Azure 安全中心內(nèi)的安全警報(bào)和事件,azure安全平臺(tái)-ESG跨境

Azure 安全中心內(nèi)的安全警報(bào)和事件,azure安全平臺(tái)

Azure 安全中心內(nèi)的安全警報(bào)和事件

安全中心為部署在 Azure、本地以及混合云環(huán)境中的資源生成警報(bào)。

安全警報(bào)由高級(jí)檢測(cè)觸發(fā)，僅適用于 Azure Defender。 可以從“定價(jià)與設(shè)置”頁(yè)升級(jí)，如快速入門：?jiǎn)⒂?Azure Defender中所述。 可免費(fèi)試用 30 天。 有關(guān)根據(jù)你所在區(qū)域以所選貨幣給出的定價(jià)詳細(xì)信息，請(qǐng)參閱安全中心定價(jià)。

什么是安全警報(bào)和安全事件？

“警報(bào)”是指安全中心在資源上檢測(cè)到威脅時(shí)生成的通知。 安全中心按優(yōu)先級(jí)列出警報(bào)，以及快速調(diào)查問(wèn)題所需的信息。 安全中心還提供有關(guān)如何針對(duì)攻擊采取補(bǔ)救措施的建議。

“安全事件”是相關(guān)警報(bào)的集合，而不是單獨(dú)列出每個(gè)警報(bào)。 安全中心使用云智能警報(bào)關(guān)聯(lián)將不同警報(bào)和低保真信號(hào)關(guān)聯(lián)到安全事件。

通過(guò)事件，安全中心可提供攻擊活動(dòng)和所有相關(guān)警報(bào)的單一視圖。 利用此視圖，你可以快速了解攻擊者采取的操作以及受影響的資源。

應(yīng)對(duì)當(dāng)前的威脅

過(guò)去 20 年里，威脅態(tài)勢(shì)有了很大的改變。 在過(guò)去，公司通常只需擔(dān)心網(wǎng)站被各個(gè)攻擊者改頭換面。許多情況下，這些攻擊者感興趣的是看看“自己能夠做什么”。 而現(xiàn)在，攻擊者則更為復(fù)雜，更有組織性。 他們通常有具體的經(jīng)濟(jì)和戰(zhàn)略目標(biāo)。 他們的可用資源也更多，因?yàn)樗麄兛赡苁怯蓢?guó)家/地區(qū)提供資金支持的，可能是有組織犯罪。

這些不斷變化的現(xiàn)實(shí)導(dǎo)致攻擊者的專業(yè)水準(zhǔn)前所未有地高。 他們不再對(duì)篡改網(wǎng)頁(yè)感興趣。 他們現(xiàn)在感興趣的是竊取信息、金融帳戶和私人數(shù)據(jù) 所有這些都可以用來(lái)在公開市場(chǎng)上換錢；他們還感興趣的是特定的有利用價(jià)值的商業(yè)、政治或軍事職位。 比這更引人關(guān)注的是，這些以財(cái)務(wù)為目標(biāo)的攻擊者在侵入網(wǎng)絡(luò)后會(huì)破壞基礎(chǔ)結(jié)構(gòu)，對(duì)人們?cè)斐蓚Α?/p>

作為響應(yīng)，組織通常會(huì)部署各種點(diǎn)解決方案，查找已知的攻擊特征，重點(diǎn)做好企業(yè)外圍防護(hù)或終結(jié)點(diǎn)防護(hù)。 這些解決方案會(huì)生成大量的低保真警報(bào)，需要安全分析師進(jìn)行會(huì)審和調(diào)查。 大多數(shù)組織缺乏必要的時(shí)間和專業(yè)技術(shù)來(lái)響應(yīng)此類警報(bào) – 許多警報(bào)被置之不理。

此外，攻擊者的方法不斷進(jìn)化，可破壞許多基于簽名的防御，并適合云環(huán)境。 必須采用新方法更快地確定新出現(xiàn)的威脅，加快檢測(cè)和應(yīng)對(duì)速度。

持續(xù)監(jiān)視和評(píng)估

Azure 安全中心受益于在整個(gè) Microsoft 有安全研究和數(shù)據(jù)科學(xué)團(tuán)隊(duì)，持續(xù)監(jiān)視威脅態(tài)勢(shì)的變化情況。 其中包括以下計(jì)劃：

威脅情報(bào)監(jiān)視：威脅情報(bào)包括現(xiàn)有的或新出現(xiàn)的威脅的機(jī)制、指示器、含義和可操作建議。 此信息在安全社區(qū)共享，Microsoft 會(huì)持續(xù)監(jiān)視內(nèi)部和外部源提供的威脅情報(bào)源。

信號(hào)共享：安全團(tuán)隊(duì)的見解會(huì)跨 Microsoft 的一系列云服務(wù)和本地服務(wù)、服務(wù)器、客戶端終結(jié)點(diǎn)設(shè)備進(jìn)行共享和分析。

Microsoft 安全專家：持續(xù)接觸 Microsoft 的各個(gè)工作在專業(yè)安全領(lǐng)域（例如取證和 Web 攻擊檢測(cè)）的團(tuán)隊(duì)。

檢測(cè)優(yōu)化：針對(duì)實(shí)際的客戶數(shù)據(jù)集運(yùn)行相關(guān)算法，安全研究人員與客戶一起驗(yàn)證結(jié)果。 通過(guò)檢出率和誤報(bào)率優(yōu)化機(jī)器學(xué)習(xí)算法。

將這些措施結(jié)合起來(lái)，形成新的改進(jìn)型檢測(cè)方法，使你能夠即時(shí)受益，而你不需采取任何措施。

安全中心如何檢測(cè)威脅？

Microsoft 安全研究人員始終在不斷地尋找威脅。 由于在云中和本地的廣泛存在，我們可以訪問(wèn)大量的遙測(cè)數(shù)據(jù)。 由于能夠廣泛訪問(wèn)和收集各種數(shù)據(jù)集，我們可以通過(guò)本地消費(fèi)者產(chǎn)品和企業(yè)產(chǎn)品以及聯(lián)機(jī)服務(wù)發(fā)現(xiàn)新的攻擊模式和趨勢(shì)。 因此，當(dāng)攻擊者發(fā)布新的越來(lái)越復(fù)雜的漏斗利用方式時(shí)，安全中心就可以快速更新其檢測(cè)算法。 此方法可以讓用戶始終跟上變化莫測(cè)的威脅環(huán)境。

為了檢測(cè)真實(shí)威脅和減少誤報(bào)，安全中心自動(dòng)收集、分析和集成來(lái)自 Azure 資源和網(wǎng)絡(luò)的日志數(shù)據(jù)。 它還適用于連接的合作伙伴解決方案，如防火墻和終結(jié)點(diǎn)保護(hù)解決方案。 安全中心分析該信息（通常需將多個(gè)來(lái)源的信息關(guān)聯(lián)起來(lái)）即可確定威脅。

安全中心使用各種高級(jí)安全分析，遠(yuǎn)不止幾種基于攻擊特征的方法。 可以充分利用大數(shù)據(jù)和機(jī)器學(xué)習(xí)技術(shù)的突破跨整個(gè)云結(jié)構(gòu)對(duì)事件進(jìn)行評(píng)估，檢測(cè)那些使用手動(dòng)方式不可能發(fā)現(xiàn)的威脅，并預(yù)測(cè)攻擊的發(fā)展方式。 此類安全分析包括：

集成威脅智能：Microsoft 提供大量的全球威脅情報(bào)。 遙測(cè)數(shù)據(jù)的來(lái)源包括：Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft 數(shù)字犯罪部門 (DCU)、Microsoft 安全響應(yīng)中心 (MSRC)。 研究人員也會(huì)收到在主要云服務(wù)提供商之間共享的威脅情報(bào)信息，以及來(lái)自其他第三方的源。 Azure 安全中心可能會(huì)在分析該信息后發(fā)出警報(bào)，提醒用戶注意來(lái)自行為不端攻擊者的威脅。

行為分析：行為分析是一種技術(shù)，該技術(shù)會(huì)對(duì)數(shù)據(jù)進(jìn)行分析并將數(shù)據(jù)與一系列已知模式對(duì)比。 不過(guò)，這些模式不是簡(jiǎn)單的特征， 需要對(duì)大型數(shù)據(jù)集運(yùn)用復(fù)雜的機(jī)器學(xué)習(xí)算法來(lái)確定， 或者由分析專家通過(guò)仔細(xì)分析惡意行為來(lái)確定。 Azure 安全中心可以使用行為分析對(duì)虛擬機(jī)日志、虛擬網(wǎng)絡(luò)設(shè)備日志、結(jié)構(gòu)日志和其他資源進(jìn)行分析，確定遭到泄露的資源。

異常檢測(cè)：Azure 安全中心也通過(guò)異常檢測(cè)確定威脅。 與行為分析（依賴于從大型數(shù)據(jù)集派生的已知模式）相比，異常檢測(cè)更“個(gè)性化”，注重特定于你的部署的基線。 運(yùn)用機(jī)器學(xué)習(xí)確定部署的正常活動(dòng)，并生成規(guī)則，定義可能表示安全事件的異常條件。

如何對(duì)警報(bào)進(jìn)行分類？

安全中心為警報(bào)分配嚴(yán)重性，以幫助你確定參與每個(gè)警報(bào)的順序優(yōu)先級(jí)，以便在資源泄漏時(shí)可以立即訪問(wèn)。 嚴(yán)重性取決于安全中心在發(fā)出警報(bào)時(shí)所依據(jù)的檢測(cè)結(jié)果和分析結(jié)果的置信度，以及導(dǎo)致發(fā)出警報(bào)的活動(dòng)的惡意企圖的置信度。

備注

警報(bào)嚴(yán)重性在門戶和早于 20190101 的 REST API 中以不同的方式顯示。 如果你使用的是較低版本的 API，請(qǐng)升級(jí)以獲得一致的體驗(yàn)，如下所述。

如何對(duì)警報(bào)進(jìn)行分類？嚴(yán)重性建議的響應(yīng)

高	資源遭到泄露的可能性較高。 應(yīng)立即進(jìn)行調(diào)查。 安全中心在所檢測(cè)出的惡意意圖和用于發(fā)出警報(bào)的發(fā)現(xiàn)結(jié)果方面的可信度較高。 例如，檢測(cè)到執(zhí)行已知的惡意工具的警報(bào)，例如用于憑據(jù)盜竊的一種常見工具 Mimikatz。
中等	這可能是一個(gè)可疑活動(dòng)，此類活動(dòng)可能表明資源遭到泄漏。 安全中心對(duì)分析或發(fā)現(xiàn)結(jié)果的可信度為中等，所檢測(cè)到的惡意意圖的可信度為中等到高。 這些通常是機(jī)器學(xué)習(xí)或基于異常的檢測(cè)。 例如，從異常位置進(jìn)行的登錄嘗試。
低	這可能是無(wú)危險(xiǎn)或已被阻止的攻擊。 安全中心不太確定此意圖是否帶有惡意，也不太確定此活動(dòng)是否無(wú)惡意。 例如，日志清除是當(dāng)攻擊者嘗試隱藏蹤跡時(shí)可能發(fā)生的操作，但在許多情況下此操作是由管理員執(zhí)行的例行操作。 安全中心通常不會(huì)告知你攻擊何時(shí)被阻止，除非這是我們建議你應(yīng)該仔細(xì)查看的一個(gè)引發(fā)關(guān)注的案例。
信息	只有在深化到某個(gè)安全事件時(shí)，或者如果將 REST API 與特定警報(bào) ID 配合使用，才會(huì)看到信息警報(bào)。 一個(gè)事件通常由大量警報(bào)組成，一些警報(bào)單獨(dú)看來(lái)可能價(jià)值不大，但在綜合其他警報(bào)的情況下則值得深入探查。

導(dǎo)出警報(bào)

你可以通過(guò)多種方法在安全中心外查看警報(bào)，其中包括：

警報(bào)儀表板上的“下載 CSV 報(bào)表”可提供到 CSV 的一次性導(dǎo)出。

定價(jià)和設(shè)置中的“連續(xù)導(dǎo)出”允許你將安全警報(bào)和建議流配置到 Log Analytics 工作區(qū)和事件中心。詳細(xì)了解連續(xù)導(dǎo)出

Azure Sentinel 連接器將 Azure 安全中心的安全警報(bào)流式傳輸?shù)?Azure Sentinel。詳細(xì)了解如何將 Azure 安全中心與 Azure Sentinel 連接

Azure 安全中心中的云智能警報(bào)關(guān)聯(lián)（事件）

Azure 安全中心使用高級(jí)分析和威脅情報(bào)來(lái)持續(xù)分析混合云工作負(fù)載，在存在惡意活動(dòng)時(shí)發(fā)出警報(bào)。

威脅的范圍正在不斷擴(kuò)大。 檢測(cè)哪怕最微小的攻擊的需求也是很重要的，而安全分析人員對(duì)不同的警報(bào)進(jìn)行會(huì)審并識(shí)別實(shí)際攻擊可能非常具有挑戰(zhàn)性。 安全中心可以幫助分析人員處理這些疲于應(yīng)付的警報(bào)。 通過(guò)將不同的警報(bào)和低保真度信號(hào)關(guān)聯(lián)到安全事件中，它有助于診斷發(fā)生的攻擊。

Fusion 分析是為安全中心事件提供支持的技術(shù)和分析后端，它使安全中心能夠?qū)⒉煌木瘓?bào)和上下文信號(hào)關(guān)聯(lián)在一起。 Fusion 查看跨資源訂閱上報(bào)告的不同信號(hào)。 Fusion 查找具有共享上下文信息的攻擊進(jìn)度或信號(hào)的模式，指示你應(yīng)該對(duì)它們使用統(tǒng)一的響應(yīng)過(guò)程。

Fusion 分析將安全域知識(shí)與 AI 相結(jié)合，用于分析警報(bào)，發(fā)現(xiàn)新的攻擊模式。

安全中心利用 MITRE 攻擊矩陣將警報(bào)與其感知意圖相關(guān)聯(lián)，有助于形成規(guī)范化的安全域知識(shí)。 此外，通過(guò)使用為攻擊的每個(gè)步驟收集的信息，安全中心可以排除看似是攻擊步驟但實(shí)際上不是的活動(dòng)。

由于攻擊通常發(fā)生在不同的租戶之間，安全中心可以結(jié)合 AI 算法來(lái)分析每個(gè)訂閱上報(bào)告的攻擊序列。 此技術(shù)將攻擊序列標(biāo)識(shí)為常見的警報(bào)模式，而不是只是偶然地相互關(guān)聯(lián)。

在調(diào)查事件期間，分析員經(jīng)常需要額外的上下文，以便得出有關(guān)威脅的性質(zhì)以及如何緩解威脅的裁定。 例如，即使檢測(cè)到網(wǎng)絡(luò)異常，但不了解網(wǎng)絡(luò)上發(fā)生的其他情況或者目標(biāo)資源相關(guān)情況，很難知道接下來(lái)要采取什么操作。 為了提供幫助，安全事件可以包括工件、相關(guān)事件和信息。 可用于安全事件的其他信息因檢測(cè)到的威脅類型和環(huán)境配置而異。

提示

有關(guān)可通過(guò)合成分析生成的安全事件警報(bào)的列表，請(qǐng)參閱警報(bào)的引用表。

要管理安全事件，請(qǐng)參閱如何管理 Azure 安全中心中的安全事件。

文章推薦
App Store關(guān)鍵詞落榜現(xiàn)象頻發(fā)！高熱度、違規(guī)性質(zhì)關(guān)鍵詞更易落榜！,怎么查到app store 以前的關(guān)鍵詞
Azure上找不到MongoDB,阿里云服務(wù)器安裝mongodb
AppsFlyer營(yíng)銷洞察  再營(yíng)銷采用率再度提升,appstore營(yíng)銷
AppStore如何區(qū)分代理渠道來(lái)源,如何改變appstore國(guó)家地址

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。