Avanceret angrebsregistrering i flere Microsoft Sentinel

Vigtigt!

Brugerdefinerede registreringer er nu den bedste måde at oprette nye regler på tværs af Microsoft Sentinel SIEM-Microsoft Defender XDR. Med brugerdefinerede registreringer kan du reducere omkostningerne til indtagelse, få ubegrænsede registreringer i realtid og drage fordel af problemfri integration med Defender XDR data, funktioner og afhjælpningshandlinger med automatisk enhedstilknytning. Du kan få flere oplysninger ved at læse denne blog.

Microsoft Sentinel bruger Fusion, et korrelationsprogram, der er baseret på skalerbare algoritmer til maskinel indlæring, til automatisk at registrere multifaseangreb (også kendt som avancerede vedvarende trusler eller APT) ved at identificere kombinationer af unormal adfærd og mistænkelige aktiviteter, der observeres på forskellige stadier af kill-kæden. På baggrund af disse opdagelser genererer Microsoft Sentinel hændelser, der ellers ville være svære at fange. Disse hændelser omfatter to eller flere beskeder eller aktiviteter. Disse hændelser er tilsigtet med lav mængde, høj pålidelighed og høj alvorsgrad.

Denne registreringsteknologi, der er tilpasset dit miljø, reducerer ikke kun falske positive rater, men kan også registrere angreb med begrænsede eller manglende oplysninger.

Da Fusion korrelerer flere signaler fra forskellige produkter for at registrere avancerede angreb i fleretage, præsenteres vellykkede Fusion-registreringer som Fusion-hændelser på siden Microsoft Sentinel hændelser og ikke som beskeder, og de gemmes i tabellen SecurityIncident i Logge og ikke i tabellen SecurityAlert.

Konfigurer fusion

Fusion er som standard aktiveret i Microsoft Sentinel som en analyseregel, der kaldes Avanceret registrering af angreb i fleretages. Du kan få vist og ændre status for reglen, konfigurere kildesignaler, der skal inkluderes i Fusion ML-modellen, eller udelade bestemte registreringsmønstre, der muligvis ikke gælder for dit miljø, fra Fusion-registrering. Få mere at vide om, hvordan du konfigurerer Fusion-reglen.

Bemærk!

Microsoft Sentinel bruger i øjeblikket 30 dages historiske data til at oplære Fusion-motorens algoritmer til maskinel indlæring. Disse data krypteres altid ved hjælp af Microsofts nøgler, når de går gennem pipelinen til maskinel indlæring. Oplæringsdataene krypteres dog ikke ved hjælp af kundeadministrerede nøgler (CMK), hvis du har aktiveret CMK i dit Microsoft Sentinel arbejdsområde. Hvis du vil fravælge Fusion, skal du gå til Microsoft Sentinel >Konfiguration>Analytics > Active rules, højreklikke på reglen Advanced Multistage Attack Detection og vælge Deaktiver.

Fusion er deaktiveret for Microsoft Sentinel arbejdsområder, der er onboardet på Microsoft Defender-portalen. Dens funktionalitet erstattes af Microsoft Defender XDR korrelationsprogrammet.

Fusion til nye trusler

Vigtigt!

De angivne fusionsregistreringer findes i øjeblikket i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen. Fra og med juli 2025 bliver mange nye kunder automatisk onboardet og omdirigeret til Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender. Du kan få flere oplysninger under Det er tid til at flytte: Udgå Microsoft Sentinel er Azure Portal for større sikkerhed.

Bemærk!

Du kan få oplysninger om tilgængelighed af funktioner i US Government-cloudmiljøer i Microsoft Sentinel tabeller i Cloudfunktionstilgængelighed for US Government-kunder.

Konfigurer fusion

Fusion er som standard aktiveret i Microsoft Sentinel som en analyseregel, der kaldes Avanceret registrering af angreb i fleretages. Du kan få vist og ændre status for reglen, konfigurere kildesignaler, der skal inkluderes i Fusion ML-modellen, eller udelade bestemte registreringsmønstre, der muligvis ikke gælder for dit miljø, fra Fusion-registrering. Få mere at vide om, hvordan du konfigurerer Fusion-reglen.

Det kan være en god idé at fravælge Fusion, hvis du har aktiveret kundeadministrerede nøgler (CMK) i dit arbejdsområde. Microsoft Sentinel bruger i øjeblikket 30 dages historiske data til at oplære Fusion-programmets algoritmer til maskinel indlæring, og disse data krypteres altid ved hjælp af Microsofts nøgler, når de gennemgår pipelinen til maskinel indlæring. Oplæringsdataene krypteres dog ikke ved hjælp af CMK. Hvis du vil fravælge Fusion, skal du deaktivere reglen avanceret multistage-analyse af angrebsregistrering i Microsoft Sentinel. Du kan få flere oplysninger under Konfigurer fusionsregler.

Fusion er deaktiveret, når Microsoft Sentinel er onboardet på Defender-portalen. Når du arbejder på Defender-portalen, erstattes funktionaliteten fra Fusion i stedet af Microsoft Defender XDR korrelationsprogrammet.

Fusion til nye trusler (prøveversion)

Antallet af sikkerhedshændelser vokser fortsat, og omfanget og sofistikerede angreb bliver stadig større. Vi kan definere kendte angrebsscenarier, men hvad med de nye og ukendte trusler i dit miljø?

Microsoft Sentinel's ML-drevne Fusion-motor kan hjælpe dig med at finde de nye og ukendte trusler i dit miljø ved at anvende udvidet ML-analyse og ved at korrelere et bredere omfang af unormale signaler, samtidig med at advarselstræthed er lav.

Fusionsmotorens ML-algoritmer lærer konstant fra eksisterende angreb og anvender analyser baseret på, hvordan sikkerhedsanalytikere tænker. Den kan derfor opdage tidligere uopdagede trusler fra millioner af unormal adfærd på tværs af kill-chain i hele dit miljø, hvilket hjælper dig med at holde dig et skridt foran angriberne.

Fusion til nye trusler understøtter dataindsamling og -analyse fra følgende kilder:

• Registreringer af uregelmæssigheder, der er i brug, er i brug

• Beskeder fra Microsoft-tjenester:

  • beskyttelse af Microsoft Entra ID
  • Microsoft Defender for Cloud
  • Microsoft Defender til IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365

• Beskeder fra planlagte analyseregler. Analyseregler skal indeholde oplysninger om kill-chain (taktik) og enhedstilknytning for at kunne bruges af Fusion.

Du behøver ikke at have oprettet forbindelse til alle de datakilder, der er angivet ovenfor, for at få Fusion til at fungere i forbindelse med nye trusler. Men jo flere datakilder du har oprettet forbindelse til, jo bredere dækning og jo flere trusler finder Fusion.

Når Fusion-motorens korrelationer resulterer i opdagelse af en spirende trussel, genererer Microsoft Sentinel en hændelse med høj alvorsgrad med titlen Mulige angrebsaktiviteter i fleretage, der opdages af Fusion.

Fusion til ransomware

Microsoft Sentinel fusionsprogram genererer en hændelse, når den registrerer flere beskeder af forskellige typer fra følgende datakilder og bestemmer, at de kan være relateret til ransomware-aktivitet:

• Microsoft Defender for Cloud
• Microsoft Defender for Endpoint
• Microsoft Defender for Identity connector
• Microsoft Defender for Cloud Apps
• Microsoft Sentinel planlagte analyseregler. Fusion tager kun planlagte analyseregler med taktikoplysninger og tilknyttede objekter i betragtning.

Sådanne Fusion-hændelser kaldes Flere beskeder, der muligvis er relateret til ransomware-aktivitet, der registreres, og genereres, når relevante beskeder registreres i løbet af en bestemt tidsramme og er knyttet til udførelses- og forsvarsunddragelsesfaserne i et angreb.

For eksempel ville Microsoft Sentinel generere en hændelse for mulige ransomware-aktiviteter, hvis følgende beskeder udløses af den samme vært inden for en bestemt tidsramme:

Besked	Kilde	Sværhedsgraden
Windows-fejl- og advarselshændelser	Microsoft Sentinel planlagte analyseregler	Informative
'GandCrab' ransomware blev forhindret	Microsoft Defender for Cloud	Medium
Der blev registreret 'Emotet'-malware	Microsoft Defender for Endpoint	Informative
Der blev fundet en bagdør til 'Tofsee'	Microsoft Defender for Cloud	Lav
Der blev registreret 'Parite'-malware	Microsoft Defender for Endpoint	Informative

Scenariebaserede fusionsregistreringer

I følgende afsnit vises de typer scenariebaserede flertrinsangreb grupperet efter trusselsklassificering, som Microsoft Sentinel registrerer ved hjælp af Fusion-korrelationsprogrammet.

Hvis du vil aktivere disse Fusion-drevne scenarier til registrering af angreb, skal deres tilknyttede datakilder overføres til dit Log Analytics-arbejdsområde. Vælg linkene i nedenstående tabel for at få mere at vide om hvert scenarie og de tilknyttede datakilder.

Trusselsklassificering	Scenarier
Misbrug af beregningsressource	(EKSEMPELVISNING) Flere aktiviteter til oprettelse af vm efter mistænkelig Microsoft Entra logon
Adgang til legitimationsoplysninger	(EKSEMPELVISNING) Nulstilling af flere adgangskoder af brugeren efter mistænkelig logon (EKSEMPELVISNING) Mistænkeligt logon samtidig med vellykket logon til Palo Alto VPN efter IP med flere mislykkede Microsoft Entra logon
Høst af legitimationsoplysninger	Værktøjskørsel af værktøj til tyveri af skadelige legitimationsoplysninger efter mistænkelig logon Mistanke om tyveri af legitimationsoplysninger efter mistænkelig logon
Krypto-minedrift	Kryptografi-mineaktivitet efter mistænkelig logon
Datadestruktion	Massesletning af filer efter mistænkelig Microsoft Entra logon (EKSEMPELVISNING) Massesletning af filer efter vellykket Microsoft Entra logon fra IP blokeret af en Cisco firewall apparat (EKSEMPELVISNING) Massesletning af filer efter vellykket logon til Palo Alto VPN efter IP med flere mislykkede Microsoft Entra logon (EKSEMPELVISNING) Mistænkelig aktivitet til sletning af mail efter mistænkelig Microsoft Entra logon
Dataudfyldning	(EKSEMPELVISNING) Aktiviteter til videresendelse af mail efter den nye administratorkontoaktivitet blev ikke set for nylig Massefildownload efter mistænkelig Microsoft Entra logon (EKSEMPELVISNING) Massefildownload efter vellykket Microsoft Entra logon fra IP blokeret af en Cisco firewall apparat (EKSEMPELVISNING) Massefildownload , der er samtidig med SharePoint-filhandlingen fra tidligere uset IP-adresse Massefildeling efter mistænkelig Microsoft Entra logon (EKSEMPELVISNING) Flere aktiviteter for deling af Power BI-rapporter efter mistænkelig Microsoft Entra logon Office 365 postkasseudfiltrering efter et mistænkeligt Microsoft Entra logon (EKSEMPELVISNING) SharePoint-filhandling fra tidligere usete IP-adresser efter registrering af malware (EKSEMPELVISNING) Regler for mistænkelig indbakkemanipulation, der er angivet efter mistænkelig Microsoft Entra logon (EKSEMPELVISNING) Mistænkelig deling af Power BI-rapport efter mistænkelig Microsoft Entra logon
Denial-of-service	(EKSEMPELVISNING) Flere aktiviteter for sletning af VM efter mistænkelig Microsoft Entra logon
Tværgående bevægelse	Office 365 repræsentation efter mistænkelig Microsoft Entra logon (EKSEMPELVISNING) Regler for mistænkelig indbakkemanipulation, der er angivet efter mistænkelig Microsoft Entra logon
Ondsindet administrativ aktivitet	Mistænkelig administration af cloudapps efter mistænkelig Microsoft Entra logon (EKSEMPELVISNING) Aktiviteter til videresendelse af mail efter den nye administratorkontoaktivitet blev ikke set for nylig
Skadelig udførelse med legitim proces	(EKSEMPELVISNING) PowerShell har oprettet en mistænkelig netværksforbindelse efterfulgt af uregelmæssig trafik, der er markeret af Palo Alto Networks firewall (EKSEMPELVISNING) Mistænkelig ekstern WMI-udførelse efterfulgt af uregelmæssig trafik, der er markeret af Palo Alto Networks firewall Mistænkelig PowerShell-kommandolinje efter mistænkeligt logon
Malware C2 eller download	(EKSEMPELVISNING) Beacon-mønster registreret af Fortinet efter flere mislykkede brugerlogon til en tjeneste (EKSEMPELVISNING) Beacon-mønster registreret af Fortinet efter mistænkelig Microsoft Entra logon (EKSEMPELVISNING) Netværksanmodning til tor-anonymiseringstjeneste efterfulgt af uregelmæssig trafik, der er markeret af Palo Alto Networks firewall (EKSEMPELVISNING) Udgående forbindelse til IP med en historik over uautoriseret adgangsforsøg efterfulgt af uregelmæssig trafik, der er markeret af Palo Alto Networks firewall
Persistens	(EKSEMPELVISNING) Sjældent programsamtykke efter mistænkeligt logon
Ransomware	Udførelse af ransomware efter mistænkelig Microsoft Entra logon
Fjernudnyttelse	(EKSEMPELVISNING) Mistanke om brug af angrebsrammer efterfulgt af uregelmæssig trafik, der er markeret af Palo Alto Networks firewall
Ressourcekapring	(EKSEMPELVISNING) Mistænkelig udrulning af ressource/ressourcegruppe af en tidligere uset person, der ringer op følger mistænkelig Microsoft Entra logon

Relateret indhold

Du kan finde flere oplysninger under:

• Scenarier, der er registreret af Microsoft Sentinel Fusion-programmet
• Konfigurer regler for registrering af fleretages angreb (Fusion) i Microsoft Sentinel