Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel

  • Artikel

Wichtig

Einige Fusion-Erkennungen (weiter unten aufgeführt) befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Microsoft Sentinel verwendet Fusion, ein Korrelations-Modul, das auf skalierbaren Algorithmen von Maschinellem Lernen basiert, um mehrstufige Angriffe (auch als erweiterte persistente Bedrohungen oder APT bezeichnet) automatisch zu erkennen, indem Kombinationen aus anomalem Verhalten und verdächtigen Aktivitäten identifiziert werden, die in verschiedenen Phasen der Kette auftreten können. Auf der Grundlage dieser Entdeckungen generiert Microsoft Sentinel Incidents, die auf andere Weise nur schwer abgefangen werden können. Diese Incidents umfassen mindestens zwei Warnungen oder Aktivitäten. Standardmäßig weisen diese Incidents ein geringes Volumen, eine hohe Qualität und einen hohen Schweregrad auf.

Diese Erkennungstechnologie ist für Ihre Umgebung angepasst und bewirkt nicht nur eine Reduzierung der False Positive-Rate, sondern kann Angriffe auch mit eingeschränkten oder fehlenden Informationen erkennen.

Da Fusion mehrere Signale von verschiedenen Produkten korreliert, um erweiterte mehrstufige Angriffe zu erkennen, werden erfolgreiche Erkennungen von Fusion als Fusion-Vorfälle auf der Seite Microsoft Sentinel Vorfälle und nicht als Warnungen angezeigt und in der Tabelle SecurityIncident in Protokollen und nicht in der Tabelle Sicherheitswarnungen gespeichert.

Konfigurieren von Fusion

Fusion ist standardmäßig in Microsoft Sentinel als Analyseregel namens Erweiterte mehrstufige Angriffserkennung aktiviert. Sie können den Status des Filters anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das Fusion ML-Modell aufgenommen werden, oder bestimmte Erkennungsmuster von der Erkennung durch Fusion ausschließen, die möglicherweise nicht auf Ihre Umgebung anwendbar sind. Erfahren Sie hier, wie Sie den Fusion-Filter konfigurieren.

Hinweis

Microsoft Sentinel verwendet derzeit Verlaufsdaten von 30 Tagen, um die Algorithmen für das Maschinelle Lernen des Fusion Moduls zu trainieren. Diese Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, wenn sie die Pipeline für maschinelles Lernen durchlaufen. Die Trainingsdaten werden jedoch nicht mit vom Kunden verwalteten Schlüsseln (Customer Managed Keys, CMK) verschlüsselt, wenn Sie CMK in Ihrem Microsoft Sentinel-Arbeitsbereich aktiviert haben. Um Fusion zu deaktivieren, navigieren Sie zu Microsoft Sentinel>Konfiguration>Analytics > Aktive Regeln, klicken Sie mit der rechten Maustaste auf die Regel Erweiterte mehrstufige Angriffserkennung (Advanced Multistage Attack Detection), und wählen Sie Deaktivieren aus.

Fusion für neue Bedrohungen

Wichtig

  • Die fusionsbasierte Erkennung für neue Bedrohungen befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Die Menge der Sicherheitsereignisse wächst weiter, und der Umfang und die Raffinesse von Angriffen nehmen ständig zu. Zwar können wir die bekannten Angriffsszenarien definieren, doch wie sieht es eigentlich mit den neuen und noch unbekannten Bedrohungen in Ihrer Umgebung aus?

Das von ML unterstützte Microsoft Sentinel Fusion Modul hilft Ihnen, die neuen und unbekannten Bedrohungen in Ihrer Umgebung zu finden, indem sie eine erweiterte ML-Analyse anwenden und einen größeren Bereich anomaler Signale korrelieren und gleichzeitig die Warnungsmüdigkeit gering halten.

Die ML-Algorithmen des Fusion Moduls lernen ständig aus erfolgten Angriffen und wenden Analysen basierend auf der Meinung von Sicherheitsanalysten an. Es kann daher zuvor unerkannte Bedrohungen von Millionen anomaler Verhaltensweisen in der gesamten Kette in Ihrer Umgebung erkennen, wodurch Sie den Angreifern einen Schritt voraus sein können.

Fusion für neue Bedrohungen unterstützt die Datensammlung und -analyse aus den folgenden Quellen:

Sie müssen nicht unbedingt alle oben aufgeführten Datenquellen verbunden haben, damit Fusion für neue Bedrohungen funktioniert. Doch desto mehr Datenquellen Sie verknüpft haben, je umfassender ist die Abdeckung, und desto mehr Bedrohungen wird Fusion entdecken.

Wenn die Korrelationen des Fusion Moduls zur Erkennung einer neuen Bedrohung führen, wird in der Tabelle Vorfälle in Ihrem Microsoft Sentinel-Arbeitsbereich ein Vorfall mit hohem Schweregrad mit dem Titel "Potentielle mehrstufige Angriffsaktivitäten von Fusion erkannt" generiert.

Fusion für Ransomware

Das Microsoft Sentinel Fusion Modul von Azure generiert einen Vorfall, wenn mehrere Warnungen verschiedener Typen aus den folgenden Datenquellen erkannt werden, und entscheidet, dass sie mit Ransomware-Aktivitäten in Zusammenhang stehen könnten:

Solche Fusion-Incidents heißen Mehrere Warnungen, die sich möglicherweise auf erkannte Ransomware-Aktivität beziehen, und werden generiert, wenn relevante Warnungen in einem bestimmten Zeitrahmen erkannt werden und mit den Phasen Ausführung und Umgehen von Verteidigungsmaßnahmen eines Angriffs verknüpft sind.

Beispielsweise generiert Microsoft Sentinel einen Incident für mögliche Ransomware-Aktivitäten, wenn die folgenden Warnungen in einem bestimmten Zeitrahmen auf demselben Host ausgelöst werden:

Warnung `Source` Schweregrad
Windows Fehler- und Warnereignisse Microsoft Sentinel-Regeln für geplante Analysen Information
Ransomware ‘GandCrab‘ wurde verhindert Microsoft Defender für Cloud mittel
‘Emotet‘-Schadsoftware wurde erkannt Microsoft Defender für den Endpunkt Information
‘Tofsee‘ hinten erkannt Microsoft Defender für Cloud niedrig
‘Parite‘-Schadsoftware wurde erkannt Microsoft Defender für den Endpunkt Information

Szenariobasierte Erkennungen durch Fusion

Im folgenden Abschnitt werden die Arten von szenariobasierten mehrstufigen Angriffen nach Bedrohungsklassifizierung aufgelistet, die Microsoft Sentinel mit dem Fusion-Korrelations-Filter erkennt.

Um diese Fusion-gestützten Angriffserkennungsszenarien zu ermöglichen, müssen die zugehörigen Datenquellen in Ihrem Log Analytics-Arbeitsbereich erfasst sein. Wählen Sie die Links in der folgenden Tabelle aus, um mehr über die einzelnen Szenarien und die zugehörigen Datenquellen zu erfahren.

Hinweis

Einige dieser Szenarios befinden sich in der VORSCHAU. Diese sind entsprechend gekennzeichnet.

Bedrohungsklassifizierung Szenarien
Missbrauch von Computeressourcen
Zugriff auf Anmeldeinformationen
Abgreifen von Anmeldeinformation
Crypto-mining
Datenvernichtung
Daten-Exfiltration
Denial of Service
Seitwärtsbewegung
Böswillige administrative Aktivität
Böswillige Ausführung
mit legitimem Prozess
Malware C2 oder Download
Persistenz
Ransomware
Remoteausnutzung
Ressourcenübernahme

Nächste Schritte

Weitere Informationen zur erweiterten Erkennung mehrstufiger Angriffe durch Fusion:

Nachdem Sie nun mehr über die erweiterte Erkennung von mehrstufigen Angriffen erfahren haben, ist für Sie ggf. die folgende Schnellstartanleitung interessant. Darin wird veranschaulicht, wie Sie Einblicke in Ihre Daten und potenzielle Bedrohungen erhalten: Erste Schritte mit Microsoft Sentinel.

Wenn Sie bereit sind, die Vorfälle zu untersuchen, die für Sie erstellt werden, lesen Sie das folgende Tutorial: Untersuchen von Vorfällen mit Microsoft Sentinel.