Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Links zu Seiten, auf denen die Sicherheitswarnungen aufgeführt sind, die Sie möglicherweise von Microsoft Defender für Cloud und allen aktivierten Microsoft Defender-Plänen erhalten. Die in Ihrer Umgebung angezeigten Warnungen hängen von den Ressourcen und Diensten ab, die Sie schützen, und ihrer angepassten Konfiguration.
Note
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Diese Seite enthält auch eine Tabelle, die die Killchain von Microsoft Defender für Cloud beschreibt, die auf Version 9 der MITRE ATT&CK-Matrix ausgerichtet ist.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Note
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Sicherheitswarnungsseiten nach Kategorie
- Warnungen für Windows-Computer
- Warnungen für Linux-Computer
- Warnungen für DNS
- Warnungen für Azure VM-Erweiterungen
- Warnungen für Azure App Service
- Warnungen für Container – Kubernetes-Cluster
- Warnungen für SQL-Datenbank und Azure Synapse Analytics
- Warnungen für relationale Open Source-Datenbanken
- Warnungen für Ressourcen-Manager
- Warnungen für Azure Storage
- Warnungen für Azure Cosmos DB
- Warnungen für Azure-Netzwerkebene
- Warnungen für Azure Key Vault
- Warnungen für Azure DDoS Protection
- Warnungen für Defender für APIs
- Warnungen für KI-Workloads
- Veraltete Sicherheitswarnungen
MITRE ATT&CK-Taktiken
Das Verständnis der Absicht eines Angriffs kann Ihnen helfen, das Ereignis leichter zu untersuchen und zu melden. Um diese Bemühungen zu unterstützen, umfassen Microsoft Defender für Cloud-Warnungen die MITRE-Taktiken mit vielen Warnungen.
Die Reihe der Schritte, die den Fortschritt eines Cyberangriffs von der Erkennung bis zur Datenexfiltration beschreiben, wird häufig als „Kill Chain“ bezeichnet.
Defender für Clouds unterstützte KillChain-Absichten basieren auf Version 9 der MITRE ATT&CK-Matrix und werden in der folgenden Tabelle beschrieben.
| Taktik | ATT&CK-Version | Description |
|---|---|---|
| PreAttack | PreAttack könnte entweder ein Versuch sein, unabhängig von einer böswilligen Absicht auf eine bestimmte Ressource zuzugreifen, oder ein fehlgeschlagener Versuch, Zugriff auf ein Zielsystem zu erhalten, um Informationen vor der Ausbeutung zu sammeln. Dieser Schritt wird normalerweise als Versuch von außerhalb des Netzwerks erkannt, das Zielsystem zu scannen und einen Einstiegspunkt zu identifizieren. | |
| Erstzugriff | V7, V9 | Der anfängliche Zugriff ist die Phase, in der ein Angreifer verwaltet, eine Fußzeile auf der angegriffenen Ressource zu erhalten. Diese Phase ist für Computehosts und Ressourcen wie Benutzerkonten, Zertifikate usw. relevant. Bedrohungsakteure können die Ressource häufig nach dieser Phase steuern. |
| Ausdauer | V7, V9 | Persistenz ist jede Zugriffs-, Aktions- oder Konfigurationsänderung für ein System, das einem Bedrohungsakteur eine dauerhafte Präsenz auf diesem System verleiht. Bedrohungsakteure müssen den Zugriff häufig über Unterbrechungen (z. B. Systemneustarts, Verlust von Anmeldeinformationen oder andere Fehler, aufgrund derer ein Remotezugriffstool neu gestartet werden muss) hinweg beibehalten oder eine alternative Hintertür schaffen, um wieder Zugriff zu erhalten. |
| Rechteausweitung | V7, V9 | „Rechteausweitung“ ist das Ergebnis von Aktionen, mit denen ein Angreifer eine höhere Berechtigungsebene für ein System oder ein Netzwerk erhält. Bestimmte Tools oder Aktionen erfordern eine höhere Berechtigungsebene und sind wahrscheinlich an vielen Punkten während eines Vorgangs erforderlich. Benutzerkonten mit Berechtigungen für den Zugriff auf bestimmte Systeme oder das Ausführen bestimmter Funktionen, die für Angreifer erforderlich sind, um ihr Ziel zu erreichen, können auch als Eskalation der Rechte angesehen werden. |
| Umgehen von Verteidigungsmaßnahmen | V7, V9 | Verteidigungshinterziehung besteht aus Techniken, die ein Angreifer verwenden kann, um die Erkennung zu umgehen oder andere Abwehrmaßnahmen zu vermeiden. Manchmal sind diese Aktionen identisch mit (oder Variationen von) Techniken aus anderen Kategorien, die Angreifern den zusätzlichen Vorteil bieten, einen bestimmten Schutz oder eine bestimmte Abwehrmaßnahmen zu untergraben. |
| Zugriff auf Anmeldeinformationen | V7, V9 | Der Zugriff auf Anmeldeinformationen stellt Techniken dar, die den Zugriff auf oder die Kontrolle über System-, Domänen- oder Dienstanmeldeinformationen ermöglichen, die in einer Unternehmensumgebung verwendet werden. Angreifende Personen versuchen mit hoher Wahrscheinlichkeit, in den Besitz legitimer Anmeldeinformationen von benutzenden Personen oder Administratorkonten (lokale Systemadministratoren oder Domänenbenutzer mit Administratorzugriff) zu gelangen, um diese im Netzwerk zu verwenden. Mit ausreichendem Zugriff innerhalb eines Netzwerks kann ein Angreifer Konten für die spätere Verwendung innerhalb der Umgebung erstellen. |
| Entdeckung | V7, V9 | „Entdeckung“ umfasst Techniken, die es der angreifenden Person ermöglichen, Informationen über das System und das interne Netzwerk zu erlangen. Wenn Angreifer Zugang zu einem neuen System erhalten, müssen sie sich daran orientieren, worüber sie jetzt die Kontrolle haben und welche Vorteile der Betrieb mit diesem System für ihr aktuelles Ziel oder ihre Gesamtziele während des Eindringens bringt. Das Betriebssystem stellt viele native Tools bereit, die in dieser Phase der Informationserfassung nach der Kompromittierung ausgenutzt werden können. |
| LateralMovement | V7, V9 | Lateral Movement besteht aus Techniken, die es einem Angreifer ermöglichen, auf entfernte Systeme in einem Netzwerk zuzugreifen und diese zu steuern, und können, müssen aber nicht notwendigerweise, die Ausführung von Tools auf entfernten Systemen umfassen. Lateral Movement-Techniken könnten es einem Angreifer ermöglichen, Informationen über ein System zu sammeln, ohne dass er weitere Tools, wie z. B. ein Tool für den Remotezugriff, benötigt. Ein Angreifer kann laterale Bewegungen für viele Zwecke verwenden, einschließlich remoteer Ausführung von Tools, Pivoting auf mehr Systeme, Zugriff auf bestimmte Informationen oder Dateien, Zugriff auf mehr Anmeldeinformationen oder eine Auswirkung. |
| Ausführung | V7, V9 | „Ausführung“ repräsentiert Techniken, die zur Ausführung von durch den Angreifer kontrolliertem Code auf einem lokalen System oder einem Remotesystem führen. Diese Taktik wird häufig in Verbindung mit Lateral Movement verwendet, um den Zugriff auf Remote-Systeme in einem Netzwerk zu erweitern. |
| Sammlung | V7, V9 | Als „Sammlung“ werden Techniken bezeichnet, die vor der Exfiltration zur Identifizierung und Erfassung von Informationen, z. B. sensiblen Dateien, von einem Zielnetzwerk verwendet werden. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
| Command-and-Control | V7, V9 | „Command & Control“ repräsentiert, wie angreifende Personen mit Systemen innerhalb eines Zielnetzwerks kommunizieren, die ihrer Kontrolle unterliegen. |
| Exfiltration | V7, V9 | „Extrafiltration“ bezieht sich auf Techniken und Attribute, die der angreifenden Person das Entfernen von Dateien und Informationen aus einem Zielnetzwerk ermöglichen oder dies unterstützen. Diese Kategorie deckt auch Standorte in einem System oder Netzwerk ab, an denen der Angreifer nach Informationen suchen kann, die exfiltriert werden sollen. |
| Auswirkung | V7, V9 | Auswirkungenereignisse versuchen in erster Linie, die Verfügbarkeit oder Integrität eines Systems, Diensts oder Netzwerks direkt zu reduzieren; einschließlich der Manipulation von Daten, um sich auf einen Geschäfts- oder Betrieblichen Prozess zu auswirken. Dies bezieht sich häufig auf Techniken wie Ransomware, Verunstaltung, Datenmanipulation und andere. |
Note
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.