- บทความ
บทความนี้อธิบายถึงการแจ้งเตือนด้านความปลอดภัยและการแจ้งเตือนใน Microsoft Defender for Cloud
การแจ้งเตือนความปลอดภัยคืออะไร?
การแจ้งเตือนความปลอดภัยคือการแจ้งเตือนที่สร้างโดย Defender สำหรับแผนการป้องกันเวิร์กโหลดของ Cloud เมื่อมีการระบุภัยคุกคามในสภาพแวดล้อม Azure, ไฮบริด หรือมัลติคลาวด์ของคุณ
- การแจ้งเตือนความปลอดภัยจะทำงานโดยการตรวจจับขั้นสูงที่มีให้เมื่อคุณเปิดใช้งานแผนป้องกันสำหรับประเภททรัพยากรเฉพาะ
- การแจ้งเตือนแต่ละรายการจะแสดงรายละเอียดของทรัพยากร ปัญหา และขั้นตอนการแก้ไขที่ได้รับผลกระทบ
- Defender for Cloud จัดประเภทการแจ้งเตือนและจัดลำดับความสำคัญตามความรุนแรง
- การแจ้งเตือนจะแสดงในพอร์ทัลเป็นเวลา 90 วัน แม้ว่าทรัพยากรที่เกี่ยวข้องกับการแจ้งเตือนจะถูกลบในช่วงเวลานั้น เนื่องจากการแจ้งเตือนอาจบ่งบอกถึงการละเมิดที่อาจเกิดขึ้นกับองค์กรของคุณซึ่งจำเป็นต้องได้รับการตรวจสอบเพิ่มเติม
- การแจ้งเตือนสามารถส่งออกเป็นรูปแบบ CSV
- การแจ้งเตือนยังสามารถสตรีมโดยตรงไปยัง Security Information and Event Management (SIEM) เช่น Microsoft Sentinel, Security Orchestration Automated Response (SOAR) หรือ IT Service Management (ITSM)
- Defender for Cloud ใช้ประโยชน์จากเมทริกซ์การโจมตี MITERเพื่อเชื่อมโยงการแจ้งเตือนเข้ากับเจตนาที่รับรู้ได้ ช่วยให้ความรู้เกี่ยวกับโดเมนความปลอดภัยเป็นทางการ
การแจ้งเตือนถูกจัดประเภทอย่างไร?
การแจ้งเตือนมีระดับความรุนแรงที่กำหนดเพื่อช่วยจัดลำดับความสำคัญของวิธีเข้าร่วมการแจ้งเตือนแต่ละรายการ ความรุนแรงขึ้นอยู่กับ:
- ทริกเกอร์เฉพาะ
- ระดับความเชื่อมั่นว่ามีเจตนาร้ายอยู่เบื้องหลังกิจกรรมที่นำไปสู่การแจ้งเตือน
| ความรุนแรง | คำตอบที่แนะนำ |
|---|---|
| สูง | มีความเป็นไปได้สูงที่ทรัพยากรของคุณจะถูกบุกรุก คุณควรตรวจสอบทันที Defender for Cloud มีความมั่นใจสูงทั้งในด้านเจตนาร้ายและในผลลัพธ์ที่ใช้ในการแจ้งเตือน ตัวอย่างเช่น การแจ้งเตือนที่ตรวจพบการดำเนินการของเครื่องมือที่เป็นอันตรายที่รู้จัก เช่น Mimikatz ซึ่งเป็นเครื่องมือทั่วไปที่ใช้สำหรับการขโมยข้อมูลประจำตัว |
| ปานกลาง | นี่อาจเป็นกิจกรรมที่น่าสงสัย อาจบ่งชี้ว่าทรัพยากรถูกบุกรุก ความเชื่อมั่นของ Defender for Cloud ในการวิเคราะห์หรือการค้นหานั้นอยู่ในระดับปานกลาง และความเชื่อมั่นของเจตนาร้ายนั้นอยู่ในระดับปานกลางถึงสูง สิ่งเหล่านี้มักจะเป็นการเรียนรู้ของเครื่องหรือการตรวจจับตามความผิดปกติ เช่น การพยายามลงชื่อเข้าใช้จากตำแหน่งที่ผิดปกติ |
| ต่ำ | นี่อาจเป็นการโจมตีเชิงบวกที่ไม่เป็นอันตรายหรือการโจมตีที่ถูกบล็อก Defender for Cloud ไม่มั่นใจเพียงพอว่าเจตนามุ่งร้ายและกิจกรรมนั้นอาจไร้เดียงสา ตัวอย่างเช่น การล้างข้อมูลบันทึกเป็นการกระทำที่อาจเกิดขึ้นเมื่อผู้โจมตีพยายามซ่อนเส้นทางของตน แต่ในหลายกรณีเป็นการดำเนินการตามปกติที่ดำเนินการโดยผู้ดูแลระบบ โดยปกติแล้ว Defender for Cloud จะไม่บอกคุณเมื่อการโจมตีถูกบล็อก เว้นแต่เป็นกรณีที่น่าสนใจที่เราแนะนำให้คุณพิจารณา |
| ข้อมูล | โดยทั่วไป เหตุการณ์จะประกอบด้วยการแจ้งเตือนจำนวนหนึ่ง ซึ่งบางอย่างอาจดูเหมือนเป็นเพียงการให้ข้อมูลเท่านั้น แต่ในบริบทของการแจ้งเตือนอื่นๆ อาจมีค่าควรแก่การพิจารณาอย่างใกล้ชิด |
เหตุการณ์ด้านความปลอดภัยคืออะไร?
เหตุการณ์ด้านความปลอดภัยเป็นชุดของการแจ้งเตือนที่เกี่ยวข้อง
เหตุการณ์ช่วยให้คุณมองเห็นการโจมตีและการแจ้งเตือนที่เกี่ยวข้องในมุมมองเดียว เพื่อให้คุณสามารถเข้าใจการกระทำของผู้โจมตีและทรัพยากรที่ได้รับผลกระทบได้อย่างรวดเร็ว
เมื่อภัยคุกคามครอบคลุมมากขึ้น ความจำเป็นในการตรวจจับแม้แต่การประนีประนอมเพียงเล็กน้อยก็เพิ่มขึ้นเช่นกัน เป็นเรื่องท้าทายสำหรับนักวิเคราะห์ด้านความปลอดภัยในการแยกแยะการแจ้งเตือนต่างๆ และระบุการโจมตีที่เกิดขึ้นจริง ด้วยการเชื่อมโยงการแจ้งเตือนและสัญญาณความเที่ยงตรงต่ำเข้ากับเหตุการณ์ด้านความปลอดภัย Defender for Cloud ช่วยให้นักวิเคราะห์รับมือกับความล้าของการแจ้งเตือนนี้ได้
ในระบบคลาวด์ การโจมตีสามารถเกิดขึ้นได้กับผู้เช่าที่แตกต่างกัน Defender for Cloud สามารถรวมอัลกอริทึม AI เพื่อวิเคราะห์ลำดับการโจมตีที่รายงานในการสมัครสมาชิก Azure แต่ละรายการ เทคนิคนี้ระบุลำดับการโจมตีเป็นรูปแบบการแจ้งเตือนที่แพร่หลาย แทนที่จะเชื่อมโยงกันโดยบังเอิญ
ในระหว่างการสืบสวนเหตุการณ์ นักวิเคราะห์มักต้องการบริบทเพิ่มเติมเพื่อตัดสินเกี่ยวกับลักษณะของภัยคุกคามและวิธีบรรเทาผลกระทบ ตัวอย่างเช่น แม้จะตรวจพบความผิดปกติของเครือข่าย หากไม่เข้าใจว่ามีอะไรเกิดขึ้นอีกบ้างบนเครือข่ายหรือเกี่ยวกับทรัพยากรเป้าหมาย ก็ยากที่จะเข้าใจว่าต้องดำเนินการอย่างไรต่อไป เพื่อช่วย เหตุการณ์ด้านความปลอดภัยอาจรวมถึงอาร์ติแฟกต์ เหตุการณ์ที่เกี่ยวข้อง และข้อมูล ข้อมูลเพิ่มเติมที่มีสำหรับเหตุการณ์ด้านความปลอดภัยจะแตกต่างกันไป ขึ้นอยู่กับประเภทของภัยคุกคามที่ตรวจพบและการกำหนดค่าของสภาพแวดล้อมของคุณ
เชื่อมโยงการแจ้งเตือนเข้ากับเหตุการณ์
Defender for Cloud เชื่อมโยงการแจ้งเตือนและสัญญาณตามบริบทเข้ากับเหตุการณ์ต่างๆ
- ความสัมพันธ์จะพิจารณาสัญญาณที่แตกต่างกันในทรัพยากรต่างๆ และรวมความรู้ด้านความปลอดภัยและ AI เพื่อวิเคราะห์การแจ้งเตือน ค้นพบรูปแบบการโจมตีใหม่ๆ เมื่อเกิดขึ้น
- ด้วยการใช้ข้อมูลที่รวบรวมสำหรับแต่ละขั้นตอนของการโจมตี Defender for Cloud ยังสามารถแยกแยะกิจกรรมที่ดูเหมือนจะเป็นขั้นตอนของการโจมตี แต่แท้จริงแล้วไม่ใช่
เคล็ดลับ
ในการอ้างอิงเหตุการณ์ตรวจสอบรายการเหตุการณ์ด้านความปลอดภัยที่สามารถเกิดขึ้นได้จากความสัมพันธ์ของเหตุการณ์
Defender for Cloud ตรวจจับภัยคุกคามได้อย่างไร
ในการตรวจจับภัยคุกคามจริงและลดผลบวกลวง Defender for Cloud จะตรวจสอบทรัพยากร รวบรวม และวิเคราะห์ข้อมูลเพื่อหาภัยคุกคาม โดยมักจะเชื่อมโยงข้อมูลจากหลายแหล่ง
ความคิดริเริ่มของ Microsoft
Microsoft Defender for Cloud ได้รับประโยชน์จากการมีทีมวิจัยด้านความปลอดภัยและวิทยาการข้อมูลทั่วทั้ง Microsoft ที่เฝ้าติดตามการเปลี่ยนแปลงของแนวภัยคุกคามอย่างต่อเนื่อง ซึ่งรวมถึงการริเริ่มดังต่อไปนี้:
ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft: การมีส่วนร่วมอย่างต่อเนื่องกับทีมต่างๆ ทั่วทั้ง Microsoft ที่ทำงานในด้านความปลอดภัยเฉพาะทาง เช่น การพิสูจน์หลักฐานและการตรวจจับการโจมตีทางเว็บ
การวิจัยด้านความปลอดภัยของ Microsoft: นักวิจัยของเรามองหาภัยคุกคามอย่างต่อเนื่อง เนื่องจากการมีอยู่ทั่วโลกของเราในระบบคลาวด์และในสถานที่ เราจึงสามารถเข้าถึงชุดการวัดและส่งข้อมูลทางไกลที่กว้างขวาง การรวบรวมชุดข้อมูลที่กว้างขวางและหลากหลายช่วยให้เราค้นพบรูปแบบและแนวโน้มการโจมตีใหม่ๆ ทั่วทั้งผลิตภัณฑ์สำหรับผู้บริโภคและองค์กรในองค์กร ตลอดจนบริการออนไลน์ของเรา ด้วยเหตุนี้ Defender for Cloud จึงสามารถอัปเดตอัลกอริทึมการตรวจจับได้อย่างรวดเร็วเมื่อผู้โจมตีปล่อยช่องโหว่ใหม่ๆ ที่ซับซ้อนขึ้นเรื่อยๆ วิธีการนี้ช่วยให้คุณตามทันสภาพแวดล้อมภัยคุกคามที่เคลื่อนไหวอย่างรวดเร็ว
การตรวจสอบข่าวกรองภัยคุกคาม: ข้อมูลภัยคุกคามรวมถึงกลไก ตัวบ่งชี้ ความหมาย และคำแนะนำที่ดำเนินการได้เกี่ยวกับภัยคุกคามที่มีอยู่หรือที่เกิดขึ้นใหม่ ข้อมูลนี้ใช้ร่วมกันในชุมชนการรักษาความปลอดภัย และ Microsoft ตรวจสอบฟีดข่าวกรองภัยคุกคามจากแหล่งภายในและภายนอกอย่างต่อเนื่อง
การแบ่งปันสัญญาณ: ข้อมูลเชิงลึกจากทีมรักษาความปลอดภัยในพอร์ตโฟลิโอคลาวด์และบริการภายในองค์กร เซิร์ฟเวอร์ และอุปกรณ์ปลายทางไคลเอ็นต์ของ Microsoft จะถูกแชร์และวิเคราะห์
การปรับการตรวจจับ: อัลกอริทึมทำงานกับชุดข้อมูลจริงของลูกค้า และนักวิจัยด้านความปลอดภัยทำงานร่วมกับลูกค้าเพื่อตรวจสอบความถูกต้องของผลลัพธ์ ผลบวกจริงและเท็จใช้เพื่อปรับแต่งอัลกอริทึมการเรียนรู้ของเครื่อง
ความพยายามร่วมกันเหล่านี้นำไปสู่การตรวจจับใหม่และปรับปรุง ซึ่งคุณสามารถรับประโยชน์ได้ทันที – คุณไม่ต้องดำเนินการใดๆ
การวิเคราะห์ความปลอดภัย
Defender for Cloud ใช้การวิเคราะห์ความปลอดภัยขั้นสูง ซึ่งนอกเหนือไปจากวิธีการตามลายเซ็น ความก้าวหน้าในข้อมูลขนาดใหญ่และการเรียนรู้ของเครื่องมีการใช้ประโยชน์จากเทคโนโลยีเพื่อประเมินเหตุการณ์ทั่วทั้งโครงสร้างระบบคลาวด์ - ตรวจจับภัยคุกคามที่ไม่สามารถระบุได้โดยใช้วิธีการด้วยตนเองและคาดการณ์วิวัฒนาการของการโจมตี การวิเคราะห์ความปลอดภัยเหล่านี้ประกอบด้วย:
ข้อมูลภัยคุกคามแบบบูรณาการ
Microsoft มีหน่วยสืบราชการลับเกี่ยวกับภัยคุกคามทั่วโลกจำนวนมหาศาล การวัดและส่งข้อมูลทางไกลไหลเข้ามาจากหลายแหล่ง เช่น Azure, Microsoft 365, Microsoft CRM ออนไลน์, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) และ Microsoft Security Response Center (MSRC) นักวิจัยยังได้รับข้อมูลข่าวกรองภัยคุกคามที่แบ่งปันระหว่างผู้ให้บริการระบบคลาวด์รายใหญ่และฟีดจากบุคคลที่สามอื่นๆ Microsoft Defender for Cloud สามารถใช้ข้อมูลนี้เพื่อแจ้งเตือนคุณถึงภัยคุกคามจากผู้ไม่หวังดีที่รู้จัก
การวิเคราะห์พฤติกรรม
การวิเคราะห์พฤติกรรมเป็นเทคนิคที่วิเคราะห์และเปรียบเทียบข้อมูลกับชุดรูปแบบที่รู้จัก อย่างไรก็ตาม รูปแบบเหล่านี้ไม่ใช่ลายเซ็นธรรมดาๆ พวกเขาถูกกำหนดผ่านอัลกอริธึมการเรียนรู้ของเครื่องที่ซับซ้อนซึ่งนำไปใช้กับชุดข้อมูลขนาดใหญ่ นอกจากนี้ยังถูกกำหนดโดยการวิเคราะห์พฤติกรรมที่เป็นอันตรายอย่างรอบคอบโดยนักวิเคราะห์ผู้เชี่ยวชาญ Microsoft Defender for Cloud สามารถใช้การวิเคราะห์พฤติกรรมเพื่อระบุทรัพยากรที่ถูกบุกรุกโดยอิงจากการวิเคราะห์บันทึกของเครื่องเสมือน บันทึกอุปกรณ์เครือข่ายเสมือน บันทึกแฟบริค และแหล่งข้อมูลอื่นๆ
การตรวจจับความผิดปกติ
Defender for Cloud ยังใช้การตรวจจับความผิดปกติเพื่อระบุภัยคุกคาม ตรงกันข้ามกับการวิเคราะห์เชิงพฤติกรรมที่ขึ้นอยู่กับรูปแบบที่ทราบซึ่งได้รับจากชุดข้อมูลขนาดใหญ่ การตรวจจับความผิดปกติจะเป็นแบบ "ส่วนบุคคล" มากกว่าและเน้นที่บรรทัดฐานที่เฉพาะเจาะจงสำหรับการปรับใช้ของคุณ การเรียนรู้ของเครื่องจะใช้เพื่อกำหนดกิจกรรมปกติสำหรับการปรับใช้ของคุณ จากนั้นกฎจะถูกสร้างขึ้นเพื่อกำหนดเงื่อนไขนอกกรอบที่อาจแสดงถึงเหตุการณ์ความปลอดภัย
ส่งออกการแจ้งเตือน
คุณมีตัวเลือกมากมายสำหรับการดูการแจ้งเตือนของคุณนอก Defender for Cloud รวมถึง:
- ดาวน์โหลดรายงาน CSVบนแดชบอร์ดการแจ้งเตือนให้ส่งออกเป็น CSV เพียงครั้งเดียว
- การส่งออกอย่างต่อเนื่องจากการตั้งค่าสภาพแวดล้อมทำให้คุณสามารถกำหนดค่าสตรีมการแจ้งเตือนความปลอดภัยและคำแนะนำไปยังพื้นที่ทำงาน Log Analytics และ Event Hubเรียนรู้เพิ่มเติม.
- ตัวเชื่อมต่อ Microsoft Sentinelสตรีมการแจ้งเตือนความปลอดภัยจาก Microsoft Defender for Cloud ไปยัง Microsoft Sentinelเรียนรู้เพิ่มเติม.
เรียนรู้เกี่ยวกับสตรีมการแจ้งเตือนไปยังโซลูชัน SIEM, SOAR หรือ IT Service Managementและวิธีการส่งออกข้อมูลอย่างต่อเนื่อง.
ขั้นตอนถัดไป
ในบทความนี้ คุณได้เรียนรู้เกี่ยวกับการแจ้งเตือนประเภทต่างๆ ที่มีใน Defender for Cloud สำหรับข้อมูลเพิ่มเติม โปรดดู:
- การแจ้งเตือนความปลอดภัยในบันทึกกิจกรรม Azure- นอกจากจะพร้อมใช้งานในพอร์ทัล Azure หรือโดยทางโปรแกรมแล้ว การแจ้งเตือนด้านความปลอดภัยและเหตุการณ์จะได้รับการตรวจสอบเป็นเหตุการณ์ใน Azure Activity Log
- ตารางอ้างอิงของ Defender for Cloud alerts
- ตอบสนองต่อการแจ้งเตือนความปลอดภัย
- เรียนรู้วิธีการจัดการเหตุการณ์ด้านความปลอดภัยใน Defender for Cloud.