Regels voor detectie van meervoudige aanvallen (Fusion) configureren in Microsoft Sentinel

Belangrijk

De nieuwe versie van de Fusion Analytics-regel is momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Microsoft Sentinel maakt gebruik van Fusion, een correlatie-engine op basis van schaalbare machine learning-algoritmen, om automatisch aanvallen met meerdere fasen te detecteren door combinaties van afwijkend gedrag en verdachte activiteiten te identificeren die worden waargenomen in verschillende fasen van de kill chain. Op basis van deze ontdekkingen genereert Microsoft Sentinel incidenten die anders moeilijk te vangen zouden zijn. Deze incidenten bestaan uit twee of meer waarschuwingen of activiteiten. Deze incidenten zijn standaard laag volume, hoge betrouwbaarheid en hoge ernst.

Deze detectietechnologie is aangepast voor uw omgeving en vermindert niet alleen fout-positieve frequenties, maar kan ook aanvallen met beperkte of ontbrekende informatie detecteren.

Fusion-regels configureren

Deze detectie is standaard ingeschakeld in Microsoft Sentinel. Gebruik de volgende instructies om de status ervan te controleren of te wijzigen:

1. Meld u aan bij Azure Portal en voer Microsoft Sentinel in.

2. Selecteer Analytics in het navigatiemenu van Microsoft Sentinel.

3. Selecteer het tabblad Actieve regels en zoek geavanceerde aanvalsdetectie in de kolom NAAM door de lijst te filteren op het type Fusion-regel . Controleer de kolom STATUS om te controleren of deze detectie is ingeschakeld of uitgeschakeld.

   

4. Als u de status wilt wijzigen, selecteert u deze vermelding en selecteert u Bewerken in het voorbeeldvenster Geavanceerde aanvalsdetectie.

5. Noteer op het tabblad Algemeen van de wizard Analyseregels de status (ingeschakeld/uitgeschakeld) of wijzig deze desgewenst.

   Als u de status hebt gewijzigd, maar geen verdere wijzigingen hebt aangebracht, selecteert u het tabblad Controleren en bijwerken en selecteert u Opslaan.

   Als u de fusiondetectieregel verder wilt configureren, selecteert u Volgende: Fusion configureren.

   

6. Configureer bronsignalen voor fusiondetectie: we raden u aan alle vermelde bronsignalen, met alle ernstniveaus, op te nemen voor het beste resultaat. Ze zijn standaard al opgenomen, maar u kunt op de volgende manieren wijzigingen aanbrengen:

   Notitie

   Als u een bepaald bronsignaal of een ernstniveau van een waarschuwing uitsluit, worden eventuele Fusion-detecties die afhankelijk zijn van signalen van die bron of waarschuwingen die overeenkomen met dat ernstniveau, niet geactiveerd.

   • Signalen uitsluiten van Fusion-detecties, waaronder afwijkingen, waarschuwingen van verschillende providers en onbewerkte logboeken.

     Gebruiksvoorbeeld: als u een specifieke signaalbron test die bekend is om ruiswaarschuwingen te produceren, kunt u de signalen van die specifieke signaalbron tijdelijk uitschakelen voor Fusion-detecties.

   • Configureer de ernst van waarschuwingen voor elke provider: het Fusion ML-model correleert signalen met lage betrouwbaarheid in één incident met hoge ernst op basis van afwijkende signalen in de kill-chain vanuit meerdere gegevensbronnen. Waarschuwingen in Fusion zijn over het algemeen lager (gemiddeld, laag, informatief), maar soms worden relevante waarschuwingen met hoge ernst opgenomen.

     Use case: Als u een afzonderlijk proces hebt voor het sorteren en onderzoeken van waarschuwingen met hoge ernst en deze waarschuwingen liever niet wilt opnemen in Fusion, kunt u de bronsignalen configureren om waarschuwingen met hoge ernst uit te sluiten van Fusion-detecties.

   • Specifieke detectiepatronen uitsluiten van Fusion-detectie. Bepaalde Fusion-detecties zijn mogelijk niet van toepassing op uw omgeving of kunnen gevoelig zijn voor het genereren van fout-positieven. Als u een specifiek Fusion-detectiepatroon wilt uitsluiten, volgt u de onderstaande instructies:

     1. Zoek en open een Fusion-incident van het type dat u wilt uitsluiten.

     2. Selecteer meer weergeven in de sectie Beschrijving.

     3. Selecteer onder Dit specifieke detectiepatroon uitsluiten de uitsluitingskoppeling, waarmee u wordt omgeleid naar het tabblad Fusion configureren in de wizard Analyseregels.

        

     Op het tabblad Fusion configureren ziet u dat het detectiepatroon( een combinatie van waarschuwingen en afwijkingen in een Fusion-incident) is toegevoegd aan de uitsluitingslijst, samen met het tijdstip waarop het detectiepatroon is toegevoegd.

     U kunt een uitgesloten detectiepatroon op elk gewenst moment verwijderen door het prullenbakpictogram op dat detectiepatroon te selecteren.

     

     Incidenten die overeenkomen met uitgesloten detectiepatronen, worden nog steeds geactiveerd, maar worden niet weergegeven in de wachtrij voor actieve incidenten. Ze worden automatisch ingevuld met de volgende waarden:

     • Status: 'Gesloten'

     • Classificatie sluiten: 'Niet-bepaald'

     • Opmerking: 'Automatisch gesloten, uitgesloten Fusion-detectiepatroon'

     • Tag: "ExcludedFusDetectionPattern" - u kunt een query uitvoeren op deze tag om alle incidenten weer te geven die overeenkomen met dit detectiepatroon.

       

Notitie

Microsoft Sentinel gebruikt momenteel 30 dagen historische gegevens om de machine learning-systemen te trainen. Deze gegevens worden altijd versleuteld met behulp van de sleutels van Microsoft wanneer deze de machine learning-pijplijn passeren. De trainingsgegevens worden echter niet versleuteld met CMK (Door de klant beheerde sleutels) als u CMK hebt ingeschakeld in uw Microsoft Sentinel-werkruimte. Als u zich wilt afmelden voor Fusion, gaat u naar Active-regels van Microsoft Sentinel>Configuration>Analytics>, klikt u met de rechtermuisknop op de regel Geavanceerde detectie van aanvallen met meerdere fasen en selecteert u Uitschakelen.

Geplande analyseregels configureren voor Fusion-detecties

Belangrijk

• Detectie op basis van fusion met behulp van waarschuwingen voor analyseregels is momenteel beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Fusion kan scenariogebaseerde aanvallen met meerdere fasen en opkomende bedreigingen detecteren met behulp van waarschuwingen die zijn gegenereerd door geplande analyseregels. U wordt aangeraden de volgende stappen uit te voeren om deze regels te configureren en in te schakelen, zodat u optimaal gebruik kunt maken van de fusionmogelijkheden van Microsoft Sentinel.

1. Fusion voor opkomende bedreigingen kan gebruikmaken van waarschuwingen die worden gegenereerd door geplande analyseregels die kill-chain (tactieken) en informatie over entiteitstoewijzing bevatten. Om ervoor te zorgen dat de uitvoer van een analyseregel kan worden gebruikt door Fusion om opkomende bedreigingen te detecteren:

   • Controleer de entiteitstoewijzing voor deze geplande regels. Gebruik de sectie entiteitstoewijzingsconfiguratie om parameters van uw queryresultaten toe te wijzen aan door Microsoft Sentinel herkende entiteiten. Omdat Fusion waarschuwingen correleert op basis van entiteiten (zoals gebruikersaccount of IP-adres), kunnen de ML-algoritmen geen waarschuwingen uitvoeren zonder de entiteitsgegevens.

   • Bekijk de tactieken en technieken in de details van uw analyseregel. Het Fusion ML-algoritme maakt gebruik van MITRE ATT&CK-informatie voor het detecteren van aanvallen met meerdere fasen en de tactieken en technieken waarmee u de analyseregels labelt, worden weergegeven in de resulterende incidenten. Fusion-berekeningen kunnen worden beïnvloed als binnenkomende waarschuwingen tactiekinformatie ontbreken.

2. Fusion kan ook bedreigingen op basis van scenario's detecteren met behulp van regels op basis van de volgende sjablonen voor geplande analyseregels.

   Als u de query's wilt inschakelen die beschikbaar zijn als sjablonen op de pagina Analytics , gaat u naar het tabblad Regelsjablonen , selecteert u de regelnaam in de galerie met sjablonen en selecteert u Regel maken in het detailvenster.

   • Cisco - firewallblok, maar aanmelden bij Microsoft Entra ID
   • Fortinet - Beacon-patroon gedetecteerd
   • IP met meerdere mislukte Microsoft Entra-aanmeldingen meldt zich aan bij Palo Alto VPN
   • Meerdere wachtwoorden opnieuw instellen door gebruiker
   • Zeldzame toepassingstoestemming
   • SharePointFileOperation via eerder niet-gebruikte IP-adressen
   • Verdachte resource-implementatie
   • Palo Alto Threat Signatures van ongebruikelijke IP-adressen

   Als u query's wilt toevoegen die momenteel niet beschikbaar zijn als regelsjabloon, raadpleegt u Een volledig nieuwe aangepaste analyseregel maken.

   • Nieuwe beheerdersaccountactiviteit gezien die historisch niet is gezien

   Zie Fusion Advanced Multistage Attack Detection Scenarios with Scheduled Analytics Rules (Geplande analyseregels) voor meer informatie.

   Notitie

   Voor de set geplande analyseregels die worden gebruikt door Fusion, doet het ML-algoritme fuzzy overeenkomsten voor de KQL-query's die in de sjablonen worden geleverd. Het wijzigen van de naam van de sjablonen heeft geen invloed op Fusion-detecties.

Volgende stappen

Meer informatie over Fusion-detecties in Microsoft Sentinel.

Meer informatie over de vele op scenario's gebaseerde Fusion-detecties.

Nu u meer hebt geleerd over geavanceerde detectie van aanvallen met meerdere fasen, bent u mogelijk geïnteresseerd in de volgende quickstart om te leren hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen: Aan de slag met Microsoft Sentinel.

Als u klaar bent om de incidenten te onderzoeken die voor u zijn gemaakt, raadpleegt u de volgende zelfstudie: Incidenten onderzoeken met Microsoft Sentinel.