Informatie over beveiligingswaarschuwingen
In Microsoft Defender voor Cloud zijn er verschillende waarschuwingen voor veel verschillende resourcetypen. Defender voor Cloud waarschuwingen genereert voor resources die zijn geïmplementeerd in Azure en voor resources die on-premises en hybride cloudomgevingen zijn geïmplementeerd. Beveiligingswaarschuwingen worden geactiveerd door geavanceerde detecties en zijn alleen beschikbaar met Defender voor Cloud.
Reageren op bedreigingen van vandaag
De bedreigingen zijn de afgelopen 20 jaar aanzienlijk veranderd. In het verleden moesten bedrijven zich meestal alleen zorgen maken over het afbreken van websites door individuele aanvallers die voornamelijk geïnteresseerd waren in het zien van 'wat ze konden doen'. De aanvallers van vandaag zijn veel geavanceerder en georganiseerd. Ze hebben vaak specifieke financiële en strategische doelstellingen. Ze hebben ook meer middelen beschikbaar, omdat ze mogelijk worden gefinancierd door nationale staten of georganiseerde misdaad.
Deze veranderende realiteiten hebben geleid tot een ongekend niveau van professionaliteit in de positie van de aanvaller. Ze zijn niet langer geïnteresseerd in het beschadigen van websites. Ze zijn nu geïnteresseerd in het stelen van informatie, financiële rekeningen en privégegevens, allemaal die ze kunnen gebruiken om geld op de open markt te genereren of een bepaalde zakelijke, politieke of militaire positie te gebruiken. Nog meer met betrekking tot die aanvallers met een financiële doelstelling zijn degenen die netwerken schenden om infrastructuur en mensen te beschadigen.
Organisaties implementeren in reactie vaak verschillende puntoplossingen die gericht zijn op het verdedigen van de perimeter of eindpunten van de onderneming door te zoeken naar bekende aanvalshandtekeningen. Deze oplossingen genereren meestal een groot aantal onbetrouwbare waarschuwingen die een beveiligingsanalist vervolgens moet bekijken en onderzoeken. De meeste organisaties hebben niet de tijd en expertise die vereist zijn om te reageren op deze waarschuwingen - vele worden niet nader onderzocht.
Bovendien hebben aanvallers hun methoden ontwikkeld om veel op handtekeningen gebaseerde verdediging te onderkeren en zich aan te passen aan cloudomgevingen. Nieuwe handelswijzen zijn vereist om nieuwe bedreigingen sneller te identificeren, te detecteren en erop te reageren.
Wat zijn beveiligingswaarschuwingen en beveiligingsincidenten?
Waarschuwingen zijn de meldingen die Defender for Cloud genereert wanneer bedreigingen voor uw resources worden gedetecteerd. Defender voor Cloud prioriteit geeft aan en vermeldt de waarschuwingen, samen met de informatie die u nodig hebt om het probleem snel te onderzoeken. Defender voor Cloud biedt ook aanbevelingen voor hoe u een aanval kunt herstellen.
Een beveiligingsincident is een verzameling gerelateerde waarschuwingen in plaats van elke waarschuwing afzonderlijk weer te geven. Defender voor Cloud maakt gebruik van Correlatie van cloud slimme waarschuwingen om verschillende waarschuwingen en signalen met lage betrouwbaarheid te correleren in beveiligingsincidenten.
Met beveiligingsincidenten biedt Defender voor Cloud u één weergave van een aanvalscampagne en alle gerelateerde waarschuwingen. Met deze weergave kunt u snel begrijpen welke acties de aanvaller heeft ondernomen en welke resources zijn beïnvloed. Zie De correlatie van slimme waarschuwingen voor de cloud voor meer informatie.
Hoe detecteert Defender voor Cloud bedreigingen?
Beveiligingsonderzoekers van Microsoft zijn voortdurend op zoek naar bedreigingen. Vanwege onze wereldwijde aanwezigheid in de cloud en on-premises hebben we toegang tot een uitgebreide set telemetriegegevens. Dankzij de brede en diverse verzameling gegevenssets kunnen we nieuwe aanvalspatronen en trends ontdekken in onze on-premises producten voor consumenten en ondernemingen, evenals onze onlineservices. Als gevolg hiervan kan Defender voor Cloud de detectiealgoritmen snel bijwerken naarmate aanvallers nieuwe en steeds geavanceerdere aanvallen uitbrengen. Deze aanpak helpt u bij het tempo van een snel veranderende bedreigingsomgeving.
Als u echte bedreigingen wilt detecteren en fout-positieven wilt verminderen, Defender voor Cloud logboekgegevens van uw Azure-resources en het netwerk verzamelt, analyseert en integreert. Het werkt ook met verbonden partneroplossingen, zoals firewall- en eindpuntbeveiligingsoplossingen. Defender voor Cloud analyseert deze informatie, die vaak informatie uit meerdere bronnen correleert om bedreigingen te identificeren.
Defender voor Cloud maakt gebruik van geavanceerde beveiligingsanalyses, die veel verder gaan dan op handtekeningen gebaseerde benaderingen. Doorbraaks in big data- en machine learning-technologieën worden gebruikt om gebeurtenissen in de hele cloudinfrastructuur te evalueren: het detecteren van bedreigingen die onmogelijk zouden zijn om te identificeren met behulp van handmatige benaderingen en het voorspellen van de evolutie van aanvallen. Deze beveiligingsanalyses omvatten:
Geïntegreerde bedreigingsinformatie: Microsoft heeft een enorme hoeveelheid wereldwijde bedreigingsinformatie. Telemetrie stroomt vanuit meerdere bronnen, zoals Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, de Microsoft Digital Crimes Unit (DCU) en Microsoft Security Response Center (MSRC). Onderzoekers ontvangen ook informatie over bedreigingsinformatie die wordt gedeeld door belangrijke cloudserviceproviders en feeds van andere derden. Defender voor Cloud kunt deze informatie gebruiken om u te waarschuwen voor bedreigingen van bekende slechte actoren.
Gedragsanalyse: Gedragsanalyse is een techniek waarmee gegevens worden geanalyseerd en vergeleken met een verzameling bekende patronen. Deze patronen zijn echter geen eenvoudige handtekeningen. Ze worden bepaald door complexe machine learning-algoritmen die worden toegepast op enorme gegevenssets. Ze worden ook bepaald door zorgvuldige analyse van schadelijk gedrag door deskundige analisten. Defender voor Cloud kunt gedragsanalyse gebruiken om gecompromitteerde resources te identificeren op basis van analyse van logboeken van virtuele machines, logboeken van virtuele netwerken, infrastructuurlogboeken en andere bronnen.
Anomaliedetectie: Defender voor Cloud maakt ook gebruik van anomaliedetectie om bedreigingen te identificeren. In tegenstelling tot gedragsanalyses (die afhankelijk zijn van bekende patronen die zijn afgeleid van grote gegevenssets), is anomaliedetectie meer 'gepersonaliseerd' en richt zich op basislijnen die specifiek zijn voor uw implementaties. Machine learning wordt toegepast om de normale activiteit voor uw implementaties te bepalen. Vervolgens worden regels gegenereerd om uitbijters te definiëren die een beveiligingsevenement kunnen vertegenwoordigen.
Hoe worden waarschuwingen geclassificeerd?
Defender voor Cloud wijst een ernst toe aan waarschuwingen om u te helpen prioriteit te geven aan de volgorde waarin u op elke waarschuwing reageert. Wanneer een resource wordt gecompromitteerd, kunt u deze direct openen. De ernst is gebaseerd op hoe zeker Defender voor Cloud zich in de bevindingen bevindt, of de analyse die wordt gebruikt om de waarschuwing uit te geven, en het betrouwbaarheidsniveau dat er schadelijke intenties achter de activiteit waren die tot de waarschuwing hebben geleid.
Hoog: er is een hoge kans dat uw resource is aangetast. Je moet er meteen naar kijken. Defender voor Cloud heeft een hoge betrouwbaarheid in zowel de schadelijke intentie als in de bevindingen die worden gebruikt om de waarschuwing uit te geven. Een waarschuwing detecteert bijvoorbeeld de uitvoering van een bekend schadelijk hulpprogramma, zoals Mimikatz, een veelgebruikt hulpprogramma dat wordt gebruikt voor referentiediefstal.
Gemiddeld: deze ernst geeft aan dat het waarschijnlijk een verdachte activiteit is die erop kan wijzen dat een resource is aangetast. Defender voor Cloud vertrouwen in de analyse of het vinden is gemiddeld en het vertrouwen van kwaadwillende bedoelingen is gemiddeld tot hoog. Dit zijn meestal machine learning- of anomaliedetecties. Bijvoorbeeld een aanmeldingspoging vanaf een afwijkende locatie.
Laag: Deze ernst geeft aan dat het een goedaardig positief of een geblokkeerde aanval kan zijn.
Defender voor Cloud er niet zeker van is dat de intentie kwaadaardig is en de activiteit mogelijk onschuldig is. Het wissen van logboeken is bijvoorbeeld een actie die kan optreden wanneer een aanvaller probeert zijn sporen te verbergen, maar in veel gevallen is het een routinebewerking die door beheerders wordt uitgevoerd.
Defender voor Cloud vertelt u meestal niet wanneer aanvallen zijn geblokkeerd, tenzij het een interessante zaak is waarin u wordt aangeraden te kijken.
Informatief: u ziet alleen informatieve waarschuwingen wanneer u inzoomt op een beveiligingsincident of als u de REST API gebruikt met een specifieke waarschuwings-id. Een incident bestaat meestal uit veel waarschuwingen, waarvan sommige op zichzelf kunnen worden weergegeven om alleen informatief te zijn, maar in de context van de andere waarschuwingen is het misschien beter om nader te kijken.
Continue bewaking en evaluaties
Defender voor Cloud profiteert van beveiligingsonderzoek en data science-teams in Microsoft die continu controleren op wijzigingen in het bedreigingslandschap. Dit omvat de volgende initiatieven:
Bewaking van bedreigingsinformatie: bedreigingsinformatie omvat mechanismen, indicatoren, implicaties en bruikbare adviezen over bestaande of opkomende bedreigingen. Deze informatie wordt gedeeld in de beveiligingscommunity en Microsoft bewaakt continu de feeds voor bedreigingsinformatie van interne en externe bronnen.
Signaal delen: inzichten van beveiligingsteams in de brede portfolio van Microsoft met cloud- en on-premises services, servers en clienteindpunten worden gedeeld en geanalyseerd.
Microsoft-beveiligingsspecialisten: continue inzet van teams overal bij Microsoft die op gespecialiseerde beveiligingsgebieden werken, zoals forensisch onderzoek en webaanvaldetectie.
Detectieafstemming: Algoritmen worden uitgevoerd op echte gegevenssets van klanten en beveiligingsonderzoekers werken samen met klanten om de resultaten te valideren. Echte en fout-positieven worden gebruikt voor het verfijnen van machine learning-algoritmen.
Waarschuwingstypen begrijpen
De huidige lijst met waarschuwingsreferenties bevat meer dan 500 typen waarschuwingen. De referentielijst kan worden gecontroleerd op: Beveiligingswaarschuwingen - een referentiehandleiding
Elk waarschuwingstype heeft een beschrijving, ernst en MITRE ATT&CK-tactiek
MITRE ATT&CK-tactieken
Inzicht in de intentie of de bedoeling van een aanval kan helpen om het onderzoeken en rapporteren van de gebeurtenis te vereenvoudigen. Voor hulp bij deze inspanningen bevat Defender voor Cloud waarschuwingen de MITRE-tactieken met veel waarschuwingen. De reeks stappen die de voortgang beschrijft van een cyberaanval van verkenning tot gegevensexfiltratie wordt vaak een 'killchain' genoemd.
Defender voor Cloud ondersteunde kill chain-intenties zijn gebaseerd op versie 7 van de MITRE ATT&CK-matrix en worden beschreven in de onderstaande tabel.
| Tactiek | Beschrijving |
|---|---|
| PreAttack (Voorbereiding) | PreAttack kan een poging zijn om toegang te krijgen tot een bepaalde resource, ongeacht kwaadwillende bedoelingen of een mislukte poging om toegang te krijgen tot een doelsysteem om informatie te verzamelen voorafgaand aan exploitatie. Deze stap wordt meestal gedetecteerd als een poging, afkomstig van buiten het netwerk, om het doelsysteem te scannen en een ingangspunt te identificeren. |
| Initial Access (Initiële toegang) | Initial Access is de fase waarin een aanvaller erin slaagt om binnen te dringen in de aangevallen resource. Deze fase is relevant voor rekenhosts en resources, zoals gebruikersaccounts, certificaten, enzovoort. Bedreigingsactoren kunnen na deze fase vaak de resource beheren. |
| Persistentie | Persistentie (Persistence in de matrix) is elke wijziging van toegang, actie of configuratie van een systeem waarmee een bedreigingsactor een permanente of persistente aanwezigheid kan verkrijgen in dat systeem. Het is belangrijk voor bedreigingsactoren dat ze ook na onderbrekingen toegang houden tot het aangevallen systeem. Voorbeelden van dergelijke onderbrekingen zijn het opnieuw opstarten van het systeem, verlies van referenties of andere fouten waardoor een tool voor externe toegang opnieuw moet worden gestart of een alternatieve achterdeur moet worden gevonden om de toegang te herstellen. |
| Privilege Escalation | Het verhogen of escaleren van bevoegdheden is het resultaat van acties waarmee een indringer de beschikking krijgt over een hoger machtigingsniveau op een systeem of in een netwerk. Bepaalde tools of acties vereisen een hoger bevoegdheidsniveau en zijn waarschijnlijk op verschillende punten tijdens een bewerking noodzakelijk. Gebruikersaccounts met machtigingen voor toegang tot specifieke systemen of voor het uitvoeren van specifieke functies die nodig zijn voor indringers om hun doelstelling te verwezenlijken, kunnen ook worden beschouwd als een escalatie van bevoegdheden. |
| Defense Evasion | Hier gaat het om technieken die een indringer kan gebruiken om detectie te voorkomen of andere verdedigingsmechanismen te vermijden. Soms zijn deze acties hetzelfde als (of variaties van) technieken in andere categorieën met het toegevoegde voordeel van het ondermijnen van een bepaalde verdediging of beperking. |
| Credential Access (Toegang tot referenties) | Referentietoegang vertegenwoordigt technieken die leiden tot toegang tot of controle over systeem-, domein- of servicereferenties die worden gebruikt in een bedrijfsomgeving. Indringers zullen waarschijnlijk proberen om geldige referenties te verkrijgen van gebruikers of beheerdersaccounts (lokale systeembeheerder of domeingebruikers met beheerderstoegang) voor gebruik binnen het netwerk. Als een indringer voldoende toegang heeft binnen een netwerk, kan hij of zij accounts maken voor later gebruik binnen de omgeving. |
| Detectie | Detectie bestaat uit technieken waarmee de indringer kennis kan verkrijgen over het systeem en het interne netwerk. Wanneer kwaadwillenden toegang krijgen tot een nieuw systeem, moeten ze zich uitlijnen op wat ze nu beheren en welke voordelen het gebruik van dat systeem bieden aan hun huidige doelstelling of algemene doelen tijdens de inbraak. Het besturingssysteem biedt verschillende ingebouwde programma's die kunnen helpen bij deze fase van het verzamelen van gegevens na de overname van het systeem. |
| Lateral Movement (Zijdelingse verplaatsing) | Laterale beweging bestaat uit technieken waarmee een kwaadwillende persoon externe systemen in een netwerk en cloud kan openen en beheren, maar niet noodzakelijkerwijs de uitvoering van hulpprogramma's op externe systemen omvat. De laterale verplaatsingstechnieken kunnen een kwaadwillende persoon in staat stellen om informatie van een systeem te verzamelen zonder dat er meer hulpprogramma's nodig zijn, zoals een hulpprogramma voor externe toegang. Een kwaadwillende persoon kan zijdelingse verplaatsing gebruiken voor veel doeleinden, waaronder externe uitvoering van hulpprogramma's, draaien naar meer systemen, toegang tot specifieke informatie of bestanden, toegang tot andere referenties of om een effect te veroorzaken. |
| Uitvoering | De uitvoeringstactiek bestaat uit technieken die leiden tot het uitvoeren van door de indringer beheerde code op een lokaal of extern systeem. Deze tactiek wordt vaak gebruikt met zijdelingse beweging om de toegang tot externe systemen in een netwerk uit te breiden. |
| Verzameling | Verzameling bestaat uit technieken die worden gebruikt voor het identificeren en verzamelen van informatie, zoals gevoelige bestanden, op een doelnetwerk voorafgaand aan exfiltratie. Deze categorie heeft ook betrekking op locaties op een systeem of netwerk waar de indringer kan zoeken naar gegevens om te exfiltreren. |
| Exfiltration (Exfiltratie) | Exfiltratie verwijst naar technieken en kenmerken die leiden tot of helpen bij het verwijderen door de indringer van bestanden en informatie vanuit een doelnetwerk. Deze categorie heeft ook betrekking op locaties op een systeem of netwerk waar de indringer kan zoeken naar gegevens om te exfiltreren. |
| Command and Control | De Command and Control-tactiek laat zien hoe indringers communiceren met systemen in hun beheer in een doelnetwerk. |
| Impact | Impact-gebeurtenissen proberen voornamelijk de beschikbaarheid of integriteit van een systeem, service of netwerk rechtstreeks te verminderen, inclusief manipulatie van gegevens die van invloed zijn op een bedrijf of operationeel proces. Dit gebeurt vaak met technieken zoals ransomware, beschadiging en gegevensmanipulatie. |