你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Microsoft Sentinel 中配置多阶段攻击检测 (Fusion) 规则

重要

新版本的 Fusion 分析规则当前处于预览阶段。 请参阅 Microsoft Azure 预览版的补充使用条款，了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

注意

有关美国政府云中的功能可用性的信息，请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

Microsoft Sentinel 使用 Fusion（基于可缩放的机器学习算法的关联引擎）通过识别在不同杀伤链阶段观测到的异常行为与可疑活动的组合来自动检测多阶段攻击。 Microsoft Sentinel 根据这些发现结果生成事件，否则很难捕获这些事件。 这些事件由两个或者更多个警报或活动构成。 根据设计，这些事件具有数量少、保真度高和严重性高的特点。

此项检测技术已根据你的环境进行自定义，不仅可以减少误报率，而且还能在信息有限或缺失的情况下检测到攻击。

配置 Fusion 规则

此项检测默认已在 Microsoft Sentinel 中启用。 若要查看或更改其状态，请按照以下说明进行操作：

1. 登录到 Azure 门户并输入 Microsoft Sentinel。

2. 从 Microsoft Sentinel 导航菜单中，选择“分析”。

3. 选择“活动规则”选项卡，然后通过筛选“Fusion”规则类型列表，在“名称”列中找到“高级多阶段攻击检测” 。 检查“状态”列确认此项检测是已启用还是已禁用。

   

4. 若要更改状态，请选择此条目，然后在“高级多阶段攻击检测”预览边栏选项卡上选择“编辑” 。

5. 在“分析规则向导”的“常规”选项卡中，查看状态（启用/禁用），或者根据需要更改状态 。

   如果仅对状态进行了更改而不做其他进一步的更改，请选择“查看和更新”选项卡，然后选择“保存” 。

   若要进一步配置 Fusion 检测规则，请选择“下一步: 配置 Fusion”。

   

6. 为 Fusion 检测配置源信号：建议包含具有所有严重性级别的所有列出的源信号以获得最佳结果。 默认情况下，这些源信号已全部包含在内，但你可以通过以下方式进行更改：

   注意

   如果排除特定的源信号或警报严重性级别，那么将不会触发依赖于该源的信号或依赖于与该严重性级别匹配的警报的任何 Fusion 检测。

   • 从 Fusion 检测排除信号，包括异常、来自各种提供程序的警报和原始日志。

     用例：如果你要测试已知会生成干扰警报的特定信号源，则可以暂时关闭用于 Fusion 检测的该特定信号源的信号。

   • 为每个提供程序配置警报严重性：按照设计，Fusion ML 模型会根据来自多个数据源的杀伤链间的异常信号将低保真信号关联到单个高严重性事件。 Fusion 中包含的警报的严重性通常较低（中等、低、信息），但偶尔也会包含相关的高严重性警报。

     用例：如果你有用于会审和调查高严重性警报的单独流程并且不想在 Fusion 中包含这些警报，则可以将源信号配置为从 Fusion 检测中排除高严重性警报。

   • 从 Fusion 检测中排除特定检测模式。 某些 Fusion 检测可能不适用于你的环境，或者可能容易生成误报。 如果要排除特定 Fusion 检测模式，请按照以下说明进行操作：

     1. 找到并打开想要排除的类型的 Fusion 事件。

     2. 在“说明”部分中，选择“显示更多” 。

     3. 在“排除此特定检测模式”下，选择“排除链接”，这会将你重定向到分析规则向导中的“配置 Fusion”选项卡 。

        

     在“配置 Fusion”选项卡上，你将看到检测模式（Fusion 事件中警报和异常的组合）已添加到排除列表，以及检测模式的添加时间。

     你可以通过以下方式随时删除排除的检测模式：选择该检测模式上的垃圾桶图标。

     

     匹配排除的检测模式的事件仍将触发，但它们不会显示在你的活动事件队列中。 它们将自动填充以下值：

     • 状态：“已关闭”

     • 关闭分类：“未确定”

     • 注释：“已自动关闭，排除的 Fusion 检测模式”

     • 标记：“ExcludedFusionDetectionPattern”- 你可以查询此标记以查看与此检测模式匹配的所有事件。

       

注意

Microsoft Sentinel 目前使用 30 天的历史数据来训练机器学习系统。 此数据在通过机器学习管道时，始终会使用 Microsoft 的密钥进行加密。 但是，如果在 Microsoft Sentinel 工作区中启用了 CMK，则不会使用客户管理的密钥 (CMK) 加密训练数据。 若要选择禁用 Fusion，请导航到“Microsoft Sentinel”>“配置”>“分析”>“活动规则”，右键单击“高级多阶段攻击检测”规则，然后选择“禁用”。

为 Fusion 检测配置计划分析规则

重要

• 使用分析规则警报的基于 Fusion 的检测目前以预览版提供。 请参阅 Microsoft Azure 预览版的补充使用条款，了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Fusion 可以使用计划分析规则生成的警报来检测基于场景的多阶段攻击和新兴威胁。 建议执行以下步骤来配置并启用这些规则，以充分利用 Microsoft Sentinel 的 Fusion 功能。

1. 针对新兴威胁的 Fusion 可以使用任何计划分析规则生成的警报，这些规则包括内置规则和你的安全分析师创建的规则，其中包含杀伤链（策略）和实体映射信息。 确保 Fusion 可使用分析规则的输出来检测新兴威胁：

   • 查看这些计划规则的实体映射。 使用实体映射配置部分将查询结果中的参数映射到 Microsoft Sentinel 识别的实体。 由于 Fusion 基于实体（例如用户帐户或 IP 地址）关联警报，因此其 ML 算法在没有实体信息的情况下无法执行警报匹配 。

   • 请查看分析规则详细信息中的“策略和技术”。 Fusion ML 算法使用 MITRE ATT&CK 信息来检测多阶段攻击，用于标记分析规则的策略和技术将显示在生成的事件中。 如果传入的警报缺少策略信息，Fusion 计算可能会受到影响。

2. 融合还可以使用基于以下计划分析规则模板的规则检测基于场景的威胁。

   若要在“分析”边栏选项卡中启用可用作模板的查询，请转到“规则模板”选项卡，在模板库中选择规则名称，然后单击详细信息窗格中的“创建规则”。

   • Cisco - 被防火墙阻止但已成功登录到 Microsoft Entra ID
   • Fortinet - 检测到信标模式
   • 多次无法登录到 Microsoft Entra 的 IP 成功登录到 Palo Alto VPN
   • 用户多次重置密码
   • 罕见的应用程序同意
   • 通过以前未曾看到过的 IP 运行 SharePointFileOperation
   • 可疑的资源部署
   • 来自异常 IP 地址的 Palo Alto 威胁签名

   若要添加当前无法作为规则模板使用的查询，请参阅从头开始创建自定义分析规则。

   • 出现了以往未曾出现过的新管理员帐户活动

   有关详细信息，请参阅使用计划分析规则的融合高级多阶段攻击检测场景。

   注意

   对于 Fusion 使用的计划分析规则集，ML 算法将对模板中提供的 KQL 查询执行模糊匹配。 重命名模板不会影响 Fusion 检测。

后续步骤

详细了解 中的 Fusion 检测。

了解有关许多基于场景的 Fusion 检测的详细信息。

现在你已详细了解高级多阶段攻击检测，接下来你可能有兴趣查看以下快速入门以了解如何洞察数据和潜在威胁：Microsoft Sentinel 入门。

如果你已准备好调查系统为你创建的事件，请参阅教程：使用 Microsoft Sentinel 调查事件。