Biztonsági riasztások - – referencia-útmutató
Ez a cikk a Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagoktól kapott biztonsági riasztásokat felsoroló oldalakra mutató hivatkozásokat tartalmaz. A környezetben megjelenő riasztások a védendő erőforrásoktól és szolgáltatásoktól és a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Ez az oldal egy táblázatot is tartalmaz, amely a MITRE ATT&CK mátrix 9-es verziójához igazított Felhőhöz készült Microsoft Defender ölési láncot ismerteti.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Biztonsági riasztási lapok kategória szerint
- Windows rendszerű gépekre vonatkozó riasztások
- Linux rendszerű gépekre vonatkozó riasztások
- DNS-riasztások
- Riasztások Azure-beli virtuálisgép-bővítményekhez
- Riasztások Azure-alkalmazás szolgáltatáshoz
- Tárolókra vonatkozó riasztások – Kubernetes-fürtök
- Riasztások az SQL Database-hez és az Azure Synapse Analyticshez
- Riasztások nyílt forráskódú relációs adatbázisokhoz
- Riasztások a Resource Managerhez
- Riasztások az Azure Storage-hoz
- Riasztások az Azure Cosmos DB-hez
- Riasztások az Azure hálózati rétegéhez
- Riasztások az Azure Key Vaulthoz
- Riasztások az Azure DDoS Protectionhez
- Riasztások az API-khoz készült Defenderhez
- Riasztások AI-számítási feladatokhoz
- Elavult biztonsági riasztások
MITRE ATT&CK-taktikák
A támadás szándékának megértése segíthet az esemény kivizsgálásában és jelentésében. Ezen erőfeszítések elősegítése érdekében Felhőhöz készült Microsoft Defender riasztások közé tartoznak a MITRE-taktikák számos riasztással.
A kibertámadásnak a felderítéstől az adatkiszivárgásig történő előrehaladását leíró lépések sorozatát gyakran "gyilkos láncnak" nevezik.
Felhőhöz készült Defender támogatott leölési lánc szándékai a MITRE ATT&CK mátrix 9- es verzióján alapulnak, és az alábbi táblázatban ismertetettek.
| Taktika | ATT&CK-verzió | Leírás |
|---|---|---|
| Előzetes osztás | A PreAttack egy adott erőforrás elérésére tett kísérlet lehet, függetlenül attól, hogy rosszindulatú szándékról van-e szó, vagy egy célrendszerhez való hozzáférés sikertelen kísérlete az információk kinyerése előtt. Ezt a lépést általában a rendszer a hálózaton kívülről érkező kísérletként észleli a célrendszer vizsgálatára és egy belépési pont azonosítására. | |
| Kezdeti hozzáférés | V7, V9 | A kezdeti hozzáférés az a szakasz, ahol a támadónak sikerül láblécet szereznie a megtámadott erőforráshoz. Ez a szakasz a számítási gazdagépek és erőforrások, például felhasználói fiókok, tanúsítványok stb. esetében releváns. A veszélyforrás-szereplők gyakran képesek lesznek szabályozni az erőforrást ezen szakasz után. |
| Kitartás | V7, V9 | A perzisztencia egy olyan rendszer hozzáférésének, műveletének vagy konfigurációjának módosítása, amely állandó jelenlétet biztosít a fenyegetést okozó szereplőnek a rendszeren. A fenyegetéskezelőknek gyakran olyan megszakításokkal kell fenntartaniuk a rendszerekhez való hozzáférést, mint például a rendszer újraindítása, a hitelesítő adatok elvesztése vagy más olyan hibák, amelyek miatt a távelérési eszköznek újra kell indulnia, vagy alternatív háttérrendszert kell biztosítania a hozzáférés helyreállításához. |
| Jogosultság eszkalációja | V7, V9 | A jogosultságok eszkalálása olyan műveletek eredménye, amelyek lehetővé teszik a támadó számára, hogy magasabb szintű engedélyeket szerezzen egy rendszeren vagy hálózaton. Bizonyos eszközök vagy műveletek magasabb szintű jogosultságot igényelnek, és valószínűleg a művelet számos pontján szükségesek. A jogosultságok eszkalálódásának is tekinthetők azok a felhasználói fiókok, amelyek hozzáféréssel rendelkeznek bizonyos rendszerekhez, vagy a támadók számára a cél eléréséhez szükséges bizonyos funkciókat hajtanak végre. |
| Védelmi kijátszás | V7, V9 | A védelmi kijátszás olyan technikákból áll, amelyek segítségével a támadók elkerülhetik az észlelést, vagy elkerülhetik a többi védelmet. Néha ezek a műveletek ugyanazok, mint (vagy változatok) technikák más kategóriákban, amelyek hozzáadott előnye a subverting egy adott védelem vagy kockázatcsökkentés. |
| Hitelesítő adatok elérése | V7, V9 | A hitelesítő adatokhoz való hozzáférés olyan technikákat jelöl, amelyek a vállalati környezetben használt rendszer-, tartomány- vagy szolgáltatás-hitelesítő adatokhoz való hozzáférést vagy azok ellenőrzését eredményezik. A támadók valószínűleg megkísérelnek hiteles hitelesítő adatokat beszerezni a hálózaton belüli használatra a felhasználóktól vagy rendszergazdai fiókoktól (helyi rendszergazdai vagy tartományi felhasználóktól rendszergazdai hozzáféréssel). A hálózaton belüli megfelelő hozzáféréssel a támadók fiókokat hozhatnak létre későbbi használatra a környezetben. |
| Felfedezés | V7, V9 | A felderítés olyan technikákból áll, amelyek lehetővé teszik a támadó számára, hogy ismereteket szerezzen a rendszerről és a belső hálózatról. Amikor a támadók hozzáférést kapnak egy új rendszerhez, tájékozódniuk kell ahhoz, hogy mi az irányításuk, és milyen előnyökkel jár az adott rendszer működtetése a behatolás során a jelenlegi célkitűzésüknek vagy általános céljaiknak. Az operációs rendszer számos natív eszközt biztosít, amelyek segítséget nyújtanak ebben a kompromittálás utáni információgyűjtési fázisban. |
| LateralMovement | V7, V9 | Az oldalirányú mozgás olyan technikákból áll, amelyek lehetővé teszik a támadók számára a távoli rendszerek elérését és vezérlését a hálózaton, és nem feltétlenül magukban foglalhatják az eszközök távoli rendszereken történő végrehajtását. Az oldalirányú mozgási technikák lehetővé tehetik, hogy a támadó további eszközök, például távelérési eszközök nélkül gyűjtsön információkat a rendszerből. A támadók számos célra használhatják az oldalirányú mozgást, beleértve az eszközök távoli végrehajtását, a több rendszerhez való pivotingot, adott információkhoz vagy fájlokhoz való hozzáférést, több hitelesítő adathoz való hozzáférést, vagy valamilyen effektust okozhatnak. |
| Kivégzés | V7, V9 | A végrehajtási taktika olyan technikákat jelent, amelyek a támadó által vezérelt kód végrehajtását eredményezik egy helyi vagy távoli rendszeren. Ezt a taktikát gyakran használják az oldalirányú mozgással együtt a hálózat távoli rendszereihez való hozzáférés bővítéséhez. |
| Gyűjtemény | V7, V9 | A gyűjtemény olyan technikákat tartalmaz, amelyek a kiszivárgás előtt azonosítják és gyűjtik a célhálózatról származó információkat, például bizalmas fájlokat. Ez a kategória olyan rendszerek vagy hálózatok helyeit is lefedi, ahol a támadó a kiszűrni kívánt információkat keresheti. |
| Parancs és vezérlés | V7, V9 | A parancs- és vezérlési taktika azt jelzi, hogy a támadók hogyan kommunikálnak a célhálózaton belüli irányításuk alatt álló rendszerekkel. |
| Exfiltration | V7, V9 | A kiszivárgás olyan technikákat és attribútumokat jelent, amelyek a támadó számára fájlokat és információkat távolítanak el a célhálózatról. Ez a kategória olyan rendszerek vagy hálózatok helyeit is lefedi, ahol a támadó a kiszűrni kívánt információkat keresheti. |
| Hatás | V7, V9 | A hatásesemények elsősorban a rendszer, szolgáltatás vagy hálózat rendelkezésre állásának vagy integritásának közvetlen csökkentésére törekednek; beleértve az üzleti vagy működési folyamatokat befolyásoló adatok kezelését is. Ez gyakran olyan technikákra utal, mint a zsarolóprogramok, a megtévesztés, az adatmanipuláció és mások. |
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.