Dela via


Säkerhetsaviseringar – en referensguide

Den här artikeln innehåller länkar till sidor med de säkerhetsaviseringar som du kan få från Microsoft Defender för molnet och eventuella aktiverade Microsoft Defender-planer. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.

Kommentar

Några av de nyligen tillagda aviseringarna som drivs av Informacije o pretnjama za Microsoft Defender och Microsoft Defender za krajnju tačku kan vara odokumenterade.

Den här sidan innehåller också en tabell som beskriver kedjan Microsoft Defender for Cloud kill i linje med version 9 av MITRE ATT&CK-matrisen.

Lär dig hur du svarar på dessa aviseringar.

Lär dig hur du exporterar aviseringar.

Kommentar

Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.

Säkerhetsaviseringssidor efter kategori

MITRE ATT&CK-taktik

Att förstå avsikten med en attack kan hjälpa dig att undersöka och rapportera händelsen enklare. För att hjälpa till med dessa insatser innehåller Microsoft Defender for Cloud-aviseringar MITRE-taktiken med många aviseringar.

Den serie steg som beskriver förloppet för en cyberattack från rekognosering till dataexfiltrering kallas ofta för en "kill chain".

Defender for Clouds avsikter med kill chain som stöds baseras på version 9 av MITRE ATT&CK-matrisen och beskrivs i tabellen nedan.

Strategi ATT&CK-version beskrivning
PreAttack PreAttack kan vara antingen ett försök att komma åt en viss resurs oavsett skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet. Det här steget identifieras vanligtvis som ett försök, som kommer från utanför nätverket, att genomsöka målsystemet och identifiera en startpunkt.
Inledande åtkomst V7, V9 Inledande åtkomst är den fas där en angripare lyckas få fotfäste på den angripna resursen. Den här fasen är relevant för beräkningsvärdar och resurser som användarkonton, certifikat osv. Hotaktörer kommer ofta att kunna kontrollera resursen efter det här steget.
Ståndaktighet V7, V9 Beständighet är alla åtkomst-, åtgärds- eller konfigurationsändringar till ett system som ger en hotskådespelare en beständig närvaro i systemet. Hotaktörer behöver ofta upprätthålla åtkomsten till system genom avbrott, till exempel omstarter av systemet, förlust av autentiseringsuppgifter eller andra fel som skulle kräva att ett fjärråtkomstverktyg startar om eller tillhandahåller en alternativ bakdörr för att de ska kunna återfå åtkomsten.
Privilegieeskalering V7, V9 Behörighetseskalering är resultatet av åtgärder som gör det möjligt för en angripare att få en högre behörighetsnivå i ett system eller nätverk. Vissa verktyg eller åtgärder kräver en högre behörighetsnivå för att fungera och är sannolikt nödvändiga vid många tillfällen under en åtgärd. Användarkonton med behörighet att komma åt specifika system eller utföra specifika funktioner som krävs för att angripare ska uppnå sitt mål kan också betraktas som en eskalering av privilegier.
Försvarsundandragande V7, V9 Försvarsundandragande består av tekniker som en angripare kan använda för att undvika identifiering eller undvika andra skydd. Ibland är dessa åtgärder samma som (eller varianter av) tekniker i andra kategorier som har den extra fördelen att undergräva ett visst skydd eller en viss åtgärd.
Åtkomst till autentiseringsuppgifter V7, V9 Åtkomst till autentiseringsuppgifter representerar tekniker som resulterar i åtkomst till eller kontroll över system-, domän- eller tjänstautentiseringsuppgifter som används i en företagsmiljö. Angripare kommer sannolikt att försöka få legitima autentiseringsuppgifter från användare eller administratörskonton (lokal systemadministratör eller domänanvändare med administratörsåtkomst) som ska användas i nätverket. Med tillräcklig åtkomst i ett nätverk kan en angripare skapa konton för senare användning i miljön.
Upptäckt V7, V9 Identifieringen består av tekniker som gör det möjligt för motståndaren att få kunskap om systemet och det interna nätverket. När angripare får tillgång till ett nytt system måste de inrikta sig på vad de nu har kontroll över och vilka fördelar driften av systemet ger deras nuvarande mål eller övergripande mål under intrånget. Operativsystemet innehåller många inbyggda verktyg som underlättar den här informationsinsamlingsfasen efter kompromissen.
LateralMovement V7, V9 Lateral förflyttning består av tekniker som gör det möjligt för en angripare att komma åt och styra fjärrsystem i ett nätverk och kan, men inte nödvändigtvis, inkludera körning av verktyg på fjärrsystem. Tekniker för lateral förflyttning kan göra det möjligt för en angripare att samla in information från ett system utan att behöva fler verktyg, till exempel ett fjärråtkomstverktyg. En angripare kan använda lateral förflyttning i många syften, inklusive fjärrkörning av verktyg, pivotering till fler system, åtkomst till specifik information eller filer, åtkomst till fler autentiseringsuppgifter eller för att orsaka en effekt.
Avrättning V7, V9 Körningstaktiken representerar tekniker som resulterar i att inkräktarkontrollerad kod körs på ett lokalt eller fjärrstyrt system. Den här taktiken används ofta tillsammans med lateral förflyttning för att utöka åtkomsten till fjärrsystem i ett nätverk.
Samling V7, V9 Samlingen består av tekniker som används för att identifiera och samla in information, till exempel känsliga filer, från ett målnätverk före exfiltrering. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera.
Kommando och kontroll V7, V9 Kommando- och kontrolltaktiken representerar hur angripare kommunicerar med system under deras kontroll i ett målnätverk.
Exfiltrering V7, V9 Exfiltrering refererar till tekniker och attribut som leder till eller hjälper motståndaren att ta bort filer och information från ett målnätverk. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera.
Påverkan V7, V9 Påverkanshändelser försöker främst direkt minska tillgängligheten eller integriteten för ett system, en tjänst eller ett nätverk. inklusive manipulering av data för att påverka en affärs- eller driftsprocess. Detta skulle ofta referera till tekniker som utpressningstrojaner, defacement, datamanipulering och andra.

Kommentar

För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Nästa steg