Udostępnij za pośrednictwem


Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel

Ważne

Niektóre wykrycia łączenia (zobacz te, jak wskazano poniżej) są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Usługa Microsoft Sentinel używa aparatu fusion, aparatu korelacji opartego na skalowalnych algorytmach uczenia maszynowego, aby automatycznie wykrywać ataki wieloetapowe (nazywane również zaawansowanymi trwałymi zagrożeniami lub APT), identyfikując kombinacje nietypowych zachowań i podejrzanych działań obserwowanych na różnych etapach łańcucha zabić. Na podstawie tych odkryć usługa Microsoft Sentinel generuje zdarzenia, które w przeciwnym razie byłyby trudne do przechwycenia. Te zdarzenia składają się z co najmniej dwóch alertów lub działań. Zgodnie z projektem te zdarzenia są małe, o wysokiej wierności i wysokiej ważności.

Dostosowane do środowiska ta technologia wykrywania nie tylko zmniejsza współczynniki wyników fałszywie dodatnich , ale także wykrywa ataki z ograniczonymi lub brakującymi informacjami.

Ponieważ fusion koreluje wiele sygnałów z różnych produktów w celu wykrywania zaawansowanych ataków wieloeścieżowych, pomyślne wykrycia łączenia są prezentowane jako zdarzenia fusion na stronie Incydenty usługi Microsoft Sentinel, a nie jako alerty, i są przechowywane w tabeli SecurityIncident w dziennikach, a nie w tabeli SecurityAlert.

Konfigurowanie łączenia

Łączenie jest domyślnie włączone w usłudze Microsoft Sentinel jako reguła analizy o nazwie Zaawansowane wykrywanie ataków wieloestanowych. Możesz wyświetlić i zmienić stan reguły, skonfigurować sygnały źródłowe, które mają być uwzględnione w modelu Fusion ML, lub wykluczyć określone wzorce wykrywania, które mogą nie mieć zastosowania do środowiska z wykrywania łączenia. Dowiedz się, jak skonfigurować regułę łączenia.

Uwaga

Usługa Microsoft Sentinel używa obecnie 30 dni danych historycznych do trenowania algorytmów uczenia maszynowego aparatu Fusion. Te dane są zawsze szyfrowane przy użyciu kluczy firmy Microsoft podczas przechodzenia przez potok uczenia maszynowego. Jednak dane szkoleniowe nie są szyfrowane przy użyciu kluczy zarządzanych przez klienta (CMK) w przypadku włączenia klucza zarządzanego przez klienta w obszarze roboczym usługi Microsoft Sentinel. Aby zrezygnować z łączenia, przejdź do aktywnych reguł analizy konfiguracji>> usługi Microsoft Sentinel>, kliknij prawym przyciskiem myszy regułę zaawansowanego wykrywania ataków wieloestażowych i wybierz pozycję Wyłącz.

W obszarach roboczych usługi Microsoft Sentinel, które są dołączone do ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender, funkcja Fusion jest wyłączona, ponieważ jej funkcjonalność jest zastępowana przez aparat korelacji XDR usługi Microsoft Defender.

Łączenie pojawiających się zagrożeń

Ważne

Liczba zdarzeń zabezpieczeń nadal rośnie, a zakres i wyrafinowanie ataków rośnie. Możemy zdefiniować znane scenariusze ataku, ale jak o pojawiających się i nieznanych zagrożeniach w twoim środowisku?

Aparat fusion oparty na uczeniu maszynowym firmy Microsoft Sentinel może pomóc w znalezieniu pojawiających się i nieznanych zagrożeń w środowisku, stosując rozszerzoną analizę uczenia maszynowego i korelując szerszy zakres nietypowych sygnałów, jednocześnie utrzymując niskie zmęczenie alertów.

Algorytmy uczenia maszynowego aparatu Fusion stale uczą się na podstawie istniejących ataków i stosują analizę w oparciu o sposób myślenia analityków zabezpieczeń. W związku z tym może wykryć wcześniej niewykryte zagrożenia z milionów nietypowych zachowań w całym łańcuchu zagrożeń w całym środowisku, co pomaga pozostać o krok przed osobami atakującymi.

Łączenie nowych zagrożeń obsługuje zbieranie i analizę danych z następujących źródeł:

  • Gotowe do użycia wykrycia anomalii
  • Alerty z produktów firmy Microsoft:
    • Microsoft Entra ID — ochrona
    • Microsoft Defender for Cloud
    • Microsoft Defender for IoT
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud Apps
    • Usługa Microsoft Defender dla punktu końcowego
    • Microsoft Defender for Identity
    • Microsoft Defender dla usługi Office 365
  • Alerty z zaplanowanych reguł analizy. Reguły analizy muszą zawierać informacje o łańcuchu kill-chain (taktyki) i mapowaniu jednostek, aby były używane przez połączenie.

Nie musisz łączyć wszystkich źródeł danych wymienionych powyżej w celu zapewnienia, że połączenie dla pojawiających się zagrożeń działa. Jednak tym więcej źródeł danych, z których nawiązaliśmy połączenie, tym szerszy zasięg i tym więcej zagrożeń znajdziesz w połączeniu.

Gdy korelacje aparatu fusion powodują wykrycie pojawiającego się zagrożenia, w tabeli zdarzeń usługi Microsoft Sentinel zostanie wygenerowane zdarzenie o wysokiej ważności zatytułowane "Możliwe wieloestowe działania ataku wykryte przez połączenie".

Łączenie oprogramowania wymuszającego okup

Aparat łączenia usługi Microsoft Sentinel generuje zdarzenie, gdy wykrywa wiele alertów różnych typów z następujących źródeł danych i określa, że mogą one być związane z działaniem oprogramowania wymuszającego okup:

Takie zdarzenia łączenia są nazywane wieloma alertami, które prawdopodobnie są związane z wykrytymi działaniami oprogramowania wymuszającego okup i są generowane w przypadku wykrycia odpowiednich alertów w określonym przedziale czasowym i są skojarzone z etapami wykonywania i uchylania się od obrony ataku.

Na przykład usługa Microsoft Sentinel wygeneruje zdarzenie dla możliwych działań oprogramowania wymuszającego okup, jeśli następujące alerty są wyzwalane na tym samym hoście w określonym przedziale czasu:

Alerty Źródło Ważność
Zdarzenia błędów i ostrzeżeń systemu Windows Reguły analizy zaplanowanej w usłudze Microsoft Sentinel Informacyjne
Oprogramowanie wymuszającego okup "GandCrab" zostało uniemożliwione Microsoft Defender for Cloud  Średni
Wykryto złośliwe oprogramowanie "Emotet" Usługa Microsoft Defender dla punktu końcowego Informacyjne
Wykryto backdoor "Tofsee" Microsoft Defender for Cloud  Niski
Wykryto złośliwe oprogramowanie "Parite" Usługa Microsoft Defender dla punktu końcowego Informacyjne

Wykrywanie łączenia oparte na scenariuszach

W poniższej sekcji wymieniono typy ataków wieloestowych opartych na scenariuszach, pogrupowane według klasyfikacji zagrożeń, które usługa Microsoft Sentinel wykrywa przy użyciu aparatu korelacji fusion.

Aby włączyć te scenariusze wykrywania ataków opartych na połączeniu, skojarzone ze nimi źródła danych muszą być pozyskiwane do obszaru roboczego usługi Log Analytics. Wybierz linki w poniższej tabeli, aby dowiedzieć się więcej o każdym scenariuszu i skojarzonych ze sobą źródłach danych.

Uwaga

Niektóre z tych scenariuszy są dostępne w wersji zapoznawczej. Będą one tak wskazane.

Klasyfikacja zagrożeń Scenariusze
Nadużycie zasobów obliczeniowych
Dostęp poświadczeń
Zbieranie poświadczeń
Crypto-mining
Niszczenie danych
Eksfiltracja danych
Denial of service (odmowa usługi)
Ruch poprzeczny
Złośliwe działania administracyjne
Złośliwe wykonanie
z uzasadnionym procesem
Złośliwe oprogramowanie C2 lub pobieranie
Trwałość
Oprogramowanie wymuszającego okup
Zdalne wykorzystywanie
Przejęcie zasobów

Następne kroki

Uzyskaj więcej informacji na temat zaawansowanego wykrywania ataków wieloestanowych w połączeniu:

  • Dowiedz się więcej na temat wykrywania ataków opartych na scenariuszu fusion.
  • Dowiedz się, jak skonfigurować reguły łączenia.

Teraz już wiesz więcej na temat zaawansowanego wykrywania ataków wieloestanowych, możesz zainteresować się następującym przewodnikiem Szybki start, aby dowiedzieć się, jak uzyskać wgląd w dane i potencjalne zagrożenia: Rozpoczynanie pracy z usługą Microsoft Sentinel.

Jeśli wszystko będzie gotowe do zbadania utworzonych zdarzeń, zobacz następujący samouczek: Badanie zdarzeń za pomocą usługi Microsoft Sentinel.