Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Пользовательские обнаружения теперь являются лучшим способом создания новых правил в Microsoft Sentinel SIEM, Microsoft Defender XDR. Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружений в режиме реального времени и воспользоваться преимуществами простой интеграции с данными Defender XDR, функциями и мерами по устранению за счёт автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.
Microsoft Sentinel использует Fusion, подсистему корреляции на основе масштабируемых алгоритмов машинного обучения, для автоматического обнаружения многоэтапных атак (также называются постоянными серьезными угрозами, или APT) путем выявления сочетаний аномального поведения и подозрительных действий, наблюдаемых на различных этапах цепочки нарушения безопасности. На основе этих открытий Microsoft Sentinel создает инциденты, которые в противном случае будет трудно поймать. Эти инциденты состоят из двух или большего количества оповещений или действий. По замыслу, эти инциденты малочисленны, обладают высокой точностью и имеют высокую степень серьезности.
Эта технология обнаружения, настроенная для вашей среды, не только сокращает количество ложных положительных срабатываний, но и позволяет обнаруживать атаки при ограниченном объеме информации о них или при ее отсутствии.
Так как Fusion сопоставляет несколько сигналов, поступающих от различных продуктов, для обнаружения расширенных многоэтапных атак, успешно выполненные Fusion обнаружения представляются как инциденты Fusion на странице Инциденты в Microsoft Sentinel, а не как оповещения, и хранятся в таблице SecurityIncident в разделе Журналы, а не в таблице SecurityAlert.
Настройка Fusion
Подсистема Fusion включена по умолчанию в Microsoft Sentinel в виде правила аналитики с именем Обнаружение расширенных многоэтапных атак. Вы можете просматривать и изменять состояние правила, настраивать сигналы источников для включения в модель машинного обучения Fusion или исключать из обнаружений Fusion определенные шаблоны обнаружения, которые могут не применяться к вашей среде. Узнайте, как настроить правило Fusion.
Примечание.
В настоящее время на обучение алгоритмов машинного обучения подсистемы Fusion решению Microsoft Sentinel требуются исторические данных за период 30 дней. Эти данные всегда шифруются с помощью ключей корпорации Майкрософт по мере их прохождения через процесс машинного обучения. Но данные обучения не шифруются с помощью ключей, управляемых клиентом (CMK), даже если вы включили использование CMK в рабочей области Microsoft Sentinel. Чтобы отказаться от использования Fusion, перейдите к разделу Microsoft Sentinel>Настройка>Аналитика > Активные правила, щелкните правой кнопкой мыши правило Расширенное обнаружение многоэтапных атак и выберите Отключить.
Для рабочих областей Microsoft Sentinel, подключенных к порталу Microsoft Defender, Fusion отключен. Его функциональные возможности заменяются подсистемой корреляции XDR в Microsoft Defender.
Слияние для новых угроз
Внимание
Указанные обнаружения Fusion в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Настройка Fusion
Подсистема Fusion включена по умолчанию в Microsoft Sentinel в виде правила аналитики с именем Обнаружение расширенных многоэтапных атак. Вы можете просмотреть и изменить состояние правила, настроить исходные сигналы для включения в модель Fusion ML или исключить определенные шаблоны обнаружения, которые могут не применяться к вашей среде из обнаружения Fusion. Узнайте, как настроить правило Fusion.
Вы можете отказаться от Fusion, если вы включили ключи, управляемые клиентом (CMK) в рабочей области. Microsoft Sentinel в настоящее время использует 30 дней исторических данных для обучения алгоритмов машинного обучения подсистемы Fusion, и эти данные всегда шифруются с помощью ключей Майкрософт, как он проходит через конвейер машинного обучения. Однако обучающие данные не шифруются с помощью CMK. Чтобы отказаться от Fusion, отключите в Microsoft Sentinel аналитическое правило Обнаружение многоэтапных атак Advanced. Дополнительные сведения см. в разделе "Настройка правил Fusion".
Fusion отключен при подключении Microsoft Sentinel к порталу Defender. Вместо этого при работе на портале Defender функции, предоставляемые Fusion, заменяются подсистемой корреляции XDR в Microsoft Defender.
Fusion для противодействия новым угрозам (Предварительная версия)
Объем событий безопасности продолжит расти, а охват и сложность атак постоянно увеличиваются. Мы можем определить известные сценарии атак, но как насчет новых и неизвестных угроз в вашей среде?
Подсистема Fusion на основе машинного обучения в Microsoft Sentinel позволяет находить новые и неизвестные угрозы в среде, применяя расширенный анализ на базе машинного обучения, вычисляя более широкую область аномальных сигналов и при этом сохраняя низкий объем оповещений.
Алгоритмы машинного обучения подсистемы Fusion постоянно обучаются на основе существующих атак и применяют аналитику на основе выводов аналитиков безопасности. Таким образом, она может обнаружить ранее необнаруженные угрозы из миллионов примеров аномального поведения в цепочке уничтожения в вашей среде, что позволяет вам быть на шаг впереди злоумышленников.
Fusion для развивающихся угроз поддерживает сбор и анализ данных из следующих источников:
Оповещения из службы Майкрософт:
- Защита идентификации Microsoft Entra
- Microsoft Defender для облака
- Microsoft Defender для Интернета вещей
- Microsoft Defender XDR
- Microsoft Defender для облачных приложений
- Защитник Майкрософт для конечных точек
- Microsoft Defender для идентичности
- Microsoft Defender для Office 365;
Оповещения из правил запланированной аналитики. Правила аналитики должны содержать сведения о сопоставлении сущностей и цепочке действий (тактики), чтобы их можно было использовать в Fusion.
Вам не нужно подключать все перечисленные выше источники данных, чтобы Fusion работал с новыми угрозами. Но чем больше источников данных подключено, тем шире покрытие и тем больше угроз обнаружит Fusion.
Когда корреляции подсистемы Fusion приводят к обнаружению новой угрозы, Microsoft Sentinel создает инцидент высокой серьезности под названием Возможные многоступенчатые атаки, обнаруженные Fusion.
Fusion для программ-шантажистов
Подсистема Fusion Microsoft Sentinel создает инцидент, когда обнаруживает несколько оповещений различных типов из следующих источников данных и определяет, что они могут быть связаны с действием программ-шантажистов:
- Microsoft Defender для облака
- Microsoft Defender для конечных устройств
- соединитель Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Запланированные правила аналитики в Microsoft Sentinel. Fusion учитывает только запланированные правила аналитики с информацией о тактике и сопоставленными сущностями.
Такие инциденты Fusion называются Несколько предупреждений, которые могут быть связаны с обнаруженной активностью программ-шантажистов, создаются при обнаружении соответствующих оповещений за определенный период времени и связаны с этапами атаки Выполнение и Обход защиты.
Например, Microsoft Sentinel создает инцидент для возможной активности программ-шантажистов, если на одном узле за определенный период времени активируются следующие оповещения:
| Предупреждение | Источник | Серьезность |
|---|---|---|
| События ошибок и предупреждений Windows | Запланированные правила аналитики в Microsoft Sentinel | информационный |
| Программа-вымогатель GandCrab была предотвращена | Microsoft Defender для облака | Средний |
| Обнаружена вредоносная программа Emotet | Защитник Майкрософт для конечных точек | информационный |
| Обнаружена вредоносная программа Tofsee | Microsoft Defender для облака | Низкий |
| Обнаружена вредоносная программа Parite | Защитник Майкрософт для конечных точек | информационный |
Обнаружения Fusion на основе сценариев
В следующем разделе приведены типы многоступенчатых атак на основе сценариев, сгруппированные по классификации угроз, которые Microsoft Sentinel обнаруживает с помощью механизма корреляции Fusion.
Чтобы включить сценарии обнаружения атак на основе технологии Fusion, необходимо, чтобы их связанные источники данных были интегрированы в рабочую область Log Analytics. Выберите ссылки в таблице ниже, чтобы узнать о каждом сценарии и связанных с ним источниках данных.
Связанный контент
Дополнительные сведения см. в разделе: