Ten artykuł zawiera linki do stron z listą alertów zabezpieczeń, które mogą zostać odebrane z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Ta strona zawiera również tabelę opisującą łańcuch Microsoft Defender dla Chmury kill zgodny z wersją 9 macierzy MITRE ATT&CK.
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Zrozumienie zamiaru ataku może ułatwić badanie i zgłaszanie zdarzenia. Aby pomóc w tych wysiłkach, Microsoft Defender dla Chmury alerty obejmują taktykę MITRE z wieloma alertami.
Seria kroków opisujących postęp cyberataku z rekonesansu do eksfiltracji danych jest często nazywana "łańcuchem zabić".
Defender dla Chmury obsługiwane intencje łańcucha zabić są oparte na wersji 9 macierzy MITRE ATT&CK i opisane w poniższej tabeli.
Taktyka
Wersja ATT&CK
opis
Atak wstępny
Atak wstępny może być próbą uzyskania dostępu do określonego zasobu niezależnie od złośliwego zamiaru lub nieudanej próby uzyskania dostępu do systemu docelowego w celu zebrania informacji przed wykorzystaniem. Ten krok jest zwykle wykrywany jako próba, pochodząca z zewnątrz sieci, w celu skanowania systemu docelowego i identyfikowania punktu wejścia.
Dostęp początkowy
V7, V9
Początkowy dostęp to etap, w którym atakujący może uzyskać przyczółek na zaatakowany zasób. Ten etap jest istotny dla hostów obliczeniowych i zasobów, takich jak konta użytkowników, certyfikaty itp. Aktorzy zagrożeń często mogą kontrolować zasób po tym etapie.
Trwałość
V7, V9
Trwałość to każda zmiana dostępu, akcji lub konfiguracji w systemie, który zapewnia aktorowi zagrożenia trwałą obecność w tym systemie. Podmioty zagrożeń często muszą utrzymywać dostęp do systemów przez przerwy, takie jak ponowne uruchamianie systemu, utrata poświadczeń lub inne błędy, które wymagają ponownego uruchomienia narzędzia dostępu zdalnego lub zapewnienia alternatywnej bazy danych w celu odzyskania dostępu.
Eskalacja uprawnień
V7, V9
Eskalacja uprawnień jest wynikiem akcji, które umożliwiają przeciwnikowi uzyskanie wyższego poziomu uprawnień w systemie lub sieci. Niektóre narzędzia lub akcje wymagają wyższego poziomu uprawnień do pracy i są prawdopodobnie niezbędne w wielu punktach operacji. Konta użytkowników z uprawnieniami dostępu do określonych systemów lub wykonywania określonych funkcji niezbędnych dla przeciwników do osiągnięcia celu mogą być również uważane za eskalację uprawnień.
Uchylanie się od obrony
V7, V9
Uchylanie się od obrony składa się z technik, których przeciwnik może użyć do uniknięcia wykrywania lub unikania innych obrony. Czasami te akcje są takie same jak techniki (lub odmiany) w innych kategoriach, które mają dodatkową korzyść z odwrócenia konkretnej obrony lub ograniczania ryzyka.
Dostęp poświadczeń
V7, V9
Dostęp poświadczeń reprezentuje techniki, co powoduje dostęp do systemu, domeny lub poświadczeń usługi używanych w środowisku przedsiębiorstwa lub kontroli nad tym, czy nie. Przeciwnicy prawdopodobnie podejmą próbę uzyskania wiarygodnych poświadczeń od użytkowników lub kont administratorów (administrator systemu lokalnego lub użytkowników domeny z dostępem administratora) do użycia w sieci. Mając wystarczający dostęp w sieci, atakujący może utworzyć konta do późniejszego użycia w środowisku.
Odnajdywanie
V7, V9
Odnajdywanie składa się z technik, które umożliwiają przeciwnikowi uzyskanie wiedzy na temat systemu i sieci wewnętrznej. Gdy przeciwnicy uzyskują dostęp do nowego systemu, muszą zorientować się na to, co teraz mają kontrolę i jakie korzyści wynikające z działania tego systemu dają ich bieżący cel lub ogólne cele podczas włamania. System operacyjny udostępnia wiele natywnych narzędzi, które pomagają w tym etapie zbierania informacji po naruszeniu zabezpieczeń.
LateralMovement (Owement poprzeczny)
V7, V9
Ruch poprzeczny składa się z technik, które umożliwiają przeciwnikowi uzyskiwanie dostępu do systemów zdalnych i sterowanie nimi w sieci i może, ale niekoniecznie, obejmują wykonywanie narzędzi w systemach zdalnych. Techniki przenoszenia bocznego mogą umożliwić przeciwnikowi zbieranie informacji z systemu bez konieczności używania większej liczby narzędzi, takich jak narzędzie dostępu zdalnego. Przeciwnik może używać ruchu bocznego do wielu celów, w tym zdalnego wykonywania narzędzi, przestawiania do większej liczby systemów, dostępu do określonych informacji lub plików, dostępu do większej liczby poświadczeń lub spowodowania efektu.
Wykonanie
V7, V9
Taktyka wykonywania reprezentuje techniki powodujące wykonanie kodu kontrolowanego przez wroga w systemie lokalnym lub zdalnym. Ta taktyka jest często używana w połączeniu z ruchem bocznym w celu rozszerzenia dostępu do systemów zdalnych w sieci.
Kolekcja
V7, V9
Kolekcja składa się z technik używanych do identyfikowania i zbierania informacji, takich jak poufne pliki, z sieci docelowej przed eksfiltracją. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji.
Sterowanie i sterowanie
V7, V9
Taktyka poleceń i kontroli reprezentuje sposób, w jaki przeciwnicy komunikują się z systemami pod ich kontrolą w sieci docelowej.
Eksfiltracja
V7, V9
Eksfiltracja odnosi się do technik i atrybutów, które powodują lub pomagają w ataku usuwającym pliki i informacje z sieci docelowej. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji.
Wpływ
V7, V9
Zdarzenia wpływają głównie na zmniejszenie dostępności lub integralności systemu, usługi lub sieci; w tym manipulowanie danymi w celu wpływu na proces biznesowy lub operacyjny. Często odnosi się to do technik, takich jak ransomware, defacement, manipulowanie danymi i inne.
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.