Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
Внимание
Некоторые функции обнаружения Fusion (см. ниже) сейчас доступны в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Microsoft Sentinel использует Fusion, подсистему корреляции на основе масштабируемых алгоритмов машинного обучения, для автоматического обнаружения многоэтапных атак (также называются постоянными серьезными угрозами, или APT) путем выявления сочетаний аномального поведения и подозрительных действий, наблюдаемых на различных этапах цепочки нарушения безопасности. На основе этих наблюдений в Microsoft Sentinel создаются инциденты, которые трудно выявить иным образом. Эти инциденты состоят из двух или большего количества оповещений или действий. Как предусмотрено при разработке, у этих инцидентов небольшой объем, они обладают высокой точностью, их последствия высокоэффективны.
Эта технология обнаружения, настроенная для вашей среды, не только сокращает количество ложных положительных срабатываний, но и позволяет обнаруживать атаки при ограниченном объеме информации о них или при ее отсутствии.
Так как Fusion сопоставляет несколько сигналов, поступающих от различных продуктов, для обнаружения расширенных многоэтапных атак, успешно выполненные Fusion обнаружения представляются как инциденты Fusion на странице Инциденты в Microsoft Sentinel, а не как оповещения, и хранятся в таблице SecurityIncident в разделе Журналы, а не в таблице SecurityAlert.
Настройка Fusion
Подсистема Fusion включена по умолчанию в Microsoft Sentinel в виде правила аналитики с именем Обнаружение расширенных многоэтапных атак. Вы можете просматривать и изменять состояние правила, настраивать сигналы источников для включения в модель машинного обучения Fusion или исключать из обнаружений Fusion определенные шаблоны обнаружения, которые могут не применяться к вашей среде. Узнайте, как настроить правило Fusion.
Примечание.
В настоящее время на обучение алгоритмов машинного обучения подсистемы Fusion решению Microsoft Sentinel требуются исторические данных за период 30 дней. Эти данные всегда шифруются с помощью ключей корпорации Майкрософт по мере их прохождения через процесс машинного обучения. Но данные обучения не шифруются с помощью ключей, управляемых клиентом (CMK), даже если вы включили использование CMK в рабочей области Microsoft Sentinel. Чтобы отказаться от использования Fusion, перейдите к разделу Microsoft Sentinel>Настройка>Аналитика > Активные правила, щелкните правой кнопкой мыши правило Расширенное обнаружение многоэтапных атак и выберите Отключить.
Для рабочих областей Microsoft Sentinel, подключенных к порталу Microsoft Defender, Fusion отключен. Его функциональные возможности заменяются подсистемой корреляции XDR в Microsoft Defender.
Fusion для новых угроз
Внимание
- Обнаружение новых угроз на основе Fusion в настоящее время находится на этапе предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Объем событий безопасности продолжит расти, а охват и сложность атак постоянно увеличиваются. Мы можем определить известные сценарии атак, но как насчет новых и неизвестных угроз в вашей среде?
Подсистема Fusion на основе машинного обучения в Microsoft Sentinel позволяет находить новые и неизвестные угрозы в среде, применяя расширенный анализ на базе машинного обучения, вычисляя более широкую область аномальных сигналов и при этом сохраняя низкий объем оповещений.
Алгоритмы машинного обучения подсистемы Fusion постоянно обучаются на основе существующих атак и применяют аналитику на основе выводов аналитиков безопасности. Таким образом, она может обнаружить ранее необнаруженные угрозы среди миллионов примеров аномального поведения в цепочке нарушения безопасности в среде, что позволяет быть на шаг впереди злоумышленников.
Fusion для новых угроз поддерживает сбор и анализ данных из следующих источников:
- Обнаружение аномалий с использованием встроенных средств
- Оповещения от продуктов Майкрософт:
- Защита идентификации Microsoft Entra
- Microsoft Defender для облака
- Microsoft Defender для Интернета вещей
- Microsoft Defender XDR
- Microsoft Defender для облачных приложений
- Защитник Майкрософт для конечных точек
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365;
- Оповещения из правил запланированной аналитики. Правила аналитики должны содержать сведения о сопоставлении сущностей и цепочки убийств (тактики) для использования Fusion.
Вам не нужно подключать все источники данных, перечисленные выше, чтобы сделать Fusion для работы с новыми угрозами. Но чем больше источников данных подключено, тем шире покрытие и тем больше угроз обнаружит Fusion.
Когда по корреляциям подсистемы Fusion выполняется обнаружение новой угрозы, создается инцидент высокого уровня серьезности с именем Fusion обнаружены возможные действия многоэтапной атаки в таблице Инциденты вашей рабочей области Microsoft Sentinel.
Fusion для программ-шантажистов
Подсистема Fusion Microsoft Sentinel создает инцидент при обнаружении нескольких предупреждений различных типов из следующих источников данных и определяет, что они могут быть связаны с действиями программ-шантажистов:
- Microsoft Defender для облака
- Microsoft Defender для конечной точки
- соединитель Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Правила аналитики по расписанию в Microsoft Sentinel. Fusion учитывает только правила аналитики по расписанию с информацией о тактике и сопоставленными сущностями.
Такие инциденты Fusion называются Несколько предупреждений, которые могут быть связаны с обнаруженной активностью программ-шантажистов, создаются при обнаружении соответствующих оповещений за определенный период времени и связаны с этапами атаки Выполнение и Обход защиты.
Например, Microsoft Sentinel создает инцидент для возможной активности программ-шантажистов, если на одном узле за определенный период времени активируются следующие оповещения:
Предупреждение | Исходный код | Важность |
---|---|---|
События ошибок и предупреждений Windows | Правила аналитики по расписанию в Microsoft Sentinel | информационный |
Выполнение программы-шантажиста GandCrab было предотвращено | Microsoft Defender для облака | medium |
Обнаружена вредоносная программа Emotet | Microsoft Defender для конечной точки; | информационный |
Обнаружена вредоносная программа Tofsee | Microsoft Defender для облака | Низкий |
Обнаружена вредоносная программа Parite | Microsoft Defender для конечной точки; | информационный |
Обнаружения Fusion на основе сценариев
В следующем разделе приведены типы многоступенчатых атак на основе сценариев, сгруппированные по классификации угроз, которые Microsoft Sentinel обнаруживает с помощью механизма корреляции Fusion.
Чтобы включить эти сценарии обнаружения атак на основе технологии Fusion, их связанные источники данных должны быть приняты в рабочую область Log Analytics. Выберите ссылки в таблице ниже, чтобы узнать о каждом сценарии и связанных с ним источниках данных.
Примечание.
Некоторые из этих сценариев находятся на стадии предварительной версии. Они отмечены соответствующим образом.
Следующие шаги
См. дополнительные сведения об обнаружении расширенных многоэтапных атак:
- Дополнительные сведения об обнаружении атак в Fusion на основе сценариев.
- Сведения о настройке правил Fusion.
Теперь, когда вы узнали больше об обнаружении расширенных многоэтапных атак, вас может заинтересовать следующее краткое руководство, позволяющее узнать, как получить контроль над данными и потенциальными угрозами: Начало работы с Microsoft Sentinel.
Сведения о готовых инцидентах см. в руководстве Исследование инцидентов с помощью Microsoft Sentinel.