Azure 安全中心的安全警报,azure 风险-ESG跨境

Azure 安全中心的安全警报,azure 风险

Azure 安全中心的安全警报

安全中心提供许多不同资源类型的各种警报。安全中心为部署在Azure上的资源以及部署在本地和混合云环境中的资源生成警报。

安全警报由高级检测触发，仅适用于Azure Defender。提供试用版。可以从“定价和设置”页升级。详细了解安全中心定价。

应对当前的威胁

过去20年里，威胁态势有了很大的改变。在过去，公司通常只需担心网站被各个攻击者改头换面。许多情况下，这些攻击者感兴趣的是看看“自己能够做什么”。而现在，攻击者则更为复杂，更有组织性。他们通常有具体的经济和战略目标。他们的可用资源也更多，因为他们可能是由国家/地区提供资金支持的，可能是有组织犯罪。

这些不断变化的现实导致攻击者的专业水准前所未有地高。他们不再对篡改网页感兴趣。他们现在感兴趣的是窃取信息、金融帐户和私人数据所有这些都可以用来在公开市场上换钱；他们还感兴趣的是特定的有利用价值的商业、政治或军事职位。比这更引人关注的是，这些以财务为目标的攻击者在侵入网络后会破坏基础结构，对人们造成伤害。

作为响应，组织通常会部署各种点解决方案，查找已知的攻击特征，重点做好企业外围防护或终结点防护。这些解决方案会生成大量的低保真警报，需要安全分析师进行会审和调查。大多数组织缺乏必要的时间和专业技术来响应此类警报许多警报被置之不理。

此外，攻击者的方法不断进化，可破坏许多基于签名的防御，并适合云环境。必须采用新方法更快地确定新出现的威胁，加快检测和应对速度。

什么是安全警报和安全事件？

“警报”是指安全中心在资源上检测到威胁时生成的通知。安全中心按优先级列出警报，以及快速调查问题所需的信息。安全中心还提供有关如何针对攻击采取补救措施的建议。

“安全事件”是相关警报的集合，而不是单独列出每个警报。安全中心使用云智能警报关联将不同警报和低保真信号关联到安全事件。

通过事件，安全中心可提供攻击活动和所有相关警报的单一视图。利用此视图，你可以快速了解攻击者采取的操作以及受影响的资源。有关详细信息，请参阅云智能警报关联。

安全中心如何检测威胁？

Microsoft安全研究人员始终在不断地寻找威胁。由于在云中和本地的广泛存在，我们可以访问大量的遥测数据。由于能够广泛访问和收集各种数据集，我们可以通过本地消费者产品和企业产品以及联机服务发现新的攻击模式和趋势。因此，当攻击者发布新的越来越复杂的漏斗利用方式时，安全中心就可以快速更新其检测算法。此方法可以让用户始终跟上变化莫测的威胁环境。

为了检测真实威胁和减少误报，安全中心自动收集、分析和集成来自Azure资源和网络的日志数据。它还适用于连接的合作伙伴解决方案，如防火墙和终结点保护解决方案。安全中心分析该信息（通常需将多个来源的信息关联起来）即可确定威胁。

安全中心数据收集和呈现

安全中心使用各种高级安全分析，远不止几种基于攻击特征的方法。可以充分利用大数据和机器学习技术的突破跨整个云结构对事件进行评估，检测那些使用手动方式不可能发现的威胁，并预测攻击的发展方式。此类安全分析包括：

集成威胁智能：Microsoft提供大量的全球威胁情报。遥测数据的来源包括：Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft数字犯罪部门(DCU)、Microsoft安全响应中心(MSRC)。研究人员也会收到在主要云服务提供商之间共享的威胁情报信息，以及来自其他第三方的源。Azure安全中心可能会在分析该信息后发出警报，提醒用户注意来自行为不端攻击者的威胁。

行为分析：行为分析是一种技术，该技术会对数据进行分析并将数据与一系列已知模式对比。不过，这些模式不是简单的特征，需要对大型数据集运用复杂的机器学习算法来确定，或者由分析专家通过仔细分析恶意行为来确定。Azure安全中心可以使用行为分析对虚拟机日志、虚拟网络设备日志、结构日志和其他资源进行分析，确定遭到泄露的资源。

异常检测：Azure安全中心也通过异常检测确定威胁。与行为分析（依赖于从大型数据集派生的已知模式）相比，异常检测更“个性化”，注重特定于你的部署的基线。运用机器学习确定部署的正常活动，并生成规则，定义可能表示安全事件的异常条件。

如何对警报进行分类？

安全中心为警报分配严重性，以帮助你确定参与每个警报的顺序优先级，以便在资源泄漏时可以立即访问。严重性取决于安全中心对调查结果或用于发出警报的分析的可信度，以及对导致警报的活动背后存在恶意意图的可信度级别。

备注

警报严重性在门户和早于20190101的REST API中以不同的方式显示。如果你使用的是较低版本的API，请升级以获得一致的体验，如下所述。

高：资源遭到泄露的可能性较高。应立即进行调查。安全中心在所检测出的恶意意图和用于发出警报的发现结果方面的可信度较高。例如，检测到执行已知的恶意工具的警报，例如用于凭据盗窃的一种常见工具Mimikatz。

中等：这可能是一个可疑活动，此类活动可能表明资源遭到泄漏。安全中心对分析或发现结果的可信度为中等，所检测到的恶意意图的可信度为中等到高。这些通常是机器学习或基于异常的检测。例如，从异常位置进行的登录尝试。

低：这可能是无危险或已被阻止的攻击。

安全中心不足以肯定此意图是否带有恶意，并且此活动可能无恶意。例如，日志清除是当攻击者尝试隐藏踪迹时可能发生的操作，但在许多情况下此操作是由管理员执行的例行操作。

安全中心通常不会告知你攻击何时被阻止，除非这是我们建议你应该仔细查看的一个引发关注的案例。

信息：只有在深化到某个安全事件时，或者如果将REST API与特定警报ID配合使用，才会看到信息警报。一个事件通常由大量警报组成，有一些警报可能仅会单独出现以提供信息，而其他一些警报的上下文中的信息可能值得你深入探查一下。

持续监视和评估

Azure安全中心受益于在整个Microsoft有安全研究和数据科学团队，持续监视威胁态势的变化情况。其中包括以下计划：

威胁情报监视：威胁情报包括现有的或新出现的威胁的机制、指示器、含义和可操作建议。此信息在安全社区共享，Microsoft会持续监视内部和外部源提供的威胁情报源。

信号共享：安全团队的见解会跨Microsoft的一系列云服务和本地服务、服务器、客户端终结点设备进行共享和分析。

Microsoft安全专家：持续接触Microsoft的各个工作在专业安全领域（例如取证和Web攻击检测）的团队。

检测优化：针对实际的客户数据集运行相关算法，安全研究人员与客户一起验证结果。通过检出率和误报率优化机器学习算法。

将这些措施结合起来，形成新的改进型检测方法，使你能够即时受益，而你不需采取任何措施。

导出警报

你可以通过多种方法在安全中心外查看警报，其中包括：

警报仪表板上的“下载CSV报表”可提供到CSV的一次性导出。

定价和设置中的“连续导出”允许你将安全警报和建议流配置到Log Analytics工作区和事件中心。详细了解连续导出

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。