Konfigurace pravidel detekce vícestupňových útoků (Fusion) v Microsoft Sentinel

Důležité

Vlastní detekce teď představuje nejlepší způsob, jak vytvářet nová pravidla napříč Microsoft Defender XDR Microsoft Sentinel SIEM. S vlastními detekcemi můžete snížit náklady na příjem dat, získat neomezený počet detekcí v reálném čase a využívat výhod bezproblémové integrace s Defender XDR daty, funkcemi a nápravnými akcemi s automatickým mapováním entit. Další informace najdete v tomto blogu.

Důležité

Nová verze pravidla fúzní analýzy je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na Azure funkce, které jsou v beta verzi, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro Microsoft Azure Preview.

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v tématu Dostupnost cloudových funkcí pro zákazníky státní správy USA.

Microsoft Sentinel používá fúzní modul založený na škálovatelných algoritmech strojového učení k automatické detekci vícefázových útoků tím, že identifikuje kombinace neobvyklého chování a podezřelých aktivit, které jsou pozorovány v různých fázích řetězce útoků. Na základě těchto zjištění Microsoft Sentinel generuje incidenty, které by jinak bylo obtížné zachytit. Tyto incidenty zahrnují dvě nebo více výstrah nebo aktivit. Z návrhu jsou tyto incidenty s nízkým objemem, vysokou věrností a vysokou závažností.

Tato technologie detekce přizpůsobená vašemu prostředí nejen snižuje míru falešně pozitivních výsledků, ale dokáže také detekovat útoky s omezenými nebo chybějícími informacemi.

Konfigurace fúzních pravidel

Tato detekce je ve výchozím nastavení povolená v Microsoft Sentinel. Pokud chcete zkontrolovat nebo změnit jeho stav, postupujte podle následujících pokynů:

1. Přihlaste se k Azure Portal a zadejte Microsoft Sentinel.

2. V navigační nabídce Microsoft Sentinel vyberte Analýza.

3. Vyberte kartu Aktivní pravidla a pak vyhledejte rozšířenou detekci útoků s více fázemi ve sloupci NÁZEV filtrováním seznamu pro typ pravidla Fusion . Ve sloupci STAV zkontrolujte, jestli je tato detekce povolená nebo zakázaná.

   

4. Pokud chcete změnit stav, vyberte tuto položku. V podokně náhledu rozšířené detekce útoků s více fázemi vyberte Upravit.

5. Na kartě Obecnév průvodci analytickými pravidly si poznamenejte stav (Povoleno/Zakázáno), nebo ho v případě potřeby změňte.

   Pokud změníte stav, ale nemáte k dispozici žádné další změny, vyberte kartu Revize a aktualizace a vyberte Uložit.

   Pokud chcete dále nakonfigurovat pravidlo detekce fúze, vyberte Další: Konfigurovat fúzi.

   

6. Konfigurace zdrojových signálů pro detekci fúzní syntézy: Pro dosažení nejlepšího výsledku doporučujeme zahrnout všechny uvedené zdrojové signály se všemi úrovněmi závažnosti. Ve výchozím nastavení jsou už všechny zahrnuté, ale máte možnost provést změny následujícími způsoby:

   Poznámka

   Pokud vyloučíte konkrétní zdrojový signál nebo úroveň závažnosti výstrahy, nebudou se aktivovat žádné detekce fúzní syntézy, které závisí na signálech z daného zdroje nebo na výstrahách odpovídajících této úrovni závažnosti.

   • Vylučte signály z fúzních detekcí, včetně anomálií, upozornění od různých poskytovatelů a nezpracovaných protokolů.

     Případ použití: Pokud testujete konkrétní zdroj signálu, o kterém je známo, že vytváří hlučná upozornění, můžete dočasně vypnout signály z daného konkrétního zdroje signálu pro detekci fusion.

   • Konfigurace závažnosti upozornění pro každého poskytovatele: Model Fusion ML záměrně koreluje signály s nízkou věrností do jednoho incidentu s vysokou závažností na základě neobvyklých signálů v celém řetězci kill-chain z několika zdrojů dat. Výstrahy zahrnuté v fusion jsou nižší závažnosti (střední, nízká, informační), ale příležitostně jsou zahrnuty relevantní výstrahy s vysokou závažností.

     Případ použití: Pokud máte samostatný proces pro posouzení a zkoumání výstrah s vysokou závažností a nechcete, aby se tyto výstrahy zahrnuly do fusion, můžete nakonfigurovat zdrojové signály tak, aby z detekcí fúze vyloučily výstrahy s vysokou závažností.

   • Vylučte z detekce fúzní detekce konkrétní způsoby detekce. Některé detekce fusion nemusí být pro vaše prostředí použitelné nebo můžou být náchylné k generování falešně pozitivních výsledků. Pokud chcete vyloučit konkrétní vzor detekce fusion, postupujte podle následujících pokynů:

     1. Vyhledejte a otevřete incident Fusion typu, který chcete vyloučit.

     2. V části Popis vyberte Zobrazit další.

     3. V části Vyloučit tento konkrétní způsob zjišťování vyberte odkaz vyloučení, který vás přesměruje na kartu Konfigurace fúze v průvodci analytickým pravidlem.

        

     Na kartě Konfigurace fusion uvidíte, že se do seznamu vyloučení přidal vzorec detekce – kombinace výstrah a anomálií v incidentu Fusion – spolu s časem, kdy byl vzorec detekce přidán.

     Vyloučený způsob detekce můžete kdykoli odebrat tak, že u daného vzoru detekce vyberete ikonu koše.

     

     Incidenty, které odpovídají vyloučeným vzorcům detekce, se stále aktivují, ale nezobrazují se ve vaší frontě aktivních incidentů. Automaticky se vygenerují s následujícími hodnotami:

     • Stav: Uzavřeno

     • Konečná klasifikace: "Neurčené"

     • Komentář: "Automaticky uzavřený, vyloučený model detekce fúze"

     • Značka: ExcludedFusionDetectionPattern – můžete dotazem na tuto značku zobrazit všechny incidenty odpovídající tomuto vzoru detekce.

       

Poznámka

Microsoft Sentinel v současné době používá k trénování systémů strojového učení 30 dnů historických dat. Tato data se při průchodu kanálem strojového učení vždy šifrují pomocí klíčů Microsoftu. Pokud však v pracovním prostoru Microsoft Sentinel povolíte cmk, trénovací data se nešifrují pomocí klíčů spravovaných zákazníkem (CMK). Pokud se chcete z funkce Fusion odhlásit, přejděte na Microsoft Sentinel>Aktivní pravidla analýzy >konfigurací>, klikněte pravým tlačítkem na pravidlo rozšířené detekce útoků s více fázemi a vyberte Zakázat.

Konfigurace pravidel plánované analýzy pro detekci fúze

Důležité

Detekce založená na fúzi s využitím upozornění analytických pravidel je v současné době ve verzi PREVIEW. Další právní podmínky, které se vztahují na Azure funkce, které jsou v beta verzi, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro Microsoft Azure Preview.

Fusion detekuje vícestupňové útoky založené na scénářích a vznikající hrozby pomocí výstrah vygenerovaných pravidly plánované analýzy. Pokud chcete co nejlépe využít možnosti fúze Microsoft Sentinel, proveďte následující kroky a nakonfigurujte a povolte tato pravidla.

1. Fusion pro vznikající hrozby používá výstrahy generované všemi naplánovanými analytickými pravidly , která obsahují informace o řetězu kill-chain (taktikách) a mapování entit. Pokud chcete zajistit, aby fusion mohl použít výstup analytického pravidla k detekci nově vznikajících hrozeb:

   • Zkontrolujte mapování entit pro tato naplánovaná pravidla. Oddíl konfigurace mapování entit použijte k mapování parametrů z výsledků dotazu na Microsoft Sentinel rozpoznané entity. Vzhledem k tomu, že Fusion koreluje výstrahy na základě entit (jako je uživatelský účet nebo IP adresa), její algoritmy ML nemůžou provádět porovnávání výstrah bez informací o entitách.

   • Projděte si taktiku a techniky v podrobnostech analytického pravidla. Algoritmus Fusion ML používá MITRE ATT&informace CK k detekci útoků s více fázemi a taktiky a techniky, pomocí kterých označíte analytická pravidla, se zobrazují ve výsledných incidentech. Fúzní výpočty můžou být ovlivněné, pokud příchozím upozorněním chybí informace o taktikě.

2. Fusion dokáže také detekovat hrozby založené na scénářích pomocí pravidel založených na následujících šablonách pravidel naplánované analýzy.

   Pokud chcete povolit dotazy dostupné jako šablony na stránce Analýza , přejděte na kartu Šablony pravidel , vyberte název pravidla v galerii šablon a v podokně podrobností vyberte Vytvořit pravidlo .

   • Cisco – blokování brány firewall, ale úspěšné přihlášení k Microsoft Entra ID
   • Fortinet – rozpoznaný vzor signálu
   • IP adresa s několika neúspěšnými Microsoft Entra přihlášení se úspěšně přihlásí k Palo Alto VPN
   • Vícenásobné resetování hesla podle uživatele
   • Vzácný souhlas s aplikací
   • SharePointFileOperation prostřednictvím dříve neviditelných IP adres
   • Podezřelé nasazení prostředků
   • Signatury Palo Alto Threat z neobvyklých IP adres

   Pokud chcete přidat dotazy, které aktuálně nejsou dostupné jako šablona pravidla, přečtěte si téma Vytvoření vlastního analytického pravidla od začátku.

   • Nová aktivita účtu Správa, která se v minulosti neviděla

   Další informace najdete v tématu Scénáře detekce útoků fusion Advanced Multistage s využitím pravidel plánované analýzy.

   Poznámka

   Pro sadu pravidel plánované analýzy, které používá Fusion, algoritmus ML provede přibližné shody pro dotazy KQL poskytnuté v šablonách. Přejmenování šablon nemá vliv na detekci fusion.

Další kroky

Přečtěte si další informace o detekcích fúze v Microsoft Sentinel.

Přečtěte si další informace o detekcích fúzní syntézy založených na mnoha scénářích.

Když teď víte více o pokročilé detekci útoků s více fázemi, může vás zajímat následující rychlý start, kde se dozvíte, jak získat přehled o datech a potenciálních hrozbách: Začínáme s Microsoft Sentinel.

Pokud jste připraveni prošetřit incidenty, které jsou pro vás vytvořené, projděte si následující kurz: Prošetřování incidentů pomocí Microsoft Sentinel.