安全警报 - 参考指南
本文提供了指向列出你可能从 Microsoft Defender for Cloud 和任何已启用的 Microsoft Defender 计划收到的安全警报的页面的链接。 环境中显示的警报取决于要保护的资源和服务,以及自定义的配置。
注意
一些最近添加的 Microsoft Defender 威胁智能支持的警报可能没有记录在内。
此页面还包括描述与 MITRE ATT&CK 矩阵版本 9 一致的 Microsoft Defender for Cloud 杀伤链的表。
注意
来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。
按类别划分的安全警报页
- Windows 计算机的警报
- Linux 计算机的警报
- Azure VM 扩展的警报
- Azure 应用服务的警报
- 容器警报 - Kubernetes 群集
- 针对 SQL 数据库和 Azure Synapse Analytics 的警报
- 开源关系数据库的警报
- 资源管理器警报
- Azure 网络层警报
- 弃用的安全警报
MITRE ATT&CK 策略
了解攻击意图有助于更轻松地调查和报告事件。 为了帮助完成这些工作,Microsoft Defender for Cloud 警报包括带有许多警报的 MITRE 策略。
描述网络攻击过程(从侦查到数据外泄)的一系列步骤通常被称为“杀伤链”。
Defender for Cloud 支持的杀伤链意图基于 MITRE ATT&CK 矩阵版本 9,下表对其进行了描述。
技巧 | ATT&CK 版本 | 说明 |
---|---|---|
预攻击 | 预攻击可能是对某个资源的访问尝试,而不考虑恶意意图,也可能是在利用之前访问目标系统以收集信息的失败尝试。 此步骤通常被检测为源自网络外部的尝试,目的是扫描目标系统并标识入口点。 | |
初始访问 | V7、V9 | 初始访问是攻击者设法在受到攻击的资源上建立据点的阶段。 此阶段与计算主机和资源(例如用户帐户、证书等)相关。在此阶段之后,威胁参与者通常能控制资源。 |
持久性 | V7、V9 | 持久性指为了让威胁参与者在系统上持久存在而对该系统进行的任何访问、操作或配置更改。 威胁参与者通常需要通过中断操作来维持自己对系统的访问,这些中断操作包括系统重启、丢失凭据或其他可能需要远程访问工具重启的故障,或者提供备用后门来重新获得访问权限。 |
特权提升 | V7、V9 | 特权提升指允许攻击者在系统或网络上获得更高级别权限的操作的结果。 某些工具或操作需要更高级别的特权才能正常运行,并且在操作过程中的很多个时间点它们都是必需的。 有权访问特定系统或执行攻击者所需的特定函数的用户帐户也可能被视为特权提升。 |
防御规避 | V7、V9 | 防御闪避包含攻击者可能用于绕开检测或避开其他防护措施的技术。 在某些情况下,这些操作与其他类别中的方法相同(或者是它们的变体),这些方法还能破坏特定防御措施或缓解工具。 |
凭据访问 | V7、V9 | 凭据访问指能够访问或控制企业环境中使用的系统、域或服务凭据的方法。 攻击者可能会尝试通过用户或管理员帐户(本地系统管理员或具有管理员权限的域用户)获取合法凭据,以便在网络中使用。 当攻击者在网络中具备足够的访问权限时,他们就可以创建帐户以供之后在环境中使用。 |
发现 | V7、V9 | 发现策略包含允许攻击者了解系统和内部网络的方法。 当攻击者获得对新系统的访问权限时,在入侵期间,他们必须适应自己现在能控制的内容,并了解从该系统执行操作对他们的当前目标或总体目标有什么好处。 操作系统提供许多对这一入侵后信息收集阶段有帮助的本机工具。 |
横向移动 | V7、V9 | 横向移动包含的方法让攻击者能够访问并控制网络上的远程系统,但不一定包括在远程系统上执行工具。 横向移动技术可让攻击者无需使用其他工具(如远程访问工具)即可从系统收集信息。 攻击者可以使用横向移动来实现多种目的,包括远程执行工具、转到其他系统、访问特定信息或文件、访问其他凭据或造成某种影响。 |
执行 | V7、V9 | 执行策略表示允许在本地系统或远程系统上执行受攻击者控制的代码的方法。 这一策略通常与横向移动结合使用,目的是扩展网络上的远程系统访问权限。 |
集合 | V7、V9 | 收集包含的方法让攻击者能在外泄之前标识和收集目标网络中的信息,例如敏感文件。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要盗用的信息。 |
命令和控制 | V7、V9 | 命令和控制策略表示攻击者如何在目标网络中与其控制的系统通信。 |
外泄 | V7、V9 | 外泄策略指允许或有助于攻击者从目标网络中删除文件和信息的方法和特性。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要盗用的信息。 |
影响 | V7、V9 | 影响事件主要尝试直接降低系统、服务或网络的可用性或完整性;包括为了影响业务或操作过程而进行的数据操作活动。 这通常指勒索软件、篡改、数据操作等方法。 |
注意
对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。