Understand security alerts (Центр безопасности Azure для оповещений системы безопасности IoT)
В Microsoft Defender для облака предусмотрены разные оповещения для различных типов ресурсов. Defender для облака создает оповещения для ресурсов, развернутых в Azure, а также для ресурсов, развернутых в локальных и гибридных облачных средах. Оповещения системы безопасности активируются только с помощью расширенного обнаружения угроз и доступны только в Defender для облака.
Ответ на угрозы сегодняшнего дня
В сфере деятельности злоумышленников, использующих вредоносное программное обеспечение, за последние 20 лет произошли существенные изменения. В прошлом компании обычно беспокоились только о том, чтобы внешний вид их веб-сайтов не исказили отдельные злоумышленники, большинство из которых просто испытывали свои силы. Сегодня злоумышленники стали гораздо более изощренными и организованными. Часто они преследуют определенные финансовые и стратегические цели. Кроме того, им доступно больше ресурсов, так как их могут финансировать государства или преступные организации.
Это изменение положения дел привело к беспрецедентному профессионализму в рядах злоумышленников. Искажать внешний вид сайтов им больше неинтересно. Сегодня они похищают информацию, финансовые и личные данные, чтобы зарабатывать деньги на открытом рынке или оказывать давление на определенные коммерческие, политические и военные структуры. Еще больше настораживают злоумышленники, которые взламывают сети, чтобы нанести урон инфраструктуре и навредить людям.
В ответ организации часто развертывают точечные решения по всему корпоративному периметру или для отдельных конечных точек. Эти решения ищут известные сигнатуры атак и обычно генерируют много оповещений с низкой достоверностью, которые должен анализировать аналитик по вопросам безопасности. У большинства организаций не хватает ни времени, ни опыта, чтобы проанализировать эти оповещения, поэтому многие из них игнорируются.
Кроме того, методы злоумышленников усовершенствовались: теперь они обходят многие средства защиты, основанные на работе с сигнатурами, и приспосабливаются к облачным средам. Поэтому, чтобы быстрее выявлять новые угрозы и своевременно реагировать на них, требуются новые подходы.
Что такое оповещения системы безопасности и инциденты системы безопасности?
Оповещения — это уведомления, которые Defender для облака создает при обнаружении угроз для ресурсов. Список упорядоченных по приоритету оповещений отображается в Defender для облака вместе с данными, необходимыми для быстрого анализа проблемы. Кроме того, Defender для облака предоставляет рекомендации по устранению атак.
Инцидент системы безопасности представляет собой набор связанных оповещений, а не просто список отдельных оповещений. Defender для облака использует функцию корреляции облачных интеллектуальных оповещений для корреляции различных оповещений и сигналов низкой точности в инциденты безопасности.
На основе инцидентов безопасности Defender для облака создает единое представление кампании атаки и всех связанных с ней оповещений. Это представление позволяет быстро понять, какие действия выполнил злоумышленник и какие ресурсы были затронуты. Дополнительные сведения см. в разделе Корреляция облачных интеллектуальных оповещений в центре безопасности Azure (инциденты).
Как Defender для облака выявляет угрозы?
Исследователи корпорации Майкрософт по вопросам безопасности постоянно отслеживают возникающие угрозы. У них есть доступ к обширным данным телеметрии, которые корпорация Майкрософт получает благодаря своему глобальному присутствию в облачных и локальных средах. Эта обширная и разнообразная коллекция наборов данных позволяет выявлять новые схемы и тенденции атак в наших локальных потребительских и корпоративных продуктах, а также в веб-службах. В результате Defender для облака может быстро обновить свои алгоритмы обнаружения, по мере того как злоумышленники выпускают новые и все более сложные эксплойты. Этот подход позволяет эффективно противостоять стремительно развивающимся угрозам.
Чтобы выявить реальные угрозы и сократить число ложных срабатываний, Defender для облака собирает, анализирует и интегрирует данные журналов из ресурсов и сети Azure. Он также взаимодействует со связанными решениями партнеров, такими как брандмауэры и решения для защиты конечных точек. Defender для облака анализирует эти сведения, часто коррелируя информацию из нескольких источников, чтобы выявлять угрозы.
Defender для облака использует расширенную аналитику безопасности, которая выходит далеко за рамки подходов, основанных на подписи. Кроме того, в центре безопасности реализованы инновационные аналитические технологии (на основе больших данных и машинного обучения), которые помогают оценивать события во всей облачной структуре. Сюда входит поиск угроз, которые невозможно определить вручную, и прогнозирование тенденций развития атак. Вот что входит в аналитику по вопросам безопасности:
Интегрированная аналитика угроз: корпорация Майкрософт имеет огромное количество глобальных аналитиков угроз. Телеметрия поступает из таких источников, как Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, подразделение Microsoft Digital Crimes Unit (DCU) и центр Microsoft Security Response Center (MSRC). Исследователи получают также информацию, связанную с аналитикой угроз, из основных поставщиков облачных служб и веб-каналов сторонних производителей. На основе полученных сведений Defender для облака оповещает вас об угрозах, исходящих от известных злоумышленников.
Аналитика поведения. Поведенческая аналитика — это метод, который анализирует и сравнивает данные с коллекцией известных шаблонов. Но эти схемы — не просто сигнатуры. Они определяются с помощью сложных алгоритмов машинного обучения, которые применяются к огромным наборам данных. Их также определяют аналитики посредством тщательного анализа вредоносного поведения. Defender для облака с использованием аналитики поведения выявляет скомпрометированные ресурсы на основе анализа журналов виртуальных машин, журналов устройств виртуальной сети, журналов структуры и других источников.
Обнаружение аномалий. Кроме того, Defender для облака выявляет угрозы с помощью функции обнаружения аномалий. В отличие от аналитики поведения (в которой используются известные схемы поведения, созданные на основе объемных наборов данных), обнаружение аномалий является более персонализированной методикой. В ее рамках акцент делается на показатели, стандартные для ваших развертываний. Машинное обучение применяется для определения обычных действий для развертываний. Затем создаются правила, определяющие условия выбросов, которые могут представлять событие безопасности.
Как классифицируются оповещения?
Defender для облака назначает оповещениям степень серьезности. Это позволяет определить порядок, в котором на них нужно реагировать, чтобы в случае компрометации ресурса вы могли сразу же заняться им. Серьезность основывается на том, насколько уверен Defender для облака в результатах исследования или аналитики, используемых для выдачи оповещения, а также на уровне достоверности вредоносных намерений, лежащих в основе события, которое активировало оповещение.
Высокий — существует высокая вероятность того, что ресурс скомпрометирован. Необходимо сразу же проверить это. Сведения Defender для облака обладают высокой степенью достоверности как в отношении вредоносных намерений, так и в отношении обнаруженных условий, активирующих оповещения. Например, предупреждение обнаруживает выполнение известного вредоносного средства, например Mimikatz, общего средства, используемого для кражи учетных данных.
Средний — обозначает подозрительное действие, которое может указывать на то, что ресурс скомпрометирован. Степень уверенности Defender для облака в аналитике или результатах — среднего уровня, а во вредоносных намерениях — среднего или высокого уровня. Обычно это машинное обучение или обнаружения аномалий, например попытка войти из аномального расположения.
Низкий — указывает, что это может быть неопасная или заблокированная атака.
Defender для облака не вполне уверен, что намерение является вредоносным. Действие может быть безобидным. Например, очистка журнала — это действие, которое может произойти, когда злоумышленник пытается скрыть свои следы, но во многих случаях это операция, выполняемая администраторами.
Обычно Defender для облака не предупреждает о заблокированных атаках, если только это не интересный случай, на который стоит обратить внимание.
Информация — вы увидите информационные оповещения, только если подробнее рассмотрите инцидент безопасности или если будете использовать REST API с определенным идентификатором оповещения. Как правило, инцидент включает множество оповещений, некоторые из которых могут быть информационными и появляться сами по себе, но в контексте других оповещений могут заслуживать внимания.
Непрерывный мониторинг и оценка
Работе Defender для облака способствует деятельность команд Майкрософт, занимающихся исследованиями в области безопасности, а также обработки и анализа данных. Специалисты таких команд постоянно отслеживают изменения в ландшафте угроз. В центре безопасности действуют описанные ниже инициативы.
Мониторинг аналитики угроз: аналитика угроз предусматривает механизмы, индикаторы, результаты и практические советы об имеющихся и возникающих угрозах. Эта информация размещается в сообществе специалистов по безопасности, и корпорация Майкрософт непрерывно отслеживает каналы аналитики угроз из внутренних и внешних источников.
Совместное использование сигналов: Аналитика из групп безопасности в широком портфеле облачных и локальных служб, серверов и конечных точек клиента совместно используются и анализируются.
Специалисты по безопасности Майкрософт. Свой вклад неустанно вносят команды Майкрософт, которые работают в таких узких областях безопасности, как экспертиза и обнаружение веб-атак.
Настройка обнаружения: алгоритмы испытываются на наборах данных конкретных пользователей, и исследователи по вопросам безопасности проверяют результаты испытаний в тесном сотрудничестве с этими пользователями. Чтобы улучшать алгоритмы машинного обучения, специалисты анализируют ложные и истинные срабатывания.
Общие сведения о типах оповещений
Текущий список ссылок на предупреждения содержит свыше 500 типов оповещений. Список ссылок можно просмотреть по адресу Оповещения системы безопасности — справочное руководство
У каждого типа оповещений есть описание, серьезность и тактика MITRE ATT&CK
Тактики MITRE ATT&CK
Понимание намерения нападения может помочь вам расследовать и сообщить о событии. В рамках этого подхода во многих оповещениях Defender для облака используется тактика MITRE. Последовательность шагов, описывающих продвижение кибератаки от рекогносцировки до извлечения данных, часто называют "цепочкой нарушения безопасности".
Поддерживаемые Defender для облака намерения завершения цепочек основаны на версии 7 матрицы MITRE ATT&CK и описаны в таблице ниже.
| Тактика | Description |
|---|---|
| PreAttack | Предварительная атака может быть либо попыткой доступа к определенному ресурсу независимо от вредоносных целей, либо неудачной попыткой получить доступ к целевой системе для сбора информации перед эксплуатацией. Обычно она определяется как попытка, исходящая из внешней сети, сканировать целевую систему и идентифицировать точку входа. |
| InitialAccess | InitialAccess — это этап, на котором злоумышленник может укрепиться на атакуемом ресурсе. Этот этап относится к вычислительным узлам и ресурсам, таким как учетные записи пользователей, сертификаты и т. д. Субъекты угроз часто смогут управлять ресурсом после этого этапа. |
| Сохраняемость | Атаки типа "Сохраняемость" (Persistence) — это любой доступ, действие или изменение конфигурации в системе, позволяющие злоумышленнику получить устойчивое присутствие в этой системе. Атакующим часто приходится поддерживать доступ к системам через прерывания, такие как перезапуск системы, потеря учетных данных или другие сбои, которые потребуют перезапуска инструмента удаленного доступа или предоставления альтернативного черного хода для восстановления доступа. |
| PrivilegeEscalation | Повышение привилегий (Privilege escalation) — это результат действий, позволяющих злоумышленнику получить более высокий уровень разрешений в системе или сети. Некоторые инструменты или действия требуют более высокого уровня привилегий для работы и, вероятно, необходимы во многих точках на протяжении всей операции. Учетные записи пользователей с разрешениями на доступ к определенным системам или выполнение определенных функций, необходимых злоумышленникам для достижения их целей, также могут рассматриваться как повышение привилегий. |
| DefenseEvasion | Обход защиты (Defense evasion) включает в себя методы, с помощью которых злоумышленник может избегать обнаружения или обходить другие средства защиты. Иногда эти действия совпадают с методиками (или вариантами) в других категориях, которые обладают дополнительными преимуществами для конкретного средства защиты или устранения рисков. |
| CredentialAccess | Атаки с получением учетных данных — это методы, позволяющие получать или контролировать учетные данные систем, доменов и служб, используемых в корпоративной среде, а также управлять ими. Злоумышленники, скорее всего, попытаются получить допустимые учетные данные от пользователей или из учетных записей администраторов (локальных системных администраторов или пользователей домена с правами администратора) для использования в сети. С достаточными правами доступа в сети злоумышленник может создавать учетные записи для последующего использования в среде. |
| Обнаружение | Атаки типа "Обнаружение" (Discovery) — это методы, позволяющие злоумышленнику получать сведения о системе и внутренней сети. Когда злоумышленники получают доступ к новой системе, они должны ориентироваться на то, что они теперь контролируют и какие выгоды можно получить от этой системы во время атаки. Операционная система предоставляет множество собственных средств, помогающих в этой фазе сбора информации после нарушения безопасности. |
| LateralMovement | Горизонтальное смещение (Lateral movement) — это методы, позволяющие злоумышленнику получать доступ к удаленным системам в сети и облаке и управлять ими, которые также могут включать в себя выполнение средств на удаленных системах. Методы горизонтального смещения позволяют злоумышленнику собирать информацию из системы без использования дополнительных средств, таких как средство удаленного доступа. Злоумышленник может использовать горизонтальное смещение для многих целей, в том числе для удаленного запуска инструментов, доступа к дополнительным системам, доступа к определенной информации или файлам, доступа к другим учетным данным или для прямого воздействия. |
| Выполнение | Тактика атак типа "Выполнение" (Execution) — это методы, приводящие к выполнению контролируемого злоумышленником кода на локальной или удаленной системе. Эта тактика часто используется в сочетании с горизонтальным смещением для получения доступа к удаленным системам в сети. |
| Коллекция | Коллекция состоит из приемов, используемых для определения и сбора информации, например конфиденциальных файлов из целевой сети до извлечения. Эта категория также включает в себя расположения в системе или сети, где злоумышленник может найти информацию для извлечения. |
| Кража | Извлечение данных — это методы и атрибуты, позволяющие или помогающие злоумышленнику извлекать файлы и сведения из целевой сети. Эта категория также включает в себя расположения в системе или сети, где злоумышленник может найти информацию для извлечения. |
| CommandAndControl | Тактика атак типа "Командный центр" (Command and Control) — это методы, с помощью которых злоумышленники взаимодействуют с контролируемыми системами в целевой сети. |
| Воздействие | События влияния в основном пытаются напрямую уменьшить доступность или целостность системы, службы или сети, включая обработку данных, влияющих на бизнес или операционные процессы. Это часто относится к таким методам, как вымогательство, искажение, манипулирование данными и другим. |