Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака

Завершено

Что такое оповещения системы безопасности?

Оповещения системы безопасности — это уведомления, созданные планами защиты рабочих нагрузок Defender для облака при обнаружении угроз в средах Azure, гибридных или многооблачных сред.

  • Оповещения системы безопасности активируются расширенными обнаружениями, доступными при включении планов Defender для определенных типов ресурсов.
  • Каждое оповещение содержит сведения о затронутых ресурсах, проблемах и действиях по исправлению.
  • Defender для облака классифицирует оповещения и определяет их по серьезности.
  • Оповещения отображаются на портале в течение 90 дней, даже если ресурс, связанный с оповещением, был удален в течение этого времени. Это связано с тем, что оповещение может указывать на потенциальное нарушение вашей организации, которое необходимо изучить.
  • Оповещения можно экспортировать в формат значений, разделенных запятыми (CSV).
  • Оповещения также можно передавать непосредственно в решение службы управления безопасностью и событиями (SIEM), например Microsoft Sentinel, автоматизированный ответ оркестрации безопасности (SOAR) или РЕШЕНИЕ УПРАВЛЕНИЯ ИТ-службами (ITSM).
  • Defender для облака связывает оповещения с предполагаемыми намерениями с помощью таблицы атак MITRE, что позволяет формализовать знания о домене безопасности.

Как классифицируются оповещения?

Оповещения имеют уровень серьезности, назначенный для определения приоритета участия в каждом оповещении. Серьезность основана на:

  • Конкретный триггер
  • Уровень достоверности, который был злонамеренным намерением за действием, которое привело к оповещению
Уровень серьезности Рекомендуемый ответ
Высокая Существует высокая вероятность того, что ресурс скомпрометирован. Необходимо сразу же проверить это. Сведения Defender для облака обладают высокой степенью достоверности как в отношении вредоносных намерений, так и в отношении обнаруженных условий, активирующих оповещения. например, обнаруживающего выполнение известных вредоносных инструментов, таких как Mimikatz (популярное средство, используемое для кражи учетных данных).
Средняя Это подозрительное действие, которое может указывать на то, что ресурс скомпрометирован. Степень уверенности Defender для облака в аналитике или результатах среднего уровня, а во вредоносных намерениях — среднего или высокого уровня. Обычно это будет машинное обучение или обнаружение аномалий, например попытка входа из необычного расположения.
Низкая Это может быть неопасная положительная или заблокированная атака. Defender для облака не вполне уверен, что намерение является вредоносным. Действие может быть безобидным. Например, очистка журнала — это действие, которое может произойти, когда злоумышленник пытается скрыть свои треки, но во многих случаях это обычная операция, выполняемая администраторами. Обычно Defender для облака не предупреждает о заблокированных атаках, если только это не интересный случай, на который стоит обратить внимание.
Информационный Как правило, инцидент состоит из ряда оповещений, некоторые из которых могут быть информационными и появляться сами по себе, но в контексте других оповещений могут заслуживать внимания.

Что такое инциденты системы безопасности

Инцидент системы безопасности представляет собой набор связанных оповещений.

Инциденты предоставляют вам одно представление атаки и связанных с ним оповещений, чтобы быстро понять действия, принятые злоумышленником, и затронутые ресурсы.

По мере роста вздоха охвата угроз становится крайне важно обнаруживать даже самые незначительные нарушения, и аналитикам безопасности бывает трудно рассматривать разные оповещения и определять реальные атаки. Сопоставляя различных оповещений и сигналов с низкой достоверностью с инцидентами системы безопасности, Defender для облака помогает аналитикам справиться с этой усталостью.

В облаке атаки часто возникают в разных арендаторах, и Defender для облака может объединять алгоритмы искусственного интеллекта для анализа последовательностей атак, фиксируемых в каждой подписке Azure. Этот метод определяет последовательности атак как распространенные шаблоны оповещений, а не просто связанные друг с другом случайным образом.

Зачастую в ходе исследования инцидента аналитикам требуется дополнительный контекст, чтобы выяснить характер угрозы и способ ее предотвращения. Например, даже при обнаружении аномалии сети без информации о других событиях в сети или о целевом ресурсе трудно понять, какие действия нужно предпринять. Чтобы помочь с решением этой задачи, инцидент системы безопасности может включать артефакты, связанные события и сведения. Дополнительные сведения, доступные для инцидентов системы безопасности, могут отличаться в зависимости от типа обнаруженной угрозы и конфигурации среды.

Сопоставление оповещений с инцидентами

Defender для облака сопоставляет оповещения и контекстные сигналы с инцидентами.

При корреляции рассматриваются различные сигналы на разных ресурсах, а сведения о системе безопасности в сочетании с возможностями ИИ позволяют анализировать оповещения, обнаруживая закономерности в атаках по мере их возникновения.

Сведения, собранные для каждого этапа атаки, позволяют Defender для облака исключить действия, которые кажутся этапами атаки, однако на самом деле ими не являются.

Как Defender для облака выявляет угрозы?

Для обнаружения реальных угроз и снижения числа ложных срабатываний Defender для облака отслеживает ресурсы, собирает и анализирует данные об угрозах, часто сопоставляя информацию из нескольких источников.

Инициативы Майкрософт

Microsoft Defender для облака использует преимущества команд по исследованиям в области безопасности и по обработке и анализу данных, работающих в корпорации Майкрософт. Они постоянно наблюдают за изменениями в сфере угроз. В центре безопасности действуют описанные ниже инициативы.

  • Специалисты по безопасности Майкрософт. Свой вклад неустанно вносят команды Майкрософт, которые работают в таких узких областях безопасности, как экспертиза и обнаружение веб-атак.
  • Исследования Майкрософт по вопросам безопасности: наши специалисты постоянно отслеживают возникающие угрозы. У них есть доступ к обширным данным телеметрии, которые корпорация Майкрософт получает благодаря своему глобальному присутствию в облачных и локальных средах. Эта обширная и разнообразная коллекция наборов данных позволяет выявлять новые схемы и тенденции атак в наших локальных потребительских и корпоративных продуктах, а также в веб-службах. В результате Defender для облака может быстро обновить свои алгоритмы обнаружения, по мере того как злоумышленники выпускают новые и все более сложные эксплойты. Этот подход позволяет эффективно противостоять стремительно развивающимся угрозам.
  • Мониторинг аналитики угроз: аналитика угроз предусматривает механизмы, индикаторы, результаты и практические советы об имеющихся и возникающих угрозах. Эта информация размещается в сообществе специалистов по безопасности, и корпорация Майкрософт непрерывно отслеживает каналы аналитики угроз, принадлежащие внутренним и внешним источникам.
  • Совместное использование сигналов: Аналитика из групп безопасности в широком портфеле облачных и локальных служб, серверов и конечных точек клиента совместно используются и анализируются.
  • Настройка обнаружения. Алгоритмы испытываются на наборах данных конкретных пользователей, и исследователи по вопросам безопасности проверяют результаты испытаний в тесном сотрудничестве с этими пользователями. Чтобы улучшать алгоритмы машинного обучения, специалисты анализируют ложные и истинные срабатывания.

Все эти инициативы совместно дают общий результат: обнаружение угроз происходит по-новому и более качественно, а пользоваться результатами вы можете прямо сейчас, не прилагая никаких усилий.

Аналитика безопасности

Defender для облака использует расширенную аналитику безопасности, которая выходит далеко за рамки подходов, основанных на подписи. В центре безопасности используются также революционные открытия в технологиях больших данных и машинного обучения. С их помощью оцениваются события во всей облачной структуре — выявляются угрозы, которые невозможно обнаружить вручную, и прогнозируются тенденции развития атак. Вот что входит в аналитику по вопросам безопасности:

Интегрированная аналитика угроз

В корпорации Майкрософт накоплен огромный объем информации, относящейся к глобальной аналитике угроз. Телеметрия поступает из таких источников, как Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, подразделение Microsoft Digital Crimes Unit (DCU) и центр Microsoft Security Response Center (MSRC). Исследователи получают также информацию, связанную с аналитикой угроз, из основных поставщиков облачных служб и веб-каналов сторонних производителей. На основе полученных сведений Microsoft Defender для облака оповещает вас об угрозах, исходящих от известных злоумышленников.

Аналитика поведения

Поведенческая аналитика — это метод, в рамках которого данные анализируются и сверяются с набором известных схем. Однако эти схемы — не просто сигнатуры. Они определяются с помощью сложных алгоритмов машинного обучения, которые применяются к объемным наборам данных. Их также определяют аналитики посредством тщательного анализа вредоносного поведения. Microsoft Defender для облака использует поведенческую аналитику, чтобы выявлять скомпрометированные ресурсы. Для этого анализируются журналы виртуальных машин, журналы устройств виртуальной сети, журналы структуры и другие источники.

Обнаружение аномалий

Кроме того, Defender для облака выявляет угрозы с помощью функции обнаружения аномалий. В отличие от аналитики поведения (в которой используются известные схемы поведения, созданные на основе объемных наборов данных), обнаружение аномалий является более персонализированной методикой. В ее рамках акцент делается на показатели, стандартные для ваших развертываний. Машинное обучение определяет, какие процессы являются нормальными для вашей среды. Затем вырабатываются правила, в которых обозначаются аномальные условия, свидетельствующие об угрозе безопасности.

Экспорт оповещений

Ниже перечислены некоторые способы просмотра оповещений за пределами Defender для облака.

  • Скачивание отчета в формате CSV на панели мониторинга оповещений обеспечивает однократный экспорт в CSV.
  • Непрерывный экспортв разделе параметров среды позволяет настраивать потоки оповещений и рекомендаций системы безопасности для рабочих областей Log Analytics и концентраторов событий. Подробнее.
  • Соединитель Microsoft Sentinel передает оповещения безопасности от Microsoft Defender для облака в Microsoft Sentinel.