安全警报和事件
本文介绍 Microsoft Defender for Cloud 中的安全警报和通知。
什么是安全警报?
安全警报是 Microsoft Defender for Cloud 的工作负载保护计划在你的 Azure 或混合环境中发现威胁时生成的通知。
- 当为特定资源类型启用 Defender 计划时,可用的高级检测会触发安全警报。
- 每个警报都提供了受影响资源、问题和补救步骤。
- Microsoft Defender for Cloud 对警报进行分类,并按严重性对其进行优先级排序。
- 警报会在门户中显示 90 天,即使在此期间删除了与警报相关的资源也是如此。 这是因为警报可能表明组织中存在潜在的违规行为,需要进一步调查。
- 警报可以导出为 CSV 格式。
- 还可以直接将警报流式传输到 Microsoft Sentinel、安全业务流程自动化响应 (SOAR) 或 IT 服务管理 (ITSM) 解决方案等安全信息和事件管理 (SIEM)。
- Defender for Cloud 利用 MITRE 攻击矩阵将警报与其感知的意图相关联,帮助形式化安全领域知识。
如何对警报进行分类?
警报分配有严重性级别,帮助为如何处理每个警报的方式进行优先级排序。 严重性基于以下方面:
- 特定的触发器
- 导致发出警报的活动背后的恶意企图的置信度
| 严重性 | 建议的响应 |
|---|---|
| 高 | 资源遭到泄露的可能性较高。 应立即进行调查。 Defender for Cloud 在所检测出的恶意意图和用于发出警报的发现结果方面的可信度较高。 例如,检测到执行已知的恶意工具的警报,例如用于凭据盗窃的一种常见工具 Mimikatz。 |
| 中等 | 这可能是一个可疑活动,此类活动可能表明资源遭到泄漏。 Defender for Cloud 对分析或发现结果的可信度为中等,所检测到的恶意意图的可信度为中等到高。 这些通常是机器学习或基于异常的检测,例如从不常见的位置进行登录尝试。 |
| 低 | 这可能是无危险或已被阻止的攻击。 Defender for Cloud 不太确定此意图是否带有恶意,也不太确定此活动是否无恶意。 例如,日志清除是当攻击者尝试隐藏踪迹时可能发生的操作,但在许多情况下此操作是由管理员执行的例行操作。 Defender for Cloud 通常不会告知你攻击何时被阻止,除非这是我们建议你应该仔细查看的一个引发关注的案例。 |
| 信息 | 一个事件通常由大量警报组成,一些警报单独看来可能价值不大,但在综合其他警报的情况下则值得深入探查。 |
什么是安全事件?
安全事件是相关警报的集合。
通过事件可以从单个视图查看攻击及其相关警报,以便快速了解攻击者采取的操作以及受影响的资源。
随着威胁覆盖范围的增加,即使是最轻微的危害也需要检测。 安全分析师很难对不同的警报进行分类并识别实际攻击。 通过将警报和低保真信号与安全事件相关联,Defender for Cloud 可帮助分析师应对这种警报疲劳。
在云端,攻击可能发生在不同租户之间,因此 Defender for Cloud 可以结合 AI 算法来分析每个 Azure 订阅报告的攻击序列。 此技术将攻击序列标识为常见的警报模式,而不是只是偶然地相互关联。
在调查事件期间,分析员经常需要额外的上下文,以便得出有关威胁的性质以及如何缓解威胁的裁定。 例如,即使检测到网络异常,但不了解网络上发生的其他情况或者目标资源相关情况,很难知道接下来要采取什么操作。 为了提供帮助,安全事件可以包括工件、相关事件和信息。 可用于安全事件的其他信息因检测到的威胁类型和环境配置而异。
将警报与事件相关联
Defender for Cloud 将警报和上下文信号与事件相关联。
- 相关性跨资源调查不同的信号,并结合安全知识和 AI 来分析警报,从而发现发生新的攻击模式。
- 通过使用针对攻击的每个步骤收集的信息,Defender for Cloud 还可以排除看似是攻击步骤但实际并非如此的活动。
提示
在事件参考中,查看可通过事件关联生成的安全事件列表。
Defender for Cloud 如何检测威胁?
为了检测真正的威胁并减少误报,Defender for Cloud 监控资源、收集和分析威胁数据,通常关联来自多个来源的数据。
Microsoft 计划
Defender for Cloud 受益于在整个 Microsoft 有安全研究和数据科学团队,持续监视威胁态势的变化情况。 其中包括以下计划:
Microsoft 安全专家:持续接触 Microsoft 的各个工作在专业安全领域(例如取证和 Web 攻击检测)的团队。
Microsoft 安全研究:我们的研究人员始终在不断地寻找威胁。 由于在云中和本地的广泛存在,我们可以访问大量的遥测数据。 由于能够广泛访问和收集各种数据集,我们可以通过本地消费者产品和企业产品以及联机服务发现新的攻击模式和趋势。 因此,当攻击者发布新的越来越复杂的漏斗利用方式时,Defender for Cloud 就可以快速更新其检测算法。 此方法可以让用户始终跟上变化莫测的威胁环境。
威胁情报监视:威胁情报包括现有的或新出现的威胁的机制、指示器、含义和可操作建议。 此信息在安全社区共享,Microsoft 会持续监视内部和外部源提供的威胁情报源。
信号共享:安全团队的见解会跨 Microsoft 的一系列云服务和本地服务、服务器、客户端终结点设备进行共享和分析。
检测优化:针对实际的客户数据集运行相关算法,安全研究人员与客户一起验证结果。 通过检出率和误报率优化机器学习算法。
将这些措施结合起来,形成新的改进型检测方法,使你能够即时受益,而你不需采取任何措施。
安全分析
Defender for Cloud 使用各种高级安全分析,远不止几种基于攻击特征的方法。 可以充分利用大数据和机器学习技术的突破跨整个云结构对事件进行评估,检测那些使用手动方式不可能发现的威胁,并预测攻击的发展方式。 此类安全分析包括:
集成式威胁情报
Microsoft 提供大量的全球威胁情报。 遥测数据的来源包括:Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft 数字犯罪部门 (DCU)、Microsoft 安全响应中心 (MSRC)。 研究人员也会收到在主要云服务提供商之间共享的威胁情报信息,以及来自其他第三方的源。 Microsoft Defender for Cloud 可能会在分析该信息后发出警报,提醒用户注意来自行为不端攻击者的威胁。
行为分析
行为分析是一种技术,该技术会对数据进行分析并将数据与一系列已知模式对比。 不过,这些模式不是简单的特征, 需要对大型数据集运用复杂的机器学习算法来确定, 或者由分析专家通过仔细分析恶意行为来确定。 Microsoft Defender for Cloud 可以使用行为分析对虚拟机日志、虚拟网络设备日志、结构日志和其他资源进行分析,确定遭到泄露的资源。
异常情况检测
Defender for Cloud 还使用异常情况检测来识别威胁。 与行为分析(依赖于从大型数据集派生的已知模式)相比,异常情况检测更“个性化”,注重特定于你的部署的基线。 运用机器学习确定部署的正常活动,并生成规则,定义可能表示安全事件的异常条件。
导出警报
有不同的选项可用于在 Defender for Cloud 外部查看警报,包括如下几种:
- 警报仪表板上的“下载 CSV 报表”可提供到 CSV 的一次性导出。
- 环境设置中的“连续导出”,你可以借此配置安全警报的流以及有关 Log Analytics 工作区和事件中心的建议。 了解详细信息。
了解如何将警报流式传输到 SIEM、SOAR 或 IT 服务管理解决方案以及如何持续导出数据。
后续步骤
本文介绍了 Defender for Cloud 的各类警报。 有关详细信息,请参阅:
- Azure 活动日志中的安全警报 - 安全警报和事件除了在 Azure 门户中或以编程方式提供之外,还会作为 Azure 活动日志中的事件进行审核
- Defender for Cloud 警报参考表
- 响应安全警报
- 了解如何在 Defender for Cloud 中管理安全事件。