在 Microsoft Sentinel 中設定多階段攻擊偵測 (Fusion) 規則

重要

新版的 Fusion 分析規則目前為預覽。 請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

注意

如需美國政府雲端中功能可用性的相關資訊，請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

Microsoft Sentinel 會使用 Fusion (一個以可調整機器學習演算法為基礎的相互關聯引擎) 透過識別在終止鏈結的不同階段中所觀察到異常行為及可疑活動的組合，以自動偵測多階段的攻擊。 根據這些發現，Microsoft Sentinel 會產生難以攔截的事件。 這些事件包含兩個或多個警示或活動。 根據設計，這些事件是低數量、高精確度和高嚴重性。

針對您的環境自訂，此偵測技術不僅可減少誤判率，也可以偵測具有有限或遺漏資訊的攻擊。

設定融合規則

此偵測預設會在 Microsoft Sentinel 中啟用。 若要檢查或變更其狀態，請使用下列指示：

1. 登入 Azure 入口網站，然後輸入Microsoft Sentinel。

2. 從 Microsoft Sentinel 導覽功能表，選取 [分析]。

3. 選取 [作用中規則] 索引標籤，然後篩選 [Fusion] 規則類型的清單，以在 [名稱] 資料行中找出 [進階多階段攻擊偵測]。 檢查 [狀態] 資料行，以確認此偵測已啟用或停用。

   

4. 若要變更狀態，請選取此項目，然後在 [進階多階段攻擊偵測] 預覽窗格中，選取 [編輯]。

5. 在 [分析規則精靈] 的 [一般] 索引標籤中，記下狀態 (已啟用/已停用)，或視需要變更狀態。

   如果您變更狀態，但沒有進一步的變更，請選取 [檢閱和更新] 索引標籤，然後選取 [儲存]。

   若要進一步設定 Fusion 偵測規則，請選取 [下一步：設定 Fusion]。

   

6. 設定 Fusion 偵測的來源訊號：我們建議您包含所有列出的來源訊號，以及所有嚴重性等級，以獲得最佳結果。 根據預設，來源訊號已全部包含，但您可以選擇以下列方式進行變更：

   注意

   如果您排除特定來源訊號或警示嚴重性等級，將不會觸發依賴該來源訊號或符合該嚴重性等級警示的任何 Fusion 偵測。

   • 從 Fusion 偵測排除訊號，包括異常、來自各種提供者的警示，以及原始記錄。

     使用案例：如果您要測試已知會產生雜訊警示的特定訊號來源，則可以暫時關閉來自該特定訊號來源的訊號以進行 Fusion 偵測。

   • 設定每個提供者的警示嚴重性：根據設計，Fusion ML 模型會根據來自多個資料來源的攻擊鏈，將低精確度訊號相互關聯至單一高嚴重性事件。 Fusion 中包含的警示通常具有較低嚴重性 (中、低、資訊)，但偶爾會包含相關的高嚴重性警示。

     使用案例：如果您有個別的分類和調查高嚴重性警示的程序，且不想在 Fusion 中包含這些警示，則可以設定來源訊號來排除 Fusion 偵測中的高嚴重性警示。

   • 從 Fusion 偵測中排除特定偵測模式。 某些融合偵測可能不適用於您的環境，或可能容易產生誤判。 如果您想要排除特定的 Fusion 偵測模式，請遵循下列指示：

     1. 找出並開啟您想要排除的 Fusion 事件類型。

     2. 在 [描述] 區段中，選取 [顯示更多]。

     3. 在 [排除此特定偵測模式] 底下，選取 [排除連結]，這會將您重新導向至分析規則精靈中的 [設定 Fusion] 索引標籤。

        

     在 [設定融合] 索引標籤上，您會看到融合模式 — Fusion 事件中警示和異常的組合 — 以及新增偵測模式時間已新增至排除清單。

     您可以選取該偵測模式上的垃圾桶圖示，隨時移除排除的偵測模式。

     

     符合排除偵測模式的事件仍會觸發，但不會顯示在作用中的事件佇列中。 這些事件會自動填入下列值：

     • 狀態：「已關閉」

     • 關閉分類：「未決定」

     • 註解：「自動關閉且已排除的 Fusion 偵測模式」

     • 標籤：「ExcludedFusionDetectionPattern」- 您可以查詢此標籤，以檢視符合此偵測模式的所有事件。

       

注意

Microsoft Sentinel 目前使用 30 天的歷程記錄資料，來定型機器學習系統。 一律會使用 Microsoft 的金鑰加密此資料，因為其會通過機器學習管線。 不過，如果您在 Microsoft Sentinel 工作區中啟用 CMK，則不會使用客戶自控金鑰 (CMK) 加密定型資料。 若要退出融合，請瀏覽至 [Microsoft Sentinel] > [設定] > [分析] > [作用中規則]，以滑鼠右鍵按一下 [進階多階段攻擊偵測] 規則，然後選取 [停用]。

設定 Fusion 偵測的排程分析規則

重要

• 使用分析規則警示的 Fusion 型偵測目前為預覽。 請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

Fusion 可以使用排程分析規則所產生的警示來偵測以案例為基礎的多階段攻擊和新興威脅。 建議您採取下列步驟來設定並啟用這些規則，以便充分利用 Microsoft Sentinel 的 Fusion 功能。

1. 新興威脅的融合可以使用任何 排程分析規則所產生的警示，這些規則 包含殺傷鏈(策略)和實體對應資訊。 若要確保 Fusion 可以使用分析規則的輸出來偵測新興威脅：

   • 檢閱這些排程規則的實體對應。 使用實體對應設定區段，將查詢結果中的參數對應至 Microsoft Sentinel 辨識的實體。 由於 Fusion 會根據實體 (例如使用者帳戶或 IP 位址) 來相互關聯警示，因此其 ML 演算法無法在沒有實體資訊的情況下執行警示比對。

   • 檢閱分析規則詳細資料中的策略和技術。 融合 ML 演算法會使用 MITRE ATT&CK 資訊來偵測多階段攻擊，以及您為分析規則加上標籤的策略和技術，將會顯示在產生的事件中。 如果傳入的警示遺漏策略資訊，融合計算可能會受到影響。

2. Fusion 也可以根據下列排程的分析規則範本，使用規則來偵測以案例為基礎的威脅。

   若要在 [分析] 頁面中啟用範本可用的查詢，請前往 [規則範本] 索引標籤，選取範本資源庫中的規則名稱，然後在詳細資料的 窗格中選取 [建立規則]。

   • Cisco - 防火牆封鎖但成功登入 Microsoft Entra ID
   • Fortinet - 偵測到指標模式
   • 具有多個失敗 Microsoft Entra 登入的 IP 已成功登入 Palo Alto VPN
   • 使用者重設多個密碼
   • 少見的應用程式同意
   • 透過先前未看到 IP 的 SharePointFileOperation
   • 可疑的資源部署
   • 來自異常 IP 位址的 Palo Alto 威脅特徵標記

   若要新增目前無法作為規則範本使用的查詢，請參閱 從頭開始建立自訂分析規則。

   • 先前未看到的新管理員帳戶活動

   如需詳細資訊，請參閱使用排程分析規則的 Fusion 進階多階段攻擊偵測案例。

   注意

   針對 Fusion 所使用的排程分析規則集，ML 演算法會針對範本中提供的 KQL 查詢進行模糊比對。 重新命名範本不會影響 Fusion 偵測。

下一步

深入瞭解 Microsoft Sentinel 中的 Fusion 偵測。

深入瞭解情節式 Fusion 偵測。

現在您已深入瞭解進階多階段攻擊偵測，您可能對下列快速入門感興趣，以瞭解如何獲得資料和潛在威脅的可見度：開始使用 Microsoft Sentinel。

如果您已準備好調查為您建立的事件，請參閱下列教學課程：使用 Microsoft Sentinel 調查事件。