Azure 安全中心內的安全警報和事件,azure安全平臺Azure 安全中心內的安全警報和事件安全中心為部署在 Azure、本地以及混合云環(huán)境中的資源生成警報。安全警報由高級檢測觸發(fā),僅適用于 Azure Defender。 可以從“定價與設置”頁升級,如快速入門:啟用 Azure Defender中所述。 可免費試......
安全中心為部署在 Azure、本地以及混合云環(huán)境中的資源生成警報。
安全警報由高級檢測觸發(fā),僅適用于 Azure Defender。 可以從“定價與設置”頁升級,如快速入門:啟用 Azure Defender中所述。 可免費試用 30 天。 有關根據(jù)你所在區(qū)域以所選貨幣給出的定價詳細信息,請參閱安全中心定價。
“警報”是指安全中心在資源上檢測到威脅時生成的通知。 安全中心按優(yōu)先級列出警報,以及快速調查問題所需的信息。 安全中心還提供有關如何針對攻擊采取補救措施的建議。
“安全事件”是相關警報的集合,而不是單獨列出每個警報。 安全中心使用云智能警報關聯(lián)將不同警報和低保真信號關聯(lián)到安全事件。
通過事件,安全中心可提供攻擊活動和所有相關警報的單一視圖。 利用此視圖,你可以快速了解攻擊者采取的操作以及受影響的資源。
過去 20 年里,威脅態(tài)勢有了很大的改變。 在過去,公司通常只需擔心網(wǎng)站被各個攻擊者改頭換面。許多情況下,這些攻擊者感興趣的是看看“自己能夠做什么”。 而現(xiàn)在,攻擊者則更為復雜,更有組織性。 他們通常有具體的經(jīng)濟和戰(zhàn)略目標。 他們的可用資源也更多,因為他們可能是由國家/地區(qū)提供資金支持的,可能是有組織犯罪。
這些不斷變化的現(xiàn)實導致攻擊者的專業(yè)水準前所未有地高。 他們不再對篡改網(wǎng)頁感興趣。 他們現(xiàn)在感興趣的是竊取信息、金融帳戶和私人數(shù)據(jù) 所有這些都可以用來在公開市場上換錢;他們還感興趣的是特定的有利用價值的商業(yè)、政治或軍事職位。 比這更引人關注的是,這些以財務為目標的攻擊者在侵入網(wǎng)絡后會破壞基礎結構,對人們造成傷害。
作為響應,組織通常會部署各種點解決方案,查找已知的攻擊特征,重點做好企業(yè)外圍防護或終結點防護。 這些解決方案會生成大量的低保真警報,需要安全分析師進行會審和調查。 大多數(shù)組織缺乏必要的時間和專業(yè)技術來響應此類警報 – 許多警報被置之不理。
此外,攻擊者的方法不斷進化,可破壞許多基于簽名的防御,并適合云環(huán)境。 必須采用新方法更快地確定新出現(xiàn)的威脅,加快檢測和應對速度。
Azure 安全中心受益于在整個 Microsoft 有安全研究和數(shù)據(jù)科學團隊,持續(xù)監(jiān)視威脅態(tài)勢的變化情況。 其中包括以下計劃:
威脅情報監(jiān)視:威脅情報包括現(xiàn)有的或新出現(xiàn)的威脅的機制、指示器、含義和可操作建議。 此信息在安全社區(qū)共享,Microsoft 會持續(xù)監(jiān)視內部和外部源提供的威脅情報源。
信號共享:安全團隊的見解會跨 Microsoft 的一系列云服務和本地服務、服務器、客戶端終結點設備進行共享和分析。
Microsoft 安全專家:持續(xù)接觸 Microsoft 的各個工作在專業(yè)安全領域(例如取證和 Web 攻擊檢測)的團隊。
檢測優(yōu)化:針對實際的客戶數(shù)據(jù)集運行相關算法,安全研究人員與客戶一起驗證結果。 通過檢出率和誤報率優(yōu)化機器學習算法。
將這些措施結合起來,形成新的改進型檢測方法,使你能夠即時受益,而你不需采取任何措施。
Microsoft 安全研究人員始終在不斷地尋找威脅。 由于在云中和本地的廣泛存在,我們可以訪問大量的遙測數(shù)據(jù)。 由于能夠廣泛訪問和收集各種數(shù)據(jù)集,我們可以通過本地消費者產(chǎn)品和企業(yè)產(chǎn)品以及聯(lián)機服務發(fā)現(xiàn)新的攻擊模式和趨勢。 因此,當攻擊者發(fā)布新的越來越復雜的漏斗利用方式時,安全中心就可以快速更新其檢測算法。 此方法可以讓用戶始終跟上變化莫測的威脅環(huán)境。
為了檢測真實威脅和減少誤報,安全中心自動收集、分析和集成來自 Azure 資源和網(wǎng)絡的日志數(shù)據(jù)。 它還適用于連接的合作伙伴解決方案,如防火墻和終結點保護解決方案。 安全中心分析該信息(通常需將多個來源的信息關聯(lián)起來)即可確定威脅。
安全中心使用各種高級安全分析,遠不止幾種基于攻擊特征的方法。 可以充分利用大數(shù)據(jù)和機器學習技術的突破跨整個云結構對事件進行評估,檢測那些使用手動方式不可能發(fā)現(xiàn)的威脅,并預測攻擊的發(fā)展方式。 此類安全分析包括:
集成威脅智能:Microsoft 提供大量的全球威脅情報。 遙測數(shù)據(jù)的來源包括:Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft 數(shù)字犯罪部門 (DCU)、Microsoft 安全響應中心 (MSRC)。 研究人員也會收到在主要云服務提供商之間共享的威脅情報信息,以及來自其他第三方的源。 Azure 安全中心可能會在分析該信息后發(fā)出警報,提醒用戶注意來自行為不端攻擊者的威脅。
行為分析:行為分析是一種技術,該技術會對數(shù)據(jù)進行分析并將數(shù)據(jù)與一系列已知模式對比。 不過,這些模式不是簡單的特征, 需要對大型數(shù)據(jù)集運用復雜的機器學習算法來確定, 或者由分析專家通過仔細分析惡意行為來確定。 Azure 安全中心可以使用行為分析對虛擬機日志、虛擬網(wǎng)絡設備日志、結構日志和其他資源進行分析,確定遭到泄露的資源。
異常檢測:Azure 安全中心也通過異常檢測確定威脅。 與行為分析(依賴于從大型數(shù)據(jù)集派生的已知模式)相比,異常檢測更“個性化”,注重特定于你的部署的基線。 運用機器學習確定部署的正?;顒?,并生成規(guī)則,定義可能表示安全事件的異常條件。
安全中心為警報分配嚴重性,以幫助你確定參與每個警報的順序優(yōu)先級,以便在資源泄漏時可以立即訪問。 嚴重性取決于安全中心在發(fā)出警報時所依據(jù)的檢測結果和分析結果的置信度,以及導致發(fā)出警報的活動的惡意企圖的置信度。
備注
警報嚴重性在門戶和早于 20190101 的 REST API 中以不同的方式顯示。 如果你使用的是較低版本的 API,請升級以獲得一致的體驗,如下所述。
如何對警報進行分類?嚴重性建議的響應高 | 資源遭到泄露的可能性較高。 應立即進行調查。 安全中心在所檢測出的惡意意圖和用于發(fā)出警報的發(fā)現(xiàn)結果方面的可信度較高。 例如,檢測到執(zhí)行已知的惡意工具的警報,例如用于憑據(jù)盜竊的一種常見工具 Mimikatz。 | |
中等 | 這可能是一個可疑活動,此類活動可能表明資源遭到泄漏。 安全中心對分析或發(fā)現(xiàn)結果的可信度為中等,所檢測到的惡意意圖的可信度為中等到高。 這些通常是機器學習或基于異常的檢測。 例如,從異常位置進行的登錄嘗試。 | |
低 | 這可能是無危險或已被阻止的攻擊。 安全中心不太確定此意圖是否帶有惡意,也不太確定此活動是否無惡意。 例如,日志清除是當攻擊者嘗試隱藏蹤跡時可能發(fā)生的操作,但在許多情況下此操作是由管理員執(zhí)行的例行操作。 安全中心通常不會告知你攻擊何時被阻止,除非這是我們建議你應該仔細查看的一個引發(fā)關注的案例。 | |
信息 | 只有在深化到某個安全事件時,或者如果將 REST API 與特定警報 ID 配合使用,才會看到信息警報。 一個事件通常由大量警報組成,一些警報單獨看來可能價值不大,但在綜合其他警報的情況下則值得深入探查。 | |
你可以通過多種方法在安全中心外查看警報,其中包括:
警報儀表板上的“下載 CSV 報表”可提供到 CSV 的一次性導出。
定價和設置中的“連續(xù)導出”允許你將安全警報和建議流配置到 Log Analytics 工作區(qū)和事件中心。詳細了解連續(xù)導出
Azure Sentinel 連接器將 Azure 安全中心的安全警報流式傳輸?shù)?Azure Sentinel。詳細了解如何將 Azure 安全中心與 Azure Sentinel 連接
Azure 安全中心使用高級分析和威脅情報來持續(xù)分析混合云工作負載,在存在惡意活動時發(fā)出警報。
威脅的范圍正在不斷擴大。 檢測哪怕最微小的攻擊的需求也是很重要的,而安全分析人員對不同的警報進行會審并識別實際攻擊可能非常具有挑戰(zhàn)性。 安全中心可以幫助分析人員處理這些疲于應付的警報。 通過將不同的警報和低保真度信號關聯(lián)到安全事件中,它有助于診斷發(fā)生的攻擊。
Fusion 分析是為安全中心事件提供支持的技術和分析后端,它使安全中心能夠將不同的警報和上下文信號關聯(lián)在一起。 Fusion 查看跨資源訂閱上報告的不同信號。 Fusion 查找具有共享上下文信息的攻擊進度或信號的模式,指示你應該對它們使用統(tǒng)一的響應過程。
Fusion 分析將安全域知識與 AI 相結合,用于分析警報,發(fā)現(xiàn)新的攻擊模式。
安全中心利用 MITRE 攻擊矩陣將警報與其感知意圖相關聯(lián),有助于形成規(guī)范化的安全域知識。 此外,通過使用為攻擊的每個步驟收集的信息,安全中心可以排除看似是攻擊步驟但實際上不是的活動。
由于攻擊通常發(fā)生在不同的租戶之間,安全中心可以結合 AI 算法來分析每個訂閱上報告的攻擊序列。 此技術將攻擊序列標識為常見的警報模式,而不是只是偶然地相互關聯(lián)。
在調查事件期間,分析員經(jīng)常需要額外的上下文,以便得出有關威脅的性質以及如何緩解威脅的裁定。 例如,即使檢測到網(wǎng)絡異常,但不了解網(wǎng)絡上發(fā)生的其他情況或者目標資源相關情況,很難知道接下來要采取什么操作。 為了提供幫助,安全事件可以包括工件、相關事件和信息。 可用于安全事件的其他信息因檢測到的威脅類型和環(huán)境配置而異。
提示
有關可通過合成分析生成的安全事件警報的列表,請參閱警報的引用表。
要管理安全事件,請參閱如何管理 Azure 安全中心中的安全事件。
特別聲明:以上文章內容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯(lián)系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部