Azure 安全中心的安全警報

安全中心提供許多不同資源類型的各種警報。安全中心為部署在Azure上的資源以及部署在本地和混合云環(huán)境中的資源生成警報。

安全警報由高級檢測觸發(fā)，僅適用于Azure Defender。提供試用版。可以從“定價和設置”頁升級。詳細了解安全中心定價。

應對當前的威脅

過去20年里，威脅態(tài)勢有了很大的改變。在過去，公司通常只需擔心網(wǎng)站被各個攻擊者改頭換面。許多情況下，這些攻擊者感興趣的是看看“自己能夠做什么”。而現(xiàn)在，攻擊者則更為復雜，更有組織性。他們通常有具體的經(jīng)濟和戰(zhàn)略目標。他們的可用資源也更多，因為他們可能是由國家/地區(qū)提供資金支持的，可能是有組織犯罪。

這些不斷變化的現(xiàn)實導致攻擊者的專業(yè)水準前所未有地高。他們不再對篡改網(wǎng)頁感興趣。他們現(xiàn)在感興趣的是竊取信息、金融帳戶和私人數(shù)據(jù)-所有這些都可以用來在公開市場上換錢；他們還感興趣的是特定的有利用價值的商業(yè)、政治或軍事職位。比這更引人關注的是，這些以財務為目標的攻擊者在侵入網(wǎng)絡后會破壞基礎結構，對人們造成傷害。

作為響應，組織通常會部署各種點解決方案，查找已知的攻擊特征，重點做好企業(yè)外圍防護或終結點防護。這些解決方案會生成大量的低保真警報，需要安全分析師進行會審和調(diào)查。大多數(shù)組織缺乏必要的時間和專業(yè)技術來響應此類警報-許多警報被置之不理。

此外，攻擊者的方法不斷進化，可破壞許多基于簽名的防御，并適合云環(huán)境。必須采用新方法更快地確定新出現(xiàn)的威脅，加快檢測和應對速度。

什么是安全警報和安全事件？

“警報”是指安全中心在資源上檢測到威脅時生成的通知。安全中心按優(yōu)先級列出警報，以及快速調(diào)查問題所需的信息。安全中心還提供有關如何針對攻擊采取補救措施的建議。

“安全事件”是相關警報的集合，而不是單獨列出每個警報。安全中心使用云智能警報關聯(lián)將不同警報和低保真信號關聯(lián)到安全事件。

通過事件，安全中心可提供攻擊活動和所有相關警報的單一視圖。利用此視圖，你可以快速了解攻擊者采取的操作以及受影響的資源。有關詳細信息，請參閱云智能警報關聯(lián)。

安全中心如何檢測威脅？

Microsoft安全研究人員始終在不斷地尋找威脅。由于在云中和本地的廣泛存在，我們可以訪問大量的遙測數(shù)據(jù)。由于能夠廣泛訪問和收集各種數(shù)據(jù)集，我們可以通過本地消費者產(chǎn)品和企業(yè)產(chǎn)品以及聯(lián)機服務發(fā)現(xiàn)新的攻擊模式和趨勢。因此，當攻擊者發(fā)布新的越來越復雜的漏斗利用方式時，安全中心就可以快速更新其檢測算法。此方法可以讓用戶始終跟上變化莫測的威脅環(huán)境。

為了檢測真實威脅和減少誤報，安全中心自動收集、分析和集成來自Azure資源和網(wǎng)絡的日志數(shù)據(jù)。它還適用于連接的合作伙伴解決方案，如防火墻和終結點保護解決方案。安全中心分析該信息（通常需將多個來源的信息關聯(lián)起來）即可確定威脅。

安全中心數(shù)據(jù)收集和呈現(xiàn)

安全中心使用各種高級安全分析，遠不止幾種基于攻擊特征的方法?？梢猿浞掷么髷?shù)據(jù)和機器學習技術的突破跨整個云結構對事件進行評估，檢測那些使用手動方式不可能發(fā)現(xiàn)的威脅，并預測攻擊的發(fā)展方式。此類安全分析包括：

集成威脅智能：Microsoft提供大量的全球威脅情報。遙測數(shù)據(jù)的來源包括：Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft數(shù)字犯罪部門(DCU)、Microsoft安全響應中心(MSRC)。研究人員也會收到在主要云服務提供商之間共享的威脅情報信息，以及來自其他第三方的源。Azure安全中心可能會在分析該信息后發(fā)出警報，提醒用戶注意來自行為不端攻擊者的威脅。

行為分析：行為分析是一種技術，該技術會對數(shù)據(jù)進行分析并將數(shù)據(jù)與一系列已知模式對比。不過，這些模式不是簡單的特征，需要對大型數(shù)據(jù)集運用復雜的機器學習算法來確定，或者由分析專家通過仔細分析惡意行為來確定。Azure安全中心可以使用行為分析對虛擬機日志、虛擬網(wǎng)絡設備日志、結構日志和其他資源進行分析，確定遭到泄露的資源。

異常檢測：Azure安全中心也通過異常檢測確定威脅。與行為分析（依賴于從大型數(shù)據(jù)集派生的已知模式）相比，異常檢測更“個性化”，注重特定于你的部署的基線。運用機器學習確定部署的正常活動，并生成規(guī)則，定義可能表示安全事件的異常條件。

如何對警報進行分類？

安全中心為警報分配嚴重性，以幫助你確定參與每個警報的順序優(yōu)先級，以便在資源泄漏時可以立即訪問。嚴重性取決于安全中心對調(diào)查結果或用于發(fā)出警報的分析的可信度，以及對導致警報的活動背后存在惡意意圖的可信度級別。

備注

警報嚴重性在門戶和早于2019-01-01的REST API中以不同的方式顯示。如果你使用的是較低版本的API，請升級以獲得一致的體驗，如下所述。

高：資源遭到泄露的可能性較高。應立即進行調(diào)查。安全中心在所檢測出的惡意意圖和用于發(fā)出警報的發(fā)現(xiàn)結果方面的可信度較高。例如，檢測到執(zhí)行已知的惡意工具的警報，例如用于憑據(jù)盜竊的一種常見工具Mimikatz。

中等：這可能是一個可疑活動，此類活動可能表明資源遭到泄漏。安全中心對分析或發(fā)現(xiàn)結果的可信度為中等，所檢測到的惡意意圖的可信度為中等到高。這些通常是機器學習或基于異常的檢測。例如，從異常位置進行的登錄嘗試。

低：這可能是無危險或已被阻止的攻擊。

安全中心不足以肯定此意圖是否帶有惡意，并且此活動可能無惡意。例如，日志清除是當攻擊者嘗試隱藏蹤跡時可能發(fā)生的操作，但在許多情況下此操作是由管理員執(zhí)行的例行操作。

安全中心通常不會告知你攻擊何時被阻止，除非這是我們建議你應該仔細查看的一個引發(fā)關注的案例。

信息：只有在深化到某個安全事件時，或者如果將REST API與特定警報ID配合使用，才會看到信息警報。一個事件通常由大量警報組成，有一些警報可能僅會單獨出現(xiàn)以提供信息，而其他一些警報的上下文中的信息可能值得你深入探查一下。

持續(xù)監(jiān)視和評估

Azure安全中心受益于在整個Microsoft有安全研究和數(shù)據(jù)科學團隊，持續(xù)監(jiān)視威脅態(tài)勢的變化情況。其中包括以下計劃：

威脅情報監(jiān)視：威脅情報包括現(xiàn)有的或新出現(xiàn)的威脅的機制、指示器、含義和可操作建議。此信息在安全社區(qū)共享，Microsoft會持續(xù)監(jiān)視內(nèi)部和外部源提供的威脅情報源。

信號共享：安全團隊的見解會跨Microsoft的一系列云服務和本地服務、服務器、客戶端終結點設備進行共享和分析。

Microsoft安全專家：持續(xù)接觸Microsoft的各個工作在專業(yè)安全領域（例如取證和Web攻擊檢測）的團隊。

檢測優(yōu)化：針對實際的客戶數(shù)據(jù)集運行相關算法，安全研究人員與客戶一起驗證結果。通過檢出率和誤報率優(yōu)化機器學習算法。

將這些措施結合起來，形成新的改進型檢測方法，使你能夠即時受益，而你不需采取任何措施。

導出警報

你可以通過多種方法在安全中心外查看警報，其中包括：

警報儀表板上的“下載CSV報表”可提供到CSV的一次性導出。

定價和設置中的“連續(xù)導出”允許你將安全警報和建議流配置到Log Analytics工作區(qū)和事件中心。詳細了解連續(xù)導出