Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Benutzerdefinierte Erkennungen sind jetzt die beste Möglichkeit, neue Regeln in Microsoft Sentinel SIEM-Microsoft Defender XDR zu erstellen. Mit benutzerdefinierten Erkennungen können Sie Erfassungskosten reduzieren, unbegrenzte Echtzeiterkennungen erhalten und von der nahtlosen Integration in Defender XDR Daten, Funktionen und Wartungsaktionen mit automatischer Entitätszuordnung profitieren. Weitere Informationen finden Sie in diesem Blog.
Microsoft Sentinel verwendet Fusion, eine Korrelations-Engine, die auf skalierbaren Algorithmen für maschinelles Lernen basiert, um mehrstufige Angriffe (auch als advanced persistent threats oder APT bezeichnet) automatisch zu erkennen, indem Kombinationen aus anomalen Verhaltensweisen und verdächtigen Aktivitäten identifiziert werden, die in verschiedenen Phasen der Kill Chain beobachtet werden. Basierend auf diesen Entdeckungen generiert Microsoft Sentinel Vorfälle, die andernfalls schwer zu erfassen wären. Diese Vorfälle umfassen mindestens zwei Warnungen oder Aktivitäten. Standardmäßig handelt es sich bei diesen Vorfällen um ein geringes Volumen, eine hohe Genauigkeit und einen hohen Schweregrad.
Diese für Ihre Umgebung angepasste Erkennungstechnologie reduziert nicht nur falsch positive Raten, sondern kann auch Angriffe mit begrenzten oder fehlenden Informationen erkennen.
Da Fusion mehrere Signale von verschiedenen Produkten korreliert, um erweiterte mehrstufige Angriffe zu erkennen, werden erfolgreiche Fusion-Erkennungen als Fusion-Incidents auf der Seite Microsoft Sentinel Incidents und nicht als Warnungen angezeigt und in der Tabelle SecurityIncident in Logs und nicht in der Tabelle SecurityAlert gespeichert.
Konfigurieren von Fusion
Fusion ist standardmäßig in Microsoft Sentinel als Analyseregel namens Erweiterte mehrstufige Angriffserkennung aktiviert. Sie können die status der Regel anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das Fusion ML-Modell einbezogen werden, oder bestimmte Erkennungsmuster, die möglicherweise nicht für Ihre Umgebung gelten, von der Fusion-Erkennung ausschließen. Erfahren Sie, wie Sie die Fusion-Regel konfigurieren.
Hinweis
Microsoft Sentinel verwendet derzeit verlaufsbezogene Daten von 30 Tagen, um die Machine Learning-Algorithmen der Fusion-Engine zu trainieren. Diese Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, während sie die Machine Learning-Pipeline durchlaufen. Die Trainingsdaten werden jedoch nicht mit kundenseitig verwalteten Schlüsseln (Customer-Managed Keys, CMK) verschlüsselt, wenn Sie CMK in Ihrem Microsoft Sentinel Arbeitsbereich aktiviert haben. Navigieren Sie zum Deaktivieren von Fusion zu Microsoft Sentinel>Konfigurationsanalyse>> Aktive Regeln, klicken Sie mit der rechten Maustaste auf die Regel Erweiterte Mehrstufige Angriffserkennung, und wählen Sie Deaktivieren aus.
Für Microsoft Sentinel Arbeitsbereiche, die in das Microsoft Defender-Portal integriert sind, ist Fusion deaktiviert. Seine Funktionalität wird durch die Microsoft Defender XDR-Korrelations-Engine ersetzt.
Fusion für neue Bedrohungen
Wichtig
Die angegebenen Fusion-Erkennungen befinden sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden, finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews.
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch integriert und an das Defender-Portal umgeleitet.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen. Weitere Informationen finden Sie unter It's Time to Move: Reaktivierung Microsoft Sentinel Azure-Portal für mehr Sicherheit.
Hinweis
Informationen zur Featureverfügbarkeit in Clouds für US-Behörden finden Sie unter Microsoft Sentinel Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.
Konfigurieren von Fusion
Fusion ist standardmäßig in Microsoft Sentinel als Analyseregel namens Erweiterte mehrstufige Angriffserkennung aktiviert. Sie können die status der Regel anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das Fusion ML-Modell einbezogen werden, oder bestimmte Erkennungsmuster, die möglicherweise nicht für Ihre Umgebung gelten, von der Fusion-Erkennung ausschließen. Erfahren Sie, wie Sie die Fusion-Regel konfigurieren.
Möglicherweise möchten Sie Fusion deaktivieren, wenn Sie kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMK) in Ihrem Arbeitsbereich aktiviert haben. Microsoft Sentinel verwendet derzeit verlaufsbezogene Daten von 30 Tagen, um die Machine Learning-Algorithmen der Fusion-Engine zu trainieren, und diese Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, während sie die Machine Learning-Pipeline durchlaufen. Die Trainingsdaten werden jedoch nicht mit CMK verschlüsselt. Um Fusion zu deaktivieren, deaktivieren Sie die Analyseregel Advanced Multistage Attack Detection in Microsoft Sentinel. Weitere Informationen finden Sie unter Konfigurieren von Fusion-Regeln.
Fusion ist deaktiviert, wenn Microsoft Sentinel im Defender-Portal integriert ist. Stattdessen wird bei der Arbeit im Defender-Portal die von Fusion bereitgestellte Funktionalität durch die Microsoft Defender XDR-Korrelations-Engine ersetzt.
Fusion für neue Bedrohungen (Vorschau)
Das Volumen der Sicherheitsereignisse nimmt weiter zu, und der Umfang und die Raffinesse von Angriffen nehmen ständig zu. Wir können die bekannten Angriffsszenarien definieren, aber wie sieht es mit den neuen und unbekannten Bedrohungen in Ihrer Umgebung aus?
Microsoft Sentinel ml-gestützte Fusion-Engine kann Ihnen helfen, die neuen und unbekannten Bedrohungen in Ihrer Umgebung zu finden, indem sie erweiterte ML-Analysen anwenden und einen breiteren Bereich anomaler Signale korrelieren, während die Warnungsermüdung gering bleibt.
Die ML-Algorithmen der Fusion-Engine lernen ständig aus vorhandenen Angriffen und wenden Analysen basierend auf der Meinung von Sicherheitsanalysten an. Es kann daher zuvor nicht erkannte Bedrohungen durch Millionen von anomalen Verhaltensweisen in der kill-chain in Ihrer gesamten Umgebung entdecken, was Ihnen hilft, den Angreifern einen Schritt voraus zu sein.
Fusion für neue Bedrohungen unterstützt die Datenerfassung und -analyse aus den folgenden Quellen:
Warnungen von Microsoft-Diensten:
- Microsoft Entra ID Protection
- Microsoft Defender für Cloud
- Microsoft Defender für IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity
- Microsoft Defender für Office 365
Warnungen von geplanten Analyseregeln. Analyseregeln müssen Kill-Chain-Informationen (Taktiken) und Entitätszuordnungsinformationen enthalten, um von Fusion verwendet zu werden.
Sie müssen nicht alle oben aufgeführten Datenquellen verbunden haben, damit Fusion für neue Bedrohungen funktioniert. Je mehr Datenquellen Sie jedoch verbunden haben, desto umfassender ist die Abdeckung, und desto mehr Bedrohungen findet Fusion.
Wenn die Korrelationen der Fusion-Engine zur Erkennung einer neuen Bedrohung führen, generiert Microsoft Sentinel einen Vorfall mit hohem Schweregrad mit dem Titel Mögliche mehrstufige Angriffsaktivitäten, die von Fusion erkannt wurden.
Fusion für Ransomware
Microsoft Sentinel Fusion-Engine generiert einen Incident, wenn es mehrere Warnungen unterschiedlicher Typen aus den folgenden Datenquellen erkennt und ermittelt, dass sie möglicherweise im Zusammenhang mit Ransomware-Aktivitäten stehen:
- Microsoft Defender für Cloud
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity Connector
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel geplante Analyseregeln. Fusion berücksichtigt nur geplante Analyseregeln mit Taktikinformationen und zugeordneten Entitäten.
Solche Fusion-Vorfälle werden als Mehrere Warnungen bezeichnet, die möglicherweise im Zusammenhang mit ransomware-Aktivität erkannt werden, und werden generiert, wenn relevante Warnungen während eines bestimmten Zeitraums erkannt werden und mit den Phasen ausführungs - und Verteidigungsumgehung eines Angriffs verknüpft sind.
Beispielsweise würde Microsoft Sentinel einen Incident für mögliche Ransomware-Aktivitäten generieren, wenn die folgenden Warnungen innerhalb eines bestimmten Zeitraums auf demselben Host ausgelöst werden:
| Warnung | Quelle | Severity |
|---|---|---|
| Windows-Fehler- und -Warnungsereignisse | Microsoft Sentinel geplanter Analyseregeln | Informations |
| "GandCrab" Ransomware wurde verhindert | Microsoft Defender für Cloud | medium |
| "Emotet" Malware wurde erkannt | Microsoft Defender für Endpunkt | Informations |
| Die Tofsee-Hintertür wurde erkannt | Microsoft Defender für Cloud | Niedrig |
| "Parite" Malware wurde erkannt | Microsoft Defender für Endpunkt | Informations |
Szenariobasierte Fusionserkennungen
Im folgenden Abschnitt werden die Arten von szenariobasierten mehrstufigen Angriffen aufgelistet, gruppiert nach Bedrohungsklassifizierung, die Microsoft Sentinel mithilfe der Fusion-Korrelations-Engine erkennt.
Um diese Fusion-basierten Angriffserkennungsszenarien zu ermöglichen, müssen die zugehörigen Datenquellen in Ihrem Log Analytics-Arbeitsbereich erfasst werden. Wählen Sie die Links in der folgenden Tabelle aus, um mehr über jedes Szenario und die zugehörigen Datenquellen zu erfahren.
Verwandte Inhalte
Weitere Informationen finden Sie unter: