Výstrahy zabezpečení a incidenty

Tento článek popisuje výstrahy zabezpečení a oznámení v programu Microsoft Defender for Cloud.

Co jsou výstrahy zabezpečení?

Výstrahy zabezpečení jsou oznámení generovaná programem Defender for Cloud a Defender for Cloud, když dojde k hrozbám ve vašem cloudovém, hybridním nebo místním prostředí.

  • Výstrahy zabezpečení se aktivují pokročilými detekcemi v programu Defender for Cloud a jsou k dispozici, když povolíte rozšířené funkce zabezpečení.
  • Každá výstraha obsahuje podrobnosti o ovlivněných prostředcích, problémech a doporučeních k nápravě.
  • Defender for Cloud klasifikuje výstrahy a upřednostňuje je podle závažnosti na portálu Defender for Cloud.
  • Data výstrah se uchovávají po dobu 90 dnů.
  • Výstrahy je možné exportovat do formátu CSV nebo je přímo vložit do Microsoft Sentinelu.
  • Defender for Cloud využívá matici útoku MITRE k přidružení výstrah k jejich vnímaným záměru a pomáhá formalizovat znalosti domény zabezpečení.

Jak se výstrahy klasifikují?

Defender for Cloud přiřadí upozorněním závažnost, která vám pomůže určit prioritu způsobu, jakým se každé výstrahy účastníte. Závažnost je založená na tom, jak je Defender for Cloud v:

  • Vyhledání nebo analýza použité k vydání výstrahy
  • Úroveň spolehlivosti, že za aktivitou, která vedla k upozornění, došlo ke škodlivému záměru
Závažnost Doporučená odpověď
Vysoká Existuje vysoká pravděpodobnost ohrožení vašeho prostředku. Měli byste se na to podívat hned. Defender for Cloud má vysokou důvěru v škodlivý záměr i ve zjištěních používaných k vydání výstrahy. Například výstraha, která detekuje spuštění známého škodlivého nástroje, jako je Mimikatz, běžný nástroj používaný pro krádež přihlašovacích údajů.
Medium Pravděpodobně se jedná o podezřelou aktivitu, která může znamenat ohrožení zabezpečení prostředku. Spolehlivost Defenderu pro cloud v analýze nebo hledání je střední a spolehlivost záměru se zlými úmysly je střední až vysoká. Obvykle se jedná o detekce založené na strojovém učení nebo anomáliích, například pokus o přihlášení z neobvyklého umístění.
Nízká Může to být neškodný pozitivní nebo blokovaný útok. Defender for Cloud nemá jistotu, že záměr je škodlivý a aktivita může být nevinná. Například vymazání protokolu je akce, ke které může dojít, když se útočník pokusí skrýt stopy, ale v mnoha případech je rutinní operace prováděná správci. Defender for Cloud vám obvykle neřekne, kdy byly útoky blokované, pokud se jedná o zajímavý případ, který doporučujeme prozkoumat.
Informační Incident se obvykle skládá z řady výstrah, z nichž některé můžou být samy o sobě pouze informativní, ale v kontextu ostatních výstrah by mohly být užitečné bližší pohled.

Co jsou incidenty zabezpečení?

Incident zabezpečení je kolekce souvisejících výstrah.

Incidenty poskytují jeden pohled na útok a související výstrahy, abyste mohli rychle pochopit akce, které útočník provedl, a ovlivněné prostředky.

S rostoucím dechem pokrytí hrozeb, takže je potřeba detekovat i nejmenší kompromis. Pro analytiky zabezpečení je náročné určit různé výstrahy a identifikovat skutečný útok. Díky korelaci výstrah a signálů s nízkou věrností do incidentů zabezpečení pomáhá Defender for Cloud analytikům vyrovnat se s touto únavou výstrah.

V cloudu můžou nastat útoky napříč různými tenanty. Defender for Cloud může kombinovat algoritmy AI za účelem analýzy pořadí útoků, které jsou hlášené v každém předplatném Azure. Tato technika identifikuje pořadí útoků jako předpočítaných vzorů výstrah, místo toho, aby k sobě byla jen náhodná souvislost.

Během vyšetřování incidentu potřebují analytici často další kontext, aby dosáhli verdiktu o povaze hrozby a o tom, jak ji zmírnit. Například i když se zjistí anomálie sítě, aniž byste pochopili, co se v síti děje, nebo s ohledem na cílový prostředek, je obtížné pochopit, jaké akce se mají provést dál. Incident zabezpečení může pomoct s artefakty, souvisejícími událostmi a informacemi. Další informace dostupné pro incidenty zabezpečení se liší v závislosti na typu zjištěné hrozby a konfiguraci vašeho prostředí.

Korelace výstrah do incidentů

Defender for Cloud koreluje výstrahy a kontextové signály s incidenty.

  • Korelace sleduje různé signály napříč prostředky a kombinuje znalosti zabezpečení a AI k analýze výstrah a zjišťování nových vzorů útoku při jejich výskytu.
  • Pomocí informací shromážděných pro každý krok útoku může Defender for Cloud také vyloučit aktivitu, která se zdá být kroky útoku, ale ve skutečnosti není.

Tip

V referenčních informacích o výstrahách zkontrolujte seznam výstrah incidentů zabezpečení, které je možné vygenerovat korelací incidentů.

Jak Defender for Cloud detekuje hrozby?

Pokud chcete detekovat skutečné hrozby a snížit falešně pozitivní výsledky, Defender for Cloud monitoruje prostředky, shromažďuje a analyzuje data pro hrozby, často koreluje data z více zdrojů.

Defender for Cloud Data collection and presentation.

Iniciativy Microsoftu

Microsoft Defender pro cloud přináší výhody, že mají týmy pro výzkum zabezpečení a datové vědy v celém Microsoftu, kteří průběžně monitorují změny v oblasti hrozeb. To zahrnuje následující iniciativy:

  • Odborníci na zabezpečení společnosti Microsoft: Průběžné zapojování týmů v rámci společnosti Microsoft, které pracují ve specializovaných oblastech zabezpečení, například forenzní analýza nebo detekce webových útoků.

  • Výzkum zabezpečení Microsoftu: Naši výzkumní pracovníci neustále hledají hrozby. Vzhledem k naší globální přítomnosti v cloudu a místním prostředí máme přístup k rozsáhlé sadě telemetrických dat. Široká a různorodá kolekce datových sad nám umožňuje objevit nové vzory útoků a trendy v našich místních spotřebitelských a podnikových produktech a také v našich online služby. V důsledku toho může Defender for Cloud rychle aktualizovat své detekční algoritmy, protože útočníci vydávají nové a stále sofistikovanější zneužití. Tento přístup pomáhá udržet krok s rychle se rozvíjejícím prostředím hrozeb.

  • Monitorování analýzy hrozeb: Analýza hrozeb zahrnuje mechanismy, indikátory, důsledky a užitečné rady týkající se stávajících nebo nově vznikajících hrozeb. Tyto informace se sdílí v bezpečnostní komunitě a společnost Microsoft kanály analýzy hrozeb z interních i externích zdrojů nepřetržitě monitoruje.

  • Sdílení signálů: Přehledy od týmů zabezpečení v širokém portfoliu cloudových a místních služeb, serverů a zařízení koncových bodů klienta od Microsoftu se sdílejí a analyzují.

  • Optimalizace detekce: V datových sadách reálných zákazníků se spouští algoritmy a výzkumníci z oblasti bezpečnosti pracují se zákazníky na ověřování výsledků. Pravdivě a falešně pozitivní výsledky pak slouží ke zlepšování algoritmů strojového učení.

Tyto kombinované úsilí vyvrcholí novými a vylepšenými detekcemi, které můžete okamžitě využít – neexistuje žádná akce, kterou byste měli podniknout.

Analytika zabezpečení

Defender for Cloud využívá pokročilou analýzu zabezpečení, která přesahuje přístupy založené na podpisech. Využívá objevy v oblasti zpracování velkých objemů dat a strojového učení k vyhodnocování událostí v rámci všech prostředků cloudové infrastruktury – a pomocí manuálních metod a předvídání vývoje útoků detekuje hrozby, které by jinak nebylo možné identifikovat. Do této analýzy zabezpečení patří:

Integrovaná analýza hrozeb

Společnost Microsoft má k dispozici rozsáhlé zdroje globální analýzy hrozeb. Telemetrie proudí z několika zdrojů, jako je Azure, Microsoft 365, aplikace Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, microsoft Digital Crimes Unit (DCU) a Microsoft Security Response Center (MSRC). Výzkumní pracovníci také dostávají informace o analýze hrozeb, které jsou sdílené mezi hlavními poskytovateli cloudových služeb a informačními kanály od jiných třetích stran. Microsoft Defender for Cloud může tyto informace použít k upozornění na hrozby známých špatných herců.

Analýza chování

Behaviorální analýza je technika, která analyzuje a porovnává data se sadou známých schémat. Tato schémata však nepředstavují jednoduché příznaky. Určují se prostřednictvím komplexních algoritmů strojového učení, které se aplikují na rozsáhlé datové sady. Určují se také prostřednictvím pečlivé analýzy škodlivého chování, kterou provádí zkušení analytici. Microsoft Defender for Cloud může pomocí analýzy chování identifikovat ohrožené prostředky na základě analýzy protokolů virtuálních počítačů, protokolů zařízení virtuální sítě, protokolů prostředků infrastruktury a dalších zdrojů.

Detekce anomálií

Defender for Cloud také používá detekci anomálií k identifikaci hrozeb. Na rozdíl od analýzy chování, která závisí na známých vzorech odvozených z velkých datových sad, je detekce anomálií "přizpůsobenější" a zaměřuje se na standardní hodnoty specifické pro vaše nasazení. Pomocí strojového učení se určí běžné úrovně aktivity pro vaše nasazení a poté se vygenerují pravidla definující neobvyklé hodnoty, které by mohly představovat událost zabezpečení.

Export výstrah

Máte celou řadu možností zobrazení výstrah mimo Defender pro cloud, včetně těchto:

  • Stažení sestavy CSV na řídicím panelu upozornění poskytuje jednorázový export do sdíleného svazku clusteru.
  • Průběžný export z nastavení prostředí umožňuje nakonfigurovat streamy výstrah zabezpečení a doporučení pro pracovní prostory služby Log Analytics a službu Event Hubs. Přečtěte si další informace.
  • Konektor Microsoft Sentinel streamuje výstrahy zabezpečení z Microsoft Defenderu pro cloud do Microsoft Sentinelu. Další informace .

Přečtěte si o upozorněních streamování do řešení PRO SPRÁVU SLUŽEB SIEM, SOAR nebo IT Service Management a o tom, jak průběžně exportovat data.

Další kroky

V tomto článku jste se dozvěděli o různých typech výstrah dostupných v programu Defender for Cloud. Další informace naleznete v tématu: