Peringatan keamanan - panduan referensi
Artikel ini menyediakan tautan ke halaman yang mencantumkan pemberitahuan keamanan yang mungkin Anda terima dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft yang diaktifkan. Pemberitahuan yang ditampilkan di lingkungan Anda bergantung pada sumber daya dan layanan yang Anda lindungi dan konfigurasi yang disesuaikan.
Catatan
Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.
Halaman ini juga menyertakan tabel yang menjelaskan Microsoft Defender untuk Cloud kill chain yang selaras dengan versi 9 dari matriks MITRE ATT&CK.
Pelajari cara menanggapi pemberitahuan ini.
Pelajari cara mengekspor pemberitahuan.
Catatan
Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.
Halaman pemberitahuan keamanan menurut kategori
- Pemberitahuan untuk komputer Windows
- Pemberitahuan untuk komputer Linux
- Pemberitahuan untuk DNS
- Pemberitahuan untuk ekstensi Azure VM
- Pemberitahuan untuk Azure App Service
- Pemberitahuan untuk kontainer - Kluster Kubernetes
- Pemberitahuan untuk SQL Database dan Azure Synapse Analytics
- Pemberitahuan untuk database relasional sumber terbuka
- Pemberitahuan untuk Resource Manager
- Pemberitahuan untuk Azure Storage
- Pemberitahuan untuk Azure Cosmos DB
- Pemberitahuan untuk lapisan jaringan Azure
- Pemberitahuan untuk Azure Key Vault
- Pemberitahuan untuk Azure DDoS Protection
- Pemberitahuan untuk Defender untuk API
- Pemberitahuan untuk beban kerja AI
- Pemberitahuan keamanan yang tidak digunakan lagi
Taktik MITRE ATTA&CK
Memahami maksud serangan dapat membantu Anda menyelidiki dan melaporkan kejadian dengan lebih mudah. Untuk membantu upaya ini, pemberitahuan Microsoft Defender untuk Cloud menyertakan taktik MITRE dengan banyak pemberitahuan.
Serangkaian langkah yang menggambarkan perkembangan serangan siber dari pengintaian ke penyelundupan data sering disebut sebagai "kill chain".
niat rantai pembunuhan yang didukung Defender untuk Cloud didasarkan pada versi 9 matriks MITRE ATT&CK dan dijelaskan dalam tabel di bawah ini.
| Taktik | Versi ATT&CK | Deskripsi |
|---|---|---|
| PraSerangan | PreAttack dapat berupa upaya untuk mengakses sumber daya tertentu terlepas dari niat jahat, atau upaya yang gagal untuk mendapatkan akses ke sistem target demi mengumpulkan informasi sebelum eksploitasi. Langkah ini biasanya terdeteksi sebagai upaya, yang berasal dari luar jaringan, untuk memindai sistem target dan mengidentifikasi titik masuk. | |
| Akses Awal | V7, V9 | Akses Awal adalah tahap di mana penyerang berhasil mendapatkan pijakan pada sumber daya yang diserang. Tahap ini relevan untuk host komputer dan sumber daya seperti akun pengguna, sertifikat, dll. Pelaku ancaman seringkali dapat mengontrol sumber daya setelah tahap ini. |
| Persistensi | V7, V9 | Persistensi adalah akses, tindakan, atau perubahan konfigurasi apa pun ke sistem yang memberi aktor ancaman kehadiran terus-menerus pada sistem itu. Pelaku ancaman seringkali perlu mempertahankan akses ke sistem melalui interupsi seperti restart sistem, hilangnya kredensial, atau kegagalan lain yang memerlukan alat akses jarak jauh untuk memulai ulang atau menyediakan pintu belakang alternatif bagi mereka untuk mendapatkan kembali akses. |
| Eskalasi Hak Istimewa | V7, V9 | Eskalasi hak istimewa adalah hasil dari tindakan yang memungkinkan musuh memperoleh tingkat izin yang lebih tinggi pada sistem atau jaringan. Alat atau tindakan tertentu memerlukan hak istimewa dengan tingkat yang lebih tinggi untuk bekerja dan mungkin diperlukan di banyak titik selama operasi. Akun pengguna dengan izin untuk mengakses sistem tertentu atau melakukan fungsi tertentu yang diperlukan agar iklan mencapai tujuan mereka mungkin juga dianggap sebagai eskalasi hak istimewa. |
| Penghindaran Pertahanan | V7, V9 | Penghindarian pertahanan terdiri dari teknik yang mungkin digunakan musuh untuk menghindari deteksi atau menghindari pertahanan lain. Terkadang tindakan ini sama dengan (atau variasi) teknik dalam kategori lain yang memiliki manfaat tambahan untuk menumbangkan pertahanan atau mitigasi tertentu. |
| Akses Kredensial | V7, V9 | Akses kredensial mewakili teknik yang menghasilkan akses ke atau kontrol atas sistem, domain, atau kredensial layanan yang digunakan dalam lingkungan perusahaan. Musuh kemungkinan akan berusaha untuk mendapatkan kredensial yang sah dari pengguna atau akun administrator (administrator sistem lokal atau pengguna domain dengan akses administrator) untuk digunakan dalam jaringan. Dengan akses yang memadai di dalam jaringan, musuh dapat membuat akun untuk digunakan nanti di dalam lingkungan. |
| Penemuan | V7, V9 | Penemuan terdiri dari teknik-teknik yang memungkinkan musuh memperoleh pengetahuan tentang sistem dan jaringan internal. Ketika musuh mendapatkan akses ke sistem baru, mereka harus mengorientasikan diri mereka pada apa yang sekarang mereka kendalikan dan manfaat apa yang diberikan oleh sistem itu untuk tujuan mereka saat ini atau tujuan keseluruhan selama penyusupan. Sistem operasi menyediakan banyak alat bawaan yang membantu fase pengumpulan informasi pasca-kompromi ini. |
| GerakanLateral | V7, V9 | Gerakan lateral terdiri dari teknik yang memungkinkan musuh mengakses dan mengontrol sistem jarak jauh pada jaringan dan dapat, tetapi tidak harus, mencakup eksekusi alat pada sistem jarak jauh. Gerakan lateral terdiri dari teknik yang memungkinkan musuh mengumpulkan informasi dari sistem tanpa perlu banyak alat, seperti alat akses jarak jauh. Adversary dapat menggunakan gerakan lateral untuk banyak tujuan, termasuk Eksekusi alat jarak jauh, melakukan pivot ke lebih banyak sistem, akses ke informasi atau file tertentu, akses ke lebih banyak kredensial, atau untuk menyebabkan efek. |
| Eksekusi | V7, V9 | Taktik eksekusi mewakili teknik yang menghasilkan eksekusi kode yang dapat dikendalikan musuh pada sistem lokal atau jarak jauh. Taktik ini sering digunakan bersama dengan gerakan lateral untuk memperluas akses ke sistem jarak jauh di jaringan. |
| Koleksi | V7, V9 | Koleksi terdiri dari teknik yang digunakan untuk mengidentifikasi dan mengumpulkan informasi, seperti file sensitif, dari jaringan target sebelum penyelundupan. Kategori ini juga mencakup lokasi pada sistem atau jaringan di mana seterusnya mungkin mencari informasi untuk dieksfiltrasi. |
| Komando dan Kontrol | V7, V9 | Taktik perintah dan kontrol mewakili bagaimana musuh berkomunikasi dengan sistem di bawah kendali mereka dalam jaringan target. |
| Penyelundupan | V7, V9 | Exfiltration mengacu pada teknik dan atribut yang menghasilkan atau membantu musuh menghapus file dan informasi dari jaringan target. Kategori ini juga mencakup lokasi pada sistem atau jaringan di mana seterusnya mungkin mencari informasi untuk dieksfiltrasi. |
| Dampak | V7, V9 | Peristiwa dampak terutama mencoba untuk secara langsung mengurangi ketersediaan atau integritas sistem, layanan, atau jaringan; termasuk manipulasi data untuk mempengaruhi bisnis atau proses operasional. Ini sering merujuk pada teknik seperti ransomware, defacement, manipulasi data, dan lainnya. |
Catatan
Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.