Azure Security Center für IoT – Sicherheitswarnungen
In Microsoft Defender für Cloud gibt es unterschiedliche Warnungen für viele verschiedene Ressourcentypen. Von Defender für Cloud werden Warnungen für Ressourcen generiert, die in Azure oder in lokalen und Hybrid Cloud-Umgebungen bereitgestellt wurden. Die Sicherheitswarnungen werden durch moderne Erkennungsfunktionen ausgelöst, die nur über Defender für Cloud verfügbar sind.
Reagieren auf heutige Bedrohungen
In den letzten 20 Jahren hat sich die Bedrohungslandschaft stark verändert. In der Vergangenheit mussten sich Unternehmen in der Regel nur Sorgen um eine mögliche Verunstaltung Ihrer Websites durch einzelne Angreifer machen, die häufig nur ihre Fähigkeiten austesten wollten. Die Angreifer von heute sind dagegen viel besser vorbereitet und ausgerüstet. Sie verfolgen häufig bestimmte finanzielle oder strategische Ziele. Außerdem stehen ihnen mehr Ressourcen zur Verfügung, weil sie möglicherweise von Staaten oder der organisierten Kriminalität finanziert werden.
Diese Veränderungen haben dazu geführt, dass Angreifer heutzutage sehr professionell vorgehen können. Sie sind nicht mehr daran interessiert, nur Websites zu verunstalten. Es geht vielmehr um das Stehlen von Informationen, Finanzkonten und privaten Daten. Diese Daten werden dann auf dem freien Markt zu Geld gemacht oder für bestimmte geschäftliche, politische oder militärische Zwecke genutzt. Noch gefährlicher als Angreifer mit finanziellen Motiven sind Angreifer, die in Netzwerke eindringen, um die Infrastruktur oder Personen zu schädigen.
Als Reaktion stellen Organisationen häufig verschiedene Punktlösungen bereit, die nach bekannten Angriffssignaturen suchen, um die Grenzen oder Endpunkte des Unternehmens abzusichern. Diese Lösungen neigen dazu, eine große Menge von so genannten Low-Fidelity-Warnungen zu generieren, die von einem Sicherheitsexperten selektiert und untersucht werden müssen. Die meisten Organisationen verfügen nicht über die Zeit und das Wissen, um auf diese Warnungen zu reagieren, sodass diese häufig nicht untersucht werden können.
Darüber hinaus haben die Angreifer ihre Methoden weiterentwickelt und können viele signaturbasierte Verteidigungen umgehen und sich an Cloudumgebungen anpassen. Neue Ansätze sind erforderlich, um neue Bedrohungen schnell identifizieren und die Erkennung und Reaktion beschleunigen zu können.
Was sind Sicherheitswarnungen und Sicherheitsincidents?
Warnungen sind die Benachrichtigungen, die Defender für Cloud generiert, wenn Bedrohungen für Ihre Ressourcen erkannt werden. Defender für Cloud priorisiert die Warnungen und listet sie zusammen mit den Informationen auf, die für eine schnelle Untersuchung des Problems erforderlich sind. Defender für Cloud stellt außerdem Empfehlungen zur Abwehr eines Angriffs bereit.
Ein Sicherheitsincident ist eine Sammlung verwandter Warnungen (anstelle einer Auflistung der einzelnen Warnungen). In Defender für Cloud wird die intelligente Korrelation von Warnungen in der Cloud (Cloud Smart Alert Correlation) verwendet, um verschiedene Warnungen und Low-Fidelity-Signale zu Sicherheitsvorfällen zusammenzufassen.
Dank Incidents bietet Ihnen Defender für Cloud eine zentrale Ansicht für einen Angriffsversuch und alle zugehörigen Warnungen. In dieser Ansicht können Sie schnell nachvollziehen, welche Aktionen der Angreifer ausgeführt hat und welche Ressourcen betroffen sind. Weitere Informationen hierzu finden Sie unter Korrelation von intelligenten Cloudwarnungen.
Wie erkennt Defender für Cloud Bedrohungen?
Microsoft-Sicherheitsexperten suchen ständig nach neuen Bedrohungen. Aufgrund der globalen Präsenz in der Cloud und in lokalen Umgebungen haben wir Zugriff auf umfassende Telemetriedaten. Mithilfe dieser weit reichenden und verschiedenartigen Sammlung von Datasets können wir neue Angriffsmuster und Trends für unsere lokalen Privatkunden- und Unternehmensprodukte sowie für unsere Onlinedienste erkennen. Auf diese Weise können die Erkennungsalgorithmen von Defender für Cloud schnell aktualisiert werden, wenn Angreifer neue und immer anspruchsvollere Exploit-Verfahren nutzen. So können Sie mit der rasanten Entwicklung von Bedrohungen Schritt halten.
Defender für Cloud sammelt, analysiert und integriert Protokolldaten Ihrer Azure-Ressourcen und aus dem Netzwerk, um echte Bedrohungen zu erkennen und falsch positive Ergebnisse zu reduzieren. Dies funktioniert auch mit verbundenen Partnerlösungen wie Firewalls und Lösungen zum Schutz von Endpunkten. Defender für Cloud analysiert diese Informationen und korreliert sie häufig mit Informationen aus mehreren Quellen, um Bedrohungen zu identifizieren.
Für Defender für Cloud werden professionelle Sicherheitsanalysen genutzt, die weit über signaturbasierte Ansätze hinausgehen. Bahnbrechende Weiterentwicklungen der Big Data- und Machine Learning-Technologien kommen zum Einsatz, um Ereignisse im gesamten Cloudfabric auszuwerten. So lassen sich Bedrohungen erkennen, die bei Verwendung von manuellen Konzepten nicht identifiziert werden könnten, und die Entwicklung von Angriffen kann vorhergesagt werden. Zu diesen Sicherheitsanalysen gehört Folgendes:
Integrierte Informationen zu Bedrohungen: Microsoft verfügt über eine große Menge von Informationen zu globalen Bedrohungen. Die Telemetriedaten stammen aus mehreren Quellen, z. B. Azure, Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) und Microsoft Security Response Center (MSRC). Ermittler erhalten auch Threat Intelligence-Informationen, die unter großen Cloud-Dienstanbietern ausgetauscht werden, sowie Feeds von anderen Dritten. Diese Informationen können von Defender für Cloud verwendet werden, um Sie vor Bedrohungen durch bekannte Personen mit böswilligen Absichten (Bad Actors) zu warnen.
Verhaltensanalyse: Die Verhaltensanalyse ist ein Verfahren, bei dem Daten mit einer Sammlung bekannter Muster analysiert und verglichen werden. Bei diesen Mustern handelt es sich aber nicht nur um einfache Signaturen. Sie werden anhand von komplexen Algorithmen für maschinelles Lernen bestimmt, die auf große Datasets angewandt werden. Außerdem werden sie anhand einer sorgfältigen Analyse von schädlichem Verhalten durch erfahrene Analysten bestimmt. In Defender für Cloud können Verhaltensanalysen genutzt werden, um basierend auf der Analyse von VM-Protokollen, VNET-Geräteprotokollen des virtuellen Netzwerks, Fabricprotokollen und Daten aus anderen Quellen kompromittierte Ressourcen zu identifizieren.
Anomalieerkennung: In Defender für Cloud wird auch die Anomalieerkennung verwendet, um Bedrohungen zu identifizieren. Im Gegensatz zur Verhaltensanalyse (die auf bekannten, aus großen Datasets abgeleiteten Mustern basiert) ist die Anomalieerkennung „personalisierter“ und nutzt für Ihre Bereitstellungen spezifische Baselines. Maschinelles Lernen wird eingesetzt, um normale Aktivität für Ihre Bereitstellungen zu bestimmen. Anschließend werden Regeln generiert, um Ausreißerbedingungen zu definieren, die ein sicherheitsrelevantes Ereignis darstellen könnten.
Wie werden Warnungen klassifiziert?
Mit Defender für Cloud wird den Warnungen ein Schweregrad zugewiesen, damit Sie die Reihenfolge, in der Sie auf die einzelnen Warnungen reagieren, priorisieren können. Der Schweregrad basiert darauf, wie hoch die Zuverlässigkeit in den folgenden Bereichen von Defender für Cloud eingestuft wird: ermitteltes Ergebnis bzw. genutzte Analyse für die Auslösung der Warnung und Konfidenz in Bezug auf die böswillige Absicht der zugrunde liegenden Aktivität.
Hoch: Ihre Ressource wurde mit hoher Wahrscheinlichkeit kompromittiert. Sie sollten dies sofort überprüfen. Von Defender für Cloud werden sowohl die böswillige Absicht als auch die ermittelten Ergebnisse zur Ausgabe der Warnung als hoch eingestuft. Eine Warnung erkennt z. B. die Ausführung eines bekannten schädlichen Tools wie Mimikatz, das häufig für den Diebstahl von Anmeldeinformationen zum Einsatz kommt.
Mittel: Dieser Schweregrad weist darauf hin, dass es sich wahrscheinlich um eine verdächtige Aktivität handelt, die ein Hinweis darauf sein könnte, dass eine Ressource gefährdet ist. Defender für Cloud bewertet die Analyse oder die ermittelten Ergebnisse als „Mittel“ und die Konfidenz in Bezug auf die böswillige Absicht als „Mittel“ bis „Hoch“. Hierbei handelt es sich normalerweise um Erkennungen, die auf maschinellem Lernen oder Anomalien basieren. Ein Beispiel hierfür ist ein Anmeldeversuch, der von einem ungewöhnlichen Standort aus durchgeführt wird.
Niedrig: Dieser Schweregrad deutet darauf hin, dass es sich um ein gutartiges Positiv oder einen blockierten Angriff handeln könnte.
Defender für Cloud kann die Absicht nicht mit Sicherheit als schädlich einstufen, und die Aktivität ist möglicherweise harmlos. Das Löschen eines Protokolls ist beispielsweise eine Aktion, die von einem Angreifer ausgeführt werden kann, um Spuren zu verwischen. Aber in vielen Fällen handelt es sich um einen von Administratoren ausgeführten Routinevorgang.
Defender für Cloud teilt Ihnen normalerweise nicht mit, wenn Angriffe blockiert wurden. Eine Ausnahme sind interessante Fälle, bei denen wir Ihnen raten, sich eingehender damit zu beschäftigen.
Information: Warnungen vom Typ „Information“ werden nur angezeigt, wenn Sie für einen Sicherheitsincident einen Drilldown ausführen oder die REST-API mit einer bestimmten Warnungs-ID verwenden. Ein Incident besteht in der Regel aus vielen Warnungen, von denen einige für sich allein genommen nur informativen Charakter haben können, aber im Zusammenhang mit den anderen Warnungen durchaus eine genauere Untersuchung verdienen.
Kontinuierliche Überwachung und Bewertungen
Defender für Cloud profitiert von den Teams für Sicherheitsforschung und Data Science bei Microsoft, die die Bedrohungslandschaft ständig auf Veränderungen überwachen. Dies umfasst Folgendes:
Threat Intelligence-Überwachung: Informationen zu Bedrohungen (Threat Intelligence) umfassen Mechanismen, Indikatoren, Auswirkungen und nützliche Hinweise zu vorhandenen oder neuen Bedrohungen. Diese Informationen werden in der Sicherheitscommunity bereitgestellt, und Microsoft überwacht fortlaufend Threat Intelligence-Feeds von internen und externen Quellen.
Signalaustausch: Die Erkenntnisse der Sicherheitsteams aus dem großen Microsoft-Portfolio mit Clouddiensten und lokalen Diensten, Servern und Clientendpunkt-Geräten werden ausgetauscht und analysiert.
Microsoft-Sicherheitsexperten: Ständiger Austausch mit Teams von Microsoft, die sich mit speziellen Sicherheitsfeldern beschäftigen, z.B. Forensik und Erkennung von Webangriffen.
Erkennungsoptimierung: Algorithmen werden für echte Kundendatasets ausgeführt, und Sicherheitsexperten werten die Ergebnisse zusammen mit den Kunden aus. Richtige und falsche Positivmeldungen werden verwendet, um Machine Learning-Algorithmen zu verfeinern.
Grundlegendes zu Warnungstypen
Die aktuelle Referenzliste für Warnungen enthält mehr als 500 Typen. Die Referenzliste finden Sie unter: Sicherheitswarnungen (Referenzhandbuch)
Zu jedem Warnungstyp gehört eine Beschreibung, ein Schweregrad und eine MITRE ATT&CK-Taktik.
MITRE ATT&CK-Taktik
Das Verständnis der Absicht eines Angriffs kann Ihnen helfen, das Ereignis leichter zu untersuchen und zu melden. Zur Unterstützung dieser Arbeit ist in Defender für Cloud-Warnungen häufig die MITRE-Taktik eingebunden. Die Reihe der Schritte, die den Fortschritt eines Cyberangriffs von der Erkennung bis zur Datenexfiltration beschreiben, wird häufig als „Kill Chain“ bezeichnet.
Die von Defender für Cloud unterstützten Kill-Chain-Absichten basieren auf Version 7 der MITRE ATT&CK-Matrix (siehe Beschreibung in der Tabelle unten).
| Taktik | BESCHREIBUNG |
|---|---|
| PreAttack | Bei einem PreAttack kann es sich entweder um einen Versuch handeln, unabhängig von böswilligen Absichten auf eine bestimmte Ressource zuzugreifen, oder um einen fehlgeschlagenen Versuch, Zugriff auf ein Zielsystem zu erlangen, um Informationen vor deren Ausnutzung zu sammeln. Dieser Schritt wird normalerweise als Versuch von außerhalb des Netzwerks erkannt, das Zielsystem zu scannen und einen Einstiegspunkt zu identifizieren. |
| InitialAccess | InitialAccess ist die Phase, in der es einem Angreifer gelingt, auf der angegriffenen Ressource Fuß zu fassen. Diese Phase ist für Computehosts und Ressourcen wie Benutzerkonten, Zertifikate usw. relevant. Bedrohungsakteure können die Ressource nach dieser Phase oft steuern. |
| Persistenz | Als „Persistenz“ wird ein Zugriff, eine Aktion oder eine Konfigurationsänderung in einem System bezeichnet, der bzw. die einem Bedrohungsakteur dauerhafte Präsenz in diesem System ermöglicht. Bedrohungsakteure müssen den Zugriff häufig über Unterbrechungen (z.B. Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler, aufgrund derer ein Remotezugriffstool neu gestartet werden muss) hinweg beibehalten oder eine alternative Hintertür schaffen, um wieder Zugriff zu erhalten. |
| PrivilegeEscalation | „Rechteausweitung“ ist das Ergebnis von Aktionen, mit denen ein Angreifer eine höhere Berechtigungsebene für ein System oder ein Netzwerk erhält. Bestimmte Tools oder Aktionen erfordern eine höhere Berechtigungsebene und sind wahrscheinlich an vielen Punkten während eines Vorgangs erforderlich. Benutzerkonten, die über Berechtigungen für den Zugriff auf bestimmte Systeme verfügen oder bestimmte Funktionen ausführen, die für Angreifer erforderlich sind, um Ihr Ziel zu erreichen, können auch als „Rechteausweitung“ angesehen werden. |
| DefenseEvasion | Das „Umgehen von Verteidigungsmaßnahmen“ umfasst Techniken, die ein Angreifer verwenden kann, um eine Erkennung zu vermeiden oder andere Abwehrmaßnahmen zu umgehen. Manchmal sind diese Aktionen identisch mit (oder Variationen von) Techniken aus anderen Kategorien, die Angreifern den zusätzlichen Vorteil bieten, einen bestimmten Schutz oder eine bestimmte Abwehrmaßnahmen zu untergraben. |
| CredentialAccess | CredentialAccess (Zugriff auf Anmeldeinformationen) stellt Techniken dar, die den Zugriff auf oder die Kontrolle über Anmeldeinformationen für Systeme, Domänen oder Dienste innerhalb einer Unternehmensumgebung ermöglichen. Angreifer versuchen mit hoher Wahrscheinlichkeit, in den Besitz legitimer Anmeldeinformationen von Benutzern oder Administratorkonten (lokale Systemadministratoren oder Domänenbenutzer mit Administratorzugriff) zu gelangen, um diese im Netzwerk zu verwenden. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen. |
| Ermittlung | „Ermittlung“ umfasst Techniken, die es dem Angreifer ermöglichen, Informationen über das System und das interne Netzwerk zu erlangen. Wenn Angreifer Zugriff auf ein neues System erhalten, müssen Sie sich an dem orientieren, was sie derzeit kontrollieren und welchen Nutzen der Betrieb aus diesem System heraus für ihr aktuelles Ziel oder ihre Gesamtziele während des Eindringens bietet. Das Betriebssystem stellt viele native Tools bereit, die in dieser Phase der Informationserfassung nach der Kompromittierung ausgenutzt werden können. |
| LateralMovement | „Lateral-Movement“ umfasst Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk und in der Cloud zuzugreifen und diese zu steuern. Dies umfasst jedoch nicht unbedingt die Ausführung von Tools auf Remotesystemen. Lateral Movement-Techniken könnten es einem Angreifer ermöglichen, Informationen über ein System zu sammeln, ohne dass er weitere Tools, wie z. B. ein Tool für den Remotezugriff, benötigt. Ein Angreifer kann Lateral Movement für viele Zwecke verwenden, z. B., um Tools remote auszuführen, auf weitere Systeme zu pivotieren, auf bestimmte Informationen oder Dateien bzw. anderen Anmeldeinformationen zuzugreifen oder bestimmte Wirkungen zu erzielen. |
| Ausführung | Als „Ausführung“ werden Techniken bezeichnet, die zur Ausführung von durch den Angreifer kontrolliertem Code auf einem lokalen System oder einem Remotesystem führen. Diese Taktik wird häufig zusammen mit lateralen Bewegungen eingesetzt, um den Zugriff auf entfernte Systeme in einem Netzwerk zu erweitern. |
| Collection | Als „Sammlung“ werden Techniken bezeichnet, die vor der Exfiltration zur Identifizierung und Erfassung von Informationen, z.B. sensiblen Dateien, von einem Zielnetzwerk verwendet werden. Diese Kategorie deckt auch Speicherorte in einem System oder Netzwerk ab, in denen der Angreifer nach Informationen für die Exfiltration suchen könnte. |
| Exfiltration | „Extrafiltration" bezieht sich auf Techniken und Attribute, die das Entfernen von Dateien und Informationen aus einem Zielnetzwerk zur Folge haben oder dem Angreifer dies ermöglichen. Diese Kategorie deckt auch Speicherorte in einem System oder Netzwerk ab, in denen der Angreifer nach Informationen für die Exfiltration suchen könnte. |
| CommandAndControl | „Command-and-Control“ repräsentiert, wie Angreifer mit Systemen innerhalb eines Zielnetzwerks kommunizieren, die ihrer Kontrolle unterliegen. |
| Auswirkung | Ereignisse des Typs „Auswirkung“ versuchen in erster Linie, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks unmittelbar zu verringern, einschließlich der Manipulation von Daten, um einen Geschäfts- oder Betriebsprozess zu beeinträchtigen. Dies bezieht sich häufig auf Techniken wie Ransomware, Verunstaltung, Datenmanipulation und andere. |