Fejlett többfázisú támadásészlelés a Microsoft Sentinelben
A Microsoft Sentinel Skálázható gépi tanulási algoritmusokon alapuló korrelációs motor, a Fusion használatával automatikusan észleli a többszörös támadásokat (más néven speciális állandó fenyegetéseket vagy APT-t) a rendellenességek és a gyilkossági lánc különböző szakaszaiban megfigyelt gyanús tevékenységek kombinációinak azonosításával. Ezek alapján a Microsoft Sentinel olyan incidenseket hoz létre, amelyeket egyébként nehéz lenne elkapni. Ezek az incidensek két vagy több riasztásból vagy tevékenységből állnak. A tervezés szerint ezek az incidensek kis mennyiségű, nagy pontosságú és nagy súlyosságú incidensek.
A környezethez szabott észlelési technológia nem csak a hamis pozitív arányokat csökkenti, hanem a korlátozott vagy hiányzó információkat tartalmazó támadásokat is képes észlelni.
Mivel a Fusion több különböző terméktől származó jeleket korrelál a fejlett multistage támadások észleléséhez, a sikeres fúziós észlelések fúziós incidensként jelennek meg a Microsoft Sentinel Incidensek lapján, nem riasztásként, és a SecurityIncident táblában vannak tárolva a Naplókban, és nem a SecurityAlert táblában.
Fúzió konfigurálása
A fúzió alapértelmezés szerint engedélyezve van a Microsoft Sentinelben, a Speciális többlépéses támadásészlelés nevű elemzési szabályként. Megtekintheti és módosíthatja a szabály állapotát, konfigurálhatja a forrásjeleket, hogy szerepeljenek a Fusion ML-modellben, vagy kizárhat olyan észlelési mintákat, amelyek esetleg nem alkalmazhatók a környezetére a fúziós detektálásból. Ismerje meg, hogyan konfigurálhatja a fúziós szabályt.
Feljegyzés
A Microsoft Sentinel jelenleg 30 napos előzményadatokat használ a Fusion motor gépi tanulási algoritmusainak betanítása érdekében. Ezek az adatok mindig a Microsoft kulcsainak használatával titkosítva lesznek, miközben áthaladnak a gépi tanulási folyamaton. A betanítási adatok azonban nem titkosítva lesznek ügyfél által felügyelt kulcsokkal (CMK), ha engedélyezte a CMK-t a Microsoft Sentinel-munkaterületen. Ha le szeretné tiltani a fúziót, lépjen a Microsoft Sentinel>Configuration>Analytics > aktív szabályaira, kattintson a jobb gombbal a Advanced Multistage Attack Detection szabályra, és válassza a Letiltás lehetőséget.
A Microsoft Defender portálra előkészített Microsoft Sentinel-munkaterületek esetében a Fusion le van tiltva. Funkcióját a Microsoft Defender XDR korrelációs motorja váltja fel.
Fúzió a felmerülő fenyegetésekhez
Fontos
A jelzett fúziós észlelések jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Fúzió konfigurálása
A fúzió alapértelmezés szerint engedélyezve van a Microsoft Sentinelben, a Speciális többlépéses támadásészlelés nevű elemzési szabályként. Megtekintheti és módosíthatja a szabály állapotát, konfigurálhatja a forrásjeleket, hogy szerepeljenek a Fusion ML-modellben, vagy kizárhat olyan észlelési mintákat, amelyek esetleg nem alkalmazhatók a környezetére a fúziós detektálásból. Ismerje meg, hogyan konfigurálhatja a fúziós szabályt.
Ha engedélyezte az ügyfél által felügyelt kulcsokat (CMK) a munkaterületen, érdemes lehet kikapcsolni a Fusiont. A Microsoft Sentinel jelenleg 30 napos előzményadatokat használ a Fúziós motor gépi tanulási algoritmusainak betanítása érdekében, és ezek az adatok mindig a Microsoft kulcsainak használatával titkosítva lesznek, miközben áthaladnak a gépi tanulási folyamaton. A betanítási adatok azonban nem titkosítva a CMK használatával. A fúzió letiltásához tiltsa le az Advanced Multistage Attack Detection analytics szabályt a Microsoft Sentinelben. További információ: Fúziós szabályok konfigurálása.
A fúzió le van tiltva, amikor a Microsoft Sentinel a Defender portálra kerül. Ehelyett a Defender portálon való munka során a Fusion által biztosított funkciókat a Microsoft Defender XDR korrelációs motorja váltja fel.
Fúzió a felmerülő fenyegetésekhez (előzetes verzió)
A biztonsági események mennyisége folyamatosan növekszik, és a támadások hatóköre és kifinomultsága egyre nő. Meg tudjuk határozni az ismert támadási forgatókönyveket, de mi a helyzet a környezetben megjelenő és ismeretlen fenyegetésekkel?
A Microsoft Sentinel ML-alapú fúziós motorja a kiterjesztett ML-elemzés alkalmazásával és a rendellenes jelek szélesebb körének korrelálásával segíthet megtalálni a környezetében felmerülő és ismeretlen fenyegetéseket, miközben a riasztások kimerültsége alacsony.
A fúziós motor ml-algoritmusai folyamatosan tanulnak a meglévő támadásokból, és elemzést alkalmaznak a biztonsági elemzők gondolkodása alapján. Így felderítheti a korábban nem észlelt fenyegetéseket több millió rendellenes viselkedésből az egész környezetben a gyilkossági láncban, ami segít egy lépéssel megelőzni a támadókat.
Az újonnan megjelenő fenyegetések fúziója az alábbi forrásokból származó adatgyűjtést és elemzést támogatja:
Riasztások Microsoft-szolgáltatások:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender végponthoz
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
Ütemezett elemzési szabályok riasztásai. Az elemzési szabályoknak tartalmazniuk kell a kill-chain (taktikák) és az entitásleképezési információkat a Fusion használatához.
Nem kell összekapcsolnia a fent felsorolt összes adatforrást, hogy működjön a Fúzió az újonnan megjelenő fenyegetésekhez. Minél több adatforráshoz csatlakozik, annál szélesebb körű a lefedettség, és annál több fenyegetést fog találni a Fusion.
Amikor a fúziós motor korrelációi egy újonnan megjelenő fenyegetés észlelését eredményezik, a Microsoft Sentinel egy nagy súlyosságú incidenst hoz létre a Fusion által észlelt lehetséges többlépéses támadási tevékenységek címmel.
Fúzió zsarolóprogramokhoz
A Microsoft Sentinel fúziós motorja incidenst hoz létre, amikor több különböző típusú riasztást észlel az alábbi adatforrásokból, és megállapítja, hogy ezek a zsarolóprogramok tevékenységéhez kapcsolódhatnak:
- Felhőhöz készült Microsoft Defender
- Végponthoz készült Microsoft Defender
- Microsoft Defender for Identity-összekötő
- Felhőhöz készült Microsoft Defender-alkalmazások
- Microsoft Sentinel ütemezett elemzési szabályok. A Fusion csak az ütemezett elemzési szabályokat veszi figyelembe a taktikára vonatkozó információkkal és a leképezett entitásokkal.
Az ilyen fúziós incidenseket több riasztásnak nevezik, amelyek esetleg a Ransomware-tevékenységhez kapcsolódnak, és akkor jönnek létre, amikor a releváns riasztásokat egy adott időkeretben észlelik, és a támadás végrehajtási és védelmi kijátszási szakaszaihoz kapcsolódnak.
A Microsoft Sentinel például incidenst okozna a lehetséges zsarolóprogram-tevékenységekhez, ha a következő riasztások egy adott időkereten belül aktiválódnak ugyanazon a gazdagépen:
| Riasztás | Forrás | Súlyosság |
|---|---|---|
| Windows hiba- és figyelmeztetési események | Microsoft Sentinel ütemezett elemzési szabályok | Információs |
| A "GandCrab" zsarolóprogramot megakadályozták | Microsoft Defender for Cloud | közepes |
| "Emotet" kártevőt észleltek | Microsoft Defender végponthoz | Információs |
| "Tofsee" backdoor észlelhető | Microsoft Defender for Cloud | alacsony |
| "Parite" kártevőt észleltek | Microsoft Defender végponthoz | Információs |
Forgatókönyvalapú fúziós észlelések
Az alábbi szakasz felsorolja azokat a forgatókönyvalapú többlépéses támadásokat, amelyeket a Microsoft Sentinel a fúziós korrelációs motor használatával észlel, fenyegetésbesorolás szerint csoportosítva.
A fúziós támadásészlelési forgatókönyvek engedélyezéséhez a társított adatforrásokat a Log Analytics-munkaterületre kell beolvasni. Az alábbi táblázatban található hivatkozásokra kattintva megismerheti az egyes forgatókönyveket és a hozzájuk tartozó adatforrásokat.
Kapcsolódó tartalom
További információk: