Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel

• Platí pro:

  Microsoft Sentinel in the Azure portal

Microsoft Sentinel používá fúzní modul založený na škálovatelných algoritmech strojového učení k automatickému zjišťování útoků s více fázemi (označovaných také jako pokročilé trvalé hrozby nebo APT) tím, že identifikuje kombinace neobvyklého chování a podezřelých aktivit, které se sledují v různých fázích řetězce kill. Na základě těchto zjištění generuje Microsoft Sentinel incidenty, které by jinak bylo obtížné zachytit. Tyto incidenty zahrnují dvě nebo více výstrah nebo aktivit. Tyto incidenty jsou záměrně nízké, vysoce věrné a vysoce závažné.

Přizpůsobená pro vaše prostředí tato technologie detekce nejen snižuje počet falešně pozitivních výsledků, ale může také detekovat útoky s omezenými nebo chybějícími informacemi.

Vzhledem k tomu, že fusion koreluje více signálů z různých produktů k detekci pokročilých útoků s více fázemi, zobrazí se úspěšné detekce fúzí na stránce Incidenty služby Microsoft Sentinel, nikoli jako výstrahy, a jsou uloženy v tabulce SecurityIncident v protokolech a ne v tabulce SecurityAlert.

Konfigurace fúzní

Fúze je ve výchozím nastavení povolená v Microsoft Sentinelu jako analytické pravidlo označované jako pokročilá detekce útoků s více fázemi. Můžete zobrazit a změnit stav pravidla, nakonfigurovat zdrojové signály tak, aby byly zahrnuty do modelu Fusion ML, nebo vyloučit konkrétní vzorce detekce, které nemusí být použitelné pro vaše prostředí z detekce Fusion. Zjistěte, jak nakonfigurovat pravidlo fusion.

Poznámka:

Microsoft Sentinel v současné době používá 30 dnů historických dat k trénování algoritmů strojového učení modulu Fusion. Tato data se při průchodu kanálem strojového učení vždy šifrují pomocí klíčů Microsoftu. Trénovací data se ale nešifrují pomocí klíčů spravovaných zákazníkem (CMK), pokud jste v pracovním prostoru Služby Microsoft Sentinel povolili CMK. Chcete-li zrušit fúzi, přejděte na aktivní pravidla analýzy konfigurace >>Služby Microsoft Sentinel>, klikněte pravým tlačítkem na pravidlo rozšířené detekce útoků Multistage a vyberte Zakázat.

Pro pracovní prostory Microsoft Sentinelu, které jsou nasazené na portálu Microsoft Defenderu, je fusion zakázaná. Jeho funkce se nahrazuje korelačním modulem XDR v programu Microsoft Defender.

Fúze pro vznikající hrozby

Důležité

Indikované detekce fúze jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Konfigurace fúzní

Fúze je ve výchozím nastavení povolená v Microsoft Sentinelu jako analytické pravidlo označované jako pokročilá detekce útoků s více fázemi. Můžete zobrazit a změnit stav pravidla, nakonfigurovat zdrojové signály tak, aby byly zahrnuty do modelu Fusion ML, nebo vyloučit konkrétní vzorce detekce, které nemusí být použitelné pro vaše prostředí z detekce Fusion. Zjistěte, jak nakonfigurovat pravidlo fusion.

Pokud jste povolili klíče spravované zákazníkem (CMK) ve vašem pracovním prostoru, můžete se odhlásit z fusion. Microsoft Sentinel v současné době používá 30 dnů historických dat k trénování algoritmů strojového učení modulu Fusion a tato data se při průchodu kanálem strojového učení vždy šifrují pomocí klíčů Microsoftu. Trénovací data se ale nešifrují pomocí CMK. Pokud chcete zrušit fúzi, zakažte v Microsoft Sentinelu pravidlo analýzy detekce útoků Advanced Multistage. Další informace naleznete v tématu Konfigurace pravidel fusion.

V pracovních prostorech Microsoft Sentinelu, které jsou nasazené na platformě Microsoft Defender (SecOps) sjednocených operací zabezpečení (SecOps), je v pracovních prostorech Microsoft Sentinelu zakázaná. Místo toho se při práci s jednotnou platformou SecOps od Microsoftu nahradí funkce poskytované fusionm korelačním modulem XDR v programu Microsoft Defender.

Fúze pro vznikající hrozby (Preview)

Objemudálostch Můžeme definovat známé scénáře útoku, ale jak na vznikající a neznámé hrozby ve vašem prostředí?

Modul fúzní fúze od Microsoft Sentinelu vám pomůže najít nově vznikající a neznámé hrozby ve vašem prostředí použitím rozšířené analýzy ML a korelací širšího rozsahu neobvyklých signálů a zachováním nízké únavy výstrah.

Algoritmy strojového učení modulu Fusion se neustále učí od stávajících útoků a používají analýzu na základě toho, jak si myslí analytici zabezpečení. Proto může objevit dříve nezjištěné hrozby z milionů neobvyklých chování v rámci řetězu kill-chain v celém vašem prostředí, což vám pomůže zůstat o krok před útočníky.

Fúze pro vznikající hrozby podporuje shromažďování a analýzu dat z následujících zdrojů:

• Předběžné detekce anomálií

• Výstrahy z služby Microsoft:

  • Ochrana Microsoft Entra ID
  • Microsoft Defender for Cloud
  • Microsoft Defender for IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365

• Výstrahy z plánovaných analytických pravidel Analytická pravidla musí obsahovat řetězec kill-chain (taktiky) a informace o mapování entit, aby je mohla fusion používat.

Abyste mohli fúzi pro nově vznikající hrozby fungovat, nemusíte mít připojené všechny výše uvedené zdroje dat. Čím více zdrojů dat jste se připojili, tím širší je pokrytí a čím více hrozeb Fusion najde.

Když korelace modulu Fusion způsobí detekci vznikající hrozby, Microsoft Sentinel vygeneruje incident s vysokou závažností s názvem Možné aktivity útoku s více fázemi zjištěné fúzí.

Fúze pro ransomware

Modul Fusion microsoft Sentinelu vygeneruje incident, když zjistí více výstrah různých typů z následujících zdrojů dat a zjistí, že můžou souviset s aktivitou ransomwaru:

• Microsoft Defender for Cloud
• Microsoft Defender for Endpoint
• Konektor Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps
• Plánovaná analytická pravidla služby Microsoft Sentinel Fusion bere v úvahu pouze naplánovaná analytická pravidla s informacemi o taktikách a mapovanými entitami.

Takové fúzní incidenty se nazývají Několik výstrah, které mohou souviset s zjištěnou aktivitou ransomware, a generují se, když se během určitého časového rámce zjistí relevantní výstrahy a jsou spojeny s fázemi spuštění a obranného úniku útoku.

Microsoft Sentinel by například vygeneroval incident pro možné aktivity ransomwaru, pokud se v určitém časovém rámci aktivují následující výstrahy na stejném hostiteli:

Výstrahy	Zdroj	Závažnost
Události chyb a upozornění systému Windows	Naplánovaná analytická pravidla služby Microsoft Sentinel	informační
Ransomwaru GandCrab se zabránilo	Microsoft Defender for Cloud	střední
Byl zjištěn malware Emotet	Microsoft Defender for Endpoint	informační
Zjistili jsme zadní vrátka Tofsee.	Microsoft Defender for Cloud	low
Zjistil se malware Parite	Microsoft Defender for Endpoint	informační

Detekce fúzních fúzí založených na scénářích

Následující část obsahuje seznam typů útoků založených na scénářích s více fázemi seskupených podle klasifikace hrozeb, které Microsoft Sentinel detekuje pomocí korelačního modulu fusion.

Aby bylo možné tyto scénáře detekce útoků využívajících fúzi povolit, musí se jejich přidružené zdroje dat ingestovat do pracovního prostoru služby Log Analytics. Výběrem odkazů v následující tabulce se dozvíte o jednotlivých scénářích a souvisejících zdrojích dat.

Klasifikace hrozeb	Scénáře
Zneužití výpočetních prostředků	(PREVIEW) Několik aktivit vytváření virtuálních počítačů po podezřelém přihlášení Microsoft Entra
Přístup k přihlašovacím údajům	(PREVIEW) Několik resetování hesel uživatelem po podezřelém přihlášení (PREVIEW) Podezřelé přihlášení s úspěšným přihlášením k Palo Alto VPN podle IP adresy s několika neúspěšnými přihlášeními Microsoft Entra
Sběr přihlašovacích údajů	Spuštění nástroje pro krádež škodlivých přihlašovacích údajů po podezřelém přihlášení Podezřelá aktivita krádeže přihlašovacích údajů po podezřelém přihlášení
Crypto-mining	Aktivita kryptografického dolování po podezřelém přihlášení
Zničení dat	Hromadné odstranění souboru po podezřelém přihlášení Microsoft Entra (PREVIEW) Hromadné odstranění souboru po úspěšném přihlášení Microsoft Entra z IP adresa blokovaná zařízením brány firewall Cisco (PREVIEW) Hromadné odstranění souboru po úspěšném přihlášení k Palo Alto VPN podle IP adresy s několika neúspěšnými přihlášeními Microsoft Entra (PREVIEW) Podezřelá aktivita odstranění e-mailu po podezřelém přihlášení Microsoft Entra
Exfiltrace dat	(PREVIEW) Aktivity přeposílání pošty po nové aktivitě účtu správce se nedávno nezoznaly Hromadné stažení souboru po podezřelém přihlášení Microsoft Entra (PREVIEW) Hromadné stažení souboru po úspěšném přihlášení Microsoft Entra z IP adresa blokovaná zařízením brány firewall Cisco (PREVIEW) Hromadné stahování souborů s využitím operace se sharepointovým souborem z dříve nezobrazené IP adresy Hromadné sdílení souborů po podezřelém přihlášení Microsoft Entra (PREVIEW) Několik aktivit sdílení sestav Power BI po podezřelém přihlášení Microsoft Entra Exfiltrace poštovní schránky Office 365 po podezřelém přihlášení Microsoft Entra (PREVIEW) Operace souboru SharePointu z dříve nezoznané IP adresy po detekci malwaru (PREVIEW) Pravidla manipulace s podezřelou doručenou poštou nastavená podle podezřelých přihlášení Microsoft Entra (PREVIEW) Podezřelé sdílení sestav Power BI po podezřelém přihlášení Microsoft Entra
Odepření služby	(PREVIEW) Několik aktivit odstranění virtuálních počítačů po podezřelém přihlášení Microsoft Entra
Laterální pohyb	Zosobnění Office 365 po podezřelém přihlášení Microsoft Entra (PREVIEW) Pravidla manipulace s podezřelou doručenou poštou nastavená podle podezřelých přihlášení Microsoft Entra
Škodlivá aktivita správy	Podezřelá aktivita správy cloudových aplikací po podezřelém přihlášení Microsoft Entra (PREVIEW) Aktivity přeposílání pošty po nové aktivitě účtu správce se nedávno nezoznaly
Škodlivé spuštění s legitimním procesem	(PREVIEW) PowerShell vytvořil podezřelé síťové připojení následované Neobvyklý provoz označený bránou firewall Palo Alto Networks (PREVIEW) Podezřelé vzdálené spuštění rozhraní WMI následované Neobvyklý provoz označený bránou firewall Palo Alto Networks Podezřelý příkazový řádek PowerShellu po podezřelém přihlášení
Malware C2 nebo stažení	(PREVIEW) Model signálu zjištěný aplikací Fortinet po několika neúspěšných přihlášeních uživatelů ke službě (PREVIEW) Model signálu zjištěný aplikací Fortinet po podezřelém přihlášení Microsoft Entra (PREVIEW) Požadavek na síť na anonymizační službu TOR následovanou Neobvyklý provoz označený bránou firewall Palo Alto Networks (PREVIEW) Odchozí připojení k IP adrese s historií pokusů o neoprávněný přístup následovanými Neobvyklý provoz označený bránou firewall Palo Alto Networks
Uchování	(PREVIEW) Výjimečný souhlas aplikace po podezřelém přihlášení
Ransomware	Spuštění ransomwaru po podezřelém přihlášení Microsoft Entra
Vzdálené využívání	(PREVIEW) Podezření na použití architektury útoku následované Neobvyklý provoz označený bránou firewall Palo Alto Networks
Napadení prostředků	(PREVIEW) Podezřelé nasazení prostředku nebo skupiny prostředků dříve nezoznaným volajícím sledování podezřelého přihlášení Microsoft Entra

Související obsah

Další informace naleznete v tématu:

• Scénáře zjištěné modulem Microsoft Sentinel Fusion
• Konfigurace pravidel detekce útoků s více fázemi (Fusion) v Microsoft Sentinelu