Dela via

Säkerhetsaviseringar och incidenter

  • Artikel

I den här artikeln beskrivs säkerhetsaviseringar och meddelanden i Microsoft Defender för molnet.

Vad är säkerhetsaviseringar?

Säkerhetsaviseringar är meddelanden som genereras av Defender for Clouds arbetsbelastningsskyddsplaner när hot identifieras i dina Azure-, hybrid- eller multimolnsmiljöer.

  • Säkerhetsaviseringar utlöses av avancerade identifieringar som är tillgängliga när du aktiverar Defender-planer för specifika resurstyper.
  • Varje avisering innehåller information om berörda resurser, problem och reparationssteg.
  • Defender for Cloud klassificerar aviseringar och prioriterar dem efter allvarlighetsgrad.
  • Aviseringar visas i portalen i 90 dagar, även om resursen som är relaterad till aviseringen togs bort under den tiden. Det beror på att aviseringen kan tyda på ett potentiellt intrång i din organisation som behöver undersökas ytterligare.
  • Aviseringar kan exporteras till CSV-format.
  • Aviseringar kan också strömmas direkt till en SIEM-lösning (Security Information and Event Management), till exempel Microsoft Sentinel, SOAR (Security Orchestration Automated Response) eller ITSM-lösning (IT Service Management).
  • Defender for Cloud använder MITRE-attackmatrisen för att associera aviseringar med deras upplevda avsikt, vilket hjälper till att formalisera kunskap om säkerhetsdomäner.

Hur klassificeras aviseringar?

Aviseringar har tilldelats en allvarlighetsgrad som hjälper dig att prioritera hur du hanterar varje avisering. Allvarlighetsgraden baseras på:

  • Den specifika utlösaren
  • Konfidensnivån att det fanns en skadlig avsikt bakom aktiviteten som ledde till aviseringen
Allvarlighet Rekommenderat svar
Hög Det är hög sannolikhet att resursen komprometteras. Du borde titta på det direkt. Defender for Cloud har stort förtroende för både den skadliga avsikten och de resultat som används för att utfärda aviseringen. Till exempel en avisering som identifierar körningen av ett känt skadligt verktyg, till exempel Mimikatz, ett vanligt verktyg som används för stöld av autentiseringsuppgifter.
Medel Det här är förmodligen en misstänkt aktivitet som kan tyda på att en resurs har komprometterats. Defender for Clouds förtroende för analys eller sökning är medel och förtroendet för den skadliga avsikten är medelhög till hög. Dessa skulle vanligtvis vara maskininlärning eller avvikelsebaserade identifieringar, till exempel ett inloggningsförsök från en ovanlig plats.
Låg Detta kan vara en godartad positiv attack eller en blockerad attack. Defender for Cloud är inte tillräckligt säker på att avsikten är skadlig och att aktiviteten kan vara oskyldig. Loggrensning är till exempel en åtgärd som kan inträffa när en angripare försöker dölja sina spår, men i många fall är en rutinåtgärd som utförs av administratörer. Defender for Cloud brukar inte berätta när attacker blockerades, såvida det inte är ett intressant fall som vi föreslår att du undersöker.
Informativt En incident består vanligtvis av ett antal aviseringar, varav vissa kan verka vara enbart informationsbaserade, men i samband med de andra aviseringarna kan de vara värda en närmare titt.

Vad är säkerhetsincidenter?

En säkerhetsincident är en samling relaterade aviseringar.

Incidenter ger dig en enda vy över en attack och dess relaterade aviseringar, så att du snabbt kan förstå de åtgärder som en angripare vidtog och de berörda resurserna.

När andan av hottäckningen växer, så ökar också behovet av att upptäcka även den minsta kompromissen. Det är svårt för säkerhetsanalytiker att sortera olika aviseringar och identifiera en faktisk attack. Genom att korrelera aviseringar och låg återgivningssignaler till säkerhetsincidenter hjälper Defender for Cloud analytiker att hantera denna varningströtthet.

I molnet kan attacker utföras mellan olika klientorganisationer. Defender för molnet kan kombinera AI-algoritmer för att analysera attacksekvenser som rapporteras i varje Azure-prenumeration. Den här tekniken identifierar attacksekvenserna som vanliga aviseringsmönster, i stället för att bara associeras med varandra.

Under en undersökning av en incident behöver analytiker ofta extra sammanhang för att komma fram till en bedömning om hotets art och hur det ska mildras. Till exempel är det svårt att förstå vilka åtgärder som ska utföras även när en nätverksavvikelse identifieras, utan att förstå vad mer som händer i nätverket eller när det gäller målresursen. Som hjälp kan en säkerhetsincident innehålla artefakter, relaterade händelser och information. Den ytterligare information som är tillgänglig för säkerhetsincidenter varierar beroende på vilken typ av hot som identifierats och konfigurationen av din miljö.

Korrelera aviseringar till incidenter

Defender for Cloud korrelerar aviseringar och kontextuella signaler till incidenter.

  • Korrelationen tittar på olika signaler mellan resurser och kombinerar säkerhetskunskaper och AI för att analysera aviseringar och upptäcka nya attackmönster när de inträffar.
  • Genom att använda den information som samlas in för varje steg i en attack kan Defender för molnet också utesluta aktiviteter som verkar vara steg i en attack, men som faktiskt inte är det.

Dricks

I incidentreferensen granskar du listan över säkerhetsincidenter som kan skapas av incidentkorrelation.

Hur identifierar Defender för molnet hot?

För att identifiera verkliga hot och minska falska positiva identifieringar övervakar Defender för molnet resurser, samlar in och analyserar data för hot och korrelerar ofta data från flera källor.

Insamling och presentation av Defender for Cloud Data.

Microsoft-initiativ

Microsoft Defender för molnet drar nytta av säkerhetsforsknings- och datavetenskapsteam i hela Microsoft som kontinuerligt övervakar förändringar i hotlandskapet. Bland annat kan följande projekt nämnas:

  • Microsofts säkerhetsexperter: Kontinuerligt arbete i team inom hela Microsoft som arbetar inom specialiserade säkerhetsområden, exempelvis datautredning och identifiering av webbattacker.

  • Microsofts säkerhetsforskning: Våra forskare är ständigt på jakt efter hot. På grund av vår globala närvaro i molnet och lokalt har vi tillgång till en omfattande uppsättning telemetri. Den omfattande och mångsidiga insamlingen av datamängder gör det möjligt för oss att upptäcka nya attackmönster och trender i våra lokala konsument- och företagsprodukter samt våra usluge na mreži. Därför kan Defender för molnet snabbt uppdatera sina identifieringsalgoritmer när angripare släpper nya och alltmer sofistikerade kryphål. Och för dig som kund innebär det att du kan hålla jämna steg med dagens snabbt föränderliga hotmiljö.

  • Övervakning av hotinformation: Hotinformation innehåller mekanismer, indikatorer, konsekvenser och användbara råd om befintliga eller framväxande hot. Den här informationen delas i säkerhets-communityn och Microsoft övervakar feeds om hotinformation från interna och externa källor.

  • Signaldelning: Insikter från säkerhetsteam i Microsofts breda portfölj av molntjänster och lokala tjänster, servrar och klientslutpunktsenheter delas och analyseras.

  • Identifieringsjustering: Algoritmer körs mot kundens verkliga datauppsättningar och säkerhetsanalytiker arbetar med kunden för att granska resultaten. Sann och falsk positiv identifiering används för att förfina maskininlärningsalgoritmerna.

Dessa kombinerade insatser kulminerar i nya och förbättrade identifieringar, som du kan dra nytta av direkt – det finns ingen åtgärd för dig att vidta.

Säkerhetsanalys

Defender for Cloud använder avancerad säkerhetsanalys som går långt utöver signaturbaserade metoder. Framsteg inom stordata- och maskininlärningstekniker utnyttjas för att utvärdera händelser i hela molninfrastrukturen, vilket gör det möjligt att upptäcka hot som skulle vara omöjliga att identifiera med manuella metoder, samtidigt som det blir lättare att förutsäga utvecklingen av nya attacker. Dessa säkerhetsanalyser omfattar:

Integrerad hotinformation

Microsoft har tillgång till en enorm mängd global hotinformation. Telemetri flödar in från flera källor, till exempel Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) och Microsoft Security Response Center (MSRC). Forskare får också information om hotinformation som delas mellan stora molntjänstleverantörer och feeds från andra tredje parter. Microsoft Defender för molnet kan använda den här informationen för att varna dig för hot från kända dåliga aktörer.

Beteendeanalys

Beteendeanalys är en teknik som analyserar och jämför data med en samling kända mönster. Dessa mönster är dock inte enkla signaturer. De fastställs genom komplexa maskininlärningsalgoritmer som tillämpas på enorma datamängder, och av expertanalytiker genom noggrann analys av skadliga beteenden. Microsoft Defender för molnet kan använda beteendeanalys för att identifiera komprometterade resurser baserat på analys av loggar för virtuella datorer, enhetsloggar för virtuella nätverk, infrastrukturloggar och andra källor.

Avvikelseidentifiering

Defender för Molnet använder också avvikelseidentifiering för att identifiera hot. Till skillnad från beteendeanalys som är beroende av kända mönster som härleds från stora datauppsättningar är avvikelseidentifiering mer "anpassad" och fokuserar på baslinjer som är specifika för dina distributioner. Maskininlärning tillämpas för att fastställa om aktiviteten i dina distributioner är normal. Sedan genereras regler som definierar avvikande förhållanden som kan representera en säkerhetshändelse.

Exportera aviseringar

Du har en rad alternativ för att visa dina aviseringar utanför Defender för molnet, inklusive:

  • Ladda ned CSV-rapport på aviseringsinstrumentpanelen ger en engångsexport till CSV.
  • Med kontinuerlig export från miljöinställningar kan du konfigurera strömmar av säkerhetsaviseringar och rekommendationer till Log Analytics-arbetsytor och händelsehubbar. Läs mer.
  • Microsoft Sentinel-anslutningsappen strömmar säkerhetsaviseringar från Microsoft Defender för molnet till Microsoft Sentinel. Läs mer.

Lär dig mer om strömmande aviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning och hur du kontinuerligt exporterar data.

Nästa steg

I den här artikeln har du lärt dig om de olika typerna av aviseringar som är tillgängliga i Defender för molnet. Mer information finns i: