Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Links zu Seiten, auf denen die Sicherheitswarnungen aufgeführt sind, die Sie möglicherweise von Microsoft Defender für Cloud und allen aktivierten Microsoft Defender-Plänen erhalten. Die in Ihrer Umgebung angezeigten Warnungen hängen von den Ressourcen und Diensten ab, die Sie schützen, und ihrer angepassten Konfiguration.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Diese Seite enthält auch eine Tabelle, die die Killchain von Microsoft Defender für Cloud beschreibt, die auf Version 9 der MITRE ATT&CK-Matrix ausgerichtet ist.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Sicherheitswarnungsseiten nach Kategorie
- Warnungen für Windows-Computer
- Warnungen für Linux-Computer
- Warnungen für DNS
- Warnungen für Azure VM-Erweiterungen
- Warnungen für Azure App Service
- Warnungen für Container – Kubernetes-Cluster
- Warnungen für SQL-Datenbank und Azure Synapse Analytics
- Warnungen für relationale Open Source-Datenbanken
- Warnungen für Ressourcen-Manager
- Warnungen für Azure Storage
- Warnungen für Azure Cosmos DB
- Warnungen für Azure-Netzwerkebene
- Warnungen für Azure Key Vault
- Warnungen für Azure DDoS Protection
- Warnungen für Defender für APIs
- Warnungen für KI-Workloads
- Veraltete Sicherheitswarnungen
MITRE ATT&CK-Taktiken
Das Verständnis der Absicht eines Angriffs kann Ihnen helfen, das Ereignis leichter zu untersuchen und zu melden. Um diese Bemühungen zu unterstützen, umfassen Microsoft Defender für Cloud-Warnungen die MITRE-Taktiken mit vielen Warnungen.
Die Reihe der Schritte, die den Fortschritt eines Cyberangriffs von der Erkennung bis zur Datenexfiltration beschreiben, wird häufig als „Kill Chain“ bezeichnet.
Defender für Clouds unterstützte KillChain-Absichten basieren auf Version 9 der MITRE ATT&CK-Matrix und werden in der folgenden Tabelle beschrieben.
| Taktik | ATT&CK-Version | Description |
|---|---|---|
| PreAttack | PreAttack könnte entweder ein Versuch sein, unabhängig von einer böswilligen Absicht auf eine bestimmte Ressource zuzugreifen, oder ein fehlgeschlagener Versuch, Zugriff auf ein Zielsystem zu erhalten, um Informationen vor der Ausbeutung zu sammeln. Dieser Schritt wird normalerweise als Versuch von außerhalb des Netzwerks erkannt, das Zielsystem zu scannen und einen Einstiegspunkt zu identifizieren. | |
| Erstzugriff | V7, V9 | Der anfängliche Zugriff ist die Phase, in der ein Angreifer verwaltet, eine Fußzeile auf der angegriffenen Ressource zu erhalten. Diese Phase ist für Computehosts und Ressourcen wie Benutzerkonten, Zertifikate usw. relevant. Bedrohungsakteure können die Ressource häufig nach dieser Phase steuern. |
| Ausdauer | V7, V9 | Als „Persistenz“ wird ein Zugriff, eine Aktion oder eine Konfigurationsänderung in einem System bezeichnet, der bzw. die einem Bedrohungsakteur dauerhafte Präsenz in diesem System ermöglicht. Bedrohungsakteure müssen den Zugriff häufig über Unterbrechungen (z. B. Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler, aufgrund derer ein Remotezugriffstool neu gestartet werden muss) hinweg beibehalten oder eine alternative Hintertür schaffen, um wieder Zugriff zu erhalten. |
| Rechteausweitung | V7, V9 | Die Berechtigungseskalation ist das Ergebnis von Aktionen, die es einem Angreifer ermöglichen, eine höhere Berechtigungsstufe für ein System oder Netzwerk zu erhalten. Bestimmte Tools oder Aktionen erfordern ein höheres Maß an Berechtigungen für die Arbeit und sind wahrscheinlich an vielen Stellen während eines Vorgangs erforderlich. Benutzerkonten mit Berechtigungen für den Zugriff auf bestimmte Systeme oder das Ausführen bestimmter Funktionen, die für Angreifer erforderlich sind, um ihr Ziel zu erreichen, können auch als Eskalation der Rechte angesehen werden. |
| Verteidigungsumgehung | V7, V9 | Verteidigungshinterziehung besteht aus Techniken, die ein Angreifer verwenden kann, um die Erkennung zu umgehen oder andere Abwehrmaßnahmen zu vermeiden. Manchmal sind diese Aktionen identisch mit (oder Variationen von) Techniken aus anderen Kategorien, die Angreifern den zusätzlichen Vorteil bieten, einen bestimmten Schutz oder eine bestimmte Abwehrmaßnahmen zu untergraben. |
| Zugriff auf Anmeldeinformationen | V7, V9 | Der Zugriff auf Anmeldeinformationen stellt Techniken dar, die den Zugriff auf oder die Kontrolle über System-, Domänen- oder Dienstanmeldeinformationen ergeben, die in einer Unternehmensumgebung verwendet werden. Angreifer versuchen wahrscheinlich, legitime Anmeldeinformationen von Benutzern oder Administratorkonten (lokaler Systemadministrator oder Domänenbenutzer mit Administratorzugriff) für die Verwendung im Netzwerk zu erhalten. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen. |
| Entdeckung | V7, V9 | Die Entdeckung besteht aus Techniken, die es dem Angreifer ermöglichen, Wissen über das System und das interne Netzwerk zu gewinnen. Wenn Angreifer Zugang zu einem neuen System erhalten, müssen sie sich daran orientieren, worüber sie jetzt die Kontrolle haben und welche Vorteile der Betrieb mit diesem System für ihr aktuelles Ziel oder ihre Gesamtziele während des Eindringens bringt. Das Betriebssystem bietet viele systemeigene Tools, die in dieser Phase nach der Kompromittierung der Informationssammlung helfen. |
| LateralMovement | V7, V9 | Lateral movement besteht aus Techniken, die es einem Angreifer ermöglichen, auf Remotesysteme in einem Netzwerk zuzugreifen und zu steuern, und kann jedoch nicht notwendigerweise die Ausführung von Tools auf Remotesystemen umfassen. Lateral Movement-Techniken könnten es einem Angreifer ermöglichen, Informationen über ein System zu sammeln, ohne dass er weitere Tools, wie z. B. ein Tool für den Remotezugriff, benötigt. Ein Angreifer kann laterale Bewegungen für viele Zwecke verwenden, einschließlich remoteer Ausführung von Tools, Pivoting auf mehr Systeme, Zugriff auf bestimmte Informationen oder Dateien, Zugriff auf mehr Anmeldeinformationen oder eine Auswirkung. |
| Ausführung | V7, V9 | Die Ausführungstaktik stellt Techniken dar, die zur Ausführung von gegnerisch kontrolliertem Code auf einem lokalen oder Remotesystem führen. Diese Taktik wird häufig in Verbindung mit lateraler Bewegung verwendet, um den Zugriff auf Remotesysteme in einem Netzwerk zu erweitern. |
| Sammlung | V7, V9 | Die Sammlung besteht aus Techniken, die verwendet werden, um Informationen, z. B. vertrauliche Dateien, aus einem Zielnetzwerk vor der Exfiltration zu identifizieren und zu sammeln. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
| Command-and-Control | V7, V9 | Die Befehls- und Kontrolltaktik stellt dar, wie Angreifer mit Systemen unter ihrer Kontrolle innerhalb eines Zielnetzwerks kommunizieren. |
| Exfiltration | V7, V9 | Exfiltration bezieht sich auf Techniken und Attribute, die dazu führen oder helfen, dateien und Informationen aus einem Zielnetzwerk zu entfernen. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
| Auswirkung | V7, V9 | Auswirkungenereignisse versuchen in erster Linie, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks direkt zu reduzieren; einschließlich der Manipulation von Daten, um sich auf einen Geschäfts- oder Betrieblichen Prozess zu auswirken. Dies bezieht sich häufig auf Techniken wie Ransomware, Verunstaltung, Datenmanipulation und andere. |
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.