Alerty zabezpieczeń i zdarzenia
W tym artykule opisano alerty zabezpieczeń i powiadomienia w Microsoft Defender dla Chmury.
Czym są alerty zabezpieczeń?
Alerty zabezpieczeń to powiadomienia generowane przez plany ochrony obciążeń Defender dla Chmury, gdy zagrożenia są identyfikowane w środowiskach platformy Azure, hybrydowej lub wielochmurowej.
- Alerty zabezpieczeń są wyzwalane przez zaawansowane wykrywanie dostępne po włączeniu planów usługi Defender dla określonych typów zasobów.
- Każdy alert zawiera szczegółowe informacje o dotkniętych zasobach, problemach i krokach korygowania.
- Defender dla Chmury klasyfikuje alerty i ustala ich priorytety według ważności.
- Alerty są wyświetlane w portalu przez 90 dni, nawet jeśli zasób związany z alertem został usunięty w tym czasie. Jest to spowodowane tym, że alert może wskazywać na potencjalne naruszenie zabezpieczeń organizacji, które należy dokładniej zbadać.
- Alerty można eksportować do formatu CSV.
- Alerty można również przesyłać strumieniowo bezpośrednio do rozwiązania Zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM), takie jak Microsoft Sentinel, Automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR) lub rozwiązanie do zarządzania usługami IT (ITSM).
- Defender dla Chmury wykorzystuje Macierz ataków MITRE w celu skojarzenia alertów z ich postrzeganą intencją, pomagając sformalizować wiedzę o domenie zabezpieczeń.
Jak są klasyfikowane alerty?
Alerty mają przypisany poziom ważności, aby ułatwić ustalanie priorytetów dotyczących udziału w każdym alercie. Ważność jest oparta na:
- Określony wyzwalacz
- Poziom pewności, że wystąpił złośliwy zamiar działania, który doprowadził do alertu
| Ważność | Zalecana odpowiedź |
|---|---|
| Wysoka | Istnieje duże prawdopodobieństwo naruszenia zabezpieczeń zasobu. Powinieneś przyjrzeć się temu od razu. Defender dla Chmury ma duże zaufanie zarówno do złośliwej intencji, jak i w wynikach użytych do wystawienia alertu. Na przykład alert, który wykrywa wykonywanie znanego złośliwego narzędzia, takiego jak Mimikatz, typowe narzędzie używane do kradzieży poświadczeń. |
| Medium | Prawdopodobnie jest to podejrzane działanie może wskazywać na naruszenie zabezpieczeń zasobu. Defender dla Chmury zaufanie do analizy lub znalezienia jest średnie, a pewność, że złośliwa intencja jest średnio do wysoka. Zazwyczaj są to wykrycia oparte na uczeniu maszynowym lub anomalii, na przykład próba logowania z nietypowej lokalizacji. |
| Niska | Może to być łagodny pozytywny lub zablokowany atak. Defender dla Chmury nie jest wystarczająco pewna, że intencja jest złośliwa, a działalność może być niewinna. Na przykład wyczyszczenie dziennika to akcja, która może wystąpić, gdy osoba atakująca próbuje ukryć swoje ślady, ale w wielu przypadkach jest rutynową operacją wykonywaną przez administratorów. Defender dla Chmury zwykle nie informuje o tym, kiedy ataki zostały zablokowane, chyba że jest to interesujący przypadek, w którym sugerujemy przyjrzenie się. |
| Informacyjne | Zdarzenie składa się zazwyczaj z wielu alertów, z których niektóre mogą pojawiać się samodzielnie tylko jako informacyjne, ale w kontekście innych alertów mogą być godne bliższego spojrzenia. |
Co to są zdarzenia zabezpieczeń?
Zdarzenie zabezpieczeń to zbiór powiązanych alertów.
Zdarzenia zapewniają pojedynczy widok ataku i powiązanych z nimi alertów, dzięki czemu można szybko zrozumieć działania podejmowane przez osobę atakującą i zasoby, których dotyczy problem.
Wraz ze wzrostem zasięgu zagrożenia nie trzeba wykrywać nawet najmniejszego zagrożenia. Analitykom zabezpieczeń trudno jest sklasyfikować różne alerty i zidentyfikować rzeczywisty atak. Korelując alerty i sygnały o niskiej wierności w zdarzeniach zabezpieczeń, Defender dla Chmury pomaga analitykom radzić sobie z tym zmęczeniem alertów.
W chmurze ataki mogą wystąpić w różnych dzierżawach, Defender dla Chmury mogą łączyć algorytmy sztucznej inteligencji w celu analizowania sekwencji ataków zgłaszanych w każdej subskrypcji platformy Azure. Ta technika identyfikuje sekwencje ataków jako powszechne wzorce alertów, a nie po prostu przypadkowo skojarzone ze sobą.
Podczas badania incydentu analitycy często potrzebują dodatkowego kontekstu, aby osiągnąć werdykt o charakterze zagrożenia i sposobach jego łagodzenia. Na przykład nawet w przypadku wykrycia anomalii sieci bez zrozumienia, co jeszcze dzieje się w sieci lub w odniesieniu do docelowego zasobu, trudno jest zrozumieć, jakie działania należy wykonać dalej. Aby pomóc, zdarzenie zabezpieczeń może obejmować artefakty, powiązane zdarzenia i informacje. Dodatkowe informacje dostępne dla zdarzeń zabezpieczeń różnią się w zależności od typu wykrytego zagrożenia i konfiguracji środowiska.
Korelowanie alertów do zdarzeń
Defender dla Chmury koreluje alerty i kontekstowe sygnały ze zdarzeniami.
- Korelacja analizuje różne sygnały między zasobami i łączy wiedzę na temat zabezpieczeń i sztuczną inteligencję w celu analizowania alertów, odnajdywania nowych wzorców ataków w miarę ich występowania.
- Korzystając z informacji zebranych dla każdego kroku ataku, Defender dla Chmury może również wykluczyć działanie, które wydaje się być krokiem ataku, ale w rzeczywistości nie jest.
Napiwek
W dokumentacji zdarzeń przejrzyj listę zdarzeń zabezpieczeń, które mogą być generowane przez korelację zdarzeń.
Jak Defender dla Chmury wykrywać zagrożenia?
Aby wykryć rzeczywiste zagrożenia i zmniejszyć liczbę wyników fałszywie dodatnich, Defender dla Chmury monitoruje zasoby, zbiera i analizuje dane pod kątem zagrożeń, często korelując dane z wielu źródeł.
Inicjatywy firmy Microsoft
Microsoft Defender dla Chmury korzyści z posiadania zespołów ds. badań nad zabezpieczeniami i nauki o danych w całej firmie Microsoft, którzy stale monitorują zmiany w krajobrazie zagrożeń. Obejmuje to następujące inicjatywy:
Specjaliści ds. zabezpieczeń firmy Microsoft: ciągła współpraca zespołów firmy Microsoft w zakresie wyspecjalizowanych zabezpieczeń, takich jak analiza śledcza i wykrywanie ataków w sieci Web.
Badania bezpieczeństwa firmy Microsoft: Nasi naukowcy stale szukają zagrożeń. Ze względu na naszą globalną obecność w chmurze i lokalnie mamy dostęp do rozległego zestawu danych telemetrycznych. Szeroka i zróżnicowana kolekcja zestawów danych umożliwia nam odkrywanie nowych wzorców ataków i trendów w naszych lokalnych produktach konsumenckich i korporacyjnych, a także naszych Usługi online. W rezultacie Defender dla Chmury mogą szybko aktualizować swoje algorytmy wykrywania, ponieważ osoby atakujące uwalniają nowe i coraz bardziej zaawansowane luki w zabezpieczeniach. Takie podejście pomaga sprostać wymaganiom szybko zmieniającego się środowiska zagrożenia.
Monitorowanie analizy zagrożeń: Analiza zagrożeń obejmuje mechanizmy, wskaźniki, implikacje i porady umożliwiające podejmowanie działań na temat istniejących lub pojawiających się zagrożeń. Te informacje są udostępniane w branży zabezpieczeń, a firma Microsoft stale monitoruje zagrożenia płynące z wewnętrznych i zewnętrznych źródeł.
Udostępnianie sygnałów: szczegółowe informacje od zespołów ds. zabezpieczeń w szerokim portfolio usług w chmurze i lokalnych, serwerów i urządzeń punktów końcowych klienta firmy Microsoft są udostępniane i analizowane.
Dostrajanie wykrywania zagrożeń: algorytmy są uruchamiane na rzeczywistych zestawach danych klienta, a pracownicy naukowo-badawczy z zakresu zabezpieczeń pracują z klientami w celu weryfikacji otrzymanych wyników. Wyniki prawdziwie i fałszywie dodatnie są używane w celu udoskonalania algorytmów uczenia maszynowego.
Te połączone wysiłki kończą się nowymi i ulepszonymi wykrywaniami, które można od razu wykorzystać — nie ma żadnych działań do podjęcia.
Analiza zabezpieczeń
Defender dla Chmury wykorzystuje zaawansowaną analizę zabezpieczeń, która wykracza daleko poza podejścia oparte na sygnaturach. Przełomowe rozwiązania dotyczące danych big data i technologii uczenia maszynowego są używane do oceny zdarzeń zachodzących w całej sieci szkieletowej chmury. Wykrywane są zagrożenia, które byłyby niemożliwe do wykrycia przy użyciu ręcznych metod, i przewidywany jest kierunek ewolucji ataków. Do narzędzi analizy zabezpieczeń należą:
Zintegrowana analiza zagrożeń
Firma Microsoft dysponuje ogromną ilością danych do globalnej analizy zagrożeń. Przepływy telemetryczne z wielu źródeł, takich jak Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) i Microsoft Security Response Center (MSRC). Naukowcy otrzymują również informacje dotyczące analizy zagrożeń udostępniane przez głównych dostawców usług w chmurze i źródła danych innych firm. Microsoft Defender dla Chmury mogą używać tych informacji, aby otrzymywać alerty o zagrożeniach ze strony znanych złych aktorów.
Analiza zachowań
Analiza behawioralna to metoda, która polega na analizie danych i porównywaniu ich z kolekcją znanych wzorców. Wzorce te nie są jednak prostymi sygnaturami. Określa się je za pośrednictwem złożonych algorytmów uczenia maszynowego, które są stosowane w przypadku wielkich zestawów danych. Są one również określane przez specjalistów od analizy, którzy dokonują dokładnej analizy złośliwych zachowań. Microsoft Defender dla Chmury mogą używać analizy behawioralnej do identyfikowania zagrożonych zasobów na podstawie analizy dzienników maszyn wirtualnych, dzienników urządzeń sieci wirtualnej, dzienników sieci szkieletowej i innych źródeł.
Wykrywanie anomalii
Defender dla Chmury również używa wykrywania anomalii do identyfikowania zagrożeń. W przeciwieństwie do analizy behawioralnej, która zależy od znanych wzorców pochodzących z dużych zestawów danych, wykrywanie anomalii jest bardziej "spersonalizowane" i koncentruje się na punktach odniesienia specyficznych dla wdrożeń. Uczenie maszynowe jest stosowane do określania normalnego działania wdrożeń, a następnie generowania reguł definiujących odstające warunki, które mogą reprezentować zdarzenie związane z zabezpieczeniami.
Eksportowanie alertów
Dostępne są różne opcje wyświetlania alertów poza Defender dla Chmury, w tym:
- Pobieranie raportu CSV na pulpicie nawigacyjnym alertów zapewnia jednorazowy eksport do pliku CSV.
- Eksport ciągły z ustawień środowiska umożliwia konfigurowanie strumieni alertów zabezpieczeń i zaleceń dla obszarów roboczych usługi Log Analytics i usługi Event Hubs. Dowiedz się więcej.
- Łącznik usługi Microsoft Sentinel przesyła strumieniowo alerty zabezpieczeń z Microsoft Defender dla Chmury do usługi Microsoft Sentinel. Dowiedz się więcej.
Dowiedz się więcej na temat przesyłania strumieniowego alertów do rozwiązania SIEM, SOAR lub IT Service Management oraz sposobu ciągłego eksportowania danych.
Następne kroki
W tym artykule przedstawiono różne typy alertów dostępnych w Defender dla Chmury. Aby uzyskać więcej informacji, zobacz:
- Alerty zabezpieczeń w dzienniku aktywności platformy Azure — oprócz dostępności w witrynie Azure Portal lub programowo alerty zabezpieczeń i zdarzenia są poddawane inspekcji jako zdarzenia w dzienniku aktywności platformy Azure
- Tabela referencyjna alertów Defender dla Chmury
- Odpowiadanie na alerty zabezpieczeń
- Dowiedz się, jak zarządzać zdarzeniami zabezpieczeń w Defender dla Chmury.