Compartilhar via


Detecção avançada de ataques multiestágio no Microsoft Sentinel

Importante

Algumas detecções do Fusion (veja as que estão indicadas abaixo) atualmente estão em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

O Microsoft Sentinel usa o Fusion, um mecanismo de correlação baseado em algoritmos escalonáveis de aprendizado de máquina para detectar ataques multiestágio (também conhecidos como ameaças persistentes avançadas ou APT) automaticamente, identificando combinações de comportamentos anômalos e atividades suspeitas observados em vários estágios da cadeia de destruição. Com base nessas descobertas, o Microsoft Sentinel gera incidentes que, de outra forma, seriam difíceis de detectar. Esses incidentes incluem dois alertas ou mais de atividades. Por design, esses incidentes são de baixo volume, alta fidelidade e alta gravidade.

Personalizado para seu ambiente, essa tecnologia de detecção não apenas reduz as taxas de falso positivo, mas também pode detectar ataques com informações limitadas ou ausentes.

Como o Fusion correlaciona vários sinais de diversos produtos para a detecção avançada de ataques multiestágio, as detecções bem-sucedidas do Fusion são apresentadas como incidentes do Fusion na página Incidentes do Microsoft Sentinel e não como alertas, e são armazenadas na tabela SecurityIncident em Logs e não na tabela SecurityAlert.

Configurar o Fusion

O Fusion é habilitado por padrão no Microsoft Sentinel como uma regra de análise chamada de Detecção avançada de ataques multiestágio. Você pode exibir e alterar o status da regra, configurar sinais de origem a serem incluídos no modelo de ML do Fusion ou excluir padrões de detecção específicos que podem não ser aplicáveis ao ambiente na detecção do Fusion. Saiba como configurar a regra do Fusion.

Observação

No momento, o Microsoft Sentinel usa 30 dias do histórico de dados para treinar os algoritmos de aprendizado de máquina do mecanismo do Fusion. Esses dados são sempre criptografados usando as chaves da Microsoft conforme passam pelo pipeline do aprendizado de máquina. No entanto, os dados de treinamento não serão criptografados usando as CMK (Chaves Gerenciadas pelo Cliente) se você as habilitar em seu espaço de trabalho do Microsoft Sentinel. Para recusar o Fusion, navegue até Microsoft Sentinel>Configuração>Análise > Regras Ativas, clique com o botão direito do mouse em Detecção Avançada de Ataques Multiestágio e selecione Desabilitar.

Nos workspaces do Microsoft Sentinel que estão integrados ao portal do Microsoft Defender, o Fusion foi desabilitado. A funcionalidade dele foi substituída pelo mecanismo de correlação do Microsoft Defender XDR.

Fusion para ameaças emergentes

Importante

  • No momento, a detecção baseada no Fusion para ameaças emergentes está em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O volume de eventos de segurança continua aumentando e o escopo e a sofisticação dos ataques estão em constante desenvolvimento. Podemos definir os cenários de ataque conhecidos, mas e quanto às ameaças emergentes e desconhecidas no ambiente?

O mecanismo do Fusion alimentado por ML do Microsoft Sentinel pode ajudar a encontrar as ameaças emergentes e desconhecidas no ambiente aplicando a análise de ML estendida e correlacionando um escopo mais abrangente dos sinais anômalos e, ao mesmo tempo, mantendo a fadiga do alerta baixa.

Os algoritmos de ML do Mecanismo do Fusion aprendem constantemente com ataques existentes e aplicam as análises com base em como os analistas de segurança pensam. Portanto, ele pode descobrir ameaças não detectadas anteriormente entre milhões de comportamentos anômalos em toda a cadeia de ataque por todo seu ambiente, o que ajuda você a ficar um passo à frente dos invasores.

O Fusion para ameaças emergentes dá suporte à coleta e análise de dados das seguintes fontes:

  • Detecções de anomalias imediatas
  • Alertas dos produtos da Microsoft:
    • Proteção do Microsoft Entra ID
    • Microsoft Defender para Nuvem
    • Microsoft Defender para IoT
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender para ponto de extremidade
    • Microsoft Defender para Identidade
    • Microsoft Defender para Office 365
  • Alertas de regras de análises agendadas. As regras de análises precisam conter as informações do mapeamento de entidade e de kill-chain (táticas) para serem usadas pelo Fusion.

Você não precisa ter conectado todas as fontes de dados listadas acima para que o Fusion para ameaças emergentes funcione. No entanto, quanto mais fontes de dados você tiver conectado, mais ampla será a cobertura e mais ameaças serão encontradas pelo Fusion.

Quando as correlações do mecanismo do Fusion resultam na detecção de uma ameaça emergente, um incidente de alta severidade chamado de “Possíveis atividades de ataques multiestágio detectadas pelo Fusion” é gerado na tabela Incidentes no espaço de trabalho do Microsoft Sentinel.

Fusion para ransomware

O mecanismo do Fusion do Microsoft Sentinel gera um incidente, quando detecta vários alertas de diferentes tipos das seguintes fontes de dados, e determina se eles podem estar relacionados à atividade de ransomware:

Esses incidentes de fusão são chamados de Vários alertas possivelmente relacionados à detecção de atividade de Ransomware e são gerados quando alertas relevantes são detectados durante um período específico e são associados aos estágios de Execução e Evasão de Defesa de um ataque.

Por exemplo, o Microsoft Sentinel geraria um incidente para possíveis atividades de ransomware se os seguintes alertas fossem disparados no mesmo host dentro de um período de tempo específico:

Alerta Fonte Severidade
Eventos de erro e aviso do Windows Regras de análise agendada do Microsoft Sentinel informativo
O ransomware 'GandCrab' foi impedido Microsoft Defender para Nuvem média
O malware 'Emotet' foi detectado Microsoft Defender para ponto de extremidade informativo
O backdoor 'Tofsee' foi detectado Microsoft Defender para Nuvem low
O malware 'Parite' foi detectado Microsoft Defender para ponto de extremidade informativo

Detecções do Fusion baseadas no cenário

A seção a seguir lista os tipos de ataques multiestágio baseados no cenário, agrupados por classificação de ameaças, que o Microsoft Sentinel detecta usando o mecanismo de correlação do Fusion.

Para habilitar esses cenários de detecção de ataques alimentados pelo Fusion, as fontes de dados associadas devem ser ingeridas no workspace do Log Analytics. Selecione os links na tabela abaixo para saber mais sobre cada cenário e as fontes de dados associadas.

Observação

Alguns desses cenários estão em versão PRÉVIA. Eles serão indicados.

Classificação de ameaças Cenários
Abuso dos recursos de computação
Acesso de credenciais
Coletando credenciais
Criptomineração
Destruição de dados
Exfiltração dos dados
Negação de serviço
Movimento lateral
Atividade administrativa mal-intencionada
Execução mal-intencionada
com processo legítimo
Malware C2 ou download
Persistência
Ransomware
Exploração remota
Sequestro de recursos

Próximas etapas

Obtenha mais informações sobre a detecção avançada de ataques multiestágio do Fusion:

Agora que você aprendeu mais sobre a detecção avançada de ataques multiestágio, talvez esteja interessado no guia de início rápido a seguir para saber como obter visibilidade de seus dados e possíveis ameaças: Introdução ao Microsoft Sentinel.

Se estiver pronto para investigar os incidentes criados para você, confira o seguinte tutorial: Investigar incidentes com o Microsoft Sentinel.