Microsoft Sentinel 中的高级多阶段攻击检测

重要

自定义检测现在是跨 Microsoft Sentinel SIEM Microsoft Defender XDR 创建新规则的最佳方式。 使用自定义检测，可以降低引入成本，获得无限的实时检测，并通过自动实体映射与Defender XDR数据、函数和修正操作的无缝集成受益。 有关详细信息，请阅读 此博客。

Microsoft Sentinel使用 Fusion（一种基于可缩放机器学习算法的关联引擎），通过识别在终止链的各个阶段观察到的异常行为和可疑活动的组合，自动检测多阶段攻击 (也称为高级持久性威胁或 APT) 。 根据这些发现，Microsoft Sentinel会生成本来难以捕获的事件。 这些事件由两个或多个警报或活动组成。 根据设计，这些事件是低容量、高保真和高严重性。

此检测技术针对你的环境进行自定义，不仅可以降低 误报 率，还可以检测信息有限或缺失的攻击。

由于 Fusion 关联来自各种产品的多个信号来检测高级多阶段攻击，因此成功的 Fusion 检测在“Microsoft Sentinel事件”页上显示为 Fusion 事件，而不是警报，并且存储在“日志”的 SecurityIncident 表中，而不是存储在 SecurityAlert 表中。

配置 Fusion

默认情况下，fusion 在 Microsoft Sentinel 中处于启用状态，这是一种称为“高级多阶段攻击检测”的分析规则。 可以查看和更改规则的状态，将源信号配置为包含在 Fusion ML 模型中，或者从 Fusion 检测中排除可能不适用于环境的特定检测模式。 了解如何 配置 Fusion 规则。

注意

Microsoft Sentinel当前使用 30 天的历史数据来训练 Fusion 引擎的机器学习算法。 此数据在通过机器学习管道时始终使用Microsoft的密钥进行加密。 但是，如果在Microsoft Sentinel工作区中启用了 CMK，则不会使用客户管理的密钥 (CMK) 加密训练数据。 若要选择退出 Fusion，请导航到“>Microsoft Sentinel配置>分析>活动规则”，右键单击“高级多阶段攻击检测”规则，然后选择“禁用”。

对于载入到 Microsoft Defender 门户的Microsoft Sentinel工作区，将禁用 Fusion。 其功能将替换为Microsoft Defender XDR关联引擎。

针对新兴威胁的融合

重要

指示的 Fusion 检测当前为 预览版。 请参阅Microsoft Azure预览版的补充使用条款，了解适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。

2027 年 3 月 31 日之后，Azure 门户将不再支持Microsoft Sentinel，并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户，并且仅在 Defender 门户中使用Microsoft Sentinel。 从 2025 年 7 月开始，许多新客户 会自动加入并重定向到 Defender 门户。

如果仍在Azure 门户中使用Microsoft Sentinel，建议开始规划到 Defender 门户的转换，以确保平稳过渡，并充分利用 Microsoft Defender 提供的统一安全操作体验。 有关详细信息，请参阅是时候移动了：为提高安全性而停用Microsoft Sentinel Azure 门户。

注意

有关美国政府云中功能可用性的信息，请参阅美国政府客户的云功能可用性中的Microsoft Sentinel表。

配置 Fusion

默认情况下，fusion 在 Microsoft Sentinel 中处于启用状态，这是一种称为“高级多阶段攻击检测”的分析规则。 可以查看和更改规则的状态，将源信号配置为包含在 Fusion ML 模型中，或者从 Fusion 检测中排除可能不适用于环境的特定检测模式。 了解如何 配置 Fusion 规则。

如果在工作区中启用了 客户管理的密钥 (CMK) ，则可能需要选择退出 Fusion。 Microsoft Sentinel当前使用 30 天的历史数据来训练 Fusion 引擎的机器学习算法，并且这些数据在通过机器学习管道时始终使用Microsoft的密钥进行加密。 但是，训练数据不是使用 CMK 加密的。 若要选择退出 Fusion，请在 Microsoft Sentinel 中禁用高级多阶段攻击检测分析规则。 有关详细信息，请参阅 配置 Fusion 规则。

Microsoft Sentinel载入到 Defender 门户时，将禁用 Fusion。 相反，在 Defender 门户中工作时，Fusion 提供的功能将替换为Microsoft Defender XDR关联引擎。

针对新出现威胁 (预览版) 的融合

安全事件的数量不断增加，攻击的范围和复杂程度也在不断增加。 我们可以定义已知的攻击方案，但环境中出现的和未知的威胁又如何呢？

Microsoft Sentinel的 ML 驱动的 Fusion 引擎可以通过应用扩展的 ML 分析并关联更广泛的异常信号范围，同时降低警报疲劳，从而帮助你找到环境中出现的未知威胁。

Fusion 引擎的 ML 算法不断从现有攻击中学习，并根据安全分析师的思维方式应用分析。 因此，它可以发现以前未检测到的威胁，这些威胁来自整个环境的杀伤链中的数百万种异常行为，从而帮助你领先攻击者一步。

针对新兴威胁的 Fusion 支持从以下来源收集和分析数据：

• 开箱即用的异常情况检测

• 来自Microsoft服务的警报：

  • Microsoft Entra ID 保护
  • Microsoft Defender for Cloud
  • 适用于 IoT 的 Microsoft Defender
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365

• 来自计划分析规则的警报。 分析规则 必须包含杀伤链 (策略) 和实体映射信息，以便由 Fusion 使用。

无需连接上面列出的所有数据源即可使 Fusion 能够应对新出现的威胁。 但是，连接的数据源越多，覆盖范围就越广，Fusion 会发现的威胁就越多。

当 Fusion 引擎的关联导致检测到新出现的威胁时，Microsoft Sentinel会生成名为 Fusion 检测到的可能多阶段攻击活动的严重性高事件。

勒索软件的 Fusion

Microsoft Sentinel的 Fusion 引擎在从以下数据源检测到多个不同类型的警报时生成事件，并确定这些警报可能与勒索软件活动相关：

• Microsoft Defender for Cloud
• Microsoft Defender for Endpoint
• Microsoft Defender for Identity连接器
• Microsoft Defender for Cloud Apps
• Microsoft Sentinel计划的分析规则。 Fusion 仅考虑具有策略信息和映射实体的计划分析规则。

此类 Fusion 事件名为“ 检测到可能与勒索软件活动相关的多个警报”，并在特定时间范围内检测到相关警报时生成，并与攻击 的执行 和 防御逃避 阶段相关联。

例如，如果在特定时间范围内在同一主机上触发以下警报，Microsoft Sentinel将针对可能的勒索软件活动生成事件：

通知	源	Severity
Windows 错误和警告事件	Microsoft Sentinel计划分析规则	信息
“GandCrab”勒索软件被阻止	Microsoft Defender for Cloud	中等
检测到“Emotet”恶意软件	Microsoft Defender for Endpoint	信息
检测到“Tofsee”后门	Microsoft Defender for Cloud	低
检测到“Parite”恶意软件	Microsoft Defender for Endpoint	信息

基于方案的融合检测

以下部分列出了Microsoft Sentinel使用 Fusion 关联引擎检测的基于方案的多阶段攻击的类型（按威胁分类分组）。

为了启用这些 Fusion 驱动的攻击检测方案，必须将它们的关联数据源引入到 Log Analytics 工作区。 选择下表中的链接，了解每个方案及其关联的数据源。

威胁分类	应用场景
计算资源滥用	(预览版) 可疑Microsoft Entra登录后的多个 VM 创建活动
凭据访问	(预览版) 用户在可疑登录 后 重置多个密码 (预览版) 与成功登录到 Palo Alto VPN 时 进行可疑登录 通过多个失败Microsoft Entra登录的 IP
凭据收集	可疑登录 后 执行恶意凭据盗窃工具 可疑登录 后 可疑凭据盗窃活动
Crypto-mining	可疑登录 后的 加密挖掘活动
数据销毁	可疑Microsoft Entra登录后批量删除文件 成功Microsoft Entra登录后， (预览版) 批量文件删除 Cisco 防火墙设备阻止的 IP 成功登录到 Palo Alto VPN 后， (PREVIEW) 批量文件删除 通过多个失败Microsoft Entra登录的 IP (预览版) 可疑登录后 Microsoft Entra的电子邮件删除活动
数据外泄	(预览版) 最近未出现的新管理员帐户活动 后 的邮件转发活动 可疑Microsoft Entra登录后下载批量文件 成功Microsoft Entra登录后， (预览版) 批量文件下载 Cisco 防火墙设备阻止的 IP (预览版) 批量文件下载与以前未看到的 IP 中的 SharePoint 文件操作一致 可疑Microsoft Entra登录后进行批量文件共享 (预览版) 可疑Microsoft Entra登录后的多个 Power BI 报表共享活动 Office 365可疑Microsoft Entra登录后发生邮箱外泄 (恶意软件检测后从以前看不到的 IP) SharePoint 文件操作预览版 (预览版) 可疑Microsoft Entra登录后设置的可疑收件箱操作规则 (预览版) 可疑Microsoft Entra登录后共享可疑 Power BI 报表
拒绝服务	(预览版) 可疑Microsoft Entra登录后的多个 VM 删除活动
横向移动	可疑登录后Office 365模拟Microsoft Entra (预览版) 可疑Microsoft Entra登录后设置的可疑收件箱操作规则
恶意管理活动	可疑Microsoft Entra登录后的可疑云应用管理活动 (预览版) 最近未出现的新管理员帐户活动 后 的邮件转发活动
恶意执行 具有合法流程	(PREVIEW) PowerShell 进行了可疑的网络连接， 然后 Palo Alto Networks 防火墙标记的异常流量 (PREVIEW) 可疑远程 WMI 执行 后跟 Palo Alto Networks 防火墙标记的异常流量 可疑登录 后 可疑的 PowerShell 命令行
恶意软件 C2 或下载	(预览版) 在多次用户登录到服务失败后由 Fortinet 检测到的信标模式 (预览版) 可疑登录后 Fortinet 检测到的信标模式Microsoft Entra (预览版) 网络对 TOR 匿名化服务的请求 ，后跟 Palo Alto Networks 防火墙标记的异常流量 (PREVIEW) 与 IP 的出站连接，其中包含未授权访问尝试的历史记录 ，后跟 Palo Alto Networks 防火墙标记的异常流量
持久性	可疑登录后 (预览版) 罕见应用程序同意
勒索软件	可疑Microsoft Entra登录后执行勒索软件
远程利用	(预览版) 疑似使用攻击框架 后跟 Palo Alto Networks 防火墙标记的异常流量
资源劫持	(预览版) 以前看不见的调用方进行的可疑资源/资源组部署 跟踪可疑Microsoft Entra登录

相关内容

有关更多信息，请参阅：

• Microsoft Sentinel Fusion 引擎检测到的方案
• 在 Microsoft Sentinel 中配置多阶段攻击检测 (Fusion) 规则