Avancerad attackidentifiering i flera steg i Microsoft Sentinel
Viktigt!
Vissa fusionsidentifieringar (se de som anges nedan) är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Microsoft Sentinel använder Fusion, en korrelationsmotor baserad på skalbara maskininlärningsalgoritmer, för att automatiskt identifiera flerstegsattacker (även kallade avancerade beständiga hot eller APT) genom att identifiera kombinationer av avvikande beteenden och misstänkta aktiviteter som observeras i olika skeden av killkedjan. På grundval av dessa upptäckter genererar Microsoft Sentinel incidenter som annars skulle vara svåra att fånga. Dessa incidenter består av två eller flera aviseringar eller aktiviteter. De här incidenterna är avsiktligt lågvolym, hög återgivning och hög allvarlighetsgrad.
Den här identifieringstekniken är anpassad för din miljö och minskar inte bara antalet falska positiva identifieringar utan kan även identifiera attacker med begränsad eller saknad information.
Eftersom Fusion korrelerar flera signaler från olika produkter för att identifiera avancerade flerstegsattacker visas lyckade fusionsidentifieringar som fusionsincidenter på sidan Microsoft Sentinel-incidenteroch inte som aviseringar, och lagras i tabellen SecurityIncident i loggar och inte i tabellen SecurityAlert.
Konfigurera fusion
Fusion är aktiverat som standard i Microsoft Sentinel, som en analysregel som kallas Avancerad identifiering av flerstegsattacker. Du kan visa och ändra status för regeln, konfigurera källsignaler som ska ingå i Fusion ML-modellen eller exkludera specifika identifieringsmönster som kanske inte är tillämpliga för din miljö från fusionsidentifiering. Lär dig hur du konfigurerar fusionsregeln.
Kommentar
Microsoft Sentinel använder för närvarande 30 dagars historiska data för att träna Fusion-motorns maskininlärningsalgoritmer. Dessa data krypteras alltid med Hjälp av Microsofts nycklar när de passerar genom maskininlärningspipelinen. Träningsdata krypteras dock inte med hjälp av kundhanterade nycklar (CMK) om du har aktiverat CMK på din Microsoft Sentinel-arbetsyta. Om du vill avanmäla dig från Fusion går du till Microsoft Sentinel>Configuration>Analytics > Active-regler, högerklickar på regeln För avancerad identifiering av flerstegsattacker och väljer Inaktivera.
I Microsoft Sentinel-arbetsytor som är registrerade på den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen inaktiveras Fusion eftersom dess funktioner ersätts av Korrelationsmotorn för Microsoft Defender XDR.
Fusion för nya hot
Viktigt!
- Fusionsbaserad identifiering för nya hot finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Volymen av säkerhetshändelser fortsätter att växa och omfattningen och sofistikeringen av attacker ökar ständigt. Vi kan definiera kända attackscenarier, men vad sägs om de nya och okända hoten i din miljö?
Microsoft Sentinels ML-baserade fusionsmotor kan hjälpa dig att hitta de nya och okända hoten i din miljö genom att tillämpa utökad ML-analys och genom att korrelera ett bredare omfång av avvikande signaler, samtidigt som varningströttheten hålls låg.
Fusionsmotorns ML-algoritmer lär sig ständigt av befintliga attacker och tillämpar analys baserat på hur säkerhetsanalytiker tänker. Den kan därför upptäcka tidigare oupptäckta hot från miljontals avvikande beteenden i hela din miljö, vilket hjälper dig att ligga steget före angriparna.
Fusion för nya hot stöder datainsamling och analys från följande källor:
- Färdiga avvikelseidentifieringar
- Aviseringar från Microsoft-produkter:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender för Cloud Apps
- Microsoft Defender för slutpunkter
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Aviseringar från schemalagda analysregler, både inbyggda och de som skapats av dina säkerhetsanalytiker. Analysregler måste innehålla kill-chain (taktik) och entitetsmappningsinformation för att kunna användas av Fusion.
Du behöver inte ha anslutit alla datakällor som anges ovan för att fusion för nya hot ska fungera. Men ju fler datakällor du har anslutit, desto bredare täckning och desto fler hot hittar Fusion.
När fusionsmotorns korrelationer resulterar i identifiering av ett framväxande hot genereras en incident med hög allvarlighetsgrad med titeln "Möjliga flerstegsattackaktiviteter som upptäckts av Fusion" i incidenttabellen på din Microsoft Sentinel-arbetsyta.
Fusion för utpressningstrojaner
Microsoft Sentinels fusionsmotor genererar en incident när den identifierar flera aviseringar av olika typer från följande datakällor och fastställer att de kan vara relaterade till utpressningstrojanaktivitet:
- Microsoft Defender för molnet
- Microsoft Defender för Endpoint
- Microsoft Defender för identitetsanslutning
- Microsoft Defender för molnet-appar
- Schemalagda analysregler för Microsoft Sentinel. Fusion tar endast hänsyn till schemalagda analysregler med taktikinformation och mappade entiteter.
Sådana Fusion-incidenter namnges Flera aviseringar som kan vara relaterade till utpressningstrojanaktivitet som identifieras och genereras när relevanta aviseringar identifieras under en viss tidsram och är associerade med körnings- och försvarsundandragandefaserna i en attack.
Microsoft Sentinel skulle till exempel generera en incident för möjliga utpressningstrojanaktiviteter om följande aviseringar utlöses på samma värd inom en viss tidsram:
| Varning | Källa | Allvarlighet |
|---|---|---|
| Windows-fel- och varningshändelser | Schemalagda analysregler för Microsoft Sentinel | Informativt |
| Utpressningstrojanen "GandCrab" förhindrades | Microsoft Defender for Cloud | medel |
| Skadlig kod för "Emotet" har identifierats | Microsoft Defender för slutpunkter | Informativt |
| "Tofsee"-bakdörren identifierades | Microsoft Defender for Cloud | Låg |
| Skadlig kod för "Parite" har identifierats | Microsoft Defender för slutpunkter | Informativt |
Scenariobaserade fusionsidentifieringar
I följande avsnitt visas de typer av scenariobaserade flerstegsattacker, grupperade efter hotklassificering, som Microsoft Sentinel identifierar med hjälp av fusionskorrelationsmotorn.
För att aktivera dessa fusionsdrivna attackidentifieringsscenarier måste deras associerade datakällor matas in på Din Log Analytics-arbetsyta. Välj länkarna i tabellen nedan för att lära dig mer om varje scenario och dess associerade datakällor.
Kommentar
Vissa av dessa scenarier finns i FÖRHANDSVERSION. De kommer att anges så.
Nästa steg
Få mer information om Fusion advanced multistage attack detection:
- Läs mer om fusionsscenariobaserade attackidentifieringar.
- Lär dig hur du konfigurerar Fusion-reglerna.
Nu när du har lärt dig mer om avancerad identifiering av flerstegsattacker kan du vara intresserad av följande snabbstart för att lära dig hur du får insyn i dina data och potentiella hot: Kom igång med Microsoft Sentinel.
Om du är redo att undersöka de incidenter som har skapats åt dig kan du läsa följande självstudie: Undersöka incidenter med Microsoft Sentinel.