重要事項
自訂偵測現在是跨 Microsoft Sentinel、SIEM 和 Microsoft Defender 全面偵測回應新規則的最佳方式。 透過自訂偵測,您可以降低擷取成本、獲得無限即時偵測,並能無縫整合 Defender 全面偵測回應資料、功能及修復行動,並透過自動實體映射實現。 欲了解更多資訊,請閱讀 此部落格。
Microsoft Sentinel 使用 Fusion,一個基於可擴展機器學習演算法的關聯引擎,透過識別在殺戮鏈不同階段觀察到的異常行為與可疑活動組合,自動偵測多階段攻擊 (也稱為先進持續性威脅(APT) )。 基於這些發現,Microsoft Sentinel 產生了原本難以捕捉的事件。 這些事件包含兩個或以上的警報或活動。 這些事件設計上是低流量、高保真度且高度嚴重。
此偵測技術依環境量身打造,不僅降低 誤判 率,還能偵測資訊有限或缺失的攻擊。
由於 Fusion 會將來自不同產品的多重訊號關聯起來偵測進階多階段攻擊,因此成功的 Fusion 偵測會在 Microsoft Sentinel 事件頁面上以 Fusion 事件形式呈現,而非以警示形式呈現,並儲存在 SecurityIncident 表的日誌中,而非 SecurityAlert 表中。
設定 Fusion
Fusion 預設在 Microsoft Sentinel 中啟用,作為一項稱為「先進多階段攻擊偵測」的分析規則。 你可以檢視並更改規則狀態,設定來源訊號以納入 Fusion ML 模型,或排除可能不適用於你環境的特定偵測模式。 學習如何 設定 Fusion 規則。
注意事項
Microsoft Sentinel 目前使用 30 天的歷史資料來訓練 Fusion 引擎的機器學習演算法。 這些資料在經過機器學習流程時,始終會使用 Microsoft 的金鑰加密。 然而,如果你在Microsoft Sentinel工作空間啟用 CMK,訓練資料並未使用客戶管理金鑰 (CMK) 加密。 要選擇退出 Fusion,請進入 Microsoft SentinelConfiguration>>Analytics > Active 規則,右鍵點擊進階多階段攻擊偵測規則,並選擇停用。
對於已接入 Microsoft Defender 入口網站的 Microsoft Sentinel 工作空間,Fusion 是被禁用的。 其功能被 Microsoft Defender 全面偵測回應引擎取代。
融合應對新興威脅
重要事項
目前已顯示的融合偵測仍在 預覽階段。 請參閱 Microsoft Azure 預覽版補充使用條款,以了解適用於 beta、預覽或尚未正式釋出的 Azure 功能的其他法律條款。
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。 自 2025 年 7 月起,許多新客戶會自動被引導 至 Defender 入口網站。
如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。 欲了解更多資訊,請參閱「是時候行動了:退休 Microsoft Sentinel 的 Azure 入口網站以提升安全性。」
注意事項
關於美國政府雲端功能可用性的資訊,請參閱 Microsoft Sentinel 在雲端中為美國政府客戶提供的功能可用性表格。
設定 Fusion
Fusion 預設在 Microsoft Sentinel 中啟用,作為一項稱為「先進多階段攻擊偵測」的分析規則。 您可以檢視並更改規則狀態,設定來源訊號納入 Fusion ML 模型,或排除可能不適用於您環境的特定偵測模式。 學習如何 設定 Fusion 規則。
如果你在工作空間啟用了 客戶管理金鑰 (CMK) ,建議你選擇退出 Fusion。 Microsoft Sentinel 目前使用 30 天的歷史資料來訓練 Fusion 引擎的機器學習演算法,這些資料在經過機器學習流程時,始終使用 Microsoft 的金鑰進行加密。 然而,訓練資料並未使用 CMK 加密。 要退出 Fusion,請在 Microsoft Sentinel 中停用進階多階段攻擊偵測分析規則。 欲了解更多資訊,請參閱 配置 Fusion 規則。
當 Microsoft Sentinel 被導入 Defender 入口網站時,Fusion 會被停用。 相反地,在 Defender 入口網站工作時,Fusion 提供的功能會被 Microsoft Defender 全面偵測回應引擎取代。
新興威脅的融合 (預覽)
安全事件的數量持續增加,攻擊的範圍與複雜度也不斷提升。 我們可以定義已知的攻擊情境,但你環境中新興與未知的威脅又如何?
Microsoft Sentinel 的機器學習驅動 Fusion 引擎,能透過擴展的機器學習分析及關聯更廣泛的異常訊號,協助你發現環境中新興且未知的威脅,同時保持警示疲勞度的低度。
Fusion引擎的機器學習演算法不斷從現有攻擊中學習,並根據資安分析師的思維進行分析。 因此,它能從環境中數百萬種異常行為中發現先前未被偵測的威脅,幫助你領先攻擊者一步。
Fusion for emerging threat 支援 來自以下來源的資料收集與分析:
來自 Microsoft 服務的警示:
- Microsoft Entra ID Protection
- 適用於雲端的 Microsoft Defender
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
來自排程分析規則的警示。 分析規則 必須包含殺戮鏈、 (戰術、) 及實體映射資訊,才能被 Fusion 使用。
你不需要連結上述所有資料來源,才能讓 Fusion for emerging threats 運作。 然而,你連結的資料越多,覆蓋範圍越廣,Fusion 也會發現更多威脅。
當 Fusion 引擎的相關性導致偵測到新興威脅時,Microsoft Sentinel 會產生一個高嚴重事件,標題為「Fusion 偵測到的可能多階段攻擊活動」。
Fusion 用於勒索軟體
Microsoft Sentinel 的 Fusion 引擎會在偵測到以下資料來源中多個不同類型的警示,並判定可能與勒索軟體活動有關時,會產生事件:
- 適用於雲端的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender connector
- Microsoft 雲端 App 安全性
- Microsoft Sentinel 排程分析規則。 Fusion 只考慮排程分析規則,包含戰術資訊和映射實體。
這類 Fusion 事件稱為 多重警報,可能與偵測到的勒索軟體活動有關,當偵測到特定時間內偵測到相關警報,並與攻擊的 執行 及 防禦迴避 階段相關聯時,會產生。
例如,Microsoft Sentinel 若在同一主機在特定時間內觸發以下警示,會產生可能的勒索軟體事件:
| 提醒 | 來源 | 嚴重性 |
|---|---|---|
| Windows 錯誤與警告事件 | Microsoft Sentinel 排程分析規則 | 資訊 |
| 「GandCrab」勒索軟體被阻止 | 適用於雲端的 Microsoft Defender | 媒介 |
| 偵測到「Emotet」惡意軟體 | 適用於端點的 Microsoft Defender | 資訊 |
| 「Tofsee」後門被偵測到 | 適用於雲端的 Microsoft Defender | 低 |
| 偵測到「Parite」惡意軟體 | 適用於端點的 Microsoft Defender | 資訊 |
情境式融合偵測
以下章節列出 Microsoft Sentinel 利用 Fusion 關聯引擎偵測的情境型多階段攻擊類型,依威脅分類分類。
為了啟用這些由 Fusion 驅動的攻擊偵測情境,必須將其相關的資料來源導入您的日誌分析工作空間。 請選擇下表中的連結,了解每種情境及其相關資料來源。
| 威脅分類 | 案例 |
|---|---|
| 運算資源濫用 | |
| 憑證存取 | |
| 憑證收集 | |
| 加密挖礦 | |
| 資料毀損 | |
| 資料外流 |
|
| 拒絕服務 | |
| 水平擴散 | |
| 惡意管理行為 | |
|
惡意執行 合法程序 |
|
| 惡意軟體 C2 或下載版 | |
| 持續性 |
|
| 勒索軟體 | |
| 遠端開發 | |
| 資源劫持 |
相關內容
如需詳細資訊,請參閱: