Korelacja inteligentnego alertu w chmurze w Azure Security Center (zdarzenia)Cloud smart alert correlation in Azure Security Center (incidents)

Azure Security Center stale analizuje obciążenia chmury hybrydowej dzięki zaawansowanej analizie i analizie zagrożeń, aby ostrzec o złośliwych działaniach.Azure Security Center continuously analyzes hybrid cloud workloads by using advanced analytics and threat intelligence to alert you about malicious activity.

Rośnie zasięg zagrożeń.The breadth of threat coverage is growing. Konieczność wykrywania nawet niewielkich kompromisów jest istotna i może być trudne dla analityków zabezpieczeń, aby klasyfikacja różne alerty i identyfikować faktyczny atak.The need to detect even the slightest compromise is important, and it can be challenging for security analysts to triage the different alerts and identify an actual attack. Security Center ułatwia analitykom radzenie sobie z tym zmęczeniem alertów.Security Center helps analysts cope with this alert fatigue. Pomaga w diagnozowaniu ataków w miarę ich występowania, przez skorelowanie różnych alertów i słabych sygnałów w przypadku zdarzeń zabezpieczeń.It helps diagnose attacks as they occur, by correlating different alerts and low fidelity signals into security incidents.

Analiza Fusion jest technologią i zapleczem analitycznym, która umożliwia Security Center incydenty, co umożliwia działowi IT skorelowanie różnych alertów i sygnałów kontekstowych.Fusion analytics is the technology and analytic back end that powers Security Center incidents, enabling it to correlate different alerts and contextual signals together. Fusion przegląda różne sygnały raportowane w ramach subskrypcji dla zasobów.Fusion looks at the different signals reported on a subscription across the resources. Funkcja Fusion odnajduje wzorce, które ujawniają postęp ataku lub sygnalizują się z udostępnionymi informacjami kontekstowymi, wskazując, że należy użyć ujednoliconej procedury odpowiedzi.Fusion finds patterns that reveal attack progression or signals with shared contextual information, indicating that you should use a unified response procedure for them.

Funkcja Fusion Analytics łączy informacje o domenie zabezpieczeń z AI, aby analizować alerty, odkrywając nowe wzorce ataku w miarę ich występowania.Fusion analytics combines security domain knowledge with AI to analyze alerts, discovering new attack patterns as they occur.

Security Center korzysta z macierzy ataków MITRE do kojarzenia alertów z ich zamiarem, pomagając w prace prowadzone informacji o domenie zabezpieczeń.Security Center leverages MITRE Attack Matrix to associate alerts with their perceived intent, helping formalize security domain knowledge. Ponadto, korzystając z informacji zebranych dla każdego kroku ataku, Security Center może wyrównać działanie, które wydaje się być czynnościami ataku, ale w rzeczywistości nie jest.In addition, by using the information gathered for each step of an attack, Security Center can rule out activity that appears to be steps of an attack, but actually isn't.

Ponieważ ataki często występują między różnymi dzierżawcami, Security Center mogą łączyć algorytmy AI, aby analizować sekwencje ataków, które są zgłaszane w poszczególnych subskrypcjach.Because attacks often occur across different tenants, Security Center can combine AI algorithms to analyze attack sequences that are reported on each subscription. Ta technika identyfikuje sekwencje ataków jako nieznane wzorce alertów, a nie tylko incydentowo powiązane ze sobą.This technique identifies the attack sequences as prevalent alert patterns, instead of just being incidentally associated with each other.

Podczas badania zdarzenia analitykowie często potrzebują dodatkowego kontekstu, aby dotrzeć do Verdict o charakterze zagrożenia i sposobach ich rozwiązywania.During an investigation of an incident, analysts often need extra context to reach a verdict about the nature of the threat and how to mitigate it. Na przykład nawet w przypadku wykrycia nietypowej sieci, bez zrozumienia, co się dzieje w sieci lub w odniesieniu do zasobu, trudno jest zrozumieć, jakie działania należy podjąć dalej.For example, even when a network anomaly is detected, without understanding what else is happening on the network or with regard to the targeted resource, it's difficult to understand what actions to take next. Aby pomóc, zdarzenie zabezpieczeń może obejmować artefakty, powiązane zdarzenia i informacje.To help, a security incident can include artifacts, related events, and information. Dodatkowe informacje dostępne dla zdarzeń związanych z zabezpieczeniami różnią się w zależności od typu wykrytego zagrożenia i konfiguracji środowiska.The additional information available for security incidents varies, depending on the type of threat detected and the configuration of your environment.

Porada

Aby uzyskać listę alertów dotyczących zdarzeń zabezpieczeń, które mogą być tworzone przez usługę Fusion Analytics, zobacz tabelę referencyjną alertów.For a list of security incident alerts that can be produced by the fusion analytics, see the Reference table of alerts.

Zrzut ekranu przedstawiający raport wykrytych zdarzeń zabezpieczeń

Aby lepiej zrozumieć zdarzenia związane z zabezpieczeniami, zobacz jak zarządzać zdarzeniami zabezpieczeń w Azure Security Center.To better understand security incidents, see How to manage security incidents in Azure Security Center.