Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel

Microsoft Sentinel verwendet Fusion, ein Korrelations-Modul, das auf skalierbaren Algorithmen von Maschinellem Lernen basiert, um mehrstufige Angriffe (auch als erweiterte persistente Bedrohungen oder APT bezeichnet) automatisch zu erkennen, indem Kombinationen aus anomalem Verhalten und verdächtigen Aktivitäten identifiziert werden, die in verschiedenen Phasen der Kette auftreten können. Auf der Grundlage dieser Entdeckungen generiert Microsoft Sentinel Incidents, die auf andere Weise nur schwer abgefangen werden können. Diese Incidents umfassen mindestens zwei Warnungen oder Aktivitäten. Standardmäßig weisen diese Incidents ein geringes Volumen, eine hohe Qualität und einen hohen Schweregrad auf.

Angepasst für Ihre Umgebung reduziert diese Erkennungstechnologie nicht nur falsch positive Raten, sondern kann auch Angriffe mit begrenzten oder fehlenden Informationen erkennen.

Da Fusion mehrere Signale aus verschiedenen Produkten korreliert, um erweiterte Multistage-Angriffe zu erkennen, werden erfolgreiche Fusionserkennungen als Fusionsvorfälle auf der Seite "Microsoft Sentinel-Vorfälle" und nicht als Warnungen dargestellt und in der Tabelle "SecurityIncident " in Protokollen und nicht in der Tabelle "SecurityAlert " gespeichert.

Konfigurieren von Fusion

Fusion ist in Microsoft Sentinel standardmäßig als Analyseregel mit dem Namen Advanced Multistage-Angriffserkennung aktiviert. Sie können den Status des Filters anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das Fusion ML-Modell aufgenommen werden, oder bestimmte Erkennungsmuster von der Erkennung durch Fusion ausschließen, die möglicherweise nicht auf Ihre Umgebung anwendbar sind. Erfahren Sie, wie Sie die Fusion-Regel konfigurieren.

Hinweis

Microsoft Sentinel verwendet derzeit Verlaufsdaten von 30 Tagen, um die Algorithmen für das Maschinelle Lernen des Fusion Moduls zu trainieren. Diese Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, wenn sie die Pipeline für maschinelles Lernen durchlaufen. Die Schulungsdaten werden jedoch nicht mit Customer-Managed Keys (CMK) verschlüsselt, wenn Sie CMK in Ihrem Microsoft Sentinel-Arbeitsbereich aktiviert haben. Um Fusion zu deaktivieren, navigieren Sie zu Microsoft Sentinel>Konfiguration>Analytics > Active-Regeln, klicken Sie mit der rechten Maustaste auf die Erweiterte Multistage-Angriffserkennungsregel und wählen Sie „Deaktivieren“ aus.

Für Microsoft Sentinel-Arbeitsbereiche, die im Microsoft Defender-Portal integriert sind, ist Fusion deaktiviert. Seine Funktionalität wird durch die Korrelations-Engine von Microsoft Defender XDR ersetzt.

Fusion für neue Bedrohungen

Wichtig

Angegebene Fusion-Erkennungen befinden sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Previews gelten, finden Sie in den ergänzenden Nutzungsbedingungen für Azure Previews , die für Azure-Features gelten, die sich in der Betaversion, der Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Hinweis

Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel-Tabellen in der Cloud-Featureverfügbarkeit für US Government-Kunden.

Konfigurieren von Fusion

Fusion ist in Microsoft Sentinel standardmäßig als Analyseregel mit dem Namen Advanced Multistage-Angriffserkennung aktiviert. Sie können den Status der Regel anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das Fusion ML-Modell aufgenommen werden, oder bestimmte Erkennungsmuster von der Erkennung durch Fusion ausschließen, die möglicherweise nicht auf Ihre Umgebung anwendbar sind. Erfahren Sie, wie Sie die Fusion-Regel konfigurieren.

Möglicherweise möchten Sie Fusion deaktivieren, wenn Sie Customer-Managed Keys (CMK) in Ihrem Arbeitsbereich aktiviert haben. Microsoft Sentinel verwendet derzeit Verlaufsdaten von 30 Tagen, um die Algorithmen für maschinelles Lernen der Fusion-Engine zu trainieren. Diese Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, während sie die Pipeline für maschinelles Lernen durchlaufen. Die Trainingsdaten werden jedoch nicht mit einem CMK verschlüsselt. Um Fusion nicht zu verwenden, deaktivieren Sie in Microsoft Sentinel die Analyseregel Erweiterte Erkennung von mehrstufigen Angriffen. Weitere Informationen finden Sie unter Konfigurieren von Fusionsregeln.

Fusion ist deaktiviert, wenn Microsoft Sentinel in das Defender-Portal integriert ist. Stattdessen wird bei Verwendung des Defender-Portals die von Fusion bereitgestellte Funktionalität durch die Korrelations-Engine von Microsoft Defender XDR ersetzt.

Fusion für neue Bedrohungen (Vorschau)

Die Menge der Sicherheitsereignisse wächst weiter, und der Umfang und die Raffinesse von Angriffen nehmen ständig zu. Zwar können wir die bekannten Angriffsszenarien definieren, doch wie sieht es eigentlich mit den neuen und noch unbekannten Bedrohungen in Ihrer Umgebung aus?

Das ML-basierte Fusion-Modul von Microsoft Sentinel kann Ihnen helfen, die neuen und unbekannten Bedrohungen in Ihrer Umgebung zu finden, indem Sie erweiterte ML-Analysen anwenden und einen breiteren Umfang anomalen Signalen korrelieren und gleichzeitig die Warnungsmüdigkeit niedrig halten.

Die ML-Algorithmen des Fusion Moduls lernen ständig aus erfolgten Angriffen und wenden Analysen basierend auf der Meinung von Sicherheitsanalysten an. Es kann daher zuvor unerkannte Bedrohungen von Millionen anomaler Verhaltensweisen in der gesamten Kette in Ihrer Umgebung erkennen, wodurch Sie den Angreifern einen Schritt voraus sein können.

Fusion für neue Bedrohungen unterstützt die Datenerfassung und -analyse aus den folgenden Quellen:

• Standardmäßige Erkennung von Anomalien

• Warnungen von Microsoft-Diensten:

  • Microsoft Entra ID-Schutz
  • Microsoft Defender für Cloud
  • Microsoft Defender für IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud-Apps
  • Microsoft Defender für den Endpunkt
  • Microsoft Defender for Identity
  • Microsoft Defender für Office 365

• Warnungen von Regeln geplanter Analysen Analyseregeln müssen Kill-Chain-Informationen (Taktiken) und Entitätszuordnungsinformationen enthalten, um von Fusion verwendet werden zu können.

Sie müssen nicht unbedingt alle oben aufgeführten Datenquellen verbunden haben, damit Fusion für neue Bedrohungen funktioniert. Doch desto mehr Datenquellen Sie verknüpft haben, je umfassender ist die Abdeckung, und desto mehr Bedrohungen wird Fusion entdecken.

Wenn die Korrelationen des Fusion-Moduls zur Erkennung einer neuen Bedrohung führen, generiert Microsoft Sentinel einen Vorfall mit hohem Schweregrad mit dem Titel Mögliche mehrstufige Angriffsaktivitäten, die von Fusion erkannt wurden.

Fusion für Ransomware

Die Fusion-Engine von Microsoft Sentinel generiert einen Incident, wenn mehrere Warnungen verschiedener Typen aus den folgenden Datenquellen erkannt werden, und entscheidet, ob sie mit Ransomware-Aktivitäten in Zusammenhang stehen könnten:

• Microsoft Defender für Cloud
• Microsoft Defender für Endpoint
• Microsoft Defender for Identity-Connector
• Microsoft Defender für Cloud-Apps
• Geplante Analyseregeln für Microsoft Sentinel. Fusion berücksichtigt nur Filter für geplante Analysen mit Taktikinformationen und zugeordneten Einheiten.

Solche Fusion-Vorfälle werden als mehrere Warnungen bezeichnet, die möglicherweise im Zusammenhang mit Ransomware-Aktivitäten erkannt wurden und generiert werden, wenn relevante Warnungen während eines bestimmten Zeitrahmens erkannt werden und mit den Ausführungs - und Verteidigungshinterziehungsphasen eines Angriffs verbunden sind.

Beispielsweise generiert Microsoft Sentinel einen Incident für mögliche Ransomware-Aktivitäten, wenn die folgenden Warnungen in einem bestimmten Zeitrahmen auf demselben Host ausgelöst werden:

Warnung	`Source`	Schweregrad
Windows-Fehler- und Warnungsereignisse	Microsoft Sentinel-Regeln für geplante Analysen	Information
'GandCrab' Ransomware wurde verhindert	Microsoft Defender für Cloud	mittel
"Emotet" Schadsoftware wurde erkannt.	Microsoft Defender für den Endpunkt	Information
Tofsee-Hintertür wurde erkannt	Microsoft Defender für Cloud	niedrig
"Parite"-Schadsoftware wurde erkannt.	Microsoft Defender für den Endpunkt	Information

Szenariobasierte Erkennungen durch Fusion

Im folgenden Abschnitt werden die Arten von szenariobasierten multistage-Angriffen aufgelistet, gruppiert nach Bedrohungsklassifizierung, die Microsoft Sentinel mithilfe des Fusion-Korrelationsmoduls erkennt.

Um diese Fusion-gestützten Angriffserkennungsszenarien zu ermöglichen, müssen die zugehörigen Datenquellen in Ihrem Log Analytics-Arbeitsbereich erfasst sein. Wählen Sie die Links in der folgenden Tabelle aus, um mehr über die einzelnen Szenarien und die zugehörigen Datenquellen zu erfahren.

Bedrohungsklassifizierung	Szenarien
Ressourcenmissbrauch berechnen	(VORSCHAU) Mehrere VM-Erstellungsaktivitäten nach verdächtiger Microsoft Entra-Anmeldung
Zugriff auf Anmeldeinformationen	(PREVIEW) Mehrere Kennwörter wurden vom Benutzer nach einer verdächtigen Anmeldung zurückgesetzt (VORSCHAU) Verdächtige Anmeldung zeitgleich mit erfolgreicher Anmeldung bei Palo Alto VPN über IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen
Abgreifen von Anmeldeinformation	Ausführung des Tools zum Diebstahl bösartiger Anmeldeinformationen nach verdächtiger Anmeldung Verdacht auf Diebstahl von Anmeldeinformationen nach einer verdächtigen Anmeldung
Krypto-Mining	Crypto-Mining-Aktivität nach verdächtiger Anmeldung
Datenvernichtung	Massendateilöschung nach verdächtiger Microsoft Entra-Anmeldung (VORSCHAU) Massendateilöschung nach erfolgreicher Microsoft Entra-Anmeldung von über eine von der Cisco Firewall-Appliance blockierten IP-Adresse (VORSCHAU) Massendateilöschung nach erfolgreicher Anmeldung bei Palo Alto VPN über IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen (VORSCHAU) Verdächtige E-Mail-Löschaktivität nach verdächtiger Microsoft Entra-Anmeldung
Datenexfiltration	(VORSCHAU) E-Mail-Weiterleitungsaktivitäten im Anschluss an die Einrichtung eines neuen Administratorkontos, das bisher nicht bekannt war Massendownload von Dateien im Anschluss an eine verdächtige Microsoft Entra-Anmeldung (VORSCHAU) Massen-Dateidownload nach erfolgreicher Microsoft Entra-Anmeldung von über eine von der Cisco Firewall-Appliance blockierten IP-Adresse (VORSCHAU) Massendownload von Dateien bei gleichzeitigem SharePoint-Dateivorgang von zuvor unbekannter IP-Adresse Massendateifreigabe im Anschluss an eine verdächtige Microsoft Entra-Anmeldung (VORSCHAU) Mehrere Power BI-Berichtsfreigabeaktivitäten nach verdächtiger Microsoft Entra-Anmeldung Exfiltration des Office 365-Postfachs nach einer verdächtigen Microsoft Entra-Anmeldung (VORSCHAU) SharePoint-Dateivorgang von zuvor nicht angezeigter IP-Adresse nach schadsoftwareerkennung (VORSCHAU) Verdächtige Regeln zur Manipulation des Posteingangs werden nach verdächtiger Anmeldung bei Microsoft Entra festgelegt (VORSCHAU) Verdächtige Freigabe von Power BI-Berichten im Anschlussan eine verdächtige Microsoft Entra-Anmeldung
Denial of Service	(VORSCHAU) Mehrere VM-Löschaktivitäten nach verdächtiger Microsoft Entra-Anmeldung
Laterale Bewegung	Office 365-Imitation im Anschluss an verdächtige Microsoft Entra-Anmeldung (VORSCHAU) Verdächtige Regeln zur Manipulation des Posteingangs werden nach verdächtiger Anmeldung bei Microsoft Entra festgelegt
Böswillige administrative Aktivitäten	Verdächtige Administrative Aktivitäten von Cloud-Apps nach verdächtiger Microsoft Entra-Anmeldung (VORSCHAU) E-Mail-Weiterleitungsaktivitäten im Anschluss an die Einrichtung eines neuen Administratorkontos, das bisher nicht bekannt war
Böswillige Ausführung mit legitimem Prozess	(VORSCHAU) PowerShell hat eine verdächtige Netzwerkverbindung hergestellt, gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr (VORSCHAU) Verdächtige Remote-WMI-Ausführung gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr Verdächtige PowerShell-Befehlszeile nach verdächtiger Anmeldung
Malware C2 oder Download	(VORSCHAU) Beacon-Muster, das von Fortinet nach mehreren fehlgeschlagenen Benutzeranmeldungen bei einem Dienst erkannt wurde (VORSCHAU) Beacon-Muster, erkannt von Fortinet im Anschluss an eine verdächtige Microsoft Entra-Anmeldung (VORSCHAU) Netzwerkanforderung an TOR-Anonymisierungsdienst gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr (VORSCHAU) Ausgehende Verbindung zu einer IP-Adresse, die in der Vergangenheit mehrfach nicht autorisierte Zugriffsversuche aufweist gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr
Ausdauer	(VORSCHAU) Seltene Anwendungseinwilligung im Anschluss an eine verdächtige Anmeldung
Ransomware	Ransomware-Ausführung nach verdächtiger Microsoft Entra-Anmeldung
Remoteausnutzung	(VORSCHAU) Vermutete Verwendung des Angriffsframeworks gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr
Ressourcenübernahme	(VORSCHAU) Verdächtige Ressourcen-/Ressourcengruppenbereitstellung durch einen zuvor unbekannten Aufrufer im Anschluss an eine verdächtige Microsoft Entra-Anmeldung

Zugehöriger Inhalt

Weitere Informationen finden Sie unter:

• Szenarien, die vom Microsoft Sentinel Fusion-Modul erkannt wurden
• Konfigurieren von Regeln für die Multistage-Angriffserkennung (Fusion) in Microsoft Sentinel