分享方式:

安全性警示 - 參考指南

  • 文章

本文提供頁面的連結,其中列出您可能會從 適用於雲端的 Microsoft Defender 收到的安全性警示,以及任何啟用的 Microsoft Defender 方案。 您環境中顯示的警示取決於您所保護的資源和服務,以及您的自定義設定。

注意

一些由 Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的最近新增警示可能未記載。

此頁面也包含一個數據表,描述與 MITRE ATT&CK 矩陣第 9 版對齊的 適用於雲端的 Microsoft Defender 終止鏈結。

瞭解如何回應這些警示

瞭解如何匯出警示

注意

來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。

依類別分類的安全性警示頁面

MITRE ATT&CK 策略

了解攻擊目的可以協助您更容易調查和報告事件。 為了協助進行這些工作,適用於雲端的 Microsoft Defender 警示包含 MITRE 策略與許多警示。

描述從偵察到資料外流之網路攻擊進展的一系列步驟,通常稱為「終止鏈結」。

適用於雲端的 Defender 支援的終止鏈結意圖是以 MITRE ATT&CK 矩陣的第 9 版為基礎,如下表所述。

策略 ATT&CK 版本 描述
PreAttack PreAttack 可能是嘗試存取特定資源,不論惡意意圖為何,或嘗試取得目標系統的存取權,以在惡意探索之前收集資訊。 此步驟通常會被偵測為來自網路外部的嘗試,目的是掃描目標系統並識別進入點。
初始存取 V7、V9 初始存取是攻擊者設法取得受攻擊資源立足點的階段。 此階段有關計算主機和資源,例如使用者帳戶和憑證等。威脅執行者通常可在此階段後控制資源。
持續性 V7、V9 持續性是系統的任何存取、動作或設定變更,可讓威脅行為者在該系統上持續存在。 威脅行為者通常需要透過中斷 (例如系統重新啟動、認證遺失或其他可能需要重新啟動遠端存取工具的失敗情況) 來維持對系統的存取權,或提供替代的後門程式讓他們重新取得存取權。
權限提升 V7、V9 權限提升是允許敵人在系統或網路上取得較高層級權限的動作結果。 特定工具或動作需要較高層級的權限才能正常運作,而且在整個作業的許多點上都有此必要。 有權存取特定系統的用戶帳戶,或執行敵人達成其目標所需的特定功能,也可能會被視為提升許可權。
防禦逃避 V7、V9 防禦逃避是由敵人可用來逃避偵測或避免其他防禦的技術所組成。 有時候,這些動作與其他類別中的 (或各種不同的) 技術相同,都具有破壞特定防禦或緩和措施的附加優點。
認證存取 V7、V9 認證存取代表導致存取或控制企業環境中所使用的系統、網域或服務認證的技術。 敵人可能會嘗試從使用者或管理員帳戶 (具有管理員存取權的本機系統管理員或網域使用者) 取得合法的認證,以在網路中使用。 有了足夠的網路存取權,敵人就可以建立帳戶以便稍後在環境中使用。
探索 V7、V9 探索包含可讓敵人掌握系統和內部網路相關知識的技術。 當敵人獲得新系統的存取權時,他們必須把自己導向到他們現在擁有控制權的內容,以及從該系統操作的好處,在入侵期間給予他們目前的目標或整體目標。 作業系統提供許多原生工具,有助於此入侵後的資訊收集階段。
LateralMovement V7、V9 橫向移動是由技術所組成,可讓敵人存取和控制網路上的遠端系統,而且不一定包括遠端系統上的工具執行。 橫向移動技術讓敵人不需其他工具,例如遠端存取工具,即可透過系統收集資訊。 敵人可以針對許多用途使用橫向移動,包括遠端執行工具、樞紐至更多系統、存取特定資訊或檔案、存取更多認證或造成效果。
執行 V7、V9 執行策略代表會導致在本機或遠端系統上執行受敵人控制之程式碼的技術。 此策略通常與橫向移動搭配使用,以擴充網路上遠端系統的存取權。
集合 V7、V9 集合包含的技術,可在資料外流之前,用來識別並收集來自目標網路的資訊 (例如敏感性檔案)。 此類別也涵蓋攻擊者可能尋找資訊以外洩的系統或網路上的位置。
命令和控制 V7、V9 命令與控制策略代表敵人在目標網路中,與其控制下系統通訊的方式。
Exfiltration V7、V9 外流是指導致協助敵人從目標網路移除檔案和資訊的技術和性質。 此類別也涵蓋攻擊者可能尋找資訊以外洩的系統或網路上的位置。
影響 V7、V9 影響事件主要嘗試直接減少系統、服務或網路的可用性或完整性;包括操作數據以影響商務或作業程式。 這通常指的是勒索軟體、竄改、資料操控和其他技術。

注意

針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

下一步