Sdílet prostřednictvím


Výstrahy zabezpečení – Referenční příručka

Tento článek obsahuje odkazy na stránky se seznamem výstrah zabezpečení, které můžete obdržet z programu Microsoft Defender for Cloud a všech povolených plánů Programu Microsoft Defender. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.

Poznámka:

Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.

Tato stránka obsahuje také tabulku popisující řetěz ukončení v programu Microsoft Defender for Cloud zarovnaný s verzí 9 matice MITRE ATT&CK.

Přečtěte si, jak na tato upozornění reagovat.

Zjistěte, jak exportovat upozornění.

Poznámka:

Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.

Stránky výstrah zabezpečení podle kategorie

Taktika MITRE ATT&CK

Pochopení záměru útoku vám může pomoct snadněji prozkoumat a nahlásit událost. V rámci tohoto úsilí zahrnuje Microsoft Defender pro cloudová upozornění taktiku MITRE s mnoha upozorněními.

Série kroků, které popisují průběh kyberútoku z rekognoskace na exfiltraci dat, se často označuje jako "kill chain".

Podporované záměry kill chainu Defender for Cloud jsou založené na verzi 9 matice MITRE ATT&CK a jsou popsané v následující tabulce.

Taktika Verze ATT&CK Popis
Předběžné připojení Předběžné připojení může být buď pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr, nebo neúspěšný pokus o získání přístupu k cílovému systému za účelem shromáždění informací před zneužitím. Tento krok se obvykle detekuje jako pokus, který pochází z oblasti mimo síť, ke kontrole cílového systému a identifikaci vstupního bodu.
Počáteční přístup V7, V9 Počáteční přístup je fáze, ve které útočník spravuje získání zápatí napadeného prostředku. Tato fáze je relevantní pro výpočetní hostitele a prostředky, jako jsou uživatelské účty, certifikáty atd. Aktéři hrozeb budou moct po této fázi často řídit prostředek.
Uchování V7, V9 Trvalost je jakákoli změna přístupu, akce nebo konfigurace v systému, která dává objektu actor hrozby trvalou přítomnost v daném systému. Aktéři hrozeb budou často muset udržovat přístup k systémům prostřednictvím přerušení, jako jsou restartování systému, ztráta přihlašovacích údajů nebo jiná selhání, která by vyžadovala restartování nástroje pro vzdálený přístup nebo poskytnutí alternativního zadního vrátka, aby znovu získali přístup.
Elevace oprávnění V7, V9 Eskalace oprávnění je výsledkem akcí, které nežádoucímu uživateli umožňují získat vyšší úroveň oprávnění v systému nebo síti. Některé nástroje nebo akce vyžadují vyšší úroveň oprávnění pro práci a jsou pravděpodobně nezbytné v mnoha bodech celé operace. Uživatelské účty s oprávněními pro přístup ke konkrétním systémům nebo provádění konkrétních funkcí nezbytných k dosažení jejich cíle mohou být také považovány za eskalaci oprávnění.
Obrana před únikem V7, V9 Úniky před obranou se skládají z technik, které může nežádoucí osoba použít k tomu, aby se zabránilo detekci nebo zabránění jiným obranám. Někdy jsou tyto akce stejné jako (nebo varianty) technik v jiných kategoriích, které mají přidanou výhodu převrácení konkrétní obrany nebo zmírnění rizik.
Přístup k přihlašovacím údajům V7, V9 Přístup k přihlašovacím údajům představuje techniky, které vedou k přístupu k systému, doméně nebo přihlašovacím údajům služby, které se používají v podnikovém prostředí nebo k jejich řízení. Nežádoucí uživatelé se pravděpodobně pokusí získat legitimní přihlašovací údaje od uživatelů nebo účtů správců (místní správce systému nebo uživatelé domény s přístupem správce) pro použití v síti. S dostatečným přístupem v rámci sítě může nežádoucí osoba vytvářet účty pro pozdější použití v rámci prostředí.
Zjišťování V7, V9 Zjišťování se skládá z technik, které nežádoucímu uživateli umožňují získat znalosti o systému a interní síti. Když nežádoucí osoba získá přístup k novému systému, musí se orientovat na to, co teď mají pod kontrolou a jaké výhody přináší provoz z tohoto systému jejich aktuálnímu cíli nebo celkovým cílům během vniknutí. Operační systém poskytuje mnoho nativních nástrojů, které pomáhají v této fázi shromažďování informací po ohrožení zabezpečení.
LateralMovement V7, V9 Laterální pohyb se skládá z technik, které nežádoucímu člověku umožňují přistupovat ke vzdáleným systémům v síti a řídit je a nemusí nutně zahrnovat provádění nástrojů ve vzdálených systémech. Techniky laterálního pohybu by mohly nežádoucímu uživateli umožnit shromažďovat informace ze systému, aniž by potřeboval další nástroje, jako je například nástroj pro vzdálený přístup. Nežádoucí osoba může použít laterální pohyb pro mnoho účelů, včetně vzdáleného spuštění nástrojů, otáčení do více systémů, přístupu k určitým informacím nebo souborům, přístupu k více přihlašovacím údajům nebo k ovlivnění.
Spuštění V7, V9 Taktika spouštění představuje postupy, které vedou ke spuštění kódu ovládaného útočníkem v místním nebo vzdáleném systému. Tato taktika se často používá ve spojení s laterálním pohybem k rozšíření přístupu ke vzdáleným systémům v síti.
Kolekce V7, V9 Kolekce se skládá z technik používaných k identifikaci a shromažďování informací, jako jsou citlivé soubory, z cílové sítě před exfiltrací. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci.
Příkaz a ovládací prvek V7, V9 Taktika příkazů a řízení představuje způsob, jakým nežádoucí osoba komunikují se systémy pod jejich kontrolou v rámci cílové sítě.
Exfiltrace V7, V9 Exfiltrace odkazuje na techniky a atributy, které vedou k nežádoucímu odebrání souborů a informací z cílové sítě nebo pomáhají. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci.
Dopad V7, V9 Události dopadu se primárně snaží snížit dostupnost nebo integritu systému, služby nebo sítě; včetně manipulace s daty, které mají vliv na obchodní nebo provozní proces. To by často odkazovalo na techniky, jako je ransomware, defacement, manipulace s daty a další.

Poznámka:

Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Další kroky