Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel
Microsoft Azure Sentinel menggunakan Fusion, mesin korelasi berbasis algoritma pembelajaran mesin yang dapat diskalakan, untuk secara otomatis mendeteksi serangan multi-tahap (juga dikenal sebagai ancaman persisten tingkat lanjut atau APT) dengan mengidentifikasi kombinasi perilaku anomali dan aktivitas mencurigakan yang diamati pada berbagai tahap rantai penyerangan. Berdasarkan penemuan ini, Microsoft Sentinel menghasilkan insiden yang jika tidak akan sulit ditangkap. Insiden ini terdiri dari dua atau lebih pemberitahuan atau aktivitas. Dengan sengaja, insiden ini memiliki volume rendah, fidelitas tinggi, dan tingkat keparahan tinggi.
Disesuaikan untuk lingkungan Anda, teknologi deteksi ini tidak hanya mengurangi rasio positif palsu tetapi juga dapat mendeteksi serangan dengan informasi terbatas atau hilang.
Karena Fusion menghubungkan beberapa sinyal dari berbagai produk untuk mendeteksi serangan multitahap tingkat lanjut, deteksi Fusion yang berhasil disajikan sebagai insiden Fusion di halaman Insiden Microsoft Sentinel dan bukan sebagai peringatan, dan disimpan dalam tabel SecurityIncident di Log dan bukan di tabel SecurityAlert.
Konfigurasikan Fusion
Fusion diaktifkan secara default dalam Microsoft Azure Sentinel, sebagai aturan analitik yang disebut Deteksi serangan multi-tahap tingkat lanjut. Anda dapat melihat dan mengubah status aturan, mengonfigurasi sinyal sumber untuk disertakan dalam model Pembelajaran Mesin Fusion, atau mengecualikan pola deteksi tertentu yang mungkin tidak berlaku untuk lingkungan Anda dari deteksi Fusion. Pelajari cara mengonfigurasi aturan Fusion.
Catatan
Microsoft Azure Sentinel saat ini menggunakan data riwayat 30 hari untuk melatih algoritma pembelajaran mesin dari mesin Fusion. Data ini selalu dienkripsi menggunakan kunci Microsoft saat melewati alur pembelajaran mesin. Namun, data pelatihan tidak dienkripsi menggunakan Kunci yang Dikelola Pelanggan (CMK) jika Anda telah mengaktifkan CMK di ruang kerja Microsoft Azure Sentinel. Untuk menolak Fusion, navigasikan ke Microsoft Azure Sentinel>Konfigurasi>Analitik> Aturan aktif, klik kanan aturan Deteksi Serangan Multi-tahap Tingkat Lanjut, lalu pilih Nonaktifkan.
Untuk ruang kerja Microsoft Azure Sentinel yang di-onboarding ke portal Pertahanan Microsoft, Fusion dinonaktifkan. Fungsionalitasnya digantikan oleh mesin korelasi Pertahanan Microsoft XDR.
Fusion untuk ancaman yang muncul
Penting
Deteksi Fusion yang ditunjukkan saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Catatan
Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.
Konfigurasikan Fusion
Fusion diaktifkan secara default dalam Microsoft Azure Sentinel, sebagai aturan analitik yang disebut Deteksi serangan multi-tahap tingkat lanjut. Anda dapat melihat dan mengubah status aturan, mengonfigurasi sinyal sumber untuk disertakan dalam model Fusion ML, atau mengecualikan pola deteksi tertentu yang mungkin tidak berlaku untuk lingkungan Anda dari deteksi Fusion. Pelajari cara mengonfigurasi aturan Fusion.
Anda mungkin ingin menolak Fusion jika Anda telah mengaktifkan Kunci yang Dikelola Pelanggan (CMK) di ruang kerja Anda. Microsoft Sentinel saat ini menggunakan data historis selama 30 hari untuk melatih algoritma pembelajaran mesin mesin Fusion, dan data ini selalu dienkripsi menggunakan kunci Microsoft saat melewati alur pembelajaran mesin. Namun, data pelatihan tidak dienkripsi menggunakan CMK. Untuk menolak Fusion, nonaktifkan aturan analitik Deteksi Serangan Multitahap Tingkat Lanjut di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Mengonfigurasi aturan Fusion.
Fusion dinonaktifkan saat Microsoft Sentinel di-onboarding ke portal Defender. Sebagai gantinya, saat bekerja di portal Defender, fungsionalitas yang disediakan oleh Fusion digantikan oleh mesin korelasi Pertahanan Microsoft XDR.
Fusion untuk ancaman yang muncul (Pratinjau)
Volume peristiwa keamanan terus berkembang, dan cakupan serta kecanggihan serangan semakin meningkat. Kami dapat menentukan skenario serangan yang diketahui, tetapi bagaimana dengan ancaman yang muncul dan tidak dikenal di lingkungan Anda?
Mesin Fusion yang didukung oleh ML Microsoft Azure Sentinel dapat membantu Anda menemukan ancaman yang muncul dan tidak diketahui di lingkungan Anda dengan menerapkan analisis ML yang diperluas dan dengan menghubungkan cakupan sinyal anomali yang lebih luas, sekaligus menjaga kelelahan pemberitahuan tetap rendah.
Algoritma Pembelajaran Mesin dari mesin Fusion terus belajar dari serangan yang ada dan menerapkan analisis berdasarkan cara berpikir analis keamanan. Oleh karena itu, ia dapat menemukan ancaman yang sebelumnya tidak terdeteksi dari jutaan perilaku anomali di seluruh rantai pembunuhan di seluruh lingkungan Anda, yang membantu Anda tetap selangkah lebih maju dari para penyerang.
Fusion untuk ancaman yang muncul mendukung pengumpulan dan analisis data dari sumber berikut:
Pemberitahuan dari layanan Microsoft:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Pertahanan Microsoft untuk Titik Akhir
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
Pemberitahuan dari aturan analitik terjadwal. Aturan analitik harus berisi informasi kill-chain (taktik) dan pemetaan entitas agar dapat digunakan oleh Fusion.
Anda tidak perlu menghubungkan semua sumber data yang tercantum di atas untuk membuat Fusion agar ancaman yang muncul berfungsi. Namun, semakin banyak sumber data yang Anda sambungkan, semakin luas cakupannya, dan semakin banyak ancaman yang akan ditemukan Fusion.
Ketika korelasi mesin Fusion menghasilkan deteksi ancaman yang muncul, Microsoft Sentinel menghasilkan insiden tingkat keparahan tinggi berjudul Kemungkinan aktivitas serangan multitahap yang terdeteksi oleh Fusion.
Fusion untuk ransomware
Mesin Fusion Microsoft Sentinel menghasilkan insiden ketika mendeteksi beberapa pemberitahuan dari berbagai jenis dari sumber data berikut, dan menentukan bahwa mereka mungkin terkait dengan aktivitas ransomware:
- Microsoft Defender untuk Cloud
- Microsoft Defender untuk Titik Akhir
- konektor Microsoft Defender untuk Identitas
- Aplikasi Microsoft Defender untuk Cloud
- Aturan analitik terjadwal Microsoft Azure Sentinel. Fusion hanya mempertimbangkan aturan analitik terjadwal dengan informasi taktik dan entitas yang dipetakan.
Insiden Fusion tersebut bernama Beberapa peringatan yang mungkin terkait dengan aktivitas Ransomware yang terdeteksi, dan dibuat jika peringatan yang relevan terdeteksi selama jangka waktu tertentu dan terkait dengan tahap Eksekusi dan Penghindaran Pertahanan dari suatu serangan.
Misalnya, Microsoft Azure Sentinel akan menghasilkan insiden untuk kemungkinan aktivitas ransomware jika pemberitahuan berikut dipicu di host yang sama dalam jangka waktu tertentu:
Peringatan | Sumber | Tingkat keparahan |
---|---|---|
Peristiwa Peringatan dan Kesalahan Windows | Aturan analitik terjadwal Microsoft Azure Sentinel | informasi |
Ransomware 'GandCrab' dicegah | Microsoft Defender for Cloud | Sedang |
Malware 'Emotet' terdeteksi | Pertahanan Microsoft untuk Titik Akhir | informasi |
Backdoor 'Tofsee' terdeteksi | Microsoft Defender for Cloud | rendah |
Malware 'Parite' terdeteksi | Pertahanan Microsoft untuk Titik Akhir | informasi |
Deteksi Fusion berbasis skenario
Bagian berikut mencantumkan jenis serangan multi-tahap berbasis skenario, yang dikelompokkan menurut klasifikasi ancaman, yang dideteksi Microsoft Azure Sentinel menggunakan mesin korelasi Fusion.
Untuk mengaktifkan skenario deteksi serangan yang didukung Fusion ini, sumber data terkait skenario harus diserap ke ruang kerja Analitik Log Anda. Pilih tautan dalam tabel di bawah ini untuk mempelajari setiap skenario dan sumber data terkait skenario.
Konten terkait
Untuk informasi selengkapnya, lihat: