceren met systemen in hun beheer in een doelnetwerk. |
| Exfiltration (Exfiltratie) | V7, V9 | Exfiltratie verwijst naar technieken en kenmerken die leiden tot of helpen bij het verwijderen door de indringer van bestanden en informatie vanuit een doelnetwerk. Deze categorie omvat ook locaties in een systeem of netwerk waar de kwaadwillende persoon kan zoeken naar informatie om te exfiltreren. |
| Impact | V7, V9 | Gebeurtenissen uit deze categorie proberen hoofdzakelijk de beschikbaarheid of integriteit van een systeem, service of netwerk te verminderen, waaronder de manipulatie van gegevens om een bedrijfs- of operationeel proces te beïnvloeden. Dit gebeurt vaak met technieken zoals ransomware, beschadiging en gegevensmanipulatie. |
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.