Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel

Importante

Alcuni rilevamenti fusion (vedere quelli indicati di seguito) sono attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali aggiuntive applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud us government, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Microsoft Sentinel usa Fusion, un motore di correlazione basato su algoritmi di Machine Learning scalabili, per rilevare automaticamente gli attacchi multistage (noti anche come minacce persistenti avanzate o APT) identificando combinazioni di comportamenti anomali e attività sospette osservate in varie fasi della kill chain. Sulla base di queste individuazioni, Microsoft Sentinel genera eventi imprevisti che altrimenti sarebbero difficili da intercettare. Questi eventi imprevisti comprendono due o più avvisi o attività. Per impostazione predefinita, questi eventi imprevisti sono a basso volume, alta fedeltà e gravità elevata.

Personalizzata per l'ambiente, questa tecnologia di rilevamento non solo riduce i tassi di falsi positivi , ma può anche rilevare attacchi con informazioni limitate o mancanti.

Poiché Fusion mette in correlazione più segnali provenienti da vari prodotti per rilevare attacchi a più fasi avanzati, i rilevamenti fusion riusciti vengono presentati come eventi imprevisti Fusion nella pagina Eventi imprevisti di Microsoft Sentinel e non come avvisi e vengono archiviati nella tabella SecurityIncident nei log e non nella tabella SecurityAlert .

Configurare Fusion

Fusion è abilitato per impostazione predefinita in Microsoft Sentinel, come regola di analisi denominata Rilevamento avanzato degli attacchi a più fasi. È possibile visualizzare e modificare lo stato della regola, configurare i segnali di origine da includere nel modello fusion ML o escludere modelli di rilevamento specifici che potrebbero non essere applicabili all'ambiente dal rilevamento Fusion. Informazioni su come configurare la regola Fusion.

Nota

Microsoft Sentinel attualmente usa 30 giorni di dati cronologici per eseguire il training degli algoritmi di Machine Learning del motore Fusion. Questi dati vengono sempre crittografati usando le chiavi di Microsoft mentre passano attraverso la pipeline di Machine Learning. Tuttavia, i dati di training non vengono crittografati usando chiavi gestite dal cliente (CMK) se è stata abilitata la chiave gestita dal cliente nell'area di lavoro di Microsoft Sentinel. Per rifiutare esplicitamente Fusion, passare a Regoleattive di Analisi >configurazione di>Microsoft Sentinel>, fare clic con il pulsante destro del mouse sulla regola Advanced Multistage Attack Detection e scegliere Disabilita.

Fusion per le minacce emergenti

Importante

• Il rilevamento basato su Fusion per le minacce emergenti è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali aggiuntive applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale.

Il volume degli eventi di sicurezza continua a crescere e l'ambito e la complessità degli attacchi aumentano sempre di più. È possibile definire gli scenari di attacco noti, ma come si tratta delle minacce emergenti e sconosciute nell'ambiente in uso?

Il motore Fusion basato su ML di Microsoft Sentinel consente di trovare le minacce emergenti e sconosciute nell'ambiente applicando l'analisi estesa di MACHINE Learning e correlando un ambito più ampio di segnali anomali, mantenendo al tempo stesso basso l'affaticamento degli avvisi.

Gli algoritmi di Machine Learning del motore Fusion imparano costantemente dagli attacchi esistenti e applicano l'analisi in base al modo in cui gli analisti della sicurezza pensano. Può quindi individuare minacce non rilevate in precedenza da milioni di comportamenti anomali nella kill chain in tutto l'ambiente, che consente di rimanere un passo avanti rispetto agli utenti malintenzionati.

Fusion per le minacce emergenti supporta la raccolta e l'analisi dei dati dalle origini seguenti:

• Rilevamenti anomalie predefiniti
• Avvisi dei prodotti Microsoft:
  • Azure Active Directory Identity Protection
  • Microsoft Defender for Cloud
  • Microsoft Defender per IoT
  • Microsoft 365 Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender per identità
  • Microsoft Defender per Office 365
• Avvisi provenienti da regole di analisi pianificate, sia predefinite che create dagli analisti della sicurezza. Le regole di analisi devono contenere informazioni sulla kill chain (tattiche) e sul mapping delle entità per poter essere usate da Fusion.

Non è necessario avere connesso tutte le origini dati elencate in precedenza per consentire a Fusion di funzionare per le minacce emergenti. Tuttavia, più origini dati sono state connesse, più ampia sarà la copertura e più minacce troveranno Fusion.

Quando le correlazioni del motore Fusion generano il rilevamento di una minaccia emergente, viene generato un evento imprevisto di gravità elevato denominato "Possibili attività di attacco a più fasi rilevate da Fusion" nella tabella degli eventi imprevisti nell'area di lavoro di Microsoft Sentinel.

Fusion per ransomware

Il motore Fusion di Microsoft Sentinel genera un evento imprevisto quando rileva più avvisi di tipi diversi dalle origini dati seguenti e determina che possono essere correlati all'attività ransomware:

• Microsoft Defender for Cloud
• Microsoft Defender for Endpoint
• connettore Microsoft Defender per identità
• Microsoft Defender for Cloud Apps
• Regole di analisi pianificate di Microsoft Sentinel. Fusion considera solo le regole di analisi pianificate con informazioni sulle tattiche e le entità mappate.

Tali eventi imprevisti Fusion sono denominati Più avvisi possibilmente correlati all'attività ransomware rilevata e vengono generati quando vengono rilevati avvisi pertinenti durante un intervallo di tempo specifico e sono associati alle fasi di esecuzione e evasione della difesa di un attacco.

Ad esempio, Microsoft Sentinel genererà un evento imprevisto per le possibili attività ransomware se gli avvisi seguenti vengono attivati nello stesso host entro un intervallo di tempo specifico:

Avviso	Source (Sorgente)	Gravità
Eventi di errore e avviso di Windows	Regole di analisi pianificate di Microsoft Sentinel	Informativo
Ransomware 'GandCrab' è stato impedito	Microsoft Defender for Cloud	media
È stato rilevato malware "Emotet"	Microsoft Defender for Endpoint	Informativo
È stato rilevato il backdoor 'Tofsee'	Microsoft Defender for Cloud	low
È stato rilevato malware 'Parite'	Microsoft Defender for Endpoint	Informativo

Rilevamenti fusion basati su scenari

La sezione seguente elenca i tipi di attacchi multistage basati su scenari, raggruppati per classificazione delle minacce, rilevati da Microsoft Sentinel tramite il motore di correlazione Fusion.

Per abilitare questi scenari di rilevamento degli attacchi basati su Fusion, le origini dati associate devono essere inserite nell'area di lavoro Log Analytics. Selezionare i collegamenti nella tabella seguente per informazioni su ogni scenario e sulle relative origini dati associate.

Nota

Alcuni di questi scenari sono disponibili in ANTEPRIMA. Saranno così indicati.

Classificazione delle minacce	Scenari
Uso improprio delle risorse di calcolo	(ANTEPRIMA) Più attività di creazione di macchine virtuali dopo l'accesso sospetto ad Azure Active Directory
Accesso alle credenziali	(ANTEPRIMA) Reimpostazione di più password da parte dell'utente dopo l'accesso sospetto (ANTEPRIMA) Accesso sospetto che coincide con l'accesso riuscito a Palo Alto VPN per IP con più accessi di Azure AD non riusciti
Raccolta delle credenziali	Esecuzione dello strumento di furto di credenziali dannose dopo l'accesso sospetto Sospetta attività di furto di credenziali dopo l'accesso sospetto
Crypto mining	Attività di crypto mining dopo l'accesso sospetto
Eliminazione definitiva di dati	Eliminazione di file di massa dopo l'accesso sospetto ad Azure AD (ANTEPRIMA) Eliminazione di massa dei file dopo l'accesso riuscito ad Azure AD IP bloccato da un'appliance firewall Cisco (ANTEPRIMA) Eliminazione di file di massa dopo l'accesso riuscito a Palo Alto VPN per IP con più accessi di Azure AD non riusciti (ANTEPRIMA) Attività di eliminazione di posta elettronica sospetta dopo l'accesso di Azure AD sospetto
Esfiltrazione di dati	(ANTEPRIMA) Attività di inoltro della posta in seguito alla nuova attività dell'account amministratore non vista di recente Download di file di massa seguendo l'accesso sospetto di Azure AD (ANTEPRIMA) Download di file di massa dopo l'accesso di Azure AD riuscito da IP bloccato da un'appliance firewall Cisco (ANTEPRIMA) Download di file di massa in coincidenza con l'operazione file di SharePoint dall'indirizzo IP precedentemente non visualizzato Condivisione file di massa dopo l'accesso sospetto ad Azure AD (ANTEPRIMA) Più attività di condivisione report di Power BI dopo l'accesso sospetto ad Azure AD Office 365'esfiltrazione della cassetta postale seguendo un accesso sospetto di Azure AD (ANTEPRIMA) Operazione di file di SharePoint da IP precedentemente non rilevata dopo il rilevamento di malware (ANTEPRIMA) Regole di manipolazione della posta in arrivo sospette impostate seguendo l'accesso sospetto di Azure AD (ANTEPRIMA) Condivisione di report di Power BI sospetta dopo l'accesso di Azure AD sospetto
Denial of Service	(ANTEPRIMA) Più attività di eliminazione di macchine virtuali che seguono l'accesso sospetto di Azure AD
Spostamento laterale	Office 365 rappresentazione dopo l'accesso sospetto di Azure AD (ANTEPRIMA) Regole di manipolazione della posta in arrivo sospette impostate seguendo l'accesso sospetto di Azure AD
Attività amministrativa dannosa	Attività amministrativa dell'app cloud sospetta dopo l'accesso di Azure AD sospetto (ANTEPRIMA) Attività di inoltro della posta in seguito alla nuova attività dell'account amministratore non vista di recente
Esecuzione dannosa con il processo legittimo	(ANTEPRIMA) PowerShell ha fatto una connessione di rete sospetta, seguita da flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks (ANTEPRIMA) Esecuzione WMI remota sospetta seguita da flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks Riga di comando di PowerShell sospetta dopo l'accesso sospetto
Malware C2 o download	(ANTEPRIMA) Modello di beacon rilevato da Fortinet seguendo più accessi utente non riusciti a un servizio (ANTEPRIMA) Modello di beacon rilevato da Fortinet seguendo l'accesso sospetto di Azure AD (ANTEPRIMA) Richiesta di rete al servizio di anonimato TOR seguito da flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks (ANTEPRIMA) Connessione in uscita all'INDIRIZZO IP con una cronologia dei tentativi di accesso non autorizzati seguiti da flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks
Persistenza	(ANTEPRIMA) Consenso dell'applicazione rara dopo l'accesso sospetto
Ransomware	Esecuzione ransomware dopo l'accesso sospetto di Azure AD
Sfruttamento remoto	(ANTEPRIMA) Sospetto uso del framework di attacco seguito da flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks
Hijacking delle risorse	(ANTEPRIMA) Distribuzione sospetta di risorse/gruppo di risorse da parte di un chiamante non eseguito in precedenza seguendo l'accesso di Azure AD sospetto

Passaggi successivi

Ottenere altre informazioni sul rilevamento di attacchi multistage avanzati di Fusion:

• Altre informazioni sui rilevamenti degli attacchi basati su scenari fusion.
• Informazioni su come configurare le regole Fusion.

Dopo aver appreso di più sul rilevamento avanzato degli attacchi multistage, è possibile che si sia interessati alla guida introduttiva seguente per informazioni su come ottenere visibilità sui dati e sulle potenziali minacce: Introduzione a Microsoft Sentinel.

Se si è pronti per analizzare gli eventi imprevisti creati per l'utente, vedere l'esercitazione seguente: Analizzare gli eventi imprevisti con Microsoft Sentinel.