Microsoft Sentinel 中的進階多階段攻擊偵測
重要
某些融合偵測 (請參閱下文所指) 目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
Microsoft Sentinel 使用融合,這是以可調整的機器學習演算法為基礎的相互關聯引擎,透過識別在狙殺鏈的各個階段觀察到的異常行為和可疑活動組合,自動偵測多階段攻擊 (也稱為進階持續性威脅或 APT)。 以這些探索為基礎,Microsoft Sentinel 就能產生出其他方法難以攔截的事件。 這些事件包含兩個或多個警示或活動。 根據設計,這些事件是低數量、高精確度和高嚴重性。
針對您的環境自訂,此偵測技術不僅可減少誤判率,也可以偵測具有有限或遺漏資訊的攻擊。
由於融合會與各種產品中的多個訊號相互關聯,以偵測進階多階段攻擊,因此成功的融合偵測會在 Microsoft Sentinel [事件] 頁面上顯示為融合事件,而不是警示,而且會儲存在記錄中的 SecurityIncident 資料表中,而不是儲存在 SecurityAlert 資料表中。
設定融合
根據預設,Microsoft Sentinel 會啟用融合,做為名為進階多階段攻擊偵測的分析規則。 您可以檢視並變更規則的狀態、將來源訊號設定為包含在融合 ML 模型中,或將可能不適用於您環境的特定偵測模式從融合偵測中排除。 瞭解如何設定融合規則。
注意
Microsoft Sentinel 目前使用 30 天的歷程記錄資料,來定型融合引擎的機器學習演算法。 一律會使用 Microsoft 的金鑰加密此資料,因為其會通過機器學習管線。 不過,如果您在 Microsoft Sentinel 工作區中啟用 CMK,則不會使用客戶自控金鑰 (CMK) 加密定型資料。 若要退出融合,請瀏覽至 [Microsoft Sentinel] > [設定] > [分析] > [作用中規則],以滑鼠右鍵按一下 [進階多階段攻擊偵測] 規則,然後選取 [停用]。
在已上線至 Microsoft Defender 入口網站整合安全性作業平台的 Microsoft Sentinel 工作區中,會停用 Fusion,因為其功能會由 Microsoft Defender XDR 相互關聯引擎取代。
新興威脅的融合
重要
- 新興威脅的融合式偵測目前為預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
安全性事件的數量會持續成長,而且攻擊的範圍和複雜度不斷增加。 我們可以定義已知的攻擊情節,但您環境中的新興和未知威脅又是如何?
Microsoft Sentinel 由 ML 提供的融合引擎還可藉由套用擴充的 ML 分析,以及讓更廣泛的異常訊號範圍相互關聯,又不致讓警示疲勞升高,來協助找出環境中的新興和未知威脅。
融合引擎的 ML 演算法會持續從現有的攻擊中學習,並根據安全性分析師的想法來套用分析。 因此,其可探索到先前未從整個環境狙殺鏈的數百萬個異常行為中偵測到的威脅,而協助您提早防範攻擊者的攻擊。
新興威脅的融合支援從下列來源的資料收集和分析:
- 現成異常偵測
- 來自 Microsoft 產品的警示:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- 適用於 IoT 的 Microsoft Defender
- Microsoft Defender 全面偵測回應 (部分機器翻譯)
- Microsoft Defender for Cloud Apps
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 從排程分析規則警示。。 分析規則必須包含狙殺鏈 (策略) 和實體對應資訊,才能供融合使用。
您不需要連接上面所列全部資料來源,就能讓新興威脅的融合運作。 不過,您連線的資料來源越多、涵蓋範圍愈廣,而且會發現更多威脅融合。
當融合引擎的相互關聯導致新興威脅的偵測時,會在 Microsoft Sentinel 工作區的事件資料表中產生名為「融合偵測到的可能多階段攻擊活動」的高嚴重性事件。
勒索軟體的融合
當 Microsoft Sentinel 的融合引擎偵測到來自下列資料來源的多個不同類型的警示時,會產生事件,並判斷其是否可能與勒索軟體活動相關:
- 適用於雲端的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender 連接器
- 適用於雲端應用程式的 Microsoft Defender
- Microsoft Sentinel 已排程的分析規則。 融合只會考慮具有策略資訊和對應實體的排程分析規則。
這類融合事件命名為多個可能與偵測到勒索軟體活動相關的警示,並在特定時間範圍內偵測到相關警示時產生,並與攻擊的執行和防禦規避階段相關聯。
例如,如果在特定時間範圍內在相同主機上觸發下列警示,Microsoft Sentinel 就會針對可能的勒索軟體活動產生事件:
| Alert | 來源 | 嚴重性 |
|---|---|---|
| Windows 錯誤和警告事件 | Microsoft Sentinel 已排程的分析規則 | 資訊 |
| 已防止「GandCrab」勒索軟體 | 適用於雲端的 Microsoft Defender | medium |
| 偵測到「Emotet」惡意程式碼 | 適用於端點的 Microsoft Defender | 資訊 |
| 偵測到「Tofsee」後門程式 | 適用於雲端的 Microsoft Defender | 愛荷華州 |
| 偵測到「Parite」惡意程式碼 | 適用於端點的 Microsoft Defender | 資訊 |
情節型融合偵測
下一節列出 Microsoft Sentinel 使用融合相互關聯引擎偵測到的、依威脅分類分組的情節型多階段攻擊類型。
若要啟用這些融合式攻擊偵測情節,必須將相關聯的資料來源內嵌到 Log Analytics 工作區。 選取下表中的連結,以瞭解每個情節及其相關聯的資料來源。
注意
其中一些情節處於預覽狀態。 這些情節會如此標示。
| 威脅分類 | 案例 |
|---|---|
| 計算資源不當使用 | |
| 認證存取 | |
| 認證收集 | |
| 密碼採礦 | |
| 資料損毀 | |
| 資料外洩 |
|
| 拒絕服務 | |
| 橫向移動 | |
| 惡意的系統管理活動 | |
| Malicious execution 具有合法程序 |
|
| 惡意程式碼 C2 或下載 | |
| 持續性 |
|
| 勒索軟體 | |
| 遠端惡意探索 | |
| 資源劫持 |
下一步
取得融合進階多階段攻擊偵測的詳細資訊:
現在您已深入瞭解進階多階段攻擊偵測,您可能對下列快速入門感興趣,以瞭解如何獲得資料和潛在威脅的可見度:開始使用 Microsoft Sentinel。
如果您已準備好調查為您建立的事件,請參閱下列教學課程:使用 Microsoft Sentinel 調查事件。