Freigeben über


Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel

Microsoft Sentinel verwendet Fusion, ein Korrelations-Modul, das auf skalierbaren Algorithmen von Maschinellem Lernen basiert, um mehrstufige Angriffe (auch als erweiterte persistente Bedrohungen oder APT bezeichnet) automatisch zu erkennen, indem Kombinationen aus anomalem Verhalten und verdächtigen Aktivitäten identifiziert werden, die in verschiedenen Phasen der Kette auftreten können. Auf der Grundlage dieser Entdeckungen generiert Microsoft Sentinel Incidents, die auf andere Weise nur schwer abgefangen werden können. Diese Incidents umfassen mindestens zwei Warnungen oder Aktivitäten. Standardmäßig weisen diese Incidents ein geringes Volumen, eine hohe Qualität und einen hohen Schweregrad auf.

Angepasst für Ihre Umgebung reduziert diese Erkennungstechnologie nicht nur falsch positive Raten, sondern kann auch Angriffe mit begrenzten oder fehlenden Informationen erkennen.

Da Fusion mehrere Signale aus verschiedenen Produkten korreliert, um erweiterte Multistage-Angriffe zu erkennen, werden erfolgreiche Fusionserkennungen als Fusionsvorfälle auf der Seite "Microsoft Sentinel-Vorfälle" und nicht als Warnungen dargestellt und in der Tabelle "SecurityIncident " in Protokollen und nicht in der Tabelle "SecurityAlert " gespeichert.

Konfigurieren von Fusion

Fusion ist in Microsoft Sentinel standardmäßig als Analyseregel mit dem Namen Advanced Multistage-Angriffserkennung aktiviert. Sie können den Status des Filters anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das Fusion ML-Modell aufgenommen werden, oder bestimmte Erkennungsmuster von der Erkennung durch Fusion ausschließen, die möglicherweise nicht auf Ihre Umgebung anwendbar sind. Erfahren Sie, wie Sie die Fusion-Regel konfigurieren.

Hinweis

Microsoft Sentinel verwendet derzeit Verlaufsdaten von 30 Tagen, um die Algorithmen für das Maschinelle Lernen des Fusion Moduls zu trainieren. Diese Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, wenn sie die Pipeline für maschinelles Lernen durchlaufen. Die Schulungsdaten werden jedoch nicht mit Customer-Managed Keys (CMK) verschlüsselt, wenn Sie CMK in Ihrem Microsoft Sentinel-Arbeitsbereich aktiviert haben. Um Fusion zu deaktivieren, navigieren Sie zu Microsoft Sentinel>Konfiguration>Analytics > Active-Regeln, klicken Sie mit der rechten Maustaste auf die Erweiterte Multistage-Angriffserkennungsregel und wählen Sie „Deaktivieren“ aus.

Für Microsoft Sentinel-Arbeitsbereiche, die im Microsoft Defender-Portal integriert sind, ist Fusion deaktiviert. Seine Funktionalität wird durch die Korrelations-Engine von Microsoft Defender XDR ersetzt.

Fusion für neue Bedrohungen

Wichtig

Angegebene Fusion-Erkennungen befinden sich derzeit in der VORSCHAU. Weitere rechtliche Bestimmungen, die für Azure Previews gelten, finden Sie in den ergänzenden Nutzungsbedingungen für Azure Previews , die für Azure-Features gelten, die sich in der Betaversion, der Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Hinweis

Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel-Tabellen in der Cloud-Featureverfügbarkeit für US Government-Kunden.

Konfigurieren von Fusion

Fusion ist in Microsoft Sentinel standardmäßig als Analyseregel mit dem Namen Advanced Multistage-Angriffserkennung aktiviert. Sie können den Status der Regel anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das Fusion ML-Modell aufgenommen werden, oder bestimmte Erkennungsmuster von der Erkennung durch Fusion ausschließen, die möglicherweise nicht auf Ihre Umgebung anwendbar sind. Erfahren Sie, wie Sie die Fusion-Regel konfigurieren.

Möglicherweise möchten Sie Fusion deaktivieren, wenn Sie Customer-Managed Keys (CMK) in Ihrem Arbeitsbereich aktiviert haben. Microsoft Sentinel verwendet derzeit Verlaufsdaten von 30 Tagen, um die Algorithmen für maschinelles Lernen der Fusion-Engine zu trainieren. Diese Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, während sie die Pipeline für maschinelles Lernen durchlaufen. Die Trainingsdaten werden jedoch nicht mit einem CMK verschlüsselt. Um Fusion nicht zu verwenden, deaktivieren Sie in Microsoft Sentinel die Analyseregel Erweiterte Erkennung von mehrstufigen Angriffen. Weitere Informationen finden Sie unter Konfigurieren von Fusionsregeln.

Fusion ist deaktiviert, wenn Microsoft Sentinel in das Defender-Portal integriert ist. Stattdessen wird bei Verwendung des Defender-Portals die von Fusion bereitgestellte Funktionalität durch die Korrelations-Engine von Microsoft Defender XDR ersetzt.

Fusion für neue Bedrohungen (Vorschau)

Die Menge der Sicherheitsereignisse wächst weiter, und der Umfang und die Raffinesse von Angriffen nehmen ständig zu. Zwar können wir die bekannten Angriffsszenarien definieren, doch wie sieht es eigentlich mit den neuen und noch unbekannten Bedrohungen in Ihrer Umgebung aus?

Das ML-basierte Fusion-Modul von Microsoft Sentinel kann Ihnen helfen, die neuen und unbekannten Bedrohungen in Ihrer Umgebung zu finden, indem Sie erweiterte ML-Analysen anwenden und einen breiteren Umfang anomalen Signalen korrelieren und gleichzeitig die Warnungsmüdigkeit niedrig halten.

Die ML-Algorithmen des Fusion Moduls lernen ständig aus erfolgten Angriffen und wenden Analysen basierend auf der Meinung von Sicherheitsanalysten an. Es kann daher zuvor unerkannte Bedrohungen von Millionen anomaler Verhaltensweisen in der gesamten Kette in Ihrer Umgebung erkennen, wodurch Sie den Angreifern einen Schritt voraus sein können.

Fusion für neue Bedrohungen unterstützt die Datenerfassung und -analyse aus den folgenden Quellen:

  • Standardmäßige Erkennung von Anomalien

  • Warnungen von Microsoft-Diensten:

    • Microsoft Entra ID-Schutz
    • Microsoft Defender für Cloud
    • Microsoft Defender für IoT
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud-Apps
    • Microsoft Defender für den Endpunkt
    • Microsoft Defender for Identity
    • Microsoft Defender für Office 365
  • Warnungen von Regeln geplanter Analysen Analyseregeln müssen Kill-Chain-Informationen (Taktiken) und Entitätszuordnungsinformationen enthalten, um von Fusion verwendet werden zu können.

Sie müssen nicht unbedingt alle oben aufgeführten Datenquellen verbunden haben, damit Fusion für neue Bedrohungen funktioniert. Doch desto mehr Datenquellen Sie verknüpft haben, je umfassender ist die Abdeckung, und desto mehr Bedrohungen wird Fusion entdecken.

Wenn die Korrelationen des Fusion-Moduls zur Erkennung einer neuen Bedrohung führen, generiert Microsoft Sentinel einen Vorfall mit hohem Schweregrad mit dem Titel Mögliche mehrstufige Angriffsaktivitäten, die von Fusion erkannt wurden.

Fusion für Ransomware

Die Fusion-Engine von Microsoft Sentinel generiert einen Incident, wenn mehrere Warnungen verschiedener Typen aus den folgenden Datenquellen erkannt werden, und entscheidet, ob sie mit Ransomware-Aktivitäten in Zusammenhang stehen könnten:

Solche Fusion-Vorfälle werden als mehrere Warnungen bezeichnet, die möglicherweise im Zusammenhang mit Ransomware-Aktivitäten erkannt wurden und generiert werden, wenn relevante Warnungen während eines bestimmten Zeitrahmens erkannt werden und mit den Ausführungs - und Verteidigungshinterziehungsphasen eines Angriffs verbunden sind.

Beispielsweise generiert Microsoft Sentinel einen Incident für mögliche Ransomware-Aktivitäten, wenn die folgenden Warnungen in einem bestimmten Zeitrahmen auf demselben Host ausgelöst werden:

Warnung `Source` Schweregrad
Windows-Fehler- und Warnungsereignisse Microsoft Sentinel-Regeln für geplante Analysen Information
'GandCrab' Ransomware wurde verhindert Microsoft Defender für Cloud mittel
"Emotet" Schadsoftware wurde erkannt. Microsoft Defender für den Endpunkt Information
Tofsee-Hintertür wurde erkannt Microsoft Defender für Cloud niedrig
"Parite"-Schadsoftware wurde erkannt. Microsoft Defender für den Endpunkt Information

Szenariobasierte Erkennungen durch Fusion

Im folgenden Abschnitt werden die Arten von szenariobasierten multistage-Angriffen aufgelistet, gruppiert nach Bedrohungsklassifizierung, die Microsoft Sentinel mithilfe des Fusion-Korrelationsmoduls erkennt.

Um diese Fusion-gestützten Angriffserkennungsszenarien zu ermöglichen, müssen die zugehörigen Datenquellen in Ihrem Log Analytics-Arbeitsbereich erfasst sein. Wählen Sie die Links in der folgenden Tabelle aus, um mehr über die einzelnen Szenarien und die zugehörigen Datenquellen zu erfahren.

Bedrohungsklassifizierung Szenarien
Ressourcenmissbrauch berechnen
Zugriff auf Anmeldeinformationen
Abgreifen von Anmeldeinformation
Krypto-Mining
Datenvernichtung
Datenexfiltration
Denial of Service
Laterale Bewegung
Böswillige administrative Aktivitäten
Böswillige Ausführung
mit legitimem Prozess
Malware C2 oder Download
Ausdauer
Ransomware
Remoteausnutzung
Ressourcenübernahme

Weitere Informationen finden Sie unter: