Fejlett többfázisú támadásészlelés a Microsoft Sentinelben

Fontos

Egyes fúziós észlelések (lásd az alább láthatóakat) jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

A Microsoft Sentinel Skálázható gépi tanulási algoritmusokon alapuló korrelációs motor, a Fusion használatával automatikusan észleli a többszörös támadásokat (más néven speciális állandó fenyegetéseket vagy APT-t) a rendellenességek és a gyilkossági lánc különböző szakaszaiban megfigyelt gyanús tevékenységek kombinációinak azonosításával. Ezen felfedezések alapján a Microsoft Sentinel olyan incidenseket hoz létre, amelyeket egyébként nehéz lenne elkapni. Ezek az incidensek két vagy több riasztásból vagy tevékenységből állnak. A tervezés szerint ezek az incidensek kis mennyiségű, nagy pontosságú és nagy súlyosságú incidensek.

A környezethez szabott észlelési technológia nem csak a hamis pozitív arányokat csökkenti, hanem a korlátozott vagy hiányzó információkat tartalmazó támadásokat is képes észlelni.

Mivel a Fusion több különböző terméktől származó jeleket korrelál a fejlett multistage támadások észleléséhez, a sikeres fúziós észlelések fúziós incidensként jelennek meg a Microsoft Sentinel Incidensek lapján, nem riasztásként, és a SecurityIncident táblában vannak tárolva a Naplókban, és nem a SecurityAlert táblában.

Fúzió konfigurálása

A fúzió alapértelmezés szerint engedélyezve van a Microsoft Sentinelben, a Speciális többlépéses támadásészlelés nevű elemzési szabályként. Megtekintheti és módosíthatja a szabály állapotát, konfigurálhatja a forrásjeleket, hogy szerepeljenek a Fusion ML-modellben, vagy kizárhat olyan észlelési mintákat, amelyek esetleg nem alkalmazhatók a környezetére a fúziós detektálásból. Ismerje meg, hogyan konfigurálhatja a fúziós szabályt.

Feljegyzés

A Microsoft Sentinel jelenleg 30 napos előzményadatokat használ a Fusion motor gépi tanulási algoritmusainak betanítása érdekében. Ezek az adatok mindig a Microsoft kulcsainak használatával titkosítva lesznek, miközben áthaladnak a gépi tanulási folyamaton. A betanítási adatok azonban nem titkosítva lesznek ügyfél által felügyelt kulcsokkal (CMK), ha engedélyezte a CMK-t a Microsoft Sentinel-munkaterületen. Ha le szeretné tiltani a fúziót, lépjen a Microsoft Sentinel>Configuration>Analytics > aktív szabályaira, kattintson a jobb gombbal a Advanced Multistage Attack Detection szabályra, és válassza a Letiltás lehetőséget.

A Microsoft Defender portálon az egyesített biztonsági üzemeltetési platformra előkészített Microsoft Sentinel-munkaterületeken a Fusion le van tiltva, mivel funkcióját a Microsoft Defender XDR korrelációs motorja váltja fel.

Fúzió a felmerülő fenyegetésekhez

Fontos

• Az újonnan megjelenő fenyegetések fúziós alapú észlelése jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A biztonsági események mennyisége folyamatosan növekszik, és a támadások hatóköre és kifinomultsága egyre nő. Meg tudjuk határozni az ismert támadási forgatókönyveket, de mi a helyzet a környezetben megjelenő és ismeretlen fenyegetésekkel?

A Microsoft Sentinel ML-alapú fúziós motorja a kiterjesztett ML-elemzés alkalmazásával és a rendellenes jelek szélesebb körének korrelálásával segíthet megtalálni a környezetében felmerülő és ismeretlen fenyegetéseket, miközben a riasztások kimerültsége alacsony.

A fúziós motor ml-algoritmusai folyamatosan tanulnak a meglévő támadásokból, és elemzést alkalmaznak a biztonsági elemzők gondolkodása alapján. Így felderítheti a korábban nem észlelt fenyegetéseket több millió rendellenes viselkedésből az egész környezetben a gyilkossági láncban, ami segít egy lépéssel megelőzni a támadókat.

Az újonnan megjelenő fenyegetések fúziója az alábbi forrásokból származó adatgyűjtést és elemzést támogatja:

• Beépített anomáliadetektálások
• Microsoft-termékek riasztásai:
  • Microsoft Entra ID Protection
  • Microsoft Defender for Cloud
  • Microsoft Defender for IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender végponthoz
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
• Riasztások az ütemezett elemzési szabályokról, mind a beépített, mind a biztonsági elemzők által létrehozottakról. Az elemzési szabályoknak tartalmazniuk kell a kill-chain (taktikák) és az entitásleképezési információkat a Fusion használatához.

Nem kell összekapcsolnia a fent felsorolt összes adatforrást, hogy működjön a Fúzió az újonnan megjelenő fenyegetésekhez. Minél több adatforráshoz csatlakozik, annál szélesebb körű a lefedettség, és annál több fenyegetést fog találni a Fusion.

Amikor a Fúziós motor korrelációi egy újonnan megjelenő fenyegetés észlelését eredményezik, a Microsoft Sentinel-munkaterület incidenstáblájában létrejön egy "A Fusion által észlelt lehetséges többlépéses támadási tevékenységek" című, nagy súlyosságú incidens.

Fúzió zsarolóprogramokhoz

A Microsoft Sentinel fúziós motorja incidenst okoz, amikor több különböző típusú riasztást észlel az alábbi adatforrásokból, és megállapítja, hogy ezek a zsarolóprogramok tevékenységéhez kapcsolódhatnak:

• Felhőhöz készült Microsoft Defender
• Végponthoz készült Microsoft Defender
• Microsoft Defender for Identity-összekötő
• Felhőhöz készült Microsoft Defender-alkalmazások
• Microsoft Sentinel ütemezett elemzési szabályok. A Fusion csak az ütemezett elemzési szabályokat veszi figyelembe a taktikára vonatkozó információkkal és a leképezett entitásokkal.

Az ilyen fúziós incidenseket több riasztásnak nevezik, amelyek esetleg a Ransomware-tevékenységhez kapcsolódnak, és akkor jönnek létre, amikor a releváns riasztásokat egy adott időkeretben észlelik, és a támadás végrehajtási és védelmi kijátszási szakaszaihoz kapcsolódnak.

A Microsoft Sentinel például incidenst okozna a lehetséges zsarolóprogram-tevékenységekhez, ha a következő riasztások egy adott időkereten belül aktiválódnak ugyanazon a gazdagépen:

Riasztás	Forrás	Súlyosság
Windows hiba- és figyelmeztetési események	Microsoft Sentinel ütemezett elemzési szabályok	Információs
A "GandCrab" zsarolóprogramot megakadályozták	Microsoft Defender for Cloud	közepes
"Emotet" kártevőt észleltek	Microsoft Defender végponthoz	Információs
"Tofsee" backdoor észlelhető	Microsoft Defender for Cloud	alacsony
"Parite" kártevőt észleltek	Microsoft Defender végponthoz	Információs

Forgatókönyvalapú fúziós észlelések

Az alábbi szakasz felsorolja azokat a forgatókönyvalapú többlépéses támadásokat, amelyeket a Microsoft Sentinel a fúziós korrelációs motor használatával észlel, fenyegetésbesorolás szerint csoportosítva.

A fúziós támadásészlelési forgatókönyvek engedélyezéséhez a társított adatforrásokat a Log Analytics-munkaterületre kell beolvasni. Az alábbi táblázatban található hivatkozásokra kattintva megismerheti az egyes forgatókönyveket és a hozzájuk tartozó adatforrásokat.

Feljegyzés

Néhány ilyen forgatókönyv előzetes verzióban érhető el. Ezek a jelölések meg lesznek jelölve.

Fenyegetés besorolása	Forgatókönyvek
Számítási erőforrásokkal való visszaélés	(ELŐZETES VERZIÓ) Több virtuálisgép-létrehozási tevékenység gyanús Microsoft Entra-bejelentkezés után
Hitelesítő adatokhoz való hozzáférés	(ELŐZETES VERZIÓ) Több jelszó alaphelyzetbe állítása a felhasználó által a gyanús bejelentkezést követően (ELŐZETES VERZIÓ) Gyanús bejelentkezés a Palo Alto VPN-be való sikeres bejelentkezéssel IP-cím szerint több sikertelen Microsoft Entra-bejelentkezéssel
Hitelesítő adatok betakarítása	Rosszindulatú hitelesítőadat-lopási eszköz végrehajtása gyanús bejelentkezés után Gyanús bejelentkezést követő hitelesítőadat-lopás gyanúja
Kriptobányászat	Kriptobányászati tevékenység gyanús bejelentkezés után
Adatmegsemmisítés	Tömeges fájltörlés gyanús Microsoft Entra-bejelentkezés után (ELŐZETES VERZIÓ) Tömeges fájltörlés a Microsoft Entra sikeres bejelentkezését követően Cisco tűzfalberendezés által blokkolt IP-cím (ELŐZETES VERZIÓ) Tömeges fájltörlés a Palo Alto VPN-be való sikeres bejelentkezés után IP-cím szerint több sikertelen Microsoft Entra-bejelentkezéssel (ELŐZETES VERZIÓ) Gyanús e-mail-törlési tevékenység gyanús Microsoft Entra-bejelentkezés után
Adatkiszivárgás	(ELŐZETES VERZIÓ) E-mail-továbbítási tevékenységek a közelmúltban nem látott új rendszergazdai fióktevékenység után Tömeges fájlletöltés gyanús Microsoft Entra-bejelentkezés után (ELŐZETES VERZIÓ) Tömeges fájlletöltés a Microsoft Entra sikeres bejelentkezését követően Cisco tűzfalberendezés által blokkolt IP-cím (ELŐZETES VERZIÓ) Tömeges fájlletöltés a Korábban nem látott IP-címről származó SharePoint-fájlművelettel Tömeges fájlmegosztás gyanús Microsoft Entra-bejelentkezés után (ELŐZETES VERZIÓ) Több Power BI-jelentésmegosztási tevékenység gyanús Microsoft Entra-bejelentkezés után Office 365-ös postaláda-kiszivárgás gyanús Microsoft Entra-bejelentkezés után (ELŐZETES VERZIÓ) SharePoint-fájlművelet korábban nem látott IP-címről a kártevők észlelését követően (ELŐZETES VERZIÓ) Gyanús, a Microsoft Entra-bejelentkezést követő beérkezett üzenetekre vonatkozó manipulációs szabályok (ELŐZETES VERZIÓ) Gyanús Power BI-jelentésmegosztás gyanús Microsoft Entra-bejelentkezés után
Szolgáltatásmegtagadás	(ELŐZETES VERZIÓ) Több virtuálisgép-törlési tevékenység gyanús Microsoft Entra-bejelentkezés után
Oldalirányú mozgás	Office 365-megszemélyesítés gyanús Microsoft Entra-bejelentkezés után (ELŐZETES VERZIÓ) Gyanús, a Microsoft Entra-bejelentkezést követő beérkezett üzenetekre vonatkozó manipulációs szabályok
Rosszindulatú rendszergazdai tevékenység	Gyanús felhőalkalmazás-felügyeleti tevékenység gyanús Microsoft Entra-bejelentkezés után (ELŐZETES VERZIÓ) E-mail-továbbítási tevékenységek a közelmúltban nem látott új rendszergazdai fióktevékenység után
Rosszindulatú végrehajtás jogszerű eljárással	(ELŐZETES VERZIÓ) A PowerShell gyanús hálózati kapcsolatot létesített, majd a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom (ELŐZETES VERZIÓ) Gyanús távoli WMI-végrehajtás , majd a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom Gyanús PowerShell-parancssor gyanús bejelentkezés után
Kártevő C2 vagy letöltés	(ELŐZETES VERZIÓ) A Fortinet több sikertelen felhasználói bejelentkezést követően észlelt jelzőfénymintát egy szolgáltatásba (ELŐZETES VERZIÓ) A Fortinet a gyanús Microsoft Entra-bejelentkezést követően jelzőfénymintát észlelt (ELŐZETES VERZIÓ) Hálózati kérés a TOR anonimizálási szolgáltatáshoz , majd a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom (ELŐZETES VERZIÓ) Az IP-címhez való kimenő kapcsolat a jogosulatlan hozzáférési kísérletek előzményeivel , majd a a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom
Kitartás	(ELŐZETES VERZIÓ) Ritka alkalmazás-hozzájárulás gyanús bejelentkezés után
Ransomware	Zsarolóprogramok végrehajtása gyanús Microsoft Entra-bejelentkezés után
Távoli kihasználás	(ELŐZETES VERZIÓ) A támadási keretrendszer feltételezett használata, amelyet a a Palo Alto Networks tűzfala által megjelölt rendellenes forgalom
Erőforrás-eltérítés	(ELŐZETES VERZIÓ) Gyanús erőforrás/erőforráscsoport üzembe helyezése egy korábban nem látott hívó által gyanús Microsoft Entra-bejelentkezés követése

Következő lépések

További információ a Fusion speciális többlépcsős támadásészleléséről:

• További információ a Fusion-forgatókönyvalapú támadásészlelésekről.
• Ismerje meg, hogyan konfigurálhatja a Fusion-szabályokat.

Most, hogy többet is megtudhat a többlépcsős támadások észleléséről, az alábbi rövid útmutatóból megtudhatja, hogyan ismerheti meg adatait és potenciális fenyegetéseit: Ismerkedés a Microsoft Sentinellel.

Ha készen áll az Ön számára létrehozott incidensek kivizsgálására, tekintse meg a következő oktatóanyagot: Incidensek vizsgálata a Microsoft Sentinellel.