你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 中的高级多阶段攻击检测
重要
某些 Fusion 检测(如下文所示)目前为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
注意
有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。
Microsoft Sentinel 使用 Fusion(即基于可缩放的机器学习算法的关联引擎),通过识别在不同终止链阶段观测到的异常行为与可疑活动的组合,来自动检测多阶段攻击(也称为高级持久威胁或 APT)。 Microsoft Sentinel 根据这些发现结果生成事件,否则很难捕获这些事件。 这些事件由两个或者更多个警报或活动构成。 根据设计,这些事件具有数量少、保真度高和严重性高的特点。
此项检测技术已根据你的环境进行自定义,不仅可以减少误报率,而且还能在信息有限或缺失的情况下检测到攻击。
由于 Fusion 会将来自各种产品的多个信号进行关联来检测高级多阶段攻击,因此成功的 Fusion 检测将在 Microsoft Sentinel 的“事件”页上显示为“Fusion 事件”(而不是“警报”),并存储在“日志”的“SecurityIncident”表(而不是“SecurityAlert”表)中。
配置 Fusion
默认情况下,在 Microsoft Sentinel 中启用 Fusion,作为名为“高级多阶段攻击检测”的分析规则。 可以查看和更改规则的状态,配置要包含在 Fusion ML 模型中的源信号,或从 Fusion 检测中排除可能不适用于你环境的特定检测模式。 了解如何配置 Fusion 规则。
注意
Microsoft Sentinel 目前使用 30 天的历史数据来训练 Fusion 引擎的机器学习算法。 此数据在通过机器学习管道时,始终会使用 Microsoft 的密钥进行加密。 但是,如果在 Microsoft Sentinel 工作区中启用了 CMK,则不会使用客户管理的密钥 (CMK) 加密训练数据。 若要选择禁用 Fusion,请导航到“Microsoft Sentinel”>“配置”>“分析”>“活动规则”,右键单击“高级多阶段攻击检测”规则,然后选择“禁用”。
在加入到 Microsoft Defender 门户中统一安全运营平台的 Microsoft Sentinel 工作区中,Fusion 已禁用,因为其功能已被 Microsoft Defender XDR 关联引擎取代。
新兴威胁的 Fusion
重要
- 新兴威胁的基于 Fusion 的检测目前以预览版提供。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
安全事件的数量不断增加,攻击的范围和复杂性也在不断增加。 我们可以定义已知的攻击方案,但如何定义你环境中的新兴威胁和未知威胁?
Microsoft Sentinel 的 ML 支持的 Fusion 引擎可以通过应用扩展的 ML 分析并关联更广泛的异常信号范围,同时减少警报疲劳,来帮助你发现环境中的新兴威胁和未知威胁。
Fusion 引擎的 ML 算法会不断了解现有攻击,并根据安全分析师的想法应用分析。 因此,它可以在整个环境的终止链中发现以前未检测到的、数百万个异常行为的威胁,这可帮助你比攻击者先行一步。
新兴威胁的 Fusion 支持从以下源进行数据收集和分析:
- 开箱即用异常检测
- 来自 Microsoft 产品的警报:
- Microsoft Entra ID 保护
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- 用于终结点的 Microsoft Defender
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- 来自计划分析规则的警报,即内置警报和由安全分析师创建的警报。 分析规则必须包含终止链(策略)和实体映射信息,才能由 Fusion 使用。
无需连接上面列出的所有数据源即可使新兴威胁的 Fusion 正常工作。 但是,所连接的数据源越多,涵盖范围就越广,Fusion 发现的威胁就越多。
当 Fusion 引擎的关联导致检测到新兴威胁时,会在 Microsoft Sentinel 工作区的“事件”表中生成标题为“Fusion 检测到可能存在多阶段攻击活动”的高严重性事件。
勒索软件的 Fusion
Microsoft Sentinel 的 Fusion 引擎从以下数据源检测到多个不同类型的警报,并确定这些警报可能与勒索软件活动相关时,则会生成事件:
- Microsoft Defender for Cloud
- 用于终结点的 Microsoft Defender
- Microsoft Defender for Identity 连接器
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel 计划分析规则。 Fusion 仅考虑包含策略信息和映射实体的计划分析规则。
此类 Fusion 事件命名为“多个警报可能与检测到的勒索软件活动相关”,这些事件在特定时间范围内检测到相关警报时生成,并与攻击的“执行”和“防御规避”阶段相关联。
例如,如果在特定时间范围内在同一主机上触发以下警报,则 Microsoft Sentinel 会为可能的勒索软件活动生成事件:
| 警报 | 源 | severity |
|---|---|---|
| Windows 错误和警告事件 | Microsoft Sentinel 计划分析规则 | informational |
| “GandCrab”勒索软件已被阻止 | Microsoft Defender for Cloud | 中 |
| 检测到“Emotet”恶意软件 | 用于终结点的 Microsoft Defender | informational |
| 检测到“Tofsee”后门程序 | Microsoft Defender for Cloud | low |
| 检测到“Parite”恶意软件 | 用于终结点的 Microsoft Defender | informational |
基于方案的 Fusion 检测
以下部分列出了 Microsoft Sentinel 使用 Fusion 关联引擎检测到的基于方案的多阶段攻击的类型(按威胁分类分组)。
为了启用这些 Fusion 支持的攻击检测方案,必须将其关联的数据源引入到 Log Analytics 工作区。 选择下表中的链接可了解每个方案及其关联的数据源。
注意
其中一些方案目前为预览版。 它们都带有这样的标示。
| 威胁分类 | 方案 |
|---|---|
| 计算资源滥用 | |
| 凭据访问 | |
| 凭据搜集 | |
| 加密货币挖矿 | |
| 数据销毁 | |
| 数据泄露 |
|
| 拒绝服务 | |
| 横向移动 | |
| 恶意管理活动 | |
| 恶意执行 执行恶意活动 |
|
| 恶意软件 C2 或下载 | |
| 持久性 |
|
| 勒索软件 | |
| 远程恶意利用 | |
| 资源劫持 | |
后续步骤
获取有关 Fusion 高级多阶段攻击检测的详细信息:
- 了解有关基于 Fusion 方案的攻击检测的详细信息。
- 了解如何配置 Fusion 规则。
现在你已详细了解高级多阶段攻击检测,接下来你可能有兴趣查看以下快速入门以了解如何洞察数据和潜在威胁:Microsoft Sentinel 入门。
如果你已准备好调查系统为你创建的事件,请参阅教程:使用 Microsoft Sentinel 调查事件。