Понимание предупреждений безопасности

Завершено

В Microsoft Defender для Облака существуют различные оповещения для различных типов ресурсов. Defender для облака создает оповещения для ресурсов, развернутых в Azure, и для ресурсов, развернутых в локальных и гибридных облачных средах. Оповещения о безопасности активируются расширенными механизмами обнаружения и доступны только в Defender для облака.

Реагирование на сегодняшние угрозы

За последние 20 лет в ландшафте угроз произошли значительные изменения. В прошлом компаниям, как правило, приходилось беспокоиться только о вандализме веб-сайтов индивидуальными злоумышленниками, которые в основном интересовались тем, чтобы увидеть, чего они могут добиться. Сегодняшние злоумышленники гораздо более сложны и организованы. Они часто имеют конкретные финансовые и стратегические цели. Они также имеют больше ресурсов, доступных им, так как они могут финансироваться государствами страны или организованной преступностью.

Эти изменяющиеся реалии привели к беспрецедентному уровню профессионализма в рядах злоумышленников. Они больше не заинтересованы во взломе веб-сайтов. Теперь они заинтересованы в краже информации, финансовых счетов и частных данных , все из которых они могут использовать для создания денежных средств на открытом рынке или использования определенного бизнеса, политической или военной позиции. Более тревожны те злоумышленники, которые нарушают сети для нанесения ущерба инфраструктуре и людям, чем те, кто преследует финансовые цели.

В ответ организации часто развертывают различные точечные решения, ориентированные на защиту периметра предприятия или конечных точек, путем поиска известных сигнатур атак. Эти решения, как правило, создают большое количество оповещений с низкой точностью, что требует от аналитика безопасности оценки и исследования. Большинству организаций не хватает времени и опыта, необходимых для реагирования на эти оповещения, так что многие не решаются.

Кроме того, злоумышленники изменили свои методы, чтобы предотвратить много защиты на основе подписей и адаптироваться к облачным средам. Новые подходы необходимы для более быстрого выявления возникающих угроз и ускорения обнаружения и реагирования.

Что такое оповещения системы безопасности и инциденты безопасности?

Оповещения — это уведомления, которые Defender для облака создает при обнаружении угроз для ресурсов. Defender для облака определяет приоритеты и выводит список оповещений, а также сведения, необходимые для быстрого изучения проблемы. Кроме того, Defender для облака предоставляет рекомендации по устранению атак.

Инцидент безопасности — это коллекция связанных оповещений вместо перечисления каждого оповещения по отдельности. Defender для Cloud использует корреляцию умных облачных оповещений для сопоставления различных оповещений и сигналов с низкой точностью в инциденты, связанные с безопасностью.

При возникновении инцидентов безопасности Defender для облака предоставляет вам полное представление о кампании по атаке и всех связанных оповещениях. Это представление позволяет быстро понять, какие действия злоумышленник принял и какие ресурсы пострадали. Дополнительные сведения см. в разделе "Корреляция интеллектуальных оповещений в облаке".

Как Defender для облака обнаруживает угрозы?

Исследователи корпорации Майкрософт по вопросам безопасности постоянно отслеживают возникающие угрозы. Благодаря глобальному присутствию в облаке и локальной среде у нас есть доступ к обширному набору данных телеметрии. Широкая и разнообразная коллекция наборов данных позволяет нам обнаруживать новые шаблоны атак и тенденции в наших локальных потребительских и корпоративных продуктах, а также наших онлайн-службах. В результате Defender для облака может быстро обновлять алгоритмы обнаружения, так как злоумышленники выпускают новые и все более сложные эксплойты. Этот подход позволяет эффективно противостоять стремительно развивающимся угрозам.

Чтобы обнаруживать реальные угрозы и уменьшать ложные срабатывания, Defender для облачных ресурсов собирает, анализирует и интегрирует данные журналов из ваших ресурсов Azure и сети. Он также работает с подключенными партнерскими решениями, такими как решения брандмауэра и защиты конечных точек. Defender для облака анализирует эту информацию, часто сопоставляя информацию из нескольких источников для выявления угроз.

Defender для облака использует расширенную аналитику безопасности, которая выходит за рамки подходов на основе подписей. Прорывы в технологиях больших данных и машинного обучения используются для оценки событий во всей облачной структуре— обнаружения угроз, которые невозможно определить с помощью ручных подходов и прогнозирования эволюции атак. К этим аналитикам безопасности относятся:

  • Интегрированная аналитика угроз: корпорация Майкрософт имеет огромное количество глобальных аналитиков угроз. Данные телеметрии передаются из нескольких источников, таких как Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, подразделение Microsoft Digital Crimes (DCU) и Центр реагирования Майкрософт (MSRC). Исследователи также получают информацию о разведке угроз, распространяемую среди крупных поставщиков облачных услуг и источниками данных от других сторонних организаций. Defender для облака может использовать эти сведения для оповещения об угрозах от известных плохих субъектов.

  • Аналитика поведения. Поведенческая аналитика — это метод, который анализирует и сравнивает данные с коллекцией известных шаблонов. Но эти схемы — не просто сигнатуры. Они определяются с помощью сложных алгоритмов машинного обучения, которые применяются к огромным наборам данных. Они также определяются путем тщательного анализа вредоносных действий экспертами-аналитиками. Defender для облака может использовать аналитику поведения для выявления скомпрометированных ресурсов на основе анализа журналов виртуальных машин, журналов виртуальных сетевых устройств, журналов структуры и других источников.

  • Обнаружение аномалий: Defender для облака также использует обнаружение аномалий для выявления угроз. В отличие от аналитики поведения (которая зависит от известных шаблонов, производных от больших наборов данных), обнаружение аномалий является более "персонализированным" и фокусируется на базовых показателях, характерных для развертываний. Машинное обучение применяется для определения нормальной активности развертываний. Затем создаются правила для определения аномальных условий, которые могут указывать на событие, связанное с безопасностью.

Как классифицируются оповещения?

Defender для облака назначает степень серьезности оповещениям, чтобы помочь вам определить порядок реагирования на каждое из них. Таким образом, если ресурс будет скомпрометирован, вы сможете сразу приступить к его устранению. Серьезность основана на том, насколько уверенно Microsoft Defender for Cloud в обнаружении, или аналитике, используемой для выдачи оповещения, и уровне уверенности в том, что за действиями стояло вредоносное намерение, приведшее к оповещению.

  • Высокая вероятность того, что ваш ресурс скомпрометирован. Вам следует разобраться в этом сразу. Microsoft Defender для облака имеет высокую уверенность как во вредоносном намерении, так и в результатах, которые используются для выдачи оповещения. Например, оповещение обнаруживает выполнение известного вредоносного инструмента, например Mimikatz, распространенного средства, используемого для кражи учетных данных.

  • Средний: это серьезность указывает, что это, вероятно, подозрительное действие, которое может указывать на то, что ресурс скомпрометирован. Уверенность Defender для облачных служб в аналитике или поиске является средней, а уверенность в злонамеренных намерениях – от средней до высокой. Обычно это будет машинное обучение или обнаружение аномалий. Например, попытка входа из необычного местоположения.

  • Низкий уровень: эта степень серьезности указывает, что это может быть доброкачественным позитивным событием или заблокированной атакой.

    • Defender для облака не уверен в том, что намерение является вредоносным, и действие может быть невиновным. Например, очистка журнала — это действие, которое может произойти, когда злоумышленник пытается скрыть свои треки, но во многих случаях это обычная операция, выполняемая администраторами.

    • Defender для облака обычно не сообщает вам, когда атаки были заблокированы, если это не интересный случай, который мы рекомендуем рассмотреть.

  • Информационные сведения. При детализации инцидента безопасности или при использовании REST API с определенным идентификатором оповещения отображаются только информационные оповещения. Как правило, инцидент состоит из многих оповещений, некоторые из которых могут быть только информационными, но в контексте других оповещений может быть достойным более подробного взгляда.

Непрерывный мониторинг и оценка

Defender для облака получает преимущества от работы исследовательских и научных групп по обеспечению безопасности и обработки и анализа данных в корпорации Майкрософт, которые постоянно отслеживают изменения в ландшафте угроз. К ним относятся следующие инициативы:

  • Мониторинг аналитики угроз: аналитика угроз предусматривает механизмы, индикаторы, результаты и практические советы об имеющихся и возникающих угрозах. Эта информация размещается в сообществе специалистов по безопасности, и корпорация Майкрософт непрерывно отслеживает каналы аналитики угроз из внутренних и внешних источников.

  • Обмен сигналами: Анализ данных от команд безопасности в широком портфолио облачных и локальных служб, серверов и клиентских конечных точек компании Microsoft делится и анализируется.

  • Специалисты по безопасности Майкрософт. Свой вклад неустанно вносят команды Майкрософт, которые работают в таких узких областях безопасности, как экспертиза и обнаружение веб-атак.

  • Настройка обнаружения: алгоритмы испытываются на наборах данных конкретных пользователей, и исследователи по вопросам безопасности проверяют результаты испытаний в тесном сотрудничестве с этими пользователями. Истинно-положительные и ложно-положительные результаты используются для уточнения алгоритмов машинного обучения.

Общие сведения о типах оповещений

Текущий список ссылок на оповещения содержит более 500 типов оповещений. Список ссылок можно просмотреть по адресу: оповещения системы безопасности — справочное руководство

Каждый тип оповещения содержит описание, серьезность и тактику MITRE ATT&CK

Тактика MITRE ATT&CK

Понимание намерения нападения может помочь вам расследовать и сообщить о событии. Чтобы помочь с этими усилиями, Defender для облачных оповещений включает тактику MITRE с множеством оповещений. Последовательность шагов, описывающих продвижение кибератаки от рекогносцировки до извлечения данных, часто называют "цепочкой нарушения безопасности".

Поддерживаемые намерения цепочки атак Defender для облака основаны на матрице MITRE ATT&CK версии 7 и описаны в таблице ниже.

Тактика Описание
Предварительная атака PreAttack может быть либо попыткой доступа к определенному ресурсу независимо от злонамеренного намерения, либо неудачной попытки получить доступ к целевой системе для сбора информации до эксплуатации. Обычно она определяется как попытка, исходящая из внешней сети, сканировать целевую систему и идентифицировать точку входа.
Начальный доступ Этап первоначального доступа — это этап, на котором злоумышленник получает точку опоры на атакуемом ресурсе. Этот этап относится к вычислительным узлам и ресурсам, таким как учетные записи пользователей, сертификаты и т. д. Субъекты угроз часто смогут управлять ресурсом после этого этапа.
Сохраняемость Сохраняемость — это любое изменение доступа, действия или конфигурации в системе, которая предоставляет субъекту угроз постоянное присутствие в этой системе. Атакующим часто приходится поддерживать доступ к системам, несмотря на прерывания, такие как перезапуски системы, потеря учетных данных или другие сбои, которые потребуют перезапуска средства восстановления доступа или предоставления альтернативного бэкдора для восстановления доступа.
Эскалация привилегий Эскалация привилегий — это результат действий, позволяющих злоумышленнику получить более высокий уровень разрешений в системе или сети. Некоторые средства или действия требуют более высокого уровня привилегий для работы и, скорее всего, необходимы во многих точках во время операции. Учетные записи пользователей с разрешениями на доступ к определенным системам или выполнение определенных функций, необходимых для достижения их цели, также могут рассматриваться как эскалация привилегий.
DefenseEvasion Уклонение от защиты состоит из методов, которые злоумышленник может использовать для уклонения от обнаружения или обхода других мер защиты. Иногда эти действия совпадают с методиками (или их вариациями) в других категориях, которые имеют дополнительное преимущество, подрывая конкретные средства защиты или смягчения рисков.
Доступ к учетным данным Доступ к учетным данным представляет методы, которые приводят к доступу к системе, домену или учетным данным службы, используемым в корпоративной среде. Злоумышленники, скорее всего, попытатся получить законные учетные данные от пользователей или учетных записей администратора (локальный системный администратор или пользователи домена с доступом администратора) для использования в сети. С достаточным доступом в сети злоумышленник может создавать учетные записи для последующего использования в среде.
Открытие Обнаружение состоит из методов, позволяющих злоумышленнику получить знания о системе и внутренней сети. Когда злоумышленники получают доступ к новой системе, они должны соизмерять свои действия с тем, что находится под их контролем, и какие преимущества работа с этой системой предоставляет для достижения их текущих задач или общих целей во время вторжения. Операционная система предоставляет множество собственных средств, которые помогают на этом этапе сбора информации после компрометации.
Боковое Движение Боковое перемещение включает методы, позволяющие злоумышленнику получать доступ к удаленным системам и управлять ими в сети и облачных системах, но не обязательно включает выполнение инструментов на удаленных системах. Методы горизонтального смещения позволяют злоумышленнику собирать информацию из системы без использования дополнительных средств, таких как средство удаленного доступа. Злоумышленник может использовать латеральное перемещение во многих целях, включая удаленное выполнение программ, перемещение на другие системы, доступ к определенной информации или файлам, доступ к другим учетным данным или для достижения определенного эффекта.
Исполнение Тактика выполнения представляет методы, которые приводят к выполнению управляемого злоумышленником кода на локальной или удаленной системе. Эта тактика часто используется с боковым движением для расширения доступа к удалённым системам на сети.
Коллекция Сбор состоит из методов, используемых для идентификации и сбора информации, таких как конфиденциальные файлы, из целевой сети перед эксфильтрацией. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации.
Эксфильтрация данных Эксфильтрация относится к методам и характеристикам, которые приводят или способствуют тому, что злоумышленник удаляет файлы и сведения из целевой сети. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации.
CommandAndControl Тактика командования и управления представляет, как злоумышленники обмениваются информацией с системами под их контролем в целевой сети.
Воздействие События влияния в первую очередь пытаются напрямую уменьшить доступность или целостность системы, службы или сети, включая манипуляции с данными, чтобы повлиять на бизнес-процесс или рабочий процесс. Это часто относится к таким методам, как вымогательство, искажение, манипулирование данными и другим.