Biztonsági riasztások ismertetése
A Felhőhöz készült Microsoft Defender számos különböző erőforrástípushoz különböző riasztások tartoznak. Felhőhöz készült Defender riasztásokat hoz létre az Azure-ban üzembe helyezett erőforrásokról, valamint a helyszíni és hibrid felhőkörnyezetekben üzembe helyezett erőforrásokról. A biztonsági riasztásokat speciális észlelések aktiválják, és csak Felhőhöz készült Defender érhetők el.
Válasz a mai fenyegetésekre
Az elmúlt 20 évben jelentős változásokat figyelhettünk meg a fenyegetések területén. A múltban a vállalatoknak jellemzően csak az egyéni támadók webhelymegrontása miatt kellett aggódniuk, akik leginkább a "mit tehetnek" nézetben látták. A mai támadók sokkal kifinomultabbak és szervezettebbek. Gyakran konkrét pénzügyi és stratégiai célokat követnek. Emellett több forrás áll rendelkezésükre, mivel a nemzetállamok vagy a szervezett bűnözés finanszírozhatják őket.
Ezek a változó valóságok példátlan szintű professzionalizmushoz vezettek a támadó ranglétrán. Már nem a webhelyek megrongálása érdekli őket. Most már az információk, a pénzügyi számlák és a privát adatok ellopása érdekli őket – ezek mind felhasználhatók készpénz előállítására a nyílt piacon, vagy egy adott üzleti, politikai vagy katonai pozíciót használnak. A pénzügyi céllal rendelkező támadóknál is jobban foglalkoztatják a hálózatokat az infrastruktúra és az emberek sérülése érdekében.
Válaszul a szervezetek gyakran különböző pontmegoldásokat helyeznek üzembe, amelyek a vállalati peremhálózatok vagy végpontok védelmére összpontosítanak, és ismert támadási aláírásokat keresnek. Ezek a megoldások általában nagy mennyiségű, alacsony megbízhatósági szintű riasztást eredményeznek, és ezeket a biztonsági elemzőknek szét kell válogatniuk és ki kell vizsgálniuk. A legtöbb szervezetnek nincs ideje és megfelelő szaktudása ahhoz, hogy reagáljon ezekre a riasztásokra, ezért sok probléma megoldatlan marad.
Emellett a támadók olyan módszereket fejlesztettek ki, amelyek számos aláírásalapú védelmet váltanak ki, és alkalmazkodnak a felhőkörnyezetekhez. Az új módszerek a fenyegetések egyre bővülő körének gyorsabb felismerését, azonnali észlelését és kiiktatását igénylik.
Mik azok a biztonsági riasztások és biztonsági incidensek?
A riasztások azok az értesítések, amelyeket a Felhőhöz készült Defender küld, amikor fenyegetést észlel az erőforrásokon. Felhőhöz készült Defender rangsorolja és listázza a riasztásokat, valamint a probléma gyors kivizsgálásához szükséges információkat. Felhőhöz készült Defender a támadások elhárítására vonatkozó javaslatokat is tartalmaz.
A biztonsági incidens a kapcsolódó riasztások gyűjteménye, nem pedig az egyes riasztások egyenkénti felsorolása. Felhőhöz készült Defender a Felhőbeli intelligens riasztások korrelációja segítségével korrelálja a különböző riasztásokat és az alacsony megbízhatósági jeleket a biztonsági incidensek között.
A biztonsági incidensek esetén a Felhőhöz készült Defender egyetlen nézetet biztosít egy támadási kampányról és az összes kapcsolódó riasztásról. Ezzel a nézettel gyorsan megértheti, hogy a támadó milyen műveleteket hajtott végre, és milyen erőforrásokat érintett. További információ: Felhőalapú intelligens riasztások korrelációja.
Hogyan észleli Felhőhöz készült Defender a fenyegetéseket?
A Microsoft biztonsági kutatói folyamatosan figyelik a megjelenő fenyegetéseket. A felhőben és a helyszínen való globális jelenlétünk miatt kiterjedt telemetriai készlethez férhetünk hozzá. Az adathalmazok széles körű és változatos gyűjteménye lehetővé teszi számunkra, hogy új támadási mintákat és trendeket fedezzünk fel a helyszíni fogyasztói és vállalati termékeinkben, valamint a online szolgáltatások. Ennek eredményeképpen a Felhőhöz készült Defender gyorsan frissítheti az észlelési algoritmusokat, mivel a támadók új és egyre kifinomultabb biztonsági réseket bocsátanak ki. Ez a megközelítés segít lépést tartani a gyorsan változó veszélyforrás-környezettel.
A valós fenyegetések észleléséhez és a hamis pozitív értékek csökkentéséhez Felhőhöz készült Defender gyűjti, elemzi és integrálja az Azure-erőforrások és a hálózat naplóadatait. A csatlakoztatott partnermegoldásokkal, például tűzfal- és végpontvédelmi megoldásokkal is működik. Felhőhöz készült Defender elemzi ezeket az információkat, amelyek gyakran több forrásból származó információkat korrelálnak a fenyegetések azonosítása érdekében.
Felhőhöz készült Defender fejlett biztonsági elemzéseket alkalmaz, amelyek messze túlmutatnak az aláírásalapú megközelítéseken. A big data és a gépi tanulási technológiák áttörései a teljes felhőháló eseményeinek kiértékelésére szolgálnak – olyan fenyegetések észlelésére, amelyek manuális megközelítéssel lehetetlenek lennének azonosítani, és előrejelezik a támadások alakulását. Ezek a biztonsági elemzések a következők:
Integrált fenyegetésfelderítés: A Microsoft hatalmas mennyiségű globális fenyegetésfelderítéssel rendelkezik. A telemetriai folyamatok több forrásból, például az Azure-ból, a Microsoft 365-ből, a Microsoft CRM Online-ból, a Microsoft Dynamics AX-ből, outlook.com, MSN.com, a Microsoft Digital Crimes Unitből (DCU) és a Microsoft Security Response Centerből (MSRC) származnak. A kutatók a főbb felhőszolgáltatók és más harmadik felek hírcsatornái között megosztott fenyegetésfelderítési információkat is megkapják. Felhőhöz készült Defender ezzel az információval figyelmeztetheti önt az ismert rossz szereplők fenyegetéseire.
Viselkedéselemzés: A viselkedéselemzés egy olyan technika, amely az adatokat ismert minták gyűjteményével elemzi és hasonlítja össze. Ezek a minták azonban nem egyszerű aláírások. Ezeket összetett gépi tanulási algoritmusok határozzák meg, amelyek nagy méretű adathalmazokra vannak alkalmazva. A rosszindulatú viselkedések szakértő elemzők általi gondos elemzésével is meghatározhatóak. Felhőhöz készült Defender viselkedéselemzéssel azonosíthatja a feltört erőforrásokat a virtuális gépek naplóinak, a virtuális hálózati eszköznaplóknak, a hálónaplóknak és más forrásoknak az elemzése alapján.
Anomáliadetektálás: Felhőhöz készült Defender anomáliadetektálást is használ a fenyegetések azonosításához. A viselkedéselemzéssel ellentétben (amely nagy adathalmazokból származó ismert mintáktól függ) az anomáliadetektálás "személyre szabottabb", és az üzemelő példányokra jellemző alapkonfigurációkra összpontosít. A gépi tanulás az üzemelő példányok normál tevékenységének meghatározására van alkalmazva. Ezután a rendszer olyan szabályokat hoz létre, amelyek kiugró feltételeket határoznak meg, amelyek biztonsági eseményt jelenthetnek.
Hogyan vannak besorolva a riasztások?
Felhőhöz készült Defender súlyosságot rendel a riasztásokhoz, így rangsorolhatja az egyes riasztásokra adott válasz sorrendjét, így ha egy erőforrás biztonsága sérül, azonnal elérheti azt. A súlyosság azon alapul, hogy milyen magabiztos Felhőhöz készült Defender van a keresésben, vagy hogy milyen elemzéssel adja ki a riasztást, és hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.
Magas: Nagy a valószínűsége annak, hogy az erőforrás megsérül. Azonnal utána kell néznie. Felhőhöz készült Defender a rosszindulatú szándék és a riasztás kibocsátásához használt megállapítások tekintetében is nagy a bizalom. Egy riasztás például egy ismert rosszindulatú eszköz, például a Mimikatz végrehajtását észleli, amely a hitelesítő adatok ellopására használt gyakori eszköz.
Közepes: Ez a súlyosság azt jelzi, hogy valószínűleg gyanús tevékenységről van szó, amely azt jelezheti, hogy egy erőforrás sérült. Felhőhöz készült Defender elemzési vagy megállapítási megbízhatósága közepes, a rosszindulatú szándékok megbízhatósága pedig közepes vagy magas. Ezek általában gépi tanulás vagy anomálián alapuló észlelések. Például egy rendellenes helyről való bejelentkezési kísérlet.
Alacsony: Ez a súlyosság azt jelzi, hogy jóindulatú pozitív vagy blokkolt támadás lehet.
Felhőhöz készült Defender nem elég biztos abban, hogy a szándék rosszindulatú, és a tevékenység ártatlan lehet. A napló törlése például olyan művelet, amely akkor fordulhat elő, ha egy támadó megpróbálja elrejteni a nyomait, de sok esetben ez a rendszergazdák által végrehajtott rutinművelet.
Felhőhöz készült Defender általában nem mondja el, hogy mikor blokkolták a támadásokat, hacsak nem érdekes eset, amelyet javasoljuk, hogy vizsgálja meg.
Tájékoztató: Csak akkor jelenik meg tájékoztató riasztás, ha biztonsági incidenst részletez, vagy ha a REST API-t egy adott riasztásazonosítóval használja. Egy incidens általában számos riasztásból áll, amelyek némelyike önmagában csak tájékoztató jellegűnek tűnhet, de a többi riasztás kontextusában érdemes lehet közelebbről megvizsgálni.
Folyamatos monitorozás és értékelések
Felhőhöz készült Defender a microsoftos biztonsági kutató- és adatelemzési csapatokat, amelyek folyamatosan figyelik a veszélyforrás-környezet változásait. Ide tartoznak a következők:
Fenyegetésfelderítés monitorozása: A fenyegetésfelderítés mechanizmusokat, mutatókat, következményeket és a meglévő vagy újonnan megjelenő fenyegetésekre vonatkozó hasznos tanácsokat tartalmaz. Ezeket az információkat megosztja a biztonsági közösség, és a Microsoft folyamatosan figyeli a belső és külső forrásokból származó fenyegetésfelderítési hírcsatornákat.
Jelmegosztás: a biztonsági csapatok Elemzések a Microsoft felhő- és helyszíni szolgáltatások, kiszolgálók és ügyfélvégpont-eszközök széles portfóliójában megosztott és elemezett.
A Microsoft biztonsági szakértői: folyamatos kapcsolatot tartunk a Microsoft csapataival, amelyek tagjai meghatározott biztonsági szakterületekkel foglalkoznak, például igazságügyi szakértői tevékenységekkel és a webes támadások észlelésével.
Észlelés finomhangolása: Az algoritmusok valós ügyféladatkészleteken futnak, és a biztonsági kutatók az ügyfelekkel együttműködve ellenőrzik az eredményeket. Az igazi és a téves találatok megjelölésével pontosítják a gépi algoritmusokat.
Riasztástípusok ismertetése
Az aktuális riasztási referencialista több mint 500 riasztástípust tartalmaz. A referencialista a következő címen tekinthető meg: Biztonsági riasztások – referencia-útmutató
Minden riasztástípus leírással, súlyossággal és MITRE ATT&CK-taktikával rendelkezik
MITRE ATT&CK-taktikák
A támadás szándékának megértése segíthet az esemény kivizsgálásában és jelentésében. Ezen erőfeszítések elősegítése érdekében Felhőhöz készült Defender riasztások számos riasztást tartalmazó MITRE-taktikát tartalmaznak. A kibertámadásnak a felderítéstől az adatkiszivárgásig történő előrehaladását leíró lépések sorozatát gyakran "gyilkos láncnak" nevezik.
Felhőhöz készült Defender támogatott leölési lánc szándékai a MITRE ATT&CK mátrix 7-es verzióján alapulnak, és az alábbi táblázatban ismertetettek.
Taktika | Leírás |
---|---|
Előzetes osztás | A PreAttack egy adott erőforrás elérésére tett kísérlet lehet, függetlenül a rosszindulatú szándéktól, vagy egy célrendszerhez való hozzáférés sikertelen kísérlete, hogy a felhasználás előtt információkat gyűjtsön. Ezt a lépést általában a rendszer a hálózaton kívülről érkező kísérletként észleli a célrendszer vizsgálatára és egy belépési pont azonosítására. |
InitialAccess | Az InitialAccess az a szakasz, ahol a támadónak sikerül láblécet szereznie a megtámadott erőforráshoz. Ez a szakasz a számítási gazdagépek és erőforrások, például felhasználói fiókok, tanúsítványok stb. esetében releváns. A veszélyforrás-szereplők gyakran képesek lesznek szabályozni az erőforrást ezen szakasz után. |
Kitartás | A perzisztencia egy olyan rendszer hozzáférésének, műveletének vagy konfigurációjának módosítása, amely állandó jelenlétet biztosít a fenyegetést okozó szereplőnek a rendszeren. A fenyegetéskezelőknek gyakran olyan megszakításokkal kell fenntartaniuk a rendszerekhez való hozzáférést, mint például a rendszer újraindítása, a hitelesítő adatok elvesztése vagy más olyan hibák, amelyek miatt a távelérési eszköznek újra kell indulnia, vagy alternatív háttérrendszert kell biztosítania a hozzáférés helyreállításához. |
PrivilegeEscalation | A jogosultságok eszkalálása olyan műveletek eredménye, amelyek lehetővé teszik a támadó számára, hogy magasabb szintű engedélyeket szerezzen egy rendszeren vagy hálózaton. Bizonyos eszközök vagy műveletek magasabb szintű jogosultságot igényelnek, és valószínűleg a művelet számos pontján szükségesek. A jogosultságok eszkalálásának is tekinthetők azok a felhasználói fiókok, amelyek hozzáféréssel rendelkeznek bizonyos rendszerekhez, vagy meghatározott funkciókat hajtanak végre, amelyek szükségesek ahhoz, hogy a támadók elérjék a céljukat. |
DefenseEvasion | A védelmi kijátszás olyan technikákból áll, amelyek segítségével a támadó elkerülheti az észlelést, vagy elkerülheti a többi védelmet. Néha ezek a műveletek ugyanazok, mint (vagy változatok) technikák más kategóriákban, amelyek hozzáadott előnye a subverting egy adott védelem vagy kockázatcsökkentés. |
CredentialAccess | A hitelesítő adatokhoz való hozzáférés olyan technikákat jelöl, amelyek a vállalati környezetben használt rendszer-, tartomány- vagy szolgáltatás-hitelesítő adatokhoz való hozzáférést vagy vezérlést eredményeznek. A támadók valószínűleg megkísérelnek hiteles hitelesítő adatokat beszerezni a hálózaton belüli használatra a felhasználóktól vagy rendszergazdai fiókoktól (helyi rendszergazdai vagy tartományi felhasználóktól rendszergazdai hozzáféréssel). A hálózaton belüli megfelelő hozzáféréssel a támadók fiókokat hozhatnak létre későbbi használatra a környezetben. |
Discovery | A felderítés olyan technikákból áll, amelyek lehetővé teszik a támadó számára, hogy ismereteket szerezzen a rendszerről és a belső hálózatról. Amikor a támadók hozzáférést kapnak egy új rendszerhez, igazodniuk kell ahhoz, hogy mi az irányításuk, és milyen előnyökkel jár az adott rendszer működtetése a behatolás során a jelenlegi célkitűzésüknek vagy általános céljaiknak. Az operációs rendszer számos natív eszközt biztosít, amelyek segítséget nyújtanak ebben a kompromittálás utáni információgyűjtési fázisban. |
LateralMovement | Az oldalirányú mozgás olyan technikákból áll, amelyek lehetővé teszik a támadó számára a távoli rendszerek elérését és vezérlését a hálózaton és a felhőben, de nem feltétlenül tartalmazzák az eszközök távoli rendszereken történő végrehajtását. Az oldalirányú mozgási technikák lehetővé tehetik, hogy a támadó további eszközök, például távelérési eszközök nélkül gyűjtsön információkat a rendszerből. A támadók számos célra használhatják az oldalirányú mozgást, többek között az eszközök távoli végrehajtását, a több rendszerhez való pivotingot, adott információkhoz vagy fájlokhoz való hozzáférést, más hitelesítő adatokhoz való hozzáférést, vagy valamilyen effektust okozhatnak. |
Futtatási | A végrehajtási taktika olyan technikákat jelent, amelyek a támadó által vezérelt kód végrehajtását eredményezik egy helyi vagy távoli rendszeren. Ezt a taktikát gyakran használják oldalirányú mozgással a hálózat távoli rendszereihez való hozzáférés bővítéséhez. |
Gyűjtemény | A gyűjtemény olyan technikákat tartalmaz, amelyek a kiszivárgás előtt azonosítják és gyűjtik a célhálózatról származó információkat, például bizalmas fájlokat. Ez a kategória olyan rendszerek vagy hálózatok helyeit is lefedi, ahol a támadó a kiszűrendő információkat keresheti. |
Adatok kinyerése | A kiszivárgás olyan technikákat és attribútumokat jelent, amelyek a támadó számára fájlokat és információkat távolítanak el a célhálózatról. Ez a kategória olyan rendszerek vagy hálózatok helyeit is lefedi, ahol a támadó a kiszűrendő információkat keresheti. |
CommandAndControl | A parancs- és vezérlési taktika azt jelzi, hogy a támadók hogyan kommunikálnak a célhálózaton belüli irányításuk alatt álló rendszerekkel. |
Hatás | A hatásesemények elsősorban a rendszer, szolgáltatás vagy hálózat rendelkezésre állásának vagy integritásának közvetlen csökkentésére törekednek, beleértve az adatok manipulálását, hogy hatással legyen egy üzleti vagy működési folyamatra. Ez gyakran olyan technikákra utal, mint a zsarolóprogramok, a megtévesztés, az adatmanipuláció és mások. |