Поделиться через


Оповещения системы безопасности — справочное руководство

В этой статье приведены ссылки на страницы с описанием оповещений системы безопасности, которые вы можете получить от Microsoft Defender для облака и любых включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от ресурсов и служб, которые вы защищаете, и настраиваемой конфигурации.

Примечание.

Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.

Эта страница также содержит таблицу, описывающую цепочку убийств Microsoft Defender для облака, выровненную с версией 9 матрицы MITRE ATT&CK.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

Страницы оповещений системы безопасности по категориям

Тактики MITRE ATT&CK

Понимание намерения нападения может помочь вам расследовать и сообщить о событии. В рамках этого подхода во многих оповещениях Microsoft Defender для облака используется тактика MITRE.

Последовательность шагов, описывающих продвижение кибератаки от рекогносцировки до извлечения данных, часто называют "цепочкой нарушения безопасности".

поддерживаемые намерения цепочки убийств Defender для облака основаны на матрице MITRE ATT&CK версии 9 и описаны в таблице ниже.

Тактика Версия ATT&CK Description
PreAttack Предварительная атака может быть либо попыткой доступа к определенному ресурсу независимо от вредоносных целей, либо неудачной попыткой получить доступ к целевой системе для сбора информации перед несанкционированным использованием. Обычно она определяется как попытка, исходящая из внешней сети, сканировать целевую систему и идентифицировать точку входа.
Начальный доступ Версия 7, версия 9 Первоначальный доступ представляет собой этап, на котором злоумышленнику удается закрепиться на атакуемом ресурсе. Этот этап относится к вычислительным узлам и ресурсам, таким как учетные записи пользователей, сертификаты и т. д. Субъекты угроз часто смогут управлять ресурсом после этого этапа.
Сохраняемость Версия 7, версия 9 Атаки типа "Сохраняемость" (Persistence) — это любой доступ, действие или изменение конфигурации в системе, позволяющие злоумышленнику получить устойчивое присутствие в этой системе. Атакующим часто приходится поддерживать доступ к системам через прерывания, такие как перезапуск системы, потеря учетных данных или другие сбои, которые потребуют перезапуска инструмента удаленного доступа или предоставления альтернативного черного хода для восстановления доступа.
Повышение привилегий Версия 7, версия 9 Повышение привилегий (Privilege escalation) — это результат действий, позволяющих злоумышленнику получить более высокий уровень разрешений в системе или сети. Некоторые инструменты или действия требуют более высокого уровня привилегий для работы и, вероятно, необходимы во многих точках на протяжении всей операции. Учетные записи пользователей с разрешениями на доступ к определенным системам или выполнение определенных функций, необходимых для достижения их цели, также могут рассматриваться как эскалация привилегий.
Оборона Evasion Версия 7, версия 9 Оборона неуваждения состоит из методов, которые злоумышленник может использовать для уклонения от обнаружения или предотвращения других оборон. Иногда эти действия совпадают с методиками (или вариантами) в других категориях, которые обладают дополнительными преимуществами для конкретного средства защиты или устранения рисков.
Доступ к учетным данным Версия 7, версия 9 Атаки с получением учетных данных (Получение учетных данных) — это методы, позволяющие получать или контролировать учетные данные систем, доменов и служб, используемых в корпоративной среде, а также управлять ими. Злоумышленники, скорее всего, попытаются получить допустимые учетные данные от пользователей или из учетных записей администраторов (локальных системных администраторов или пользователей домена с правами администратора) для использования в сети. С достаточными правами доступа в сети злоумышленник может создавать учетные записи для последующего использования в среде.
Обнаружение Версия 7, версия 9 Атаки типа "Обнаружение" (Discovery) — это методы, позволяющие злоумышленнику получать сведения о системе и внутренней сети. Когда злоумышленники получают доступ к новой системе, они должны ориентироваться на то, что они теперь контролируют и какие выгоды можно получить от этой системы во время атаки. Операционная система предоставляет множество собственных средств, помогающих в этой фазе сбора информации после нарушения безопасности.
LateralMovement Версия 7, версия 9 "Горизонтальное смещение" (Lateral movement) — это методы, позволяющие злоумышленнику получать доступ к удаленным системам в сети и управлять ими, а также могут включать в себя выполнение средств на удаленных системах. Методы горизонтального смещения позволяют злоумышленнику собирать информацию из системы без использования дополнительных средств, таких как средство удаленного доступа. Злоумышленник может использовать боковое перемещение во многих целях, включая удаленное выполнение инструментов, сводку к более системам, доступ к определенной информации или файлам, доступ к дополнительным учетным данным или причинить эффект.
Выполнение Версия 7, версия 9 Тактика атак типа "Выполнение" (Execution) — это методы, приводящие к выполнению контролируемого злоумышленником кода на локальной или удаленной системе. Эта тактика часто используется в сочетании с горизонтальным смещением для расширения доступа к удаленным системам в сети.
Коллекция Версия 7, версия 9 Коллекция состоит из приемов, используемых для определения и сбора информации, например конфиденциальных файлов из целевой сети до извлечения. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации.
Команда и управление Версия 7, версия 9 Тактика атак типа "Командный центр" (Command and Control) — это методы, с помощью которых злоумышленники взаимодействуют с контролируемыми системами в целевой сети.
Извлечение Версия 7, версия 9 Извлечение данных — это методы и атрибуты, позволяющие или помогающие злоумышленнику извлекать файлы и сведения из целевой сети. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации.
Воздействие Версия 7, версия 9 События "Влияние", в основном, пытаются напрямую уменьшить доступность или целостность системы, службы или сети, включая обработку данных, влияющих на бизнес или операционные процессы. Это часто относится к таким методам, как вымогательство, искажение, манипулирование данными и другим.

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги