Biztonsági riasztások és incidensek
Ez a cikk a biztonsági riasztásokat és értesítéseket ismerteti Felhőhöz készült Microsoft Defender.
Mik azok a biztonsági riasztások?
A biztonsági riasztások Felhőhöz készült Defender számítási feladatvédelmi csomagjai által generált értesítések, amikor fenyegetéseket azonosít az Azure-beli, hibrid vagy többfelhős környezetekben.
- A biztonsági riasztásokat speciális észlelések aktiválják, amelyek akkor érhetők el, ha engedélyezi a Defender-csomagokat adott erőforrástípusokhoz.
- Minden riasztás részletesen ismerteti az érintett erőforrásokat, problémákat és szervizelési lépéseket.
- Felhőhöz készült Defender osztályozza a riasztásokat, és súlyosság szerint rangsorolja őket.
- A riasztások 90 napig jelennek meg a portálon, még akkor is, ha a riasztáshoz kapcsolódó erőforrást ez idő alatt törölték. Ennek az az oka, hogy a riasztás a szervezet esetleges megsértését jelezheti, amelyet további vizsgálatnak kell alávetni.
- A riasztások CSV formátumban exportálhatók.
- A riasztások közvetlenül egy biztonsági információ- és eseménykezelési (SIEM) megoldásba is továbbíthatók, például a Microsoft Sentinel, a Security Orchestration Automated Response (SOAR) vagy az IT Service Management (ITSM) megoldásba.
- Felhőhöz készült Defender a A MITRE támadási mátrixa a riasztásokat az észlelt szándékukhoz társítja, és segít formalizálni a biztonsági tartomány ismeretét.
Hogyan vannak besorolva a riasztások?
A riasztások súlyossági szinttel rendelkeznek, amely segít rangsorolni az egyes riasztások kezelésének módját. A súlyosság alapja:
- Az adott eseményindító
- A riasztáshoz vezető tevékenység mögötti rosszindulatú szándék megbízhatósági szintje
| Súlyosság | Ajánlott válasz |
|---|---|
| Magas | Nagy a valószínűsége annak, hogy az erőforrás biztonsága sérül. Azonnal utána kell néznie. Felhőhöz készült Defender a rosszindulatú szándék és a riasztás kibocsátásához használt megállapítások tekintetében is nagy a bizalom. Például egy riasztás, amely észleli egy ismert rosszindulatú eszköz, például a Mimikatz végrehajtását, amely a hitelesítő adatok ellopására használt gyakori eszköz. |
| Medium | Ez valószínűleg gyanús tevékenység, amely azt jelezheti, hogy egy erőforrás sérült. Felhőhöz készült Defender elemzési vagy megállapítási megbízhatósága közepes, és a rosszindulatú szándék megbízhatósága közepes vagy magas. Ezek általában gépi tanuláson vagy anomálián alapuló észlelések, például egy szokatlan helyről való bejelentkezési kísérlet. |
| Alacsony | Ez lehet jóindulatú pozitív vagy blokkolt támadás. Felhőhöz készült Defender nem elég biztos abban, hogy a szándék rosszindulatú, és a tevékenység ártatlan lehet. A napló törlése például olyan művelet, amely akkor fordulhat elő, ha egy támadó megpróbálja elrejteni a nyomait, de sok esetben a rendszergazdák által végrehajtott rutinművelet. Felhőhöz készült Defender általában nem mondja el, hogy mikor blokkolták a támadásokat, hacsak nem egy érdekes esetről van szó, amelyet javasoljuk, hogy vizsgálja meg. |
| Információs | Egy incidens általában számos riasztásból áll, amelyek némelyike önmagában csak tájékoztató jellegűnek tűnhet, de a többi riasztás kontextusában érdemes lehet közelebbről megvizsgálni. |
Mik azok a biztonsági incidensek?
A biztonsági incidens a kapcsolódó riasztások gyűjteménye.
Az incidensek egyetlen nézetet biztosítanak a támadásról és a kapcsolódó riasztásokról, így gyorsan megértheti a támadó által végrehajtott műveleteket és az érintett erőforrásokat.
Ahogy növekszik a veszélyforrások lefedettsége, úgy kell észlelni még a legkisebb kompromisszumot is. A biztonsági elemzők számára kihívást jelent a különböző riasztások osztályozása és a tényleges támadás azonosítása. A riasztások és az alacsony megbízhatósági jelek biztonsági incidensekre való korrelációjával Felhőhöz készült Defender segít az elemzőknek megbirkózni ezzel a riasztási kimerültséggel.
A felhőben a támadások különböző bérlőkben fordulhatnak elő, Felhőhöz készült Defender AI-algoritmusok kombinálásával elemezhetők az egyes Azure-előfizetésekben jelentett támadássorozatok. Ez a technika a támadási sorozatokat elterjedt riasztási mintákként azonosítja ahelyett, hogy csak véletlenül társítanák egymáshoz.
Az incidens kivizsgálása során az elemzőknek gyakran extra kontextusra van szükségük ahhoz, hogy ítéletet tudjanak hozni a fenyegetés természetéről és annak enyhítéséről. Például még akkor is, ha hálózati rendellenességet észlel, anélkül, hogy tudná, mi történik még a hálózaton vagy a célzott erőforrás tekintetében, nehéz megérteni, hogy milyen műveleteket kell végrehajtania. A biztonsági incidensek többek között összetevőket, kapcsolódó eseményeket és információkat tartalmazhatnak. A biztonsági incidensekre vonatkozó további információk az észlelt fenyegetés típusától és a környezet konfigurációjától függően eltérőek.
Riasztások összefüggése incidensekkel
Felhőhöz készült Defender a riasztásokat és a környezetfüggő jeleket incidensekké alakítja.
- A korreláció különböző jeleket vizsgál az erőforrások között, és egyesíti a biztonsági ismereteket és az AI-t a riasztások elemzéséhez, új támadási minták felderítéséhez.
- A támadás egyes lépéseihez gyűjtött információk használatával Felhőhöz készült Defender kizárhatja a támadás lépéseinek tűnő tevékenységeket is, de valójában nem.
Tipp.
Az incidensekre vonatkozó hivatkozásban tekintse át az incidensek korrelációja által előidézhető biztonsági incidensek listáját.
Hogyan észleli Felhőhöz készült Defender a fenyegetéseket?
A valós fenyegetések észleléséhez és a hamis pozitív értékek csökkentéséhez Felhőhöz készült Defender figyeli az erőforrásokat, összegyűjti és elemzi a fenyegetésekre vonatkozó adatokat, gyakran több forrásból származó adatokat korrelálva.
Microsoft-kezdeményezések
Felhőhöz készült Microsoft Defender a microsoftos biztonsági kutató- és adatelemzési csapatokkal, akik folyamatosan figyelik a veszélyforrások helyzetének változásait. Ide tartoznak a következők:
A Microsoft biztonsági szakértői: folyamatos kapcsolatot tartunk a Microsoft csapataival, amelyek tagjai meghatározott biztonsági szakterületekkel foglalkoznak, például igazságügyi szakértői tevékenységekkel és a webes támadások észlelésével.
Microsoft biztonsági kutatás: Kutatóink folyamatosan figyelik a fenyegetéseket. A felhőben és a helyszínen való globális jelenlétünk miatt kiterjedt telemetriai készlethez férhetünk hozzá. Az adathalmazok széles körű és változatos gyűjteménye lehetővé teszi számunkra, hogy új támadási mintákat és trendeket fedezzünk fel a helyszíni fogyasztói és vállalati termékeinkben, valamint a online szolgáltatások. Ennek eredményeképpen a Felhőhöz készült Defender gyorsan frissítheti az észlelési algoritmusokat, mivel a támadók új és egyre kifinomultabb biztonsági réseket bocsátanak ki. Ez a módszer segít lépést tartani a fenyegetések gyors ütemben növekvő körével.
Fenyegetésfelderítés monitorozása: A fenyegetésfelderítés mechanizmusokat, mutatókat, következményeket és a meglévő vagy újonnan megjelenő fenyegetésekre vonatkozó hasznos tanácsokat tartalmaz. Ez az információ elérhető a biztonsági közösség számára, és a Microsoft folyamatosan figyeli a fenyegetésekre vonatkozó intelligencia belső és külső forrásból származó hírcsatornáit.
Jelmegosztás: A microsoftos felhő- és helyszíni szolgáltatások, kiszolgálók és ügyfélvégpont-eszközök széles körű portfóliójának biztonsági csapataitól származó elemzések megoszthatók és elemezve lesznek.
Az észlelés finomhangolása: a biztonsági szakértők az ügyfelek valós adatkészletein futtatják az algoritmusokat, és az ügyfelekkel együttműködve ellenőrzik az eredményeket. Az igazi és a téves találatok megjelölésével pontosítják a gépi algoritmusokat.
Ezek az egyesített erőfeszítések új és továbbfejlesztett észlelésekben csúcsosodnak ki, amelyeket azonnal kihasználhat – önnek nincs teendője.
Biztonsági elemzés
Felhőhöz készült Defender fejlett biztonsági elemzéseket alkalmaz, amelyek messze túlmutatnak az aláírásalapú megközelítéseken. A big data és a gépi tanulási technológiák áttörést jelentő eredményeinek felhasználásával értékelhetők ki az események a teljes felhőalapú hálóban, és így olyan fenyegetések is észlelhetők, amelyeket manuális módszerekkel lehetetlen volna azonosítani, és lehetőség van a támadások fejlődésének előrejelzésére. Ezek a biztonsági elemzések a következők:
Integrált fenyegetésfelderítés
A Microsoft rendkívül nagy mennyiségű adattal rendelkezik a globális fenyegetésészlelési intelligencia keretein belül. A telemetriai folyamatok több forrásból, például az Azure-ból, a Microsoft 365-ből, a Microsoft CRM Online-ból, a Microsoft Dynamics AX-ből, outlook.com, MSN.com, a Microsoft Digital Crimes Unitből (DCU) és a Microsoft Security Response Centerből (MSRC) származnak. A kutatók olyan fenyegetésfelderítési információkat is kapnak, amelyeket a főbb felhőszolgáltatók és más harmadik felek hírcsatornái osztanak meg. Felhőhöz készült Microsoft Defender ezzel az információval figyelmeztetheti önt az ismert rossz szereplők fenyegetéseire.
Viselkedés elemzése
A működés elemzése olyan módszer, amely megvizsgálja és összehasonlítja az adatokat az ismert minták gyűjteményével. Ezek a minták azonban nem csak egyszerű aláírások. Meghatározásuk hatalmas adatkészletekre alkalmazott összetett gépi tanulási algoritmusokkal történt. Ezenkívül szakértő elemzők mélyrehatóan elemezték a kártékony működést a meghatározásukhoz. Felhőhöz készült Microsoft Defender viselkedéselemzéssel azonosíthatja a feltört erőforrásokat a virtuális gépek naplóinak, a virtuális hálózati eszköznaplóknak, a hálónaplóknak és más forrásoknak az elemzése alapján.
Annak észlelődése, hogy a rendszer nem észlelt
Felhőhöz készült Defender anomáliadetektálást is használ a fenyegetések azonosításához. A nagy adathalmazokból származó ismert mintáktól függő viselkedéselemzéssel ellentétben az anomáliadetektálás "személyre szabottabb", és az üzemelő példányokra jellemző alapkonfigurációkra összpontosít. Ez a módszer gépi tanulás alkalmazásával felméri az üzemelő példányok normál tevékenységeit, majd szabályokat hoz létre az olyan rendkívüli körülmények meghatározásához, amelyek a biztonságot érintő eseményre utalhatnak.
Riasztások exportálása
A riasztások Felhőhöz készült Defender kívül is számos lehetőség közül választhat, többek között az alábbiakat:
- A CSV-jelentés letöltése a riasztási irányítópulton egyszeri exportálást biztosít a CSV-be.
- A környezeti beállításokból való folyamatos exportálás lehetővé teszi a biztonsági riasztások és javaslatok streamjeinek konfigurálását a Log Analytics-munkaterületekre és az Event Hubsra. További információ.
- A Microsoft Sentinel-összekötő biztonsági riasztásokat streamel Felhőhöz készült Microsoft Defender a Microsoft Sentinelbe. További információ.
Ismerje meg, hogyan streamelhetők a riasztások egy SIEM-, SOAR- vagy IT Service Management-megoldásba , és hogyan exportálhatók folyamatosan az adatok.
Következő lépések
Ebben a cikkben megismerkedett a Felhőhöz készült Defender elérhető különböző típusú riasztásokkal. További információk:
- Biztonsági riasztások az Azure-tevékenységnaplóban – Amellett, hogy elérhető az Azure Portalon vagy programozott módon, a biztonsági riasztások és incidensek naplózása eseményekként történik az Azure-tevékenységnaplóban
- Felhőhöz készült Defender riasztások referenciatáblája
- Válasz a biztonsági riasztásokra
- Megtudhatja, hogyan kezelheti a biztonsági incidenseket Felhőhöz készült Defender.