Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel

• Gilt für::

  Microsoft Sentinel in the Azure portal

Microsoft Sentinel verwendet Fusion, ein Korrelations-Modul, das auf skalierbaren Algorithmen von Maschinellem Lernen basiert, um mehrstufige Angriffe (auch als erweiterte persistente Bedrohungen oder APT bezeichnet) automatisch zu erkennen, indem Kombinationen aus anomalem Verhalten und verdächtigen Aktivitäten identifiziert werden, die in verschiedenen Phasen der Kette auftreten können. Auf der Grundlage dieser Entdeckungen generiert Microsoft Sentinel Incidents, die auf andere Weise nur schwer abgefangen werden können. Diese Incidents umfassen mindestens zwei Warnungen oder Aktivitäten. Standardmäßig weisen diese Incidents ein geringes Volumen, eine hohe Qualität und einen hohen Schweregrad auf.

Diese Erkennungstechnologie ist für Ihre Umgebung angepasst und bewirkt nicht nur eine Reduzierung der False Positive-Rate, sondern kann Angriffe auch mit eingeschränkten oder fehlenden Informationen erkennen.

Da Fusion mehrere Signale von verschiedenen Produkten korreliert, um erweiterte mehrstufige Angriffe zu erkennen, werden erfolgreiche Erkennungen von Fusion als Fusion-Vorfälle auf der Seite Microsoft Sentinel Vorfälle und nicht als Warnungen angezeigt und in der Tabelle SecurityIncident in Protokollen und nicht in der Tabelle Sicherheitswarnungen gespeichert.

Konfigurieren von Fusion

Fusion ist standardmäßig in Microsoft Sentinel als Analyseregel namens Erweiterte mehrstufige Angriffserkennung aktiviert. Sie können den Status des Filters anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das Fusion ML-Modell aufgenommen werden, oder bestimmte Erkennungsmuster von der Erkennung durch Fusion ausschließen, die möglicherweise nicht auf Ihre Umgebung anwendbar sind. Erfahren Sie hier, wie Sie den Fusion-Filter konfigurieren.

Hinweis

Microsoft Sentinel verwendet derzeit Verlaufsdaten von 30 Tagen, um die Algorithmen für das Maschinelle Lernen des Fusion Moduls zu trainieren. Diese Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, wenn sie die Pipeline für maschinelles Lernen durchlaufen. Die Trainingsdaten werden jedoch nicht mit vom Kunden verwalteten Schlüsseln (Customer Managed Keys, CMK) verschlüsselt, wenn Sie CMK in Ihrem Microsoft Sentinel-Arbeitsbereich aktiviert haben. Um Fusion zu deaktivieren, navigieren Sie zu Microsoft Sentinel>Konfiguration>Analytics > Aktive Regeln, klicken Sie mit der rechten Maustaste auf die Regel Erweiterte mehrstufige Angriffserkennung (Advanced Multistage Attack Detection), und wählen Sie Deaktivieren aus.

Für Microsoft Sentinel-Arbeitsbereiche, die im Microsoft Defender-Portal integriert sind, ist Fusion deaktiviert. Seine Funktionalität wird durch die Korrelations-Engine von Microsoft Defender XDR ersetzt.

Fusion für neue Bedrohungen

Wichtig

Angegebene Fusion-Erkennungen befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Konfigurieren von Fusion

Fusion ist standardmäßig in Microsoft Sentinel als Analyseregel namens Erweiterte mehrstufige Angriffserkennung aktiviert. Sie können den Status der Regel anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das Fusion ML-Modell aufgenommen werden, oder bestimmte Erkennungsmuster von der Erkennung durch Fusion ausschließen, die möglicherweise nicht auf Ihre Umgebung anwendbar sind. Erfahren Sie hier, wie Sie den Fusion-Filter konfigurieren.

Möglicherweise möchten Sie Fusion deaktivieren, wenn Sie in Ihrem Arbeitsbereich kundenseitig verwaltete Schlüssel (CMK) aktiviert haben. Microsoft Sentinel verwendet derzeit Verlaufsdaten von 30 Tagen, um die Algorithmen für maschinelles Lernen der Fusion-Engine zu trainieren. Diese Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, während sie die Pipeline für maschinelles Lernen durchlaufen. Die Trainingsdaten werden jedoch nicht mit einem CMK verschlüsselt. Um Fusion nicht zu verwenden, deaktivieren Sie in Microsoft Sentinel die Analyseregel Erweiterte Erkennung von mehrstufigen Angriffen. Weitere Informationen finden Sie unter Konfigurieren von Fusion-Regeln.

Fusion ist in Microsoft Sentinel-Arbeitsbereichen deaktiviert, die in die einheitliche SecOps-Plattform (Security Operations) von Microsoft im Microsoft Defender-Portal integriert sind. Stattdessen wird bei Verwendung der einheitlichen SecOps-Plattform von Microsoft die von Fusion bereitgestellte Funktionalität durch die Korrelations-Engine von Microsoft Defender XDR ersetzt.

Fusion für neue Bedrohungen (Vorschau)

Die Menge der Sicherheitsereignisse wächst weiter, und der Umfang und die Raffinesse von Angriffen nehmen ständig zu. Zwar können wir die bekannten Angriffsszenarien definieren, doch wie sieht es eigentlich mit den neuen und noch unbekannten Bedrohungen in Ihrer Umgebung aus?

Das von ML unterstützte Microsoft Sentinel Fusion Modul hilft Ihnen, die neuen und unbekannten Bedrohungen in Ihrer Umgebung zu finden, indem sie eine erweiterte ML-Analyse anwenden und einen größeren Bereich anomaler Signale korrelieren und gleichzeitig die Warnungsmüdigkeit gering halten.

Die ML-Algorithmen des Fusion Moduls lernen ständig aus erfolgten Angriffen und wenden Analysen basierend auf der Meinung von Sicherheitsanalysten an. Es kann daher zuvor unerkannte Bedrohungen von Millionen anomaler Verhaltensweisen in der gesamten Kette in Ihrer Umgebung erkennen, wodurch Sie den Angreifern einen Schritt voraus sein können.

Fusion für neue Bedrohungen unterstützt die Datensammlung und -analyse aus den folgenden Quellen:

• Standardmäßige Erkennung von Anomalien

• Warnungen von Microsoft-Diensten:

  • Microsoft Entra ID-Schutz
  • Microsoft Defender für Cloud
  • Microsoft Defender für IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud-Apps
  • Microsoft Defender für den Endpunkt
  • Microsoft Defender for Identity
  • Microsoft Defender für Office 365

• Warnungen aus geplanten Analyseregeln. Analyseregeln müssen Informationen über die Angriffskette (Taktiken) und die Zuordnung der Einheit enthalten, um von Fusion verwendet werden zu können.

Sie müssen nicht unbedingt alle oben aufgeführten Datenquellen verbunden haben, damit Fusion für neue Bedrohungen funktioniert. Doch desto mehr Datenquellen Sie verknüpft haben, je umfassender ist die Abdeckung, und desto mehr Bedrohungen wird Fusion entdecken.

Wenn die Korrelationen der Fusion-Engine zur Erkennung einer neuen Bedrohung führen, wird in der Tabelle „Incidents“ in Ihrem Microsoft Sentinel-Arbeitsbereich ein Incident mit hohem Schweregrad mit dem Titel Potenzielle mehrstufige Angriffsaktivitäten von Fusion erkannt generiert.

Fusion für Ransomware

Die Fusion-Engine von Microsoft Sentinel generiert einen Incident, wenn mehrere Warnungen verschiedener Typen aus den folgenden Datenquellen erkannt werden, und entscheidet, ob sie mit Ransomware-Aktivitäten in Zusammenhang stehen könnten:

• Microsoft Defender für Cloud
• Microsoft Defender für den Endpunkt
• Microsoft Defender for Identity-Connector
• Microsoft Defender für Cloud-Apps
• Microsoft Sentinel-Regeln für geplante Analysen Fusion berücksichtigt nur Filter für geplante Analysen mit Taktikinformationen und zugeordneten Einheiten.

Solche Fusion-Incidents heißen Mehrere Warnungen, die sich möglicherweise auf erkannte Ransomware-Aktivität beziehen, und werden generiert, wenn relevante Warnungen in einem bestimmten Zeitrahmen erkannt werden und mit den Phasen Ausführung und Umgehen von Verteidigungsmaßnahmen eines Angriffs verknüpft sind.

Beispielsweise generiert Microsoft Sentinel einen Incident für mögliche Ransomware-Aktivitäten, wenn die folgenden Warnungen in einem bestimmten Zeitrahmen auf demselben Host ausgelöst werden:

Warnung	`Source`	Schweregrad
Windows Fehler- und Warnereignisse	Microsoft Sentinel-Regeln für geplante Analysen	Information
Ransomware ‘GandCrab‘ wurde verhindert	Microsoft Defender für Cloud	mittel
‘Emotet‘-Schadsoftware wurde erkannt	Microsoft Defender für den Endpunkt	Information
‘Tofsee‘ hinten erkannt	Microsoft Defender für Cloud	niedrig
‘Parite‘-Schadsoftware wurde erkannt	Microsoft Defender für den Endpunkt	Information

Szenariobasierte Erkennungen durch Fusion

Im folgenden Abschnitt werden die Arten von szenariobasierten mehrstufigen Angriffen nach Bedrohungsklassifizierung aufgelistet, die Microsoft Sentinel mit dem Fusion-Korrelations-Filter erkennt.

Um diese Fusion-gestützten Angriffserkennungsszenarien zu ermöglichen, müssen die zugehörigen Datenquellen in Ihrem Log Analytics-Arbeitsbereich erfasst sein. Wählen Sie die Links in der folgenden Tabelle aus, um mehr über die einzelnen Szenarien und die zugehörigen Datenquellen zu erfahren.

Bedrohungsklassifizierung	Szenarien
Missbrauch von Computeressourcen	(VORSCHAU) Mehrere VM-Erstellungsaktivitäten nach verdächtiger Microsoft Entra-Anmeldung
Zugriff auf Anmeldeinformationen	(VORSCHAU) Zurücksetzen mehrerer Kennwörter durch den Benutzernach verdächtiger Anmeldung (VORSCHAU) Verdächtige Anmeldung mit erfolgreicher Anmeldung bei Palo Alto VPN über IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen
Abgreifen von Anmeldeinformation	Ausführung des Tools zum Diebstahl schädlicher Anmeldeinformationen nach verdächtiger Anmeldung Verdacht auf Diebstahl von Anmeldeinformationen nach verdächtiger Anmeldung
Crypto-mining	Crypto-Mining-Aktivität nach verdächtiger Anmeldung
Datenvernichtung	Massenlöschung von Dateien im Anschluss an eine verdächtige Microsoft Entra-Anmeldung (VORSCHAU) Massenlöschung von Dateien nach erfolgreicher Microsoft Entra-Anmeldung über eine von der Cisco Firewall-Appliance blockierten IP-Adresse (VORSCHAU) Massenlöschung von Dateien nach erfolgreicher Anmeldung Palo Alto VPN über IP-Adresse mit mehreren fehlgeschlagenen Microsoft Entra-Anmeldungen (VORSCHAU) Verdächtige E-Mail-Löschaktivität nach verdächtiger Microsoft Entra-Anmeldung
Daten-Exfiltration	(VORSCHAU) E-Mail-Weiterleitungsaktivitäten nach neuer Administratorkontoaktivität, die zuletzt nicht angezeigt wurde Massendownload von Dateien im Anschluss an eine verdächtige Microsoft Entra-Anmeldung (VORSCHAU) Massendownlaod von Dateien nach erfolgreicher Microsoft Entra-Anmeldung über eine von der Cisco Firewall-Appliance blockierten IP-Adresse (VORSCHAU) Massendownload von Dateienmit SharePoint Dateivorgang von zuvor nicht verwendeter IP-Adresse Massenfreigabe von Dateien im Anschluss an eine verdächtige Microsoft Entra-Anmeldung (VORSCHAU) Mehrere Aktivitäten zur Freigabe von Power BI-Berichten nach verdächtiger Microsoft Entra-Anmeldung Office 365-Postfachexfiltration im Anschluss an eine verdächtige Microsoft Entra-Anmeldung (VORSCHAU) SharePoint Dateivorgang von einer zuvor nicht erkannten IP-Adressenach der Erkennung von Schadsoftware (VORSCHAU) Festlegung verdächtiger Regeln zur Posteingangsänderung nach einer verdächtigen Microsoft Entra-Anmeldung (VORSCHAU) Verdächtige Freigabe von Power BI-Berichten nach einer verdächtigen Microsoft Entra-Anmeldung
Denial of Service	(VORSCHAU) Mehrere VM-Löschaktivitäten nach verdächtiger Microsoft Entra-Anmeldung
Seitwärtsbewegung	Office 365 Identitätswechsel im Anschluss an eine verdächtige Microsoft Entra-Anmeldung (VORSCHAU) Festlegung verdächtiger Regeln zur Posteingangsänderung nach einer verdächtigen Microsoft Entra-Anmeldung
Böswillige administrative Aktivität	Verdächtige administrative Aktivität in der Cloud-App im Anschluss an eine verdächtige Microsoft Entra-Anmeldung (VORSCHAU) E-Mail-Weiterleitungsaktivitäten nach neuer Administratorkontoaktivität, die zuletzt nicht angezeigt wurde
Böswillige Ausführung mit legitimem Prozess	(VORSCHAU) PowerShell hat eine verdächtige Netzwerkverbindung hergestellt, gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr (VORSCHAU) Verdächtige WMI-Remoteausführung, gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr Verdächtige PowerShell-Befehlszeile nach verdächtiger Anmeldung
Malware C2 oder Download	(VORSCHAU) Von Fortinet erkanntes Beaconmuster nach mehreren fehlgeschlagenen Benutzeranmeldungen bei einem Dienst (VORSCHAU) Von Fortinet erkanntes Beaconmuster nach verdächtiger Microsoft Entra-Anmeldung (VORSCHAU) Netzwerkanforderung an den TOR-Anonymisierungsdienst gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr (VORSCHAU) Ausgehende Verbindung mit IP mit einem Verlauf nicht autorisierter Zugriffsversuche, gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr
Persistenz	(VORSCHAU) Seltene Anwendungseinwilligung nach verdächtiger Anmeldung
Ransomware	Ransomware-Ausführung im Anschluss an eine verdächtige Microsoft Entra-Anmeldung
Remoteausnutzung	(VORSCHAU) Verdacht der Nutzung eines Angriffsframeworks, gefolgt von anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr
Ressourcenübernahme	(VORSCHAU) Verdächtige Ressourcen-/Ressourcengruppenbereitstellung durch einen zuvor unbekannten Aufrufer im Anschluss an eine verdächtige Microsoft Entra-Anmeldung

Zugehöriger Inhalt

Weitere Informationen finden Sie unter:

• Von der Fusion-Engine von Microsoft Sentinel erkannte Szenarien
• Konfigurieren von Erkennungsregeln für mehrstufige Angriffe (Fusion) in Microsoft Sentinel