Geavanceerde meervoudige detectie van aanvallen in Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Azure portal

Belangrijk

Aangepaste detecties is nu de beste manier om nieuwe regels te maken in Microsoft Sentinel SIEM-Microsoft Defender XDR. Met aangepaste detecties kunt u de opnamekosten verlagen, onbeperkte realtime detecties krijgen en profiteren van naadloze integratie met Defender XDR gegevens, functies en herstelacties met automatische entiteitstoewijzing. Lees dit blog voor meer informatie.

Microsoft Sentinel maakt gebruik van Fusion, een correlatie-engine op basis van schaalbare machine learning-algoritmen, voor het automatisch detecteren van aanvallen met meerdere fasen (ook wel bekend als geavanceerde permanente bedreigingen of APT) door combinaties van afwijkend gedrag en verdachte activiteiten te identificeren die worden waargenomen in verschillende fasen van de kill chain. Op basis van deze ontdekkingen genereert Microsoft Sentinel incidenten die anders moeilijk te vangen zouden zijn. Deze incidenten omvatten twee of meer waarschuwingen of activiteiten. Standaard zijn deze incidenten een laag volume, een hoge kwaliteit en een hoge ernst.

Deze detectietechnologie, aangepast voor uw omgeving, vermindert niet alleen het aantal fout-positieven , maar kan ook aanvallen detecteren met beperkte of ontbrekende informatie.

Omdat Fusion meerdere signalen van verschillende producten correleert om geavanceerde aanvallen met meerdere fasen te detecteren, worden succesvolle Fusion-detecties gepresenteerd als Fusion-incidenten op de pagina Microsoft Sentinel Incidenten en niet als waarschuwingen. Deze worden opgeslagen in de tabel SecurityIncident in Logboeken en niet in de tabel SecurityAlert.

Fusion configureren

Fusion is standaard ingeschakeld in Microsoft Sentinel, als een analyseregel met de naam Geavanceerde detectie van aanvallen met meerdere fasen. U kunt de status van de regel bekijken en wijzigen, bronsignalen configureren voor opname in het Fusion ML-model of specifieke detectiepatronen uitsluiten die mogelijk niet van toepassing zijn op uw omgeving van Fusion-detectie. Meer informatie over het configureren van de Fusion-regel.

Opmerking

Microsoft Sentinel gebruikt momenteel 30 dagen aan historische gegevens om de machine learning-algoritmen van de Fusion-engine te trainen. Deze gegevens worden altijd versleuteld met behulp van de sleutels van Microsoft wanneer ze de machine learning-pijplijn passeren. De trainingsgegevens worden echter niet versleuteld met behulp van door de klant beheerde sleutels (CMK) als u CMK hebt ingeschakeld in uw Microsoft Sentinel werkruimte. Als u zich wilt afmelden voor Fusion, gaat u naar Microsoft Sentinel>Configuratieanalyse>> Actieve regels, klikt u met de rechtermuisknop op de regel Geavanceerde detectie van aanvallen met meerdere fasen en selecteert u Uitschakelen.

Voor Microsoft Sentinel werkruimten die zijn toegevoegd aan de Microsoft Defender-portal, is Fusion uitgeschakeld. De functionaliteit wordt vervangen door de Microsoft Defender XDR correlatie-engine.

Fusie voor opkomende bedreigingen

Belangrijk

Aangegeven Fusion-detecties zijn momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarding uitgevoerd en omgeleid naar de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden. Zie It's Time to Move: De Azure Portal van Microsoft Sentinel wordt buiten gebruik gesteld voor meer informatie voor meer informatie.

Opmerking

Zie voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid de Microsoft Sentinel tabellen in Beschikbaarheid van cloudfuncties voor klanten van de Amerikaanse overheid.

Fusion configureren

Fusion is standaard ingeschakeld in Microsoft Sentinel, als een analyseregel met de naam Geavanceerde detectie van aanvallen met meerdere fasen. U kunt de status van de regel bekijken en wijzigen, bronsignalen configureren voor opname in het Fusion ML-model of specifieke detectiepatronen uitsluiten die mogelijk niet van toepassing zijn op uw omgeving van Fusion-detectie. Meer informatie over het configureren van de Fusion-regel.

U kunt zich afmelden voor Fusion als u door de klant beheerde sleutels (CMK) hebt ingeschakeld in uw werkruimte. Microsoft Sentinel gebruikt momenteel 30 dagen aan historische gegevens om de machine learning-algoritmen van de Fusion-engine te trainen. Deze gegevens worden altijd versleuteld met behulp van de sleutels van Microsoft wanneer deze de machine learning-pijplijn passeren. De trainingsgegevens worden echter niet versleuteld met BEHULP van CMK. Als u zich wilt afmelden voor Fusion, schakelt u de geavanceerde analyseregel voor meervoudige aanvalsdetectie uit in Microsoft Sentinel. Zie Fusion-regels configureren voor meer informatie.

Fusion is uitgeschakeld wanneer Microsoft Sentinel is onboarding naar de Defender-portal. Wanneer u in de Defender-portal werkt, wordt de functionaliteit van Fusion vervangen door de Microsoft Defender XDR correlatie-engine.

Fusie voor opkomende bedreigingen (preview)

Het aantal beveiligingsincidenten blijft toenemen en het bereik en de verfijning van aanvallen worden steeds groter. We kunnen de bekende aanvalsscenario's definiëren, maar hoe zit het met de opkomende en onbekende bedreigingen in uw omgeving?

Microsoft Sentinel's ML-aangedreven Fusion-engine kan u helpen de opkomende en onbekende bedreigingen in uw omgeving te vinden door uitgebreide ML-analyse toe te passen en door een breder scala aan afwijkende signalen te correleren, terwijl de waarschuwingsmoeheid laag blijft.

De ML-algoritmen van de Fusion-engine leren voortdurend van bestaande aanvallen en passen analyses toe op basis van hoe beveiligingsanalisten denken. Het kan daarom eerder niet-gedetecteerde bedreigingen detecteren van miljoenen afwijkende gedragingen in de kill-chain in uw omgeving, waardoor u de aanvallers één stap voor blijft.

Fusie voor opkomende bedreigingen ondersteunt het verzamelen en analyseren van gegevens uit de volgende bronnen:

  • Out-of-the-box anomaliedetecties

  • Waarschuwingen van Microsoft-services:

    • Microsoft Entra ID Protection
    • Microsoft Defender voor Cloud
    • Microsoft Defender voor IoT
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender voor Eindpunt
    • Microsoft Defender for Identity
    • Microsoft Defender voor Office 365

  • Waarschuwingen van geplande analyseregels. Analyseregels moeten informatie over kill chain (tactieken) en entiteitstoewijzing bevatten om door Fusion te kunnen worden gebruikt.

U hoeft niet alle hierboven vermelde gegevensbronnen te hebben verbonden om Fusion te laten werken voor nieuwe bedreigingen. Hoe meer gegevensbronnen u hebt verbonden, hoe breder de dekking en hoe meer bedreigingen Fusion zal vinden.

Wanneer de correlaties van de Fusion-engine resulteren in de detectie van een opkomende bedreiging, genereert Microsoft Sentinel een incident met hoge ernst met de naam Mogelijke aanvalsactiviteiten met meerdere fasen gedetecteerd door Fusion.

Fusion voor ransomware

Microsoft Sentinel fusion-engine genereert een incident wanneer er meerdere waarschuwingen van verschillende typen van de volgende gegevensbronnen worden gedetecteerd en wordt vastgesteld dat deze mogelijk te maken hebben met ransomware-activiteiten:

Dergelijke Fusie-incidenten heten Meerdere waarschuwingen die mogelijk betrekking hebben op ransomware-activiteit gedetecteerd, en worden gegenereerd wanneer relevante waarschuwingen worden gedetecteerd tijdens een specifiek tijdsbestek en zijn gekoppeld aan de fasen uitvoering en verdedigingsontduiking van een aanval.

Microsoft Sentinel zou bijvoorbeeld een incident genereren voor mogelijke ransomware-activiteiten als de volgende waarschuwingen binnen een specifiek tijdsbestek op dezelfde host worden geactiveerd:

Waarschuwing Source Ernst
Windows-fout- en waarschuwingsevenementen geplande analyseregels Microsoft Sentinel Informatieve
'GandCrab' ransomware werd voorkomen Microsoft Defender voor Cloud Medium
Emotet-malware is gedetecteerd Microsoft Defender voor Eindpunt Informatieve
'Tofsee'-backdoor is gedetecteerd Microsoft Defender voor Cloud Lage
Er is 'Parite'-malware gedetecteerd Microsoft Defender voor Eindpunt Informatieve

Op scenario's gebaseerde fusiedetecties

In de volgende sectie vindt u de typen op scenario gebaseerde aanvallen met meerdere fasen, gegroepeerd op bedreigingsclassificatie, die Microsoft Sentinel detecteert met behulp van de Fusion-correlatie-engine.

Als u deze scenario's met fusion-aanvalsdetectie wilt inschakelen, moeten de bijbehorende gegevensbronnen worden opgenomen in uw Log Analytics-werkruimte. Selecteer de koppelingen in de onderstaande tabel voor meer informatie over elk scenario en de bijbehorende gegevensbronnen.

Bedreigingsclassificatie Scenario's
Misbruik van rekenresources
Toegang tot referenties
Referentie verzamelen
Crypto-mining
Gegevensvernietiging
Gegevensexfiltratie
Denial of Service
Laterale beweging
Schadelijke beheeractiviteiten
Schadelijke uitvoering
met legitiem proces
Malware C2 of downloaden
Persistentie
Ransomware
Externe exploitatie
Resource hijacking

Verwante onderwerpen

Zie voor meer informatie:

  • Last updated on