Azure 安全中心內(nèi)的安全警報(bào)和事件,azure免費(fèi)使用

Azure安全中心中的安全警報(bào)和事件

安全中心為部署在Azure、本地和混合云環(huán)境中的資源生成警報(bào)。

安全警報(bào)由高級(jí)檢測觸發(fā)，僅適用于Azure Defender。您可以從定價(jià)和設(shè)置頁面進(jìn)行升級(jí)，如入門:啟用Azure Defender中所述。免費(fèi)試用30天。有關(guān)您所在地區(qū)所選貨幣的定價(jià)詳情，請(qǐng)參考安全中心定價(jià)。

什么是安全警報(bào)和安全事件？

“警報(bào)”是指安全中心在檢測到資源上的威脅時(shí)生成的通知。安全中心按優(yōu)先級(jí)列出警報(bào)，以及快速調(diào)查問題所需的信息。安全中心還提供如何針對(duì)攻擊采取補(bǔ)救措施的建議。

“安全事件”是相關(guān)警報(bào)的集合，而不是單獨(dú)列出每個(gè)警報(bào)。安全中心使用云智能警報(bào)關(guān)聯(lián)將不同的警報(bào)和低保真度信號(hào)與安全事件相關(guān)聯(lián)。

通過事件，安全中心可以提供攻擊活動(dòng)和所有相關(guān)警報(bào)的單一視圖。有了這個(gè)視圖，您可以快速了解攻擊者采取的行動(dòng)和受影響的資源。

應(yīng)對(duì)當(dāng)前的威脅

在過去的20年里，威脅形勢發(fā)生了很大變化。在過去，公司通常只需擔(dān)心網(wǎng)站被各種攻擊者更改。在許多情況下，這些攻擊者感興趣的是看看他們能做些什么。現(xiàn)在，攻擊者變得更加復(fù)雜和有組織。他們通常有特定的經(jīng)濟(jì)和戰(zhàn)略目標(biāo)。他們也有更多的可用資源，因?yàn)樗麄兛赡苡蓢?地區(qū)資助，可能是有組織犯罪。

這些不斷變化的現(xiàn)實(shí)導(dǎo)致了攻擊者前所未有的高專業(yè)水平。他們不再對(duì)篡改網(wǎng)頁感興趣。現(xiàn)在他們對(duì)竊取信息、財(cái)務(wù)賬戶和私人數(shù)據(jù)感興趣——所有這些都可以用來在公開市場上換錢；他們還對(duì)具體有用的商業(yè)、政治或軍事職位感興趣。比這更有趣的是，這些金融攻擊者入侵網(wǎng)絡(luò)后會(huì)破壞基礎(chǔ)結(jié)構(gòu)，對(duì)人造成傷害。

作為回應(yīng)，組織通常部署各種單點(diǎn)解決方案，尋找已知的攻擊特征，并專注于企業(yè)邊界保護(hù)或端點(diǎn)保護(hù)。這些解決方案將生成大量低保真度警報(bào)，需要由安全分析師進(jìn)行審查和調(diào)查。大多數(shù)組織缺乏必要的時(shí)間和專業(yè)知識(shí)來應(yīng)對(duì)這種警報(bào)——其中許多都被忽視了。

此外，攻擊者的手段也在不斷進(jìn)化，可以突破很多基于簽名的防御，適用于云環(huán)境。必須采用新方法來更快地識(shí)別新出現(xiàn)的威脅，并加快檢測和響應(yīng)速度。

持續(xù)監(jiān)測和評(píng)估

Azure Security Center受益于遍布微軟的安全研究和數(shù)據(jù)科學(xué)團(tuán)隊(duì)，持續(xù)監(jiān)控威脅形勢的變化。其中包括以下計(jì)劃:

威脅監(jiān)控:威脅信息包括現(xiàn)有或新出現(xiàn)的威脅的機(jī)制、指標(biāo)、含義和可行建議。這些信息在安全社區(qū)中共享，并且微軟持續(xù)監(jiān)控由內(nèi)部和外部來源提供的威脅情報(bào)來源。

信號(hào)共享:安全團(tuán)隊(duì)的見解將在一系列微軟云服務(wù)和本地服務(wù)、服務(wù)器和客戶端終端設(shè)備之間共享和分析。

微軟安全專家:與微軟在專業(yè)安全領(lǐng)域工作的團(tuán)隊(duì)保持聯(lián)系(如取證和Web攻擊檢測)。

優(yōu)化:針對(duì)實(shí)際客戶數(shù)據(jù)集運(yùn)行相關(guān)算法，安全研究人員與客戶一起驗(yàn)證結(jié)果。通過檢測率和虛警率優(yōu)化機(jī)器學(xué)習(xí)算法。

把這些措施結(jié)合起來，形成一個(gè)新的改進(jìn)的檢測方法，讓你不用采取任何措施就能立即受益。

安全中心如何檢測威脅？

微軟安全研究人員一直在尋找威脅。由于在云中和本地的廣泛存在，我們可以訪問大量的遙測數(shù)據(jù)。由于廣泛訪問和收集各種數(shù)據(jù)集，我們可以通過本地消費(fèi)產(chǎn)品和企業(yè)產(chǎn)品以及在線服務(wù)發(fā)現(xiàn)新的攻擊模式和趨勢。因此，當(dāng)攻擊者發(fā)布新的更復(fù)雜的漏斗利用方法時(shí)，安全中心可以快速更新其檢測算法。這種方法允許用戶跟上不可預(yù)測的威脅環(huán)境。

為了檢測真正的威脅并減少錯(cuò)誤警報(bào)，安全中心自動(dòng)收集、分析和整合來自Azure資源和網(wǎng)絡(luò)的日志數(shù)據(jù)。它也適用于互聯(lián)合作伙伴解決方案，如防火墻和終端保護(hù)解決方案。安全中心分析這些信息(通常需要關(guān)聯(lián)來自多個(gè)來源的信息)以確定威脅。

安全中心使用各種高級(jí)安全分析，遠(yuǎn)不止基于攻擊特征的幾種方法。我們可以充分利用大數(shù)據(jù)和machine 學(xué)習(xí)技術(shù)的突破，對(duì)整個(gè)云結(jié)構(gòu)上的事件進(jìn)行評(píng)估，檢測那些人工無法發(fā)現(xiàn)的威脅，預(yù)測攻擊的發(fā)展。此類安全分析包括:

集成威脅情報(bào):微軟提供大量全球威脅情報(bào)。遙測數(shù)據(jù)的來源包括Azure、微軟365、微軟CRM Online、微軟Dynamics AX、MSN.com outlook.com、微軟數(shù)字犯罪部門(DCU)和微軟安全響應(yīng)中心(MSRC)。研究人員還將接收主要云服務(wù)提供商之間共享的威脅情報(bào)信息，以及來自其他第三方的來源。Azure Security Center可能會(huì)在分析這些信息后發(fā)出警報(bào)，提醒用戶來自行為不端的攻擊者的威脅。

行為分析:行為分析是一種分析數(shù)據(jù)并將其與一系列已知模式進(jìn)行比較的技術(shù)。然而，這些模式并不是簡單的特征，需要通過在大型數(shù)據(jù)集上使用復(fù)雜的機(jī)器學(xué)習(xí)算法，或者通過分析師仔細(xì)分析惡意行為來確定。Azure安全中心可以使用行為分析來分析虛擬機(jī)日志、虛擬網(wǎng)絡(luò)設(shè)備日志、結(jié)構(gòu)日志和其他資源，以確定泄露的資源。

異常檢測:Azure安全中心還通過異常檢測來確定威脅。與行為分析(依賴于從大型數(shù)據(jù)集獲得的已知模式)相比，異常檢測更加“個(gè)性化”，并專注于特定于您的部署的基準(zhǔn)。使用machine 學(xué)習(xí)來確定部署的正常活動(dòng)，并生成規(guī)則來定義可能指示安全事件的異常情況。

如何對(duì)報(bào)警進(jìn)行分類？

安全中心為警報(bào)分配嚴(yán)重性，以幫助您確定參與每個(gè)警報(bào)的順序優(yōu)先級(jí)，以便您可以在資源泄漏時(shí)立即訪問它。嚴(yán)重性取決于安全中心在發(fā)出警報(bào)時(shí)所依賴的檢測結(jié)果和分析結(jié)果的置信度，以及導(dǎo)致發(fā)出警報(bào)的活動(dòng)的惡意嘗試的置信度。

評(píng)論

在20190101之前的portal和REST API中，告警嚴(yán)重程度以不同的方式顯示。如果您使用的是較低版本的API，請(qǐng)升級(jí)以獲得一致的體驗(yàn)，如下所述。

如何對(duì)警報(bào)進(jìn)行分類？嚴(yán)重性建議的響應(yīng)高資源遭到泄露的可能性較高。 應(yīng)立即進(jìn)行調(diào)查。 安全中心在所檢測出的惡意意圖和用于發(fā)出警報(bào)的發(fā)現(xiàn)結(jié)果方面的可信度較高。 例如，檢測到執(zhí)行已知的惡意工具的警報(bào)，例如用于憑據(jù)盜竊的一種常見工具 Mimikatz。中等這可能是一個(gè)可疑活動(dòng)，此類活動(dòng)可能表明資源遭到泄漏。 安全中心對(duì)分析或發(fā)現(xiàn)結(jié)果的可信度為中等，所檢測到的惡意意圖的可信度為中等到高。 這些通常是機(jī)器學(xué)習(xí)或基于異常的檢測。 例如，從異常位置進(jìn)行的登錄嘗試。低這可能是無危險(xiǎn)或已被阻止的攻擊。 安全中心不太確定此意圖是否帶有惡意，也不太確定此活動(dòng)是否無惡意。 例如，日志清除是當(dāng)攻擊者嘗試隱藏蹤跡時(shí)可能發(fā)生的操作，但在許多情況下此操作是由管理員執(zhí)行的例行操作。 安全中心通常不會(huì)告知你攻擊何時(shí)被阻止，除非這是我們建議你應(yīng)該仔細(xì)查看的一個(gè)引發(fā)關(guān)注的案例。信息只有在深化到某個(gè)安全事件時(shí)，或者如果將 REST API 與特定警報(bào) ID 配合使用，才會(huì)看到信息警報(bào)。 一個(gè)事件通常由大量警報(bào)組成，一些警報(bào)單獨(dú)看來可能價(jià)值不大，但在綜合其他警報(bào)的情況下則值得深入探查。

導(dǎo)出警報(bào)

您可以通過多種方式在安全中心之外查看警報(bào)，包括:

儀表板上的“下載CSV報(bào)告”可以提供一次性導(dǎo)出到CSV。

定價(jià)設(shè)置中的“連續(xù)導(dǎo)出”允許您將安全警報(bào)和建議流配置到日志分析工作區(qū)和事件中心。了解有關(guān)連續(xù)導(dǎo)出的更多信息。

Azure Sentinel連接器將安全警報(bào)從Azure安全中心傳輸?shù)紸zure Sentinel。了解有關(guān)如何將Azure安全中心與Azure Sentinel連接的更多信息。

Azure安全中心中的云智能警報(bào)關(guān)聯(lián)(事件)

Azure Security Center使用高級(jí)分析和威脅情報(bào)來持續(xù)分析混合云工作負(fù)載，并在存在惡意活動(dòng)時(shí)發(fā)出警報(bào)。

威脅的范圍在不斷擴(kuò)大。即使是最小的攻擊也需要檢測，這一點(diǎn)非常重要，對(duì)于安全分析師來說，審查不同的警報(bào)并識(shí)別實(shí)際的攻擊可能非常具有挑戰(zhàn)性。安全中心可以幫助分析師處理這些令人厭倦的警報(bào)。通過將不同的警報(bào)和低保真度信號(hào)關(guān)聯(lián)到安全事件中，它有助于診斷攻擊。

融合分析是為安全中心事件提供支持的技術(shù)和分析的后端。它使安全中心能夠關(guān)聯(lián)不同的警報(bào)和上下文信號(hào)。查看Fusion在跨資源訂閱上報(bào)告的不同信號(hào)。Fusion尋找攻擊進(jìn)程的模式或具有共享上下文信息的信號(hào)，表明您應(yīng)該對(duì)它們使用統(tǒng)一的響應(yīng)流程。

融合分析將安全領(lǐng)域知識(shí)與人工智能相結(jié)合，分析警報(bào)并發(fā)現(xiàn)新的攻擊模式。

安全中心使用MITRE攻擊矩陣將警報(bào)與其感知的意圖相關(guān)聯(lián)，這有助于形成標(biāo)準(zhǔn)化的安全領(lǐng)域知識(shí)。此外，通過使用為攻擊的每個(gè)步驟收集的信息，安全中心可以排除看起來是攻擊步驟但實(shí)際上不是的活動(dòng)。

由于攻擊通常發(fā)生在不同租戶之間，安全中心可以結(jié)合AI算法來分析每個(gè)訂閱上報(bào)告的攻擊序列。這項(xiàng)技術(shù)將攻擊序列識(shí)別為常見的警報(bào)模式，而不僅僅是彼此偶然相關(guān)。

在事件調(diào)查期間，分析師通常需要額外的背景信息，以便對(duì)威脅的性質(zhì)以及如何減輕威脅做出決策。例如，即使檢測到網(wǎng)絡(luò)異常，在不知道網(wǎng)絡(luò)或目標(biāo)資源上發(fā)生的其他情況的情況下，也很難知道下一步要做什么。為了有所幫助，安全事件可以包括工件、相關(guān)事件和信息。可用于安全事件的其他信息因檢測到的威脅類型和環(huán)境配置而異。

給個(gè)提示

有關(guān)綜合分析可生成的安全事件警報(bào)列表，請(qǐng)參考警報(bào)參考表。

若要管理安全事件，請(qǐng)參閱如何在Azure安全中心管理安全事件。

文章推薦
Google Ads 又雙叒更新啦,google ads被暫停
Google自動(dòng)化廣告如何助力海外推廣,谷歌推廣廣告
Google展示廣告及搜索廣告的營銷技巧,谷歌廣告推廣策略
Google廣告類型細(xì)分,google出海計(jì)劃廣告

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。