Memahami pemberitahuan keamanan
Di Microsoft Defender untuk Cloud, ada berbagai peringatan untuk berbagai jenis sumber daya. Defender untuk Cloud menghasilkan peringatan untuk sumber daya yang disebarkan di Azure dan untuk sumber daya yang disebarkan di lingkungan cloud lokal dan hibrid. Peringatan keamanan dipicu oleh deteksi tingkat lanjut dan hanya tersedia dengan Defender untuk Cloud.
Menanggapi ancaman hari ini
Terdapat perubahan signifikan dalam lanskap ancaman selama 20 tahun terakhir. Sebelumnya, perusahaan biasanya hanya perlu mencemaskan perusakan situs web yang dilakukan oleh penyerang individu, yang sebagian besar hanya tertarik untuk melihat "apa yang bisa mereka lakukan". Penyerang saat ini jauh lebih canggih dan terorganisir. Mereka sering kali memiliki tujuan keuangan dan strategis yang spesifik. Mereka juga memiliki lebih banyak sumber daya yang siap pakai, karena mungkin didanai oleh negara-bangsa atau kejahatan terorganisir.
Perubahan realitas ini telah menyebabkan tingkat profesionalisme yang belum pernah terjadi sebelumnya di pangkat penyerang. Mereka tidak lagi tertarik dengan perusakan web. Mereka sekarang tertarik untuk mencuri informasi, rekening keuangan, dan data pribadi – semuanya dapat mereka gunakan untuk menghasilkan uang di pasar terbuka atau menggunakan posisi bisnis, politik, atau militer tertentu. Yang lebih memprihatinkan daripada penyerang dengan tujuan finansial adalah para penyerang yang menyusup ke jaringan untuk membahayakan infrastruktur dan orang-orang.
Sebagai tanggapan, organisasi sering kali menggunakan berbagai solusi titik, yang berfokus pada mempertahankan perimeter perusahaan atau titik akhir dengan mencari tanda tangan serangan yang diketahui. Solusi ini cenderung menghasilkan pemberitahuan fidelitas rendah dengan volume tinggi, yang memerlukan analis keamanan untuk melakukan triase dan menyelidikinya. Sebagian besar organisasi kekurangan waktu dan keahlian yang dibutuhkan untuk menanggapi pemberitahuan ini – begitu banyak yang tidak tertangani.
Selain itu, penyerang telah mengembangkan metodenya untuk menumbangkan banyak pertahanan berbasis tanda tangan dan beradaptasi dengan lingkungan cloud. Pendekatan baru diperlukan untuk mengidentifikasi ancaman yang muncul dan mempercepat deteksi dan respons dalam waktu yang lebih singkat.
Apa itu pemberitahuan keamanan dan insiden keamanan?
Pemberitahuan adalah pemberitahuan yang dihasilkan Defender for Cloud saat mendeteksi ancaman pada sumber daya Anda. Defender for Cloud memprioritaskan dan mencantumkan pemberitahuan, bersama dengan informasi yang diperlukan agar Anda dapat menyelidiki masalah dengan cepat. Defender for Cloud juga memberikan rekomendasi tentang bagaimana Anda dapat meremediasi serangan.
Insiden keamanan adalah kumpulan pemberitahuan terkait, bukan mencantumkan setiap pemberitahuan secara terpisah. Defender untuk Cloud menggunakan Korelasi Peringatan Cerdas Cloud untuk menghubungkan berbagai peringatan dan sinyal fidelitas rendah ke dalam insiden keamanan.
Dengan insiden keamanan, Defender untuk Cloud memberi Anda satu tampilan kampanye serangan dan semua peringatan terkait. Tampilan ini memungkinkan Anda untuk dengan cepat memahami tindakan apa yang dilakukan penyerang, dan sumber daya apa yang terpengaruh. Untuk informasi selengkapnya, lihat Korelasi peringatan cerdas cloud.
Bagaimana Defender for Cloud mendeteksi ancaman?
Peneliti keamanan Microsoft terus mencari ancaman. Berkat kehadiran global kami di cloud dan secara lokal, kami memiliki akses ke set telemetri yang luas. Kumpulan himpunan data yang luas dan beragam memungkinkan kita menemukan pola dan tren serangan baru di seluruh produk konsumen dan perusahaan lokal kita, serta layanan online kita. Dengan begitu, Defender for Cloud dapat dengan cepat memperbarui algoritme deteksinya saat penyerang merilis eksploitasi baru yang semakin canggih. Pendekatan ini membantu Anda mengimbangi lingkungan ancaman yang begitu dinamis.
Untuk mendeteksi ancaman nyata dan mengurangi kesalahan positif, Defender for Cloud mengumpulkan, menganalisis, dan mengintegrasikan data log dari sumber daya Azure dan jaringan Anda. Ini juga dapat digunakan dengan solusi mitra yang terhubung, seperti firewall dan solusi perlindungan titik akhir. Defender for Cloud menganalisis informasi ini, sering kali menghubungkan informasi dari berbagai sumber, untuk mengidentifikasi ancaman.
Defender for Cloud menyebarkan analitik keamanan tingkat lanjut, yang jauh melampaui pendekatan berbasis tanda tangan. Terobosan dalam teknologi big data dan pembelajaran mesin dimanfaatkan untuk mengevaluasi acara di seluruh struktur cloud – mendeteksi ancaman yang tidak mungkin diidentifikasi dengan pendekatan manual dan prediksi evolusi serangan. Analisis keamanan ini meliputi:
Intelegensi ancaman terintegrasi: Microsoft memiliki sejumlah besar inteligensi ancaman global. Telemetri mengalir dari berbagai sumber, seperti Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU), dan Microsoft Security Response Center (MSRC). Peneliti juga menerima informasi inteligensi ancaman yang dibagikan di antara penyedia cloud utama dan umpan dari pihak ketiga lainnya. Defender untuk Cloud dapat menggunakan informasi ini untuk memperingatkan Anda tentang ancaman dari pelaku jahat yang dikenal.
Analitik perilaku: Analitik perilaku adalah teknik yang menganalisis dan membandingkan data dengan kumpulan pola yang diketahui. Namun, pola-pola ini bukanlah tanda tangan yang sederhana. Semuanya ditentukan melalui algoritma pembelajaran mesin kompleks yang diterapkan pada himpunan data besar. Analisis cermat dari para analis ahli terhadap perilaku jahat juga ditentukan dari sana. Defender untuk Cloud dapat menggunakan analitik perilaku untuk mengidentifikasi sumber daya yang disusupi berdasarkan analisis log mesin virtual, log perangkat jaringan virtual, log fabric, dan sumber lainnya.
Deteksi anomali: Defender untuk Cloud juga menggunakan deteksi anomali untuk mengidentifikasi ancaman. Berbeda dengan analitik perilaku (yang bergantung pada pola yang diketahui berasal dari himpunan data besar), deteksi anomali lebih "dipersonalisasi" dan berfokus pada baseline dikhususkan untuk penyebaran Anda. Pembelajaran mesin diterapkan untuk menentukan aktivitas normal untuk penyebaran Anda. Kemudian, aturan dibuat untuk menentukan kondisi outlier yang dapat mewakili acara keamanan.
Bagaimana pemberitahuan diklasifikasikan?
Defender untuk Cloud menetapkan tingkat keparahan peringatan untuk membantu Anda memprioritaskan urutan respons Anda terhadap setiap peringatan, jadi saat sumber daya disusupi, Anda bisa langsung mendapatkannya. Keparahan didasarkan pada seberapa yakin Defender untuk Cloud dalam temuan, atau analitik yang digunakan untuk mengeluarkan peringatan, dan tingkat keyakinan bahwa ada niat jahat di balik aktivitas yang mengarah ke peringatan.
Tinggi: Terdapat kemungkinan besar bahwa sumber daya Anda telah disusupi. Anda harus segera memeriksanya. Defender for Cloud memiliki keyakinan tinggi terhadap niat jahat dan temuan yang digunakan untuk mengeluarkan pemberitahuan. Misalnya, pemberitahuan mendeteksi eksekusi alat berbahaya yang diketahui seperti Mimikatz, alat umum yang digunakan untuk pencurian informasi masuk.
Sedang: Tingkat keparahan ini menunjukkan kemungkinan aktivitas mencurigakan yang mungkin mengindikasikan bahwa sumber daya telah disusupi. Keyakinan Defender untuk Cloud dalam analitik atau temuan adalah sedang, dan keyakinan niat jahat adalah sedang hingga tinggi. Ini biasanya berupa pembelajaran mesin atau deteksi berbasis anomali. Misalnya, upaya masuk dari lokasi yang tidak wajar.
Rendah: Tingkat keparahan ini menunjukkan bahwa itu mungkin serangan positif yang jinak atau serangan yang diblokir.
Defender untuk Cloud tidak cukup yakin bahwa niatnya berbahaya, dan aktivitas tersebut mungkin tidak bermasalah. Misalnya, pembersihan log adalah tindakan yang mungkin terjadi saat penyerang mencoba menyembunyikan jejaknya, tetapi kebanyakan kasus ini merupakan operasi rutin yang dilakukan oleh admin.
Defender untuk Cloud biasanya tidak memberi tahu Anda kapan serangan diblokir, kecuali jika ada kasus menarik yang kami sarankan untuk Anda periksa.
Informasi: Anda hanya akan melihat peringatan informasi saat menelusuri secara mendalam insiden keamanan atau jika Anda menggunakan REST API dengan ID peringatan tertentu. Sebuah insiden biasanya terdiri dari banyak peringatan, beberapa di antaranya mungkin tampak hanya sebagai informasi, tetapi dalam konteks peringatan lain mungkin layak untuk dilihat lebih dekat.
Pemantauan dan penilaian berkelanjutan
Defender untuk Cloud mendapat keuntungan dari memiliki tim riset keamanan dan sains data di seluruh Microsoft yang terus memantau perubahan dalam lanskap ancaman. Ini termasuk inisiatif berikut:
Pemantauan inteligensi ancaman: Inteligensi ancaman mencakup mekanisme, indikator, implikasi, dan saran yang dapat ditindaklanjuti tentang ancaman yang ada atau yang muncul. Informasi ini dibagikan di komunitas keamanan dan Microsoft terus memantau umpan inteligensi ancaman dari sumber internal dan eksternal.
Berbagi sinyal: Wawasan dari tim keamanan di seluruh portofolio luas layanan cloud dan lokal Microsoft, server, dan perangkat titik akhir klien dibagikan dan dianalisis.
Pakar keamanan Microsoft: Kerja sama yang berkelanjutan dengan tim di seluruh Microsoft yang bekerja di bidang keamanan khusus, seperti forensik dan deteksi serangan web.
Penyetelan deteksi: Algoritma dijalankan terhadap himpunan data pelanggan nyata dan peneliti keamanan bekerja dengan pelanggan untuk memvalidasi hasilnya. Positif benar dan salah digunakan untuk menyempurnakan algoritma pembelajaran mesin.
Memahami jenis peringatan
Daftar referensi peringatan saat ini berisi lebih dari 500 jenis peringatan. Daftar referensi dapat ditinjau di: Pemberitahuan keamanan - panduan referensi
Setiap jenis peringatan memiliki deskripsi, tingkat keparahan, dan taktik MITRE ATT&CK
Taktik MITRE ATTA&CK
Memahami maksud serangan dapat membantu Anda menyelidiki dan melaporkan kejadian dengan lebih mudah. Untuk membantu upaya ini, peringatan Defender untuk Cloud menyertakan taktik MITER dengan banyak peringatan. Serangkaian langkah yang menggambarkan perkembangan serangan siber dari pengintaian ke penyelundupan data sering disebut sebagai "kill chain".
Niat rantai pembunuh yang didukung Defender untuk Cloud didasarkan pada matriks MITRE ATT&CK versi 7 dan dijelaskan dalam tabel di bawah.
| Taktik | Deskripsi |
|---|---|
| PraSerangan | PreAttack dapat berupa upaya untuk mengakses sumber daya tertentu terlepas dari niat jahat, atau upaya yang gagal untuk mendapatkan akses ke sistem target demi mengumpulkan informasi sebelum eksploitasi. Langkah ini biasanya terdeteksi sebagai upaya, yang berasal dari luar jaringan, untuk memindai sistem target dan mengidentifikasi titik masuk. |
| InitialAccess | InitialAccessl adalah tahap ketika penyerang berhasil mendapatkan pijakan pada sumber daya yang diserang. Tahap ini relevan untuk host komputer dan sumber daya seperti akun pengguna, sertifikat, dll. Pelaku ancaman seringkali dapat mengontrol sumber daya setelah tahap ini. |
| Persistensi | Persistensi adalah akses, tindakan, atau perubahan konfigurasi apa pun ke sistem yang memberi aktor ancaman kehadiran terus-menerus pada sistem itu. Pelaku ancaman seringkali perlu mempertahankan akses ke sistem melalui interupsi seperti restart sistem, hilangnya kredensial, atau kegagalan lain yang memerlukan alat akses jarak jauh untuk memulai ulang atau menyediakan pintu belakang alternatif bagi mereka untuk mendapatkan kembali akses. |
| PrivilegeEscalation | Eskalasi hak istimewa adalah hasil dari tindakan yang memungkinkan musuh memperoleh tingkat izin yang lebih tinggi pada sistem atau jaringan. Alat atau tindakan tertentu memerlukan hak istimewa dengan tingkat yang lebih tinggi untuk bekerja dan mungkin diperlukan di banyak titik selama operasi. Akun pengguna dengan izin untuk mengakses sistem tertentu atau melakukan fungsi khusus yang diperlukan musuh untuk mencapai tujuannya juga dapat dianggap sebagai eskalasi hak istimewa. |
| DefenseEvasion | Penghindaran pertahanan terdiri dari teknik yang dapat digunakan musuh untuk menghindari deteksi atau menghindari pertahanan lainnya. Terkadang tindakan ini sama dengan (atau variasi) teknik dalam kategori lain yang memiliki manfaat tambahan untuk menumbangkan pertahanan atau mitigasi tertentu. |
| CredentialAccess | Akses kredensial mewakili teknik yang menghasilkan akses ke atau kontrol atas sistem, domain, atau kredensial layanan serta digunakan dalam lingkungan perusahaan. Musuh kemungkinan akan berusaha untuk mendapatkan kredensial yang sah dari pengguna atau akun administrator (administrator sistem lokal atau pengguna domain dengan akses administrator) untuk digunakan dalam jaringan. Dengan akses yang memadai di dalam jaringan, musuh dapat membuat akun untuk digunakan nanti di dalam lingkungan. |
| Penemuan | Penemuan terdiri dari teknik-teknik yang memungkinkan musuh memperoleh pengetahuan tentang sistem dan jaringan internal. Ketika musuh mendapatkan akses ke sistem baru, mereka harus membuat rencana lagi terkait hal yang sekarang mereka kendalikan dan manfaat apa yang diberikan oleh sistem itu untuk tujuan mereka saat ini atau tujuan keseluruhan selama penyusupan. Sistem operasi menyediakan banyak alat bawaan yang membantu fase pengumpulan informasi pasca-kompromi ini. |
| GerakanLateral | Gerakan lateral terdiri dari teknik yang memungkinkan musuh mengakses dan mengontrol sistem jarak jauh pada jaringan dan dapat, tetapi tidak selalu, mencakup eksekusi alat pada sistem jarak jauh. Gerakan lateral terdiri dari teknik yang memungkinkan musuh mengumpulkan informasi dari sistem tanpa perlu banyak alat, seperti alat akses jarak jauh. Musuh dapat menggunakan gerakan lateral untuk banyak tujuan, termasuk Eksekusi alat jarak jauh, berputar ke lebih banyak sistem, akses ke informasi atau file tertentu, akses ke kredensial lain, atau untuk menimbulkan efek. |
| Eksekusi | Taktik eksekusi mewakili teknik yang menghasilkan eksekusi kode yang dapat dikendalikan musuh pada sistem lokal atau jarak jauh. Taktik ini sering digunakan dengan gerakan lateral untuk memperluas akses ke sistem jarak jauh di jaringan. |
| Koleksi | Koleksi terdiri dari teknik yang digunakan untuk mengidentifikasi dan mengumpulkan informasi, seperti file sensitif, dari jaringan target sebelum penyelundupan. Kategori ini juga mencakup lokasi pada sistem atau jaringan di mana musuh mungkin mencari informasi untuk diselundupi. |
| Penyelundupan | Exfiltration mengacu pada teknik dan atribut yang menghasilkan atau membantu musuh menghapus file dan informasi dari jaringan target. Kategori ini juga mencakup lokasi pada sistem atau jaringan di mana musuh mungkin mencari informasi untuk diselundupi. |
| CommandAndControl | Taktik perintah dan kontrol mewakili bagaimana musuh berkomunikasi dengan sistem di bawah kendali mereka dalam jaringan target. |
| Dampak | Acara dampak pada intinya mencoba untuk secara langsung mengurangi ketersediaan atau integritas sistem, layanan, atau jaringan, termasuk manipulasi data untuk mempengaruhi bisnis atau proses operasional. Ini sering merujuk pada teknik seperti ransomware, defacement, manipulasi data, dan lainnya. |