Deteção avançada de ataques em várias fases no Microsoft Sentinel

Importante

Algumas deteções do Fusion (veja as indicadas abaixo) estão atualmente em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

O Microsoft Sentinel usa o Fusion, um mecanismo de correlação baseado em algoritmos escaláveis de aprendizado de máquina, para detetar automaticamente ataques de vários estágios (também conhecidos como ameaças persistentes avançadas ou APT), identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de eliminação. Com base nessas descobertas, o Microsoft Sentinel gera incidentes que, de outra forma, seriam difíceis de detetar. Estes incidentes compreendem dois ou mais alertas ou atividades. Por design, esses incidentes são de baixo volume, alta fidelidade e alta gravidade.

Personalizada para o seu ambiente, essa tecnologia de deteção não só reduz as taxas de falsos positivos , mas também pode detetar ataques com informações limitadas ou ausentes.

Como o Fusion correlaciona vários sinais de vários produtos para detetar ataques avançados de vários estágios, as deteções bem-sucedidas do Fusion são apresentadas como incidentes do Fusion na página Incidentes do Microsoft Sentinel e não como alertas, e são armazenadas na tabela SecurityIncident em Logs e não na tabela SecurityAlert.

Configurar o Fusion

O Fusion é habilitado por padrão no Microsoft Sentinel, como uma regra de análise chamada Deteção avançada de ataques em vários estágios. Você pode exibir e alterar o status da regra, configurar sinais de origem a serem incluídos no modelo do Fusion ML ou excluir padrões de deteção específicos que podem não ser aplicáveis ao seu ambiente da deteção do Fusion. Saiba como configurar a regra do Fusion.

Nota

Atualmente, o Microsoft Sentinel usa 30 dias de dados históricos para treinar os algoritmos de aprendizado de máquina do mecanismo Fusion. Esses dados são sempre criptografados usando as chaves da Microsoft à medida que passam pelo pipeline de aprendizado de máquina. No entanto, os dados de treinamento não são criptografados usando chaves gerenciadas pelo cliente (CMK) se você habilitou a CMK no espaço de trabalho do Microsoft Sentinel. Para desativar o Fusion, navegue até Regras ativas do Microsoft Sentinel>Configuration>Analytics>, clique com o botão direito do mouse na regra Deteção Avançada de Ataques de Vários Estágios e selecione Desativar.

Nos espaços de trabalho do Microsoft Sentinel integrados à plataforma unificada de operações de segurança no portal do Microsoft Defender, o Fusion é desativado, pois sua funcionalidade é substituída pelo mecanismo de correlação Microsoft Defender XDR.

Fusão para ameaças emergentes

Importante

• A deteção baseada em fusão para ameaças emergentes está atualmente em pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O volume de eventos de segurança continua a crescer e o alcance e a sofisticação dos ataques são cada vez maiores. Podemos definir os cenários de ataque conhecidos, mas e as ameaças emergentes e desconhecidas no seu ambiente?

O mecanismo Fusion alimentado por ML do Microsoft Sentinel pode ajudá-lo a encontrar as ameaças emergentes e desconhecidas em seu ambiente, aplicando análise de ML estendida e correlacionando um escopo mais amplo de sinais anômalos, mantendo a fadiga de alerta baixa.

Os algoritmos de ML do mecanismo Fusion aprendem constantemente com os ataques existentes e aplicam análises baseadas em como os analistas de segurança pensam. Ele pode, portanto, descobrir ameaças não detetadas anteriormente de milhões de comportamentos anômalos em toda a cadeia de morte em todo o seu ambiente, o que ajuda você a ficar um passo à frente dos invasores.

O Fusion for emerging threats suporta a recolha e análise de dados das seguintes fontes:

• Deteções de anomalias prontas a usar
• Alertas de produtos Microsoft:
  • Proteção do Microsoft Entra ID
  • Microsoft Defender para a Cloud
  • Microsoft Defender para a IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Ponto Final
  • Microsoft Defender para Identidade
  • Microsoft Defender para Office 365
• Alertas de regras de análise agendadas, incorporadas e criadas pelos seus analistas de segurança. As regras de análise devem conter informações de kill-chain (táticas) e mapeamento de entidades para serem usadas pelo Fusion.

Você não precisa ter conectado todas as fontes de dados listadas acima para fazer o Fusion para ameaças emergentes funcionar. No entanto, quanto mais fontes de dados você tiver conectado, maior será a cobertura e mais ameaças o Fusion encontrará.

Quando as correlações do mecanismo Fusion resultam na deteção de uma ameaça emergente, um incidente de alta gravidade intitulado "Possíveis atividades de ataque em vários estágios detetadas pelo Fusion" é gerado na tabela de incidentes no espaço de trabalho do Microsoft Sentinel.

Fusão para ransomware

O mecanismo Fusion do Microsoft Sentinel gera um incidente quando deteta vários alertas de diferentes tipos das seguintes fontes de dados e determina que eles podem estar relacionados à atividade de ransomware:

• Microsoft Defender para Cloud
• Microsoft Defender para Ponto de Extremidade
• Conector do Microsoft Defender for Identity
• Aplicativos do Microsoft Defender para Nuvem
• Regras de análise agendada do Microsoft Sentinel. O Fusion considera apenas regras de análise programada com informações táticas e entidades mapeadas.

Esses incidentes do Fusion são denominados Múltiplos alertas possivelmente relacionados à atividade de Ransomware detetada e são gerados quando alertas relevantes são detetados durante um período de tempo específico e estão associados aos estágios de Execução e Evasão de Defesa de um ataque.

Por exemplo, o Microsoft Sentinel geraria um incidente para possíveis atividades de ransomware se os seguintes alertas fossem acionados no mesmo host dentro de um período de tempo específico:

Alerta	Origem	Gravidade
Eventos de erro e aviso do Windows	Regras de análise agendada do Microsoft Sentinel	informativo
O ransomware 'GandCrab' foi impedido	Microsoft Defender para a Cloud	médio
O malware 'Emotet' foi detetado	Microsoft Defender para Ponto Final	informativo
Foi detetada a porta traseira 'Tofsee'	Microsoft Defender para a Cloud	lowa
O malware 'Parite' foi detetado	Microsoft Defender para Ponto Final	informativo

Deteções do Fusion baseadas em cenários

A seção a seguir lista os tipos de ataques de vários estágios baseados em cenário, agrupados por classificação de ameaça, que o Microsoft Sentinel deteta usando o mecanismo de correlação do Fusion.

Para habilitar esses cenários de deteção de ataques com tecnologia Fusion, suas fontes de dados associadas devem ser ingeridas no espaço de trabalho do Log Analytics. Selecione os links na tabela abaixo para saber mais sobre cada cenário e suas fontes de dados associadas.

Nota

Alguns desses cenários estão em PREVIEW. Serão assim indicados.

Classificação da ameaça	Cenários
Abuso de recursos computacionais	(PRÉ-VISUALIZAÇÃO) Várias atividades de criação de VM após entrada suspeita do Microsoft Entra
Acesso a credenciais	(PRÉ-VISUALIZAÇÃO) Várias palavras-passe repostas pelo utilizador após início de sessão suspeito (PRÉ-VISUALIZAÇÃO) Início de sessão suspeito que coincide com o início de sessão bem-sucedido no Palo Alto VPN por IP com várias entradas do Microsoft Entra com falha
Coleta de credenciais	Execução de ferramenta de roubo de credenciais maliciosas após início de sessão suspeito Atividade suspeita de roubo de credenciais após início de sessão suspeito
Cripto-mineração	Atividade de mineração de criptomoedas após início de sessão suspeito
Destruição de dados	Eliminação de ficheiros em massa após início de sessão suspeito do Microsoft Entra (PRÉ-VISUALIZAÇÃO) Eliminação de ficheiros em massa após início de sessão bem-sucedido do Microsoft Entra a partir de IP bloqueado por um dispositivo de firewall Cisco (PRÉ-VISUALIZAÇÃO) Exclusão de arquivos em massa após o login bem-sucedido no Palo Alto VPN por IP com várias entradas do Microsoft Entra com falha (PRÉ-VISUALIZAÇÃO) Atividade suspeita de exclusão de e-mail após entrada suspeita do Microsoft Entra
Exfiltração de dados	(PRÉ-VISUALIZAÇÃO) Atividades de encaminhamento de email após nova atividade de conta de administrador não vista recentemente Download de arquivos em massa após entrada suspeita do Microsoft Entra (PRÉ-VISUALIZAÇÃO) Download de arquivo em massa após a entrada bem-sucedida do Microsoft Entra de IP bloqueado por um dispositivo de firewall Cisco (PRÉ-VISUALIZAÇÃO) Download de arquivo em massa coincidindo com a operação de arquivo do SharePoint a partir de IP inédito Compartilhamento de arquivos em massa após entrada suspeita do Microsoft Entra (PRÉ-VISUALIZAÇÃO) Várias atividades de compartilhamento de relatório do Power BI após entrada suspeita do Microsoft Entra Exfiltração da caixa de correio do Office 365 após uma entrada suspeita do Microsoft Entra (PRÉ-VISUALIZAÇÃO) Operação de arquivo do SharePoint a partir de IP invisível anteriormente após a deteção de malware (PRÉ-VISUALIZAÇÃO) Regras suspeitas de manipulação da caixa de entrada definidas após entrada suspeita do Microsoft Entra (PRÉ-VISUALIZAÇÃO) Partilha suspeita de relatórios do Power BI após início de sessão suspeito no Microsoft Entra
Denial-of-service	(PRÉ-VISUALIZAÇÃO) Várias atividades de exclusão de VM após entrada suspeita do Microsoft Entra
Movimento lateral	Representação do Office 365 após início de sessão suspeito do Microsoft Entra (PRÉ-VISUALIZAÇÃO) Regras suspeitas de manipulação da caixa de entrada definidas após entrada suspeita do Microsoft Entra
Atividade administrativa maliciosa	Atividade administrativa suspeita da aplicação na nuvem após início de sessão suspeito no Microsoft Entra (PRÉ-VISUALIZAÇÃO) Atividades de encaminhamento de email após nova atividade de conta de administrador não vista recentemente
Execução maliciosa com processo legítimo	(PRÉ-VISUALIZAÇÃO) O PowerShell fez uma conexão de rede suspeita, seguida por tráfego anômalo sinalizado pelo firewall da Palo Alto Networks (PRÉ-VISUALIZAÇÃO) Execução remota suspeita de WMI seguida de tráfego anômalo sinalizado pelo firewall da Palo Alto Networks Linha de comando suspeita do PowerShell após entrada suspeita
Malware C2 ou baixar	(PRÉ-VISUALIZAÇÃO) Padrão de beacon detetado pela Fortinet após várias falhas de login de usuário em um serviço (PRÉ-VISUALIZAÇÃO) Padrão de beacon detetado pela Fortinet após entrada suspeita do Microsoft Entra (PRÉ-VISUALIZAÇÃO) Pedido de rede ao serviço de anonimização TOR seguido de tráfego anômalo sinalizado pelo firewall da Palo Alto Networks (PRÉ-VISUALIZAÇÃO) Conexão de saída para IP com um histórico de tentativas de acesso não autorizado seguido por tráfego anômalo sinalizado pelo firewall da Palo Alto Networks
Persistência	(PRÉ-VISUALIZAÇÃO) Consentimento raro de aplicativos após entrada suspeita
Ransomware	Execução de ransomware após início de sessão suspeito do Microsoft Entra
Exploração remota	(PRÉ-VISUALIZAÇÃO) Suspeita de utilização da estrutura de ataque seguida de tráfego anômalo sinalizado pelo firewall da Palo Alto Networks
Sequestro de recursos	(PRÉ-VISUALIZAÇÃO) Implantação suspeita de recurso/grupo de recursos por um chamador invisível anteriormente após o início de sessão suspeito do Microsoft Entra

Próximos passos

Obtenha mais informações sobre a deteção avançada de ataques em vários estágios do Fusion:

• Saiba mais sobre as deteções de ataque baseadas em cenários do Fusion.
• Saiba como configurar as regras do Fusion.

Agora que já aprendeu mais sobre a deteção avançada de ataques em várias fases, poderá estar interessado no seguinte guia de início rápido para saber como obter visibilidade dos seus dados e potenciais ameaças: Introdução ao Microsoft Sentinel.

Se você estiver pronto para investigar os incidentes criados para você, consulte o seguinte tutorial: Investigar incidentes com o Microsoft Sentinel.