Förstå säkerhetsaviseringar
I Microsoft Defender för molnet finns det olika aviseringar för många olika resurstyper. Defender för molnet genererar aviseringar för resurser som distribueras i Azure och för resurser som distribueras i lokala miljöer och hybridmolnmiljöer. Säkerhetsaviseringar utlöses av avancerade identifieringar och är endast tillgängliga med Defender för molnet.
Svara på dagens hot
Hoten i dag ser helt annorlunda ut mot för 20 år sedan. Tidigare behövde företag vanligtvis bara oroa sig för webbplatsförnedring av enskilda angripare som mest var intresserade av att se "vad de kunde göra". Dagens angripare är mycket mer sofistikerade och organiserade. De har ofta specifika ekonomiska och strategiska mål. De har också mer resurser tillgängliga för dem, eftersom de kan finansieras av nationalstater eller organiserad brottslighet.
Dessa föränderliga verkligheter har lett till en aldrig tidigare skådad nivå av professionalism i angriparens led. Dagens angripare är inte intresserade av att bara vanställa en webbplats. De är nu intresserade av att stjäla information, finansiella konton och privata data – som de kan använda för att generera kontanter på den öppna marknaden eller använda en viss verksamhet, politisk eller militär position. Ännu mer oroande än de angripare med ett ekonomiskt mål är de som bryter mot nätverk för att skada infrastruktur och människor.
Som svar distribuerar organisationer ofta olika punktlösningar som fokuserar på att försvara företagsperimetern eller slutpunkterna genom att leta efter kända attacksignaturer. Dessa lösningar genererar ofta stora volymer av relativt otillförlitliga varningar, som en säkerhetsanalytiker måste testa och undersöka. De flesta organisationer har inte den tid och kunskap som krävs för att agera på dessa varningar, vilket gör att många av dem inte åtgärdas.
Dessutom har angripare utvecklat sina metoder för att undergräva många signaturbaserade skydd och anpassa sig till molnmiljöer. Nya metoder krävs för att snabbt identifiera nya hot och påskynda identifieringen och företagets agerande.
Vad är säkerhetsaviseringar och säkerhetsincidenter?
Aviseringar är de meddelanden som Defender för molnet genererar när det identifierar hot på dina resurser. Defender för molnet prioriterar och listar aviseringarna, tillsammans med den information som behövs för att du snabbt ska kunna undersöka problemet. Defender för molnet ger också rekommendationer för hur du kan åtgärda en attack.
En säkerhetsincident är en samling relaterade aviseringar i stället för att visa varje avisering individuellt. Defender för molnet använder Cloud Smart Alert Correlation för att korrelera olika aviseringar och låg återgivningssignaler till säkerhetsincidenter.
Med säkerhetsincidenter ger Defender för molnet dig en enda vy över en attackkampanj och alla relaterade aviseringar. Med den här vyn kan du snabbt förstå vilka åtgärder angriparen vidtog och vilka resurser som påverkades. Mer information finns i Korrelation mellan smarta aviseringar i molnet.
Hur identifierar Defender för molnet hot?
Microsofts säkerhetsforskare söker hela tiden efter hot. På grund av vår globala närvaro i molnet och lokalt har vi tillgång till en omfattande uppsättning telemetri. Den omfattande och mångsidiga insamlingen av datamängder gör det möjligt för oss att upptäcka nya attackmönster och trender i våra lokala konsument- och företagsprodukter samt våra onlinetjänster. Därför kan Defender för molnet snabbt uppdatera sina identifieringsalgoritmer när angripare släpper nya och alltmer sofistikerade kryphål. Den här metoden hjälper dig att hålla jämna steg med en snabbrörlig hotmiljö.
För att identifiera verkliga hot och minska falska positiva identifieringar samlar Defender för molnet in, analyserar och integrerar loggdata från dina Azure-resurser och nätverket. Det fungerar också med anslutna partnerlösningar, till exempel brandväggs- och slutpunktsskyddslösningar. Defender för molnet analyserar den här informationen, som ofta korrelerar information från flera källor, för att identifiera hot.
Defender för molnet använder avancerad säkerhetsanalys, som går långt utöver signaturbaserade metoder. Genombrott inom stordata och maskininlärningstekniker används för att utvärdera händelser i hela molninfrastrukturen – identifiera hot som skulle vara omöjliga att identifiera med hjälp av manuella metoder och förutsäga utvecklingen av attacker. Dessa säkerhetsanalyser omfattar:
Integrerad hotinformation: Microsoft har en enorm mängd global hotinformation. Telemetri flödar in från flera källor, till exempel Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) och Microsoft Security Response Center (MSRC). Forskare får också information om hotinformation som delas mellan stora molntjänstleverantörer och feeds från andra tredje parter. Defender för molnet kan använda den här informationen för att varna dig för hot från kända dåliga aktörer.
Beteendeanalys: Beteendeanalys är en teknik som analyserar och jämför data med en samling kända mönster. Dessa mönster är dock inte enkla signaturer. De bestäms genom komplexa maskininlärningsalgoritmer som tillämpas på massiva datamängder. De bestäms också genom noggrann analys av skadliga beteenden av expertanalytiker. Defender för molnet kan använda beteendeanalys för att identifiera komprometterade resurser baserat på analys av loggar för virtuella datorer, enhetsloggar för virtuella nätverk, infrastrukturloggar och andra källor.
Avvikelseidentifiering: Defender för molnet använder också avvikelseidentifiering för att identifiera hot. Till skillnad från beteendeanalys (som är beroende av kända mönster som härleds från stora datauppsättningar) är avvikelseidentifiering mer "anpassad" och fokuserar på baslinjer som är specifika för dina distributioner. Maskininlärning används för att fastställa normal aktivitet för dina distributioner. Sedan genereras regler för att definiera avvikande villkor som kan representera en säkerhetshändelse.
Hur klassificeras aviseringar?
Defender för molnet tilldelar en allvarlighetsgrad till aviseringar som hjälper dig att prioritera i vilken ordning du svarar på varje avisering, så när en resurs komprometteras kan du komma åt den direkt. Allvarlighetsgraden baseras på hur säker Defender för molnet är i sökningen, eller den analys som används för att utfärda aviseringen och konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.
Hög: Det finns en hög sannolikhet att din resurs komprometteras. Du borde titta på det direkt. Defender för molnet har stort förtroende för både den skadliga avsikten och de resultat som används för att utfärda aviseringen. En avisering identifierar till exempel körningen av ett känt skadligt verktyg, till exempel Mimikatz, ett vanligt verktyg som används för stöld av autentiseringsuppgifter.
Medel: Den här allvarlighetsgraden anger att det förmodligen är en misstänkt aktivitet som kan tyda på att en resurs har komprometterats. Defender för molnet förtroende för analys eller fynd är medel, och förtroendet för skadlig avsikt är medelhög till hög. Dessa skulle vanligtvis vara maskininlärning eller avvikelsebaserade identifieringar. Till exempel ett inloggningsförsök från en avvikande plats.
Låg: Den här allvarlighetsgraden anger att det kan vara en godartad positiv attack eller en blockerad attack.
Defender för molnet är inte tillräckligt säker på att avsikten är skadlig och att aktiviteten kan vara oskyldig. Loggrensning är till exempel en åtgärd som kan inträffa när en angripare försöker dölja sina spår, men i många fall är det en rutinåtgärd som utförs av administratörer.
Defender för molnet brukar inte berätta när attacker blockerades om det inte är ett intressant fall som vi föreslår att du undersöker.
Information: Du ser bara informationsaviseringar när du ökar detaljnivån för en säkerhetsincident eller om du använder REST-API:et med ett specifikt aviserings-ID. En incident består vanligtvis av många aviseringar, varav vissa kan verka vara enbart informationsbaserade, men i samband med de andra aviseringarna kan de vara värda en närmare titt.
Kontinuerlig övervakning och utvärderingar
Defender för molnet drar nytta av att ha säkerhetsforsknings- och datavetenskapsteam i hela Microsoft som kontinuerligt övervakar förändringar i hotlandskapet. Bland annat kan följande projekt nämnas:
Övervakning av hotinformation: Hotinformation innehåller mekanismer, indikatorer, konsekvenser och användbara råd om befintliga eller framväxande hot. Den här informationen delas i säkerhetscommunityn och Microsoft övervakar kontinuerligt hotinformationsflöden från interna och externa källor.
Signaldelning: Insikter från säkerhetsteam i Microsofts breda portfölj av molntjänster och lokala tjänster, servrar och klientslutpunktsenheter delas och analyseras.
Microsofts säkerhetsexperter: Kontinuerligt arbete i team inom hela Microsoft som arbetar inom specialiserade säkerhetsområden, exempelvis datautredning och identifiering av webbattacker.
Identifieringsjustering: Algoritmer körs mot verkliga kunddatauppsättningar och säkerhetsforskare arbetar med kunder för att verifiera resultaten. Sann och falsk positiv identifiering används för att förfina maskininlärningsalgoritmerna.
Förstå aviseringstyper
Den aktuella aviseringsreferenslistan innehåller över 500 typer av aviseringar. Referenslistan kan granskas på: Säkerhetsaviseringar – en referensguide
Varje aviseringstyp har en beskrivning, allvarlighetsgrad och MITRE ATT&CK-taktik
MITRE ATT&CK-taktik
Att förstå avsikten med en attack kan hjälpa dig att undersöka och rapportera händelsen enklare. För att hjälpa till med dessa ansträngningar innehåller Defender för molnet aviseringar MITRE-taktiken med många aviseringar. Den serie steg som beskriver förloppet för en cyberattack från rekognosering till dataexfiltrering kallas ofta för en "kill chain".
Defender för molnet avsikter som stöds baseras på version 7 av MITRE ATT&CK-matrisen och beskrivs i tabellen nedan.
| Strategi | beskrivning |
|---|---|
| PreAttack | PreAttack kan vara antingen ett försök att komma åt en viss resurs oavsett skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet. Det här steget identifieras vanligtvis som ett försök, som kommer från utanför nätverket, att genomsöka målsystemet och identifiera en startpunkt. |
| InitialAccess | InitialAccess är den fas där en angripare lyckas få fotfäste på den angripna resursen. Den här fasen är relevant för beräkningsvärdar och resurser som användarkonton, certifikat osv. Hotaktörer kommer ofta att kunna kontrollera resursen efter det här steget. |
| Bevarande | Beständighet är alla åtkomst-, åtgärds- eller konfigurationsändringar till ett system som ger en hotskådespelare en beständig närvaro i systemet. Hotaktörer behöver ofta upprätthålla åtkomsten till system genom avbrott, till exempel omstarter av systemet, förlust av autentiseringsuppgifter eller andra fel som skulle kräva att ett fjärråtkomstverktyg startar om eller tillhandahåller en alternativ bakdörr för att de ska kunna återfå åtkomsten. |
| PrivilegeEscalation | Behörighetseskalering är resultatet av åtgärder som gör det möjligt för en angripare att få en högre behörighetsnivå i ett system eller nätverk. Vissa verktyg eller åtgärder kräver en högre behörighetsnivå för att fungera och är sannolikt nödvändiga vid många tillfällen under en åtgärd. Användarkonton med behörighet att komma åt specifika system eller utföra specifika funktioner som krävs för att angripare ska uppnå sitt mål kan också betraktas som en eskalering av privilegier. |
| DefenseEvasion | Försvarsundandragande består av tekniker som en angripare kan använda för att undvika identifiering eller undvika andra skydd. Ibland är dessa åtgärder samma som (eller varianter av) tekniker i andra kategorier som har den extra fördelen att undergräva ett visst skydd eller en viss åtgärd. |
| CredentialAccess | Åtkomst till autentiseringsuppgifter representerar tekniker som resulterar i åtkomst till eller kontroll över system-, domän- eller tjänstautentiseringsuppgifter som används i en företagsmiljö. Angripare kommer sannolikt att försöka få legitima autentiseringsuppgifter från användare eller administratörskonton (lokal systemadministratör eller domänanvändare med administratörsåtkomst) som ska användas i nätverket. Med tillräcklig åtkomst i ett nätverk kan en angripare skapa konton för senare användning i miljön. |
| Identifiering | Identifieringen består av tekniker som gör det möjligt för motståndaren att få kunskap om systemet och det interna nätverket. När angripare får tillgång till ett nytt system måste de anpassa sig till vad de nu har kontroll över och vilka fördelar driften av systemet ger deras nuvarande mål eller övergripande mål under intrånget. Operativsystemet innehåller många inbyggda verktyg som underlättar den här informationsinsamlingsfasen efter kompromissen. |
| LateralMovement | Lateral förflyttning består av tekniker som gör det möjligt för en angripare att komma åt och styra fjärrsystem i ett nätverk och moln, men som inte nödvändigtvis inkluderar körning av verktyg på fjärrsystem. Tekniker för lateral förflyttning kan göra det möjligt för en angripare att samla in information från ett system utan att behöva fler verktyg, till exempel ett fjärråtkomstverktyg. En angripare kan använda lateral förflyttning i många syften, inklusive fjärrkörning av verktyg, pivotering till fler system, åtkomst till specifik information eller filer, åtkomst till andra autentiseringsuppgifter eller för att orsaka en effekt. |
| Körnings- | Körningstaktiken representerar tekniker som resulterar i att inkräktarkontrollerad kod körs på ett lokalt eller fjärrstyrt system. Den här taktiken används ofta med lateral förflyttning för att utöka åtkomsten till fjärrsystem i ett nätverk. |
| Samling | Samlingen består av tekniker som används för att identifiera och samla in information, till exempel känsliga filer, från ett målnätverk före exfiltrering. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera. |
| Exfiltrering | Exfiltrering refererar till tekniker och attribut som leder till eller hjälper motståndaren att ta bort filer och information från ett målnätverk. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera. |
| CommandAndControl | Kommando- och kontrolltaktiken representerar hur angripare kommunicerar med system under deras kontroll i ett målnätverk. |
| Påverkan | Påverkanshändelser försöker främst direkt minska tillgängligheten eller integriteten för ett system, en tjänst eller ett nätverk, inklusive manipulering av data för att påverka en affärsprocess eller driftsprocess. Detta skulle ofta referera till tekniker som utpressningstrojaner, defacement, datamanipulering och andra. |