Azure 安全中心內的安全警報和事件,azure免費使用

Azure安全中心中的安全警報和事件

安全中心為部署在Azure、本地和混合云環境中的資源生成警報。

安全警報由高級檢測觸發，僅適用于Azure Defender。您可以從定價和設置頁面進行升級，如入門:啟用Azure Defender中所述。免費試用30天。有關您所在地區所選貨幣的定價詳情，請參考安全中心定價。

什么是安全警報和安全事件？

“警報”是指安全中心在檢測到資源上的威脅時生成的通知。安全中心按優先級列出警報，以及快速調查問題所需的信息。安全中心還提供如何針對攻擊采取補救措施的建議。

“安全事件”是相關警報的集合，而不是單獨列出每個警報。安全中心使用云智能警報關聯將不同的警報和低保真度信號與安全事件相關聯。

通過事件，安全中心可以提供攻擊活動和所有相關警報的單一視圖。有了這個視圖，您可以快速了解攻擊者采取的行動和受影響的資源。

應對當前的威脅

在過去的20年里，威脅形勢發生了很大變化。在過去，公司通常只需擔心網站被各種攻擊者更改。在許多情況下，這些攻擊者感興趣的是看看他們能做些什么。現在，攻擊者變得更加復雜和有組織。他們通常有特定的經濟和戰略目標。他們也有更多的可用資源，因為他們可能由國家/地區資助，可能是有組織犯罪。

這些不斷變化的現實導致了攻擊者前所未有的高專業水平。他們不再對篡改網頁感興趣。現在他們對竊取信息、財務賬戶和私人數據感興趣——所有這些都可以用來在公開市場上換錢；他們還對具體有用的商業、政治或軍事職位感興趣。比這更有趣的是，這些金融攻擊者入侵網絡后會破壞基礎結構，對人造成傷害。

作為回應，組織通常部署各種單點解決方案，尋找已知的攻擊特征，并專注于企業邊界保護或端點保護。這些解決方案將生成大量低保真度警報，需要由安全分析師進行審查和調查。大多數組織缺乏必要的時間和專業知識來應對這種警報——其中許多都被忽視了。

此外，攻擊者的手段也在不斷進化，可以突破很多基于簽名的防御，適用于云環境。必須采用新方法來更快地識別新出現的威脅，并加快檢測和響應速度。

持續監測和評估

Azure Security Center受益于遍布微軟的安全研究和數據科學團隊，持續監控威脅形勢的變化。其中包括以下計劃:

威脅監控:威脅信息包括現有或新出現的威脅的機制、指標、含義和可行建議。這些信息在安全社區中共享，并且微軟持續監控由內部和外部來源提供的威脅情報來源。

信號共享:安全團隊的見解將在一系列微軟云服務和本地服務、服務器和客戶端終端設備之間共享和分析。

微軟安全專家:與微軟在專業安全領域工作的團隊保持聯系(如取證和Web攻擊檢測)。

優化:針對實際客戶數據集運行相關算法，安全研究人員與客戶一起驗證結果。通過檢測率和虛警率優化機器學習算法。

把這些措施結合起來，形成一個新的改進的檢測方法，讓你不用采取任何措施就能立即受益。

安全中心如何檢測威脅？

微軟安全研究人員一直在尋找威脅。由于在云中和本地的廣泛存在，我們可以訪問大量的遙測數據。由于廣泛訪問和收集各種數據集，我們可以通過本地消費產品和企業產品以及在線服務發現新的攻擊模式和趨勢。因此，當攻擊者發布新的更復雜的漏斗利用方法時，安全中心可以快速更新其檢測算法。這種方法允許用戶跟上不可預測的威脅環境。

為了檢測真正的威脅并減少錯誤警報，安全中心自動收集、分析和整合來自Azure資源和網絡的日志數據。它也適用于互聯合作伙伴解決方案，如防火墻和終端保護解決方案。安全中心分析這些信息(通常需要關聯來自多個來源的信息)以確定威脅。

安全中心使用各種高級安全分析，遠不止基于攻擊特征的幾種方法。我們可以充分利用大數據和machine 學習技術的突破，對整個云結構上的事件進行評估，檢測那些人工無法發現的威脅，預測攻擊的發展。此類安全分析包括:

集成威脅情報:微軟提供大量全球威脅情報。遙測數據的來源包括Azure、微軟365、微軟CRM Online、微軟Dynamics AX、MSN.com outlook.com、微軟數字犯罪部門(DCU)和微軟安全響應中心(MSRC)。研究人員還將接收主要云服務提供商之間共享的威脅情報信息，以及來自其他第三方的來源。Azure Security Center可能會在分析這些信息后發出警報，提醒用戶來自行為不端的攻擊者的威脅。

行為分析:行為分析是一種分析數據并將其與一系列已知模式進行比較的技術。然而，這些模式并不是簡單的特征，需要通過在大型數據集上使用復雜的機器學習算法，或者通過分析師仔細分析惡意行為來確定。Azure安全中心可以使用行為分析來分析虛擬機日志、虛擬網絡設備日志、結構日志和其他資源，以確定泄露的資源。

異常檢測:Azure安全中心還通過異常檢測來確定威脅。與行為分析(依賴于從大型數據集獲得的已知模式)相比，異常檢測更加“個性化”，并專注于特定于您的部署的基準。使用machine 學習來確定部署的正常活動，并生成規則來定義可能指示安全事件的異常情況。

如何對報警進行分類？

安全中心為警報分配嚴重性，以幫助您確定參與每個警報的順序優先級，以便您可以在資源泄漏時立即訪問它。嚴重性取決于安全中心在發出警報時所依賴的檢測結果和分析結果的置信度，以及導致發出警報的活動的惡意嘗試的置信度。

評論

在20190101之前的portal和REST API中，告警嚴重程度以不同的方式顯示。如果您使用的是較低版本的API，請升級以獲得一致的體驗，如下所述。

如何對警報進行分類？嚴重性建議的響應高資源遭到泄露的可能性較高。 應立即進行調查。 安全中心在所檢測出的惡意意圖和用于發出警報的發現結果方面的可信度較高。 例如，檢測到執行已知的惡意工具的警報，例如用于憑據盜竊的一種常見工具 Mimikatz。中等這可能是一個可疑活動，此類活動可能表明資源遭到泄漏。 安全中心對分析或發現結果的可信度為中等，所檢測到的惡意意圖的可信度為中等到高。 這些通常是機器學習或基于異常的檢測。 例如，從異常位置進行的登錄嘗試。低這可能是無危險或已被阻止的攻擊。 安全中心不太確定此意圖是否帶有惡意，也不太確定此活動是否無惡意。 例如，日志清除是當攻擊者嘗試隱藏蹤跡時可能發生的操作，但在許多情況下此操作是由管理員執行的例行操作。 安全中心通常不會告知你攻擊何時被阻止，除非這是我們建議你應該仔細查看的一個引發關注的案例。信息只有在深化到某個安全事件時，或者如果將 REST API 與特定警報 ID 配合使用，才會看到信息警報。 一個事件通常由大量警報組成，一些警報單獨看來可能價值不大，但在綜合其他警報的情況下則值得深入探查。

導出警報

您可以通過多種方式在安全中心之外查看警報，包括:

儀表板上的“下載CSV報告”可以提供一次性導出到CSV。

定價設置中的“連續導出”允許您將安全警報和建議流配置到日志分析工作區和事件中心。了解有關連續導出的更多信息。

Azure Sentinel連接器將安全警報從Azure安全中心傳輸到Azure Sentinel。了解有關如何將Azure安全中心與Azure Sentinel連接的更多信息。

Azure安全中心中的云智能警報關聯(事件)

Azure Security Center使用高級分析和威脅情報來持續分析混合云工作負載，并在存在惡意活動時發出警報。

威脅的范圍在不斷擴大。即使是最小的攻擊也需要檢測，這一點非常重要，對于安全分析師來說，審查不同的警報并識別實際的攻擊可能非常具有挑戰性。安全中心可以幫助分析師處理這些令人厭倦的警報。通過將不同的警報和低保真度信號關聯到安全事件中，它有助于診斷攻擊。

融合分析是為安全中心事件提供支持的技術和分析的后端。它使安全中心能夠關聯不同的警報和上下文信號。查看Fusion在跨資源訂閱上報告的不同信號。Fusion尋找攻擊進程的模式或具有共享上下文信息的信號，表明您應該對它們使用統一的響應流程。

融合分析將安全領域知識與人工智能相結合，分析警報并發現新的攻擊模式。

安全中心使用MITRE攻擊矩陣將警報與其感知的意圖相關聯，這有助于形成標準化的安全領域知識。此外，通過使用為攻擊的每個步驟收集的信息，安全中心可以排除看起來是攻擊步驟但實際上不是的活動。

由于攻擊通常發生在不同租戶之間，安全中心可以結合AI算法來分析每個訂閱上報告的攻擊序列。這項技術將攻擊序列識別為常見的警報模式，而不僅僅是彼此偶然相關。

在事件調查期間，分析師通常需要額外的背景信息，以便對威脅的性質以及如何減輕威脅做出決策。例如，即使檢測到網絡異常，在不知道網絡或目標資源上發生的其他情況的情況下，也很難知道下一步要做什么。為了有所幫助，安全事件可以包括工件、相關事件和信息。可用于安全事件的其他信息因檢測到的威脅類型和環境配置而異。

給個提示

有關綜合分析可生成的安全事件警報列表，請參考警報參考表。

若要管理安全事件，請參閱如何在Azure安全中心管理安全事件。

文章推薦
Google Ads 又雙叒更新啦,google ads被暫停
Google自動化廣告如何助力海外推廣,谷歌推廣廣告
Google展示廣告及搜索廣告的營銷技巧,谷歌廣告推廣策略
Google廣告類型細分,google出海計劃廣告

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。