Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel

Microsoft Azure Sentinel menggunakan Fusion, mesin korelasi berbasis algoritma pembelajaran mesin yang dapat diskalakan, untuk secara otomatis mendeteksi serangan multi-tahap (juga dikenal sebagai ancaman persisten tingkat lanjut atau APT) dengan mengidentifikasi kombinasi perilaku anomali dan aktivitas mencurigakan yang diamati pada berbagai tahap rantai penyerangan. Berdasarkan penemuan ini, Microsoft Sentinel menghasilkan insiden yang jika tidak akan sulit ditangkap. Insiden ini terdiri dari dua atau lebih pemberitahuan atau aktivitas. Dengan sengaja, insiden ini memiliki volume rendah, fidelitas tinggi, dan tingkat keparahan tinggi.

Disesuaikan untuk lingkungan Anda, teknologi deteksi ini tidak hanya mengurangi tingkat positif palsu tetapi juga dapat mendeteksi serangan dengan informasi terbatas atau hilang.

Karena Fusion menghubungkan beberapa sinyal dari berbagai produk untuk mendeteksi serangan multistage tingkat lanjut, deteksi Fusion yang berhasil disajikan sebagai insiden Fusion di halaman Insiden Microsoft Sentinel dan bukan sebagai pemberitahuan, dan disimpan dalam tabel SecurityIncident di Log dan bukan di tabel SecurityAlert .

Konfigurasikan Fusion

Fusion diaktifkan secara default di Microsoft Azure Sentinel, sebagai aturan analitik yang disebut Deteksi serangan multitahap tingkat lanjut. Anda dapat melihat dan mengubah status aturan, mengonfigurasi sinyal sumber untuk disertakan dalam model Pembelajaran Mesin Fusion, atau mengecualikan pola deteksi tertentu yang mungkin tidak berlaku untuk lingkungan Anda dari deteksi Fusion. Pelajari cara mengonfigurasi aturan Fusion.

Catatan

Microsoft Azure Sentinel saat ini menggunakan data riwayat 30 hari untuk melatih algoritma pembelajaran mesin dari mesin Fusion. Data ini selalu dienkripsi menggunakan kunci Microsoft saat melewati alur pembelajaran mesin. Namun, data pelatihan tidak dienkripsi menggunakan Customer-Managed Keys (CMK) jika Anda mengaktifkan CMK di ruang kerja Microsoft Azure Sentinel Anda. Untuk menolak Fusion, buka aturan Aktif Microsoft Sentinel>Configuration>Analytics>, klik kanan pada aturan Deteksi Serangan Multitahap Tingkat Lanjut, dan pilih Nonaktifkan.

Untuk ruang kerja Microsoft Azure Sentinel yang di-onboarding ke portal Pertahanan Microsoft, Fusion dinonaktifkan. Fungsionalitasnya digantikan oleh mesin korelasi Pertahanan Microsoft XDR.

Fusion untuk ancaman yang muncul

Penting

Deteksi Fusion yang terindikasi saat ini berada dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum tambahan yang berlaku untuk fitur Azure yang dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Microsoft Sentinel umumnya tersedia di portal Microsoft Defender, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5. Mulai Juli 2026, Microsoft Sentinel hanya akan didukung di portal Defender, dan pelanggan yang tersisa yang menggunakan portal Microsoft Azure akan dialihkan secara otomatis. Kami menyarankan agar setiap pelanggan yang menggunakan Microsoft Sentinel di Azure mulai merencanakan transisi ke portal Defender untuk pengalaman operasi keamanan terpadu penuh yang ditawarkan oleh Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Merencanakan perpindahan Anda ke portal Pertahanan Microsoft untuk semua pelanggan Microsoft Azure Sentinel (blog).

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Sentinel di Ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Konfigurasikan Fusion

Fusion diaktifkan secara default di Microsoft Azure Sentinel, sebagai aturan analitik yang disebut Deteksi serangan multitahap tingkat lanjut. Anda dapat melihat dan mengubah status aturan, mengonfigurasi sinyal sumber untuk disertakan dalam model Fusion ML, atau mengecualikan pola deteksi tertentu yang mungkin tidak berlaku untuk lingkungan Anda dari deteksi Fusion. Pelajari cara mengonfigurasi aturan Fusion.

Anda mungkin ingin menolak Fusion jika Anda telah mengaktifkan Customer-Managed Keys (CMK) di ruang kerja Anda. Microsoft Sentinel saat ini menggunakan data historis selama 30 hari untuk melatih algoritma pembelajaran mesin mesin Fusion, dan data ini selalu dienkripsi menggunakan kunci Microsoft saat melewati alur pembelajaran mesin. Namun, data pelatihan tidak dienkripsi menggunakan CMK. Untuk menolak Fusion, nonaktifkan aturan analitik Deteksi Serangan Multitahap Tingkat Lanjut di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Mengonfigurasi aturan Fusion.

Fusion dinonaktifkan saat Microsoft Sentinel diintegrasikan ke portal Defender. Sebagai gantinya, saat bekerja di portal Defender, fungsionalitas yang disediakan oleh Fusion digantikan oleh mesin korelasi Pertahanan Microsoft XDR.

Fusion untuk ancaman yang muncul (Pratinjau)

Volume peristiwa keamanan terus berkembang, dan cakupan serta kecanggihan serangan semakin meningkat. Kami dapat menentukan skenario serangan yang diketahui, tetapi bagaimana dengan ancaman yang muncul dan tidak dikenal di lingkungan Anda?

Mesin Fusion bertenaga ML Microsoft Sentinel dapat membantu Anda menemukan ancaman yang muncul dan tidak diketahui di lingkungan Anda dengan menerapkan analisis ML yang diperluas dan dengan menghubungkan cakupan sinyal anomali yang lebih luas, sambil menjaga kelelahan pemberitahuan tetap rendah.

Algoritma Pembelajaran Mesin dari mesin Fusion terus belajar dari serangan yang ada dan menerapkan analisis berdasarkan cara berpikir analis keamanan. Oleh karena itu, ia dapat menemukan ancaman yang sebelumnya tidak terdeteksi dari jutaan perilaku anomali di seluruh rantai pembunuhan di seluruh lingkungan Anda, yang membantu Anda tetap selangkah lebih maju dari para penyerang.

Penggabungan untuk ancaman baru mendukung pengumpulan dan analisis data dari sumber berikut:

• Deteksi anomali di luar kotak

• Pemberitahuan dari layanan Microsoft:

  • Perlindungan ID Microsoft Entra
  • Microsoft Defender untuk Cloud
  • Microsoft Defender for IoT
  • Pertahanan Microsoft XDR
  • Microsoft Defender untuk Aplikasi Cloud
  • Pertahanan Microsoft untuk Titik Akhir
  • Microsoft Defender untuk Identitas
  • Pertahanan Microsoft untuk Office 365

• Peringatan dari aturan analitik terjadwal. Aturan analitik harus berisi informasi kill-chain (taktik) dan pemetaan entitas agar dapat digunakan oleh Fusion.

Anda tidak perlu menghubungkan semua sumber data yang tercantum di atas untuk membuat Fusion agar ancaman yang muncul berfungsi. Namun, semakin banyak sumber data yang Anda sambungkan, semakin luas cakupannya, dan semakin banyak ancaman yang akan ditemukan Fusion.

Ketika korelasi mesin Fusion menghasilkan deteksi ancaman yang muncul, Microsoft Sentinel menghasilkan insiden tingkat keparahan tinggi berjudul Kemungkinan aktivitas serangan multitahap yang terdeteksi oleh Fusion.

Fusion untuk ransomware

Mesin Fusion Microsoft Sentinel menghasilkan insiden ketika mendeteksi beberapa pemberitahuan dari berbagai jenis dari sumber data berikut, dan menentukan bahwa mereka mungkin terkait dengan aktivitas ransomware:

• Microsoft Defender untuk Cloud
• Microsoft Defender untuk Endpoint
• Konektor Microsoft Defender untuk Identitas
• Microsoft Defender untuk Aplikasi Cloud
• Aturan analitik terjadwal Microsoft Sentinel. Fusion hanya mempertimbangkan aturan analitik terjadwal dengan informasi taktik dan entitas yang dipetakan.

Insiden Fusion tersebut diberi nama Beberapa pemberitahuan yang mungkin terkait dengan aktivitas Ransomware yang terdeteksi, dan dihasilkan ketika pemberitahuan yang relevan terdeteksi selama jangka waktu tertentu dan dikaitkan dengan tahap Eksekusi dan Penggelapan Pertahanan serangan.

Misalnya, Microsoft Azure Sentinel akan menghasilkan insiden untuk kemungkinan aktivitas ransomware jika pemberitahuan berikut dipicu di host yang sama dalam jangka waktu tertentu:

Peringatan	Sumber	Tingkat keparahan
Peristiwa Kesalahan dan Peringatan Windows	Aturan analitik terjadwal Microsoft Azure Sentinel	informasi
'GandCrab' ransomware telah dicegah	Microsoft Defender untuk Cloud	Sedang
Malware 'Emotet' terdeteksi	Pertahanan Microsoft untuk Titik Akhir	informasi
Celah 'Tofsee' terdeteksi	Microsoft Defender untuk Cloud	rendah
Malware 'Parite' terdeteksi	Pertahanan Microsoft untuk Titik Akhir	informasi

Deteksi Fusion berbasis skenario

Bagian berikut mencantumkan jenis serangan multistage berbasis skenario, yang dikelompokkan berdasarkan klasifikasi ancaman, yang dideteksi Microsoft Sentinel menggunakan mesin korelasi Fusion.

Untuk mengaktifkan skenario deteksi serangan yang didukung Fusion ini, sumber data terkait skenario harus diserap ke ruang kerja Analitik Log Anda. Pilih tautan dalam tabel di bawah ini untuk mempelajari setiap skenario dan sumber data terkait skenario.

Klasifikasi ancaman	Skenario
Penyalahgunaan sumber daya komputasi	(PRATINJAU) Beberapa aktivitas pembuatan VM menyusul masuk Microsoft Entra yang mencurigakan
Akses kredensial	(PRATINJAU) Beberapa kata sandi diatur ulang oleh pengguna setelah masuk mencurigakan (PRATINJAU) Masuk mencurigakan yang terjadi bersamaan dengan keberhasilan masuk ke Palo Alto VPN oleh IP dengan beberapa proses masuk Microsoft Entra yang gagal
Pengumpulan kredensial	Eksekusi alat pencurian kredensial berbahaya setelah masuk yang mencurigakan Aktivitas pencurian kredensial yang diduga setelah masuk mencurigakan
Penambangan kripto	Aktivitas penambangan kripto setelah masuk yang mencurigakan
Penghancuran data	Penghapusan file massal setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Penghapusan file massal setelah login berhasil di Microsoft Entra dari IP diblokir oleh alat firewall Cisco (PRATINJAU) Penghapusan file massal setelah berhasil masuk ke Palo Alto VPN oleh IP dengan beberapa proses masuk Microsoft Entra yang gagal (PRATINJAU) Aktivitas penghapusan email yang mencurigakan setelah masuk ke Microsoft Entra yang mencurigakan
Eksfiltrasi data	(PRATINJAU) Aktivitas penerusan email mengikuti aktivitas akun admin baru yang tidak terlihat baru-baru ini Unduhan file massal setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Unduhan banyak file setelah masuk Microsoft Entra yang berhasil dari IP diblokir oleh alat firewall Cisco (PRATINJAU) Unduhan file massal bertepatan dengan operasi file SharePoint dari IP yang sebelumnya tidak dikenal Pembagian file massal setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Beberapa aktivitas berbagi laporan Power BI menyusul upaya masuk ke Microsoft Entra yang mencurigakan Penyelundupan kotak surat Office 365 setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Operasi file SharePoint dari IP yang sebelumnya tidak tampak setelah deteksi malware (PRATINJAU) Aturan manipulasi pada kotak masuk yang mencurigakan ditetapkan setelah ada aktivitas masuk yang mencurigakan pada Microsoft Entra (PRATINJAU) Berbagi laporan Power BI yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan
Penolakan layanan	(PRATINJAU) Beberapa aktivitas penghapusan VM menyusul masuk Microsoft Entra yang mencurigakan
Gerakan lateral	Peniruan identitas Office 365 setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Aturan manipulasi pada kotak masuk yang mencurigakan ditetapkan setelah ada aktivitas masuk yang mencurigakan pada Microsoft Entra
Aktivitas administratif berbahaya	Aktivitas administratif aplikasi cloud yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Aktivitas penerusan email mengikuti aktivitas akun admin baru yang tidak terlihat baru-baru ini
Eksekusi berbahaya dengan proses yang sah	(PRATINJAU) PowerShell membuat koneksi jaringan yang mencurigakan, diikuti oleh lalu lintas anomali ditandai oleh firewall Palo Alto Networks (PRATINJAU) Eksekusi WMI jarak jauh yang mencurigakan diikuti oleh lalu lintas anomali ditandai oleh firewall Palo Alto Networks Baris perintah PowerShell yang mencurigakan setelah masuk yang mencurigakan
Malware C2 atau unduh	(PREVIEW) Pola beacon terdeteksi oleh Fortinet setelah beberapa kali percobaan masuk yang gagal ke layanan oleh pengguna (PRATINJAU) Pola suar terdeteksi oleh Fortinet setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Permintaan jaringan ke layanan anonimisasi TOR diikuti oleh lalu lintas anomali ditandai oleh firewall Palo Alto Networks (PRATINJAU) Koneksi keluar ke IP dengan riwayat upaya akses yang tidak sah diikuti oleh lalu lintas anomali ditandai oleh firewall Palo Alto Networks
Ketekunan	(PRATINJAU) Persetujuan aplikasi langka setelah masuk yang mencurigakan
Ransomware	Eksekusi ransomware setelah masuk Microsoft Entra yang mencurigakan
Eksploitasi jarak jauh	(PRATINJAU) Dugaan penggunaan kerangka kerja serangan diikuti oleh lalu lintas anomali ditandai oleh firewall Palo Alto Networks
Pembajakan sumber daya	(PRATINJAU) Penyebaran grup sumber daya/sumber daya yang mencurigakan oleh penelepon yang sebelumnya tidak diketahui setelah masuk Microsoft Entra yang mencurigakan

Konten terkait

Untuk informasi selengkapnya, lihat:

• Skenario yang terdeteksi oleh mesin Microsoft Azure Sentinel Fusion
• Mengonfigurasi aturan deteksi serangan multitahap (Fusion) di Microsoft Azure Sentinel