Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılama
Microsoft Sentinel, çok aşamalı saldırıları (gelişmiş kalıcı tehditler veya APT olarak da bilinir) sonlandırma zincirinin çeşitli aşamalarında gözlemlenen anormal davranışların ve şüpheli etkinliklerin bileşimlerini belirleyerek otomatik olarak algılamak için ölçeklenebilir makine öğrenmesi algoritmalarını temel alan bir bağıntı altyapısı olan Fusion'ı kullanır. Bu keşiflere dayanarak Microsoft Sentinel, aksi takdirde yakalanması zor olabilecek olaylar oluşturur. Bu olaylar iki veya daha fazla uyarı veya etkinlik içerir. Tasarım gereği, bu olaylar düşük hacimli, yüksek aslına uygun ve yüksek önem derecesindedir.
Ortamınız için özelleştirilmiş olan bu algılama teknolojisi yalnızca hatalı pozitif oranları azaltmakla kalmaz, aynı zamanda sınırlı veya eksik bilgiler içeren saldırıları da algılayabilir.
Fusion, gelişmiş çoklu sahne saldırılarını algılamak için çeşitli ürünlerden gelen birden çok sinyali ilişkilendirdiğinden, başarılı Fusion algılamaları uyarı olarak değil Microsoft Sentinel Olayları sayfasında Fusion olayları olarak sunulur ve SecurityAlert tablosunda değil Günlükler'deki SecurityIncident tablosunda depolanır.
Fusion'ı yapılandırma
Fusion, Gelişmiş çok aşamalı saldırı algılama adlı bir analiz kuralı olarak Microsoft Sentinel'de varsayılan olarak etkinleştirilir. Kuralın durumunu görüntüleyebilir ve değiştirebilir, kaynak sinyallerini Fusion ML modeline dahil edilecek şekilde yapılandırabilir veya ortamınız için geçerli olmayan belirli algılama desenlerini Fusion algılamasından hariç tutabilirsiniz. Fusion kuralını yapılandırmayı öğrenin.
Not
Microsoft Sentinel şu anda Fusion altyapısının makine öğrenmesi algoritmalarını eğitmek için 30 günlük geçmiş verileri kullanmaktadır. Bu veriler, makine öğrenmesi işlem hattından geçerken Microsoft'un anahtarları kullanılarak her zaman şifrelenir. Ancak, Microsoft Sentinel çalışma alanınızda CMK'yi etkinleştirdiyseniz eğitim verileri Müşteri Tarafından Yönetilen Anahtarlar (CMK) kullanılarak şifrelenmez. Fusion'ı geri çevirmek için Microsoft Sentinel>Yapılandırma>Analizi > Etkin kuralları'na gidin, Gelişmiş Çok Aşamalı Saldırı Algılama kuralına sağ tıklayın ve Devre dışı bırak'ı seçin.
Microsoft Defender portalına eklenen Microsoft Sentinel çalışma alanları için Fusion devre dışı bırakılır. İşlevselliği, Microsoft Defender XDR bağıntı altyapısıyla değiştirilir.
Yeni ortaya çıkan tehditler için fusion
Önemli
Belirtilen Fusion algılamaları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Not
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Fusion'ı yapılandırma
Fusion, Gelişmiş çok aşamalı saldırı algılama adlı bir analiz kuralı olarak Microsoft Sentinel'de varsayılan olarak etkinleştirilir. Kuralın durumunu görüntüleyebilir ve değiştirebilir, kaynak sinyallerini Fusion ML modeline dahil edilecek şekilde yapılandırabilir veya ortamınız için geçerli olmayabilecek belirli algılama desenlerini Fusion algılamasından hariç tutabilirsiniz. Fusion kuralını yapılandırmayı öğrenin.
Çalışma alanınızda Müşteri Tarafından Yönetilen Anahtarlar'ı (CMK) etkinleştirdiyseniz Fusion'ı geri çevirmek isteyebilirsiniz. Microsoft Sentinel şu anda Fusion altyapısının makine öğrenmesi algoritmalarını eğitmek için 30 günlük geçmiş verileri kullanır ve bu veriler makine öğrenmesi işlem hattından geçerken Microsoft'un anahtarları kullanılarak her zaman şifrelenir. Ancak, eğitim verileri CMK kullanılarak şifrelenmez. Fusion'ı geri çevirmek için Microsoft Sentinel'de Gelişmiş Çok Aşamalı Saldırı Algılama analiz kuralını devre dışı bırakın. Daha fazla bilgi için bkz . Fusion kurallarını yapılandırma.
Fusion, Microsoft Defender portalında Microsoft'un birleşik güvenlik işlemleri (SecOps) platformuna eklenen Microsoft Sentinel çalışma alanlarında devre dışı bırakılır. Bunun yerine, Microsoft'un birleşik SecOps platformuyla çalışırken Fusion tarafından sağlanan işlevselliğin yerini Microsoft Defender XDR bağıntı altyapısı alır.
Yeni ortaya çıkan tehditler için Fusion (Önizleme)
Güvenlik olaylarının hacmi artmaya devam ediyor ve saldırıların kapsamı ve karmaşıklık düzeyi giderek artıyor. Bilinen saldırı senaryolarını tanımlayabiliriz, ancak ortamınızda ortaya çıkan ve bilinmeyen tehditlere ne dersin?
Microsoft Sentinel'in ML destekli Fusion altyapısı, genişletilmiş ML analizi uygulayarak ve daha geniş bir anormal sinyal kapsamını ilişkilendirerek ve uyarı yorgunluğunu düşük tutarak ortamınızda ortaya çıkan ve bilinmeyen tehditleri bulmanıza yardımcı olabilir.
Fusion altyapısının ML algoritmaları sürekli olarak mevcut saldırılardan ders alır ve güvenlik analistlerinin düşüncelerine göre analiz uygular. Bu nedenle, ortamınız genelindeki sonlandırma zincirindeki milyonlarca anormal davranıştan daha önce algılanmayan tehditleri keşfedebilir ve bu da saldırganlardan bir adım önde olmanıza yardımcı olur.
Yeni ortaya çıkan tehditler için Fusion, aşağıdaki kaynaklardan veri toplamayı ve analizi destekler:
Microsoft hizmetleri uyarıları:
- Microsoft Entra Kimlik Koruması
- Bulut için Microsoft Defender
- IoT için Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Uç nokta için Microsoft Defender
- Kimlik için Microsoft Defender
- Office 365 için Microsoft Defender
Zamanlanmış analiz kurallarından gelen uyarılar. Analiz kurallarının Fusion tarafından kullanılabilmesi için sonlandırma zinciri (taktikler) ve varlık eşleme bilgileri içermesi gerekir.
Fusion'ın yeni ortaya çıkan tehditler için çalışmasını sağlamak için yukarıda listelenen tüm veri kaynaklarını bağlamanız gerekmez. Ancak, ne kadar çok veri kaynağı bağladıysanız, kapsamı o kadar geniştir ve Fusion o kadar fazla tehdit bulur.
Fusion altyapısının bağıntıları yeni ortaya çıkan bir tehdidin algılanmasıyla sonuçlandığında, Microsoft Sentinel Fusion tarafından algılanan olası çok aşamalı saldırı etkinlikleri başlıklı yüksek önem dereceli bir olay oluşturur.
Fidye yazılımı için Fusion
Microsoft Sentinel'in Fusion altyapısı, aşağıdaki veri kaynaklarından farklı türlerde birden çok uyarı algıladığında bir olay oluşturur ve bunların fidye yazılımı etkinliğiyle ilgili olabileceğini belirler:
- Bulut için Microsoft Defender
- Uç nokta için Microsoft Defender
- Kimlik için Microsoft Defender bağlayıcısı
- Bulut için Microsoft Defender Uygulamaları
- Microsoft Sentinel zamanlanmış analiz kuralları. Fusion yalnızca taktik bilgileri ve eşlenmiş varlıklarla zamanlanmış analiz kurallarını dikkate alır.
Bu tür Fusion olayları, muhtemelen Algılanan Fidye Yazılımı etkinliğiyle ilgili birden çok uyarı olarak adlandırılır ve belirli bir zaman diliminde ilgili uyarılar algılandığında oluşturulur ve bir saldırının Yürütme ve SavunmaDan Kaçınma aşamalarıyla ilişkilendirilir.
Örneğin, belirli bir zaman çerçevesi içinde aynı konakta aşağıdaki uyarılar tetiklenirse Microsoft Sentinel olası fidye yazılımı etkinlikleri için bir olay oluşturur:
| Uyarı | Kaynak | Önem |
|---|---|---|
| Windows Hata ve Uyarı Olayları | Microsoft Sentinel zamanlanmış analiz kuralları | Bilgi |
| 'GandCrab' fidye yazılımı engellendi | Bulut için Microsoft Defender | orta |
| 'Emotet' kötü amaçlı yazılımı algılandı | Uç nokta için Microsoft Defender | Bilgi |
| 'Tofsee' arka kapı algılandı | Bulut için Microsoft Defender | Iowa |
| 'Parite' kötü amaçlı yazılımı algılandı | Uç nokta için Microsoft Defender | Bilgi |
Senaryo tabanlı Fusion algılamaları
Aşağıdaki bölümde, Microsoft Sentinel'in Fusion bağıntı altyapısını kullanarak algıladığı tehdit sınıflandırmasına göre gruplandırılmış senaryo tabanlı çok aşamalı saldırı türleri listelenmiştir.
Bu Fusion destekli saldırı algılama senaryolarını etkinleştirmek için ilişkili veri kaynaklarının Log Analytics çalışma alanınıza alınması gerekir. Her senaryo ve ilişkili veri kaynakları hakkında bilgi edinmek için aşağıdaki tabloda yer alan bağlantıları seçin.
İlgili içerik
Daha fazla bilgi için bkz.