Оповещения и инциденты системы безопасности
В этой статье описаны оповещения и уведомления системы безопасности в Microsoft Defender для облака.
Что такое оповещения системы безопасности?
Оповещения системы безопасности — это уведомления, создаваемые планами защиты рабочих нагрузок Defender для облака при обнаружении угроз в средах Azure, гибридных или многооблачных средах.
- Оповещения системы безопасности активируются расширенными обнаружениями, доступными при включении планов Defender для определенных типов ресурсов.
- Каждое оповещение содержит сведения о затронутых ресурсах, проблемах и действиях по исправлению.
- Defender для облака классифицирует оповещения и приоритезирует их по уровню серьезности.
- Оповещения отображаются на портале в течение 90 дней, даже если ресурс, связанный с оповещением, был удален в течение этого времени. Это связано с тем, что оповещение может указывать на потенциальную брешь в вашей организации, которая требует дальнейшего изучения.
- Оповещения можно экспортировать в формат CSV.
- Оповещения также можно передавать напрямую в систему управления информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel, систему автоматического реагирования оркестрации безопасности (SOAR) или решение управления ИТ-услугами (ITSM).
- Defender для облака связывает оповещения с предполагаемыми намерениями с помощью таблицы атак MITRE, что позволяет формализовать знания о домене безопасности.
Как классифицируются оповещения?
Оповещениям назначен уровень серьезности, помогающий определить приоритеты при участии в каждом оповещении. Серьезность зависит от:
- Конкретный триггер
- Уровень достоверности того, что за действием, которое привело к оповещению, было ли за действием, лежащим в основе вредоносного намерения;
| Статус | Рекомендуемый ответ |
|---|---|
| Высокая | Существует высокая вероятность того, что ресурс скомпрометирован. Необходимо сразу же проверить это. Сведения Defender для облака обладают высокой степенью достоверности как в отношении вредоносных намерений, так и в отношении обнаруженных условий, активирующих оповещения. например, обнаруживающего выполнение известных вредоносных инструментов, таких как Mimikatz (популярное средство, используемое для кражи учетных данных). |
| Средняя | Это подозрительное действие, которое может указывать на то, что ресурс скомпрометирован. Степень уверенности Defender для облака в аналитике или результатах среднего уровня, а во вредоносных намерениях — среднего или высокого уровня. Обычно это обнаружение на основе машинного обучения или аномалий, например попытка входа из необычного расположения. |
| Низкая | Это может быть неопасная положительная или заблокированная атака. Defender для облака не вполне уверен, что намерение является вредоносным. Действие может быть безобидным. Например, очистка журнала — это действие, которое может произойти, когда злоумышленник пытается скрыть свои следы, но во многих случаях это операция, выполняемая администраторами. Обычно Defender для облака не предупреждает о заблокированных атаках, если только это не интересный случай, на который стоит обратить внимание. |
| Informational | Как правило, инцидент состоит из ряда оповещений, некоторые из которых могут быть информационными и появляться сами по себе, но в контексте других оповещений могут заслуживать внимания. |
Что такое инциденты системы безопасности
Инцидент системы безопасности представляет собой набор связанных оповещений.
Инциденты предоставляют единое представление об атаке и связанных с ней оповещениях, чтобы вы могли быстро понять действия, выполненные злоумышленником, и затронутые ресурсы.
По мере роста вздоха охвата угроз становится крайне важно обнаруживать даже самые незначительные нарушения, и аналитикам безопасности бывает трудно рассматривать разные оповещения и определять реальные атаки. Сопоставляя различных оповещений и сигналов с низкой достоверностью с инцидентами системы безопасности, Defender для облака помогает аналитикам справиться с этой усталостью.
В облаке атаки часто возникают в разных арендаторах, и Defender для облака может объединять алгоритмы искусственного интеллекта для анализа последовательностей атак, фиксируемых в каждой подписке Azure. Этот метод определяет последовательности атак как распространенные шаблоны оповещений, а не просто связанные друг с другом случайным образом.
Зачастую в ходе исследования инцидента аналитикам требуется дополнительный контекст, чтобы выяснить характер угрозы и способ ее предотвращения. Например, даже при обнаружении аномалии сети без информации о других событиях в сети или о целевом ресурсе трудно понять, какие действия нужно предпринять. Чтобы помочь с решением этой задачи, инцидент системы безопасности может включать артефакты, связанные события и сведения. Дополнительные сведения, доступные для инцидентов системы безопасности, могут отличаться в зависимости от типа обнаруженной угрозы и конфигурации среды.
Сопоставление оповещений с инцидентами
Defender для облака сопоставляет оповещения и контекстные сигналы с инцидентами.
- При корреляции рассматриваются различные сигналы на разных ресурсах, а сведения о системе безопасности в сочетании с возможностями ИИ позволяют анализировать оповещения, обнаруживая закономерности в атаках по мере их возникновения.
- Сведения, собранные для каждого этапа атаки, позволяют Defender для облака исключить действия, которые кажутся этапами атаки, однако на самом деле ими не являются.
Совет
В справочнике по инцидентам просмотрите список инцидентов безопасности, которые могут быть созданы с помощью корреляции инцидентов.
Как Defender для облака выявляет угрозы?
Для обнаружения реальных угроз и снижения числа ложных срабатываний Defender для облака отслеживает ресурсы, собирает и анализирует данные об угрозах, часто сопоставляя информацию из нескольких источников.
Инициативы Майкрософт
Microsoft Defender для облака использует преимущества команд по исследованиям в области безопасности и по обработке и анализу данных, работающих в корпорации Майкрософт. Они постоянно наблюдают за изменениями в сфере угроз. В центре безопасности действуют описанные ниже инициативы.
Специалисты по безопасности Майкрософт. Свой вклад неустанно вносят команды Майкрософт, которые работают в таких узких областях безопасности, как экспертиза и обнаружение веб-атак.
Исследования Майкрософт по вопросам безопасности: наши специалисты постоянно отслеживают возникающие угрозы. У них есть доступ к обширным данным телеметрии, которые корпорация Майкрософт получает благодаря своему глобальному присутствию в облачных и локальных средах. Эта обширная и разнообразная коллекция наборов данных позволяет выявлять новые схемы и тенденции атак в наших локальных потребительских и корпоративных продуктах, а также в веб-службах. В результате Defender для облака может быстро обновить свои алгоритмы обнаружения, по мере того как злоумышленники выпускают новые и все более сложные эксплойты. Этот подход позволяет эффективно противостоять стремительно развивающимся угрозам.
Мониторинг аналитики угроз. Аналитика угроз предусматривает механизмы, индикаторы, результаты и практические советы об имеющихся и возникающих угрозах. Эта информация размещается в сообществе специалистов по безопасности, и корпорация Майкрософт непрерывно отслеживает каналы аналитики угроз, принадлежащие внутренним и внешним источникам.
Общий доступ к информации. Команды по обеспечению безопасности, задействованные в широком наборе облачных и локальных служб, серверов и клиентских устройств с конечными точками корпорации Майкрософт, обмениваются информацией и анализируют ее.
Настройка обнаружения. Алгоритмы испытываются на наборах данных конкретных пользователей, и исследователи по вопросам безопасности проверяют результаты испытаний в тесном сотрудничестве с этими пользователями. Чтобы улучшать алгоритмы машинного обучения, специалисты анализируют ложные и истинные срабатывания.
Все эти инициативы совместно дают общий результат: обнаружение угроз происходит по-новому и более качественно, а пользоваться результатами вы можете прямо сейчас, не прилагая никаких усилий.
Аналитика безопасности
Defender для облака использует расширенную аналитику безопасности, которая выходит далеко за рамки подходов, основанных на подписи. В центре безопасности используются также революционные открытия в технологиях больших данных и машинного обучения. С их помощью оцениваются события во всей облачной структуре — выявляются угрозы, которые невозможно обнаружить вручную, и прогнозируются тенденции развития атак. Вот что входит в аналитику по вопросам безопасности:
Интегрированная аналитика угроз
В корпорации Майкрософт накоплен огромный объем информации, относящейся к глобальной аналитике угроз. Телеметрия поступает из таких источников, как Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, подразделение Microsoft Digital Crimes Unit (DCU) и центр Microsoft Security Response Center (MSRC). Исследователи получают также информацию, связанную с аналитикой угроз, из основных поставщиков облачных служб и веб-каналов сторонних производителей. На основе полученных сведений Microsoft Defender для облака оповещает вас об угрозах, исходящих от известных злоумышленников.
Поведенческая аналитика
Поведенческая аналитика — это метод, в рамках которого данные анализируются и сверяются с набором известных схем. Однако эти схемы — не просто сигнатуры. Они определяются с помощью сложных алгоритмов машинного обучения, которые применяются к объемным наборам данных. Их также определяют аналитики посредством тщательного анализа вредоносного поведения. Microsoft Defender для облака использует поведенческую аналитику, чтобы выявлять скомпрометированные ресурсы. Для этого анализируются журналы виртуальных машин, журналы устройств виртуальной сети, журналы структуры и другие источники.
Обнаружение аномалий
Кроме того, Defender для облака выявляет угрозы с помощью функции обнаружения аномалий. В отличие от аналитики поведения (в которой используются известные схемы поведения, созданные на основе объемных наборов данных), обнаружение аномалий является более персонализированной методикой. В ее рамках акцент делается на показатели, стандартные для ваших развертываний. Машинное обучение определяет, какие процессы являются нормальными для вашей среды. Затем вырабатываются правила, в которых обозначаются аномальные условия, свидетельствующие об угрозе безопасности.
Экспорт оповещений
Ниже перечислены некоторые способы просмотра оповещений за пределами Defender для облака.
- Скачивание отчета в формате CSV на панели мониторинга оповещений обеспечивает однократный экспорт в CSV.
- Непрерывный экспортв разделе параметров среды позволяет настраивать потоки оповещений и рекомендаций системы безопасности для рабочих областей Log Analytics и концентраторов событий. Подробнее.
- Соединитель Microsoft Sentinel передает оповещения безопасности от Microsoft Defender для облака в Microsoft Sentinel. Подробнее.
Узнайте о потоковой передаче оповещений в решение SIEM, SOAR или решение для управления ИТ-услугами и непрерывном экспорте данных.
Дальнейшие действия
Из этой статьи вы узнали о различных типах оповещений в Defender для облака. Дополнительные сведения см. в разделе:
- Оповещения системы безопасности в журнале действий Azure. Помимо использования на портале Azure или в коде, оповещения системы безопасности и инциденты регистрируются как события в журнале действий Azure.
- Справочная таблица по оповещениям Defender для облака
- Реагирование на оповещения системы безопасности
- Ознакомьтесь со статьей об управлении инцидентами безопасности в Defender для облака.