Alerty zabezpieczeń i zdarzenia

W tym artykule opisano alerty zabezpieczeń i powiadomienia w usłudze Microsoft Defender for Cloud.

Czym są alerty zabezpieczeń?

Alerty zabezpieczeń to powiadomienia generowane przez plany usługi Defender for Cloud i Defender for Cloud w przypadku zagrożeń w chmurze, hybrydowych lub lokalnych.

  • Alerty zabezpieczeń są wyzwalane przez zaawansowane wykrywanie w usłudze Defender for Cloud i są dostępne po włączeniu rozszerzonych funkcji zabezpieczeń.
  • Każdy alert zawiera szczegółowe informacje o zasobach, problemach i zaleceniach dotyczących korygowania.
  • Usługa Defender for Cloud klasyfikuje alerty i ustala ich priorytety według ważności w portalu usługi Defender for Cloud.
  • Dane alertów są przechowywane przez 90 dni.
  • Alerty można eksportować do formatu CSV lub bezpośrednio wprowadzać do usługi Microsoft Sentinel.
  • Usługa Defender for Cloud wykorzystuje macierz ataków MITRE , aby skojarzyć alerty z ich postrzeganą intencją, pomagając sformalizować wiedzę na temat domeny zabezpieczeń.

Jak są klasyfikowane alerty?

Usługa Defender for Cloud przypisuje ważność do alertów, aby ułatwić określanie priorytetów sposobu uczestnictwa w każdym alercie. Ważność jest oparta na tym, jak pewna pewność, że usługa Defender for Cloud znajduje się w następujących elementach:

  • Znajdowanie/analizy używane do wystawiania alertu
  • Poziom pewności, że wystąpił złośliwy zamiar działania, który doprowadził do alertu
Ważność Zalecana odpowiedź
Wysoki Istnieje duże prawdopodobieństwo naruszenia zabezpieczeń zasobu. Powinieneś spojrzeć na to od razu. Usługa Defender for Cloud ma duże zaufanie zarówno do złośliwego zamiaru, jak i w wynikach używanych do wystawiania alertu. Na przykład alert, który wykrywa wykonywanie znanego złośliwego narzędzia, takiego jak Mimikatz, typowe narzędzie używane do kradzieży poświadczeń.
Średni Prawdopodobnie jest to podejrzane działanie może wskazywać, że naruszono bezpieczeństwo zasobu. Zaufanie usługi Defender for Cloud do analizy lub znalezienia jest średnie, a pewność, że złośliwa intencja jest średnio do wysoka. Zazwyczaj są to wykrywanie uczenia maszynowego lub wykrywania anomalii, na przykład próba logowania z nietypowej lokalizacji.
Niski Może to być łagodny lub zablokowany atak. Usługa Defender for Cloud nie jest wystarczająco pewna, że intencja jest złośliwa, a działanie może być niewinne. Na przykład wyczyszczenie dziennika to akcja, która może wystąpić, gdy osoba atakująca próbuje ukryć swoje ślady, ale w wielu przypadkach jest rutynową operacją wykonywaną przez administratorów. Usługa Defender for Cloud zwykle nie informuje o zablokowaniu ataków, chyba że jest to interesujący przypadek, w którym sugerujemy zapoznanie się z tobą.
Informacyjne Zdarzenie składa się zazwyczaj z wielu alertów, z których niektóre mogą pojawiać się samodzielnie tylko do informacji, ale w kontekście innych alertów mogą być godne bliższego spojrzenia.

Co to są zdarzenia zabezpieczeń?

Zdarzenie zabezpieczeń to kolekcja powiązanych alertów.

Zdarzenia zapewniają pojedynczy widok ataku i powiązanych alertów, dzięki czemu można szybko zrozumieć działania podejmowane przez osobę atakującą i zasoby, których dotyczy problem.

W miarę wzrostu zasięgu zagrożenia konieczne jest wykrycie nawet najmniejszego kompromisu. Analitykom zabezpieczeń trudno jest sklasyfikować różne alerty i zidentyfikować rzeczywisty atak. Dzięki korelowaniu alertów i sygnałów o niskiej wierności w zdarzeniach zabezpieczeń usługa Defender for Cloud pomaga analitykom poradzić sobie z tym zmęczeniem alertów.

W chmurze ataki mogą wystąpić w różnych dzierżawach, usługa Defender for Cloud może łączyć algorytmy sztucznej inteligencji w celu analizowania sekwencji ataków zgłaszanych w każdej subskrypcji platformy Azure. Ta technika identyfikuje sekwencje ataków jako powszechne wzorce alertów, a nie po prostu przypadkowo skojarzone ze sobą.

Podczas badania incydentu analitycy często potrzebują dodatkowego kontekstu, aby osiągnąć werdykt o charakterze zagrożenia i sposobach jego ograniczania. Na przykład nawet w przypadku wykrycia anomalii sieciowej bez zrozumienia, co się dzieje w sieci lub w odniesieniu do docelowego zasobu, trudno jest zrozumieć, jakie działania należy wykonać dalej. Aby pomóc, zdarzenie zabezpieczeń może obejmować artefakty, powiązane zdarzenia i informacje. Dodatkowe informacje dostępne dla zdarzeń zabezpieczeń różnią się w zależności od typu wykrytego zagrożenia i konfiguracji środowiska.

Korelowanie alertów do zdarzeń

Usługa Defender for Cloud koreluje alerty i sygnały kontekstowe do zdarzeń.

  • Korelacja analizuje różne sygnały między zasobami i łączy wiedzę na temat zabezpieczeń i sztuczną inteligencję w celu analizowania alertów, odnajdywania nowych wzorców ataków w miarę ich występowania.
  • Korzystając z informacji zebranych dla każdego kroku ataku, usługa Defender for Cloud może również wykluczyć działanie, które wydaje się być krokiem ataku, ale w rzeczywistości nie jest.

Porada

W dokumentacji alertów przejrzyj listę alertów zdarzeń zabezpieczeń, które mogą być generowane przez korelację zdarzeń.

Jak usługa Defender for Cloud wykrywa zagrożenia?

Aby wykryć rzeczywiste zagrożenia i zmniejszyć liczbę wyników fałszywie dodatnich, usługa Defender for Cloud monitoruje zasoby, zbiera i analizuje dane pod kątem zagrożeń, często korelując dane z wielu źródeł.

Zbieranie i prezentacja danych w usłudze Defender for Cloud.

Inicjatywy firmy Microsoft

Usługa Microsoft Defender for Cloud korzysta z zalet badań nad zabezpieczeniami i nauki o danych w całej firmie Microsoft, którzy stale monitorują zmiany w krajobrazie zagrożeń. Obejmuje to następujące inicjatywy:

  • Specjaliści ds. zabezpieczeń firmy Microsoft: ciągła współpraca zespołów firmy Microsoft w zakresie wyspecjalizowanych zabezpieczeń, takich jak analiza śledcza i wykrywanie ataków w sieci Web.

  • Badania zabezpieczeń firmy Microsoft: Nasi naukowcy stale szukają zagrożeń. Ze względu na naszą globalną obecność w chmurze i lokalnie mamy dostęp do ekspansywnego zestawu danych telemetrycznych. Szeroka i zróżnicowana kolekcja zestawów danych umożliwia nam odkrywanie nowych wzorców ataków i trendów w naszych lokalnych produktach konsumenckich i korporacyjnych, a także naszych Usługi online. W rezultacie usługa Defender for Cloud może szybko zaktualizować swoje algorytmy wykrywania, ponieważ osoby atakujące uwalniają nowe i coraz bardziej zaawansowane luki w zabezpieczeniach. Takie podejście pomaga sprostać wymaganiom szybko zmieniającego się środowiska zagrożenia.

  • Monitorowanie analizy zagrożeń: Analiza zagrożeń obejmuje mechanizmy, wskaźniki, implikacje i porady umożliwiające podejmowanie działań na temat istniejących lub pojawiających się zagrożeń. Te informacje są udostępniane w branży zabezpieczeń, a firma Microsoft stale monitoruje zagrożenia płynące z wewnętrznych i zewnętrznych źródeł.

  • Udostępnianie sygnałów: szczegółowe informacje od zespołów ds. zabezpieczeń w szerokim portfolio usług w chmurze i lokalnych, serwerów i urządzeń z punktami końcowymi klienta są udostępniane i analizowane.

  • Dostrajanie wykrywania zagrożeń: algorytmy są uruchamiane na rzeczywistych zestawach danych klienta, a pracownicy naukowo-badawczy z zakresu zabezpieczeń pracują z klientami w celu weryfikacji otrzymanych wyników. Wyniki prawdziwie i fałszywie dodatnie są używane w celu udoskonalania algorytmów uczenia maszynowego.

Te połączone wysiłki kończą się nowymi i ulepszonymi wykrywaniami, dzięki czemu można korzystać natychmiast — nie ma żadnych akcji do podjęcia.

Analiza zabezpieczeń

Usługa Defender for Cloud wykorzystuje zaawansowaną analizę zabezpieczeń, która wykracza daleko poza podejścia oparte na sygnaturach. Przełomowe rozwiązania dotyczące danych big data i technologii uczenia maszynowego są używane do oceny zdarzeń zachodzących w całej sieci szkieletowej chmury. Wykrywane są zagrożenia, które byłyby niemożliwe do wykrycia przy użyciu ręcznych metod, i przewidywany jest kierunek ewolucji ataków. Do narzędzi analizy zabezpieczeń należą:

Zintegrowana analiza zagrożeń

Firma Microsoft dysponuje ogromną ilością danych do globalnej analizy zagrożeń. Przepływy telemetryczne z wielu źródeł, takich jak Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) i Microsoft Security Response Center (MSRC). Naukowcy otrzymują również informacje dotyczące analizy zagrożeń, które są udostępniane przez głównych dostawców usług w chmurze i źródła danych od innych firm. Usługa Microsoft Defender for Cloud może używać tych informacji, aby otrzymywać alerty o zagrożeniach znanych złych aktorów.

Analiza zachowań

Analiza behawioralna to metoda, która polega na analizie danych i porównywaniu ich z kolekcją znanych wzorców. Wzorce te nie są jednak prostymi sygnaturami. Określa się je za pośrednictwem złożonych algorytmów uczenia maszynowego, które są stosowane w przypadku wielkich zestawów danych. Są one również określane przez specjalistów od analizy, którzy dokonują dokładnej analizy złośliwych zachowań. Usługa Microsoft Defender for Cloud może używać analizy behawioralnej do identyfikowania naruszonych zasobów na podstawie analizy dzienników maszyn wirtualnych, dzienników urządzeń sieci wirtualnej, dzienników sieci szkieletowej i innych źródeł.

Wykrywanie anomalii

Usługa Defender for Cloud używa również wykrywania anomalii do identyfikowania zagrożeń. W przeciwieństwie do analizy behawioralnej, która zależy od znanych wzorców pochodzących z dużych zestawów danych, wykrywanie anomalii jest bardziej "spersonalizowane" i koncentruje się na planach bazowych specyficznych dla wdrożeń. Uczenie maszynowe jest stosowane do określania normalnego działania wdrożeń, a następnie generowania reguł definiujących odstające warunki, które mogą reprezentować zdarzenie związane z zabezpieczeniami.

Eksportowanie alertów

Dostępne są różne opcje wyświetlania alertów spoza usługi Defender for Cloud, w tym:

  • Pobieranie raportu CSV na pulpicie nawigacyjnym alertów zapewnia jednorazowy eksport do pliku CSV.
  • Eksport ciągły z ustawień środowiska umożliwia konfigurowanie strumieni alertów zabezpieczeń i zaleceń dla obszarów roboczych usługi Log Analytics i usługi Event Hubs. Dowiedz się więcej.
  • Łącznik usługi Microsoft Sentinel przesyła strumieniowo alerty zabezpieczeń z usługi Microsoft Defender for Cloud do usługi Microsoft Sentinel. Dowiedz się więcej .

Dowiedz się więcej o alertach przesyłanych strumieniowo do rozwiązania SIEM, SOAR lub IT Service Management oraz sposobach ciągłego eksportowania danych.

Następne kroki

W tym artykule przedstawiono różne typy alertów dostępnych w usłudze Defender for Cloud. Aby uzyskać więcej informacji, zobacz: