Poznawanie alertów zabezpieczeń
W Microsoft Defender dla Chmury istnieją różne alerty dla wielu różnych typów zasobów. Defender dla Chmury generuje alerty dotyczące zasobów wdrożonych na platformie Azure i dla zasobów wdrożonych w środowiskach lokalnych i hybrydowych w chmurze. Alerty zabezpieczeń są wyzwalane przez zaawansowane wykrywanie i są dostępne tylko w przypadku Defender dla Chmury.
Reagowanie na dzisiejsze zagrożenia
W ciągu ostatnich 20 lat miały miejsce istotne zmiany dotyczące charakteru występujących zagrożeń. W przeszłości firmy zwykle musiały martwić się tylko o defacement witryn internetowych przez poszczególnych atakujących, którzy byli głównie zainteresowani widząc "co mogą zrobić". Dzisiejsze osoby atakujące są o wiele bardziej wyrafinowane i zorganizowane. Często mają określone cele finansowe i strategiczne. Mają one również więcej dostępnych zasobów, ponieważ mogą być finansowane przez państwa narodowe lub przestępczość zorganizowaną.
Te zmieniające się realia doprowadziły do bezprecedensowego poziomu profesjonalizmu w szeregach napastników. Nie wystarcza im już wpływ na zawartość witryn internetowych. Są one teraz zainteresowane kradzieżą informacji, rachunków finansowych i prywatnych danych — wszystkie, których mogą używać do generowania gotówki na otwartym rynku lub korzystania z konkretnej działalności, politycznej lub wojskowej. Jeszcze bardziej niepokojące niż osoby atakujące mające cel finansowy to osoby, które naruszają sieci, aby zaszkodzić infrastrukturze i ludziom.
W odpowiedzi organizacje często wdrażają różne rozwiązania punktowe skoncentrowane na obronie obwodu przedsiębiorstwa lub punktów końcowych, wyszukując znane sygnatury ataków. Tego typu rozwiązania zazwyczaj generują duże ilości alertów niskiej jakości, które wymagają dokonania klasyfikacji i przeprowadzenia badań przez analityka zabezpieczeń. Większość organizacji nie dysponuje czasem i niezbędną wiedzą, które umożliwiłyby odpowiednie zareagowanie na te ostrzeżenia — wiele z nich nie jest rozwiązywanych.
Ponadto osoby atakujące ewoluowały swoje metody, aby odwrócić wiele obrony opartych na sygnaturach i dostosować się do środowisk chmury. Wymagane jest nowe podejście do problemu zabezpieczeń, które pozwoliłoby na szybszą identyfikację potencjalnych zagrożeń, a także przyspieszone wykrywanie ich i reagowanie na nie.
Co to są alerty zabezpieczeń i zdarzenia zabezpieczeń?
Alerty to powiadomienia generowane przez usługę Defender dla Chmury w przypadku wykrycia zagrożeń dotyczących zasobów. Defender dla Chmury określa priorytety i wyświetla listę alertów wraz z informacjami potrzebnymi do szybkiego zbadania problemu. Defender dla Chmury również zawiera zalecenia dotyczące sposobu korygowania ataku.
Zdarzenie zabezpieczeń to zbiór powiązanych alertów zamiast wyświetlania poszczególnych alertów indywidualnie. Defender dla Chmury używa korelacji alertów inteligentnych w chmurze, aby skorelować różne alerty i sygnały o niskiej wierności w zdarzeniach zabezpieczeń.
Dzięki zdarzeniu bezpieczeństwa Defender dla Chmury zapewnia pojedynczy widok kampanii ataku i wszystkich powiązanych alertów. Ten widok pozwala szybko zrozumieć, jakie działania podjęła osoba atakująca i jakie zasoby zostały naruszone. Aby uzyskać więcej informacji, zobacz Korelacja alertów inteligentnych w chmurze.
Jak Defender dla Chmury wykrywać zagrożenia?
Pracownicy naukowo-badawczy firmy Microsoft stale poszukują nowych zagrożeń. Ze względu na naszą globalną obecność w chmurze i lokalnie mamy dostęp do rozległego zestawu danych telemetrycznych. Szeroka i zróżnicowana kolekcja zestawów danych umożliwia nam odkrywanie nowych wzorców ataków i trendów w naszych lokalnych produktach konsumenckich i korporacyjnych, a także naszych Usługi online. W rezultacie Defender dla Chmury mogą szybko aktualizować swoje algorytmy wykrywania, ponieważ osoby atakujące uwalniają nowe i coraz bardziej zaawansowane luki w zabezpieczeniach. Takie podejście pomaga nadążyć za szybko poruszającym się środowiskiem zagrożenia.
Aby wykrywać rzeczywiste zagrożenia i zmniejszać liczbę wyników fałszywie dodatnich, Defender dla Chmury zbierać, analizować i integrować dane dziennika z zasobów platformy Azure i sieci. Działa również z połączonymi rozwiązaniami partnerskimi, takimi jak rozwiązania zapory i ochrony punktu końcowego. Defender dla Chmury analizuje te informacje, często korelując informacje z wielu źródeł, aby zidentyfikować zagrożenia.
Defender dla Chmury wykorzystuje zaawansowaną analizę zabezpieczeń, która wykracza daleko poza podejścia oparte na sygnaturach. Przełomowe technologie danych big data i uczenia maszynowego służą do oceniania zdarzeń w całej sieci szkieletowej chmury — wykrywania zagrożeń, które byłyby niemożliwe do zidentyfikowania przy użyciu ręcznych podejść i przewidywania ewolucji ataków. Do narzędzi analizy zabezpieczeń należą:
Zintegrowana analiza zagrożeń: firma Microsoft ma ogromną ilość globalnej analizy zagrożeń. Przepływy telemetryczne z wielu źródeł, takich jak Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) i Microsoft Security Response Center (MSRC). Naukowcy otrzymują również informacje dotyczące analizy zagrożeń udostępniane przez głównych dostawców usług w chmurze i źródła danych innych firm. Defender dla Chmury mogą używać tych informacji, aby otrzymywać alerty o zagrożeniach ze strony znanych złych aktorów.
Analiza behawioralna: Analiza behawioralna to technika, która analizuje i porównuje dane z kolekcją znanych wzorców. Jednak te wzorce nie są prostymi podpisami. Są one określane za pomocą złożonych algorytmów uczenia maszynowego, które są stosowane do ogromnych zestawów danych. Są one również określane przez staranną analizę złośliwych zachowań analityków. Defender dla Chmury mogą używać analizy behawioralnej do identyfikowania zagrożonych zasobów na podstawie analizy dzienników maszyn wirtualnych, dzienników urządzeń sieci wirtualnej, dzienników sieci szkieletowej i innych źródeł.
Wykrywanie anomalii: Defender dla Chmury również używa wykrywania anomalii do identyfikowania zagrożeń. W przeciwieństwie do analizy behawioralnej (która zależy od znanych wzorców pochodzących z dużych zestawów danych), wykrywanie anomalii jest bardziej "spersonalizowane" i koncentruje się na punktach odniesienia specyficznych dla wdrożeń. Uczenie maszynowe jest stosowane do określania normalnego działania wdrożeń. Następnie reguły są generowane w celu zdefiniowania warunków odstających, które mogą reprezentować zdarzenie zabezpieczeń.
Jak są klasyfikowane alerty?
Defender dla Chmury przypisuje ważność do alertów, aby ułatwić określenie priorytetów kolejności reagowania na każdy alert, dzięki czemu po naruszeniu zabezpieczeń zasobu można przejść do niego od razu. Ważność jest oparta na tym, jak pewna Defender dla Chmury znajduje się w znalezieniu, lub analizy używanej do wystawiania alertu oraz poziomu ufności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziły do alertu.
Wysoki: istnieje duże prawdopodobieństwo naruszenia zabezpieczeń zasobu. Powinieneś przyjrzeć się temu od razu. Defender dla Chmury ma duże zaufanie zarówno do złośliwej intencji, jak i w wynikach użytych do wystawienia alertu. Na przykład alert wykrywa wykonywanie znanego złośliwego narzędzia, takiego jak Mimikatz, typowe narzędzie używane do kradzieży poświadczeń.
Średni: ta ważność wskazuje, że prawdopodobnie jest to podejrzane działanie, które może wskazywać na naruszenie zabezpieczeń zasobu. zaufanie Defender dla Chmury do analizy lub znalezienia jest średnie, a pewność, że złośliwa intencja jest średnio do wysoka. Zazwyczaj są to wykrywanie uczenia maszynowego lub wykrywania na podstawie anomalii. Na przykład próba logowania z nietypowej lokalizacji.
Niski: ta ważność wskazuje, że może to być łagodny lub zablokowany atak.
Defender dla Chmury nie jest wystarczająco pewna, że intencja jest złośliwa, a działalność może być niewinna. Na przykład w dzienniku jest to akcja, która może wystąpić, gdy osoba atakująca próbuje ukryć swoje ślady, ale w wielu przypadkach jest to rutynowa operacja wykonywana przez administratorów.
Defender dla Chmury zwykle nie informuje o tym, kiedy ataki zostały zablokowane, chyba że jest to interesujący przypadek, w którym sugerujemy przyjrzenie się.
Informacje: podczas przechodzenia do szczegółów zdarzenia zabezpieczeń będą widoczne tylko alerty informacyjne lub jeśli używasz interfejsu API REST z określonym identyfikatorem alertu. Zdarzenie składa się zazwyczaj z wielu alertów, z których niektóre mogą pojawiać się samodzielnie tylko jako informacyjne, ale w kontekście innych alertów mogą być warte bliższego przyjrzenia się.
Ciągłe monitorowanie i oceny
Defender dla Chmury korzyści z posiadania zespołów ds. badań nad zabezpieczeniami i nauki o danych w całej firmie Microsoft, którzy stale monitorują zmiany w krajobrazie zagrożeń. Obejmuje to następujące inicjatywy:
Monitorowanie analizy zagrożeń: Analiza zagrożeń obejmuje mechanizmy, wskaźniki, implikacje i porady umożliwiające podejmowanie działań na temat istniejących lub pojawiających się zagrożeń. Te informacje są udostępniane w społeczności zabezpieczeń, a firma Microsoft stale monitoruje źródła danych analizy zagrożeń z wewnętrznych i zewnętrznych źródeł.
Udostępnianie sygnałów: Szczegółowe informacje od zespołów ds. zabezpieczeń w szerokim portfolio usług w chmurze i lokalnych, serwerów i urządzeń punktów końcowych klienta firmy Microsoft są współużytkowane i analizowane.
Specjaliści ds. zabezpieczeń firmy Microsoft: ciągła współpraca zespołów firmy Microsoft w zakresie wyspecjalizowanych zabezpieczeń, takich jak analiza śledcza i wykrywanie ataków w sieci Web.
Dostrajanie wykrywania: algorytmy są uruchamiane względem rzeczywistych zestawów danych klientów, a naukowcy zajmujący się zabezpieczeniami współpracują z klientami, aby zweryfikować wyniki. Wyniki prawdziwie i fałszywie dodatnie są używane w celu udoskonalania algorytmów uczenia maszynowego.
Omówienie typów alertów
Bieżąca lista odwołań alertów zawiera ponad 500 typów alertów. Listę referencyjną można przejrzeć pod adresem: Alerty zabezpieczeń — przewodnik referencyjny
Każdy typ alertu ma opis, ważność i taktykę MITRE ATT&CK
TAKTYKA MITRE ATT&CK
Zrozumienie zamiaru ataku może ułatwić badanie i zgłaszanie zdarzenia. Aby pomóc w tych wysiłkach, Defender dla Chmury alerty obejmują taktykę MITRE z wieloma alertami. Seria kroków opisujących postęp cyberataku z rekonesansu do eksfiltracji danych jest często nazywana "łańcuchem zabić".
Defender dla Chmury obsługiwane intencje łańcucha zabić są oparte na wersji 7 macierzy MITRE ATT&CK i opisane w poniższej tabeli.
| Taktyka | opis |
|---|---|
| Atak wstępny | Atak wstępny może być próbą uzyskania dostępu do określonego zasobu niezależnie od złośliwych intencji lub nieudanej próby uzyskania dostępu do systemu docelowego w celu zebrania informacji przed wykorzystaniem. Ten krok jest zwykle wykrywany jako próba, pochodząca z zewnątrz sieci, w celu skanowania systemu docelowego i identyfikowania punktu wejścia. |
| InitialAccess | InitialAccess to etap, w którym osoba atakująca może uzyskać przyczółek na zaatakowany zasób. Ten etap jest istotny dla hostów obliczeniowych i zasobów, takich jak konta użytkowników, certyfikaty itp. Aktorzy zagrożeń często mogą kontrolować zasób po tym etapie. |
| Trwałość | Trwałość to każda zmiana dostępu, akcji lub konfiguracji w systemie, który zapewnia aktorowi zagrożenia trwałą obecność w tym systemie. Podmioty zagrożeń często muszą utrzymywać dostęp do systemów przez przerwy, takie jak ponowne uruchamianie systemu, utrata poświadczeń lub inne błędy, które wymagają ponownego uruchomienia narzędzia dostępu zdalnego lub zapewnienia alternatywnej bazy danych w celu odzyskania dostępu. |
| PrivilegeEscalation | Eskalacja uprawnień jest wynikiem akcji, które umożliwiają przeciwnikowi uzyskanie wyższego poziomu uprawnień w systemie lub sieci. Niektóre narzędzia lub akcje wymagają wyższego poziomu uprawnień do pracy i są prawdopodobnie niezbędne w wielu punktach operacji. Konta użytkowników z uprawnieniami dostępu do określonych systemów lub wykonywania określonych funkcji niezbędnych dla przeciwników do osiągnięcia celu mogą być również uważane za eskalację uprawnień. |
| DefenseEvasion | Uchylanie się od obrony składa się z technik, których przeciwnik może użyć do uniknięcia wykrywania lub unikania innych obrony. Czasami te akcje są takie same jak techniki (lub odmiany) w innych kategoriach, które mają dodatkową korzyść z odwrócenia konkretnej obrony lub ograniczania ryzyka. |
| CredentialAccess | Dostęp poświadczeń reprezentuje techniki, dzięki czemu dostęp do systemu, domeny lub poświadczeń usługi używanych w środowisku przedsiębiorstwa jest kontrolowany lub kontrolowany. Przeciwnicy prawdopodobnie podejmą próbę uzyskania wiarygodnych poświadczeń od użytkowników lub kont administratorów (administrator systemu lokalnego lub użytkowników domeny z dostępem administratora) do użycia w sieci. Mając wystarczający dostęp w sieci, atakujący może utworzyć konta do późniejszego użycia w środowisku. |
| Odnajdowanie | Odnajdywanie składa się z technik, które umożliwiają przeciwnikowi uzyskanie wiedzy na temat systemu i sieci wewnętrznej. Gdy przeciwnicy uzyskują dostęp do nowego systemu, muszą dostosować się do tego, co teraz mają kontrolę i jakie korzyści wynikające z działania tego systemu dają ich bieżący cel lub ogólne cele podczas włamania. System operacyjny udostępnia wiele natywnych narzędzi, które pomagają w tym etapie zbierania informacji po naruszeniu zabezpieczeń. |
| LateralMovement (Owement poprzeczny) | Ruch poprzeczny składa się z technik, które umożliwiają przeciwnikowi uzyskiwanie dostępu do systemów zdalnych i sterowania nimi w sieci i chmurze, ale niekoniecznie obejmuje wykonywanie narzędzi w systemach zdalnych. Techniki przenoszenia bocznego mogą umożliwić przeciwnikowi zbieranie informacji z systemu bez konieczności używania większej liczby narzędzi, takich jak narzędzie dostępu zdalnego. Przeciwnik może używać ruchu bocznego w wielu celach, w tym zdalnego wykonywania narzędzi, przechodzenia do większej liczby systemów, dostępu do określonych informacji lub plików, dostępu do innych poświadczeń lub spowodowania efektu. |
| Wykonanie | Taktyka wykonywania reprezentuje techniki powodujące wykonanie kodu kontrolowanego przez wroga w systemie lokalnym lub zdalnym. Ta taktyka jest często używana z ruchami bocznymi w celu rozszerzenia dostępu do systemów zdalnych w sieci. |
| Kolekcja | Kolekcja składa się z technik używanych do identyfikowania i zbierania informacji, takich jak poufne pliki, z sieci docelowej przed eksfiltracją. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji. |
| Wyprowadzanie | Eksfiltracja odnosi się do technik i atrybutów, które powodują lub pomagają w ataku usuwającym pliki i informacje z sieci docelowej. Ta kategoria obejmuje również lokalizacje w systemie lub sieci, w której atakujący może szukać informacji do eksfiltracji. |
| CommandAndControl | Taktyka poleceń i kontroli reprezentuje sposób, w jaki przeciwnicy komunikują się z systemami pod ich kontrolą w sieci docelowej. |
| Wpływ | Zdarzenia wpływają głównie na zmniejszenie dostępności lub integralności systemu, usługi lub sieci, w tym manipulowania danymi w celu wpływu na proces biznesowy lub operacyjny. Często odnosi się to do technik, takich jak ransomware, defacement, manipulowanie danymi i inne. |