Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
As deteções personalizadas são agora a melhor forma de criar novas regras no Microsoft Sentinel Microsoft Defender XDR SIEM. Com as deteções personalizadas, pode reduzir os custos de ingestão, obter deteções ilimitadas em tempo real e beneficiar da integração totalmente integrada com Defender XDR dados, funções e ações de remediação com o mapeamento automático de entidades. Para obter mais informações, leia este blogue.
Microsoft Sentinel utiliza a Fusão, um motor de correlação baseado em algoritmos de machine learning dimensionáveis, para detetar automaticamente ataques em várias fases (também conhecidos como ameaças persistentes avançadas ou APT) ao identificar combinações de comportamentos anómalos e atividades suspeitas observadas em várias fases da cadeia de eliminação. Com base nestas descobertas, Microsoft Sentinel gera incidentes que, de outra forma, seriam difíceis de apanhar. Estes incidentes incluem dois ou mais alertas ou atividades. Por predefinição, estes incidentes são de baixo volume, alta fidelidade e alta gravidade.
Personalizada para o seu ambiente, esta tecnologia de deteção não só reduz taxas de falsos positivos como também pode detetar ataques com informações limitadas ou em falta.
Uma vez que a Fusão correlaciona vários sinais de vários produtos para detetar ataques avançados em várias fases, as deteções de Fusão bem-sucedidas são apresentadas como incidentes de Fusão na página Incidentes de Microsoft Sentinel e não como alertas e são armazenadas na tabela SecurityIncident em Registos e não na tabela SecurityAlert.
Configurar a Fusão
A fusão está ativada por predefinição no Microsoft Sentinel, como uma regra de análise denominada Deteção avançada de ataques em várias fases. Pode ver e alterar a status da regra, configurar os sinais de origem para serem incluídos no modelo de ML de Fusão ou excluir padrões de deteção específicos que podem não ser aplicáveis ao seu ambiente a partir da deteção de Fusão. Saiba como configurar a regra de Fusão.
Observação
Microsoft Sentinel utiliza atualmente 30 dias de dados históricos para preparar os algoritmos de machine learning do motor de fusão. Estes dados são sempre encriptados através das chaves da Microsoft à medida que passam pelo pipeline de machine learning. No entanto, os dados de preparação não são encriptados através de Chaves Geridas pelo Cliente (CMK) se tiver ativado a CMK na área de trabalho Microsoft Sentinel. Para optar ativamente por não participar na Fusão, navegue para Microsoft Sentinel>Configuration> Analytics Regras ativas, clique com o botão direito do rato na regra Avançada de Deteção de Ataques em Várias Fases e selecione Desativar>.
Para Microsoft Sentinel áreas de trabalho integradas no portal do Microsoft Defender, a Fusão está desativada. A respetiva funcionalidade é substituída pelo motor de correlação Microsoft Defender XDR.
Fusão para ameaças emergentes
Importante
As deteções de Fusão indicadas estão atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retireing Microsoft Sentinel's portal do Azure for greater security (Está na altura de mover: extinguir portal do Azure de Microsoft Sentinel para maior segurança).
Observação
Para obter informações sobre a disponibilidade de funcionalidades nas clouds do Governo norte-americano, veja as tabelas de Microsoft Sentinel na disponibilidade de funcionalidades da Cloud para clientes do Governo norte-americano.
Configurar a Fusão
A fusão está ativada por predefinição no Microsoft Sentinel, como uma regra de análise denominada Deteção avançada de ataques em várias fases. Pode ver e alterar a status da regra, configurar os sinais de origem para serem incluídos no modelo de ML de Fusão ou excluir padrões de deteção específicos que podem não ser aplicáveis ao seu ambiente a partir da deteção de Fusão. Saiba como configurar a regra de Fusão.
Poderá optar ativamente por não participar na Fusão se tiver ativado as Chaves Geridas pelo Cliente (CMK) na área de trabalho. Microsoft Sentinel utiliza atualmente 30 dias de dados históricos para preparar os algoritmos de machine learning do motor de fusão e estes dados são sempre encriptados com as chaves da Microsoft à medida que passam pelo pipeline de machine learning. No entanto, os dados de preparação não são encriptados com a CMK. Para optar ativamente por não participar na Fusão, desative a regra de análise avançada de deteção de ataques em várias fases no Microsoft Sentinel. Para obter mais informações, veja Configurar regras de Fusão.
A fusão é desativada quando Microsoft Sentinel é integrada no portal do Defender. Em vez disso, ao trabalhar no portal do Defender, as funcionalidades fornecidas pela Fusion são substituídas pelo motor de correlação Microsoft Defender XDR.
Fusão para ameaças emergentes (Pré-visualização)
O volume de eventos de segurança continua a aumentar e o âmbito e a sofisticação dos ataques estão a aumentar cada vez mais. Podemos definir os cenários de ataque conhecidos, mas que tal as ameaças emergentes e desconhecidas no seu ambiente?
O motor de Fusão baseado em ML do Microsoft Sentinel pode ajudá-lo a encontrar as ameaças emergentes e desconhecidas no seu ambiente ao aplicar uma análise de ML expandida e correlacionando um âmbito mais amplo de sinais anómalos, mantendo a fadiga do alerta baixa.
Os algoritmos ML do motor de fusão aprendem constantemente com os ataques existentes e aplicam análises com base na forma como os analistas de segurança pensam. Por conseguinte, pode detetar ameaças anteriormente não detetadas de milhões de comportamentos anómalos em toda a cadeia de eliminação em todo o seu ambiente, o que o ajuda a manter-se um passo à frente dos atacantes.
A fusão para ameaças emergentes suporta a recolha e análise de dados das seguintes origens:
Alertas dos serviços Microsoft:
- Microsoft Entra ID Protection
- Microsoft Defender para Nuvem
- Microsoft Defender para IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365
Alertas de regras de análise agendada. As regras de análise têm de conter informações de cadeia de eliminação (táticas) e de mapeamento de entidades para serem utilizadas pela Fusion.
Não precisa de ter ligado todas as origens de dados listadas acima para que a Fusão para ameaças emergentes funcione. No entanto, quanto mais origens de dados tiver ligado, mais ampla será a cobertura e mais ameaças a Fusão encontrará.
Quando as correlações do motor de fusão resultam na deteção de uma ameaça emergente, Microsoft Sentinel gera um incidente de gravidade elevada intitulado Possíveis atividades de ataque em várias fases detetadas pela Fusion.
Fusão para ransomware
O motor de Fusão do Microsoft Sentinel gera um incidente quando deteta vários alertas de diferentes tipos das seguintes origens de dados e determina que podem estar relacionados com a atividade de ransomware:
- Microsoft Defender para Nuvem
- Microsoft Defender para Ponto de Extremidade
- conector Microsoft Defender para Identidade
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel regras de análise agendadas. A fusão só considera regras de análise agendadas com informações de táticas e entidades mapeadas.
Estes incidentes de Fusão são denominados Múltiplos alertas possivelmente relacionados com a atividade Ransomware detetada e são gerados quando são detetados alertas relevantes durante um período de tempo específico e estão associados às fases de Execução e Evasão da Defesa de um ataque.
Por exemplo, Microsoft Sentinel geraria um incidente para possíveis atividades de ransomware se os seguintes alertas fossem acionados no mesmo anfitrião dentro de um período de tempo específico:
| Alerta | Origem | Severity |
|---|---|---|
| Eventos de Erro e Aviso do Windows | Microsoft Sentinel regras de análise agendadas | informativo |
| Ransomware 'GandCrab' foi evitado | Microsoft Defender para Nuvem | medium |
| Foi detetado software maligno "Emotet" | Microsoft Defender para Ponto de Extremidade | informativo |
| "Tofsee" backdoor foi detetado | Microsoft Defender para Nuvem | low |
| Foi detetado software maligno "Parite" | Microsoft Defender para Ponto de Extremidade | informativo |
Deteções de Fusão baseadas em cenários
A secção seguinte lista os tipos de ataques de várias fases baseados em cenários, agrupados por classificação de ameaças, que Microsoft Sentinel deteta com o motor de correlação Fusão.
Para ativar estes cenários de deteção de ataques baseados em Fusão, as respetivas origens de dados associadas têm de ser ingeridas na área de trabalho do Log Analytics. Selecione as ligações na tabela abaixo para saber mais sobre cada cenário e as respetivas origens de dados associadas.
Conteúdo relacionado
Para saber mais, confira: