Azure 安全中心内的安全警报和事件
安全中心为部署在 Azure、本地以及混合云环境中的资源生成警报。
安全警报由高级检测触发,仅适用于 Azure Defender。 可以从“定价与设置”页升级,如快速入门:启用 Azure Defender 中所述。 可免费试用 30 天。 有关根据你所在区域以所选货币给出的定价详细信息,请参阅安全中心定价。
什么是安全警报和安全事件?
“警报”是指安全中心在资源上检测到威胁时生成的通知。 安全中心按优先级列出警报,以及快速调查问题所需的信息。 安全中心还提供有关如何针对攻击采取补救措施的建议。
“安全事件”是相关警报的集合,而不是单独列出每个警报。 安全中心使用云智能警报关联将不同警报和低保真信号关联到安全事件。
通过事件,安全中心可提供攻击活动和所有相关警报的单一视图。 利用此视图,你可以快速了解攻击者采取的操作以及受影响的资源。
应对当前的威胁
过去 20 年里,威胁态势有了很大的改变。 在过去,公司通常只需担心网站被各个攻击者改头换面。许多情况下,这些攻击者感兴趣的是看看“自己能够做什么”。 而现在,攻击者则更为复杂,更有组织性。 他们通常有具体的经济和战略目标。 他们的可用资源也更多,因为他们可能是由国家/地区提供资金支持的,可能是有组织犯罪。
这些不断变化的现实导致攻击者的专业水准前所未有地高。 他们不再对篡改网页感兴趣。 他们现在感兴趣的是窃取信息、金融帐户和私人数据 - 所有这些都可以用来在公开市场上换钱;他们还感兴趣的是特定的有利用价值的商业、政治或军事职位。 比这更引人关注的是,这些以财务为目标的攻击者在侵入网络后会破坏基础结构,对人们造成伤害。
作为响应,组织通常会部署各种点解决方案,查找已知的攻击特征,重点做好企业外围防护或终结点防护。 这些解决方案会生成大量的低保真警报,需要安全分析师进行会审和调查。 大多数组织缺乏必要的时间和专业技术来响应此类警报 – 许多警报被置之不理。
此外,攻击者的方法不断进化,可破坏许多基于签名的防御,并适合云环境。 必须采用新方法更快地确定新出现的威胁,加快检测和应对速度。
持续监视和评估
Azure 安全中心受益于在整个 Microsoft 有安全研究和数据科学团队,持续监视威胁态势的变化情况。 其中包括以下计划:
威胁情报监视:威胁情报包括现有的或新出现的威胁的机制、指示器、含义和可操作建议。 此信息在安全社区共享,Microsoft 会持续监视内部和外部源提供的威胁情报源。
信号共享:安全团队的见解会跨 Microsoft 的一系列云服务和本地服务、服务器、客户端终结点设备进行共享和分析。
Microsoft 安全专家:持续接触 Microsoft 的各个工作在专业安全领域(例如取证和 Web 攻击检测)的团队。
检测优化:针对实际的客户数据集运行相关算法,安全研究人员与客户一起验证结果。 通过检出率和误报率优化机器学习算法。
将这些措施结合起来,形成新的改进型检测方法,使你能够即时受益,而你不需采取任何措施。
安全中心如何检测威胁?
Microsoft 安全研究人员始终在不断地寻找威胁。 由于在云中和本地的广泛存在,我们可以访问大量的遥测数据。 由于能够广泛访问和收集各种数据集,我们可以通过本地消费者产品和企业产品以及联机服务发现新的攻击模式和趋势。 因此,当攻击者发布新的越来越复杂的漏斗利用方式时,安全中心就可以快速更新其检测算法。 此方法可以让用户始终跟上变化莫测的威胁环境。
为了检测真实威胁和减少误报,安全中心自动收集、分析和集成来自 Azure 资源和网络的日志数据。 它还适用于连接的合作伙伴解决方案,如防火墙和终结点保护解决方案。 安全中心分析该信息(通常需将多个来源的信息关联起来)即可确定威胁。
安全中心使用各种高级安全分析,远不止几种基于攻击特征的方法。 可以充分利用大数据和 机器学习 技术的突破跨整个云结构对事件进行评估,检测那些使用手动方式不可能发现的威胁,并预测攻击的发展方式。 此类安全分析包括:
集成威胁智能:Microsoft 提供大量的全球威胁情报。 遥测数据的来源包括:Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft 数字犯罪部门 (DCU)、Microsoft 安全响应中心 (MSRC)。 研究人员也会收到在主要云服务提供商之间共享的威胁情报信息,以及来自其他第三方的源。 Azure 安全中心可能会在分析该信息后发出警报,提醒用户注意来自行为不端攻击者的威胁。
行为分析:行为分析是一种技术,该技术会对数据进行分析并将数据与一系列已知模式对比。 不过,这些模式不是简单的特征, 需要对大型数据集运用复杂的机器学习算法来确定, 或者由分析专家通过仔细分析恶意行为来确定。 Azure 安全中心可以使用行为分析对虚拟机日志、虚拟网络设备日志、结构日志和其他资源进行分析,确定遭到泄露的资源。
异常检测:Azure 安全中心也通过异常检测确定威胁。 与行为分析(依赖于从大型数据集派生的已知模式)相比,异常检测更“个性化”,注重特定于你的部署的基线。 运用机器学习确定部署的正常活动,并生成规则,定义可能表示安全事件的异常条件。
如何对警报进行分类?
安全中心为警报分配严重性,以帮助你确定参与每个警报的顺序优先级,以便在资源泄漏时可以立即访问。 严重性取决于安全中心在发出警报时所依据的检测结果和分析结果的置信度,以及导致发出警报的活动的恶意企图的置信度。
备注
警报严重性在门户和早于 2019-01-01 的 REST API 中以不同的方式显示。 如果你使用的是较低版本的 API,请升级以获得一致的体验,如下所述。
严重性 | 建议的响应 | |
---|---|---|
高 | 资源遭到泄露的可能性较高。 应立即进行调查。 安全中心在所检测出的恶意意图和用于发出警报的发现结果方面的可信度较高。 例如,检测到执行已知的恶意工具的警报,例如用于凭据盗窃的一种常见工具 Mimikatz。 | |
中等 | 这可能是一个可疑活动,此类活动可能表明资源遭到泄漏。 安全中心对分析或发现结果的可信度为中等,所检测到的恶意意图的可信度为中等到高。 这些通常是机器学习或基于异常的检测。 例如,从异常位置进行的登录尝试。 | |
低 | 这可能是无危险或已被阻止的攻击。 安全中心不太确定此意图是否带有恶意,也不太确定此活动是否无恶意。 例如,日志清除是当攻击者尝试隐藏踪迹时可能发生的操作,但在许多情况下此操作是由管理员执行的例行操作。 安全中心通常不会告知你攻击何时被阻止,除非这是我们建议你应该仔细查看的一个引发关注的案例。 | |
信息 | 只有在深化到某个安全事件时,或者如果将 REST API 与特定警报 ID 配合使用,才会看到信息警报。 一个事件通常由大量警报组成,一些警报单独看来可能价值不大,但在综合其他警报的情况下则值得深入探查。 | |
导出警报
你可以通过多种方法在安全中心外查看警报,其中包括:
警报仪表板上的“下载 CSV 报表”可提供到 CSV 的一次性导出。
定价和设置中的“连续导出”允许你将安全警报和建议流配置到 Log Analytics 工作区和事件中心。 详细了解连续导出
Azure Sentinel 连接器 将 Azure 安全中心的安全警报流式传输到 Azure Sentinel。 详细了解如何将 Azure 安全中心与 Azure Sentinel 连接
Azure 安全中心中的云智能警报关联(事件)
Azure 安全中心使用高级分析和威胁情报来持续分析混合云工作负载,在存在恶意活动时发出警报。
威胁的范围正在不断扩大。 检测哪怕最微小的攻击的需求也是很重要的,而安全分析人员对不同的警报进行会审并识别实际攻击可能非常具有挑战性。 安全中心可以帮助分析人员处理这些疲于应付的警报。 通过将不同的警报和低保真度信号关联到安全事件中,它有助于诊断发生的攻击。
Fusion 分析是为安全中心事件提供支持的技术和分析后端,它使安全中心能够将不同的警报和上下文信号关联在一起。 Fusion 查看跨资源订阅上报告的不同信号。 Fusion 查找具有共享上下文信息的攻击进度或信号的模式,指示你应该对它们使用统一的响应过程。
Fusion 分析将安全域知识与 AI 相结合,用于分析警报,发现新的攻击模式。
安全中心利用 MITRE 攻击矩阵将警报与其感知意图相关联,有助于形成规范化的安全域知识。 此外,通过使用为攻击的每个步骤收集的信息,安全中心可以排除看似是攻击步骤但实际上不是的活动。
由于攻击通常发生在不同的租户之间,安全中心可以结合 AI 算法来分析每个订阅上报告的攻击序列。 此技术将攻击序列标识为常见的警报模式,而不是只是偶然地相互关联。
在调查事件期间,分析员经常需要额外的上下文,以便得出有关威胁的性质以及如何缓解威胁的裁定。 例如,即使检测到网络异常,但不了解网络上发生的其他情况或者目标资源相关情况,很难知道接下来要采取什么操作。 为了提供帮助,安全事件可以包括工件、相关事件和信息。 可用于安全事件的其他信息因检测到的威胁类型和环境配置而异。
提示
有关可通过合成分析生成的安全事件警报的列表,请参阅警报的引用表。
要管理安全事件,请参阅如何管理 Azure 安全中心中的安全事件。