Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel

Penting

Beberapa deteksi Fusion (lihat yang ditunjukkan di bawah ini) saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Microsoft Azure Sentinel menggunakan Fusion, mesin korelasi berbasis algoritma pembelajaran mesin yang dapat diskalakan, untuk secara otomatis mendeteksi serangan multi-tahap (juga dikenal sebagai ancaman persisten tingkat lanjut atau APT) dengan mengidentifikasi kombinasi perilaku anomali dan aktivitas mencurigakan yang diamati pada berbagai tahap rantai penyerangan. Atas dasar penemuan ini, Microsoft Sentinel menghasilkan insiden yang akan sulit ditangkap. Insiden ini terdiri dari dua atau lebih pemberitahuan atau aktivitas. Dengan sengaja, insiden ini memiliki volume rendah, fidelitas tinggi, dan tingkat keparahan tinggi.

Disesuaikan untuk lingkungan Anda, teknologi deteksi ini tidak hanya mengurangi rasio positif palsu tetapi juga dapat mendeteksi serangan dengan informasi terbatas atau hilang.

Karena Fusion menghubungkan beberapa sinyal dari berbagai produk untuk mendeteksi serangan multitahap tingkat lanjut, deteksi Fusion yang berhasil disajikan sebagai insiden Fusion di halaman Insiden Microsoft Sentinel dan bukan sebagai peringatan, dan disimpan dalam tabel SecurityIncident di Log dan bukan di tabel SecurityAlert.

Konfigurasikan Fusion

Fusion diaktifkan secara default dalam Microsoft Azure Sentinel, sebagai aturan analitik yang disebut Deteksi serangan multi-tahap tingkat lanjut. Anda dapat melihat dan mengubah status aturan, mengonfigurasi sinyal sumber untuk disertakan dalam model Pembelajaran Mesin Fusion, atau mengecualikan pola deteksi tertentu yang mungkin tidak berlaku untuk lingkungan Anda dari deteksi Fusion. Pelajari cara mengonfigurasi aturan Fusion.

Catatan

Microsoft Azure Sentinel saat ini menggunakan data riwayat 30 hari untuk melatih algoritma pembelajaran mesin dari mesin Fusion. Data ini selalu dienkripsi menggunakan kunci Microsoft saat melewati alur pembelajaran mesin. Namun, data pelatihan tidak dienkripsi menggunakan Kunci yang Dikelola Pelanggan (CMK) jika Anda telah mengaktifkan CMK di ruang kerja Microsoft Azure Sentinel. Untuk menolak Fusion, navigasikan ke Microsoft Azure Sentinel>Konfigurasi>Analitik> Aturan aktif, klik kanan aturan Deteksi Serangan Multi-tahap Tingkat Lanjut, lalu pilih Nonaktifkan.

Di ruang kerja Microsoft Azure Sentinel yang di-onboarding ke platform operasi keamanan terpadu di portal Pertahanan Microsoft, Fusion dinonaktifkan, karena fungsinya digantikan oleh mesin korelasi Pertahanan Microsoft XDR.

Fusion untuk ancaman yang muncul

Penting

• Deteksi berbasis Fusion untuk ancaman yang muncul saat ini dalam PREVIEW. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Volume peristiwa keamanan terus berkembang, dan cakupan serta kecanggihan serangan semakin meningkat. Kami dapat menentukan skenario serangan yang diketahui, tetapi bagaimana dengan ancaman yang muncul dan tidak dikenal di lingkungan Anda?

Mesin Fusion yang didukung oleh ML Microsoft Azure Sentinel dapat membantu Anda menemukan ancaman yang muncul dan tidak diketahui di lingkungan Anda dengan menerapkan analisis ML yang diperluas dan dengan menghubungkan cakupan sinyal anomali yang lebih luas, sekaligus menjaga kelelahan pemberitahuan tetap rendah.

Algoritma Pembelajaran Mesin dari mesin Fusion terus belajar dari serangan yang ada dan menerapkan analisis berdasarkan cara berpikir analis keamanan. Oleh karena itu, ia dapat menemukan ancaman yang sebelumnya tidak terdeteksi dari jutaan perilaku anomali di seluruh rantai pembunuhan di seluruh lingkungan Anda, yang membantu Anda tetap selangkah lebih maju dari para penyerang.

Fusion untuk ancaman yang muncul mendukung pengumpulan dan analisis data dari sumber berikut:

• Deteksi anomali siap pakai
• Pemberitahuan dari produk Microsoft:
  • Microsoft Entra ID Protection
  • Microsoft Defender for Cloud
  • Microsoft Defender for IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Pertahanan Microsoft untuk Titik Akhir
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
• Pemberitahuan dari aturan analitik terjadwal, baik bawaan dan yang dibuat oleh analis keamanan Anda. Aturan analitik harus berisi rantai penyerangan (taktik) dan informasi pemetaan entitas agar dapat digunakan oleh Fusion.

Anda tidak perlu menyambungkan semua sumber data yang tercantum di atas agar Fusion untuk ancaman yang muncul dapat berfungsi. Namun, semakin banyak sumber data yang Anda sambungkan, semakin luas cakupannya, dan semakin banyak ancaman yang akan ditemukan Fusion.

Jika korelasi mesin Fusion menghasilkan deteksi ancaman yang muncul, insiden keparahan tinggi berjudul "Kemungkinan aktivitas serangan multi-tahap yang dideteksi oleh Fusion" dihasilkan dalam tabel insiden di ruang kerja Microsoft Azure Sentinel.

Fusion untuk ransomware

Mesin Fusion Microsoft Azure Sentinel menghasilkan insiden saat mendeteksi beberapa pemberitahuan dengan jenis yang berbeda dari sumber data berikut, dan menentukan apakah pemberitahuan tersebut berhubungan dengan aktivitas ransomware:

• Microsoft Defender untuk Cloud
• Microsoft Defender untuk Titik Akhir
• konektor Microsoft Defender untuk Identitas
• Aplikasi Microsoft Defender untuk Cloud
• Aturan analitik terjadwal Microsoft Azure Sentinel. Fusion hanya mempertimbangkan aturan analitik terjadwal dengan informasi taktik dan entitas yang dipetakan.

Insiden Fusion tersebut bernama Beberapa peringatan yang mungkin terkait dengan aktivitas Ransomware yang terdeteksi, dan dibuat jika peringatan yang relevan terdeteksi selama jangka waktu tertentu dan terkait dengan tahap Eksekusi dan Penghindaran Pertahanan dari suatu serangan.

Misalnya, Microsoft Azure Sentinel akan menghasilkan insiden untuk kemungkinan aktivitas ransomware jika pemberitahuan berikut dipicu di host yang sama dalam jangka waktu tertentu:

Peringatan	Sumber	Tingkat keparahan
Peristiwa Peringatan dan Kesalahan Windows	Aturan analitik terjadwal Microsoft Azure Sentinel	informasi
Ransomware 'GandCrab' dicegah	Microsoft Defender for Cloud	Sedang
Malware 'Emotet' terdeteksi	Pertahanan Microsoft untuk Titik Akhir	informasi
Backdoor 'Tofsee' terdeteksi	Microsoft Defender for Cloud	rendah
Malware 'Parite' terdeteksi	Pertahanan Microsoft untuk Titik Akhir	informasi

Deteksi Fusion berbasis skenario

Bagian berikut mencantumkan jenis serangan multi-tahap berbasis skenario, yang dikelompokkan menurut klasifikasi ancaman, yang dideteksi Microsoft Azure Sentinel menggunakan mesin korelasi Fusion.

Untuk mengaktifkan skenario deteksi serangan yang didukung Fusion ini, sumber data terkait skenario harus diserap ke ruang kerja Analitik Log Anda. Pilih tautan dalam tabel di bawah ini untuk mempelajari setiap skenario dan sumber data terkait skenario.

Catatan

Beberapa skenario ini ada di PRATINJAU. Skenario akan ditunjukkan.

Klasifikasi ancaman	Skenario
Penyalahgunaan sumber daya komputasi	(PRATINJAU) Beberapa aktivitas pembuatan VM setelah masuk Microsoft Entra yang mencurigakan
Akses info masuk	(PREVIEW) Beberapa pengaturan ulang kata sandi oleh pengguna setelah rincian masuk yang mencurigakan (PRATINJAU) Masuk mencurigakan bertepatan dengan keberhasilan masuk ke Palo Alto VPN oleh IP dengan beberapa proses masuk Microsoft Entra yang gagal
Panen kredensial	Eksekusi alat pencurian info masuk berbahaya setelah rincian masuk yang mencurigakan Dugaan aktivitas pencurian info masuk setelah rincian masuk yang mencurigakan
Penambangan kripto	Aktivitas penambangan kripto setelah rincian masuk yang mencurigakan
Penghancuran data	Penghapusan file massal setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Penghapusan file massal setelah berhasil masuk Microsoft Entra dari IP diblokir oleh alat firewall Cisco (PRATINJAU) Penghapusan file massal setelah berhasil masuk ke Palo Alto VPN oleh IP dengan beberapa proses masuk Microsoft Entra yang gagal (PRATINJAU) Aktivitas penghapusan email yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan
Penyelundupan data	(PREVIEW) Aktivitas penerusan email setelah aktivitas akun admin baru yang tidak terlihat baru-baru ini Unduhan file massal setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Unduhan file massal setelah masuk Microsoft Entra yang berhasil dari IP diblokir oleh alat firewall Cisco (PREVIEW) Pengunduhan file massal bertepatan dengan operasi file SharePoint dari IP yang sebelumnya tidak terlihat Berbagi file massal setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Beberapa aktivitas berbagi laporan Power BI setelah masuk Microsoft Entra yang mencurigakan Penyelundupan kotak surat Office 365 setelah masuk Microsoft Entra yang mencurigakan (PREVIEW) Operasi file SharePoint dari IP yang sebelumnya tidak terlihat setelah deteksi malware (PRATINJAU) Aturan manipulasi kotak masuk mencurigakan yang ditetapkan setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Berbagi laporan Power BI yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan
Penolakan layanan	(PRATINJAU) Beberapa aktivitas penghapusan VM setelah masuk Microsoft Entra yang mencurigakan
Gerakan lateral	Peniruan identitas Office 365 setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Aturan manipulasi kotak masuk mencurigakan yang ditetapkan setelah masuk Microsoft Entra yang mencurigakan
Aktivitas administratif berbahaya	Aktivitas administratif aplikasi cloud yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan (PREVIEW) Aktivitas penerusan email setelah aktivitas akun admin baru yang tidak terlihat baru-baru ini
Eksekusi berbahaya dengan proses yang sah	(PRATINJAU) PowerShell membuat koneksi jaringan yang mencurigakan, diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks (PRATINJAU) Eksekusi jarak jauh yang mencurigakan diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks Baris perintah PowerShell yang mencurigakan setelah rincian masuk yang mencurigakan
Malware C2 atau unduh	(PREVIEW) Pola beacon terdeteksi oleh Fortinet setelah beberapa rincian masuk pengguna yang gagal ke layanan (PRATINJAU) Pola suar terdeteksi oleh Fortinet setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Permintaan jaringan untuk layanan anonimisasi TOR diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks (PRATINJAU) Sambungan keluar ke IP dengan riwayat upaya akses tidak sah diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks
Persistensi	(PREVIEW) Izin aplikasi langka setelah rincian masuk yang mencurigakan
Ransomware	Eksekusi ransomware setelah masuk Microsoft Entra yang mencurigakan
Eksploitasi jarak jauh	(PRATINJAU) Penggunaan mencurigakan kerangka serangan diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks
Pembajakan sumber daya	(PRATINJAU) Penyebaran grup sumber daya/sumber daya yang mencurigakan oleh penelepon yang sebelumnya tidak diketahui setelah masuk Microsoft Entra yang mencurigakan

Langkah berikutnya

Dapatkan informasi selengkapnya tentang deteksi serangan beberapa tahap tingkat lanjut Fusion:

• Pelajari selengkapnya tentang Deteksi serangan berbasis skenario Fusion.
• Pelajari cara mengonfigurasi aturan Fusion.

Setelah mempelajari lebih lanjut deteksi serangan multi-tahap tingkat lanjut, Anda mungkin tertarik pada mulai cepat berikut untuk mempelajari cara mendapatkan visibilitas ke dalam data Anda dan ancaman potensial: Mulai menggunakan Microsoft Azure Sentinel.

Jika Anda siap untuk menyelidiki insiden yang dibuat untuk Anda, lihat tutorial berikut: Menyelidiki insiden dengan Microsoft Sentinel.