Többlépcsős támadásészlelési (Fusion) szabályok konfigurálása a Microsoft Sentinelben

Fontos

A Fusion Analytics-szabály új verziója jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

A Microsoft Sentinel Skálázható gépi tanulási algoritmusokon alapuló korrelációs motor, a Fusion használatával automatikusan észleli a többszörös támadásokat a rendellenességek és a gyilkossági lánc különböző szakaszaiban megfigyelt gyanús tevékenységek kombinációinak azonosításával. Ezen felfedezések alapján a Microsoft Sentinel olyan incidenseket hoz létre, amelyeket egyébként nehéz lenne elkapni. Ezek az incidensek két vagy több riasztásból vagy tevékenységből állnak. A tervezés szerint ezek az incidensek kis mennyiségű, nagy pontosságú és nagy súlyosságú incidensek.

A környezethez szabott észlelési technológia nem csak a hamis pozitív arányokat csökkenti, hanem a korlátozott vagy hiányzó információkat tartalmazó támadásokat is képes észlelni.

Fusion-szabályok konfigurálása

Ez az észlelés alapértelmezés szerint engedélyezve van a Microsoft Sentinelben. Állapotának ellenőrzéséhez vagy módosításához kövesse az alábbi utasításokat:

1. Jelentkezzen be az Azure Portalra, és írja be a Microsoft Sentinelt.

2. A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.

3. Válassza az Aktív szabályok lapot, majd keresse meg a NÉV oszlopban a Speciális többlépéses támadásészlelést a Fúziós szabálytípus listájának szűrésével. Ellenőrizze a STATUS oszlopban, hogy az észlelés engedélyezve van-e vagy le van-e tiltva.

   

4. Az állapot módosításához jelölje ki ezt a bejegyzést, és a Speciális multistage támadásészlelés előnézeti panelen válassza a Szerkesztés lehetőséget.

5. Az Elemzési szabály varázsló Általános lapján jegyezze fel az állapotot (Engedélyezve/Letiltva), vagy ha szeretné, módosítsa.

   Ha módosította az állapotot, de nincs további módosítás, válassza a Véleményezés és frissítés lapot, és válassza a Mentés lehetőséget.

   A fúziós észlelési szabály további konfigurálásához válassza a Tovább: Fúzió konfigurálása lehetőséget.

   

6. Konfigurálja a forrásjeleket a fúziós észleléshez: javasoljuk, hogy a legjobb eredmény érdekében a felsorolt forrásjeleket minden súlyossági szinttel együtt tartalmazza. Alapértelmezés szerint ezek már mind benne vannak, de a következő módokon végezhet módosításokat:

   Feljegyzés

   Ha kizár egy adott forrásjelet vagy egy riasztás súlyossági szintjét, a forrástól származó jelekre támaszkodó fúziós észlelések vagy az adott súlyossági szintnek megfelelő riasztások nem aktiválódnak.

   • A fúziós észlelésekből származó jelek kizárása, beleértve az anomáliákat, a különböző szolgáltatóktól érkező riasztásokat és a nyers naplókat.

     Használati eset: ha egy olyan adott jelforrást tesztel, amelyről ismert, hogy zajos riasztásokat hoz létre, ideiglenesen kikapcsolhatja az adott jelforrástól érkező jeleket a fúziós észlelésekhez.

   • Konfigurálja az egyes szolgáltatók riasztási súlyosságát: a fúziós ml-modell a kialakítás alapján egyetlen nagy súlyosságú incidensbe kapcsolja össze az alacsony megbízhatósági jeleket a több adatforrásból származó, a kill-láncban található rendellenes jelek alapján. A Fusionben szereplő riasztások általában alacsonyabb súlyosságúak (közepes, alacsony, tájékoztató jellegűek), de esetenként releváns, nagy súlyosságú riasztások is szerepelnek benne.

     Használati eset: Ha külön eljárása van a nagy súlyosságú riasztások osztályozására és vizsgálatára, és nem szeretné, hogy ezek a riasztások szerepeljenek a Fusionben, konfigurálhatja a forrásjeleket úgy, hogy kizárják a nagy súlyosságú riasztásokat a Fúziós észlelésekből.

   • Bizonyos észlelési minták kizárása a fúziós észlelésből. Előfordulhat, hogy bizonyos fúziós észlelések nem alkalmazhatók a környezetére, vagy hajlamos lehet hamis pozitív értékek létrehozására. Ha ki szeretne zárni egy adott fúziós észlelési mintát, kövesse az alábbi utasításokat:

     1. Keresse meg és nyissa meg a kizárni kívánt fúziós incidenst.

     2. A Leírás szakaszban válassza a Továbbiak megjelenítése lehetőséget.

     3. Az Adott észlelési minta kizárása csoportban válassza a kizárási hivatkozást, amely átirányítja a Fúzió konfigurálása lapra az elemzési szabály varázslójában.

        

     A Fúzió konfigurálása lapon láthatja az észlelési mintát – a riasztások és a rendellenességek kombinációját egy Fúziós incidensben – hozzáadva a kizárási listához, valamint az észlelési minta hozzáadásának időpontját.

     A kizárt észlelési mintát bármikor eltávolíthatja, ha a kuka ikont választja az észlelési mintán.

     

     A kizárt észlelési mintáknak megfelelő incidensek továbbra is aktiválódnak, de nem jelennek meg az aktív incidensek üzenetsorában. Ezek automatikusan ki lesznek töltve a következő értékekkel:

     • Állapot: "Zárva"

     • Záró besorolás: "Meghatározatlan"

     • Megjegyzés: "Automatikusan bezárt, kizárt fúziós észlelési minta"

     • Címke: "ExcludedFusionDetectionPattern" – a címkén lekérdezéssel megtekintheti az észlelési mintának megfelelő összes incidenst.

       

Feljegyzés

A Microsoft Sentinel jelenleg 30 napos előzményadatokat használ a gépi tanulási rendszerek betanítása érdekében. Ezek az adatok mindig a Microsoft kulcsainak használatával titkosítva lesznek, miközben áthaladnak a gépi tanulási folyamaton. A betanítási adatok azonban nem titkosítva lesznek ügyfél által felügyelt kulcsokkal (CMK), ha engedélyezte a CMK-t a Microsoft Sentinel-munkaterületen. Ha le szeretné tiltani a fúziót, lépjen a Microsoft Sentinel>Configuration>Analytics > aktív szabályaira, kattintson a jobb gombbal a Advanced Multistage Attack Detection szabályra, és válassza a Letiltás lehetőséget.

Ütemezett elemzési szabályok konfigurálása fúziós észlelésekhez

Fontos

• Az elemzési szabályriasztásokat használó fúziós alapú észlelés jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Fusion az ütemezett elemzési szabályok által generált riasztások használatával képes észlelni a forgatókönyvalapú többfázisú támadásokat és a felmerülő fenyegetéseket. Javasoljuk, hogy a következő lépésekkel konfigurálja és engedélyezze ezeket a szabályokat, hogy a lehető legtöbbet hozhassa ki a Microsoft Sentinel Fúziós képességeiből.

1. A felmerülő fenyegetések fúziója bármilyen ütemezett elemzési szabály által létrehozott riasztásokat használhat, mind a beépített, mind a biztonsági elemzők által létrehozott, a kill-chain (taktika) és az entitásleképezési információkat tartalmazó elemzési szabályok által létrehozott riasztásokat. Annak biztosítása érdekében, hogy a Fusion egy elemzési szabály kimenetét felhasználva észlelje a felmerülő fenyegetéseket:

   • Tekintse át ezeknek az ütemezett szabályoknak az entitásleképezését . Az entitásleképezés konfigurációs szakaszával leképezheti a lekérdezés eredményeiből származó paramétereket a Microsoft Sentinel által felismert entitásokra. Mivel a Fusion entitások (például felhasználói fiók vagy IP-cím) alapján korrelálja a riasztásokat, az ml-algoritmusok nem tudják végrehajtani a riasztások egyeztetését az entitásadatok nélkül.

   • Tekintse át az elemzési szabály részleteiben szereplő taktikákat és technikákat . A Fusion ML algoritmus a MITRE ATT&CK információit használja a többfázisú támadások észleléséhez, és az elemzési szabályok címkével ellátott taktikái és technikái megjelennek az ebből eredő incidensekben. A fúziós számítások akkor lehetnek hatással, ha a bejövő riasztások nem tartalmaznak taktikára vonatkozó információkat.

2. A Fusion a forgatókönyvalapú fenyegetéseket az alábbi ütemezett elemzési szabálysablonokon alapuló szabályok használatával is képes észlelni.

   Ha engedélyezni szeretné a sablonokként elérhető lekérdezéseket az Elemzés panelen, lépjen a Szabálysablonok lapra, válassza ki a szabály nevét a sablonok gyűjteményében, és kattintson a Szabály létrehozása elemre a részletek panelen.

   • Cisco – tűzfalblokk, de sikeres bejelentkezés a Microsoft Entra-azonosítóba
   • Fortinet – Jelzőfény-minta észlelhető
   • Több sikertelen Microsoft Entra-bejelentkezéssel rendelkező IP-cím sikeresen bejelentkezik a Palo Alto VPN-be
   • Több jelszó alaphelyzetbe állítása felhasználó szerint
   • Ritka alkalmazás-hozzájárulás
   • SharePointFileOperation korábban nem látott IP-címeken keresztül
   • Gyanús erőforrás üzembe helyezése
   • Palo Alto Threat-aláírások szokatlan IP-címekről

   Ha olyan lekérdezéseket szeretne hozzáadni, amelyek jelenleg nem érhetők el szabálysablonként, olvassa el az egyéni elemzési szabály létrehozása az alapoktól című témakört.

   • Új Rendszergazda fióktevékenység, amely korábban nem volt látható

   További információ: Fusion Advanced Multistage Attack Detection Scenarios with Scheduled Analytics Rules.

   Feljegyzés

   A Fusion által használt ütemezett elemzési szabályok esetében az ML-algoritmus nem felel meg a sablonokban megadott KQL-lekérdezéseknek. A sablonok átnevezése nem befolyásolja a fúziós észleléseket.

Következő lépések

További információ a fúziós észlelésekről a Microsoft Sentinelben.

További információ a forgatókönyvalapú fúziós észlelésekről.

Most, hogy többet is megtudhat a többlépcsős támadások észleléséről, az alábbi rövid útmutatóból megtudhatja, hogyan ismerheti meg adatait és potenciális fenyegetéseit: Ismerkedés a Microsoft Sentinellel.

Ha készen áll az Ön számára létrehozott incidensek kivizsgálására, tekintse meg a következő oktatóanyagot: Incidensek vizsgálata a Microsoft Sentinellel.