Azure 安全中心內的安全警報和事件,azure安全平臺

Azure 安全中心內的安全警報和事件

安全中心為部署在 Azure、本地以及混合云環境中的資源生成警報。

安全警報由高級檢測觸發，僅適用于 Azure Defender。 可以從“定價與設置”頁升級，如快速入門：啟用 Azure Defender中所述。 可免費試用 30 天。 有關根據你所在區域以所選貨幣給出的定價詳細信息，請參閱安全中心定價。

什么是安全警報和安全事件？

“警報”是指安全中心在資源上檢測到威脅時生成的通知。 安全中心按優先級列出警報，以及快速調查問題所需的信息。 安全中心還提供有關如何針對攻擊采取補救措施的建議。

“安全事件”是相關警報的集合，而不是單獨列出每個警報。 安全中心使用云智能警報關聯將不同警報和低保真信號關聯到安全事件。

通過事件，安全中心可提供攻擊活動和所有相關警報的單一視圖。 利用此視圖，你可以快速了解攻擊者采取的操作以及受影響的資源。

應對當前的威脅

過去 20 年里，威脅態勢有了很大的改變。 在過去，公司通常只需擔心網站被各個攻擊者改頭換面。許多情況下，這些攻擊者感興趣的是看看“自己能夠做什么”。 而現在，攻擊者則更為復雜，更有組織性。 他們通常有具體的經濟和戰略目標。 他們的可用資源也更多，因為他們可能是由國家/地區提供資金支持的，可能是有組織犯罪。

這些不斷變化的現實導致攻擊者的專業水準前所未有地高。 他們不再對篡改網頁感興趣。 他們現在感興趣的是竊取信息、金融帳戶和私人數據 所有這些都可以用來在公開市場上換錢；他們還感興趣的是特定的有利用價值的商業、政治或軍事職位。 比這更引人關注的是，這些以財務為目標的攻擊者在侵入網絡后會破壞基礎結構，對人們造成傷害。

作為響應，組織通常會部署各種點解決方案，查找已知的攻擊特征，重點做好企業外圍防護或終結點防護。 這些解決方案會生成大量的低保真警報，需要安全分析師進行會審和調查。 大多數組織缺乏必要的時間和專業技術來響應此類警報 – 許多警報被置之不理。

此外，攻擊者的方法不斷進化，可破壞許多基于簽名的防御，并適合云環境。 必須采用新方法更快地確定新出現的威脅，加快檢測和應對速度。

持續監視和評估

Azure 安全中心受益于在整個 Microsoft 有安全研究和數據科學團隊，持續監視威脅態勢的變化情況。 其中包括以下計劃：

威脅情報監視：威脅情報包括現有的或新出現的威脅的機制、指示器、含義和可操作建議。 此信息在安全社區共享，Microsoft 會持續監視內部和外部源提供的威脅情報源。

信號共享：安全團隊的見解會跨 Microsoft 的一系列云服務和本地服務、服務器、客戶端終結點設備進行共享和分析。

Microsoft 安全專家：持續接觸 Microsoft 的各個工作在專業安全領域（例如取證和 Web 攻擊檢測）的團隊。

檢測優化：針對實際的客戶數據集運行相關算法，安全研究人員與客戶一起驗證結果。 通過檢出率和誤報率優化機器學習算法。

將這些措施結合起來，形成新的改進型檢測方法，使你能夠即時受益，而你不需采取任何措施。

安全中心如何檢測威脅？

Microsoft 安全研究人員始終在不斷地尋找威脅。 由于在云中和本地的廣泛存在，我們可以訪問大量的遙測數據。 由于能夠廣泛訪問和收集各種數據集，我們可以通過本地消費者產品和企業產品以及聯機服務發現新的攻擊模式和趨勢。 因此，當攻擊者發布新的越來越復雜的漏斗利用方式時，安全中心就可以快速更新其檢測算法。 此方法可以讓用戶始終跟上變化莫測的威脅環境。

為了檢測真實威脅和減少誤報，安全中心自動收集、分析和集成來自 Azure 資源和網絡的日志數據。 它還適用于連接的合作伙伴解決方案，如防火墻和終結點保護解決方案。 安全中心分析該信息（通常需將多個來源的信息關聯起來）即可確定威脅。

安全中心使用各種高級安全分析，遠不止幾種基于攻擊特征的方法。 可以充分利用大數據和機器學習技術的突破跨整個云結構對事件進行評估，檢測那些使用手動方式不可能發現的威脅，并預測攻擊的發展方式。 此類安全分析包括：

集成威脅智能：Microsoft 提供大量的全球威脅情報。 遙測數據的來源包括：Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft 數字犯罪部門 (DCU)、Microsoft 安全響應中心 (MSRC)。 研究人員也會收到在主要云服務提供商之間共享的威脅情報信息，以及來自其他第三方的源。 Azure 安全中心可能會在分析該信息后發出警報，提醒用戶注意來自行為不端攻擊者的威脅。

行為分析：行為分析是一種技術，該技術會對數據進行分析并將數據與一系列已知模式對比。 不過，這些模式不是簡單的特征， 需要對大型數據集運用復雜的機器學習算法來確定， 或者由分析專家通過仔細分析惡意行為來確定。 Azure 安全中心可以使用行為分析對虛擬機日志、虛擬網絡設備日志、結構日志和其他資源進行分析，確定遭到泄露的資源。

異常檢測：Azure 安全中心也通過異常檢測確定威脅。 與行為分析（依賴于從大型數據集派生的已知模式）相比，異常檢測更“個性化”，注重特定于你的部署的基線。 運用機器學習確定部署的正常活動，并生成規則，定義可能表示安全事件的異常條件。

如何對警報進行分類？

安全中心為警報分配嚴重性，以幫助你確定參與每個警報的順序優先級，以便在資源泄漏時可以立即訪問。 嚴重性取決于安全中心在發出警報時所依據的檢測結果和分析結果的置信度，以及導致發出警報的活動的惡意企圖的置信度。

備注

警報嚴重性在門戶和早于 20190101 的 REST API 中以不同的方式顯示。 如果你使用的是較低版本的 API，請升級以獲得一致的體驗，如下所述。

導出警報

你可以通過多種方法在安全中心外查看警報，其中包括：

警報儀表板上的“下載 CSV 報表”可提供到 CSV 的一次性導出。

定價和設置中的“連續導出”允許你將安全警報和建議流配置到 Log Analytics 工作區和事件中心。詳細了解連續導出

Azure Sentinel 連接器將 Azure 安全中心的安全警報流式傳輸到 Azure Sentinel。詳細了解如何將 Azure 安全中心與 Azure Sentinel 連接

Azure 安全中心中的云智能警報關聯（事件）

Azure 安全中心使用高級分析和威脅情報來持續分析混合云工作負載，在存在惡意活動時發出警報。

威脅的范圍正在不斷擴大。 檢測哪怕最微小的攻擊的需求也是很重要的，而安全分析人員對不同的警報進行會審并識別實際攻擊可能非常具有挑戰性。 安全中心可以幫助分析人員處理這些疲于應付的警報。 通過將不同的警報和低保真度信號關聯到安全事件中，它有助于診斷發生的攻擊。

Fusion 分析是為安全中心事件提供支持的技術和分析后端，它使安全中心能夠將不同的警報和上下文信號關聯在一起。 Fusion 查看跨資源訂閱上報告的不同信號。 Fusion 查找具有共享上下文信息的攻擊進度或信號的模式，指示你應該對它們使用統一的響應過程。

Fusion 分析將安全域知識與 AI 相結合，用于分析警報，發現新的攻擊模式。

安全中心利用 MITRE 攻擊矩陣將警報與其感知意圖相關聯，有助于形成規范化的安全域知識。 此外，通過使用為攻擊的每個步驟收集的信息，安全中心可以排除看似是攻擊步驟但實際上不是的活動。

由于攻擊通常發生在不同的租戶之間，安全中心可以結合 AI 算法來分析每個訂閱上報告的攻擊序列。 此技術將攻擊序列標識為常見的警報模式，而不是只是偶然地相互關聯。

在調查事件期間，分析員經常需要額外的上下文，以便得出有關威脅的性質以及如何緩解威脅的裁定。 例如，即使檢測到網絡異常，但不了解網絡上發生的其他情況或者目標資源相關情況，很難知道接下來要采取什么操作。 為了提供幫助，安全事件可以包括工件、相關事件和信息。 可用于安全事件的其他信息因檢測到的威脅類型和環境配置而異。

提示

有關可通過合成分析生成的安全事件警報的列表，請參閱警報的引用表。

要管理安全事件，請參閱如何管理 Azure 安全中心中的安全事件。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。