了解安全性警示
在適用於雲端的 Microsoft Defender 中,有針對許多不同資源類型的各種警示。 適用於雲端的 Defender 會針對部署在 Azure、內部部署和混合式雲端環境的資源產生警示。 安全性警示是由進階偵測所觸發,而且只能與適用於雲端的 Defender 搭配使用。
因應現代的威脅
威脅環境在過去 20 年來已有重大改變。 公司過去通常只需擔心個別攻擊者竄改網站,只因他們想「小試身手」。 現今的攻擊者更加複雜且具組織性。 他們通常會有特定財務和策略性目標。 攻擊者現在也有更多資源可用,因為他們可能受到民族國家或犯罪集團資助。
現實環境不斷變化,造就了前所未有的專業攻擊者等級。 他們不再對 Web 竄改感興趣。 他們現在感興趣的是竊取資訊、金融帳戶和私人資料,因為這些資料可在公開市場換取現金,或利用特定商務、政治或軍事立場。 但令人擔憂的不是攻擊者以財務為目標,而是入侵網路傷害基礎結構和人員。
為了因應此現象,組織通常會部署多點解決方案,並透過尋找已知攻擊簽章,加強保護企業周邊或端點。 這些解決方案通常會產生大量的低精確度警示,而需要安全性分析師進行分級和調查。 大多數組織缺少回應這些警示所需的時間和專業知識,導致有如此多的警示未獲解決。
此外,攻擊者的方法已經演變,可以破壞許多以簽章為基礎的防禦措施並且適應雲端環境。 需要新的方法,才能更快速地找出新興威脅並加速偵測和回應。
什麼是安全性警示和安全性事件?
警示是當適用於雲端的 Defender 偵測到您的資源受到威脅時,所產生的通知。 適用於雲端的 Defender 會設定優先順序並列出警示,以及快速調查問題所需的資訊。 適用於雲端的 Defender 也提供如何修復攻擊的建議。
安全性事件是相關警示集合,而非個別列出警示。 適用於雲端的 Defender 會使用雲端智慧警示相互關聯,將不同的警示和低精確度訊號相互關聯,結合成安全性事件。
透過安全性事件,適用於雲端的 Defender 就能為您提供攻擊活動及所有相關警示的單一檢視。 此檢視可讓您快速了解攻擊者採取的動作,以及受到影響的資源。 如需詳細資訊,請參閱<雲端智慧警示相互關聯>。
適用於雲端的 Defender 如何偵測威脅?
Microsoft 安全性研究人員會持續監視威脅。 Microsoft 的雲端和內部部署遍布全球,所以我們有大量遙測資料集的存取權。 資料集的內容包羅萬象,讓我們能找出最新的攻擊模式,及內部部署消費、企業產品和線上服務趨勢。 因此,適用於雲端的 Defender 可以在攻擊者發行新的和日益複雜的攻擊時,快速地更新其偵測演算法。 此方法可協助您跟上瞬息萬變的威脅環境。
為偵測出真正的威脅並降低誤判為真的狀況,適用於雲端的 Defender 會自動收集、分析及整合來自 Azure 資源與網路的記錄資料。 此外,也會搭配連線的合作夥伴解決方案使用,例如防火牆和端點保護解決方案。 適用於雲端的 Defender 會分析這項資訊 (通常是來自多個來源的相互關聯資訊) 以識別威脅。
適用於雲端的 Defender 會運用進階安全性分析,其遠勝於以簽章為基礎的方法。 運用在巨量資料和機器學習技術上的突破,可評估整個雲端網狀架構上的事件,偵測出無法以手動方式識別的威脅,並且預測攻擊的演化趨勢。 這些安全性分析包括:
整合的威脅情報:Microsoft 擁有非常大量的全球威脅情報。 遙測資料來自多個來源,例如 Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft Digital Crimes Unit (DCU) 和 Microsoft 安全回應中心 (MSRC)。 研究人員也會收到主要雲端服務提供者共用的威脅情報資訊,及其他協力廠商的摘要。 適用於雲端的 Defender 可以使用這項資訊來警示您來自已知不良執行者的威脅。
行為分析:行為分析是根據已知模式分析和比較資料的一種技術。 不過,這些模式並非簡單的簽章。 其可以透過套用至大型資料集的複雜機器學習演算法來判定, 也可以透過專業分析師仔細分析惡意行為來判定。 適用於雲端的 Defender 可以使用行為分析,根據虛擬機器記錄、虛擬網路裝置記錄、網狀架構記錄和其他來源的分析,來識別遭到入侵的資源。
異常偵測:適用於雲端的 Defender 也會使用異常偵測來識別威脅。 相較於行為分析 (衍伸自大型資料集的已知模式),異常偵測更「個人化」,並重視部署專用的基準。 機器學習會用於判斷部署的一般活動。 接著產生規則以定義能表示安全性事件的極端值條件。
如何分類警示?
適用於雲端的 Defender 會指派警示的嚴重性,並在您回應的各項警示中,協助設定優先順序,如此一來當資源遭入侵時,就能立即著手應對。 嚴重性是根據適用於雲端的 Defender 對發現的確定程度,或用來發行警示的分析,及引發警示的活動背後具有惡意的信賴等級。
高:您的資源有很高的可能性遭入侵。 您應立即加以了解。 適用於雲端的 Defender 在不良意圖和用來發出警示的調查結果方面都具有高信賴度。 例如,警示會偵測已知惡意工具的執行,例如 Mimikatz (一種用於認證竊取的常見工具)。
中:此安全性表示有資源可能遭入侵的可疑活動。 適用於雲端的 Defender 的信賴等級在分析或發現階段為中等,惡意的信賴等級則為中等至高。 這些通常會是機器學習或異常偵測。 例如,從異常位置登入的嘗試。
低:此安全性表示有可能是良性確判或已遭封鎖的攻擊。
適用於雲端的 Defender 不確定意圖為惡意,所以活動可能無害。 例如,記錄清除是攻擊者試圖隱藏行跡時,可能出現的動作,但在許多情況下,記錄清除是管理員執行的日常作業。
封鎖攻擊時,適用於雲端的 Defender 通常不會通知您,除非是建議您查看的特殊案例。
資訊:只有向下切入安全性事件,或使用 REST API 和特定警示識別碼時,才會看到資訊警示。 事件通常是由許多警示所組成,部分單獨顯示的可能是資訊警示,但和其他警示相關時,或許該進一步查看。
持續監視和評定
適用於雲端的 Defender 的優勢在於 Microsoft 上上下下都設有資訊安全研究和資料科學小組,負責持續監視威脅態勢中的變化。 這包括下列計畫:
威脅情報監視:威脅情報包含有關現有或新興威脅的機制、指標、影響和可採取動作的建議。 安全性社群會共用此資訊,而 Microsoft 會持續監視來自內部和外部來源的威脅情報摘要。
訊號共用:共用和分析安全性小組對於 Microsoft 的各種雲端和內部部署服務、伺服器及用戶端端點裝置組合所提供的見解。
Microsoft 安全性專員:持續與致力於特殊安全性領域 (例如鑑識與 Web 攻擊偵測) 的 Microsoft 團隊攜手合作。
偵測微調:對真正的客戶資料集執行演算法,而安全性研究人員會與客戶一起驗證結果。 確判為真和誤判為真可用來縮小機器學習演算法的範圍。
了解警示類型
目前警示參考清單包含 500 種以上的警示。 您可在下列網址檢閱參考清單:安全性警示 - 參考指南
每個警示類型都有描述、嚴重性和 MITRE ATT&CK 策略
MITRE ATT&CK 策略
了解攻擊目的可以協助您更容易調查和報告事件。 為了協助您進行這些工作,適用於雲端的 Defender 警示包括許多警示的 MITRE 策略。 描述從偵察到資料外流之網路攻擊進展的一系列步驟,通常稱為「終止鏈結」。
適用於雲端的 Defender 支援的終止鏈結意圖是以 MITRE ATT&CK 矩陣的第 7 版為基礎,如下表所述。
| 策略 | 描述 |
|---|---|
| PreAttack | PreAttack 是嘗試存取特定資源 (無論是否具有惡意),或嘗試在惡意利用前,取得目標系統存取權收集資訊失敗。 此步驟通常會被偵測為來自網路外部的嘗試,目的是掃描目標系統並識別進入點。 |
| InitialAccess | InitialAccess 是攻擊者設法取得受攻擊資源立足點的階段。 此階段有關計算主機和資源,例如使用者帳戶和憑證等。威脅執行者通常可在此階段後控制資源。 |
| 持續性 | 持續性是系統的任何存取、動作或設定變更,可讓威脅行為者在該系統上持續存在。 威脅行為者通常需要透過中斷 (例如系統重新啟動、認證遺失或其他可能需要重新啟動遠端存取工具的失敗情況) 來維持對系統的存取權,或提供替代的後門程式讓他們重新取得存取權。 |
| PrivilegeEscalation | 權限提升是允許敵人在系統或網路上取得較高層級權限的動作結果。 特定工具或動作需要較高層級的權限才能正常運作,而且在整個作業的許多點上都有此必要。 若使用者帳戶具有可存取特定系統,或執行特定函式讓敵人達成目標的權限,也可能會被視為提升權限。 |
| DefenseEvasion | 防禦規避包含敵人可用於規避偵測或避免其他防禦的技術。 有時候,這些動作與其他類別中的 (或各種不同的) 技術相同,都具有破壞特定防禦或緩和措施的附加優點。 |
| CredentialAccess | 認證存取表示技術導致存取權或控制系統、網域,及企業環境使用的服務認證。 敵人可能會嘗試從使用者或管理員帳戶 (具有管理員存取權的本機系統管理員或網域使用者) 取得合法的認證,以在網路中使用。 有了足夠的網路存取權,敵人就可以建立帳戶以便稍後在環境中使用。 |
| 探索 | 探索包含可讓敵人掌握系統和內部網路相關知識的技術。 敵人取得新系統的存取權後,他們必須確認目前控制的項目,及操作系統能為目前的目標或入侵期間的整體目標,帶來什麼好處。 作業系統提供許多原生工具,有助於此入侵後的資訊收集階段。 |
| LateralMovement | 橫向移動包含的技術可讓敵人存取和控制網路和雲端上的遠端系統,但不一定包括在遠端系統上執行工具。 橫向移動技術讓敵人不需其他工具,例如遠端存取工具,即可透過系統收集資訊。 敵人可以將橫向移動運用在各種目的,包括遠端執行工具、跳轉至更多系統、存取特定資訊或檔案、存取其他認證,或造成影響。 |
| 執行 | 執行策略代表會導致在本機或遠端系統上執行受敵人控制之程式碼的技術。 此策略通常會與橫向移動搭配使用,以擴充網路上遠端系統的存取權。 |
| 集合 | 集合包含的技術,可在資料外流之前,用來識別並收集來自目標網路的資訊 (例如敏感性檔案)。 此類別也涵蓋敵人可能在系統或網路上尋找資訊進行外流的位置。 |
| 外流 | 外流是指導致協助敵人從目標網路移除檔案和資訊的技術和性質。 此類別也涵蓋敵人可能在系統或網路上尋找資訊進行外流的位置。 |
| CommandAndControl | 命令與控制策略代表敵人在目標網路中,與其控制下系統通訊的方式。 |
| 影響 | 影響事件主要嘗試直接減少系統、服務或網路的可用性或完整性,包括操作資料影響商務或作業流程。 這通常指的是勒索軟體、竄改、資料操控和其他技術。 |