Avancerad attackidentifiering i flera steg i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal

Microsoft Sentinel använder Fusion, en korrelationsmotor baserad på skalbara maskininlärningsalgoritmer, för att automatiskt identifiera flerstegsattacker (även kallade avancerade beständiga hot eller APT) genom att identifiera kombinationer av avvikande beteenden och misstänkta aktiviteter som observeras i olika skeden av killkedjan. Baserat på dessa identifieringar genererar Microsoft Sentinel incidenter som annars skulle vara svåra att fånga. Dessa incidenter består av två eller flera aviseringar eller aktiviteter. De här incidenterna är avsiktligt lågvolym, hög återgivning och hög allvarlighetsgrad.

Den här identifieringstekniken är anpassad för din miljö och minskar inte bara antalet falska positiva identifieringar utan kan även identifiera attacker med begränsad eller saknad information.

Eftersom Fusion korrelerar flera signaler från olika produkter för att identifiera avancerade flerstegsattacker visas lyckade fusionsidentifieringar som fusionsincidenter på sidan Microsoft Sentinel-incidenter och inte som aviseringar, och lagras i tabellen SecurityIncident i loggar och inte i tabellen SecurityAlert.

Konfigurera fusion

Fusion är aktiverat som standard i Microsoft Sentinel, som en analysregel som kallas Avancerad identifiering av flerstegsattacker. Du kan visa och ändra status för regeln, konfigurera källsignaler som ska ingå i Fusion ML-modellen eller exkludera specifika identifieringsmönster som kanske inte är tillämpliga för din miljö från fusionsidentifiering. Lär dig hur du konfigurerar fusionsregeln.

Kommentar

Microsoft Sentinel använder för närvarande 30 dagars historiska data för att träna Fusion-motorns maskininlärningsalgoritmer. Dessa data krypteras alltid med Hjälp av Microsofts nycklar när de passerar genom maskininlärningspipelinen. Träningsdata krypteras dock inte med hjälp av kundhanterade nycklar (CMK) om du har aktiverat CMK på din Microsoft Sentinel-arbetsyta. Om du vill avanmäla dig från Fusion går du till Microsoft Sentinel>Configuration>Analytics > Active-regler, högerklickar på regeln För avancerad identifiering av flerstegsattacker och väljer Inaktivera.

För Microsoft Sentinel-arbetsytor som är registrerade på Microsoft Defender-portalen inaktiveras Fusion. Dess funktioner ersätts av Microsoft Defender XDR-korrelationsmotorn.

Fusion för nya hot

Viktigt!

Angivna fusionsidentifieringar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Konfigurera fusion

Fusion är aktiverat som standard i Microsoft Sentinel, som en analysregel som kallas Avancerad identifiering av flerstegsattacker. Du kan visa och ändra status för regeln, konfigurera källsignaler som ska ingå i Fusion ML-modellen eller exkludera specifika identifieringsmönster som kanske inte är tillämpliga för din miljö från Fusion-identifiering. Lär dig hur du konfigurerar fusionsregeln.

Du kanske vill avregistrera dig från Fusion om du har aktiverat kundhanterade nycklar (CMK) på din arbetsyta. Microsoft Sentinel använder för närvarande 30 dagars historiska data för att träna Fusion-motorns maskininlärningsalgoritmer, och dessa data krypteras alltid med Hjälp av Microsofts nycklar när de passerar genom maskininlärningspipelinen. Träningsdata krypteras dock inte med hjälp av CMK. Om du vill avanmäla dig från Fusion inaktiverar du analysregeln för avancerad attackidentifiering i Microsoft Sentinel. Mer information finns i Konfigurera fusionsregler.

Fusion är inaktiverat på Microsoft Sentinel-arbetsytor som är registrerade på Microsofts SecOps-plattform (Unified Security Operations) i Microsoft Defender-portalen. När du arbetar med Microsofts enhetliga SecOps-plattform ersätts i stället funktioner som tillhandahålls av Fusion av Korrelationsmotorn microsoft Defender XDR.

Fusion för nya hot (förhandsversion)

Volymen av säkerhetshändelser fortsätter att växa och omfattningen och sofistikeringen av attacker ökar ständigt. Vi kan definiera kända attackscenarier, men vad sägs om de nya och okända hoten i din miljö?

Microsoft Sentinels ML-baserade fusionsmotor kan hjälpa dig att hitta de nya och okända hoten i din miljö genom att tillämpa utökad ML-analys och genom att korrelera ett bredare omfång av avvikande signaler, samtidigt som varningströttheten hålls låg.

Fusionsmotorns ML-algoritmer lär sig ständigt av befintliga attacker och tillämpar analys baserat på hur säkerhetsanalytiker tänker. Den kan därför upptäcka tidigare oupptäckta hot från miljontals avvikande beteenden i hela din miljö, vilket hjälper dig att ligga steget före angriparna.

Fusion för nya hot stöder datainsamling och analys från följande källor:

• Färdiga avvikelseidentifieringar

• Aviseringar från Microsoft-tjänster:

  • Microsoft Entra ID Protection
  • Microsoft Defender for Cloud
  • Microsoft Defender for IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender för slutpunkter
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365

• Aviseringar från schemalagda analysregler. Analysregler måste innehålla kill-chain (taktik) och entitetsmappningsinformation för att kunna användas av Fusion.

Du behöver inte ha anslutit alla datakällor som anges ovan för att fusion för nya hot ska fungera. Men ju fler datakällor du har anslutit, desto bredare täckning och desto fler hot hittar Fusion.

När fusionsmotorns korrelationer resulterar i identifiering av ett framväxande hot genererar Microsoft Sentinel en incident med hög allvarlighetsgrad med titeln Möjliga flerstegsattacker som identifierats av Fusion.

Fusion för utpressningstrojaner

Microsoft Sentinels Fusion-motor genererar en incident när den identifierar flera aviseringar av olika typer från följande datakällor och fastställer att de kan vara relaterade till utpressningstrojanaktivitet:

• Microsoft Defender för molnet
• Microsoft Defender för Endpoint
• Microsoft Defender för identitetsanslutning
• Microsoft Defender for Cloud Apps
• Schemalagda analysregler för Microsoft Sentinel. Fusion tar endast hänsyn till schemalagda analysregler med taktikinformation och mappade entiteter.

Sådana Fusion-incidenter namnges Flera aviseringar som kan vara relaterade till utpressningstrojanaktivitet som identifieras och genereras när relevanta aviseringar identifieras under en viss tidsram och är associerade med körnings- och försvarsundandragandefaserna i en attack.

Microsoft Sentinel skulle till exempel generera en incident för möjliga utpressningstrojanaktiviteter om följande aviseringar utlöses på samma värd inom en viss tidsram:

Varning	Källa	Allvarlighet
Windows-fel- och varningshändelser	Schemalagda analysregler för Microsoft Sentinel	Informativt
Utpressningstrojanen "GandCrab" förhindrades	Microsoft Defender for Cloud	medel
Skadlig kod för "Emotet" har identifierats	Microsoft Defender för Endpoint	Informativt
"Tofsee"-bakdörren identifierades	Microsoft Defender for Cloud	Låg
Skadlig kod för "Parite" har identifierats	Microsoft Defender för Endpoint	Informativt

Scenariobaserade fusionsidentifieringar

I följande avsnitt visas de typer av scenariobaserade flerstegsattacker, grupperade efter hotklassificering, som Microsoft Sentinel identifierar med hjälp av fusionskorrelationsmotorn.

För att aktivera dessa fusionsdrivna attackidentifieringsscenarier måste deras associerade datakällor matas in på Din Log Analytics-arbetsyta. Välj länkarna i tabellen nedan för att lära dig mer om varje scenario och dess associerade datakällor.

Hotklassificering	Scenarier
Missbruk av beräkningsresurser	(FÖRHANDSVERSION) Flera aktiviteter för att skapa virtuella datorer efter misstänkt Microsoft Entra-inloggning
Åtkomst till autentiseringsuppgifter	(FÖRHANDSVERSION) Flera lösenord återställs av användaren efter misstänkt inloggning (FÖRHANDSVERSION) Misstänkt inloggning sammanfaller med lyckad inloggning till Palo Alto VPN efter IP med flera misslyckade Microsoft Entra-inloggningar
Insamling av autentiseringsuppgifter	Körning av verktyg för stöld av skadliga autentiseringsuppgifter efter misstänkt inloggning Misstänkt stöld av autentiseringsuppgifter efter misstänkt inloggning
Kryptoutvinning	Kryptoutvinningsaktivitet efter misstänkt inloggning
Dataförstörelse	Massfilborttagning efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Massfilborttagning efter lyckad Microsoft Entra-inloggning från IP-adress blockerad av en Cisco-brandväggsinstallation (FÖRHANDSVERSION) Massfilborttagning efter lyckad inloggning till Palo Alto VPN efter IP med flera misslyckade Microsoft Entra-inloggningar (FÖRHANDSVERSION) Misstänkt e-postborttagningsaktivitet efter misstänkt Microsoft Entra-inloggning
Dataexfiltrering	(FÖRHANDSVERSION) Vidarebefordran av e-postaktiviteter efter ny administratörskontoaktivitet som inte har setts nyligen Massfilnedladdning efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Massfilnedladdning efter lyckad Microsoft Entra-inloggning från IP-adress blockerad av en Cisco-brandväggsinstallation (FÖRHANDSVERSION) Massfilnedladdning som sammanföll med SharePoint-filåtgärd från tidigare osedda IP-adresser Massfildelning efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Flera Power BI-rapportdelningsaktiviteter efter misstänkt Microsoft Entra-inloggning Utfiltrering av Office 365-postlåda efter en misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) SharePoint-filåtgärd från tidigare osedda IP-adresser efter identifiering av skadlig kod (FÖRHANDSVERSION) Regler för misstänkt inkorgsmanipulering har angetts efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Misstänkt Power BI-rapportdelning efter misstänkt Microsoft Entra-inloggning
Denial of Service	(FÖRHANDSVERSION) Flera aktiviteter för borttagning av virtuella datorer efter misstänkt Microsoft Entra-inloggning
Lateral förflyttning	Office 365-personifiering efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Regler för misstänkt inkorgsmanipulering har angetts efter misstänkt Microsoft Entra-inloggning
Skadlig administrativ aktivitet	Misstänkt administrativ aktivitet för molnappar efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Vidarebefordran av e-postaktiviteter efter ny administratörskontoaktivitet som inte har setts nyligen
Skadlig körning med legitim process	(FÖRHANDSVERSION) PowerShell gjorde en misstänkt nätverksanslutning, följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen (FÖRHANDSVERSION) Misstänkt fjärr-WMI-körning följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen Misstänkt PowerShell-kommandorad efter misstänkt inloggning
C2 eller nedladdning av skadlig kod	(FÖRHANDSVERSION) Beacon-mönster som identifierats av Fortinet efter flera misslyckade användarinloggningar till en tjänst (FÖRHANDSVERSION) Beacon-mönster upptäckt av Fortinet efter misstänkt Microsoft Entra-inloggning (FÖRHANDSVERSION) Nätverksbegäran till TOR-anonymiseringstjänsten följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen (FÖRHANDSVERSION) Utgående anslutning till IP med en historik över obehöriga åtkomstförsök följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen
Ståndaktighet	(FÖRHANDSVERSION) Sällsynt programmedgivande efter misstänkt inloggning
Utpressningstrojan	Utpressningstrojankörning efter misstänkt Microsoft Entra-inloggning
Fjärrexploatering	(FÖRHANDSVERSION) Misstänkt användning av attackramverk följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen
Resurskapning	(FÖRHANDSVERSION) Misstänkt resurs-/resursgruppsdistribution av en tidigare osedda uppringare efter misstänkt Microsoft Entra-inloggning

Relaterat innehåll

Mer information finns i:

• Scenarier som identifierats av Microsoft Sentinel Fusion-motorn
• Konfigurera regler för identifiering av flerstegsattacker (Fusion) i Microsoft Sentinel