Bagikan melalui


Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel

Microsoft Azure Sentinel menggunakan Fusion, mesin korelasi berbasis algoritma pembelajaran mesin yang dapat diskalakan, untuk secara otomatis mendeteksi serangan multi-tahap (juga dikenal sebagai ancaman persisten tingkat lanjut atau APT) dengan mengidentifikasi kombinasi perilaku anomali dan aktivitas mencurigakan yang diamati pada berbagai tahap rantai penyerangan. Berdasarkan penemuan ini, Microsoft Sentinel menghasilkan insiden yang jika tidak akan sulit ditangkap. Insiden ini terdiri dari dua atau lebih pemberitahuan atau aktivitas. Dengan sengaja, insiden ini memiliki volume rendah, fidelitas tinggi, dan tingkat keparahan tinggi.

Disesuaikan untuk lingkungan Anda, teknologi deteksi ini tidak hanya mengurangi rasio positif palsu tetapi juga dapat mendeteksi serangan dengan informasi terbatas atau hilang.

Karena Fusion menghubungkan beberapa sinyal dari berbagai produk untuk mendeteksi serangan multitahap tingkat lanjut, deteksi Fusion yang berhasil disajikan sebagai insiden Fusion di halaman Insiden Microsoft Sentinel dan bukan sebagai peringatan, dan disimpan dalam tabel SecurityIncident di Log dan bukan di tabel SecurityAlert.

Konfigurasikan Fusion

Fusion diaktifkan secara default dalam Microsoft Azure Sentinel, sebagai aturan analitik yang disebut Deteksi serangan multi-tahap tingkat lanjut. Anda dapat melihat dan mengubah status aturan, mengonfigurasi sinyal sumber untuk disertakan dalam model Pembelajaran Mesin Fusion, atau mengecualikan pola deteksi tertentu yang mungkin tidak berlaku untuk lingkungan Anda dari deteksi Fusion. Pelajari cara mengonfigurasi aturan Fusion.

Catatan

Microsoft Azure Sentinel saat ini menggunakan data riwayat 30 hari untuk melatih algoritma pembelajaran mesin dari mesin Fusion. Data ini selalu dienkripsi menggunakan kunci Microsoft saat melewati alur pembelajaran mesin. Namun, data pelatihan tidak dienkripsi menggunakan Kunci yang Dikelola Pelanggan (CMK) jika Anda telah mengaktifkan CMK di ruang kerja Microsoft Azure Sentinel. Untuk menolak Fusion, navigasikan ke Microsoft Azure Sentinel>Konfigurasi>Analitik> Aturan aktif, klik kanan aturan Deteksi Serangan Multi-tahap Tingkat Lanjut, lalu pilih Nonaktifkan.

Untuk ruang kerja Microsoft Azure Sentinel yang di-onboarding ke portal Pertahanan Microsoft, Fusion dinonaktifkan. Fungsionalitasnya digantikan oleh mesin korelasi Pertahanan Microsoft XDR.

Fusion untuk ancaman yang muncul

Penting

Deteksi Fusion yang ditunjukkan saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Konfigurasikan Fusion

Fusion diaktifkan secara default dalam Microsoft Azure Sentinel, sebagai aturan analitik yang disebut Deteksi serangan multi-tahap tingkat lanjut. Anda dapat melihat dan mengubah status aturan, mengonfigurasi sinyal sumber untuk disertakan dalam model Fusion ML, atau mengecualikan pola deteksi tertentu yang mungkin tidak berlaku untuk lingkungan Anda dari deteksi Fusion. Pelajari cara mengonfigurasi aturan Fusion.

Anda mungkin ingin menolak Fusion jika Anda telah mengaktifkan Kunci yang Dikelola Pelanggan (CMK) di ruang kerja Anda. Microsoft Sentinel saat ini menggunakan data historis selama 30 hari untuk melatih algoritma pembelajaran mesin mesin Fusion, dan data ini selalu dienkripsi menggunakan kunci Microsoft saat melewati alur pembelajaran mesin. Namun, data pelatihan tidak dienkripsi menggunakan CMK. Untuk menolak Fusion, nonaktifkan aturan analitik Deteksi Serangan Multitahap Tingkat Lanjut di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Mengonfigurasi aturan Fusion.

Fusion dinonaktifkan saat Microsoft Sentinel di-onboarding ke portal Defender. Sebagai gantinya, saat bekerja di portal Defender, fungsionalitas yang disediakan oleh Fusion digantikan oleh mesin korelasi Pertahanan Microsoft XDR.

Fusion untuk ancaman yang muncul (Pratinjau)

Volume peristiwa keamanan terus berkembang, dan cakupan serta kecanggihan serangan semakin meningkat. Kami dapat menentukan skenario serangan yang diketahui, tetapi bagaimana dengan ancaman yang muncul dan tidak dikenal di lingkungan Anda?

Mesin Fusion yang didukung oleh ML Microsoft Azure Sentinel dapat membantu Anda menemukan ancaman yang muncul dan tidak diketahui di lingkungan Anda dengan menerapkan analisis ML yang diperluas dan dengan menghubungkan cakupan sinyal anomali yang lebih luas, sekaligus menjaga kelelahan pemberitahuan tetap rendah.

Algoritma Pembelajaran Mesin dari mesin Fusion terus belajar dari serangan yang ada dan menerapkan analisis berdasarkan cara berpikir analis keamanan. Oleh karena itu, ia dapat menemukan ancaman yang sebelumnya tidak terdeteksi dari jutaan perilaku anomali di seluruh rantai pembunuhan di seluruh lingkungan Anda, yang membantu Anda tetap selangkah lebih maju dari para penyerang.

Fusion untuk ancaman yang muncul mendukung pengumpulan dan analisis data dari sumber berikut:

  • Deteksi anomali siap pakai

  • Pemberitahuan dari layanan Microsoft:

    • Microsoft Entra ID Protection
    • Microsoft Defender for Cloud
    • Microsoft Defender for IoT
    • Microsoft Defender XDR
    • Microsoft Defender for Cloud Apps
    • Pertahanan Microsoft untuk Titik Akhir
    • Microsoft Defender for Identity
    • Microsoft Defender for Office 365
  • Pemberitahuan dari aturan analitik terjadwal. Aturan analitik harus berisi informasi kill-chain (taktik) dan pemetaan entitas agar dapat digunakan oleh Fusion.

Anda tidak perlu menghubungkan semua sumber data yang tercantum di atas untuk membuat Fusion agar ancaman yang muncul berfungsi. Namun, semakin banyak sumber data yang Anda sambungkan, semakin luas cakupannya, dan semakin banyak ancaman yang akan ditemukan Fusion.

Ketika korelasi mesin Fusion menghasilkan deteksi ancaman yang muncul, Microsoft Sentinel menghasilkan insiden tingkat keparahan tinggi berjudul Kemungkinan aktivitas serangan multitahap yang terdeteksi oleh Fusion.

Fusion untuk ransomware

Mesin Fusion Microsoft Sentinel menghasilkan insiden ketika mendeteksi beberapa pemberitahuan dari berbagai jenis dari sumber data berikut, dan menentukan bahwa mereka mungkin terkait dengan aktivitas ransomware:

Insiden Fusion tersebut bernama Beberapa peringatan yang mungkin terkait dengan aktivitas Ransomware yang terdeteksi, dan dibuat jika peringatan yang relevan terdeteksi selama jangka waktu tertentu dan terkait dengan tahap Eksekusi dan Penghindaran Pertahanan dari suatu serangan.

Misalnya, Microsoft Azure Sentinel akan menghasilkan insiden untuk kemungkinan aktivitas ransomware jika pemberitahuan berikut dipicu di host yang sama dalam jangka waktu tertentu:

Peringatan Sumber Tingkat keparahan
Peristiwa Peringatan dan Kesalahan Windows Aturan analitik terjadwal Microsoft Azure Sentinel informasi
Ransomware 'GandCrab' dicegah Microsoft Defender for Cloud  Sedang
Malware 'Emotet' terdeteksi Pertahanan Microsoft untuk Titik Akhir informasi
Backdoor 'Tofsee' terdeteksi Microsoft Defender for Cloud rendah
Malware 'Parite' terdeteksi Pertahanan Microsoft untuk Titik Akhir informasi

Deteksi Fusion berbasis skenario

Bagian berikut mencantumkan jenis serangan multi-tahap berbasis skenario, yang dikelompokkan menurut klasifikasi ancaman, yang dideteksi Microsoft Azure Sentinel menggunakan mesin korelasi Fusion.

Untuk mengaktifkan skenario deteksi serangan yang didukung Fusion ini, sumber data terkait skenario harus diserap ke ruang kerja Analitik Log Anda. Pilih tautan dalam tabel di bawah ini untuk mempelajari setiap skenario dan sumber data terkait skenario.

Klasifikasi ancaman Skenario
Penyalahgunaan sumber daya komputasi
Akses info masuk
Panen kredensial
Penambangan kripto
Penghancuran data
Penyelundupan data
Penolakan layanan
Gerakan lateral
Aktivitas administratif berbahaya
Eksekusi berbahaya
dengan proses yang sah
Malware C2 atau unduh
Persistensi
Ransomware
Eksploitasi jarak jauh
Pembajakan sumber daya

Untuk informasi selengkapnya, lihat: