Geavanceerde detectie van aanvallen in meerdere fasen in Microsoft Sentinel
Belangrijk
Sommige Fusion-detecties (zie de detecties die hieronder worden aangegeven) zijn momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
Microsoft Sentinel maakt gebruik van Fusion, een correlatie-engine op basis van schaalbare machine learning-algoritmen, om automatisch aanvallen met meerdere fasen (ook wel bekend als geavanceerde permanente bedreigingen of APT) te detecteren door combinaties van afwijkend gedrag en verdachte activiteiten te identificeren die in verschillende fasen van de kill chain worden waargenomen. Op basis van deze ontdekkingen genereert Microsoft Sentinel incidenten die anders moeilijk te vangen zouden zijn. Deze incidenten bestaan uit twee of meer waarschuwingen of activiteiten. Deze incidenten zijn standaard laag volume, hoge betrouwbaarheid en hoge ernst.
Deze detectietechnologie is aangepast voor uw omgeving en vermindert niet alleen fout-positieve frequenties, maar kan ook aanvallen met beperkte of ontbrekende informatie detecteren.
Omdat Fusion meerdere signalen van verschillende producten correleert om geavanceerde aanvallen met meerdere fasen te detecteren, worden succesvolle Fusion-detecties weergegeven als Fusion-incidenten op de pagina Microsoft Sentinel-incidentenen niet als waarschuwingen en worden opgeslagen in de tabel SecurityIncident in Logboeken en niet in de tabel SecurityAlert.
Fusion configureren
Fusion is standaard ingeschakeld in Microsoft Sentinel, als analyseregel met de naam Geavanceerde detectie van aanvallen met meerdere fasen. U kunt de status van de regel bekijken en wijzigen, bronsignalen configureren die moeten worden opgenomen in het Fusion ML-model of specifieke detectiepatronen uitsluiten die mogelijk niet van toepassing zijn op uw omgeving van Fusion-detectie. Meer informatie over het configureren van de Fusion-regel.
Notitie
Microsoft Sentinel gebruikt momenteel 30 dagen historische gegevens om de machine learning-algoritmen van de Fusion-engine te trainen. Deze gegevens worden altijd versleuteld met behulp van de sleutels van Microsoft wanneer deze de machine learning-pijplijn passeren. De trainingsgegevens worden echter niet versleuteld met CMK (Door de klant beheerde sleutels) als u CMK hebt ingeschakeld in uw Microsoft Sentinel-werkruimte. Als u zich wilt afmelden voor Fusion, gaat u naar Active-regels van Microsoft Sentinel>Configuration>Analytics>, klikt u met de rechtermuisknop op de regel Geavanceerde detectie van aanvallen met meerdere fasen en selecteert u Uitschakelen.
Fusie voor opkomende bedreigingen
Belangrijk
- Detectie op basis van fusion voor opkomende bedreigingen bevindt zich momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Het aantal beveiligingsevenementen blijft toenemen en het bereik en de verfijning van aanvallen neemt steeds toe. We kunnen de bekende aanvalsscenario's definiëren, maar hoe zit het met de opkomende en onbekende bedreigingen in uw omgeving?
De ML-engine van Microsoft Sentinel kan u helpen bij het vinden van de opkomende en onbekende bedreigingen in uw omgeving door uitgebreide ML-analyse toe te passen en door een breder bereik van afwijkende signalen te correleren, terwijl de waarschuwingsmoeheid laag blijft.
De ML-algoritmen van de Fusion-engine leren voortdurend van bestaande aanvallen en passen analyses toe op basis van hoe beveiligingsanalisten denken. Het kan daarom eerder niet-gedetecteerde bedreigingen detecteren van miljoenen afwijkend gedrag in de kill-chain in uw omgeving, waardoor u een stap voor de aanvallers kunt blijven.
Fusion voor opkomende bedreigingen ondersteunt het verzamelen en analyseren van gegevens uit de volgende bronnen:
- Out-of-the-box anomaliedetecties
- Waarschuwingen van Microsoft-producten:
- Microsoft Entra ID-beveiliging
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender voor Eindpunten
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Waarschuwingen van geplande analyseregels, zowel ingebouwd als waarschuwingen die zijn gemaakt door uw beveiligingsanalisten. Analyseregels moeten kill-chain-informatie (tactieken) en informatie over entiteitstoewijzing bevatten om door Fusion te kunnen worden gebruikt.
U hoeft niet alle hierboven genoemde gegevensbronnen te hebben verbonden om Fusion te laten werken voor opkomende bedreigingen. Hoe meer gegevensbronnen u hebt verbonden, hoe breder de dekking en hoe meer bedreigingen Fusion zal vinden.
Wanneer de correlaties van de Fusion-engine resulteren in de detectie van een opkomende bedreiging, wordt een incident met hoge ernst met de titel 'Mogelijke aanvalsactiviteiten met meerdere fasen gedetecteerd door Fusion' gegenereerd in de incidententabel in uw Microsoft Sentinel-werkruimte.
Fusion voor ransomware
De Fusion-engine van Microsoft Sentinel genereert een incident wanneer er meerdere waarschuwingen van verschillende typen uit de volgende gegevensbronnen worden gedetecteerd en wordt bepaald dat deze mogelijk te maken hebben met ransomware-activiteit:
- Microsoft Defender voor Cloud
- Microsoft Defender voor Eindpunt
- Microsoft Defender for Identity-connector
- Microsoft Defender voor Cloud-apps
- Geplande analyseregels van Microsoft Sentinel. Fusion beschouwt alleen geplande analyseregels met tactiekinformatie en toegewezen entiteiten.
Dergelijke Fusion-incidenten hebben de naam Meerdere waarschuwingen die mogelijk betrekking hebben op de gedetecteerde ransomware-activiteit en worden gegenereerd wanneer relevante waarschuwingen worden gedetecteerd tijdens een specifieke periode en zijn gekoppeld aan de fasen uitvoering en verdedigingsontduiking van een aanval.
Microsoft Sentinel genereert bijvoorbeeld een incident voor mogelijke ransomware-activiteiten als de volgende waarschuwingen binnen een bepaalde periode op dezelfde host worden geactiveerd:
| Waarschuwing | Bron | Ernst |
|---|---|---|
| Windows-fout- en waarschuwingsevenementen | Geplande analyseregels voor Microsoft Sentinel | Informatieve |
| 'GandCrab' ransomware is voorkomen | Microsoft Defender for Cloud | Normaal |
| 'Emotet' malware is gedetecteerd | Microsoft Defender voor Eindpunten | Informatieve |
| Backdoor 'Tofsee' is gedetecteerd | Microsoft Defender for Cloud | Beperkt |
| 'Parite'-malware is gedetecteerd | Microsoft Defender voor Eindpunten | Informatieve |
Op scenario's gebaseerde fusiondetecties
In de volgende sectie ziet u de typen op scenario's gebaseerde multistage-aanvallen, gegroepeerd op bedreigingsclassificatie, die Door Microsoft Sentinel worden gedetecteerd met behulp van de Fusion-correlatie-engine.
Als u deze door Fusion aangedreven aanvalsdetectiescenario's wilt inschakelen, moeten de bijbehorende gegevensbronnen worden opgenomen in uw Log Analytics-werkruimte. Selecteer de koppelingen in de onderstaande tabel voor meer informatie over elk scenario en de bijbehorende gegevensbronnen.
Notitie
Sommige van deze scenario's bevinden zich in PREVIEW. Ze zullen zo worden aangegeven.
Volgende stappen
Meer informatie over de geavanceerde detectie van meervoudige aanvallen in Fusion:
- Meer informatie over de op scenario's gebaseerde aanvalsdetecties van Fusion.
- Meer informatie over het configureren van de Fusion-regels.
Nu u meer hebt geleerd over geavanceerde detectie van aanvallen met meerdere fasen, bent u mogelijk geïnteresseerd in de volgende quickstart om te leren hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen: Aan de slag met Microsoft Sentinel.
Als u klaar bent om de incidenten te onderzoeken die voor u zijn gemaakt, raadpleegt u de volgende zelfstudie: Incidenten onderzoeken met Microsoft Sentinel.