Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel

Microsoft Sentinel usa Fusion, un motore di correlazione basato su algoritmi di Machine Learning scalabili, per rilevare automaticamente gli attacchi a più fasi (noti anche come minacce persistenti avanzate o APT) identificando combinazioni di comportamenti anomali e attività sospette osservate in varie fasi della kill chain. In base a queste individuazioni, Microsoft Sentinel genera incidenti che altrimenti sarebbero difficili da intercettare. Questi incidenti comprendono due o più avvisi o attività. Per impostazione predefinita, gli incidenti hanno volume ridotto, alta fedeltà e gravità elevata.

Personalizzata per l'ambiente, questa tecnologia di rilevamento non solo riduce i tassi di falsi positivi , ma può anche rilevare attacchi con informazioni limitate o mancanti.

Poiché Fusion correla più segnali provenienti da vari prodotti per rilevare attacchi multistage avanzati, i rilevamenti Fusion riusciti vengono presentati come eventi imprevisti Fusion nella pagina Eventi imprevisti di Microsoft Sentinel e non come avvisi e vengono archiviati nella tabella SecurityIncident nei log e non nella tabella SecurityAlert .

Configura Fusion

Fusion è abilitato per impostazione predefinita in Microsoft Sentinel, come regola di analisi denominata Rilevamento avanzato degli attacchi a più fasi. È possibile visualizzare e modificare lo stato della regola, configurare i segnali di origine da includere nel modello fusion ML o escludere modelli di rilevamento specifici che potrebbero non essere applicabili all'ambiente dal rilevamento Fusion. Informazioni su come configurare la regola Fusion.

Nota

Microsoft Sentinel usa attualmente 30 giorni di dati storici per eseguire il training degli algoritmi di Machine Learning del motore Fusion. Questi dati vengono sempre crittografati usando le chiavi di Microsoft mentre passano attraverso la pipeline di Machine Learning. Tuttavia, i dati di training non vengono crittografati usando Customer-Managed Keys (CMK) se hai abilitato le chiavi gestite dal cliente nell'area di lavoro di Microsoft Sentinel. Per rinunciare a Fusion, navigare a Microsoft Sentinel>Configurazione>Analisi >Regole attive, fare clic con il pulsante destro del mouse sulla regola Rilevamento attacchi multistage avanzato e selezionare Disabilita.

Per le aree di lavoro di Microsoft Sentinel di cui viene eseguito l'onboarding nel portale di Microsoft Defender, Fusion è disabilitato. La sua funzionalità viene sostituita dal motore di correlazione Microsoft Defender XDR.

Fusion per le minacce emergenti

Importante

I rilevamenti di Fusion indicati sono attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Configura Fusion

Fusion è abilitato per impostazione predefinita in Microsoft Sentinel, come regola di analisi denominata Rilevamento avanzato degli attacchi a più fasi. È possibile visualizzare e modificare lo stato della regola, configurare i segnali di origine da includere nel modello fusion ML o escludere modelli di rilevamento specifici che potrebbero non essere applicabili all'ambiente dal rilevamento Fusion. Informazioni su come configurare la regola Fusion.

Potresti decidere di non usare Fusion se hai abilitato Customer-Managed Chiavi gestite dal cliente (CMK) nella tua area di lavoro. Microsoft Sentinel usa attualmente 30 giorni di dati cronologici per eseguire il training degli algoritmi di Machine Learning del motore Fusion e questi dati vengono sempre crittografati usando le chiavi di Microsoft mentre passano attraverso la pipeline di Machine Learning. Tuttavia, i dati di training non vengono crittografati tramite la chiave gestita dal cliente. Per rinunciare a Fusion, disabilitare la regola di analisi Advanced Multistage Attack Detection in Microsoft Sentinel. Per altre informazioni, vedere Configurare le regole Fusion.

Fusion è disabilitato quando Microsoft Sentinel è integrato nel portale di Defender. Al contrario, quando si lavora nel portale di Defender, la funzionalità fornita da Fusion viene sostituita dal motore di correlazione XDR di Microsoft Defender.

Fusion per le minacce emergenti (anteprima)

Il volume degli eventi di sicurezza continua a crescere e l'ambito e la complessità degli attacchi aumentano sempre di più. È possibile definire gli scenari di attacco noti, ma come farlo per le minacce emergenti e sconosciute nell'ambiente in uso?

Il motore Fusion basato su ML di Microsoft Sentinel consente di individuare le minacce emergenti e sconosciute nell'ambiente applicando l'analisi estesa di ML e correlando un ambito più ampio di segnali anomali, mantenendo al contempo bassa la fatica di avviso.

Gli algoritmi di Machine Learning del motore Fusion imparano costantemente dagli attacchi esistenti e applicano l'analisi in base al modo in cui pensano gli analisti della sicurezza. Può quindi individuare minacce non rilevate in precedenza da milioni di comportamenti anomali in tutta la kill chain nell'ambiente, che consente di rimanere un passo avanti rispetto agli utenti malintenzionati.

Fusion per le minacce emergenti supporta la raccolta e l'analisi dei dati dalle origini seguenti:

• Rilevamenti anomalie predefiniti

• Avvisi di servizi Microsoft:

  • Microsoft Entra ID
  • Microsoft Defender for Cloud
  • Microsoft Defender per IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps per la sicurezza delle app cloud
  • Microsoft Defender per i punti finali
  • Microsoft Defender per identità
  • Microsoft Defender per Office 365

• Avvisi provenienti da regole di analisi pianificate. Le regole di analisi devono contenere informazioni sulla kill chain (tattiche) e sul mapping delle entità per poter essere usate da Fusion.

Non è necessario avere tutte le origini dati elencate in precedenza connesse per far funzionare Fusion per le minacce emergenti. Tuttavia, più origini dati sono state connesse, più ampia è la copertura e più minacce troverà Fusion.

Quando le correlazioni del motore Fusion generano il rilevamento di una minaccia emergente, Microsoft Sentinel genera un evento imprevisto di gravità elevato denominato Possibili attività di attacco a più fasi rilevate da Fusion.

Fusion per ransomware

Il motore Fusion di Microsoft Sentinel genera un evento imprevisto quando rileva più avvisi di tipi diversi dalle origini dati seguenti e determina che potrebbero essere correlati all'attività ransomware:

• Microsoft Defender for Cloud
• Microsoft Defender per endpoint
• Connettore Microsoft Defender per l'Identità
• Microsoft Defender for Cloud Apps
• Regole di analisi pianificate di Microsoft Sentinel. Fusion considera solo le regole di analisi pianificata con informazioni sulle tattiche ed entità di cui è stato eseguito il mapping.

Tali eventi fusion sono denominati Più avvisi possibilmente correlati all'attività ransomware rilevata e vengono generati quando vengono rilevati avvisi pertinenti durante un intervallo di tempo specifico e sono associati alle fasi di esecuzione e evasione della difesa di un attacco.

Ad esempio, Microsoft Sentinel genererà un evento imprevisto per le possibili attività ransomware se gli avvisi seguenti vengono attivati nello stesso host entro un intervallo di tempo specifico:

Avviso	Origine	Gravità
Eventi di errore e avviso di Windows	Regole di analisi pianificata di Microsoft Sentinel	Informativo
Il ransomware 'GandCrab' è stato impedito	Microsoft Defender for Cloud	Medio
Rilevato malware 'Emotet'	Microsoft Defender per i punti finali	Informativo
È stato rilevato il backdoor 'Tofsee'	Microsoft Defender for Cloud	basso
Rilevato malware 'Parite'	Microsoft Defender per i punti finali	Informativo

Rilevamenti Fusion basati su scenari

La sezione seguente elenca i tipi di attacchi multistage basati su scenario, raggruppati per classificazione delle minacce, rilevati da Microsoft Sentinel usando il motore di correlazione Fusion.

Per abilitare questi scenari di rilevamento degli attacchi basati su Fusion, le origini dati associate devono essere inserite nell'area di lavoro Log Analytics. Selezionare i collegamenti nella tabella seguente per informazioni su ogni scenario e sulle origini dati associate.

Classificazione delle minacce	Scenari
Uso improprio delle risorse di calcolo	(ANTEPRIMA) Più attività di creazione di macchine virtuali in seguito all'accesso sospetto di Microsoft Entra
Accesso alle credenziali	(ANTEPRIMA) Reimpostazione di più password da parte dell'utente dopo l'accesso sospetto (ANTEPRIMA) Accesso sospetto che coincide con l'accesso riuscito a Palo Alto VPN per IP con più accessi di Microsoft Entra non riusciti
Raccolta di credenziali	Esecuzione dello strumento di furto di credenziali dannoso dopo l'accesso sospetto Attività di sospetto furto di credenziali dopo l'accesso sospetto
Crypto mining	Attività di crypto mining dopo l'accesso sospetto
Distruzione dei dati	Eliminazione di file di massa in seguito all'accesso sospetto di Microsoft Entra (ANTEPRIMA) Eliminazione di file di massa a seguito di l'accesso riuscito a Microsoft Entra da IP bloccato da un'appliance firewall Cisco (ANTEPRIMA) Eliminazione di file di massa dopo l'accesso riuscito a Palo Alto VPN per IP con più accessi di Microsoft Entra non riusciti (ANTEPRIMA) Attività di eliminazione sospetta della posta elettronica dopo l'accesso sospetto a Microsoft Entra
Esfiltrazione dei dati	(ANTEPRIMA) Attività di inoltro della posta in seguito a una nuova attività dell'account amministratore non osservata recentemente Download di file di massa dopo l'accesso sospetto a Microsoft Entra (ANTEPRIMA) Download di file di massa dopo l'accesso riuscito a Microsoft Entra da IP bloccato da un'appliance firewall Cisco (ANTEPRIMA) Scaricamento di massa dei file in coincidenza con l'operazione di file di SharePoint da un IP sconosciuto. Condivisione di file di massa dopo l'accesso sospetto a Microsoft Entra (ANTEPRIMA) Più attività di condivisione di report di Power BI in seguito all'accesso sospetto di Microsoft Entra Esfiltrazione delle cassette postali di Office 365 dopo un accesso sospetto di Microsoft Entra (ANTEPRIMA) Operazione file di SharePoint da ip non visualizzato in precedenza dopo il rilevamento di malware (ANTEPRIMA) Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto a Microsoft Entra (ANTEPRIMA) Condivisione sospetta di report di Power BI in seguito a un accesso sospetto a Microsoft Entra
Denial of Service	(ANTEPRIMA) Attività di eliminazione di più macchine virtuali in seguito all'accesso sospetto di Microsoft Entra
Spostamento laterale	Impersonificazione di Office 365 a seguito di un accesso sospetto di Microsoft Entra (ANTEPRIMA) Regole di manipolazione della posta in arrivo sospette impostate dopo l'accesso sospetto a Microsoft Entra
Attività amministrative dannose	Attività amministrativa sospetta dell'app cloud a seguito di l'accesso sospetto a Microsoft Entra (ANTEPRIMA) Attività di inoltro della posta in seguito a una nuova attività dell'account amministratore non osservata recentemente
Esecuzione dannosa con un processo legittimo	(ANTEPRIMA) PowerShell ha effettuato una connessione di rete sospetta, seguita da traffico anomalo contrassegnato dal firewall di Palo Alto Networks (ANTEPRIMA) Esecuzione WMI remota sospetta seguita da traffico anomalo contrassegnato dal firewall di Palo Alto Networks Riga di comando di PowerShell sospetta in seguito a un accesso sospetto
Malware C2 o download	(ANTEPRIMA) Modello Beacon rilevato da Fortinet dopo più accessi utente non riusciti a un servizio (ANTEPRIMA) Modello Beacon rilevato da Fortinet dopo l'accesso sospetto di Microsoft Entra (ANTEPRIMA) Richiesta di rete al servizio di anonimizzazione TOR seguita da traffico anomalo contrassegnato dal firewall di Palo Alto Networks (ANTEPRIMA) Connessione in uscita all'IP con una cronologia di tentativi di accesso non autorizzati seguiti da traffico anomalo contrassegnato dal firewall di Palo Alto Networks
Persistenza	(ANTEPRIMA) Consenso raro per l'applicazione successivo a l'accesso sospetto
Ransomware	Esecuzione di ransomware in seguito all'accesso sospetto di Microsoft Entra
Sfruttamento remoto	(ANTEPRIMA) Sospetto uso del framework di attacco seguito da traffico anomalo contrassegnato dal firewall di Palo Alto Networks
Hijack delle risorse	(ANTEPRIMA) Distribuzione di risorse/gruppi di risorse sospette da un chiamante non visualizzato in precedenza in seguito a un accesso sospetto a Microsoft Entra

Contenuto correlato

Per altre informazioni, vedi:

• Scenari rilevati dal motore Fusion di Microsoft Sentinel
• Configurare regole di rilevamento degli attacchi a più fasi (Fusion) in Microsoft Sentinel