Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważna
Wykrywanie niestandardowe jest teraz najlepszym sposobem tworzenia nowych reguł w Microsoft Sentinel Microsoft Defender XDR SIEM. Dzięki wykrywaniu niestandardowemu można zmniejszyć koszty pozyskiwania, uzyskać nieograniczoną liczbę wykrywania w czasie rzeczywistym i korzystać z bezproblemowej integracji z Defender XDR danych, funkcji i akcji korygowania z automatycznym mapowaniem jednostek. Aby uzyskać więcej informacji, przeczytaj ten blog.
Microsoft Sentinel używa fusion, aparatu korelacji opartego na skalowalnych algorytmach uczenia maszynowego, do automatycznego wykrywania ataków wieloetapowych (znanych również jako zaawansowane trwałe zagrożenia lub APT), identyfikując kombinacje nietypowych zachowań i podejrzanych działań obserwowanych na różnych etapach łańcucha zabijania. Na podstawie tych odkryć Microsoft Sentinel generuje zdarzenia, które w przeciwnym razie byłyby trudne do przechwycenia. Te zdarzenia obejmują co najmniej dwa alerty lub działania. Z założenia te zdarzenia mają małą pojemność, wysoką wierność i wysoką ważność.
Ta technologia wykrywania, dostosowana do danego środowiska, nie tylko zmniejsza liczbę fałszywie dodatnich wskaźników, ale może również wykrywać ataki z ograniczonymi lub brakującymi informacjami.
Ponieważ funkcja Fusion koreluje wiele sygnałów z różnych produktów w celu wykrywania zaawansowanych ataków wieloetapowych, pomyślne wykrywanie fuzji jest przedstawiane jako zdarzenia łączenia na stronie zdarzeń Microsoft Sentinel, a nie jako alerty, i są przechowywane w tabeli SecurityIncident w dziennikach, a nie w tabeli SecurityAlert.
Konfigurowanie łączenia
Łączenie jest domyślnie włączone w Microsoft Sentinel, jako reguła analizy o nazwie Zaawansowane wieloetapowe wykrywanie ataków. Możesz wyświetlić i zmienić stan reguły, skonfigurować sygnały źródłowe do uwzględnienia w modelu uczenia maszynowego fusion lub wykluczyć określone wzorce wykrywania, które mogą nie mieć zastosowania do środowiska, z wykrywania łączenia. Dowiedz się, jak skonfigurować regułę łączenia.
Uwaga
Microsoft Sentinel obecnie używa 30-dniowych danych historycznych do trenowania algorytmów uczenia maszynowego aparatu Fusion. Te dane są zawsze szyfrowane przy użyciu kluczy firmy Microsoft podczas przechodzenia przez potok uczenia maszynowego. Jednak dane szkoleniowe nie są szyfrowane przy użyciu kluczy zarządzanych przez klienta (CMK), jeśli włączono cmk w obszarze roboczym Microsoft Sentinel. Aby zrezygnować z łączenia, przejdź do obszaru Microsoft Sentinel>Konfiguracja>Analytics > Aktywne reguły, kliknij prawym przyciskiem myszy regułę zaawansowanego wieloetapowego wykrywania ataków, a następnie wybierz pozycję Wyłącz.
W przypadku Microsoft Sentinel obszarów roboczych dołączonych do portalu Microsoft Defender połączenie jest wyłączone. Jego funkcjonalność jest zastępowana przez aparat korelacji Microsoft Defender XDR.
Fuzja dla pojawiających się zagrożeń
Ważna
Wskazane wykrycia fuzji są obecnie w wersji zapoznawczej. Aby uzyskać dodatkowe warunki prawne dotyczące funkcji Azure w wersji beta, wersji zapoznawczej lub w inny sposób, które nie zostały jeszcze udostępnione do ogólnej dostępności, zobacz Dodatkowe warunki użytkowania usługi Microsoft Azure Preview.
Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowowanych do portalu usługi Defender.
Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Czas na przeniesienie: wycofanie Azure Portal Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów rządowych USA.
Konfigurowanie łączenia
Łączenie jest domyślnie włączone w Microsoft Sentinel, jako reguła analizy o nazwie Zaawansowane wieloetapowe wykrywanie ataków. Możesz wyświetlić i zmienić stan reguły, skonfigurować sygnały źródłowe do uwzględnienia w modelu uczenia maszynowego fusion lub wykluczyć określone wzorce wykrywania, które mogą nie mieć zastosowania do środowiska z wykrywania łączenia. Dowiedz się, jak skonfigurować regułę łączenia.
Możesz zrezygnować z łączenia, jeśli włączono klucze zarządzane przez klienta (CMK) w obszarze roboczym. Microsoft Sentinel obecnie używa 30-dniowych danych historycznych do trenowania algorytmów uczenia maszynowego aparatu Fusion, a te dane są zawsze szyfrowane przy użyciu kluczy firmy Microsoft podczas przechodzenia przez potok uczenia maszynowego. Jednak dane szkoleniowe nie są szyfrowane przy użyciu klucza cmk. Aby zrezygnować z łączenia, wyłącz regułę zaawansowanej wieloetapowej analizy wykrywania ataków w Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Konfigurowanie reguł łączenia.
Połączenie jest wyłączone, gdy Microsoft Sentinel jest dołączany do portalu usługi Defender. Zamiast tego podczas pracy w portalu usługi Defender funkcje udostępniane przez funkcję Fusion są zastępowane przez aparat korelacji Microsoft Defender XDR.
Łączenie w przypadku pojawiających się zagrożeń (wersja zapoznawcza)
Liczba zdarzeń zabezpieczeń stale rośnie, a zakres i wyrafinowanie ataków stale rosną. Możemy zdefiniować znane scenariusze ataków, ale jak o pojawiających się i nieznanych zagrożeniach w twoim środowisku?
Microsoft Sentinel aparat fusion oparty na ml może pomóc w znalezieniu pojawiających się i nieznanych zagrożeń w twoim środowisku poprzez zastosowanie rozszerzonej analizy uczenia maszynowego i skorelowanie szerszego zakresu nietypowych sygnałów, przy jednoczesnym zachowaniu niskiego zmęczenia alertami.
Algorytmy uczenia maszynowego aparatu Fusion stale uczą się na podstawie istniejących ataków i stosują analizę w oparciu o to, jak myślą analitycy zabezpieczeń. W związku z tym może wykryć wcześniej niewykryte zagrożenia z milionów nietypowych zachowań w całym łańcuchu zabijania w całym środowisku, co pomaga wyprzedzić osoby atakujące o jeden krok.
Połączenie w przypadku pojawiających się zagrożeń obsługuje zbieranie i analizę danych z następujących źródeł:
Alerty z usług firmy Microsoft:
- ochrona Microsoft Entra ID
- Microsoft Defender for Cloud
- Usługa Microsoft Defender dla IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender for Identity
- Ochrona usługi Office 365 w usłudze Microsoft Defender
Alerty z reguł zaplanowanej analizy. Reguły analizy muszą zawierać informacje o łańcuchu zabójstw (taktykach) i mapowaniu jednostek, aby były używane przez usługę Fusion.
Nie musisz łączyć wszystkich źródeł danych wymienionych powyżej, aby umożliwić działanie funkcji Fusion w przypadku pojawiających się zagrożeń. Jednak tym więcej połączonych źródeł danych, tym szerszy zasięg i więcej zagrożeń znajdzie Fusion.
Gdy korelacje aparatu fusion powodują wykrycie pojawiającego się zagrożenia, Microsoft Sentinel generuje zdarzenie o wysokiej ważności pod tytułem Możliwe wieloetapowe działania ataku wykryte przez połączenie.
Fuzja na potrzeby oprogramowania wymuszającego okup
Aparat fusion Microsoft Sentinel generuje zdarzenie, gdy wykrywa wiele alertów różnych typów z następujących źródeł danych i określa, że mogą one być związane z działaniem wymuszającym okup:
- Microsoft Defender for Cloud
- Ochrona punktu końcowego w usłudze Microsoft Defender
- łącznik Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel reguły zaplanowanej analizy. Połączenie uwzględnia tylko reguły zaplanowanej analizy z informacjami o taktyce i zamapowanymi jednostkami.
Takie zdarzenia łączenia są nazywane wieloma alertami, które mogą być związane z wykrytą aktywnością ransomware, i są generowane, gdy odpowiednie alerty zostaną wykryte w określonym przedziale czasowym i są skojarzone z etapami wykonywania i uchylania się od obrony ataku.
Na przykład Microsoft Sentinel wygeneruje zdarzenie dla możliwych działań wymuszających okup, jeśli następujące alerty zostaną wyzwolone na tym samym hoście w określonym przedziale czasu:
| Alert | Źródło | Waga |
|---|---|---|
| Zdarzenia błędów i ostrzeżeń systemu Windows | Microsoft Sentinel reguły zaplanowanej analizy | Informacyjne |
| Zapobiegano wymuszaniu okupu "GandCrab" | Microsoft Defender for Cloud | Średni |
| Wykryto złośliwe oprogramowanie "Emotet" | Ochrona punktu końcowego w usłudze Microsoft Defender | Informacyjne |
| Wykryto tylne drzwi "Tofsee" | Microsoft Defender for Cloud | Niskie |
| Wykryto złośliwe oprogramowanie "Parite" | Ochrona punktu końcowego w usłudze Microsoft Defender | Informacyjne |
Wykrywanie łączenia opartego na scenariuszach
W poniższej sekcji wymieniono typy ataków wieloetapowych opartych na scenariuszach, pogrupowanych według klasyfikacji zagrożeń, które Microsoft Sentinel wykrywa przy użyciu aparatu korelacji fusion.
Aby umożliwić korzystanie z tych scenariuszy wykrywania ataków opartych na połączeniu, skojarzone źródła danych muszą zostać pozyskane do obszaru roboczego usługi Log Analytics. Wybierz linki w poniższej tabeli, aby dowiedzieć się więcej o każdym scenariuszu i skojarzonych z nim źródłach danych.
Zawartość pokrewna
Więcej informacji można znaleźć w następujących artykułach: