Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel

Artikel
01/03/2025
Berlaku untuk:

Microsoft Sentinel in the Azure portal

Microsoft Azure Sentinel menggunakan Fusion, mesin korelasi berbasis algoritma pembelajaran mesin yang dapat diskalakan, untuk secara otomatis mendeteksi serangan multi-tahap (juga dikenal sebagai ancaman persisten tingkat lanjut atau APT) dengan mengidentifikasi kombinasi perilaku anomali dan aktivitas mencurigakan yang diamati pada berbagai tahap rantai penyerangan. Berdasarkan penemuan ini, Microsoft Sentinel menghasilkan insiden yang jika tidak akan sulit ditangkap. Insiden ini terdiri dari dua atau lebih pemberitahuan atau aktivitas. Dengan sengaja, insiden ini memiliki volume rendah, fidelitas tinggi, dan tingkat keparahan tinggi.

Disesuaikan untuk lingkungan Anda, teknologi deteksi ini tidak hanya mengurangi rasio positif palsu tetapi juga dapat mendeteksi serangan dengan informasi terbatas atau hilang.

Karena Fusion menghubungkan beberapa sinyal dari berbagai produk untuk mendeteksi serangan multitahap tingkat lanjut, deteksi Fusion yang berhasil disajikan sebagai insiden Fusion di halaman Insiden Microsoft Sentinel dan bukan sebagai peringatan, dan disimpan dalam tabel SecurityIncident di Log dan bukan di tabel SecurityAlert.

Konfigurasikan Fusion

Fusion diaktifkan secara default dalam Microsoft Azure Sentinel, sebagai aturan analitik yang disebut Deteksi serangan multi-tahap tingkat lanjut. Anda dapat melihat dan mengubah status aturan, mengonfigurasi sinyal sumber untuk disertakan dalam model Pembelajaran Mesin Fusion, atau mengecualikan pola deteksi tertentu yang mungkin tidak berlaku untuk lingkungan Anda dari deteksi Fusion. Pelajari cara mengonfigurasi aturan Fusion.

Catatan

Microsoft Azure Sentinel saat ini menggunakan data riwayat 30 hari untuk melatih algoritma pembelajaran mesin dari mesin Fusion. Data ini selalu dienkripsi menggunakan kunci Microsoft saat melewati alur pembelajaran mesin. Namun, data pelatihan tidak dienkripsi menggunakan Kunci yang Dikelola Pelanggan (CMK) jika Anda telah mengaktifkan CMK di ruang kerja Microsoft Azure Sentinel. Untuk menolak Fusion, navigasikan ke Microsoft Azure Sentinel>Konfigurasi>Analitik> Aturan aktif, klik kanan aturan Deteksi Serangan Multi-tahap Tingkat Lanjut, lalu pilih Nonaktifkan.

Untuk ruang kerja Microsoft Azure Sentinel yang di-onboarding ke portal Pertahanan Microsoft, Fusion dinonaktifkan. Fungsionalitasnya digantikan oleh mesin korelasi Pertahanan Microsoft XDR.

Fusion untuk ancaman yang muncul

Penting

Deteksi Fusion yang ditunjukkan saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Konfigurasikan Fusion

Fusion diaktifkan secara default dalam Microsoft Azure Sentinel, sebagai aturan analitik yang disebut Deteksi serangan multi-tahap tingkat lanjut. Anda dapat melihat dan mengubah status aturan, mengonfigurasi sinyal sumber untuk disertakan dalam model Fusion ML, atau mengecualikan pola deteksi tertentu yang mungkin tidak berlaku untuk lingkungan Anda dari deteksi Fusion. Pelajari cara mengonfigurasi aturan Fusion.

Anda mungkin ingin menolak Fusion jika Anda telah mengaktifkan Kunci yang Dikelola Pelanggan (CMK) di ruang kerja Anda. Microsoft Sentinel saat ini menggunakan data historis selama 30 hari untuk melatih algoritma pembelajaran mesin mesin Fusion, dan data ini selalu dienkripsi menggunakan kunci Microsoft saat melewati alur pembelajaran mesin. Namun, data pelatihan tidak dienkripsi menggunakan CMK. Untuk menolak Fusion, nonaktifkan aturan analitik Deteksi Serangan Multitahap Tingkat Lanjut di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Mengonfigurasi aturan Fusion.

Fusion dinonaktifkan saat Microsoft Sentinel di-onboarding ke portal Defender. Sebagai gantinya, saat bekerja di portal Defender, fungsionalitas yang disediakan oleh Fusion digantikan oleh mesin korelasi Pertahanan Microsoft XDR.

Fusion untuk ancaman yang muncul (Pratinjau)

Volume peristiwa keamanan terus berkembang, dan cakupan serta kecanggihan serangan semakin meningkat. Kami dapat menentukan skenario serangan yang diketahui, tetapi bagaimana dengan ancaman yang muncul dan tidak dikenal di lingkungan Anda?

Mesin Fusion yang didukung oleh ML Microsoft Azure Sentinel dapat membantu Anda menemukan ancaman yang muncul dan tidak diketahui di lingkungan Anda dengan menerapkan analisis ML yang diperluas dan dengan menghubungkan cakupan sinyal anomali yang lebih luas, sekaligus menjaga kelelahan pemberitahuan tetap rendah.

Algoritma Pembelajaran Mesin dari mesin Fusion terus belajar dari serangan yang ada dan menerapkan analisis berdasarkan cara berpikir analis keamanan. Oleh karena itu, ia dapat menemukan ancaman yang sebelumnya tidak terdeteksi dari jutaan perilaku anomali di seluruh rantai pembunuhan di seluruh lingkungan Anda, yang membantu Anda tetap selangkah lebih maju dari para penyerang.

Fusion untuk ancaman yang muncul mendukung pengumpulan dan analisis data dari sumber berikut:

Deteksi anomali siap pakai
Pemberitahuan dari layanan Microsoft:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Pertahanan Microsoft untuk Titik Akhir
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
Pemberitahuan dari aturan analitik terjadwal. Aturan analitik harus berisi informasi kill-chain (taktik) dan pemetaan entitas agar dapat digunakan oleh Fusion.

Anda tidak perlu menghubungkan semua sumber data yang tercantum di atas untuk membuat Fusion agar ancaman yang muncul berfungsi. Namun, semakin banyak sumber data yang Anda sambungkan, semakin luas cakupannya, dan semakin banyak ancaman yang akan ditemukan Fusion.

Ketika korelasi mesin Fusion menghasilkan deteksi ancaman yang muncul, Microsoft Sentinel menghasilkan insiden tingkat keparahan tinggi berjudul Kemungkinan aktivitas serangan multitahap yang terdeteksi oleh Fusion.

Fusion untuk ransomware

Mesin Fusion Microsoft Sentinel menghasilkan insiden ketika mendeteksi beberapa pemberitahuan dari berbagai jenis dari sumber data berikut, dan menentukan bahwa mereka mungkin terkait dengan aktivitas ransomware:

Microsoft Defender untuk Cloud
Microsoft Defender untuk Titik Akhir
konektor Microsoft Defender untuk Identitas
Aplikasi Microsoft Defender untuk Cloud
Aturan analitik terjadwal Microsoft Azure Sentinel. Fusion hanya mempertimbangkan aturan analitik terjadwal dengan informasi taktik dan entitas yang dipetakan.

Insiden Fusion tersebut bernama Beberapa peringatan yang mungkin terkait dengan aktivitas Ransomware yang terdeteksi, dan dibuat jika peringatan yang relevan terdeteksi selama jangka waktu tertentu dan terkait dengan tahap Eksekusi dan Penghindaran Pertahanan dari suatu serangan.

Misalnya, Microsoft Azure Sentinel akan menghasilkan insiden untuk kemungkinan aktivitas ransomware jika pemberitahuan berikut dipicu di host yang sama dalam jangka waktu tertentu:

Peringatan	Sumber	Tingkat keparahan
Peristiwa Peringatan dan Kesalahan Windows	Aturan analitik terjadwal Microsoft Azure Sentinel	informasi
Ransomware 'GandCrab' dicegah	Microsoft Defender for Cloud	Sedang
Malware 'Emotet' terdeteksi	Pertahanan Microsoft untuk Titik Akhir	informasi
Backdoor 'Tofsee' terdeteksi	Microsoft Defender for Cloud	rendah
Malware 'Parite' terdeteksi	Pertahanan Microsoft untuk Titik Akhir	informasi

Deteksi Fusion berbasis skenario

Bagian berikut mencantumkan jenis serangan multi-tahap berbasis skenario, yang dikelompokkan menurut klasifikasi ancaman, yang dideteksi Microsoft Azure Sentinel menggunakan mesin korelasi Fusion.

Untuk mengaktifkan skenario deteksi serangan yang didukung Fusion ini, sumber data terkait skenario harus diserap ke ruang kerja Analitik Log Anda. Pilih tautan dalam tabel di bawah ini untuk mempelajari setiap skenario dan sumber data terkait skenario.

Klasifikasi ancaman	Skenario
Penyalahgunaan sumber daya komputasi	(PRATINJAU) Beberapa aktivitas pembuatan VM setelah masuk Microsoft Entra yang mencurigakan
Akses info masuk	(PREVIEW) Beberapa pengaturan ulang kata sandi oleh pengguna setelah rincian masuk yang mencurigakan (PRATINJAU) Masuk mencurigakan bertepatan dengan keberhasilan masuk ke Palo Alto VPN oleh IP dengan beberapa proses masuk Microsoft Entra yang gagal
Panen kredensial	Eksekusi alat pencurian info masuk berbahaya setelah rincian masuk yang mencurigakan Dugaan aktivitas pencurian info masuk setelah rincian masuk yang mencurigakan
Penambangan kripto	Aktivitas penambangan kripto setelah rincian masuk yang mencurigakan
Penghancuran data	Penghapusan file massal setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Penghapusan file massal setelah berhasil masuk Microsoft Entra dari IP diblokir oleh alat firewall Cisco (PRATINJAU) Penghapusan file massal setelah berhasil masuk ke Palo Alto VPN oleh IP dengan beberapa proses masuk Microsoft Entra yang gagal (PRATINJAU) Aktivitas penghapusan email yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan
Penyelundupan data	(PREVIEW) Aktivitas penerusan email setelah aktivitas akun admin baru yang tidak terlihat baru-baru ini Unduhan file massal setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Unduhan file massal setelah masuk Microsoft Entra yang berhasil dari IP diblokir oleh alat firewall Cisco (PREVIEW) Pengunduhan file massal bertepatan dengan operasi file SharePoint dari IP yang sebelumnya tidak terlihat Berbagi file massal setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Beberapa aktivitas berbagi laporan Power BI setelah masuk Microsoft Entra yang mencurigakan Penyelundupan kotak surat Office 365 setelah masuk Microsoft Entra yang mencurigakan (PREVIEW) Operasi file SharePoint dari IP yang sebelumnya tidak terlihat setelah deteksi malware (PRATINJAU) Aturan manipulasi kotak masuk mencurigakan yang ditetapkan setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Berbagi laporan Power BI yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan
Penolakan layanan	(PRATINJAU) Beberapa aktivitas penghapusan VM setelah masuk Microsoft Entra yang mencurigakan
Gerakan lateral	Peniruan identitas Office 365 setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Aturan manipulasi kotak masuk mencurigakan yang ditetapkan setelah masuk Microsoft Entra yang mencurigakan
Aktivitas administratif berbahaya	Aktivitas administratif aplikasi cloud yang mencurigakan setelah masuk Microsoft Entra yang mencurigakan (PREVIEW) Aktivitas penerusan email setelah aktivitas akun admin baru yang tidak terlihat baru-baru ini
Eksekusi berbahaya dengan proses yang sah	(PRATINJAU) PowerShell membuat koneksi jaringan yang mencurigakan, diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks (PRATINJAU) Eksekusi jarak jauh yang mencurigakan diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks Baris perintah PowerShell yang mencurigakan setelah rincian masuk yang mencurigakan
Malware C2 atau unduh	(PREVIEW) Pola beacon terdeteksi oleh Fortinet setelah beberapa rincian masuk pengguna yang gagal ke layanan (PRATINJAU) Pola suar terdeteksi oleh Fortinet setelah masuk Microsoft Entra yang mencurigakan (PRATINJAU) Permintaan jaringan untuk layanan anonimisasi TOR diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks (PRATINJAU) Sambungan keluar ke IP dengan riwayat upaya akses tidak sah diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks
Persistensi	(PREVIEW) Izin aplikasi langka setelah rincian masuk yang mencurigakan
Ransomware	Eksekusi ransomware setelah masuk Microsoft Entra yang mencurigakan
Eksploitasi jarak jauh	(PRATINJAU) Penggunaan mencurigakan kerangka serangan diikuti dengan lalu lintas anomali ditandai oleh firewall Palo Alto Networks
Pembajakan sumber daya	(PRATINJAU) Penyebaran grup sumber daya/sumber daya yang mencurigakan oleh penelepon yang sebelumnya tidak diketahui setelah masuk Microsoft Entra yang mencurigakan

Untuk informasi selengkapnya, lihat:

Bagikan melalui

Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel

Konfigurasikan Fusion

Fusion untuk ancaman yang muncul

Konfigurasikan Fusion

Fusion untuk ancaman yang muncul (Pratinjau)

Fusion untuk ransomware

Deteksi Fusion berbasis skenario

Saran dan Komentar

Sumber Daya Tambahan:

Bagikan melalui

Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel

Konfigurasikan Fusion

Fusion untuk ancaman yang muncul

Konfigurasikan Fusion

Fusion untuk ancaman yang muncul (Pratinjau)

Fusion untuk ransomware

Deteksi Fusion berbasis skenario

Konten terkait

Saran dan Komentar

Sumber Daya Tambahan: