Többlépcsős támadásészlelési (Fusion) szabályok konfigurálása a Microsoft Sentinelben
Fontos
A Fusion Analytics-szabály új verziója jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
A Microsoft Sentinel Skálázható gépi tanulási algoritmusokon alapuló korrelációs motor, a Fusion használatával automatikusan észleli a többszörös támadásokat a rendellenességek és a gyilkossági lánc különböző szakaszaiban megfigyelt gyanús tevékenységek kombinációinak azonosításával. Ezek alapján a Microsoft Sentinel olyan incidenseket hoz létre, amelyeket egyébként nehéz lenne elkapni. Ezek az incidensek két vagy több riasztásból vagy tevékenységből állnak. A tervezés szerint ezek az incidensek kis mennyiségű, nagy pontosságú és nagy súlyosságú incidensek.
A környezethez szabott észlelési technológia nem csak a hamis pozitív arányokat csökkenti, hanem a korlátozott vagy hiányzó információkat tartalmazó támadásokat is képes észlelni.
Fusion-szabályok konfigurálása
Ez az észlelés alapértelmezés szerint engedélyezve van a Microsoft Sentinelben. Állapotának ellenőrzéséhez vagy módosításához kövesse az alábbi utasításokat:
Jelentkezzen be az Azure Portalra, és írja be a Microsoft Sentinelt.
A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.
Válassza az Aktív szabályok lapot, majd keresse meg a NÉV oszlopban a Speciális többlépéses támadásészlelést a Fúziós szabálytípus listájának szűrésével. Ellenőrizze a STATUS oszlopban, hogy az észlelés engedélyezve van-e vagy le van-e tiltva.
Az állapot módosításához jelölje ki ezt a bejegyzést, és a Speciális multistage támadásészlelés előnézeti panelen válassza a Szerkesztés lehetőséget.
Az Elemzési szabály varázsló Általános lapján jegyezze fel az állapotot (Engedélyezve/Letiltva), vagy ha szeretné, módosítsa.
Ha módosította az állapotot, de nincs további módosítás, válassza a Véleményezés és frissítés lapot, és válassza a Mentés lehetőséget.
A fúziós észlelési szabály további konfigurálásához válassza a Tovább: Fúzió konfigurálása lehetőséget.
Konfigurálja a forrásjeleket a fúziós észleléshez: javasoljuk, hogy a legjobb eredmény érdekében a felsorolt forrásjeleket minden súlyossági szinttel együtt tartalmazza. Alapértelmezés szerint ezek már mind benne vannak, de a következő módokon végezhet módosításokat:
Feljegyzés
Ha kizár egy adott forrásjelet vagy egy riasztás súlyossági szintjét, a forrástól származó jelekre támaszkodó fúziós észlelések vagy az adott súlyossági szintnek megfelelő riasztások nem aktiválódnak.
A fúziós észlelésekből származó jelek kizárása, beleértve az anomáliákat, a különböző szolgáltatóktól érkező riasztásokat és a nyers naplókat.
Használati eset: ha egy olyan adott jelforrást tesztel, amelyről ismert, hogy zajos riasztásokat hoz létre, ideiglenesen kikapcsolhatja az adott jelforrástól érkező jeleket a fúziós észlelésekhez.
Konfigurálja az egyes szolgáltatók riasztási súlyosságát: a fúziós ml-modell a kialakítás alapján egyetlen nagy súlyosságú incidensbe kapcsolja össze az alacsony megbízhatósági jeleket a több adatforrásból származó, a kill-láncban található rendellenes jelek alapján. A Fusionben szereplő riasztások általában alacsonyabb súlyosságúak (közepes, alacsony, tájékoztató jellegűek), de esetenként releváns, nagy súlyosságú riasztások is szerepelnek benne.
Használati eset: Ha külön eljárása van a nagy súlyosságú riasztások osztályozására és vizsgálatára, és nem szeretné, hogy ezek a riasztások szerepeljenek a Fusionben, konfigurálhatja a forrásjeleket úgy, hogy kizárják a nagy súlyosságú riasztásokat a Fúziós észlelésekből.
Bizonyos észlelési minták kizárása a fúziós észlelésből. Előfordulhat, hogy egyes fúziós észlelések nem alkalmazhatók a környezetére, vagy hajlamos lehet hamis pozitív értékek létrehozására. Ha ki szeretne zárni egy adott fúziós észlelési mintát, kövesse az alábbi utasításokat:
Keresse meg és nyissa meg a kizárni kívánt fúziós incidenst.
A Leírás szakaszban válassza a Továbbiak megjelenítése lehetőséget.
Az Adott észlelési minta kizárása csoportban válassza a kizárási hivatkozást, amely átirányítja a Fúzió konfigurálása lapra az elemzési szabály varázslójában.
A Fúzió konfigurálása lapon láthatja, hogy az észlelési minta – amely egy fúziós incidens riasztásainak és rendellenességeinek kombinációja – hozzáadva lett a kizárási listához, valamint az észlelési minta hozzáadásának időpontja.
A kizárt észlelési mintát bármikor eltávolíthatja, ha az észlelési mintán a kuka ikont választja.
A kizárt észlelési mintáknak megfelelő incidensek továbbra is aktiválódnak, de nem jelennek meg az aktív incidensek üzenetsorában. Ezek automatikusan ki lesznek töltve a következő értékekkel:
Állapot: "Zárva"
Záró besorolás: "Meghatározatlan"
Megjegyzés: "Automatikusan bezárt, kizárt fúziós észlelési minta"
Címke: "ExcludedFusionDetectionPattern" – a címkén lekérdezéssel megtekintheti az észlelési mintának megfelelő összes incidenst.
Feljegyzés
A Microsoft Sentinel jelenleg 30 napos előzményadatokat használ a gépi tanulási rendszerek betanítása érdekében. Ezek az adatok mindig a Microsoft kulcsainak használatával titkosítva lesznek, miközben áthaladnak a gépi tanulási folyamaton. A betanítási adatok azonban nem titkosítva lesznek ügyfél által felügyelt kulcsokkal (CMK), ha engedélyezte a CMK-t a Microsoft Sentinel-munkaterületen. Ha le szeretné tiltani a fúziót, lépjen a Microsoft Sentinel>Configuration>Analytics > aktív szabályaira, kattintson a jobb gombbal a Advanced Multistage Attack Detection szabályra, és válassza a Letiltás lehetőséget.
Ütemezett elemzési szabályok konfigurálása fúziós észlelésekhez
Fontos
- Az elemzési szabályriasztásokat használó fúziós alapú észlelés jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Fusion az ütemezett elemzési szabályok által generált riasztások használatával képes észlelni a forgatókönyvalapú többfázisú támadásokat és a felmerülő fenyegetéseket. Javasoljuk, hogy a következő lépésekkel konfigurálja és engedélyezze ezeket a szabályokat, hogy a lehető legtöbbet hozhassa ki a Microsoft Sentinel Fúziós képességeiből.
Az újonnan megjelenő fenyegetések fúziója olyan ütemezett elemzési szabályok által generált riasztásokat használhat, amelyek kill-chain (taktika) és entitásleképezési információkat tartalmaznak. Annak biztosítása érdekében, hogy a Fusion egy elemzési szabály kimenetét felhasználva észlelje a felmerülő fenyegetéseket:
Tekintse át ezeknek az ütemezett szabályoknak az entitásleképezését . Az entitásleképezés konfigurációs szakaszával leképezheti a lekérdezés eredményeiből származó paramétereket a Microsoft Sentinel által felismert entitásokra. Mivel a Fusion entitások (például felhasználói fiók vagy IP-cím) alapján korrelálja a riasztásokat, az ml-algoritmusok nem tudják végrehajtani a riasztások egyeztetését az entitásadatok nélkül.
Tekintse át az elemzési szabály részleteiben szereplő taktikákat és technikákat . A Fusion ML algoritmus a MITRE ATT&CK információit használja a többfázisú támadások észleléséhez, és az elemzési szabályok címkével ellátott taktikái és technikái megjelennek az ebből eredő incidensekben. A fúziós számítások akkor lehetnek hatással, ha a bejövő riasztások nem tartalmaznak taktikára vonatkozó információkat.
A Fusion a forgatókönyvalapú fenyegetéseket az alábbi ütemezett elemzési szabálysablonokon alapuló szabályok használatával is képes észlelni.
Ha engedélyezni szeretné a sablonokként elérhető lekérdezéseket az Elemzés lapon, lépjen a Szabálysablonok lapra, válassza ki a szabály nevét a sablonok gyűjteményében, és válassza a Szabály létrehozása lehetőséget a részletek panelen.
- Cisco – tűzfalblokk, de sikeres bejelentkezés a Microsoft Entra-azonosítóba
- Fortinet – Jelzőfény-minta észlelhető
- Több sikertelen Microsoft Entra-bejelentkezéssel rendelkező IP-cím sikeresen bejelentkezik a Palo Alto VPN-be
- Több jelszó alaphelyzetbe állítása felhasználó szerint
- Ritka alkalmazás-hozzájárulás
- SharePointFileOperation korábban nem látott IP-címeken keresztül
- Gyanús erőforrás üzembe helyezése
- Palo Alto Threat-aláírások szokatlan IP-címekről
Ha olyan lekérdezéseket szeretne hozzáadni, amelyek jelenleg nem érhetők el szabálysablonként, olvassa el az egyéni elemzési szabály létrehozása az alapoktól című témakört.
További információ: Fusion Advanced Multistage Attack Detection Scenarios with Scheduled Analytics Rules.
Feljegyzés
A Fusion által használt ütemezett elemzési szabályok esetében az ML-algoritmus nem felel meg a sablonokban megadott KQL-lekérdezéseknek. A sablonok átnevezése nem befolyásolja a fúziós észleléseket.
Következő lépések
További információ a fúziós észlelésekről a Microsoft Sentinelben.
További információ a forgatókönyvalapú fúziós észlelésekről.
Most, hogy többet is megtudhat a többlépcsős támadások észleléséről, az alábbi rövid útmutatóból megtudhatja, hogyan ismerheti meg adatait és potenciális fenyegetéseit: Ismerkedés a Microsoft Sentinellel.
Ha készen áll az Ön számára létrehozott incidensek kivizsgálására, tekintse meg a következő oktatóanyagot: Incidensek vizsgálata a Microsoft Sentinellel.