Säkerhetsaviseringar och incidenter

I den här artikeln beskrivs säkerhetsaviseringar och aviseringar i Microsoft Defender för molnet.

Vad är säkerhetsaviseringar?

Säkerhetsaviseringar är meddelanden som genereras av Defender for Clouds arbetsbelastningsskyddsplaner när hot identifieras i dina Azure-, hybrid- eller flermolnsmiljöer.

  • Säkerhetsaviseringar utlöses av avancerade identifieringar som är tillgängliga när du aktiverar Defender-planer för specifika resurstyper.
  • Varje avisering innehåller information om berörda resurser, problem och reparationssteg.
  • Defender för molnet klassificerar aviseringar och prioriterar dem efter allvarlighetsgrad.
  • Aviseringar visas i portalen i 90 dagar, även om resursen som är relaterad till aviseringen togs bort under den tiden. Det beror på att aviseringen kan tyda på ett potentiellt intrång i din organisation som behöver undersökas ytterligare.
  • Aviseringar kan exporteras till CSV-format.
  • Aviseringar kan också strömmas direkt till en SIEM-lösning (Security Information and Event Management), till exempel Microsoft Sentinel, SOAR (Security Orchestration Automated Response) eller EN ITSM-lösning (IT Service Management).
  • Defender för molnet använder MITRE-attackmatrisen för att associera aviseringar med deras uppfattade avsikt, vilket hjälper till att formalisera kunskap om säkerhetsdomäner.

Hur klassificeras aviseringar?

Aviseringar har en tilldelad allvarlighetsgrad som hjälper dig att prioritera hur du tar hand om varje avisering. Allvarlighetsgraden baseras på:

  • Den specifika utlösaren
  • Konfidensnivån att det fanns en skadlig avsikt bakom aktiviteten som ledde till aviseringen
Allvarlighetsgrad Rekommenderat svar
Hög Det finns en hög sannolikhet att din resurs komprometteras. Du borde titta på det direkt. Defender för molnet har stort förtroende för både den skadliga avsikten och de resultat som används för att utfärda aviseringen. Till exempel en avisering som identifierar körningen av ett känt skadligt verktyg, till exempel Mimikatz, ett vanligt verktyg som används för stöld av autentiseringsuppgifter.
Medel Det här är förmodligen en misstänkt aktivitet som kan tyda på att en resurs har komprometterats. Defender för molnets förtroende för analys eller sökning är medel och förtroendet för den skadliga avsikten är medel till hög. Dessa är vanligtvis maskininlärnings- eller avvikelsebaserade identifieringar, till exempel ett inloggningsförsök från en ovanlig plats.
Låg Detta kan vara en godartad positiv attack eller en blockerad attack. Defender för molnet är inte tillräckligt säker på att avsikten är skadlig och att aktiviteten kan vara oskyldig. Loggklarering är till exempel en åtgärd som kan inträffa när en angripare försöker dölja sina spår, men i många fall är en rutinåtgärd som utförs av administratörer. Defender för molnet brukar inte berätta när attacker blockerades, såvida det inte är ett intressant fall som vi föreslår att du undersöker.
Information En incident består vanligtvis av ett antal aviseringar, av vilka vissa kan verka vara endast informationsbaserade, men i samband med de andra aviseringarna kan det vara värt en närmare titt.

Vad är säkerhetsincidenter?

En säkerhetsincident är en samling relaterade aviseringar.

Incidenter ger dig en enda vy över en attack och dess relaterade aviseringar, så att du snabbt kan förstå vilka åtgärder en angripare vidtog och de berörda resurserna.

När hottäckningen växer ökar också behovet av att identifiera även den minsta kompromissen. Det är svårt för säkerhetsanalytiker att sortera olika aviseringar och identifiera en faktisk attack. Genom att korrelera aviseringar och signaler med låg återgivning i säkerhetsincidenter hjälper Defender för molnet analytikerna att hantera den här aviseringströttheten.

I molnet kan attacker utföras mellan olika klientorganisationer. Defender för molnet kan kombinera AI-algoritmer för att analysera attacksekvenser som rapporteras i varje Azure-prenumeration. Den här tekniken identifierar attacksekvenserna som vanliga aviseringsmönster, i stället för att bara associeras med varandra.

Under en undersökning av en incident behöver analytiker ofta extra kontext för att komma fram till en bedömning om hotets art och hur det ska åtgärdas. Även om en nätverksavvikelse identifieras, utan att förstå vad mer som händer i nätverket eller med avseende på målresursen, är det svårt att förstå vilka åtgärder som ska utföras härnäst. Som hjälp kan en säkerhetsincident innehålla artefakter, relaterade händelser och information. Den ytterligare information som är tillgänglig för säkerhetsincidenter varierar beroende på vilken typ av hot som identifieras och konfigurationen av din miljö.

Korrelera aviseringar till incidenter

Defender för molnet korrelerar aviseringar och sammanhangsbaserade signaler till incidenter.

  • Korrelationen tittar på olika signaler mellan resurser och kombinerar säkerhetskunskaper och AI för att analysera aviseringar och upptäcka nya attackmönster när de inträffar.
  • Genom att använda den information som samlas in för varje steg i en attack kan Defender för molnet också utesluta aktivitet som verkar vara steg för en attack, men som faktiskt inte är det.

Tips

I incidentreferensen granskar du listan över säkerhetsincidenter som kan skapas av incidentkorrelation.

Hur identifierar Defender för molnet hot?

För att identifiera verkliga hot och minska falska positiva identifieringar övervakar Defender för molnet resurser, samlar in och analyserar data efter hot, och korrelerar ofta data från flera källor.

Insamling och presentation av Defender for Cloud Data.

Microsoft-initiativ

Microsoft Defender för molnet drar nytta av säkerhetsforsknings- och datavetenskapsteam i Hela Microsoft som kontinuerligt övervakar förändringar i hotlandskapet. Bland annat kan följande projekt nämnas:

  • Microsofts säkerhetsexperter: Kontinuerligt arbete i team inom hela Microsoft som arbetar inom specialiserade säkerhetsområden, exempelvis datautredning och identifiering av webbattacker.

  • Microsofts säkerhetsforskning: Våra forskare är ständigt på jakt efter hot. På grund av vår globala närvaro i molnet och lokalt har vi tillgång till en omfattande uppsättning telemetri. Den omfattande och mångsidiga insamlingen av datamängder gör det möjligt för oss att upptäcka nya attackmönster och trender i våra lokala konsument- och företagsprodukter samt våra onlinetjänster. Därför kan Defender för molnet snabbt uppdatera sina identifieringsalgoritmer när angripare släpper nya och alltmer sofistikerade kryphål. Och för dig som kund innebär det att du kan hålla jämna steg med dagens snabbt föränderliga hotmiljö.

  • Övervakning av hotinformation: Hotinformation innehåller mekanismer, indikatorer, konsekvenser och användbara råd om befintliga eller framväxande hot. Den här informationen delas i säkerhets-communityn och Microsoft övervakar feeds om hotinformation från interna och externa källor.

  • Signaldelning: Insikter från säkerhetsteam i Microsofts breda portfölj med molntjänster och lokala tjänster, servrar och klientslutpunktsenheter delas och analyseras.

  • Identifieringsjustering: Algoritmer körs mot kundens verkliga datauppsättningar och säkerhetsanalytiker arbetar med kunden för att granska resultaten. Sann och falsk positiv identifiering används för att förfina maskininlärningsalgoritmerna.

Dessa kombinerade ansträngningar kulminerar i nya och förbättrade identifieringar, som du kan dra nytta av direkt – det finns ingen åtgärd för dig att vidta.

Säkerhetsanalys

Defender för molnet använder avancerad säkerhetsanalys som går långt utöver signaturbaserade metoder. Framsteg inom stordata- och maskininlärningstekniker utnyttjas för att utvärdera händelser i hela molninfrastrukturen, vilket gör det möjligt att upptäcka hot som skulle vara omöjliga att identifiera med manuella metoder, samtidigt som det blir lättare att förutsäga utvecklingen av nya attacker. Dessa säkerhetsanalyser omfattar:

Integrerad hotinformation

Microsoft har tillgång till en enorm mängd global hotinformation. Telemetri flödar in från flera källor, till exempel Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) och Microsoft Security Response Center (MSRC). Forskare får också information om hotinformation som delas mellan stora molntjänstleverantörer och flöden från andra tredje parter. Microsoft Defender för molnet kan använda den här informationen för att varna dig om hot från kända dåliga aktörer.

Beteendeanalys

Beteendeanalys är en teknik som analyserar och jämför data med en samling kända mönster. Dessa mönster är dock inte enkla signaturer. De fastställs genom komplexa maskininlärningsalgoritmer som tillämpas på enorma datamängder, och av expertanalytiker genom noggrann analys av skadliga beteenden. Microsoft Defender för molnet kan använda beteendeanalys för att identifiera komprometterade resurser baserat på analys av loggar för virtuella datorer, enhetsloggar för virtuella nätverk, infrastrukturloggar och andra källor.

Avvikelseidentifiering

Defender för molnet använder också avvikelseidentifiering för att identifiera hot. Till skillnad från beteendeanalys som är beroende av kända mönster som härleds från stora datamängder är avvikelseidentifiering mer "anpassad" och fokuserar på baslinjer som är specifika för dina distributioner. Maskininlärning tillämpas för att fastställa om aktiviteten i dina distributioner är normal. Sedan genereras regler som definierar avvikande förhållanden som kan representera en säkerhetshändelse.

Exportera aviseringar

Du har ett antal alternativ för att visa aviseringar utanför Defender för molnet, inklusive:

  • Ladda ned CSV-rapport på aviseringsinstrumentpanelen ger en engångsexport till CSV.
  • Med kontinuerlig export från miljöinställningar kan du konfigurera strömmar av säkerhetsaviseringar och rekommendationer till Log Analytics-arbetsytor och Event Hubs. Läs mer.
  • Microsoft Sentinel-anslutningsappen strömmar säkerhetsaviseringar från Microsoft Defender för molnet till Microsoft Sentinel. Läs mer.

Lär dig mer om strömningsaviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning och hur du exporterar data kontinuerligt.

Nästa steg

I den här artikeln har du lärt dig om de olika typerna av aviseringar som är tillgängliga i Defender för molnet. Mer information finns i: