本文提供頁面連結,列出您可能從適用於雲端的 Microsoft Defender 和任何已啟用的 Microsoft Defender 方案收到的安全性警示。 環境中顯示的警示取決於您要保護的資源和服務,以及自訂的組態。
備註
Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。
此頁面也包含一個數據表,說明與 MITRE ATT&CK 矩陣第 9 版一致的適用於雲端的 Microsoft Defender 殺傷鏈結。
備註
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
依類別的安全性警示頁面
- Windows 機器的警示
- Linux 機器的警示
- DNS 警示
- Azure VM 延伸模組的警示
- Azure App Service 的警示
- 容器警示 - Kubernetes 叢集
- SQL Database 和 Azure Synapse Analytics 的警示
- 開放原始碼關聯式資料庫的警示
- Resource Manager 的警示
- Azure 儲存體的警示
- Azure Cosmos DB 的警示
- Azure 網路層的警示
- Azure 金鑰保存庫的警示
- Azure DDoS 防護的警示
- 適用於 API 的 Defender 警示
- AI 工作負載的警示
- 已淘汰的安全性警示
MITRE ATT&CK戰術
瞭解攻擊的意圖可協助您更輕鬆地調查和報告事件。 為了協助完成這些工作,適用於雲端的 Microsoft Defender 警示包含具有許多警示的 MITRE 策略。
描述網路攻擊從偵察到資料外洩進展的一系列步驟通常被稱為「殺傷鏈」。
適用於雲端的 Defender 支援的殺傷鏈意圖是以 MITRE ATT&CK 矩陣的第 9 版 為基礎,並如下表所述。
| 策略 | ATT&CK版本 | Description |
|---|---|---|
| 攻擊前 | PreAttack 可能是嘗試存取特定資源,而不論惡意意圖為何,也可能是嘗試在惡意探索之前存取目標系統以收集資訊失敗。 此步驟通常被偵測為來自網路外部的掃描目標系統並識別進入點的嘗試。 | |
| 初始存取 | V7、V9 | 初始存取是攻擊者設法在受攻擊資源上站穩腳跟的階段。 此階段與計算主機和資源相關,例如使用者帳戶、憑證等。在此階段之後,威脅行為者通常能夠控制資源。 |
| 堅持 | V7、V9 | 持久性是對系統的任何存取、操作或配置更改,使威脅行為者在該系統上持續存在。 威脅行為者通常需要透過系統重新啟動、憑證遺失或其他故障等中斷來維持對系統的存取,這些故障需要遠端存取工具重新啟動或提供備用後門讓他們重新獲得存取權限。 |
| 權限提升 | V7、V9 | 許可權提升是某些行動的結果,使攻擊者能夠在系統或網路上獲得更高層級的許可權。 某些工具或動作需要較高層級的許可權才能運作,而且在整個作業的許多時間點都可能需要。 具有存取特定系統或執行對手實現其目標所需的特定功能的權限的使用者帳戶也可能被視為權限升級。 |
| 防禦規避 | V7、V9 | 防禦規避包括對手可能用來逃避偵測或避免其他防禦的技術。 有時,這些行動與其他類別中的技術相同(或變體),這些技術具有顛覆特定防禦或緩解措施的額外好處。 |
| 認證存取 | V7、V9 | 認證存取代表導致存取或控制企業環境中所使用的系統、網域或服務認證的技術。 攻擊者可能會嘗試從使用者或系統管理員帳戶(具有系統管理員存取權的本機系統管理員或網域使用者)取得合法認證,以在網路內使用。 在網路內有足夠的存取權,敵人可以建立帳戶,以供稍後在環境中使用。 |
| 搜尋 | V7、V9 | 探索是由可讓敵人取得系統和內部網路知識的技術所組成。 當對手獲得新系統的存取權限時,他們必須將自己定位為他們現在可以控制的內容,以及從該系統操作在入侵期間為其當前目標或整體目標帶來的好處。 作業系統提供許多原生工具,有助於此入侵後的資訊收集階段。 |
| 橫向移動 | V7、V9 | 橫向移動是由技術所組成,可讓敵人存取和控制網路上的遠端系統,而且不一定包括遠端系統上的工具執行。 橫向移動技術可以讓對手從系統收集資訊,而不需要更多工具,例如遠端存取工具。 攻擊者可以將橫向移動用於多種目的,包括遠端執行工具、轉向更多系統、存取特定資訊或檔案、存取更多憑證或造成影響。 |
| 執行 | V7、V9 | 執行策略代表導致在本機或遠端系統上執行敵人控制程式代碼的技術。 此策略通常與橫向移動搭配使用,以擴充網路上遠端系統的存取權。 |
| 收藏 | V7、V9 | 集合由用於識別和收集信息的各種技術組成,例如在資料外泄之前從目標網路收集的敏感檔案。 此類別也涵蓋系統或網路上敵人可能尋找要外洩的資訊的位置。 |
| 指揮與控制 | V7、V9 | 命令和控制策略代表敵人如何與目標網路內系統進行通訊。 |
| 外流 | V7、V9 | 外泄是指導致或協助敵人從目標網路移除檔案和信息的技術與屬性。 此類別也涵蓋系統或網路上敵人可能尋找要外洩的資訊的位置。 |
| 影響 | V7、V9 | 影響事件主要嘗試直接降低系統、服務或網路的可用性或完整性;包括操縱數據以影響業務或運營流程。 這通常指的是勒索軟體、污損、資料操縱等技術。 |
備註
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。