Megosztás a következőn keresztül:

Többlépcsős támadásészlelési (Fusion) szabályok konfigurálása a Microsoft Sentinelben

  • Cikk

Fontos

A Fusion Analytics-szabály új verziója jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

A Microsoft Sentinel Skálázható gépi tanulási algoritmusokon alapuló korrelációs motor, a Fusion használatával automatikusan észleli a többszörös támadásokat a rendellenességek és a gyilkossági lánc különböző szakaszaiban megfigyelt gyanús tevékenységek kombinációinak azonosításával. Ezek alapján a Microsoft Sentinel olyan incidenseket hoz létre, amelyeket egyébként nehéz lenne elkapni. Ezek az incidensek két vagy több riasztásból vagy tevékenységből állnak. A tervezés szerint ezek az incidensek kis mennyiségű, nagy pontosságú és nagy súlyosságú incidensek.

A környezethez szabott észlelési technológia nem csak a hamis pozitív arányokat csökkenti, hanem a korlátozott vagy hiányzó információkat tartalmazó támadásokat is képes észlelni.

Fusion-szabályok konfigurálása

Ez az észlelés alapértelmezés szerint engedélyezve van a Microsoft Sentinelben. Állapotának ellenőrzéséhez vagy módosításához kövesse az alábbi utasításokat:

  1. Jelentkezzen be az Azure Portalra, és írja be a Microsoft Sentinelt.

  2. A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.

  3. Válassza az Aktív szabályok lapot, majd keresse meg a NÉV oszlopban a Speciális többlépéses támadásészlelést a Fúziós szabálytípus listájának szűrésével. Ellenőrizze a STATUS oszlopban, hogy az észlelés engedélyezve van-e vagy le van-e tiltva.

    Képernyőkép a Fusion Analytics-szabályról.

  4. Az állapot módosításához jelölje ki ezt a bejegyzést, és a Speciális multistage támadásészlelés előnézeti panelen válassza a Szerkesztés lehetőséget.

  5. Az Elemzési szabály varázsló Általános lapján jegyezze fel az állapotot (Engedélyezve/Letiltva), vagy ha szeretné, módosítsa.

    Ha módosította az állapotot, de nincs további módosítás, válassza a Véleményezés és frissítés lapot, és válassza a Mentés lehetőséget.

    A fúziós észlelési szabály további konfigurálásához válassza a Tovább: Fúzió konfigurálása lehetőséget.

    Képernyőkép a fúziós szabály konfigurációjáról.

  6. Konfigurálja a forrásjeleket a fúziós észleléshez: javasoljuk, hogy a legjobb eredmény érdekében a felsorolt forrásjeleket minden súlyossági szinttel együtt tartalmazza. Alapértelmezés szerint ezek már mind benne vannak, de a következő módokon végezhet módosításokat:

    Feljegyzés

    Ha kizár egy adott forrásjelet vagy egy riasztás súlyossági szintjét, a forrástól származó jelekre támaszkodó fúziós észlelések vagy az adott súlyossági szintnek megfelelő riasztások nem aktiválódnak.

    • A fúziós észlelésekből származó jelek kizárása, beleértve az anomáliákat, a különböző szolgáltatóktól érkező riasztásokat és a nyers naplókat.

      Használati eset: ha egy olyan adott jelforrást tesztel, amelyről ismert, hogy zajos riasztásokat hoz létre, ideiglenesen kikapcsolhatja az adott jelforrástól érkező jeleket a fúziós észlelésekhez.

    • Konfigurálja az egyes szolgáltatók riasztási súlyosságát: a fúziós ml-modell a kialakítás alapján egyetlen nagy súlyosságú incidensbe kapcsolja össze az alacsony megbízhatósági jeleket a több adatforrásból származó, a kill-láncban található rendellenes jelek alapján. A Fusionben szereplő riasztások általában alacsonyabb súlyosságúak (közepes, alacsony, tájékoztató jellegűek), de esetenként releváns, nagy súlyosságú riasztások is szerepelnek benne.

      Használati eset: Ha külön eljárása van a nagy súlyosságú riasztások osztályozására és vizsgálatára, és nem szeretné, hogy ezek a riasztások szerepeljenek a Fusionben, konfigurálhatja a forrásjeleket úgy, hogy kizárják a nagy súlyosságú riasztásokat a Fúziós észlelésekből.

    • Bizonyos észlelési minták kizárása a fúziós észlelésből. Előfordulhat, hogy egyes fúziós észlelések nem alkalmazhatók a környezetére, vagy hajlamos lehet hamis pozitív értékek létrehozására. Ha ki szeretne zárni egy adott fúziós észlelési mintát, kövesse az alábbi utasításokat:

      1. Keresse meg és nyissa meg a kizárni kívánt fúziós incidenst.

      2. A Leírás szakaszban válassza a Továbbiak megjelenítése lehetőséget.

      3. Az Adott észlelési minta kizárása csoportban válassza a kizárási hivatkozást, amely átirányítja a Fúzió konfigurálása lapra az elemzési szabály varázslójában.

        Képernyőkép a Fusion-incidensről. Válassza ki a kizárási hivatkozást.

      A Fúzió konfigurálása lapon láthatja, hogy az észlelési minta – amely egy fúziós incidens riasztásainak és rendellenességeinek kombinációja – hozzáadva lett a kizárási listához, valamint az észlelési minta hozzáadásának időpontja.

      A kizárt észlelési mintát bármikor eltávolíthatja, ha az észlelési mintán a kuka ikont választja.

      Képernyőkép a kizárt észlelési minták listájáról.

      A kizárt észlelési mintáknak megfelelő incidensek továbbra is aktiválódnak, de nem jelennek meg az aktív incidensek üzenetsorában. Ezek automatikusan ki lesznek töltve a következő értékekkel:

      • Állapot: "Zárva"

      • Záró besorolás: "Meghatározatlan"

      • Megjegyzés: "Automatikusan bezárt, kizárt fúziós észlelési minta"

      • Címke: "ExcludedFusionDetectionPattern" – a címkén lekérdezéssel megtekintheti az észlelési mintának megfelelő összes incidenst.

        Képernyőkép az automatikusan bezárt, kizárt fúziós incidensről.

Feljegyzés

A Microsoft Sentinel jelenleg 30 napos előzményadatokat használ a gépi tanulási rendszerek betanítása érdekében. Ezek az adatok mindig a Microsoft kulcsainak használatával titkosítva lesznek, miközben áthaladnak a gépi tanulási folyamaton. A betanítási adatok azonban nem titkosítva lesznek ügyfél által felügyelt kulcsokkal (CMK), ha engedélyezte a CMK-t a Microsoft Sentinel-munkaterületen. Ha le szeretné tiltani a fúziót, lépjen a Microsoft Sentinel>Configuration>Analytics > aktív szabályaira, kattintson a jobb gombbal a Advanced Multistage Attack Detection szabályra, és válassza a Letiltás lehetőséget.

Ütemezett elemzési szabályok konfigurálása fúziós észlelésekhez

Fontos

  • Az elemzési szabályriasztásokat használó fúziós alapú észlelés jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Fusion az ütemezett elemzési szabályok által generált riasztások használatával képes észlelni a forgatókönyvalapú többfázisú támadásokat és a felmerülő fenyegetéseket. Javasoljuk, hogy a következő lépésekkel konfigurálja és engedélyezze ezeket a szabályokat, hogy a lehető legtöbbet hozhassa ki a Microsoft Sentinel Fúziós képességeiből.

  1. Az újonnan megjelenő fenyegetések fúziója olyan ütemezett elemzési szabályok által generált riasztásokat használhat, amelyek kill-chain (taktika) és entitásleképezési információkat tartalmaznak. Annak biztosítása érdekében, hogy a Fusion egy elemzési szabály kimenetét felhasználva észlelje a felmerülő fenyegetéseket:

    • Tekintse át ezeknek az ütemezett szabályoknak az entitásleképezését . Az entitásleképezés konfigurációs szakaszával leképezheti a lekérdezés eredményeiből származó paramétereket a Microsoft Sentinel által felismert entitásokra. Mivel a Fusion entitások (például felhasználói fiók vagy IP-cím) alapján korrelálja a riasztásokat, az ml-algoritmusok nem tudják végrehajtani a riasztások egyeztetését az entitásadatok nélkül.

    • Tekintse át az elemzési szabály részleteiben szereplő taktikákat és technikákat . A Fusion ML algoritmus a MITRE ATT&CK információit használja a többfázisú támadások észleléséhez, és az elemzési szabályok címkével ellátott taktikái és technikái megjelennek az ebből eredő incidensekben. A fúziós számítások akkor lehetnek hatással, ha a bejövő riasztások nem tartalmaznak taktikára vonatkozó információkat.

  2. A Fusion a forgatókönyvalapú fenyegetéseket az alábbi ütemezett elemzési szabálysablonokon alapuló szabályok használatával is képes észlelni.

    Ha engedélyezni szeretné a sablonokként elérhető lekérdezéseket az Elemzés lapon, lépjen a Szabálysablonok lapra, válassza ki a szabály nevét a sablonok gyűjteményében, és válassza a Szabály létrehozása lehetőséget a részletek panelen.

    Ha olyan lekérdezéseket szeretne hozzáadni, amelyek jelenleg nem érhetők el szabálysablonként, olvassa el az egyéni elemzési szabály létrehozása az alapoktól című témakört.

    További információ: Fusion Advanced Multistage Attack Detection Scenarios with Scheduled Analytics Rules.

    Feljegyzés

    A Fusion által használt ütemezett elemzési szabályok esetében az ML-algoritmus nem felel meg a sablonokban megadott KQL-lekérdezéseknek. A sablonok átnevezése nem befolyásolja a fúziós észleléseket.

Következő lépések

További információ a fúziós észlelésekről a Microsoft Sentinelben.

További információ a forgatókönyvalapú fúziós észlelésekről.

Most, hogy többet is megtudhat a többlépcsős támadások észleléséről, az alábbi rövid útmutatóból megtudhatja, hogyan ismerheti meg adatait és potenciális fenyegetéseit: Ismerkedés a Microsoft Sentinellel.

Ha készen áll az Ön számára létrehozott incidensek kivizsgálására, tekintse meg a következő oktatóanyagot: Incidensek vizsgálata a Microsoft Sentinellel.