Détection avancée des attaques multiphases dans Microsoft Sentinel
Important
Certaines détections de Fusion (voir celles indiquées ci-dessous) sont actuellement en préversion. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
Microsoft Sentinel utilise Fusion, un moteur de corrélation basé sur des algorithmes évolutifs de Machine Learning, pour détecter automatiquement les attaques multiphases (également connues sous le nom de menaces persistantes avancées ou APT) en identifiant des combinaisons de comportements anormaux et d’activités suspectes observés à différentes étapes de la chaîne de destruction. Sur la base de ces découvertes, Microsoft Sentinel génère des incidents qui seraient autrement difficiles à intercepter. Ces incidents comprennent au moins deux alertes ou activités. Le système est conçu de façon à ce que ces incidents soient peu volumineux, soient détectés avec une haute fidélité, et présentent un niveau de gravité élevé.
Personnalisée pour votre environnement, cette technologie de détection, en plus de réduire la fréquence de faux positifs, peut détecter des attaques même si les informations sont limitées ou si certaines informations sont manquantes.
Étant donné que Fusion met en corrélation plusieurs signaux provenant de divers produits pour détecter les attaques multiphases avancées, les détections réussies de Fusion sont présentées en tant qu’incidents Fusion sur la page Incidents de Microsoft Sentinel et non en tant qu’alertes et sont stockées dans la table SecurityIncident dans Journaux et non dans la table SecurityAlerts.
Configurer Fusion
Fusion est activé par défaut dans Microsoft Sentinel, en tant que règle d’analyse appelée Détection d’attaques multiphases avancées. Vous pouvez afficher et modifier l’état de la règle, configurer des signaux source à inclure dans le modèle de ML de Fusion ou exclure des modèles de détection spécifiques qui peuvent ne pas être applicables à votre environnement à partir de la détection de Fusion. Découvrir comment configurer la règle Fusion.
Notes
Microsoft Sentinel utilise actuellement 30 jours de données historiques pour former les algorithmes de Machine Learning du moteur Fusion. Ces données sont toujours chiffrées à l’aide des clés de Microsoft à mesure qu’elles passent par le pipeline de Machine Learning. Cependant, les données de formation ne sont pas chiffrées à l’aide de clés gérées par le client (CMK) si vous avez activé CMK dans votre espace de travail Microsoft Sentinel. Pour désactiver Fusion, accédez à Microsoft Sentinel>Configuration>Analytique > Règles actives, cliquez avec le bouton droit sur la règle Détection des attaques multiphases avancées et sélectionnez Désactiver.
Pour les espaces de travail Microsoft Sentinel qui sont intégrés au portail Microsoft Defender, Fusion est désactivé. Sa fonctionnalité est remplacée par le moteur de corrélation Microsoft Defender XDR.
Fusion pour les menaces émergentes
Important
- La détection basée sur Fusion pour les menaces émergentes est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Le volume des événements de sécurité continue de croître, et l’étendue et la sophistication des attaques augmentent encore. Nous pouvons définir les scénarios d’attaque connues, mais qu’en-est-il des menaces émergentes et inconnues dans votre environnement ?
Le moteur Fusion basé sur le ML de Microsoft Sentinel peut vous aider à identifier les menaces émergentes et inconnues dans votre environnement en appliquant une analyse de ML étendue et en mettant en corrélation un large éventail de signaux anormaux, tout en réduisant le niveau de fatigue des alertes.
Les algorithmes de ML du moteur Fusion se forment constamment contre les attaques existantes et appliquent une analyse en fonction de la façon de penser des analystes de sécurité. Il peut donc découvrir des menaces non détectées auparavant à partir de millions de comportements anormaux sur l’ensemble de la chaîne de destruction de votre environnement, ce qui vous permet d’avoir une longueur d’avance sur les attaquants.
Fusion pour les menaces émergentes prend en charge la collecte et l’analyse des données à partir des sources suivantes :
- Détections d’anomalies prêtes à l’emploi
- Alertes des produits Microsoft :
- Protection de l'identifiant Microsoft Entra
- Microsoft Defender pour le cloud
- Microsoft Defender pour IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender pour Identity
- Microsoft Defender pour Office 365
- Alertes à partir de règles d’analytique planifiées. Les règles d’analyse doivent contenir une chaîne de destructions (tactiques) et des informations de mappage d’entité pour pouvoir être utilisées par Fusion.
Vous n’avez pas besoin de connecter toutes les sources de données mentionnées ci-dessus pour que Fusion fonctionne sur les menaces émergentes. Toutefois, plus le nombre de sources de données que vous avez connectées est important, plus la couverture est large et Fusion trouvera alors plus de menaces.
Lorsque les corrélations du moteur Fusion entraînent la détection d’une menace émergente, un incident de gravité élevée intitulé « Activités d’attaques multiphases potentielles détectées par Fusion » est généré dans la table incidents de votre espace de travail Microsoft Sentinel.
Fusion pour ransomware
Le moteur Fusion de Microsoft Sentinel génère un incident lorsqu’il détecte plusieurs alertes de types différents à partir des sources de données suivantes et détermine qu’elles peuvent être associées à une activité de ransomware :
- Microsoft Defender pour le cloud
- Microsoft Defender for Endpoint
- Connecteur Microsoft Defender pour Identity
- Microsoft Defender for Cloud Apps
- Règles d’analyse planifiée de Microsoft Sentinel. Fusion prend uniquement en compte les règles analytiques planifiées avec des informations de tactique et des entités mappées.
De tels incidents Fusion sont nommés Alertes multiples possiblement liées à l’activité Ransomware détectée et sont générés lorsque des alertes connexes sont détectées pendant un délai d’exécution spécifique et sont associées aux étapes Exécution et Évasion défense sur une attaque.
Par exemple, Microsoft Sentinel génère un incident pour les éventuelles activités de Ransomware si les alertes suivantes sont déclenchées sur le même hôte dans un délai d’exécution spécifique :
Alerte | Source | severity |
---|---|---|
Événements d'erreur et d'avertissement Windows | Règles d’analyse planifiée de Microsoft Sentinel | information |
Le ransomware « GandCrab » a été évité | Microsoft Defender pour le cloud | moyenne |
Le programme malveillant « Emotet » a été détecté | Microsoft Defender for Endpoint | information |
La Porte dérobée « Tofsee » a été détectée | Microsoft Defender pour le cloud | low |
Le programme malveillant « Parite » a été détecté | Microsoft Defender for Endpoint | information |
Détections de Fusion basées sur un scénario
La section suivante répertorie les types d'attaques multiphases basées sur des scénarios, regroupées par classification des menaces, que Microsoft Sentinel détecte à l’aide du moteur de corrélation Fusion.
Pour activer ces scénarios de détection d’attaques par Fusion, les sources de données associées doivent être ingérées dans votre espace de travail Log Analytics. Sélectionnez les liens dans le tableau ci-dessous pour en savoir plus sur chaque scénario et ses sources de données associées.
Notes
Certains de ces scénarios sont en PRÉVERSION. Cela est spécifié.
Étapes suivantes
Obtenir plus d’informations sur la détection d’attaques multiphases avancées Fusion :
- En savoir plus sur les détections d’attaques basées sur un scénario Fusion.
- Découvrir comment configurer les règles Fusion.
Maintenant que vous en savez plus sur la détection avancée des attaques multiphases, il peut vous être utile de suivre le guide de démarrage suivant pour savoir comment bénéficier d’une visibilité sur vos données et sur les menaces potentielles : Bien démarrer avec Microsoft Sentinel.
Si vous êtes prêt à examiner les incidents créés pour vous, consultez le tutoriel suivant : Examiner les incidents avec Microsoft Sentinel.