Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
Microsoft Sentinel использует Fusion, подсистему корреляции на основе масштабируемых алгоритмов машинного обучения, для автоматического обнаружения многоэтапных атак (также называются постоянными серьезными угрозами, или APT) путем выявления сочетаний аномального поведения и подозрительных действий, наблюдаемых на различных этапах цепочки нарушения безопасности. На основе этих открытий Microsoft Sentinel создает инциденты, которые в противном случае будет трудно поймать. Эти инциденты состоят из двух или большего количества оповещений или действий. Как предусмотрено при разработке, у этих инцидентов небольшой объем, они обладают высокой точностью, их последствия высокоэффективны.
Эта технология обнаружения, настроенная для вашей среды, не только сокращает количество ложных положительных срабатываний, но и позволяет обнаруживать атаки при ограниченном объеме информации о них или при ее отсутствии.
Так как Fusion сопоставляет несколько сигналов, поступающих от различных продуктов, для обнаружения расширенных многоэтапных атак, успешно выполненные Fusion обнаружения представляются как инциденты Fusion на странице Инциденты в Microsoft Sentinel, а не как оповещения, и хранятся в таблице SecurityIncident в разделе Журналы, а не в таблице SecurityAlert.
Настройка Fusion
Подсистема Fusion включена по умолчанию в Microsoft Sentinel в виде правила аналитики с именем Обнаружение расширенных многоэтапных атак. Вы можете просматривать и изменять состояние правила, настраивать сигналы источников для включения в модель машинного обучения Fusion или исключать из обнаружений Fusion определенные шаблоны обнаружения, которые могут не применяться к вашей среде. Узнайте, как настроить правило Fusion.
Примечание.
В настоящее время на обучение алгоритмов машинного обучения подсистемы Fusion решению Microsoft Sentinel требуются исторические данных за период 30 дней. Эти данные всегда шифруются с помощью ключей корпорации Майкрософт по мере их прохождения через процесс машинного обучения. Но данные обучения не шифруются с помощью ключей, управляемых клиентом (CMK), даже если вы включили использование CMK в рабочей области Microsoft Sentinel. Чтобы отказаться от использования Fusion, перейдите к разделу Microsoft Sentinel>Настройка>Аналитика > Активные правила, щелкните правой кнопкой мыши правило Расширенное обнаружение многоэтапных атак и выберите Отключить.
Для рабочих областей Microsoft Sentinel, подключенных к порталу Microsoft Defender, Fusion отключен. Его функциональные возможности заменяются подсистемой корреляции XDR в Microsoft Defender.
Fusion для новых угроз
Внимание
Указанные обнаружения Fusion в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Настройка Fusion
Подсистема Fusion включена по умолчанию в Microsoft Sentinel в виде правила аналитики с именем Обнаружение расширенных многоэтапных атак. Вы можете просмотреть и изменить состояние правила, настроить исходные сигналы для включения в модель Fusion ML или исключить определенные шаблоны обнаружения, которые могут не применяться к вашей среде из обнаружения Fusion. Узнайте, как настроить правило Fusion.
Вы можете отказаться от Fusion, если вы включили ключи, управляемые клиентом (CMK) в рабочей области. Microsoft Sentinel в настоящее время использует 30 дней исторических данных для обучения алгоритмов машинного обучения подсистемы Fusion, и эти данные всегда шифруются с помощью ключей Майкрософт, как он проходит через конвейер машинного обучения. Однако обучающие данные не шифруются с помощью CMK. Чтобы отказаться от Fusion, отключите правило аналитики обнаружения атак Advanced Multistage в Microsoft Sentinel. Дополнительные сведения см. в разделе "Настройка правил Fusion".
Fusion отключен в рабочих областях Microsoft Sentinel, которые подключены к платформе унифицированных операций безопасности Майкрософт (SecOps) на портале Microsoft Defender. Вместо этого при работе с унифицированной платформой SecOps корпорации Майкрософт функции, предоставляемые Fusion, заменяются подсистемой корреляции XDR в Microsoft Defender.
Fusion для новых угроз (предварительная версия)
Объем событий безопасности продолжит расти, а охват и сложность атак постоянно увеличиваются. Мы можем определить известные сценарии атак, но как насчет новых и неизвестных угроз в вашей среде?
Подсистема Fusion на основе машинного обучения в Microsoft Sentinel позволяет находить новые и неизвестные угрозы в среде, применяя расширенный анализ на базе машинного обучения, вычисляя более широкую область аномальных сигналов и при этом сохраняя низкий объем оповещений.
Алгоритмы машинного обучения подсистемы Fusion постоянно обучаются на основе существующих атак и применяют аналитику на основе выводов аналитиков безопасности. Таким образом, она может обнаружить ранее необнаруженные угрозы среди миллионов примеров аномального поведения в цепочке нарушения безопасности в среде, что позволяет быть на шаг впереди злоумышленников.
Fusion для новых угроз поддерживает сбор и анализ данных из следующих источников:
Оповещения из службы Майкрософт:
- Защита идентификации Microsoft Entra
- Microsoft Defender для облака
- Microsoft Defender для Интернета вещей
- Microsoft Defender XDR
- Microsoft Defender для облачных приложений
- Защитник Майкрософт для конечных точек
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365;
Оповещения из правил запланированной аналитики. Правила аналитики должны содержать сведения о сопоставлении сущностей и цепочки убийств (тактики) для использования Fusion.
Вам не нужно подключать все источники данных, перечисленные выше, чтобы сделать Fusion для работы с новыми угрозами. Но чем больше источников данных подключено, тем шире покрытие и тем больше угроз обнаружит Fusion.
Когда корреляции подсистемы Fusion приводят к обнаружению новой угрозы, Microsoft Sentinel создает инцидент высокой серьезности под названием "Возможные многофакторные атаки", обнаруженные Fusion.
Fusion для программ-шантажистов
Подсистема Fusion Microsoft Sentinel создает инцидент, когда обнаруживает несколько оповещений различных типов из следующих источников данных и определяет, что они могут быть связаны с действием программ-шантажистов:
- Microsoft Defender для облака
- Microsoft Defender для конечной точки
- соединитель Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Правила аналитики по расписанию в Microsoft Sentinel. Fusion учитывает только правила аналитики по расписанию с информацией о тактике и сопоставленными сущностями.
Такие инциденты Fusion называются Несколько предупреждений, которые могут быть связаны с обнаруженной активностью программ-шантажистов, создаются при обнаружении соответствующих оповещений за определенный период времени и связаны с этапами атаки Выполнение и Обход защиты.
Например, Microsoft Sentinel создает инцидент для возможной активности программ-шантажистов, если на одном узле за определенный период времени активируются следующие оповещения:
| Предупреждение | Исходный код | Важность |
|---|---|---|
| События ошибок и предупреждений Windows | Правила аналитики по расписанию в Microsoft Sentinel | информационный |
| Выполнение программы-шантажиста GandCrab было предотвращено | Microsoft Defender для облака | medium |
| Обнаружена вредоносная программа Emotet | Microsoft Defender для конечной точки; | информационный |
| Обнаружена вредоносная программа Tofsee | Microsoft Defender для облака | Низкий |
| Обнаружена вредоносная программа Parite | Microsoft Defender для конечной точки; | информационный |
Обнаружения Fusion на основе сценариев
В следующем разделе приведены типы многоступенчатых атак на основе сценариев, сгруппированные по классификации угроз, которые Microsoft Sentinel обнаруживает с помощью механизма корреляции Fusion.
Чтобы включить эти сценарии обнаружения атак на основе технологии Fusion, их связанные источники данных должны быть приняты в рабочую область Log Analytics. Выберите ссылки в таблице ниже, чтобы узнать о каждом сценарии и связанных с ним источниках данных.
Связанный контент
Дополнительные сведения см. в разделе: