了解安全警报
在 Microsoft Defender for Cloud 中,有各种针对不同资源类型的警报。 Defender for Cloud 为部署在 Azure 上的资源以及部署在本地和混合云环境中的资源生成警报。 安全警报由高级检测触发,仅适用于 Defender for Cloud。
应对当前的威胁
过去 20 年里,威胁态势有了很大的改变。 在过去,公司通常只需担心网站被各个攻击者改头换面。许多情况下,这些攻击者感兴趣的是看看“自己能够做什么”。 而现在,攻击者则更为复杂,更有组织性。 他们通常有具体的经济和战略目标。 他们的可用资源也更多,因为他们可能由国家/地区提供资金支持,可能是有组织犯罪。
这些不断变化的现实导致攻击者的专业水准前所未有地高。 他们不再对篡改网页感兴趣。 他们现在感兴趣的是窃取信息、财务帐户和私有数据,他们可以利用这些信息在开放市场上获得现金,或者利用特定的商业、政治或军事地位。 比这更引人关注的是,这些以财务为目标的攻击者在侵入网络后会破坏基础结构,对人们造成伤害。
作为响应,组织通常会部署各种单点解决方案,通过查找已知的攻击特征,重点做好企业外围防护或终结点防护。 这些解决方案会生成大量的低保真警报,需要安全分析师进行会审和调查。 大多数组织缺乏必要的时间和专业技术来响应此类警报 – 许多警报被置之不理。
此外,攻击者的方法不断进化,可破坏许多基于签名的防御,并适合云环境。 必须采用新方法更快地确定新出现的威胁,加快检测和应对速度。
什么是安全警报和安全事件?
警报是指 Defender for Cloud 在资源上检测到威胁时生成的通知。 Defender for Cloud 按优先级列出警报,以及快速调查问题所需的信息。 Defender for Cloud 还提供有关如何针对攻击采取补救措施的建议。
“安全事件”是相关警报的集合,而不是单独列出每个警报。 Defender for Cloud 使用云智能警报关联将不同的警报和低保真信号关联到安全事件中。
对于安全事件,Defender for Cloud 将提供有关攻击活动和所有相关警报的单一视图。 利用此视图,你可以快速了解攻击者采取的操作以及受影响的资源。 有关详细信息,请参阅云智能警报关联。
Defender for Cloud 如何检测威胁?
Microsoft 安全研究人员始终在不断地寻找威胁。 由于在云中和本地的广泛存在,我们可以访问大量的遥测数据。 由于能够广泛访问和收集各种数据集,因此我们可以通过本地消费者产品和企业产品以及联机服务发现新的攻击模式和趋势。 因此,当攻击者发布新的越来越复杂的漏斗利用方式时,Defender for Cloud 就可以快速更新其检测算法。 此方法可帮助你始终与变化莫测的威胁环境保持同步。
为了检测真实威胁和减少误报,Defender for Cloud 自动收集、分析和集成来自 Azure 资源和网络的日志数据。 它还适用于连接的合作伙伴解决方案,如防火墙和终结点保护解决方案。 Defender for Cloud 分析该信息(通常需将多个来源的信息关联起来)即可确定威胁。
Defender for Cloud 使用各种高级安全分析,远不止几种基于攻击特征的方法。 可利用大数据和机器学习技术的突破跨整个云结构对事件进行评估,检测那些使用手动方式不可能发现的威胁,并预测攻击的发展方式。 此类安全分析包括:
集成的威胁情报:Microsoft 提供大量的全球威胁情报。 遥测数据的来源包括:Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft 数字犯罪部门 (DCU)、Microsoft 安全响应中心 (MSRC)。 研究人员还会接收主要云服务提供商之间共享的威胁情报信息以及来自其他第三方的反馈。 Defender for Cloud 可以使用此信息提醒你有来自已知恶意攻击者的威胁。
行为分析:行为分析是一种技术,该技术会对数据进行分析并将数据与一系列已知模式对比。 然而,这些模式并不是简单的签名。 它们是通过应用于海量数据集的复杂机器学习算法确定的。 或者由分析专家通过仔细分析恶意行为来确定。 Defender for Cloud 可以根据对虚拟机日志、虚拟网络设备日志、结构日志和其他来源的分析,使用行为分析来识别受损的资源。
异常情况检测:Defender for Cloud 还使用异常情况检测来识别威胁。 与行为分析(依赖于从大型数据集派生的已知模式)相比,异常检测更“个性化”,注重特定于你的部署的基线。 应用机器学习的目的是确定部署的常规活动。 然后生成规则来定义可表示安全事件的离群值条件。
如何对警报进行分类?
Defender for Cloud 为警报分配严重性,以帮助你确定响应每个警报的顺序优先级,以便在资源泄漏时可以立即处理。 严重性取决于 Defender for Cloud 对用于发出警报的发现结果或分析的可信度,以及导致警报的活动背后的恶意意图的可信度。
高:资源受到威胁的可能性很高。 应立即进行调查。 Defender for Cloud 在所检测出的恶意意图和用于发出警报的发现结果方面的可信度较高。 例如,警报检测到一个已知的恶意工具(如 Mimikatz,一种用于窃取凭据的常用工具)的执行。
中:此严重性表明这可能是一个可疑活动,可能表明资源已泄露。 Defender for Cloud 对分析或发现结果的可信度为中等,对恶意意图的可信度为中等到高。 这些通常是机器学习或基于异常的检测。 例如,从异常位置进行的登录尝试。
低:此严重性表明它可能是良性的正面攻击或被阻止的攻击。
Defender for Cloud 不太确定此意图是否带有恶意,也不太确定此活动是否无恶意。 例如,日志清除是攻击者尝试隐藏其踪迹时可能会执行的操作,但在许多情况下,它是管理员执行的常规操作。
Defender for Cloud 通常不会告知你攻击何时被阻止,除非这是我们建议你应该仔细查看的一个引发关注的案例。
信息:只有在深入了解某个安全事件时,或者将 REST API 与特定警报 ID 配合使用时,才会看到信息警报。 一个事件通常由许多警报组成,其中一些警报本身可能只是信息性的,但在其他警报的上下文中可能值得仔细研究。
持续监视和评估
Defender for Cloud 受益于整个 Microsoft 的安全研究和数据科学团队,他们持续监视威胁变化。 其中包括以下计划:
威胁情报监视:威胁情报包括现有的或新出现的威胁的机制、指示器、含义和可操作建议。 此信息在安全社区共享,Microsoft 会持续监视内部和外部源提供的威胁情报源。
信号共享:安全团队的见解会跨 Microsoft 的一系列云服务和本地服务、服务器、客户端终结点设备进行共享和分析。
Microsoft 安全专家:持续接触 Microsoft 的各个工作在专业安全领域(例如取证和 Web 攻击检测)的团队。
检测优化:针对实际的客户数据集运行相关算法,安全研究人员与客户一起验证结果。 通过检出率和误报率优化机器学习算法。
了解警报类型
当前警报引用列表包含 500 多种警报类型。 可在此处查看引用列表:安全警报 - 参考指南
每种警报类型都包含说明、严重性和 MITRE ATT&CK 策略
MITRE ATT&CK 策略
了解攻击意图有助于更轻松地调查和报告事件。 为了帮助完成这些工作,Defender for Cloud 警报包括包含许多警报的 MITRE 策略。 描述网络攻击过程(从侦查到数据外泄)的一系列步骤通常被称为“杀伤链”。
Defender for Cloud 支持的终止链接意向基于 MITRE ATT&CK 矩阵的版本 7,如下表中所述。
| 技巧 | 说明 |
|---|---|
| 预攻击 | 预攻击可以是在不考虑恶意意图的情况下尝试访问某个资源,也可以是获取目标系统的访问权限以在利用之前收集信息的尝试失败。 此步骤通常被检测为源自网络外部的尝试,目的是扫描目标系统并标识入口点。 |
| 初始访问 | 初始访问是攻击者设法在受到攻击的资源上建立据点的阶段。 此阶段与计算主机和资源(如用户帐户、证书等)相关。在此阶段之后,威胁者通常能够控制资源。 |
| 持久性 | 持久性指为了让威胁参与者在系统上持久存在而对该系统进行的任何访问、操作或配置更改。 威胁参与者通常需要通过中断操作来维持自己对系统的访问,这些中断操作包括系统重启、丢失凭据或其他可能需要远程访问工具重启的故障,或者提供备用后门来重新获得访问权限。 |
| 特权提升 | 特权提升指允许攻击者在系统或网络上获得更高级别权限的操作的结果。 某些工具或操作需要更高级别的特权才能正常运行,并且在操作过程中的很多个时间点它们都是必需的。 有权访问特定系统或执行攻击者所需的特定函数的用户帐户也可能被视为特权提升。 |
| 防御规避 | 防御规避策略包含攻击者可用于避开检测或其他防御措施的方法。 在某些情况下,这些操作与其他类别中的方法相同(或者是它们的变体),这些方法还能破坏特定防御措施或缓解工具。 |
| 凭据访问 | 凭据访问策略表示允许访问或控制在企业环境中使用的系统、域或服务凭据的技术。 攻击者可能会尝试通过用户或管理员帐户(本地系统管理员或具有管理员权限的域用户)获取合法凭据,以便在网络中使用。 当攻击者在网络中具备足够的访问权限时,他们就可以创建帐户以供之后在环境中使用。 |
| 发现 | 发现策略包含允许攻击者了解系统和内部网络的方法。 当攻击者获得对新系统的访问权限时,在入侵期间,他们必须适应自己现在能控制的内容,并了解从该系统执行操作对他们的当前目标或总体目标有什么好处。 操作系统提供许多对这一入侵后信息收集阶段有帮助的本机工具。 |
| 横向移动 | 横向移动包含的方法让攻击者能够访问并控制网络和云上的远程系统,但不一定包括在远程系统上执行工具。 横向移动技术可让攻击者无需使用其他工具(如远程访问工具)即可从系统收集信息。 攻击者可以使用横向移动来实现多种目的,包括远程执行工具、转到其他系统、访问特定信息或文件、访问其他凭据或造成某种影响。 |
| 执行 | 执行策略表示允许在本地系统或远程系统上执行受攻击者控制的代码的方法。 此策略通常与横向移动一起使用,以扩展对网络上远程系统的访问。 |
| 集合 | 收集包含的方法让攻击者能在外泄之前标识和收集目标网络中的信息,例如敏感文件。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。 |
| 外泄 | 外泄策略指允许或有助于攻击者从目标网络中删除文件和信息的方法和特性。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。 |
| 命令和控制 | 命令和控制策略表示攻击者如何在目标网络中与其控制的系统通信。 |
| 影响 | 影响事件主要尝试直接降低系统、服务或网络的可用性或完整性;包括为了影响业务或操作过程而进行的数据操作活动。 这通常指勒索软件、篡改、数据操作等方法。 |