Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel

Důležité

Některé fúzní detekce (viz níže uvedené) jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Microsoft Sentinel používá fúzní modul založený na škálovatelných algoritmech strojového učení k automatickému zjišťování útoků s více fázemi (označovaných také jako pokročilé trvalé hrozby nebo APT) tím, že identifikuje kombinace neobvyklého chování a podezřelých aktivit, které se sledují v různých fázích řetězce kill. Na základě těchto zjištění generuje Microsoft Sentinel incidenty, které by jinak bylo obtížné zachytit. Tyto incidenty zahrnují dvě nebo více výstrah nebo aktivit. Tyto incidenty jsou záměrně nízké, vysoce věrné a vysoce závažné.

Přizpůsobená pro vaše prostředí tato technologie detekce nejen snižuje počet falešně pozitivních výsledků, ale může také detekovat útoky s omezenými nebo chybějícími informacemi.

Vzhledem k tomu, že fusion koreluje více signálů z různých produktů k detekci pokročilých útoků s více fázemi, zobrazí se úspěšné detekce fúzí na stránce Incidenty služby Microsoft Sentinel, nikoli jako výstrahy, a jsou uloženy v tabulce SecurityIncident v protokolech a ne v tabulce SecurityAlert.

Konfigurace fúzní

Fúze je ve výchozím nastavení povolená v Microsoft Sentinelu jako analytické pravidlo označované jako pokročilá detekce útoků s více fázemi. Můžete zobrazit a změnit stav pravidla, nakonfigurovat zdrojové signály tak, aby byly zahrnuty do modelu Fusion ML, nebo vyloučit konkrétní vzorce detekce, které nemusí být použitelné pro vaše prostředí z detekce Fusion. Zjistěte, jak nakonfigurovat pravidlo fusion.

Poznámka:

Microsoft Sentinel v současné době používá 30 dnů historických dat k trénování algoritmů strojového učení modulu Fusion. Tato data se při průchodu kanálem strojového učení vždy šifrují pomocí klíčů Microsoftu. Trénovací data se ale nešifrují pomocí klíčů spravovaných zákazníkem (CMK), pokud jste v pracovním prostoru Služby Microsoft Sentinel povolili CMK. Chcete-li zrušit fúzi, přejděte na aktivní pravidla analýzy konfigurace >>Služby Microsoft Sentinel>, klikněte pravým tlačítkem na pravidlo rozšířené detekce útoků Multistage a vyberte Zakázat.

V pracovních prostorech Microsoft Sentinelu, které jsou nasazené na sjednocené platformě operací zabezpečení na portálu Microsoft Defender, je fusion zakázaná, protože její funkce je nahrazena korelačním modulem XDR v programu Microsoft Defender.

Fúze pro vznikající hrozby

Důležité

• Detekce nově vznikajících hrozeb založená na fúzi je v současné době ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Objemudálostch Můžeme definovat známé scénáře útoku, ale jak na vznikající a neznámé hrozby ve vašem prostředí?

Modul fúzní fúze od Microsoft Sentinelu vám pomůže najít nově vznikající a neznámé hrozby ve vašem prostředí použitím rozšířené analýzy ML a korelací širšího rozsahu neobvyklých signálů a zachováním nízké únavy výstrah.

Algoritmy strojového učení modulu Fusion se neustále učí od stávajících útoků a používají analýzu na základě toho, jak si myslí analytici zabezpečení. Proto může objevit dříve nezjištěné hrozby z milionů neobvyklých chování v rámci řetězu kill-chain v celém vašem prostředí, což vám pomůže zůstat o krok před útočníky.

Fúze pro vznikající hrozby podporuje shromažďování a analýzu dat z následujících zdrojů:

• Předběžné detekce anomálií
• Upozornění z produktů Microsoftu:
  • Ochrana Microsoft Entra ID
  • Microsoft Defender for Cloud
  • Microsoft Defender for IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
• Výstrahy z plánovaných analytických pravidel Analytická pravidla musí obsahovat řetězec kill-chain (taktiky) a informace o mapování entit, aby je mohla fusion používat.

Abyste mohli fúzi pro nově vznikající hrozby fungovat, nemusíte mít připojené všechny výše uvedené zdroje dat. Čím více zdrojů dat jste se připojili, tím širší je pokrytí a čím více hrozeb Fusion najde.

Když korelace modulu Fusion způsobí detekci vznikající hrozby, v tabulce incidentů v pracovním prostoru Microsoft Sentinelu se vygeneruje incident s vysokou závažností s názvem "Možné aktivity útoku s více fázemi zjištěné fúzí".

Fúze pro ransomware

Modul Fusion microsoft Sentinelu vygeneruje incident, když zjistí více výstrah různých typů z následujících zdrojů dat a zjistí, že můžou souviset s aktivitou ransomwaru:

• Microsoft Defender for Cloud
• Microsoft Defender for Endpoint
• Konektor Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps
• Plánovaná analytická pravidla služby Microsoft Sentinel Fusion bere v úvahu pouze naplánovaná analytická pravidla s informacemi o taktikách a mapovanými entitami.

Takové fúzní incidenty se nazývají Několik výstrah, které mohou souviset s zjištěnou aktivitou ransomware, a generují se, když se během určitého časového rámce zjistí relevantní výstrahy a jsou spojeny s fázemi spuštění a obranného úniku útoku.

Microsoft Sentinel by například vygeneroval incident pro možné aktivity ransomwaru, pokud se v určitém časovém rámci aktivují následující výstrahy na stejném hostiteli:

Výstrahy	Zdroj	Závažnost
Události chyb a upozornění systému Windows	Naplánovaná analytická pravidla služby Microsoft Sentinel	informační
Ransomwaru GandCrab se zabránilo	Microsoft Defender for Cloud	střední
Byl zjištěn malware Emotet	Microsoft Defender for Endpoint	informační
Zjistili jsme zadní vrátka Tofsee.	Microsoft Defender for Cloud	low
Zjistil se malware Parite	Microsoft Defender for Endpoint	informační

Detekce fúzních fúzí založených na scénářích

Následující část obsahuje seznam typů útoků založených na scénářích s více fázemi seskupených podle klasifikace hrozeb, které Microsoft Sentinel detekuje pomocí korelačního modulu fusion.

Aby bylo možné tyto scénáře detekce útoků využívajících fúzi povolit, musí se jejich přidružené zdroje dat ingestovat do pracovního prostoru služby Log Analytics. Výběrem odkazů v následující tabulce se dozvíte o jednotlivých scénářích a souvisejících zdrojích dat.

Poznámka:

Některé z těchto scénářů jsou ve verzi PREVIEW. Budou tak označeny.

Klasifikace hrozeb	Scénáře
Zneužití výpočetních prostředků	(PREVIEW) Několik aktivit vytváření virtuálních počítačů po podezřelém přihlášení Microsoft Entra
Přístup k přihlašovacím údajům	(PREVIEW) Několik resetování hesel uživatelem po podezřelém přihlášení (PREVIEW) Podezřelé přihlášení s úspěšným přihlášením k Palo Alto VPN podle IP adresy s několika neúspěšnými přihlášeními Microsoft Entra
Sběr přihlašovacích údajů	Spuštění nástroje pro krádež škodlivých přihlašovacích údajů po podezřelém přihlášení Podezřelá aktivita krádeže přihlašovacích údajů po podezřelém přihlášení
Crypto-mining	Aktivita kryptografického dolování po podezřelém přihlášení
Zničení dat	Hromadné odstranění souboru po podezřelém přihlášení Microsoft Entra (PREVIEW) Hromadné odstranění souboru po úspěšném přihlášení Microsoft Entra z IP adresa blokovaná zařízením brány firewall Cisco (PREVIEW) Hromadné odstranění souboru po úspěšném přihlášení k Palo Alto VPN podle IP adresy s několika neúspěšnými přihlášeními Microsoft Entra (PREVIEW) Podezřelá aktivita odstranění e-mailu po podezřelém přihlášení Microsoft Entra
Exfiltrace dat	(PREVIEW) Aktivity přeposílání pošty po nové aktivitě účtu správce se nedávno nezoznaly Hromadné stažení souboru po podezřelém přihlášení Microsoft Entra (PREVIEW) Hromadné stažení souboru po úspěšném přihlášení Microsoft Entra z IP adresa blokovaná zařízením brány firewall Cisco (PREVIEW) Hromadné stahování souborů s využitím operace se sharepointovým souborem z dříve nezobrazené IP adresy Hromadné sdílení souborů po podezřelém přihlášení Microsoft Entra (PREVIEW) Několik aktivit sdílení sestav Power BI po podezřelém přihlášení Microsoft Entra Exfiltrace poštovní schránky Office 365 po podezřelém přihlášení Microsoft Entra (PREVIEW) Operace souboru SharePointu z dříve nezoznané IP adresy po detekci malwaru (PREVIEW) Pravidla manipulace s podezřelou doručenou poštou nastavená podle podezřelých přihlášení Microsoft Entra (PREVIEW) Podezřelé sdílení sestav Power BI po podezřelém přihlášení Microsoft Entra
Odepření služby	(PREVIEW) Několik aktivit odstranění virtuálních počítačů po podezřelém přihlášení Microsoft Entra
Laterální pohyb	Zosobnění Office 365 po podezřelém přihlášení Microsoft Entra (PREVIEW) Pravidla manipulace s podezřelou doručenou poštou nastavená podle podezřelých přihlášení Microsoft Entra
Škodlivá aktivita správy	Podezřelá aktivita správy cloudových aplikací po podezřelém přihlášení Microsoft Entra (PREVIEW) Aktivity přeposílání pošty po nové aktivitě účtu správce se nedávno nezoznaly
Škodlivé spuštění s legitimním procesem	(PREVIEW) PowerShell vytvořil podezřelé síťové připojení následované Neobvyklý provoz označený bránou firewall Palo Alto Networks (PREVIEW) Podezřelé vzdálené spuštění rozhraní WMI následované Neobvyklý provoz označený bránou firewall Palo Alto Networks Podezřelý příkazový řádek PowerShellu po podezřelém přihlášení
Malware C2 nebo stažení	(PREVIEW) Model signálu zjištěný aplikací Fortinet po několika neúspěšných přihlášeních uživatelů ke službě (PREVIEW) Model signálu zjištěný aplikací Fortinet po podezřelém přihlášení Microsoft Entra (PREVIEW) Požadavek na síť na anonymizační službu TOR následovanou Neobvyklý provoz označený bránou firewall Palo Alto Networks (PREVIEW) Odchozí připojení k IP adrese s historií pokusů o neoprávněný přístup následovanými Neobvyklý provoz označený bránou firewall Palo Alto Networks
Uchování	(PREVIEW) Výjimečný souhlas aplikace po podezřelém přihlášení
Ransomware	Spuštění ransomwaru po podezřelém přihlášení Microsoft Entra
Vzdálené využívání	(PREVIEW) Podezření na použití architektury útoku následované Neobvyklý provoz označený bránou firewall Palo Alto Networks
Napadení prostředků	(PREVIEW) Podezřelé nasazení prostředku nebo skupiny prostředků dříve nezoznaným volajícím sledování podezřelého přihlášení Microsoft Entra

Další kroky

Získejte další informace o rozšířené detekci útoků Fusion multistage:

• Přečtěte si další informace o detekcích útoků založených na scénářích fusion.
• Přečtěte si, jak nakonfigurovat pravidla fusion.

Teď jste se dozvěděli více o pokročilé detekci útoků s více fázemi, může vás zajímat následující rychlý start, kde se dozvíte, jak získat přehled o datech a potenciálních hrozbách: Začínáme s Microsoft Sentinelem.

Pokud jste připraveni prošetřit incidenty vytvořené za vás, projděte si následující kurz: Zkoumání incidentů pomocí Služby Microsoft Sentinel.