Beveiligingswaarschuwingen en -incidenten
In dit artikel worden beveiligingswaarschuwingen en -meldingen in Microsoft Defender for Cloud beschreven.
Wat zijn beveiligingswaarschuwingen?
Beveiligingswaarschuwingen zijn de meldingen die worden gegenereerd door de workloadbeveiligingsplannen van Defender for Cloud wanneer bedreigingen worden geïdentificeerd in uw Azure-, hybride of multicloudomgevingen.
- Beveiligingswaarschuwingen worden geactiveerd door geavanceerde detecties die beschikbaar zijn wanneer u Defender-abonnementen inschakelt voor specifieke resourcetypen.
- Elke waarschuwing bevat details van betrokken resources, problemen en herstelstappen.
- Defender for Cloud classificeert waarschuwingen en geeft prioriteit aan de ernst.
- Waarschuwingen worden gedurende 90 dagen weergegeven in de portal, zelfs als de resource met betrekking tot de waarschuwing in die periode is verwijderd. Dit komt omdat de waarschuwing kan duiden op een mogelijke inbreuk op uw organisatie die verder moet worden onderzocht.
- Waarschuwingen kunnen worden geëxporteerd naar CSV-indeling.
- Waarschuwingen kunnen ook rechtstreeks worden gestreamd naar een SIEM -oplossing (Security Information and Event Management), zoals Microsoft Sentinel, Security Orchestration Automated Response (SOAR) of ITSM-oplossing (IT Service Management).
- Defender for Cloud maakt gebruik van de MITRE-aanvalsmatrix om waarschuwingen te koppelen aan de waargenomen intentie, zodat de kennis van het beveiligingsdomein wordt geformaliseerd.
Hoe worden waarschuwingen geclassificeerd?
Aan waarschuwingen is een ernstniveau toegewezen om prioriteit te geven aan het uitvoeren van een waarschuwing. Ernst is gebaseerd op:
- De specifieke trigger
- Het betrouwbaarheidsniveau dat er schadelijke bedoelingen waren achter de activiteit die tot de waarschuwing heeft geleid
| Ernst | Aanbevolen antwoord |
|---|---|
| Hoog | De kans is groot dat uw resource is gecompromitteerd. Je moet er meteen naar kijken. Defender for Cloud heeft een hoog vertrouwen in zowel de kwaadwillende bedoelingen als in de bevindingen die worden gebruikt om de waarschuwing uit te geven. Bijvoorbeeld een waarschuwing die de uitvoering detecteert van een bekend schadelijk hulpprogramma zoals Mimikatz, een veelgebruikt hulpprogramma dat wordt gebruikt voor diefstal van referenties. |
| Gemiddeld | Dit is waarschijnlijk een verdachte activiteit die erop kan wijzen dat een resource is gecompromitteerd. Het vertrouwen van Defender for Cloud in de analyse of bevinding is gemiddeld en de betrouwbaarheid van het kwaadwillende doel is gemiddeld tot hoog. Dit zijn meestal machine learning- of anomaliedetecties, bijvoorbeeld een aanmeldingspoging vanaf een ongebruikelijke locatie. |
| Laag | Dit kan een goedaardige positieve of een geblokkeerde aanval zijn. Defender for Cloud is niet zeker genoeg dat de intentie schadelijk is en dat de activiteit onschuldig kan zijn. Logboek wissen is bijvoorbeeld een actie die kan optreden wanneer een aanvaller probeert zijn sporen te verbergen, maar in veel gevallen is het een routinebewerking die wordt uitgevoerd door beheerders. Defender for Cloud vertelt u meestal niet wanneer aanvallen zijn geblokkeerd, tenzij het een interessante case is die we u aanraden te onderzoeken. |
| Informatief | Een incident bestaat doorgaans uit een aantal waarschuwingen, waarvan sommige op zichzelf kunnen worden weergegeven als alleen informatief, maar in de context van de andere waarschuwingen kan het de moeite waard zijn om nader te bekijken. |
Wat zijn beveiligingsincidenten?
Een beveiligingsincident is een verzameling gerelateerde waarschuwingen.
Incidenten bieden u één weergave van een aanval en de bijbehorende waarschuwingen, zodat u snel inzicht krijgt in de acties die een aanvaller heeft ondernomen en de betrokken resources.
Naarmate de bedreigingsdekking toeneemt, neemt ook de noodzaak toe om zelfs de kleinste inbreuk te detecteren. Het is een uitdaging voor beveiligingsanalisten om verschillende waarschuwingen te sorteren en een daadwerkelijke aanval te identificeren. Door waarschuwingen en signalen van lage kwaliteit te correleren met beveiligingsincidenten, helpt Defender voor Cloud analisten deze waarschuwingsmoeheid aan te pakken.
In de cloud kunnen aanvallen optreden tussen verschillende tenants. Defender voor Cloud kan AI-algoritmen combineren om aanvalsreeksen te analyseren die worden gerapporteerd voor elk Azure-abonnement. Deze techniek identificeert de aanvalsreeksen als gangbare waarschuwingspatronen, in plaats van slechts incidenteel aan elkaar te worden gekoppeld.
Tijdens een onderzoek naar een incident hebben analisten vaak extra context nodig om tot een oordeel te komen over de aard van de bedreiging en hoe ze deze kunnen beperken. Zelfs wanneer er bijvoorbeeld een netwerkafwijking wordt gedetecteerd, is het moeilijk om te begrijpen wat er nog meer gebeurt op het netwerk of met betrekking tot de doelresource. Een beveiligingsincident kan bijvoorbeeld artefacten, gerelateerde gebeurtenissen en informatie bevatten. De aanvullende informatie die beschikbaar is voor beveiligingsincidenten varieert, afhankelijk van het type bedreiging dat is gedetecteerd en de configuratie van uw omgeving.
Waarschuwingen correleren met incidenten
Defender voor Cloud correleert waarschuwingen en contextuele signalen in incidenten.
- Correlatie kijkt naar verschillende signalen tussen resources en combineert beveiligingskennis en AI om waarschuwingen te analyseren en nieuwe aanvalspatronen te detecteren wanneer deze zich voordoen.
- Door gebruik te maken van de informatie die wordt verzameld voor elke stap van een aanval, kan Defender voor Cloud ook activiteiten uitsluiten die lijken te zijn uitgevoerd op een aanval, maar dat in werkelijkheid niet zijn.
Tip
Bekijk in de naslaginformatie over incidenten de lijst met beveiligingsincidenten die kunnen worden geproduceerd door incidentcorrelatie.
Hoe detecteert Defender voor Cloud bedreigingen?
Om echte bedreigingen te detecteren en fout-positieven te verminderen, bewaakt Defender voor Cloud resources, verzamelt en analyseert gegevens op bedreigingen, vaak gerelateerde gegevens uit meerdere bronnen.
Microsoft-initiatieven
Microsoft Defender for Cloud profiteert van het hebben van beveiligingsonderzoeks- en data science-teams in Microsoft die continu controleren op wijzigingen in het bedreigingslandschap. Dit omvat de volgende initiatieven:
Microsoft-beveiligingsspecialisten: continue inzet van teams overal bij Microsoft die op gespecialiseerde beveiligingsgebieden werken, zoals forensisch onderzoek en webaanvaldetectie.
Beveiligingsonderzoek van Microsoft: onze onderzoekers zijn voortdurend op zoek naar bedreigingen. Vanwege onze wereldwijde aanwezigheid in de cloud en on-premises hebben we toegang tot een uitgebreide set telemetriegegevens. Dankzij de brede en gevarieerde verzameling gegevenssets kunnen we nieuwe aanvalspatronen en trends ontdekken in onze on-premises producten voor consumenten en ondernemingen, evenals onze onlineservices. Als gevolg hiervan kan Defender voor Cloud de detectiealgoritmen snel bijwerken naarmate aanvallers nieuwe en steeds geavanceerdere aanvallen uitbrengen. Met deze benadering kunt u de snel veranderende bedreigingen bijhouden.
Bewaking van bedreigingsinformatie: Bedreigingsinformatie omvat mechanismen, indicatoren, implicaties en uitvoerbaar advies over bestaande of opkomende bedreigingen. Deze informatie wordt gedeeld in de beveiligingscommunity en Microsoft volgt continu feeds met informatie over bedreigingen uit interne en externe bronnen.
Signaal delen: inzichten van beveiligingsteams in het brede portfolio van Microsoft met cloud- en on-premises services, servers en clienteindpunten worden gedeeld en geanalyseerd.
Detectieafstemming: algoritmen worden uitgevoerd op echte gegevenssets van klanten en beveiligingsonderzoekers werken samen met klanten om de resultaten te valideren. Echte en fout-positieven worden gebruikt voor het verfijnen van machine learning-algoritmen.
Deze gecombineerde inspanningen culmineren in nieuwe en verbeterde detecties, waarvan u direct kunt profiteren. U hoeft geen actie te ondernemen.
Beveiligingsanalyse
Defender for Cloud maakt gebruik van geavanceerde beveiligingsanalyses, die veel verder gaan dan benaderingen op basis van handtekeningen. Doorbraken in big data- en machine learning-technologieën worden gebruikt om gebeurtenissen overal in de cloudinfrastructuur te evalueren - waarbij bedreigingen worden gedetecteerd die onmogelijk te identificeren waren geweest met behulp van handmatige benaderingen en het voorspellen van de ontwikkeling van aanvallen. Deze beveiligingsanalyses omvatten:
Geïntegreerde bedreigingsinformatie
Microsoft heeft een gigantische hoeveelheid informatie over wereldwijde bedreigingen. Telemetriestromen vanuit meerdere bronnen, zoals Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, de Microsoft Digital Crimes Unit (DCU) en Microsoft Security Response Center (MSRC). Onderzoekers ontvangen ook informatie over bedreigingsinformatie die wordt gedeeld tussen grote cloudserviceproviders en feeds van andere derden. Microsoft Defender for Cloud kan deze informatie gebruiken om u te waarschuwen voor bedreigingen van bekende kwaadwillenden.
Gedragsanalyse
Gedragsanalyse is een techniek waarbij gegevens worden geanalyseerd en vergeleken met een verzameling bekende patronen. Deze patronen zijn echter geen eenvoudige handtekeningen. Ze worden vastgesteld aan de hand van complexe machine learning-algoritmen die worden toegepast op grote gegevenssets. Ze worden ook vastgesteld via de zorgvuldige analyse van schadelijk gedrag door deskundige analisten. Microsoft Defender for Cloud kan gedragsanalyse gebruiken om aangetaste resources te identificeren op basis van analyse van logboeken van virtuele machines, logboeken van virtuele netwerken, infrastructuurlogboeken en andere bronnen.
Afwijkingsdetectie
Defender for Cloud maakt ook gebruik van anomaliedetectie om bedreigingen te identificeren. In tegenstelling tot gedragsanalyses die afhankelijk zijn van bekende patronen die zijn afgeleid van grote gegevenssets, is anomaliedetectie meer gepersonaliseerd en gericht op basislijnen die specifiek zijn voor uw implementaties. Machine learning wordt toegepast om de normale activiteit voor uw implementaties te bepalen en vervolgens worden regels gegenereerd om afwijkende omstandigheden te definiëren die een veiligheidsrisico zouden kunnen vormen.
Waarschuwingen exporteren
U hebt verschillende opties voor het weergeven van uw waarschuwingen buiten Defender for Cloud, waaronder:
- Csv-rapport downloaden op het dashboard waarschuwingen biedt een eenmalige export naar CSV.
- Met continue export vanuit omgevingsinstellingen kunt u stromen van beveiligingswaarschuwingen en aanbevelingen configureren voor Log Analytics-werkruimten en Event Hubs. Meer informatie.
- De Microsoft Sentinel-connector streamt beveiligingswaarschuwingen van Microsoft Defender voor Cloud naar Microsoft Sentinel. Meer informatie.
Meer informatie over het streamen van waarschuwingen naar een SIEM-, SOAR- of IT-servicebeheeroplossing en het continu exporteren van gegevens.
Volgende stappen
In dit artikel hebt u geleerd over de verschillende typen waarschuwingen die beschikbaar zijn in Defender voor Cloud. Zie voor meer informatie:
- Beveiligingswaarschuwingen in azure-activiteitenlogboek: naast dat deze beschikbaar zijn in de Azure Portal of programmatisch, worden beveiligingswaarschuwingen en -incidenten gecontroleerd als gebeurtenissen in het Azure-activiteitenlogboek
- Referentietabel met Defender for Cloud-waarschuwingen
- Reageren op beveiligingswaarschuwingen
- Meer informatie over het beheren van beveiligingsincidenten in Defender for Cloud.