Partilhar via


Deteção avançada de ataques em várias fases no Microsoft Sentinel

Importante

Algumas deteções do Fusion (veja as indicadas abaixo) estão atualmente em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

O Microsoft Sentinel usa o Fusion, um mecanismo de correlação baseado em algoritmos escaláveis de aprendizado de máquina, para detetar automaticamente ataques de vários estágios (também conhecidos como ameaças persistentes avançadas ou APT), identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de eliminação. Com base nessas descobertas, o Microsoft Sentinel gera incidentes que, de outra forma, seriam difíceis de detetar. Estes incidentes compreendem dois ou mais alertas ou atividades. Por design, esses incidentes são de baixo volume, alta fidelidade e alta gravidade.

Personalizada para o seu ambiente, essa tecnologia de deteção não só reduz as taxas de falsos positivos , mas também pode detetar ataques com informações limitadas ou ausentes.

Como o Fusion correlaciona vários sinais de vários produtos para detetar ataques avançados de vários estágios, as deteções bem-sucedidas do Fusion são apresentadas como incidentes do Fusion na página Incidentes do Microsoft Sentinel e não como alertas, e são armazenadas na tabela SecurityIncident em Logs e não na tabela SecurityAlert.

Configurar o Fusion

O Fusion é habilitado por padrão no Microsoft Sentinel, como uma regra de análise chamada Deteção avançada de ataques em vários estágios. Você pode exibir e alterar o status da regra, configurar sinais de origem a serem incluídos no modelo do Fusion ML ou excluir padrões de deteção específicos que podem não ser aplicáveis ao seu ambiente da deteção do Fusion. Saiba como configurar a regra do Fusion.

Nota

Atualmente, o Microsoft Sentinel usa 30 dias de dados históricos para treinar os algoritmos de aprendizado de máquina do mecanismo Fusion. Esses dados são sempre criptografados usando as chaves da Microsoft à medida que passam pelo pipeline de aprendizado de máquina. No entanto, os dados de treinamento não são criptografados usando chaves gerenciadas pelo cliente (CMK) se você habilitou a CMK no espaço de trabalho do Microsoft Sentinel. Para desativar o Fusion, navegue até Regras ativas do Microsoft Sentinel>Configuration>Analytics>, clique com o botão direito do mouse na regra Deteção Avançada de Ataques de Vários Estágios e selecione Desativar.

Nos espaços de trabalho do Microsoft Sentinel integrados à plataforma unificada de operações de segurança no portal do Microsoft Defender, o Fusion é desativado, pois sua funcionalidade é substituída pelo mecanismo de correlação Microsoft Defender XDR.

Fusão para ameaças emergentes

Importante

  • A deteção baseada em fusão para ameaças emergentes está atualmente em pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O volume de eventos de segurança continua a crescer e o alcance e a sofisticação dos ataques são cada vez maiores. Podemos definir os cenários de ataque conhecidos, mas e as ameaças emergentes e desconhecidas no seu ambiente?

O mecanismo Fusion alimentado por ML do Microsoft Sentinel pode ajudá-lo a encontrar as ameaças emergentes e desconhecidas em seu ambiente, aplicando análise de ML estendida e correlacionando um escopo mais amplo de sinais anômalos, mantendo a fadiga de alerta baixa.

Os algoritmos de ML do mecanismo Fusion aprendem constantemente com os ataques existentes e aplicam análises baseadas em como os analistas de segurança pensam. Ele pode, portanto, descobrir ameaças não detetadas anteriormente de milhões de comportamentos anômalos em toda a cadeia de morte em todo o seu ambiente, o que ajuda você a ficar um passo à frente dos invasores.

O Fusion for emerging threats suporta a recolha e análise de dados das seguintes fontes:

  • Deteções de anomalias prontas a usar
  • Alertas de produtos Microsoft:
    • Proteção do Microsoft Entra ID
    • Microsoft Defender para a Cloud
    • Microsoft Defender para a IoT
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender para Ponto Final
    • Microsoft Defender para Identidade
    • Microsoft Defender para Office 365
  • Alertas de regras de análise agendadas. As regras de análise devem conter informações de kill-chain (táticas) e mapeamento de entidades para serem usadas pelo Fusion.

Você não precisa ter conectado todas as fontes de dados listadas acima para fazer o Fusion para ameaças emergentes funcionar. No entanto, quanto mais fontes de dados você tiver conectado, maior será a cobertura e mais ameaças o Fusion encontrará.

Quando as correlações do mecanismo Fusion resultam na deteção de uma ameaça emergente, um incidente de alta gravidade intitulado "Possíveis atividades de ataque em vários estágios detetadas pelo Fusion" é gerado na tabela de incidentes no espaço de trabalho do Microsoft Sentinel.

Fusão para ransomware

O mecanismo Fusion do Microsoft Sentinel gera um incidente quando deteta vários alertas de diferentes tipos das seguintes fontes de dados e determina que eles podem estar relacionados à atividade de ransomware:

Esses incidentes do Fusion são denominados Múltiplos alertas possivelmente relacionados à atividade de Ransomware detetada e são gerados quando alertas relevantes são detetados durante um período de tempo específico e estão associados aos estágios de Execução e Evasão de Defesa de um ataque.

Por exemplo, o Microsoft Sentinel geraria um incidente para possíveis atividades de ransomware se os seguintes alertas fossem acionados no mesmo host dentro de um período de tempo específico:

Alerta Origem Gravidade
Eventos de erro e aviso do Windows Regras de análise agendada do Microsoft Sentinel informativo
O ransomware 'GandCrab' foi impedido Microsoft Defender para a Cloud médio
O malware 'Emotet' foi detetado Microsoft Defender para Ponto Final informativo
Foi detetada a porta traseira 'Tofsee' Microsoft Defender para a Cloud lowa
O malware 'Parite' foi detetado Microsoft Defender para Ponto Final informativo

Deteções do Fusion baseadas em cenários

A seção a seguir lista os tipos de ataques de vários estágios baseados em cenário, agrupados por classificação de ameaça, que o Microsoft Sentinel deteta usando o mecanismo de correlação do Fusion.

Para habilitar esses cenários de deteção de ataques com tecnologia Fusion, suas fontes de dados associadas devem ser ingeridas no espaço de trabalho do Log Analytics. Selecione os links na tabela abaixo para saber mais sobre cada cenário e suas fontes de dados associadas.

Nota

Alguns desses cenários estão em PREVIEW. Serão assim indicados.

Classificação da ameaça Cenários
Abuso de recursos computacionais
Acesso a credenciais
Coleta de credenciais
Cripto-mineração
Destruição de dados
Exfiltração de dados
Denial-of-service
Movimento lateral
Atividade administrativa maliciosa
Execução maliciosa
com processo legítimo
Malware C2 ou baixar
Persistência
Ransomware
Exploração remota
Sequestro de recursos

Próximos passos

Obtenha mais informações sobre a deteção avançada de ataques em vários estágios do Fusion:

Agora que já aprendeu mais sobre a deteção avançada de ataques em várias fases, poderá estar interessado no seguinte guia de início rápido para saber como obter visibilidade dos seus dados e potenciais ameaças: Introdução ao Microsoft Sentinel.

Se você estiver pronto para investigar os incidentes criados para você, consulte o seguinte tutorial: Investigar incidentes com o Microsoft Sentinel.