Avancerad attackidentifiering i flera steg i Microsoft Sentinel

Microsoft Sentinel använder Fusion, en korrelationsmotor baserad på skalbara maskininlärningsalgoritmer, för att automatiskt identifiera flerstegsattacker (även kallade avancerade beständiga hot eller APT) genom att identifiera kombinationer av avvikande beteenden och misstänkta aktiviteter som observeras i olika skeden av killkedjan. Baserat på dessa identifieringar genererar Microsoft Sentinel incidenter som annars skulle vara svåra att fånga. Dessa incidenter består av två eller flera aviseringar eller aktiviteter. De här incidenterna är avsiktligt lågvolym, hög återgivning och hög allvarlighetsgrad.

Den här identifieringstekniken är anpassad för din miljö och minskar inte bara antalet falska positiva identifieringar utan kan även identifiera attacker med begränsad eller saknad information.

Eftersom Fusion korrelerar flera signaler från olika produkter för att identifiera avancerade flerstegsattacker visas lyckade fusionsidentifieringar som fusionsincidenter på sidan Microsoft Sentinel-incidenter och inte som aviseringar, och lagras i tabellen SecurityIncident i loggar och inte i tabellen SecurityAlert .

Konfigurera fusion

Fusion är aktiverat som standard i Microsoft Sentinel, som en analysregel som kallas Avancerad identifiering av flerstegsattacker. Du kan visa och ändra status för regeln, konfigurera källsignaler som ska ingå i Fusion ML-modellen eller exkludera specifika identifieringsmönster som kanske inte är tillämpliga för din miljö från fusionsidentifiering. Lär dig hur du konfigurerar fusionsregeln.

Kommentar

Microsoft Sentinel använder för närvarande 30 dagars historiska data för att träna Fusion-motorns maskininlärningsalgoritmer. Dessa data krypteras alltid med Hjälp av Microsofts nycklar när de passerar genom maskininlärningspipelinen. Träningsdata krypteras dock inte med Customer-Managed Keys (CMK) om du har aktiverat CMK i din Microsoft Sentinel-arbetsyta. Om du vill avanmäla dig från Fusion går du till Microsoft Sentinel>Configuration>Analytics > Active-regler, högerklickar på regeln För avancerad identifiering av flerstegsattacker och väljer Inaktivera.

För Microsoft Sentinel-arbetsytor som är registrerade på Microsoft Defender-portalen inaktiveras Fusion. Dess funktioner ersätts av Microsoft Defender XDR-korrelationsmotorn.

Fusion för nya hot

Viktigt!

Markerade fusionsdetekteringar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinel är allmänt tillgängligt i Microsoft Defender-portalen, inklusive för kunder utan Microsoft Defender XDR eller en E5-licens. Från och med juli 2026 kommer Microsoft Sentinel endast att stödjas i Defender-portalen och eventuella återstående kunder som använder Azure-portalen omdirigeras automatiskt. Vi rekommenderar att alla kunder som använder Microsoft Sentinel i Azure börjar planera övergången till Defender-portalen för den fullständiga enhetliga säkerhetsåtgärdsupplevelsen som erbjuds av Microsoft Defender. Mer information finns i Planera din flytt till Microsoft Defender-portalen för alla Microsoft Sentinel-kunder (blogg).

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Konfigurera fusion

Fusion är aktiverat som standard i Microsoft Sentinel, som en analysregel som kallas Avancerad identifiering av flerstegsattacker. Du kan visa och ändra status för regeln, konfigurera källsignaler som ska ingå i Fusion ML-modellen eller exkludera specifika identifieringsmönster som kanske inte är tillämpliga för din miljö från Fusion-identifiering. Lär dig hur du konfigurerar fusionsregeln.

Du kanske vill avregistrera dig från Fusion om du har aktiverat Customer-Managed Nycklar (CMK) på din arbetsyta. Microsoft Sentinel använder för närvarande 30 dagars historiska data för att träna Fusion-motorns maskininlärningsalgoritmer, och dessa data krypteras alltid med Hjälp av Microsofts nycklar när de passerar genom maskininlärningspipelinen. Träningsdata krypteras dock inte med hjälp av CMK. Om du vill avanmäla dig från Fusion inaktiverar du analysregeln för avancerad attackidentifiering i Microsoft Sentinel. Mer information finns i Konfigurera fusionsregler.

Fusion inaktiveras när Microsoft Sentinel registreras i Defender-portalen. När du arbetar i Defender-portalen ersätts i stället funktioner som tillhandahålls av Fusion av Korrelationsmotorn Microsoft Defender XDR.

Fusion för nya hot (förhandsversion)

Volymen av säkerhetshändelser fortsätter att växa och omfattningen och sofistikeringen av attacker ökar ständigt. Vi kan definiera kända attackscenarier, men vad sägs om de nya och okända hoten i din miljö?

Microsoft Sentinels ML-baserade fusionsmotor kan hjälpa dig att hitta de nya och okända hoten i din miljö genom att tillämpa utökad ML-analys och genom att korrelera ett bredare omfång av avvikande signaler, samtidigt som varningströttheten hålls låg.

Fusionsmotorns ML-algoritmer lär sig ständigt av befintliga attacker och tillämpar analys baserat på hur säkerhetsanalytiker tänker. Den kan därför upptäcka tidigare oupptäckta hot från miljontals avvikande beteenden i hela din miljö, vilket hjälper dig att ligga steget före angriparna.

Fusion för nya hot stöder datainsamling och analys från följande källor:

• Förkonfigurerade avvikelsedetektioner

• Aviseringar från Microsoft-tjänster:

  • Microsoft Entra ID-skydd
  • Microsoft Defender för molnet
  • Microsoft Defender för IoT
  • Microsoft Defender XDR
  • Microsoft Defender för Cloud-appar
  • Microsoft Defender för slutpunkter
  • Microsoft Defender för identitet
  • Microsoft Defender för Office 365

• Aviseringar från schemalagda analysregler. Analysregler måste innehålla kill-chain (taktik) och information om entitetsmappning för att kunna användas av Fusion.

Du behöver inte ha anslutit alla datakällor som anges ovan för att fusion för nya hot ska fungera. Men ju fler datakällor du har anslutit, desto bredare täckning och desto fler hot hittar Fusion.

När fusionsmotorns korrelationer resulterar i identifiering av ett framväxande hot genererar Microsoft Sentinel en incident med hög allvarlighetsgrad med titeln Möjliga flerstegsattacker som identifierats av Fusion.

Fusion för utpressningstrojaner

Microsoft Sentinels Fusion-motor genererar en incident när den identifierar flera aviseringar av olika typer från följande datakällor och fastställer att de kan vara relaterade till utpressningstrojanaktivitet:

• Microsoft Defender för molnet
• Microsoft Defender för Endpoint
• Microsoft Defender för identitetsanslutning
• Microsoft Defender för Molnappar
• Schemalagda analysregler för Microsoft Sentinel. Fusion tar endast hänsyn till schemalagda analysregler med taktikinformation och mappade entiteter.

Sådana Fusion-incidenter kallas Flera aviseringar som möjligen är relaterade till Ransomware-aktivitet upptäckt och genereras när relevanta aviseringar upptäcks under en specifik tidsram och är kopplade till attackens körning och försvarsundandragande.

Microsoft Sentinel skulle till exempel generera en incident för möjliga utpressningstrojanaktiviteter om följande aviseringar utlöses på samma värd inom en viss tidsram:

Varning	Källa	Allvarlighet
Windows-fel- och varningshändelser	Schemalagda analysregler för Microsoft Sentinel	Informativt
Utpressningstrojanen "GandCrab" förhindrades	Microsoft Defender för molnet	medel
Skadlig kod för "Emotet" har identifierats	Microsoft Defender för slutpunkter	Informativt
"Tofsee"-bakdörren identifierades	Microsoft Defender för molnet	Låg
Skadlig kod för "Parite" har identifierats	Microsoft Defender för slutpunkter	Informativt

Scenariobaserade fusionsidentifieringar

I följande avsnitt visas de typer av scenariobaserade flerstegsattacker, grupperade efter hotklassificering, som Microsoft Sentinel identifierar med hjälp av fusionskorrelationsmotorn.

För att aktivera dessa fusionsdrivna attackidentifieringsscenarier måste deras associerade datakällor matas in på Din Log Analytics-arbetsyta. Välj länkarna i tabellen nedan för att lära dig mer om varje scenario och dess associerade datakällor.

Hotklassificering	Scenarier
Missbruk av beräkningsresurser	(FÖRHANDSVERSION) Flera aktiviteter för skapande av virtuella maskiner efter misstänkt Microsoft Entra-inloggning
Åtkomst till autentiseringsuppgifter	(FÖRHANDSVERSION) Flera lösenord återställs av användaren efter misstänkt inloggning (FÖRHANDSVERSION) Misstänkt inloggning sammanfaller med lyckad inloggning till Palo Alto VPN efter IP med flera misslyckade Microsoft Entra-inloggningar
Insamling av autentiseringsuppgifter	Körning av skadligt verktyg för stöld av autentiseringsuppgifter efter misstänkt inloggning Misstänkt stöld av autentiseringsuppgifter efter misstänkt inloggning
Kryptoutvinning	Kryptoutvinningsaktivitet efter misstänkt inloggning
Dataförstörelse	Massfilborttagning efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Borttagning av massfiler efter en lyckad inloggning till Microsoft Entra från IP-adress blockerad av en Cisco-brandväggsinstallation (FÖRHANDSVERSION) Massfilborttagning efter lyckad inloggning till Palo Alto VPN efter IP med flera misslyckade Microsoft Entra-inloggningar (FÖRHANDSVERSION) Misstänkt e-postborttagningsaktivitet efter misstänkt Microsoft Entra-inloggning
Dataexfiltrering	(FÖRHANDSVERSION) Vidarebefordran av e-post efter ny administratörskontoaktivitet som inte har observerats nyligen Massladdning av filer efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Massnedladdning av filer efter lyckad Microsoft Entra-inloggning från IP-adress blockerad av en Cisco-brandväggsinstallation (FÖRHANDSVERSION) Massfilnedladdning som sammanföll med SharePoint-filåtgärd från tidigare osedda IP-adresser Massdelning av filer efter misstänkt inloggning i Microsoft Entra (FÖRHANDSVERSION) Flera Power BI-rapportdelningsaktiviteter efter misstänkt Microsoft Entra-inloggning Utfiltrering av Office 365-postlåda efter en misstänkt Microsoft Entra-inloggning (PREVIEW) SharePoint-filaktivitet från tidigare osedda IP-adresser efter upptäckt av skadlig kod (FÖRHANDSVERSION) Regler för misstänkt inkorgsmanipulering har angetts efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Misstänkt Power BI-rapportdelning efter misstänkt Microsoft Entra-inloggning
Denial of Service	(FÖRHANDSVERSION) Flera aktiviteter för borttagning av virtuella datorer efter misstänkt Microsoft Entra-inloggning
Lateral förflyttning	Office 365-personifiering i samband med misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Regler för misstänkt inkorgsmanipulering har angetts efter misstänkt Microsoft Entra-inloggning
Skadlig administrativ aktivitet	Misstänkt administrativ aktivitet för molnappar efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Vidarebefordran av e-post efter ny administratörskontoaktivitet som inte har observerats nyligen
Skadlig körning med legitim process	(FÖRHANDSVERSION) PowerShell gjorde en misstänkt nätverksanslutning, följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen (FÖRHANDSVERSION) Misstänkt fjärr-WMI-körning följd av avvikande trafik som flaggas av Palo Alto Networks-brandväggen Misstänkt PowerShell-kommandorad efter misstänkt inloggning
C2 eller nedladdning av skadlig kod	(FÖRHANDSVERSION) Beacon-mönster som identifierats av Fortinet efter flera misslyckade användarinloggningar till en tjänst (FÖRHANDSVERSION) Beacon-mönster upptäckt av Fortinet efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Nätverksbegäran till TOR-anonymiseringstjänsten följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen (FÖRHANDSVERSION) Utgående anslutning till IP med en historik över obehöriga åtkomstförsök följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen
Ståndaktighet	(FÖRHANDSVERSION) Sällsynt ansökningssamtycke efter misstänkt inloggning
Utpressningstrojan	Ransomware-körning efter misstänkt Microsoft Entra-inloggning
Fjärrexploatering	(FÖRHANDSVERSION) Misstänkt användning av attackramverk följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen
Resurskapning	(FÖRHANDSVERSION) Misstänkt resurs-/resursgruppsdistribution av en tidigare osedda uppringare efterföljande misstänkt Microsoft Entra-inloggning

Relaterat innehåll

Mer information finns i:

• Scenarier som identifierats av Microsoft Sentinel Fusion-motorn
• Konfigurera regler för identifiering av flerstegsattacker (Fusion) i Microsoft Sentinel