Azure 安全中心的安全警報,azure 風險

Azure 安全中心的安全警報

安全中心提供許多不同資源類型的各種警報。安全中心為部署在Azure上的資源以及部署在本地和混合云環境中的資源生成警報。

安全警報由高級檢測觸發，僅適用于Azure Defender。提供試用版。可以從“定價和設置”頁升級。詳細了解安全中心定價。

應對當前的威脅

過去20年里，威脅態勢有了很大的改變。在過去，公司通常只需擔心網站被各個攻擊者改頭換面。許多情況下，這些攻擊者感興趣的是看看“自己能夠做什么”。而現在，攻擊者則更為復雜，更有組織性。他們通常有具體的經濟和戰略目標。他們的可用資源也更多，因為他們可能是由國家/地區提供資金支持的，可能是有組織犯罪。

這些不斷變化的現實導致攻擊者的專業水準前所未有地高。他們不再對篡改網頁感興趣。他們現在感興趣的是竊取信息、金融帳戶和私人數據所有這些都可以用來在公開市場上換錢；他們還感興趣的是特定的有利用價值的商業、政治或軍事職位。比這更引人關注的是，這些以財務為目標的攻擊者在侵入網絡后會破壞基礎結構，對人們造成傷害。

作為響應，組織通常會部署各種點解決方案，查找已知的攻擊特征，重點做好企業外圍防護或終結點防護。這些解決方案會生成大量的低保真警報，需要安全分析師進行會審和調查。大多數組織缺乏必要的時間和專業技術來響應此類警報許多警報被置之不理。

此外，攻擊者的方法不斷進化，可破壞許多基于簽名的防御，并適合云環境。必須采用新方法更快地確定新出現的威脅，加快檢測和應對速度。

什么是安全警報和安全事件？

“警報”是指安全中心在資源上檢測到威脅時生成的通知。安全中心按優先級列出警報，以及快速調查問題所需的信息。安全中心還提供有關如何針對攻擊采取補救措施的建議。

“安全事件”是相關警報的集合，而不是單獨列出每個警報。安全中心使用云智能警報關聯將不同警報和低保真信號關聯到安全事件。

通過事件，安全中心可提供攻擊活動和所有相關警報的單一視圖。利用此視圖，你可以快速了解攻擊者采取的操作以及受影響的資源。有關詳細信息，請參閱云智能警報關聯。

安全中心如何檢測威脅？

Microsoft安全研究人員始終在不斷地尋找威脅。由于在云中和本地的廣泛存在，我們可以訪問大量的遙測數據。由于能夠廣泛訪問和收集各種數據集，我們可以通過本地消費者產品和企業產品以及聯機服務發現新的攻擊模式和趨勢。因此，當攻擊者發布新的越來越復雜的漏斗利用方式時，安全中心就可以快速更新其檢測算法。此方法可以讓用戶始終跟上變化莫測的威脅環境。

為了檢測真實威脅和減少誤報，安全中心自動收集、分析和集成來自Azure資源和網絡的日志數據。它還適用于連接的合作伙伴解決方案，如防火墻和終結點保護解決方案。安全中心分析該信息（通常需將多個來源的信息關聯起來）即可確定威脅。

安全中心數據收集和呈現

安全中心使用各種高級安全分析，遠不止幾種基于攻擊特征的方法。可以充分利用大數據和機器學習技術的突破跨整個云結構對事件進行評估，檢測那些使用手動方式不可能發現的威脅，并預測攻擊的發展方式。此類安全分析包括：

集成威脅智能：Microsoft提供大量的全球威脅情報。遙測數據的來源包括：Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft數字犯罪部門(DCU)、Microsoft安全響應中心(MSRC)。研究人員也會收到在主要云服務提供商之間共享的威脅情報信息，以及來自其他第三方的源。Azure安全中心可能會在分析該信息后發出警報，提醒用戶注意來自行為不端攻擊者的威脅。

行為分析：行為分析是一種技術，該技術會對數據進行分析并將數據與一系列已知模式對比。不過，這些模式不是簡單的特征，需要對大型數據集運用復雜的機器學習算法來確定，或者由分析專家通過仔細分析惡意行為來確定。Azure安全中心可以使用行為分析對虛擬機日志、虛擬網絡設備日志、結構日志和其他資源進行分析，確定遭到泄露的資源。

異常檢測：Azure安全中心也通過異常檢測確定威脅。與行為分析（依賴于從大型數據集派生的已知模式）相比，異常檢測更“個性化”，注重特定于你的部署的基線。運用機器學習確定部署的正常活動，并生成規則，定義可能表示安全事件的異常條件。

如何對警報進行分類？

安全中心為警報分配嚴重性，以幫助你確定參與每個警報的順序優先級，以便在資源泄漏時可以立即訪問。嚴重性取決于安全中心對調查結果或用于發出警報的分析的可信度，以及對導致警報的活動背后存在惡意意圖的可信度級別。

備注

警報嚴重性在門戶和早于20190101的REST API中以不同的方式顯示。如果你使用的是較低版本的API，請升級以獲得一致的體驗，如下所述。

高：資源遭到泄露的可能性較高。應立即進行調查。安全中心在所檢測出的惡意意圖和用于發出警報的發現結果方面的可信度較高。例如，檢測到執行已知的惡意工具的警報，例如用于憑據盜竊的一種常見工具Mimikatz。

中等：這可能是一個可疑活動，此類活動可能表明資源遭到泄漏。安全中心對分析或發現結果的可信度為中等，所檢測到的惡意意圖的可信度為中等到高。這些通常是機器學習或基于異常的檢測。例如，從異常位置進行的登錄嘗試。

低：這可能是無危險或已被阻止的攻擊。

安全中心不足以肯定此意圖是否帶有惡意，并且此活動可能無惡意。例如，日志清除是當攻擊者嘗試隱藏蹤跡時可能發生的操作，但在許多情況下此操作是由管理員執行的例行操作。

安全中心通常不會告知你攻擊何時被阻止，除非這是我們建議你應該仔細查看的一個引發關注的案例。

信息：只有在深化到某個安全事件時，或者如果將REST API與特定警報ID配合使用，才會看到信息警報。一個事件通常由大量警報組成，有一些警報可能僅會單獨出現以提供信息，而其他一些警報的上下文中的信息可能值得你深入探查一下。

持續監視和評估

Azure安全中心受益于在整個Microsoft有安全研究和數據科學團隊，持續監視威脅態勢的變化情況。其中包括以下計劃：

威脅情報監視：威脅情報包括現有的或新出現的威脅的機制、指示器、含義和可操作建議。此信息在安全社區共享，Microsoft會持續監視內部和外部源提供的威脅情報源。

信號共享：安全團隊的見解會跨Microsoft的一系列云服務和本地服務、服務器、客戶端終結點設備進行共享和分析。

Microsoft安全專家：持續接觸Microsoft的各個工作在專業安全領域（例如取證和Web攻擊檢測）的團隊。

檢測優化：針對實際的客戶數據集運行相關算法，安全研究人員與客戶一起驗證結果。通過檢出率和誤報率優化機器學習算法。

將這些措施結合起來，形成新的改進型檢測方法，使你能夠即時受益，而你不需采取任何措施。

導出警報

你可以通過多種方法在安全中心外查看警報，其中包括：

警報儀表板上的“下載CSV報表”可提供到CSV的一次性導出。

定價和設置中的“連續導出”允許你將安全警報和建議流配置到Log Analytics工作區和事件中心。詳細了解連續導出

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。