Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel

Usługa Microsoft Sentinel używa aparatu fusion, aparatu korelacji opartego na skalowalnych algorytmach uczenia maszynowego, aby automatycznie wykrywać ataki wieloetapowe (nazywane również zaawansowanymi trwałymi zagrożeniami lub APT), identyfikując kombinacje nietypowych zachowań i podejrzanych działań obserwowanych na różnych etapach łańcucha zabić. Na podstawie tych odkryć usługa Microsoft Sentinel generuje zdarzenia, które w przeciwnym razie byłyby trudne do przechwycenia. Te zdarzenia składają się z co najmniej dwóch alertów lub działań. Zgodnie z projektem te zdarzenia są małe, o wysokiej wierności i wysokiej ważności.

Ta technologia wykrywania, dostosowana do środowiska, nie tylko zmniejsza częstość występowania fałszywie dodatnich wyników, ale również potrafi wykrywać ataki z ograniczonymi lub brakującymi informacjami.

Ponieważ Fusion koreluje wiele sygnałów z różnych produktów w celu wykrywania zaawansowanych ataków wieloetapowych, pomyślne wykrycia Fusion są prezentowane jako zdarzenia Fusion na stronie Incydenty usługi Microsoft Sentinel, a nie jako alerty, i są przechowywane w tabeli SecurityIncident w dziennikach, a nie w tabeli SecurityAlert.

Konfigurowanie łączenia

Łączenie jest domyślnie włączone w usłudze Microsoft Sentinel jako reguła analizy o nazwie Zaawansowane wykrywanie ataków wieloetapowych. Możesz wyświetlić i zmienić stan reguły, skonfigurować sygnały źródłowe, które mają być uwzględnione w modelu Fusion ML, lub wykluczyć określone wzorce wykrywania, które mogą nie mieć zastosowania do środowiska z wykrywania łączenia. Dowiedz się, jak skonfigurować regułę łączenia.

Uwaga

Usługa Microsoft Sentinel używa obecnie 30 dni danych historycznych do trenowania algorytmów uczenia maszynowego aparatu Fusion. Te dane są zawsze szyfrowane przy użyciu kluczy firmy Microsoft podczas przechodzenia przez potok uczenia maszynowego. Jednak dane szkoleniowe nie są szyfrowane przy użyciu kluczyCustomer-Managed (CMK), jeśli klucz cmK został włączony w obszarze roboczym usługi Microsoft Sentinel. Aby zrezygnować z usługi Fusion, przejdź do Microsoft Sentinel>, Konfiguracja>>, kliknij prawym przyciskiem myszy regułę Zaawansowanego wykrywania ataków wielostanowiskowych i wybierz pozycję Wyłącz.

W przypadku obszarów roboczych usługi Microsoft Sentinel dołączonych do portalu usługi Microsoft Defender połączenie jest wyłączone. Jego funkcjonalność jest zastępowana przez aparat korelacji XDR w usłudze Microsoft Defender.

Łączenie pojawiających się zagrożeń

Ważne

Wykrycia fuzji są obecnie dostępne w wersji próbnej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5. Począwszy od lipca 2026 r., usługa Microsoft Sentinel będzie obsługiwana tylko w portalu usługi Defender, a wszyscy pozostali klienci korzystający z witryny Azure Portal będą automatycznie przekierowywani. Zalecamy, aby wszyscy klienci korzystający z usługi Microsoft Sentinel na platformie Azure zaczęli planować przejście do portalu usługi Defender w celu uzyskania pełnego ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz Planowanie przejścia do portalu usługi Microsoft Defender dla wszystkich klientów usługi Microsoft Sentinel (blog).

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Konfigurowanie łączenia

Łączenie jest domyślnie włączone w usłudze Microsoft Sentinel jako reguła analizy o nazwie Zaawansowane wykrywanie ataków wieloetapowych. Możesz wyświetlić i zmienić stan reguły, skonfigurować sygnały źródłowe, które mają być uwzględnione w modelu Fusion ML, lub wykluczyć określone wzorce wykrywania, które mogą nie mieć zastosowania do środowiska z wykrywania łączenia. Dowiedz się, jak skonfigurować regułę łączenia.

Możesz zrezygnować z funkcji Fusion, jeśli w obszarze roboczym włączono Customer-Managed Keys (CMK). Usługa Microsoft Sentinel używa obecnie 30 dni danych historycznych do trenowania algorytmów uczenia maszynowego aparatu Fusion, a te dane są zawsze szyfrowane przy użyciu kluczy firmy Microsoft podczas przechodzenia przez potok uczenia maszynowego. Jednak dane szkoleniowe nie są szyfrowane przy użyciu klucza zarządzanego przez klienta. Aby zrezygnować z Fusion, wyłącz regułę Analizy zaawansowanego wykrywania ataków w wielu etapach w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Konfigurowanie reguł łączenia.

Łączenie jest wyłączone, gdy usługa Microsoft Sentinel jest zintegrowana z portalem Defender. Zamiast tego podczas pracy w portalu usługi Defender funkcje udostępniane przez aplikację Fusion są zastępowane przez aparat korelacji XDR usługi Microsoft Defender.

Łączenie nowych zagrożeń (wersja zapoznawcza)

Liczba zdarzeń zabezpieczeń nadal rośnie, a zakres i wyrafinowanie ataków rośnie. Możemy zdefiniować znane scenariusze ataku, ale jak o pojawiających się i nieznanych zagrożeniach w twoim środowisku?

Aparat fusion oparty na uczeniu maszynowym firmy Microsoft Sentinel może pomóc w znalezieniu pojawiających się i nieznanych zagrożeń w środowisku, stosując rozszerzoną analizę uczenia maszynowego i korelując szerszy zakres nietypowych sygnałów, jednocześnie utrzymując niskie zmęczenie alertów.

Algorytmy uczenia maszynowego aparatu Fusion stale uczą się na podstawie istniejących ataków i stosują analizę w oparciu o sposób myślenia analityków zabezpieczeń. W związku z tym może wykryć wcześniej niewykryte zagrożenia z milionów nietypowych zachowań w całym łańcuchu zagrożeń w całym środowisku, co pomaga pozostać o krok przed osobami atakującymi.

Fuzja dla nowych zagrożeń wspomaga zbieranie i analizę danych z następujących źródeł:

• Gotowe do użycia rozwiązania do wykrywania anomalii

• Alerty z usługi firmy Microsoft:

  • Microsoft Entra ID — ochrona
  • Microsoft Defender dla Chmury
  • Microsoft Defender for IoT
  • Microsoft Defender XDR
  • Microsoft Defender dla aplikacji chmurowych
  • Usługa Microsoft Defender dla punktu końcowego
  • Microsoft Defender for Identity
  • Microsoft Defender dla usługi Office 365

• Alerty z zaplanowanych reguł analizy. Reguły analityczne muszą zawierać informacje o łańcuchu kill-chain (taktykach) i mapowaniu jednostek, aby mogły być używane przez system Fusion.

Nie musisz łączyć wszystkich źródeł danych wymienionych powyżej w celu zapewnienia, że połączenie dla pojawiających się zagrożeń działa. Jednak tym więcej źródeł danych, z których nawiązaliśmy połączenie, tym szerszy zasięg i tym więcej zagrożeń znajdziesz w połączeniu.

Gdy korelacje aparatu Fusion powodują wykrycie pojawiającego się zagrożenia, usługa Microsoft Sentinel generuje zdarzenie o wysokiej ważności zatytułowane Możliwe wielostopniowe działania ataku wykryte przez Fusion.

Łączenie oprogramowania wymuszającego okup

Aparat łączenia usługi Microsoft Sentinel generuje zdarzenie, gdy wykrywa wiele alertów różnych typów z następujących źródeł danych i określa, że mogą one być związane z działaniem oprogramowania wymuszającego okup:

• Microsoft Defender for Cloud
• Usługa Microsoft Defender dla punktu końcowego
• Łącznik usługi Microsoft Defender for Identity
• Microsoft Defender dla aplikacji chmurowych
• Zaplanowane reguły analizy usługi Microsoft Sentinel. Połączenie uwzględnia tylko zaplanowane reguły analizy z informacjami o taktyki i mapowanych jednostkach.

Takie zdarzenia łączenia są nazywane wieloma alertami, które prawdopodobnie są związane z wykrytymi działaniami oprogramowania wymuszającego okup i są generowane w przypadku wykrycia odpowiednich alertów w określonym przedziale czasowym i są skojarzone z etapami wykonywania i uchylania się od obrony ataku.

Na przykład usługa Microsoft Sentinel wygeneruje zdarzenie dla możliwych działań oprogramowania wymuszającego okup, jeśli następujące alerty są wyzwalane na tym samym hoście w określonym przedziale czasu:

Alerty	Źródło	Ważność
Zdarzenia błędów i ostrzeżeń systemu Windows	Reguły analizy zaplanowanej w usłudze Microsoft Sentinel	Informacyjne
Oprogramowanie wymuszającego okup "GandCrab" zostało uniemożliwione	Microsoft Defender dla Chmury	nośnik
Wykryto złośliwe oprogramowanie "Emotet"	Usługa Microsoft Defender dla punktu końcowego	Informacyjne
Wykryto tylne wejście (backdoor) "Tofsee"	Microsoft Defender dla Chmury	Niski
Wykryto złośliwe oprogramowanie "Parite"	Usługa Microsoft Defender dla punktu końcowego	Informacyjne

Wykrywanie łączenia oparte na scenariuszach

W poniższej sekcji wymieniono typy ataków wielostopniowych opartych na scenariuszach, pogrupowane według klasyfikacji zagrożeń, które usługa Microsoft Sentinel wykrywa przy użyciu aparatu korelacji Fusion.

Aby włączyć te scenariusze wykrywania ataków opartych na połączeniu, skojarzone ze nimi źródła danych muszą być pozyskiwane do obszaru roboczego usługi Log Analytics. Wybierz linki w poniższej tabeli, aby dowiedzieć się więcej o każdym scenariuszu i skojarzonych ze sobą źródłach danych.

Klasyfikacja zagrożeń	Scenariusze
Nadużycie zasobów obliczeniowych	(WERSJA ZAPOZNAWCZA) Wiele działań związanych z tworzeniem maszyn wirtualnych po podejrzanym logowaniu do Microsoft Entra
Dostęp poświadczeń	(WERSJA ZAPOZNAWCZA) Resetowanie wielu haseł przez użytkownika po podejrzanym logowaniu (WERSJA ZAPOZNAWCZA) Podejrzane logowanie koincydujące z pomyślnym zalogowaniem do sieci VPN Palo Alto według adresu IP z wieloma nieudanymi logowaniami firmy Microsoft Entra
Zbieranie poświadczeń	Uruchomienie złośliwego narzędzia do kradzieży poświadczeń po podejrzanym logowaniu się Podejrzane działanie kradzieży poświadczeń po podejrzanym logowaniu
Crypto-mining	Aktywność związana z kopaniem kryptowalut po podejrzanym logowaniu
Niszczenie danych	Masowe usuwanie plików po podejrzanym logowaniu firmy Microsoft Entra (WERSJA ZAPOZNAWCZA) Masowe usuwanie plików po pomyślnym logowaniu do usługi Microsoft Entra Adres IP zablokowany przez urządzenie zapory Cisco (WERSJA ZAPOZNAWCZA) Masowe usuwanie plików po pomyślnym zalogowaniu się do aplikacji Palo Alto VPN według adresu IP z wieloma nieudanymi logowaniami firmy Microsoft Entra (WERSJA ZAPOZNAWCZA) Podejrzane działania usuwania wiadomości e-mail po podejrzanym logowaniu w usłudze Microsoft Entra
Eksfiltracja danych	(WERSJA ZAPOZNAWCZA) Działania przekazujące pocztę po nowym działaniu konta administratora, które nie były ostatnio widoczne Pobieranie masowych plików następujące po podejrzanym logowaniu do Microsoft Entra (WERSJA ZAPOZNAWCZA) Pobieranie plików masowych po pomyślnym logowaniu do Microsoft Entra Adres IP zablokowany przez urządzenie zapory Cisco (WERSJA ZAPOZNAWCZA) Pobieranie masowe plików pokrywające się z operacją pliku programu SharePoint z wcześniej niewidocznego adresu IP Masowe udostępnianie plików po podejrzanym logowaniu firmy Microsoft Entra (WERSJA ZAPOZNAWCZA) Wiele działań związanych z udostępnianiem raportów usługi Power BI po podejrzanym logowaniu w usłudze Microsoft Entra Eksfiltracja skrzynki pocztowej usługi Office 365 po podejrzanym logowaniu firmy Microsoft Entra (WERSJA ZAPOZNAWCZA) Operacja pliku programu SharePoint z wcześniejszego niezaużytego adresu IP po wykryciu złośliwego oprogramowania (WERSJA ZAPOZNAWCZA) Podejrzane reguły manipulowania skrzynką odbiorczą ustawione po podejrzanym logowaniu w usłudze Microsoft Entra (WERSJA ZAPOZNAWCZA) Podejrzane udostępnianie raportów usługi Power BI po podejrzanym logowaniu Microsoft Entra
Odmowa usługi	(WERSJA ZAPOZNAWCZA) Wiele działań usuwania maszyn wirtualnych po podejrzanym logowaniu firmy Microsoft Entra
Ruch poprzeczny	Podszywanie się pod usługę Office 365 po podejrzanym logowaniu do Microsoft Entra (WERSJA ZAPOZNAWCZA) Podejrzane reguły manipulowania skrzynką odbiorczą ustawione po podejrzanym logowaniu w usłudze Microsoft Entra
Złośliwe działania administracyjne	Podejrzane działania administracyjne aplikacji w chmurze po podejrzanym logowaniu się do Microsoft Entra (WERSJA ZAPOZNAWCZA) Działania przekazujące pocztę po nowym działaniu konta administratora, które nie były ostatnio widoczne
Złośliwe wykonanie z uzasadnionym procesem	(WERSJA ZAPOZNAWCZA) Program PowerShell nawiązał podejrzane połączenie sieciowe, po czym nietypowy ruch oflagowany przez zaporę Palo Alto Networks (WERSJA ZAPOZNAWCZA) Podejrzane zdalne wykonywanie usługi WMI , po którym następuje nietypowy ruch oflagowany przez zaporę Palo Alto Networks Podejrzany wiersz polecenia programu PowerShell po podejrzanym logowaniu
Złośliwe oprogramowanie C2 lub pobieranie	(WERSJA ZAPOZNAWCZA) Wzorzec sygnału beacon wykryty przez Fortinet po wielu nieudanych próbach logowania użytkownika do usługi (WERSJA ZAPOZNAWCZA) Wzorzec beacona wykryty przez Fortinet po podejrzanym logowaniu do Microsoft Entra (WERSJA ZAPOZNAWCZA) Żądanie sieciowe do usługi anonimizacji TOR , a następnie nietypowy ruch oflagowany przez zaporę Palo Alto Networks (WERSJA ZAPOZNAWCZA) Połączenie wychodzące z adresem IP z historią nieautoryzowanych prób dostępu, po których następuje nietypowy ruch oflagowany przez zaporę Palo Alto Networks
Wytrwałość	(WERSJA ZAPOZNAWCZA) Rzadka zgoda aplikacji po podejrzanym logowaniu
Oprogramowanie wymuszającego okup	Uruchomienie oprogramowania wymuszającego okup po podejrzanym logowaniu Microsoft Entra
Zdalne wykorzystywanie	(WERSJA ZAPOZNAWCZA) Podejrzenie użycia ramy ataków które poprzedziło nietypowy ruch oflagowany przez zaporę Palo Alto Networks
Przejęcie zasobów	(WERSJA ZAPOZNAWCZA) Podejrzane wdrożenie zasobu/grupy zasobów przez wcześniej niezaświetnionego wywołującego po podejrzanym logowaniu firmy Microsoft Entra

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz:

• Scenariusze wykryte przez silnik Fusion usługi Microsoft Sentinel
• Konfigurowanie reguł wykrywania ataków wieloestanowych (Fusion) w usłudze Microsoft Sentinel