Detecção avançada de ataques multiestágio no Microsoft Sentinel

Importante

Algumas detecções do Fusion (veja as que estão indicadas abaixo) atualmente estão em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

O Microsoft Sentinel usa o Fusion, um mecanismo de correlação baseado em algoritmos escalonáveis de aprendizado de máquina para detectar ataques multiestágio (também conhecidos como ameaças persistentes avançadas ou APT) automaticamente, identificando combinações de comportamentos anômalos e atividades suspeitas observados em vários estágios da cadeia de destruição. Com base nessas descobertas, o Microsoft Sentinel gera incidentes que, de outra forma, seriam difíceis de detectar. Esses incidentes incluem dois alertas ou mais de atividades. Por design, esses incidentes são de baixo volume, alta fidelidade e alta gravidade.

Personalizado para seu ambiente, essa tecnologia de detecção não apenas reduz as taxas de falso positivo, mas também pode detectar ataques com informações limitadas ou ausentes.

Como o Fusion correlaciona vários sinais de diversos produtos para a detecção avançada de ataques multiestágio, as detecções bem-sucedidas do Fusion são apresentadas como incidentes do Fusion na página Incidentes do Microsoft Sentinel e não como alertas, e são armazenadas na tabela SecurityIncident em Logs e não na tabela SecurityAlert.

Configurar o Fusion

O Fusion é habilitado por padrão no Microsoft Sentinel como uma regra de análise chamada de Detecção avançada de ataques multiestágio. Você pode exibir e alterar o status da regra, configurar sinais de origem a serem incluídos no modelo de ML do Fusion ou excluir padrões de detecção específicos que podem não ser aplicáveis ao ambiente na detecção do Fusion. Saiba como configurar a regra do Fusion.

Observação

No momento, o Microsoft Sentinel usa 30 dias do histórico de dados para treinar os algoritmos de aprendizado de máquina do mecanismo do Fusion. Esses dados são sempre criptografados usando as chaves da Microsoft conforme passam pelo pipeline do aprendizado de máquina. No entanto, os dados de treinamento não serão criptografados usando as CMK (Chaves Gerenciadas pelo Cliente) se você as habilitar em seu espaço de trabalho do Microsoft Sentinel. Para recusar o Fusion, navegue até Microsoft Sentinel>Configuração>Análise > Regras Ativas, clique com o botão direito do mouse em Detecção Avançada de Ataques Multiestágio e selecione Desabilitar.

Nos espaços de trabalho do Microsoft Sentinel que estão integrados à plataforma unificada de operações de segurança no portal do Microsoft Defender o Fusion foi desabilitado porque sua funcionalidade foi substituída pelo mecanismo de correlação do Microsoft Defender XDR.

Fusion para ameaças emergentes

Importante

• No momento, a detecção baseada no Fusion para ameaças emergentes está em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O volume de eventos de segurança continua aumentando e o escopo e a sofisticação dos ataques estão em constante desenvolvimento. Podemos definir os cenários de ataque conhecidos, mas e quanto às ameaças emergentes e desconhecidas no ambiente?

O mecanismo do Fusion alimentado por ML do Microsoft Sentinel pode ajudar a encontrar as ameaças emergentes e desconhecidas no ambiente aplicando a análise de ML estendida e correlacionando um escopo mais abrangente dos sinais anômalos e, ao mesmo tempo, mantendo a fadiga do alerta baixa.

Os algoritmos de ML do Mecanismo do Fusion aprendem constantemente com ataques existentes e aplicam as análises com base em como os analistas de segurança pensam. Portanto, ele pode descobrir ameaças não detectadas anteriormente entre milhões de comportamentos anômalos em toda a cadeia de ataque por todo seu ambiente, o que ajuda você a ficar um passo à frente dos invasores.

O Fusion para ameaças emergentes dá suporte à coleta e análise de dados das seguintes fontes:

• Detecções de anomalias imediatas
• Alertas dos produtos da Microsoft:
  • Proteção do Microsoft Entra ID
  • Microsoft Defender para Nuvem
  • Microsoft Defender para IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para ponto de extremidade
  • Microsoft Defender para Identidade
  • Microsoft Defender para Office 365
• Alertas das regras de análise agendadas, internos e criadas pelos analistas de segurança. As regras de análise devem conter as informações do mapeamento de entidade e da cadeia de destruição (táticas) para serem usadas pelo Fusion.

Você não precisa ter conectado todas as fontes de dados listadas acima para que o Fusion para ameaças emergentes funcione. No entanto, quanto mais fontes de dados você tiver conectado, mais ampla será a cobertura e mais ameaças serão encontradas pelo Fusion.

Quando as correlações do mecanismo do Fusion resultam na detecção de uma ameaça emergente, um incidente de alta severidade chamado de “Possíveis atividades de ataques multiestágio detectadas pelo Fusion” é gerado na tabela Incidentes no espaço de trabalho do Microsoft Sentinel.

Fusion para ransomware

O mecanismo do Fusion do Microsoft Sentinel gera um incidente, quando detecta vários alertas de diferentes tipos das seguintes fontes de dados, e determina se eles podem estar relacionados à atividade de ransomware:

• Microsoft Defender para Nuvem
• Microsoft Defender para ponto de extremidade
• Conector Microsoft Defender para Identidade
• Microsoft Defender for Cloud Apps
• Regras de análise agendada do Microsoft Sentinel. O Fusion considera apenas regras de análise agendadas com informações táticas e entidades mapeadas.

Esses incidentes de fusão são chamados de Vários alertas possivelmente relacionados à detecção de atividade de Ransomware e são gerados quando alertas relevantes são detectados durante um período específico e são associados aos estágios de Execução e Evasão de Defesa de um ataque.

Por exemplo, o Microsoft Sentinel geraria um incidente para possíveis atividades de ransomware se os seguintes alertas fossem disparados no mesmo host dentro de um período de tempo específico:

Alerta	Fonte	Severidade
Eventos de erro e aviso do Windows	Regras de análise agendada do Microsoft Sentinel	informativo
O ransomware 'GandCrab' foi impedido	Microsoft Defender para Nuvem	média
O malware 'Emotet' foi detectado	Microsoft Defender para ponto de extremidade	informativo
O backdoor 'Tofsee' foi detectado	Microsoft Defender para Nuvem	low
O malware 'Parite' foi detectado	Microsoft Defender para ponto de extremidade	informativo

Detecções do Fusion baseadas no cenário

A seção a seguir lista os tipos de ataques multiestágio baseados no cenário, agrupados por classificação de ameaças, que o Microsoft Sentinel detecta usando o mecanismo de correlação do Fusion.

Para habilitar esses cenários de detecção de ataques alimentados pelo Fusion, as fontes de dados associadas devem ser ingeridas no workspace do Log Analytics. Selecione os links na tabela abaixo para saber mais sobre cada cenário e as fontes de dados associadas.

Observação

Alguns desses cenários estão em versão PRÉVIA. Eles serão indicados.

Classificação de ameaças	Cenários
Abuso dos recursos de computação	(VERSÃO PRÉVIA) Várias atividades de criação de VM após a entrada suspeita do Microsoft Entra
Acesso de credenciais	(VERSÃO PRÉVIA) Várias redefinições de senha pelo usuário após uma entrada suspeita (VERSÃO PRÉVIA) Entrada suspeita coincidindo com uma entrada bem-sucedida na VPN da Palo Alto por IP com várias entradas do Microsoft Entra com falha
Coletando credenciais	Execução mal-intencionada da ferramenta de roubo de credenciais após uma entrada suspeita Atividade suspeita de roubo de credenciais após uma entrada suspeita
Criptomineração	Atividade de criptomineração após uma entrada suspeita
Destruição de dados	Exclusão de arquivos em massa após entrada suspeita no Microsoft Entra (VERSÃO PRÉVIA) Exclusão de arquivo em massa após a entrada bem-sucedida do Microsoft Entra IP bloqueado por um dispositivo de firewall da Cisco (VERSÃO PRÉVIA) Exclusão de arquivos em massa após uma entrada bem-sucedida da VPN da Palo Alto por IP com várias entradas do Microsoft Entra com falha (VERSÃO PRÉVIA) Atividade de exclusão de email suspeita após entrada suspeita do Microsoft Entra
Exfiltração dos dados	(VERSÃO PRÉVIA) Atividades de encaminhamento de email após uma nova atividade da conta de administrador não ser vista recentemente Download de arquivos em massa após entrada suspeita no Microsoft Entra (VERSÃO PRÉVIA) Download de arquivo em massa após a entrada bem-sucedida do Microsoft Entra IP bloqueado por um dispositivo de firewall da Cisco (VERSÃO PRÉVIA) Download de arquivos em massa coincidindo com a operação de arquivos do SharePoint em um IP que não foi visto anteriormente Compartilhamento de arquivos em massa após entrada suspeita no Microsoft Entra (VERSÃO PRÉVIA) Várias atividades de compartilhamento de relatório do Power BI após uma entrada suspeita do Microsoft Entra Exfiltração da caixa de correio do Office 365 após uma entrada suspeita do Microsoft Entra (VERSÃO PRÉVIA) Operação de arquivos do SharePoint em um IP que não foi visto anteriormente após uma detecção de malware (VERSÃO PRÉVIA) Conjunto de regras de manipulação suspeita da caixa de entrada após uma entrada suspeita do Microsoft Entra (VERSÃO PRÉVIA) Compartilhamento suspeito de relatórios do Power BI após entrada suspeita do Microsoft Entra
Negação de serviço	(VERSÃO PRÉVIA) Várias atividades de exclusão de VM após entrada suspeita do Microsoft Entra
Movimento lateral	Representação do Office 365 após entrada suspeita no Microsoft Entra (VERSÃO PRÉVIA) Conjunto de regras de manipulação suspeita da caixa de entrada após uma entrada suspeita do Microsoft Entra
Atividade administrativa mal-intencionada	Atividade administrativa suspeita de aplicativo em nuvem após uma entrada suspeita do Microsoft Entra (VERSÃO PRÉVIA) Atividades de encaminhamento de email após uma nova atividade da conta de administrador não ser vista recentemente
Execução mal-intencionada com processo legítimo	(VERSÃO PRÉVIA) O PowerShell fez uma conexão de rede suspeita, seguida por tráfego anormal sinalizado pelo firewall da Palo Alto Networks (VERSÃO PRÉVIA) Execução remota do WMI seguida por tráfego anormal sinalizado pelo firewall da Palo Alto Networks Linha de comando suspeita do PowerShell após uma entrada suspeita
Malware C2 ou download	(VERSÃO PRÉVIA) Padrão de sinalizador sonoro detectado pelo Fortinet após várias entradas de usuário com falha em um serviço (VERSÃO PRÉVIA) Padrão de sinalizador detectado por Fortinet após entrada suspeita do Microsoft Entra (VERSÃO PRÉVIA) Solicitação de rede ao serviço de anonimização TOR seguida por tráfego anormal sinalizado pelo firewall da Palo Alto Networks (VERSÃO PRÉVIA) Conexão de saída para um IP com histórico de tentativas de acesso não autorizado seguida por tráfego anormal sinalizado pelo firewall da Palo Alto Networks
Persistência	(VERSÃO PRÉVIA) Consentimento de aplicativo raro após uma entrada suspeita
Ransomware	Execução de ransomware após entrada suspeita no Microsoft Entra
Exploração remota	(VERSÃO PRÉVIA) Uso suspeito de estrutura de ataque seguido por tráfego anormal sinalizado pelo firewall da Palo Alto Networks
Sequestro de recursos	(VERSÃO PRÉVIA) Implantação suspeita de recurso/grupo de recursos por um chamador que nunca foi visto após entrada suspeita do Microsoft Entra

Próximas etapas

Obtenha mais informações sobre a detecção avançada de ataques multiestágio do Fusion:

• Saiba mais sobre as detecções baseadas no cenário do Fusion.
• Saiba como configurar as regras do Fusion.

Agora que você aprendeu mais sobre a detecção avançada de ataques multiestágio, talvez esteja interessado no guia de início rápido a seguir para saber como obter visibilidade de seus dados e possíveis ameaças: Introdução ao Microsoft Sentinel.

Se estiver pronto para investigar os incidentes criados para você, confira o seguinte tutorial: Investigar incidentes com o Microsoft Sentinel.