2min

Tags in dit artikel

, ,

Microsoft heeft een nieuw type alert toegevoegd aan zijn Azure Security Center. Middels ‘contextwaarschuwingen’ moet het makkelijker zijn voor bedrijven om aanvallen op hun systemen te herkennen. De nieuwe functie zou verder moeten helpen bij het onderzoeken van aanvallen.

De contextwaarschuwingen worden gegeven zodra er een aanval gedetecteerd wordt. Als er een relevante context gevonden wordt, geeft Microsoft nog een waarschuwing over het verdachte gedrag. Ian Hellen, leidinggevende op de afdeling van Cloud Security Investigations & Intelligence stelt dat klanten hier groot voordeel van zouden moeten ondervinden.

“Het vergt veel kennis om te weten waar je naar moet zoeken,” aldus Hellen. “Het proces kost ook veel tijd, want er zijn vaak uren of zelfs dagen nodig om hints te volgen, queries te veranderen en op te stellen, maar ook om data te interpreteren om de activiteiten van de aanvaller te achterhalen.”

Met het nieuwe type waarschuwing moet hier meer duidelijk van worden. “Stel je voor dat een waarschuwing informatie over de gebruikersaccount bevat. Die kunnen we dan gebruiken om te kijken welke processen er verder aan de gang waren in die account op het moment van de alert. Alle relevante informatie van die queries wordt weergegevens als een Suspicious Behavior contextwaarschuwing in Azure Security Center.”

Slechts een klein aantal waarschuwingen zal leiden tot een alert. Dat komt omdat er gezocht wordt naar zeer specifiek verdacht gedrag. “Als we niets vinden, wordt er ook geen alert gegeven. Het type gedrag waar we naar zoeken, zijn ongewone commando’s, of bijvoorbeeld onverwachte handelingen.” Kortom: op basis van het profiel van een gebruiker wordt gekeken naar het meest waarschijnlijke gedrag. Indien dit afwijkt, kan dat leiden tot een waarschuwing die analisten meteen tot een bepaalde account leidt.