Microsoft Sentinel 中的進階多階段攻擊偵測
重要
部分融合偵測(請參閱以下所示的偵測)目前處於 預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
Microsoft Sentinel 使用 Fusion,這是以可調整機器學習演算法為基礎的相互關聯引擎,藉由識別在殺傷鏈各個階段觀察到的異常行為和可疑活動組合,來自動偵測多階段攻擊(也稱為進階持續性威脅或 APT)。 以這些探索為基礎,Microsoft Sentinel 就能產生出其他方法難以攔截的事件。 這些事件包含兩個或多個警示或活動。 根據設計,這些事件是低量、高精確度和高嚴重性。
針對您的環境自定義,此偵測技術不僅可降低 誤判 率,還可以偵測有限或遺漏信息的攻擊。
由於 Fusion 將各種產品的多個訊號相互關聯,以偵測進階多階段攻擊,因此成功的 Fusion 偵測會顯示為 Microsoft Sentinel 事件頁面上的 Fusion 事件,而不是警示,並且會儲存在 Logs 中的 SecurityIncident 數據表中,而不是儲存在 SecurityAlert 數據表中。
設定 Fusion
在 Microsoft Sentinel 中預設會啟用 Fusion,這是稱為進階多階段攻擊偵測的分析規則。 您可以檢視和變更規則的狀態、將來源訊號設定為包含在 Fusion ML 模型中,或從 Fusion 偵測排除可能不適用於您環境的特定偵測模式。 瞭解如何設定 Fusion 規則。
注意
Microsoft Sentinel 目前使用 30 天的歷史數據來定型 Fusion 引擎的機器學習演算法。 此數據一律會使用 Microsoft 的金鑰加密,因為它通過機器學習管線。 不過,如果您在 Microsoft Sentinel 工作區中啟用 CMK,則定型數據不會使用 客戶自控密鑰 (CMK) 加密。 若要退出退出 Fusion,請流覽至 [Microsoft Sentinel>組態>分析>使用中規則],以滑鼠右鍵按兩下 [進階多階段攻擊偵測] 規則,然後選取 [停用]。
在 Microsoft Defender 入口網站中已上線至統一安全性作業平臺的 Microsoft Sentinel 工作區中,會停用 Fusion,因為其功能會由 Microsoft Defender 全面偵測回應 相互關聯引擎取代。
新興威脅的融合
重要
- 新興威脅的融合型偵測目前為 預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
安全性事件的數量持續增加,攻擊的範圍和複雜度不斷增加。 我們可以定義已知的攻擊案例,但您環境中的新興和未知威脅如何?
Microsoft Sentinel 的 ML 動力融合引擎可藉由套用擴充的 ML 分析,以及將更廣泛的異常訊號範圍相互關聯,同時讓警示疲勞保持低,協助您找出環境中的新興和未知威脅。
Fusion 引擎的 ML 演算法會持續從現有的攻擊中學習,並根據安全性分析師的想法來套用分析。 因此,它可以在整個環境中探索數百萬個異常行為中先前未偵測到的威脅,這可協助您在攻擊者之前保持一步。
新興威脅 的融合支援下列來源的數據收集和分析:
- 現用異常偵測
- 來自 Microsoft 產品的警示:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- 適用於 IoT 的 Microsoft Defender
- Microsoft Defender 全面偵測回應 (部分機器翻譯)
- Microsoft Defender for Cloud Apps
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 來自排程分析規則的警示,包括內建的警示,以及安全性分析師所建立的警示。 分析規則必須包含終止鏈結(策略)和實體對應資訊,才能由 Fusion 使用。
您不需要連接 以上所列的所有 數據源,才能讓 Fusion 成為新興威脅的運作。 不過,您所連線的數據源越多,涵蓋範圍越廣,融合就會發現更多威脅。
當 Fusion 引擎的相互關聯導致偵測到新興威脅時,會在 Microsoft Sentinel 工作區的事件數據表中產生名為「Fusion 偵測到的可能多階段攻擊活動」的高嚴重性事件。
勒索軟體的融合
當 Microsoft Sentinel 的 Fusion 引擎偵測到來自下列數據源的多個不同類型的警示時,會產生事件,並判斷它們可能與勒索軟體活動相關:
- 適用於雲端的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender 連接器
- 適用於雲端應用程式的 Microsoft Defender
- Microsoft Sentinel 排程分析規則。 融合只會考慮具有策略資訊和對應實體的已排程分析規則。
這類融合事件會命名為多個可能與偵測到勒索軟體活動相關的警示,並在特定時間範圍內偵測到相關警示時產生,並與攻擊的執行和防禦逃避階段相關聯。
例如,如果特定時間範圍內在同一部主機上觸發下列警示,Microsoft Sentinel 就會針對可能的勒索軟體活動產生事件:
| 警示 | 來源 | 嚴重性 |
|---|---|---|
| Windows 錯誤和警告事件 | Microsoft Sentinel 排程分析規則 | 資訊 |
| “GandCrab” 勒索軟體被防止 | 適用於雲端的 Microsoft Defender | medium |
| 偵測到 『Emotet』 惡意代碼 | 適用於端點的 Microsoft Defender | 資訊 |
| 偵測到 『Tofsee』 後門 | 適用於雲端的 Microsoft Defender | 愛荷華州 |
| 偵測到 『Parite』 惡意代碼 | 適用於端點的 Microsoft Defender | 資訊 |
案例型融合偵測
下一節列出 Microsoft Sentinel 使用 Fusion 相互關聯引擎偵測到的 案例型多階段攻擊類型,並依威脅分類分組。
若要啟用這些融合式攻擊偵測案例,其相關聯的數據源必須內嵌至 Log Analytics 工作區。 選取下表中的連結,以瞭解每個案例及其相關聯的數據源。
注意
其中有些案例處於預覽狀態。 他們會如此指出。
| 威脅分類 | 案例 |
|---|---|
| 計算資源濫用 | |
| 認證存取 | |
| 認證收集 | |
| Crypto-mining | |
| 資料損毀 | |
| 數據外流 |
|
| 拒絕服務 | |
| 橫向移動 | |
| 惡意系統管理活動 | |
| 惡意執行 具有合法進程 |
|
| 惡意代碼 C2 或下載 | |
| 持續性 |
|
| 勒索軟體 | |
| 遠端惡意探索 | |
| 資源劫持 | |
下一步
取得 Fusion 進階多階段攻擊偵測的詳細資訊:
- 深入瞭解 Fusion 案例型攻擊偵測。
- 瞭解如何設定 Fusion 規則。
現在您已深入瞭解進階多階段攻擊偵測,您可能會對下列快速入門感興趣,以瞭解如何瞭解您的數據和潛在威脅: 開始使用 Microsoft Sentinel。
如果您已準備好調查為您建立的事件,請參閱下列教學課程: 使用 Microsoft Sentinel 調查事件。