Sdílet prostřednictvím


Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel

Důležité

Některé fúzní detekce (viz níže uvedené) jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Microsoft Sentinel používá fúzní modul založený na škálovatelných algoritmech strojového učení k automatickému zjišťování útoků s více fázemi (označovaných také jako pokročilé trvalé hrozby nebo APT) tím, že identifikuje kombinace neobvyklého chování a podezřelých aktivit, které se sledují v různých fázích řetězce kill. Na základě těchto zjištění generuje Microsoft Sentinel incidenty, které by jinak bylo obtížné zachytit. Tyto incidenty zahrnují dvě nebo více výstrah nebo aktivit. Tyto incidenty jsou záměrně nízké, vysoce věrné a vysoce závažné.

Přizpůsobená pro vaše prostředí tato technologie detekce nejen snižuje počet falešně pozitivních výsledků, ale může také detekovat útoky s omezenými nebo chybějícími informacemi.

Vzhledem k tomu, že fusion koreluje více signálů z různých produktů k detekci pokročilých útoků s více fázemi, zobrazí se úspěšné detekce fúzí na stránce Incidenty služby Microsoft Sentinel, nikoli jako výstrahy, a jsou uloženy v tabulce SecurityIncident v protokolech a ne v tabulce SecurityAlert.

Konfigurace fúzní

Fúze je ve výchozím nastavení povolená v Microsoft Sentinelu jako analytické pravidlo označované jako pokročilá detekce útoků s více fázemi. Můžete zobrazit a změnit stav pravidla, nakonfigurovat zdrojové signály tak, aby byly zahrnuty do modelu Fusion ML, nebo vyloučit konkrétní vzorce detekce, které nemusí být použitelné pro vaše prostředí z detekce Fusion. Zjistěte, jak nakonfigurovat pravidlo fusion.

Poznámka:

Microsoft Sentinel v současné době používá 30 dnů historických dat k trénování algoritmů strojového učení modulu Fusion. Tato data se při průchodu kanálem strojového učení vždy šifrují pomocí klíčů Microsoftu. Trénovací data se ale nešifrují pomocí klíčů spravovaných zákazníkem (CMK), pokud jste v pracovním prostoru Služby Microsoft Sentinel povolili CMK. Chcete-li zrušit fúzi, přejděte na aktivní pravidla analýzy konfigurace >>Služby Microsoft Sentinel>, klikněte pravým tlačítkem na pravidlo rozšířené detekce útoků Multistage a vyberte Zakázat.

V pracovních prostorech Microsoft Sentinelu, které jsou nasazené na sjednocené platformě operací zabezpečení na portálu Microsoft Defender, je fusion zakázaná, protože její funkce je nahrazena korelačním modulem XDR v programu Microsoft Defender.

Fúze pro vznikající hrozby

Objemudálostch Můžeme definovat známé scénáře útoku, ale jak na vznikající a neznámé hrozby ve vašem prostředí?

Modul fúzní fúze od Microsoft Sentinelu vám pomůže najít nově vznikající a neznámé hrozby ve vašem prostředí použitím rozšířené analýzy ML a korelací širšího rozsahu neobvyklých signálů a zachováním nízké únavy výstrah.

Algoritmy strojového učení modulu Fusion se neustále učí od stávajících útoků a používají analýzu na základě toho, jak si myslí analytici zabezpečení. Proto může objevit dříve nezjištěné hrozby z milionů neobvyklých chování v rámci řetězu kill-chain v celém vašem prostředí, což vám pomůže zůstat o krok před útočníky.

Fúze pro vznikající hrozby podporuje shromažďování a analýzu dat z následujících zdrojů:

  • Předběžné detekce anomálií
  • Upozornění z produktů Microsoftu:
    • Ochrana Microsoft Entra ID
    • Microsoft Defender for Cloud
    • Microsoft Defender for IoT
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender for Endpoint
    • Microsoft Defender for Identity
    • Microsoft Defender for Office 365
  • Upozornění z plánovaných analytických pravidel, která jsou integrovaná i integrovaná analytiky zabezpečení. Analytická pravidla musí obsahovat řetězec kill-chain (taktiky) a informace o mapování entit, aby je mohla fusion používat.

Abyste mohli fúzi pro nově vznikající hrozby fungovat, nemusíte mít připojené všechny výše uvedené zdroje dat. Čím více zdrojů dat jste se připojili, tím širší je pokrytí a čím více hrozeb Fusion najde.

Když korelace modulu Fusion způsobí detekci vznikající hrozby, v tabulce incidentů v pracovním prostoru Microsoft Sentinelu se vygeneruje incident s vysokou závažností s názvem "Možné aktivity útoku s více fázemi zjištěné fúzí".

Fúze pro ransomware

Modul Fusion microsoft Sentinelu vygeneruje incident, když zjistí více výstrah různých typů z následujících zdrojů dat a zjistí, že můžou souviset s aktivitou ransomwaru:

Takové fúzní incidenty se nazývají Několik výstrah, které mohou souviset s zjištěnou aktivitou ransomware, a generují se, když se během určitého časového rámce zjistí relevantní výstrahy a jsou spojeny s fázemi spuštění a obranného úniku útoku.

Microsoft Sentinel by například vygeneroval incident pro možné aktivity ransomwaru, pokud se v určitém časovém rámci aktivují následující výstrahy na stejném hostiteli:

Výstrahy Zdroj Závažnost
Události chyb a upozornění systému Windows Naplánovaná analytická pravidla služby Microsoft Sentinel informační
Ransomwaru GandCrab se zabránilo Microsoft Defender for Cloud střední
Byl zjištěn malware Emotet Microsoft Defender for Endpoint informační
Zjistili jsme zadní vrátka Tofsee. Microsoft Defender for Cloud low
Zjistil se malware Parite Microsoft Defender for Endpoint informační

Detekce fúzních fúzí založených na scénářích

Následující část obsahuje seznam typů útoků založených na scénářích s více fázemi seskupených podle klasifikace hrozeb, které Microsoft Sentinel detekuje pomocí korelačního modulu fusion.

Aby bylo možné tyto scénáře detekce útoků využívajících fúzi povolit, musí se jejich přidružené zdroje dat ingestovat do pracovního prostoru služby Log Analytics. Výběrem odkazů v následující tabulce se dozvíte o jednotlivých scénářích a souvisejících zdrojích dat.

Poznámka:

Některé z těchto scénářů jsou ve verzi PREVIEW. Budou tak označeny.

Klasifikace hrozeb Scénáře
Zneužití výpočetních prostředků
Přístup k přihlašovacím údajům
Sběr přihlašovacích údajů
Crypto-mining
Zničení dat
Exfiltrace dat
Odepření služby
Laterální pohyb
Škodlivá aktivita správy
Škodlivé spuštění
s legitimním procesem
Malware C2 nebo stažení
Uchování
Ransomware
Vzdálené využívání
Napadení prostředků

Další kroky

Získejte další informace o rozšířené detekci útoků Fusion multistage:

Teď jste se dozvěděli více o pokročilé detekci útoků s více fázemi, může vás zajímat následující rychlý start, kde se dozvíte, jak získat přehled o datech a potenciálních hrozbách: Začínáme s Microsoft Sentinelem.

Pokud jste připraveni prošetřit incidenty vytvořené za vás, projděte si následující kurz: Zkoumání incidentů pomocí Služby Microsoft Sentinel.