Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены ссылки на страницы с описанием оповещений системы безопасности, которые вы можете получить от Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от ресурсов и служб, которые вы защищаете, и настраиваемой конфигурации.
Замечание
Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.
Эта страница также содержит таблицу, описывающую цепочку убийств Microsoft Defender для облака, выровненную с версией 9 матрицы MITRE ATT&CK.
Узнайте, как реагировать на эти оповещения.
Узнайте, как экспортировать оповещения.
Замечание
Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.
Страницы оповещений системы безопасности по категориям
- Оповещения для компьютеров Windows
- Оповещения для компьютеров Linux
- Оповещения для DNS
- Оповещения для расширений виртуальной машины Azure
- Оповещения для службы приложений Azure
- Оповещения для контейнеров — кластеры Kubernetes
- Оповещения для базы данных SQL и Azure Synapse Analytics
- Оповещения для реляционных баз данных с открытым кодом
- Оповещения для Resource Manager
- Оповещения для службы хранилища Azure
- Оповещения для Azure Cosmos DB
- Оповещения для сетевого уровня Azure
- Оповещения для Azure Key Vault
- Оповещения для защиты от атак DDoS Azure
- Оповещения для API Defender
- Оповещения для рабочих нагрузок ИИ
- Устаревшие оповещения системы безопасности
Тактика MITRE ATT&CK
Понимание намерения атаки поможет вам изучить и сообщить о событии проще. Чтобы помочь с этими усилиями, оповещения Microsoft Defender для облака включают тактику MITRE с множеством оповещений.
Ряд шагов, описывающих прогрессию кибератаки от разведки до кражи данных, часто называется "цепочкой убийства".
Поддерживаемые намерения цепочки убийств Defender для Облака основаны на матрице MITRE ATT&CK версии 9 и описаны в таблице ниже.
| Тактика | Версия ATT&CK | Description |
|---|---|---|
| Предварительная атака | PreAttack может быть либо попыткой доступа к определенному ресурсу независимо от злонамеренного намерения, либо неудачной попытки получить доступ к целевой системе для сбора информации до эксплуатации. Этот шаг обычно обнаруживается как попытка, исходящая извне сети, чтобы проверить целевую систему и определить точку входа. | |
| Исходный доступ | V7, V9 | Первоначальный доступ — это этап, в котором злоумышленник управляет получением колонтитула на атакуемый ресурс. Этот этап относится к вычислительным узлам и ресурсам, таким как учетные записи пользователей, сертификаты и т. д. Субъекты угроз часто смогут управлять ресурсом после этого этапа. |
| Сохраняемость | V7, V9 | Сохраняемость — это любое изменение доступа, действия или конфигурации в системе, которая предоставляет субъекту угроз постоянное присутствие в этой системе. Субъекты угроз часто должны поддерживать доступ к системам путем прерываний, таких как перезагрузка системы, потеря учетных данных или другие сбои, для которых требуется средство удаленного доступа для перезапуска или предоставления альтернативной серверной части для восстановления доступа. |
| Повышение привилегий | V7, V9 | Эскалация привилегий — это результат действий, позволяющих злоумышленнику получить более высокий уровень разрешений в системе или сети. Некоторые средства или действия требуют более высокого уровня привилегий для работы и, скорее всего, необходимы во многих точках во время операции. Учетные записи пользователей с разрешениями на доступ к определенным системам или выполнение определенных функций, необходимых для достижения их цели, также могут рассматриваться как эскалация привилегий. |
| Обход мер защиты | V7, V9 | Оборона неуваждения состоит из методов, которые злоумышленник может использовать для уклонения от обнаружения или предотвращения других оборон. Иногда эти действия совпадают с методами (или вариантами) в других категориях, которые обладают дополнительным преимуществом для снижения определенной защиты или устранения рисков. |
| Доступ к учетным данным | V7, V9 | Доступ к учетным данным представляет методы, которые приводят к доступу к системе, домену или учетным данным службы, используемым в корпоративной среде. Злоумышленники, скорее всего, попытатся получить законные учетные данные от пользователей или учетных записей администратора (локальный системный администратор или пользователи домена с доступом администратора) для использования в сети. С достаточным доступом в сети злоумышленник может создавать учетные записи для последующего использования в среде. |
| Обнаружение | V7, V9 | Обнаружение состоит из методов, позволяющих злоумышленнику получить знания о системе и внутренней сети. Когда противники получают доступ к новой системе, они должны ориентироваться на то, что они теперь контролируют, и какие преимущества дает работа с этой системой для их текущих целей или общих целей во время вторжения. Операционная система предоставляет множество собственных средств, которые помогают на этом этапе сбора информации после компрометации. |
| Боковоеmovement | V7, V9 | Боковое движение состоит из методов, позволяющих злоумышленнику получать доступ к удаленным системам в сети и управлять ими, но не обязательно включать выполнение средств на удаленных системах. Методы бокового перемещения могут позволить злоумышленнику собирать информацию из системы, не нуждаясь в дополнительных средствах, таких как средство удаленного доступа. Злоумышленник может использовать боковое перемещение во многих целях, включая удаленное выполнение инструментов, сводку к более системам, доступ к определенной информации или файлам, доступ к дополнительным учетным данным или причинить эффект. |
| Выполнение | V7, V9 | Тактика выполнения представляет методы, которые приводят к выполнению управляемого злоумышленником кода на локальной или удаленной системе. Эта тактика часто используется в сочетании с боковой движением для расширения доступа к удаленным системам в сети. |
| Коллекция | V7, V9 | Сбор состоит из методов, используемых для идентификации и сбора информации, таких как конфиденциальные файлы, из целевой сети перед эксфильтрацией. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации. |
| Команда и управление | V7, V9 | Тактика командования и управления представляет, как злоумышленники обмениваются информацией с системами под их контролем в целевой сети. |
| Кража данных | V7, V9 | Эксфильтрация относится к методам и характеристикам, которые приводят или способствуют тому, что злоумышленник удаляет файлы и сведения из целевой сети. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации. |
| Воздействие | V7, V9 | События влияния в основном пытаются напрямую уменьшить доступность или целостность системы, службы или сети; включая манипуляции с данными, чтобы повлиять на бизнес-процесс или рабочий процесс. Это часто относится к таким методам, как программы-шантажисты, дескрименты, манипуляции данными и другие. |
Замечание
Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.