Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
Důležité
Některé fúzní detekce (viz níže uvedené) jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Poznámka:
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.
Microsoft Sentinel používá fúzní modul založený na škálovatelných algoritmech strojového učení k automatickému zjišťování útoků s více fázemi (označovaných také jako pokročilé trvalé hrozby nebo APT) tím, že identifikuje kombinace neobvyklého chování a podezřelých aktivit, které se sledují v různých fázích řetězce kill. Na základě těchto zjištění generuje Microsoft Sentinel incidenty, které by jinak bylo obtížné zachytit. Tyto incidenty zahrnují dvě nebo více výstrah nebo aktivit. Tyto incidenty jsou záměrně nízké, vysoce věrné a vysoce závažné.
Přizpůsobená pro vaše prostředí tato technologie detekce nejen snižuje počet falešně pozitivních výsledků, ale může také detekovat útoky s omezenými nebo chybějícími informacemi.
Vzhledem k tomu, že fusion koreluje více signálů z různých produktů k detekci pokročilých útoků s více fázemi, zobrazí se úspěšné detekce fúzí na stránce Incidenty služby Microsoft Sentinel, nikoli jako výstrahy, a jsou uloženy v tabulce SecurityIncident v protokolech a ne v tabulce SecurityAlert.
Konfigurace fúzní
Fúze je ve výchozím nastavení povolená v Microsoft Sentinelu jako analytické pravidlo označované jako pokročilá detekce útoků s více fázemi. Můžete zobrazit a změnit stav pravidla, nakonfigurovat zdrojové signály tak, aby byly zahrnuty do modelu Fusion ML, nebo vyloučit konkrétní vzorce detekce, které nemusí být použitelné pro vaše prostředí z detekce Fusion. Zjistěte, jak nakonfigurovat pravidlo fusion.
Poznámka:
Microsoft Sentinel v současné době používá 30 dnů historických dat k trénování algoritmů strojového učení modulu Fusion. Tato data se při průchodu kanálem strojového učení vždy šifrují pomocí klíčů Microsoftu. Trénovací data se ale nešifrují pomocí klíčů spravovaných zákazníkem (CMK), pokud jste v pracovním prostoru Služby Microsoft Sentinel povolili CMK. Chcete-li zrušit fúzi, přejděte na aktivní pravidla analýzy konfigurace >>Služby Microsoft Sentinel>, klikněte pravým tlačítkem na pravidlo rozšířené detekce útoků Multistage a vyberte Zakázat.
V pracovních prostorech Microsoft Sentinelu, které jsou nasazené na sjednocené platformě operací zabezpečení na portálu Microsoft Defender, je fusion zakázaná, protože její funkce je nahrazena korelačním modulem XDR v programu Microsoft Defender.
Fúze pro vznikající hrozby
Důležité
- Detekce nově vznikajících hrozeb založená na fúzi je v současné době ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Objemudálostch Můžeme definovat známé scénáře útoku, ale jak na vznikající a neznámé hrozby ve vašem prostředí?
Modul fúzní fúze od Microsoft Sentinelu vám pomůže najít nově vznikající a neznámé hrozby ve vašem prostředí použitím rozšířené analýzy ML a korelací širšího rozsahu neobvyklých signálů a zachováním nízké únavy výstrah.
Algoritmy strojového učení modulu Fusion se neustále učí od stávajících útoků a používají analýzu na základě toho, jak si myslí analytici zabezpečení. Proto může objevit dříve nezjištěné hrozby z milionů neobvyklých chování v rámci řetězu kill-chain v celém vašem prostředí, což vám pomůže zůstat o krok před útočníky.
Fúze pro vznikající hrozby podporuje shromažďování a analýzu dat z následujících zdrojů:
- Předběžné detekce anomálií
- Upozornění z produktů Microsoftu:
- Ochrana Microsoft Entra ID
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Upozornění z plánovaných analytických pravidel, která jsou integrovaná i integrovaná analytiky zabezpečení. Analytická pravidla musí obsahovat řetězec kill-chain (taktiky) a informace o mapování entit, aby je mohla fusion používat.
Abyste mohli fúzi pro nově vznikající hrozby fungovat, nemusíte mít připojené všechny výše uvedené zdroje dat. Čím více zdrojů dat jste se připojili, tím širší je pokrytí a čím více hrozeb Fusion najde.
Když korelace modulu Fusion způsobí detekci vznikající hrozby, v tabulce incidentů v pracovním prostoru Microsoft Sentinelu se vygeneruje incident s vysokou závažností s názvem "Možné aktivity útoku s více fázemi zjištěné fúzí".
Fúze pro ransomware
Modul Fusion microsoft Sentinelu vygeneruje incident, když zjistí více výstrah různých typů z následujících zdrojů dat a zjistí, že můžou souviset s aktivitou ransomwaru:
- Microsoft Defender for Cloud
- Microsoft Defender for Endpoint
- Konektor Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Plánovaná analytická pravidla služby Microsoft Sentinel Fusion bere v úvahu pouze naplánovaná analytická pravidla s informacemi o taktikách a mapovanými entitami.
Takové fúzní incidenty se nazývají Několik výstrah, které mohou souviset s zjištěnou aktivitou ransomware, a generují se, když se během určitého časového rámce zjistí relevantní výstrahy a jsou spojeny s fázemi spuštění a obranného úniku útoku.
Microsoft Sentinel by například vygeneroval incident pro možné aktivity ransomwaru, pokud se v určitém časovém rámci aktivují následující výstrahy na stejném hostiteli:
| Výstrahy | Zdroj | Závažnost |
|---|---|---|
| Události chyb a upozornění systému Windows | Naplánovaná analytická pravidla služby Microsoft Sentinel | informační |
| Ransomwaru GandCrab se zabránilo | Microsoft Defender for Cloud | střední |
| Byl zjištěn malware Emotet | Microsoft Defender for Endpoint | informační |
| Zjistili jsme zadní vrátka Tofsee. | Microsoft Defender for Cloud | low |
| Zjistil se malware Parite | Microsoft Defender for Endpoint | informační |
Detekce fúzních fúzí založených na scénářích
Následující část obsahuje seznam typů útoků založených na scénářích s více fázemi seskupených podle klasifikace hrozeb, které Microsoft Sentinel detekuje pomocí korelačního modulu fusion.
Aby bylo možné tyto scénáře detekce útoků využívajících fúzi povolit, musí se jejich přidružené zdroje dat ingestovat do pracovního prostoru služby Log Analytics. Výběrem odkazů v následující tabulce se dozvíte o jednotlivých scénářích a souvisejících zdrojích dat.
Poznámka:
Některé z těchto scénářů jsou ve verzi PREVIEW. Budou tak označeny.
Další kroky
Získejte další informace o rozšířené detekci útoků Fusion multistage:
- Přečtěte si další informace o detekcích útoků založených na scénářích fusion.
- Přečtěte si, jak nakonfigurovat pravidla fusion.
Teď jste se dozvěděli více o pokročilé detekci útoků s více fázemi, může vás zajímat následující rychlý start, kde se dozvíte, jak získat přehled o datech a potenciálních hrozbách: Začínáme s Microsoft Sentinelem.
Pokud jste připraveni prošetřit incidenty vytvořené za vás, projděte si následující kurz: Zkoumání incidentů pomocí Služby Microsoft Sentinel.