Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны оповещения и уведомления системы безопасности в Microsoft Defender для облака.
Что такое оповещения системы безопасности?
Оповещения системы безопасности — это уведомления, созданные планами защиты рабочих нагрузок Defender для облака при обнаружении угроз в средах Azure, гибридных или многооблачных сред.
- Оповещения системы безопасности активируются расширенными обнаружениями, доступными при включении планов Defender для определенных типов ресурсов.
- Каждое оповещение содержит сведения о затронутых ресурсах, проблемах и действиях по исправлению.
- Defender для облака классифицирует оповещения и определяет их по серьезности.
- Оповещения отображаются на портале в течение 90 дней, даже если ресурс, связанный с оповещением, был удален в течение этого времени. Это связано с тем, что оповещение может указывать на потенциальное нарушение вашей организации, которое необходимо изучить.
- Оповещения можно экспортировать в формат CSV.
- Оповещения также можно передавать непосредственно в решение службы управления безопасностью и событиями (SIEM), например Microsoft Sentinel, автоматизированный ответ оркестрации безопасности (SOAR) или РЕШЕНИЕ УПРАВЛЕНИЯ ИТ-службами (ITSM).
- Defender для облака связывает оповещения с предполагаемыми намерениями с помощью таблицы атак MITRE, что позволяет формализовать знания о домене безопасности.
Как классифицируются оповещения?
Оповещения имеют уровень серьезности, назначенный для определения приоритета участия в каждом оповещении. Серьезность основана на:
- Конкретный триггер
- Уровень достоверности, который был злонамеренным намерением за действием, которое привело к оповещению
| Severity | Рекомендуемый ответ |
|---|---|
| High | Существует высокая вероятность того, что ваш ресурс скомпрометирован. Необходимо сразу же проверить это. Сведения Defender для облака обладают высокой степенью достоверности как в отношении вредоносных намерений, так и в отношении обнаруженных условий, активирующих оповещения. например, обнаруживающего выполнение известных вредоносных инструментов, таких как Mimikatz (популярное средство, используемое для кражи учетных данных). |
| Medium | Это подозрительное действие, которое может указывать на то, что ресурс скомпрометирован. Степень уверенности Defender для облака в аналитике или результатах среднего уровня, а во вредоносных намерениях — среднего или высокого уровня. Обычно это будет машинное обучение или обнаружение аномалий, например попытка входа из необычного расположения. |
| Low | Это может быть неопасная положительная или заблокированная атака. Defender для облака не вполне уверен, что намерение является вредоносным. Действие может быть безобидным. Например, очистка журнала — это действие, которое может произойти, когда злоумышленник пытается скрыть свои следы, но во многих случаях это операция, выполняемая администраторами. Обычно Defender для облака не предупреждает о заблокированных атаках, если только это не интересный случай, на который стоит обратить внимание. |
| Informational | Как правило, инцидент состоит из ряда оповещений, некоторые из которых могут быть информационными и появляться сами по себе, но в контексте других оповещений могут заслуживать внимания. |
Что такое инциденты системы безопасности
Инцидент безопасности — это коллекция связанных оповещений.
Инциденты предоставляют вам одно представление атаки и связанных с ним оповещений, чтобы быстро понять действия, принятые злоумышленником, и затронутые ресурсы.
По мере роста вздоха охвата угроз становится крайне важно обнаруживать даже самые незначительные нарушения, и аналитикам безопасности бывает трудно рассматривать разные оповещения и определять реальные атаки. Сопоставляя различных оповещений и сигналов с низкой достоверностью с инцидентами системы безопасности, Defender для облака помогает аналитикам справиться с этой усталостью.
В облаке атаки часто возникают в разных арендаторах, и Defender для облака может объединять алгоритмы искусственного интеллекта для анализа последовательностей атак, фиксируемых в каждой подписке Azure. Этот метод определяет последовательности атак как распространенные шаблоны оповещений, а не просто связанные друг с другом случайным образом.
Зачастую в ходе исследования инцидента аналитикам требуется дополнительный контекст, чтобы выяснить характер угрозы и способ ее предотвращения. Например, даже при обнаружении аномалии сети без информации о других событиях в сети или о целевом ресурсе трудно понять, какие действия нужно предпринять. Чтобы помочь с решением этой задачи, инцидент системы безопасности может включать артефакты, связанные события и сведения. Дополнительные сведения, доступные для инцидентов системы безопасности, могут отличаться в зависимости от типа обнаруженной угрозы и конфигурации среды.
Сопоставление оповещений с инцидентами
Defender для облака сопоставляет оповещения и контекстные сигналы с инцидентами.
- При корреляции рассматриваются различные сигналы на разных ресурсах, а сведения о системе безопасности в сочетании с возможностями ИИ позволяют анализировать оповещения, обнаруживая закономерности в атаках по мере их возникновения.
- Сведения, собранные для каждого этапа атаки, позволяют Defender для облака исключить действия, которые кажутся этапами атаки, однако на самом деле ими не являются.
Tip
В справочнике по инцидентам просмотрите список инцидентов безопасности, которые могут быть созданы корреляцией инцидентов.
Как Defender для облака выявляет угрозы?
Для обнаружения реальных угроз и снижения числа ложных срабатываний Defender для облака отслеживает ресурсы, собирает и анализирует данные об угрозах, часто сопоставляя информацию из нескольких источников.
Инициативы Майкрософт
Microsoft Defender для облака использует преимущества команд по исследованиям в области безопасности и по обработке и анализу данных, работающих в корпорации Майкрософт. Они постоянно наблюдают за изменениями в сфере угроз. В центре безопасности действуют описанные ниже инициативы.
Специалисты по безопасности Майкрософт. Свой вклад неустанно вносят команды Майкрософт, которые работают в таких узких областях безопасности, как экспертиза и обнаружение веб-атак.
Исследования Майкрософт по вопросам безопасности: наши специалисты постоянно отслеживают возникающие угрозы. У них есть доступ к обширным данным телеметрии, которые корпорация Майкрософт получает благодаря своему глобальному присутствию в облачных и локальных средах. Эта обширная и разнообразная коллекция наборов данных позволяет выявлять новые схемы и тенденции атак в наших локальных потребительских и корпоративных продуктах, а также в веб-службах. В результате Defender для облака может быстро обновить свои алгоритмы обнаружения, по мере того как злоумышленники выпускают новые и все более сложные эксплойты. Этот подход позволяет эффективно противостоять стремительно развивающимся угрозам.
Мониторинг аналитики угроз: аналитика угроз предусматривает механизмы, индикаторы, результаты и практические советы об имеющихся и возникающих угрозах. Эта информация размещается в сообществе специалистов по безопасности, и корпорация Майкрософт непрерывно отслеживает каналы аналитики угроз, принадлежащие внутренним и внешним источникам.
Обмен сигналами: Анализ данных от команд безопасности в широком портфолио облачных и локальных служб, серверов и клиентских конечных точек компании Microsoft делится и анализируется.
Настройка обнаружения. Алгоритмы выполняются для реальных наборов данных клиентов, а исследователи безопасности работают с клиентами для проверки результатов. Чтобы улучшать алгоритмы машинного обучения, специалисты анализируют ложные и истинные срабатывания.
Все эти инициативы совместно дают общий результат: обнаружение угроз происходит по-новому и более качественно, а пользоваться результатами вы можете прямо сейчас, не прилагая никаких усилий.
Аналитика безопасности
Defender для облака использует расширенную аналитику безопасности, которая выходит далеко за рамки подходов, основанных на подписи. Прорывы в технологиях больших данных и машинного обучения используются для оценки событий во всей облачной структуре— обнаружения угроз, которые невозможно определить с помощью ручных подходов и прогнозирования эволюции атак. Вот что входит в аналитику по вопросам безопасности:
Интегрированная аналитика угроз
В корпорации Майкрософт накоплен огромный объем информации, относящейся к глобальной аналитике угроз. Телеметрия поступает из таких источников, как Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, подразделение Microsoft Digital Crimes Unit (DCU) и центр Microsoft Security Response Center (MSRC). Исследователи получают также информацию, связанную с аналитикой угроз, из основных поставщиков облачных служб и веб-каналов сторонних производителей. На основе полученных сведений Microsoft Defender для облака оповещает вас об угрозах, исходящих от известных злоумышленников.
Аналитика поведения
Поведенческая аналитика — это метод, в рамках которого данные анализируются и сверяются с набором известных схем. Но эти схемы — не просто сигнатуры. Они определяются с помощью сложных алгоритмов машинного обучения, которые применяются к огромным наборам данных. Они также определяются путем тщательного анализа вредоносных действий экспертами-аналитиками. Microsoft Defender для облака использует поведенческую аналитику, чтобы выявлять скомпрометированные ресурсы. Для этого анализируются журналы виртуальных машин, журналы устройств виртуальной сети, журналы структуры и другие источники.
Обнаружение аномалий
Кроме того, Defender для облака выявляет угрозы с помощью функции обнаружения аномалий. В отличие от аналитики поведения (в которой используются известные схемы поведения, созданные на основе объемных наборов данных), обнаружение аномалий является более персонализированной методикой. В ее рамках акцент делается на показатели, стандартные для ваших развертываний. Машинное обучение определяет, какие процессы являются нормальными для вашей среды. Затем вырабатываются правила, в которых обозначаются аномальные условия, свидетельствующие об угрозе безопасности.
Экспорт оповещений
Ниже перечислены некоторые способы просмотра оповещений за пределами Defender для облака.
- Скачивание отчета в формате CSV на панели мониторинга оповещений обеспечивает однократный экспорт в CSV.
- Непрерывный экспорт из параметров среды позволяет настраивать потоки оповещений системы безопасности и рекомендаций для рабочих областей Log Analytics и Центров событий. Подробнее.
- Соединитель Microsoft Sentinel передает оповещения безопасности от Microsoft Defender для облака в Microsoft Sentinel. Подробнее.
Узнайте о потоковой передаче оповещений в решение SIEM, SOAR или решение для управления ИТ-услугами и непрерывном экспорте данных.
Дальнейшие шаги
Из этой статьи вы узнали о различных типах оповещений в Defender для облака. Дополнительные сведения см. в разделе:
- Оповещения системы безопасности в журнале действий Azure. Помимо использования на портале Azure или в коде, оповещения системы безопасности и инциденты регистрируются как события в журнале действий Azure.
- Справочная таблица по оповещениям Defender для облака
- Реагирование на оповещения системы безопасности
- Ознакомьтесь со статьей об управлении инцидентами безопасности в Defender для облака.