Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.
Microsoft Sentinel usa Fusion, un motore di correlazione basato su algoritmi di Machine Learning scalabili, per rilevare automaticamente gli attacchi multistage (noti anche come minacce persistenti avanzate o APT) identificando combinazioni di comportamenti anomali e attività sospette osservate in varie fasi della kill chain. In base a queste individuazioni, Microsoft Sentinel genera eventi imprevisti che altrimenti sarebbero difficili da intercettare. Questi eventi imprevisti comprendono due o più avvisi o attività. Per impostazione predefinita, questi eventi imprevisti sono a volume ridotto, ad alta fedeltà e gravità elevata.
Personalizzata per l'ambiente, questa tecnologia di rilevamento non solo riduce i tassi di falsi positivi , ma può anche rilevare attacchi con informazioni limitate o mancanti.
Poiché Fusion correla più segnali provenienti da vari prodotti per rilevare attacchi multistage avanzati, i rilevamenti Fusion riusciti vengono presentati come eventi imprevisti fusion nella pagina Eventi imprevisti Microsoft Sentinel e non come avvisi e vengono archiviati nella tabella SecurityIncident in Logs e non nella tabella SecurityAlert.
Configurare Fusion
Fusion è abilitato per impostazione predefinita in Microsoft Sentinel, come regola di analisi denominata Rilevamento avanzato degli attacchi a più fasi. È possibile visualizzare e modificare lo stato della regola, configurare i segnali di origine da includere nel modello Fusion ML o escludere dal rilevamento Fusion modelli di rilevamento specifici che potrebbero non essere applicabili all'ambiente. Informazioni su come configurare la regola Fusion.
Nota
Microsoft Sentinel attualmente usa 30 giorni di dati cronologici per eseguire il training degli algoritmi di Machine Learning del motore Fusion. Questi dati vengono sempre crittografati usando le chiavi di Microsoft durante il passaggio attraverso la pipeline di Machine Learning. Tuttavia, i dati di training non vengono crittografati tramite chiavi gestite dal cliente (CMK) se cmk è stato abilitato nell'area di lavoro Microsoft Sentinel. Per rifiutare esplicitamente Fusion, passare a Microsoft Sentinel>Configuration>Analytics > Active rules (Regole attive di Analisi configurazione), fare clic con il pulsante destro del mouse sulla regola Advanced Multistage Attack Detection (Rilevamento attacchi multistage avanzato) e scegliere Disabilita.
Per Microsoft Sentinel aree di lavoro di cui viene eseguito l'onboarding nel portale di Microsoft Defender, Fusion è disabilitato. La sua funzionalità viene sostituita dal motore di correlazione Microsoft Defender XDR.
Fusione per le minacce emergenti
Importante
I rilevamenti fusion indicati sono attualmente in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono caricati e reindirizzati automaticamente al portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: Ritiro della portale di Azure di Microsoft Sentinel per una maggiore sicurezza.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud del governo degli Stati Uniti, vedere le tabelle Microsoft Sentinel in Disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Configurare Fusion
Fusion è abilitato per impostazione predefinita in Microsoft Sentinel, come regola di analisi denominata Rilevamento avanzato degli attacchi a più fasi. È possibile visualizzare e modificare lo stato della regola, configurare i segnali di origine da includere nel modello Fusion ML o escludere dal rilevamento Fusion modelli di rilevamento specifici che potrebbero non essere applicabili all'ambiente. Informazioni su come configurare la regola Fusion.
È possibile rifiutare esplicitamente Fusion se sono state abilitate chiavi gestite dal cliente nell'area di lavoro.You might want to opt out of Fusion if you've enabled Customer-Managed Keys (CMK) in your workspace. Microsoft Sentinel attualmente usa 30 giorni di dati cronologici per eseguire il training degli algoritmi di Machine Learning del motore Fusion e questi dati vengono sempre crittografati usando le chiavi di Microsoft mentre passano attraverso la pipeline di Machine Learning. Tuttavia, i dati di training non vengono crittografati tramite CMK. Per rifiutare esplicitamente Fusion, disabilitare la regola advanced multistage Attack Detection analytics in Microsoft Sentinel. Per altre informazioni, vedere Configurare le regole di Fusion.
Fusion viene disabilitato quando Microsoft Sentinel viene eseguito l'onboarding nel portale di Defender. Quando invece si usa il portale di Defender, la funzionalità fornita da Fusion viene sostituita dal motore di correlazione Microsoft Defender XDR.
Fusion per le minacce emergenti (anteprima)
Il volume degli eventi di sicurezza continua a crescere e l'ambito e la complessità degli attacchi aumentano sempre di più. È possibile definire gli scenari di attacco noti, ma che dire delle minacce emergenti e sconosciute nell'ambiente?
il motore Fusion basato su ML di Microsoft Sentinel consente di individuare le minacce emergenti e sconosciute nell'ambiente applicando un'analisi estesa di ML e correlando un ambito più ampio di segnali anomali, mantenendo bassa la fatica dell'avviso.
Gli algoritmi ml del motore Fusion imparano costantemente dagli attacchi esistenti e applicano l'analisi in base al modo in cui pensano gli analisti della sicurezza. Può quindi individuare minacce non rilevate in precedenza da milioni di comportamenti anomali attraverso la kill chain in tutto l'ambiente, il che consente di rimanere un passo avanti rispetto agli utenti malintenzionati.
Fusion per le minacce emergenti supporta la raccolta e l'analisi dei dati dalle origini seguenti:
Avvisi dai servizi Microsoft:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender per IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Microsoft Defender per identità
- Microsoft Defender per Office 365
Avvisi da regole di analisi pianificate. Le regole di analisi devono contenere le informazioni di kill chain (tattiche) e di mapping delle entità per poter essere usate da Fusion.
Non è necessario che tutte le origini dati elencate in precedenza siano connesse per far funzionare Fusion per le minacce emergenti. Tuttavia, maggiore è il numero di origini dati connesse, più ampia sarà la copertura e più minacce troveranno Fusion.
Quando le correlazioni del motore Fusion generano il rilevamento di una minaccia emergente, Microsoft Sentinel genera un evento imprevisto di gravità elevata denominato Possibili attività di attacco multistage rilevate da Fusion.
Fusion per ransomware
il motore Fusion di Microsoft Sentinel genera un evento imprevisto quando rileva più avvisi di tipi diversi dalle origini dati seguenti e determina che potrebbero essere correlati all'attività ransomware:
- Microsoft Defender for Cloud
- Microsoft Defender per endpoint
- connettore Microsoft Defender per identità
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel regole di analisi pianificate. Fusion considera solo le regole di analisi pianificate con informazioni sulle tattiche ed entità mappate.
Tali eventi imprevisti fusion sono denominati Più avvisi possibilmente correlati all'attività ransomware rilevata e vengono generati quando vengono rilevati avvisi pertinenti durante un intervallo di tempo specifico e sono associati alle fasi di esecuzione e difesa evasione di un attacco.
Ad esempio, Microsoft Sentinel genererebbe un evento imprevisto per possibili attività ransomware se gli avvisi seguenti vengono attivati nello stesso host entro un intervallo di tempo specifico:
| Avviso | Origine | Gravità |
|---|---|---|
| Eventi di errore e avviso di Windows | Microsoft Sentinel regole di analisi pianificata | Informativo |
| 'GandCrab' ransomware è stato impedito | Microsoft Defender for Cloud | Medio |
| È stato rilevato malware "Emotet" | Microsoft Defender per endpoint | Informativo |
| È stata rilevata la backdoor "Tofsee" | Microsoft Defender for Cloud | Basso |
| È stato rilevato malware "Parite" | Microsoft Defender per endpoint | Informativo |
Rilevamenti fusion basati su scenari
La sezione seguente elenca i tipi di attacchi multistage basati su scenari, raggruppati per classificazione delle minacce, che Microsoft Sentinel rileva usando il motore di correlazione Fusion.
Per abilitare questi scenari di rilevamento degli attacchi basati su Fusion, è necessario inserire le origini dati associate nell'area di lavoro Log Analytics. Selezionare i collegamenti nella tabella seguente per informazioni su ogni scenario e sulle relative origini dati associate.
Contenuto correlato
Per altre informazioni, vedere: