Azure 安全中心內(nèi)的安全警報(bào)和事件,azure安全平臺

Azure 安全中心內(nèi)的安全警報(bào)和事件

安全中心為部署在 Azure、本地以及混合云環(huán)境中的資源生成警報(bào)。

安全警報(bào)由高級檢測觸發(fā)，僅適用于 Azure Defender。 可以從“定價與設(shè)置”頁升級，如快速入門：啟用 Azure Defender中所述。 可免費(fèi)試用 30 天。 有關(guān)根據(jù)你所在區(qū)域以所選貨幣給出的定價詳細(xì)信息，請參閱安全中心定價。

什么是安全警報(bào)和安全事件？

“警報(bào)”是指安全中心在資源上檢測到威脅時生成的通知。 安全中心按優(yōu)先級列出警報(bào)，以及快速調(diào)查問題所需的信息。 安全中心還提供有關(guān)如何針對攻擊采取補(bǔ)救措施的建議。

“安全事件”是相關(guān)警報(bào)的集合，而不是單獨(dú)列出每個警報(bào)。 安全中心使用云智能警報(bào)關(guān)聯(lián)將不同警報(bào)和低保真信號關(guān)聯(lián)到安全事件。

通過事件，安全中心可提供攻擊活動和所有相關(guān)警報(bào)的單一視圖。 利用此視圖，你可以快速了解攻擊者采取的操作以及受影響的資源。

應(yīng)對當(dāng)前的威脅

過去 20 年里，威脅態(tài)勢有了很大的改變。 在過去，公司通常只需擔(dān)心網(wǎng)站被各個攻擊者改頭換面。許多情況下，這些攻擊者感興趣的是看看“自己能夠做什么”。 而現(xiàn)在，攻擊者則更為復(fù)雜，更有組織性。 他們通常有具體的經(jīng)濟(jì)和戰(zhàn)略目標(biāo)。 他們的可用資源也更多，因?yàn)樗麄兛赡苁怯蓢?地區(qū)提供資金支持的，可能是有組織犯罪。

這些不斷變化的現(xiàn)實(shí)導(dǎo)致攻擊者的專業(yè)水準(zhǔn)前所未有地高。 他們不再對篡改網(wǎng)頁感興趣。 他們現(xiàn)在感興趣的是竊取信息、金融帳戶和私人數(shù)據(jù) 所有這些都可以用來在公開市場上換錢；他們還感興趣的是特定的有利用價值的商業(yè)、政治或軍事職位。 比這更引人關(guān)注的是，這些以財(cái)務(wù)為目標(biāo)的攻擊者在侵入網(wǎng)絡(luò)后會破壞基礎(chǔ)結(jié)構(gòu)，對人們造成傷害。

作為響應(yīng)，組織通常會部署各種點(diǎn)解決方案，查找已知的攻擊特征，重點(diǎn)做好企業(yè)外圍防護(hù)或終結(jié)點(diǎn)防護(hù)。 這些解決方案會生成大量的低保真警報(bào)，需要安全分析師進(jìn)行會審和調(diào)查。 大多數(shù)組織缺乏必要的時間和專業(yè)技術(shù)來響應(yīng)此類警報(bào) – 許多警報(bào)被置之不理。

此外，攻擊者的方法不斷進(jìn)化，可破壞許多基于簽名的防御，并適合云環(huán)境。 必須采用新方法更快地確定新出現(xiàn)的威脅，加快檢測和應(yīng)對速度。

持續(xù)監(jiān)視和評估

Azure 安全中心受益于在整個 Microsoft 有安全研究和數(shù)據(jù)科學(xué)團(tuán)隊(duì)，持續(xù)監(jiān)視威脅態(tài)勢的變化情況。 其中包括以下計(jì)劃：

威脅情報(bào)監(jiān)視：威脅情報(bào)包括現(xiàn)有的或新出現(xiàn)的威脅的機(jī)制、指示器、含義和可操作建議。 此信息在安全社區(qū)共享，Microsoft 會持續(xù)監(jiān)視內(nèi)部和外部源提供的威脅情報(bào)源。

信號共享：安全團(tuán)隊(duì)的見解會跨 Microsoft 的一系列云服務(wù)和本地服務(wù)、服務(wù)器、客戶端終結(jié)點(diǎn)設(shè)備進(jìn)行共享和分析。

Microsoft 安全專家：持續(xù)接觸 Microsoft 的各個工作在專業(yè)安全領(lǐng)域（例如取證和 Web 攻擊檢測）的團(tuán)隊(duì)。

檢測優(yōu)化：針對實(shí)際的客戶數(shù)據(jù)集運(yùn)行相關(guān)算法，安全研究人員與客戶一起驗(yàn)證結(jié)果。 通過檢出率和誤報(bào)率優(yōu)化機(jī)器學(xué)習(xí)算法。

將這些措施結(jié)合起來，形成新的改進(jìn)型檢測方法，使你能夠即時受益，而你不需采取任何措施。

安全中心如何檢測威脅？

Microsoft 安全研究人員始終在不斷地尋找威脅。 由于在云中和本地的廣泛存在，我們可以訪問大量的遙測數(shù)據(jù)。 由于能夠廣泛訪問和收集各種數(shù)據(jù)集，我們可以通過本地消費(fèi)者產(chǎn)品和企業(yè)產(chǎn)品以及聯(lián)機(jī)服務(wù)發(fā)現(xiàn)新的攻擊模式和趨勢。 因此，當(dāng)攻擊者發(fā)布新的越來越復(fù)雜的漏斗利用方式時，安全中心就可以快速更新其檢測算法。 此方法可以讓用戶始終跟上變化莫測的威脅環(huán)境。

為了檢測真實(shí)威脅和減少誤報(bào)，安全中心自動收集、分析和集成來自 Azure 資源和網(wǎng)絡(luò)的日志數(shù)據(jù)。 它還適用于連接的合作伙伴解決方案，如防火墻和終結(jié)點(diǎn)保護(hù)解決方案。 安全中心分析該信息（通常需將多個來源的信息關(guān)聯(lián)起來）即可確定威脅。

安全中心使用各種高級安全分析，遠(yuǎn)不止幾種基于攻擊特征的方法。 可以充分利用大數(shù)據(jù)和機(jī)器學(xué)習(xí)技術(shù)的突破跨整個云結(jié)構(gòu)對事件進(jìn)行評估，檢測那些使用手動方式不可能發(fā)現(xiàn)的威脅，并預(yù)測攻擊的發(fā)展方式。 此類安全分析包括：

集成威脅智能：Microsoft 提供大量的全球威脅情報(bào)。 遙測數(shù)據(jù)的來源包括：Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft 數(shù)字犯罪部門 (DCU)、Microsoft 安全響應(yīng)中心 (MSRC)。 研究人員也會收到在主要云服務(wù)提供商之間共享的威脅情報(bào)信息，以及來自其他第三方的源。 Azure 安全中心可能會在分析該信息后發(fā)出警報(bào)，提醒用戶注意來自行為不端攻擊者的威脅。

行為分析：行為分析是一種技術(shù)，該技術(shù)會對數(shù)據(jù)進(jìn)行分析并將數(shù)據(jù)與一系列已知模式對比。 不過，這些模式不是簡單的特征， 需要對大型數(shù)據(jù)集運(yùn)用復(fù)雜的機(jī)器學(xué)習(xí)算法來確定， 或者由分析專家通過仔細(xì)分析惡意行為來確定。 Azure 安全中心可以使用行為分析對虛擬機(jī)日志、虛擬網(wǎng)絡(luò)設(shè)備日志、結(jié)構(gòu)日志和其他資源進(jìn)行分析，確定遭到泄露的資源。

異常檢測：Azure 安全中心也通過異常檢測確定威脅。 與行為分析（依賴于從大型數(shù)據(jù)集派生的已知模式）相比，異常檢測更“個性化”，注重特定于你的部署的基線。 運(yùn)用機(jī)器學(xué)習(xí)確定部署的正常活動，并生成規(guī)則，定義可能表示安全事件的異常條件。

如何對警報(bào)進(jìn)行分類？

安全中心為警報(bào)分配嚴(yán)重性，以幫助你確定參與每個警報(bào)的順序優(yōu)先級，以便在資源泄漏時可以立即訪問。 嚴(yán)重性取決于安全中心在發(fā)出警報(bào)時所依據(jù)的檢測結(jié)果和分析結(jié)果的置信度，以及導(dǎo)致發(fā)出警報(bào)的活動的惡意企圖的置信度。

備注

警報(bào)嚴(yán)重性在門戶和早于 20190101 的 REST API 中以不同的方式顯示。 如果你使用的是較低版本的 API，請升級以獲得一致的體驗(yàn)，如下所述。

導(dǎo)出警報(bào)

你可以通過多種方法在安全中心外查看警報(bào)，其中包括：

警報(bào)儀表板上的“下載 CSV 報(bào)表”可提供到 CSV 的一次性導(dǎo)出。

定價和設(shè)置中的“連續(xù)導(dǎo)出”允許你將安全警報(bào)和建議流配置到 Log Analytics 工作區(qū)和事件中心。詳細(xì)了解連續(xù)導(dǎo)出

Azure Sentinel 連接器將 Azure 安全中心的安全警報(bào)流式傳輸?shù)?Azure Sentinel。詳細(xì)了解如何將 Azure 安全中心與 Azure Sentinel 連接

Azure 安全中心中的云智能警報(bào)關(guān)聯(lián)（事件）

Azure 安全中心使用高級分析和威脅情報(bào)來持續(xù)分析混合云工作負(fù)載，在存在惡意活動時發(fā)出警報(bào)。

威脅的范圍正在不斷擴(kuò)大。 檢測哪怕最微小的攻擊的需求也是很重要的，而安全分析人員對不同的警報(bào)進(jìn)行會審并識別實(shí)際攻擊可能非常具有挑戰(zhàn)性。 安全中心可以幫助分析人員處理這些疲于應(yīng)付的警報(bào)。 通過將不同的警報(bào)和低保真度信號關(guān)聯(lián)到安全事件中，它有助于診斷發(fā)生的攻擊。

Fusion 分析是為安全中心事件提供支持的技術(shù)和分析后端，它使安全中心能夠?qū)⒉煌木瘓?bào)和上下文信號關(guān)聯(lián)在一起。 Fusion 查看跨資源訂閱上報(bào)告的不同信號。 Fusion 查找具有共享上下文信息的攻擊進(jìn)度或信號的模式，指示你應(yīng)該對它們使用統(tǒng)一的響應(yīng)過程。

Fusion 分析將安全域知識與 AI 相結(jié)合，用于分析警報(bào)，發(fā)現(xiàn)新的攻擊模式。

安全中心利用 MITRE 攻擊矩陣將警報(bào)與其感知意圖相關(guān)聯(lián)，有助于形成規(guī)范化的安全域知識。 此外，通過使用為攻擊的每個步驟收集的信息，安全中心可以排除看似是攻擊步驟但實(shí)際上不是的活動。

由于攻擊通常發(fā)生在不同的租戶之間，安全中心可以結(jié)合 AI 算法來分析每個訂閱上報(bào)告的攻擊序列。 此技術(shù)將攻擊序列標(biāo)識為常見的警報(bào)模式，而不是只是偶然地相互關(guān)聯(lián)。

在調(diào)查事件期間，分析員經(jīng)常需要額外的上下文，以便得出有關(guān)威脅的性質(zhì)以及如何緩解威脅的裁定。 例如，即使檢測到網(wǎng)絡(luò)異常，但不了解網(wǎng)絡(luò)上發(fā)生的其他情況或者目標(biāo)資源相關(guān)情況，很難知道接下來要采取什么操作。 為了提供幫助，安全事件可以包括工件、相關(guān)事件和信息。 可用于安全事件的其他信息因檢測到的威脅類型和環(huán)境配置而異。

提示

有關(guān)可通過合成分析生成的安全事件警報(bào)的列表，請參閱警報(bào)的引用表。

要管理安全事件，請參閱如何管理 Azure 安全中心中的安全事件。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。