Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılama

Önemli

Bazı Fusion algılamaları (aşağıda belirtilenlere bakın) şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Dekont

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Microsoft Sentinel, çok aşamalı saldırıları (gelişmiş kalıcı tehditler veya APT olarak da bilinir) sonlandırma zincirinin çeşitli aşamalarında gözlemlenen anormal davranışların ve şüpheli etkinliklerin bileşimlerini belirleyerek otomatik olarak algılamak için ölçeklenebilir makine öğrenmesi algoritmalarını temel alan bir bağıntı altyapısı olan Fusion'ı kullanır. Bu keşiflere dayanarak, Microsoft Sentinel aksi takdirde yakalanması zor olabilecek olaylar oluşturur. Bu olaylar iki veya daha fazla uyarı veya etkinlik içerir. Tasarım gereği, bu olaylar düşük hacimli, yüksek aslına uygun ve yüksek önem derecesindedir.

Ortamınız için özelleştirilmiş olan bu algılama teknolojisi yalnızca hatalı pozitif oranları azaltmakla kalmaz, aynı zamanda sınırlı veya eksik bilgiler içeren saldırıları da algılayabilir.

Fusion, gelişmiş çoklu sahne saldırılarını algılamak için çeşitli ürünlerden gelen birden çok sinyali ilişkilendirdiğinden, başarılı Fusion algılamaları uyarı olarak değil Microsoft Sentinel Olayları sayfasında Fusion olayları olarak sunulur ve SecurityAlert tablosunda değil Günlükler'deki SecurityIncident tablosunda depolanır.

Fusion'ı yapılandırma

Fusion, Gelişmiş çok aşamalı saldırı algılama adlı bir analiz kuralı olarak Microsoft Sentinel'de varsayılan olarak etkinleştirilir. Kuralın durumunu görüntüleyebilir ve değiştirebilir, kaynak sinyallerini Fusion ML modeline dahil edilecek şekilde yapılandırabilir veya ortamınız için geçerli olmayan belirli algılama desenlerini Fusion algılamasından hariç tutabilirsiniz. Fusion kuralını yapılandırmayı öğrenin.

Dekont

Microsoft Sentinel şu anda Fusion altyapısının makine öğrenmesi algoritmalarını eğitmek için 30 günlük geçmiş verileri kullanmaktadır. Bu veriler, makine öğrenmesi işlem hattından geçerken Microsoft'un anahtarları kullanılarak her zaman şifrelenir. Ancak, Microsoft Sentinel çalışma alanınızda CMK'yi etkinleştirdiyseniz eğitim verileri Müşteri Tarafından Yönetilen Anahtarlar (CMK) kullanılarak şifrelenmez. Fusion'ı geri çevirmek için Microsoft Sentinel>Yapılandırma>Analizi > Etkin kuralları'na gidin, Gelişmiş Çok Aşamalı Saldırı Algılama kuralına sağ tıklayın ve Devre dışı bırak'ı seçin.

Yeni ortaya çıkan tehditler için fusion

Önemli

Güvenlik olaylarının hacmi artmaya devam ediyor ve saldırıların kapsamı ve karmaşıklık düzeyi giderek artıyor. Bilinen saldırı senaryolarını tanımlayabiliriz, ancak ortamınızda ortaya çıkan ve bilinmeyen tehditlere ne dersin?

Microsoft Sentinel'in ML destekli Fusion altyapısı, genişletilmiş ML analizi uygulayarak ve daha geniş bir anormal sinyal kapsamını ilişkilendirerek ve uyarı yorgunluğunu düşük tutarak ortamınızda ortaya çıkan ve bilinmeyen tehditleri bulmanıza yardımcı olabilir.

Fusion altyapısının ML algoritmaları sürekli olarak mevcut saldırılardan ders alır ve güvenlik analistlerinin düşüncelerine göre analiz uygular. Bu nedenle, ortamınız genelindeki sonlandırma zincirindeki milyonlarca anormal davranıştan daha önce algılanmayan tehditleri keşfedebilir ve bu da saldırganlardan bir adım önde olmanıza yardımcı olur.

Yeni ortaya çıkan tehditler için Fusion, aşağıdaki kaynaklardan veri toplamayı ve analizi destekler:

  • Kullanıma açık anomali algılamaları
  • Microsoft ürünlerinden gelen uyarılar:
    • Microsoft Entra Kimlik Koruması
    • Microsoft Defender for Cloud
    • IoT için Microsoft Defender
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud Apps
    • Uç nokta için Microsoft Defender
    • Kimlik için Microsoft Defender
    • Office 365 için Microsoft Defender
  • Hem yerleşik hem de güvenlik analistleriniz tarafından oluşturulan zamanlanmış analiz kurallarından gelen uyarılar. Analiz kurallarının Fusion tarafından kullanılabilmesi için sonlandırma zinciri (taktikler) ve varlık eşleme bilgileri içermesi gerekir.

Fusion'ın yeni ortaya çıkan tehditler için çalışmasını sağlamak için yukarıda listelenen tüm veri kaynaklarını bağlamanız gerekmez. Ancak, ne kadar çok veri kaynağı bağladıysanız, kapsamı o kadar geniştir ve Fusion o kadar fazla tehdit bulur.

Fusion altyapısının bağıntıları yeni ortaya çıkan bir tehdidin algılanmasıyla sonuçlandığında, Microsoft Sentinel çalışma alanınızdaki olaylar tablosunda "Fusion tarafından algılanan olası çok aşamalı saldırı etkinlikleri" başlıklı yüksek önem dereceli bir olay oluşturulur.

Fidye yazılımı için Fusion

Microsoft Sentinel'in Fusion altyapısı, aşağıdaki veri kaynaklarından farklı türlerde birden çok uyarı algıladığında bir olay oluşturur ve bunların fidye yazılımı etkinliğiyle ilgili olabileceğini belirler:

Bu tür Fusion olayları, muhtemelen Algılanan Fidye Yazılımı etkinliğiyle ilgili birden çok uyarı olarak adlandırılır ve belirli bir zaman diliminde ilgili uyarılar algılandığında oluşturulur ve bir saldırının Yürütme ve SavunmaDan Kaçınma aşamalarıyla ilişkilendirilir.

Örneğin, belirli bir zaman çerçevesi içinde aynı konakta aşağıdaki uyarılar tetiklenirse Microsoft Sentinel olası fidye yazılımı etkinlikleri için bir olay oluşturur:

Uyarı Source Önem
Windows Hata ve Uyarı Olayları Microsoft Sentinel zamanlanmış analiz kuralları Bilgi
'GandCrab' fidye yazılımı engellendi Microsoft Defender for Cloud orta
'Emotet' kötü amaçlı yazılımı algılandı Uç nokta için Microsoft Defender Bilgi
'Tofsee' arka kapı algılandı Microsoft Defender for Cloud Iowa
'Parite' kötü amaçlı yazılımı algılandı Uç nokta için Microsoft Defender Bilgi

Senaryo tabanlı Fusion algılamaları

Aşağıdaki bölümde, Microsoft Sentinel'in Fusion bağıntı altyapısını kullanarak algıladığı tehdit sınıflandırmasına göre gruplandırılmış senaryo tabanlı çok aşamalı saldırı türleri listelenmiştir.

Bu Fusion destekli saldırı algılama senaryolarını etkinleştirmek için ilişkili veri kaynaklarının Log Analytics çalışma alanınıza alınması gerekir. Her senaryo ve ilişkili veri kaynakları hakkında bilgi edinmek için aşağıdaki tabloda yer alan bağlantıları seçin.

Dekont

Bu senaryolardan bazıları ÖNİzLEME aşamasındadır. Bunlar çok belirtilir.

Tehdit sınıflandırması Senaryolar
İşlem kaynağı kötüye kullanımı
Kimlik bilgisi erişimi
Kimlik bilgisi toplama
Kripto madenciliği
Veri yok etme
Veri sızdırma
Hizmet reddi
Yanal hareket
Kötü amaçlı yönetim etkinliği
Kötü amaçlı yürütme
meşru bir işlemle
Kötü amaçlı yazılım C2 veya indirme
Kalıcılık
Fidye yazılımı
Uzaktan yararlanma
Kaynak ele geçirme

Sonraki adımlar

Fusion gelişmiş çok aşamalı saldırı algılama hakkında daha fazla bilgi edinin:

Gelişmiş çok aşamalı saldırı algılama hakkında daha fazla bilgi edindiniz. Verilerinize ve olası tehditlere nasıl görünürlük elde edebileceğinizi öğrenmek için aşağıdaki hızlı başlangıçla ilgilenebilirsiniz: Microsoft Sentinel'i kullanmaya başlayın.

Sizin için oluşturulan olayları araştırmaya hazırsanız şu öğreticiye bakın: Microsoft Sentinel ile olayları araştırma.