Megosztás a következőn keresztül:


Fejlett többfázisú támadásészlelés a Microsoft Sentinelben

Fontos

Egyes fúziós észlelések (lásd az alább láthatóakat) jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

A Microsoft Sentinel Skálázható gépi tanulási algoritmusokon alapuló korrelációs motor, a Fusion használatával automatikusan észleli a többszörös támadásokat (más néven speciális állandó fenyegetéseket vagy APT-t) a rendellenességek és a gyilkossági lánc különböző szakaszaiban megfigyelt gyanús tevékenységek kombinációinak azonosításával. Ezen felfedezések alapján a Microsoft Sentinel olyan incidenseket hoz létre, amelyeket egyébként nehéz lenne elkapni. Ezek az incidensek két vagy több riasztásból vagy tevékenységből állnak. A tervezés szerint ezek az incidensek kis mennyiségű, nagy pontosságú és nagy súlyosságú incidensek.

A környezethez szabott észlelési technológia nem csak a hamis pozitív arányokat csökkenti, hanem a korlátozott vagy hiányzó információkat tartalmazó támadásokat is képes észlelni.

Mivel a Fusion több különböző terméktől származó jeleket korrelál a fejlett multistage támadások észleléséhez, a sikeres fúziós észlelések fúziós incidensként jelennek meg a Microsoft Sentinel Incidensek lapján, nem riasztásként, és a SecurityIncident táblában vannak tárolva a Naplókban, és nem a SecurityAlert táblában.

Fúzió konfigurálása

A fúzió alapértelmezés szerint engedélyezve van a Microsoft Sentinelben, a Speciális többlépéses támadásészlelés nevű elemzési szabályként. Megtekintheti és módosíthatja a szabály állapotát, konfigurálhatja a forrásjeleket, hogy szerepeljenek a Fusion ML-modellben, vagy kizárhat olyan észlelési mintákat, amelyek esetleg nem alkalmazhatók a környezetére a fúziós detektálásból. Ismerje meg, hogyan konfigurálhatja a fúziós szabályt.

Feljegyzés

A Microsoft Sentinel jelenleg 30 napos előzményadatokat használ a Fusion motor gépi tanulási algoritmusainak betanítása érdekében. Ezek az adatok mindig a Microsoft kulcsainak használatával titkosítva lesznek, miközben áthaladnak a gépi tanulási folyamaton. A betanítási adatok azonban nem titkosítva lesznek ügyfél által felügyelt kulcsokkal (CMK), ha engedélyezte a CMK-t a Microsoft Sentinel-munkaterületen. Ha le szeretné tiltani a fúziót, lépjen a Microsoft Sentinel>Configuration>Analytics > aktív szabályaira, kattintson a jobb gombbal a Advanced Multistage Attack Detection szabályra, és válassza a Letiltás lehetőséget.

A Microsoft Defender portálon az egyesített biztonsági üzemeltetési platformra előkészített Microsoft Sentinel-munkaterületeken a Fusion le van tiltva, mivel funkcióját a Microsoft Defender XDR korrelációs motorja váltja fel.

Fúzió a felmerülő fenyegetésekhez

Fontos

  • Az újonnan megjelenő fenyegetések fúziós alapú észlelése jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A biztonsági események mennyisége folyamatosan növekszik, és a támadások hatóköre és kifinomultsága egyre nő. Meg tudjuk határozni az ismert támadási forgatókönyveket, de mi a helyzet a környezetben megjelenő és ismeretlen fenyegetésekkel?

A Microsoft Sentinel ML-alapú fúziós motorja a kiterjesztett ML-elemzés alkalmazásával és a rendellenes jelek szélesebb körének korrelálásával segíthet megtalálni a környezetében felmerülő és ismeretlen fenyegetéseket, miközben a riasztások kimerültsége alacsony.

A fúziós motor ml-algoritmusai folyamatosan tanulnak a meglévő támadásokból, és elemzést alkalmaznak a biztonsági elemzők gondolkodása alapján. Így felderítheti a korábban nem észlelt fenyegetéseket több millió rendellenes viselkedésből az egész környezetben a gyilkossági láncban, ami segít egy lépéssel megelőzni a támadókat.

Az újonnan megjelenő fenyegetések fúziója az alábbi forrásokból származó adatgyűjtést és elemzést támogatja:

  • Beépített anomáliadetektálások
  • Microsoft-termékek riasztásai:
    • Microsoft Entra ID Protection
    • Microsoft Defender for Cloud
    • Microsoft Defender for IoT
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender végponthoz
    • Microsoft Defender for Identity
    • Microsoft Defender for Office 365
  • Ütemezett elemzési szabályok riasztásai. Az elemzési szabályoknak tartalmazniuk kell a kill-chain (taktikák) és az entitásleképezési információkat a Fusion használatához.

Nem kell összekapcsolnia a fent felsorolt összes adatforrást, hogy működjön a Fúzió az újonnan megjelenő fenyegetésekhez. Minél több adatforráshoz csatlakozik, annál szélesebb körű a lefedettség, és annál több fenyegetést fog találni a Fusion.

Amikor a Fúziós motor korrelációi egy újonnan megjelenő fenyegetés észlelését eredményezik, a Microsoft Sentinel-munkaterület incidenstáblájában létrejön egy "A Fusion által észlelt lehetséges többlépéses támadási tevékenységek" című, nagy súlyosságú incidens.

Fúzió zsarolóprogramokhoz

A Microsoft Sentinel fúziós motorja incidenst okoz, amikor több különböző típusú riasztást észlel az alábbi adatforrásokból, és megállapítja, hogy ezek a zsarolóprogramok tevékenységéhez kapcsolódhatnak:

Az ilyen fúziós incidenseket több riasztásnak nevezik, amelyek esetleg a Ransomware-tevékenységhez kapcsolódnak, és akkor jönnek létre, amikor a releváns riasztásokat egy adott időkeretben észlelik, és a támadás végrehajtási és védelmi kijátszási szakaszaihoz kapcsolódnak.

A Microsoft Sentinel például incidenst okozna a lehetséges zsarolóprogram-tevékenységekhez, ha a következő riasztások egy adott időkereten belül aktiválódnak ugyanazon a gazdagépen:

Riasztás Forrás Súlyosság
Windows hiba- és figyelmeztetési események Microsoft Sentinel ütemezett elemzési szabályok Információs
A "GandCrab" zsarolóprogramot megakadályozták Microsoft Defender for Cloud közepes
"Emotet" kártevőt észleltek Microsoft Defender végponthoz Információs
"Tofsee" backdoor észlelhető Microsoft Defender for Cloud alacsony
"Parite" kártevőt észleltek Microsoft Defender végponthoz Információs

Forgatókönyvalapú fúziós észlelések

Az alábbi szakasz felsorolja azokat a forgatókönyvalapú többlépéses támadásokat, amelyeket a Microsoft Sentinel a fúziós korrelációs motor használatával észlel, fenyegetésbesorolás szerint csoportosítva.

A fúziós támadásészlelési forgatókönyvek engedélyezéséhez a társított adatforrásokat a Log Analytics-munkaterületre kell beolvasni. Az alábbi táblázatban található hivatkozásokra kattintva megismerheti az egyes forgatókönyveket és a hozzájuk tartozó adatforrásokat.

Feljegyzés

Néhány ilyen forgatókönyv előzetes verzióban érhető el. Ezek a jelölések meg lesznek jelölve.

Fenyegetés besorolása Forgatókönyvek
Számítási erőforrásokkal való visszaélés
Hitelesítő adatokhoz való hozzáférés
Hitelesítő adatok betakarítása
Kriptobányászat
Adatmegsemmisítés
Adatkiszivárgás
Szolgáltatásmegtagadás
Oldalirányú mozgás
Rosszindulatú rendszergazdai tevékenység
Rosszindulatú végrehajtás
jogszerű eljárással
Kártevő C2 vagy letöltés
Kitartás
Ransomware
Távoli kihasználás
Erőforrás-eltérítés

Következő lépések

További információ a Fusion speciális többlépcsős támadásészleléséről:

Most, hogy többet is megtudhat a többlépcsős támadások észleléséről, az alábbi rövid útmutatóból megtudhatja, hogyan ismerheti meg adatait és potenciális fenyegetéseit: Ismerkedés a Microsoft Sentinellel.

Ha készen áll az Ön számára létrehozott incidensek kivizsgálására, tekintse meg a következő oktatóanyagot: Incidensek vizsgálata a Microsoft Sentinellel.