Compartir a través de

Microsoft Sentinel 中的高级多阶段攻击检测

重要

某些 Fusion 检测(如下文所示)目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Sentinel 使用 Fusion(即基于可缩放的机器学习算法的关联引擎),通过识别在不同终止链阶段观测到的异常行为与可疑活动的组合,来自动检测多阶段攻击(也称为高级持久威胁或 APT)。 Microsoft Sentinel 根据这些发现结果生成事件,否则很难捕获这些事件。 这些事件由两个或者更多个警报或活动构成。 根据设计,这些事件具有数量少、保真度高和严重性高的特点。

此项检测技术已根据你的环境进行自定义,不仅可以减少误报率,而且还能在信息有限或缺失的情况下检测到攻击。

由于 Fusion 会将来自各种产品的多个信号进行关联来检测高级多阶段攻击,因此成功的 Fusion 检测将在 Microsoft Sentinel 的“事件”页上显示为“Fusion 事件”(而不是“警报”),并存储在“日志”的“SecurityIncident”表(而不是“SecurityAlert”表)中。

配置 Fusion

默认情况下,在 Microsoft Sentinel 中启用 Fusion,作为名为“高级多阶段攻击检测”的分析规则。 可以查看和更改规则的状态,配置要包含在 Fusion ML 模型中的源信号,或从 Fusion 检测中排除可能不适用于你环境的特定检测模式。 了解如何配置 Fusion 规则

注意

Microsoft Sentinel 目前使用 30 天的历史数据来训练 Fusion 引擎的机器学习算法。 此数据在通过机器学习管道时,始终会使用 Microsoft 的密钥进行加密。 但是,如果在 Microsoft Sentinel 工作区中启用了 CMK,则不会使用客户管理的密钥 (CMK) 加密训练数据。 若要选择禁用 Fusion,请导航到“Microsoft Sentinel”>“配置”>“分析”>“活动规则”,右键单击“高级多阶段攻击检测”规则,然后选择“禁用”。

新兴威胁的 Fusion

重要

  • 新兴威胁的基于 Fusion 的检测目前以预览版提供。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

安全事件的数量不断增加,攻击的范围和复杂性也在不断增加。 我们可以定义已知的攻击方案,但如何定义你环境中的新兴威胁和未知威胁?

Microsoft Sentinel 的 ML 支持的 Fusion 引擎可以通过应用扩展的 ML 分析并关联更广泛的异常信号范围,同时减少警报疲劳,来帮助你发现环境中的新兴威胁和未知威胁。

Fusion 引擎的 ML 算法会不断了解现有攻击,并根据安全分析师的想法应用分析。 因此,它可以在整个环境的终止链中发现以前未检测到的、数百万个异常行为的威胁,这可帮助你比攻击者先行一步。

新兴威胁的 Fusion 支持从以下源进行数据收集和分析:

无需连接上面列出的所有数据源即可使新兴威胁的 Fusion 正常工作。 但是,所连接的数据源越多,涵盖范围就越广,Fusion 发现的威胁就越多。

当 Fusion 引擎的关联导致检测到新兴威胁时,会在 Microsoft Sentinel 工作区的“事件”表中生成标题为“Fusion 检测到可能存在多阶段攻击活动”的高严重性事件。

勒索软件的 Fusion

Microsoft Sentinel 的 Fusion 引擎从以下数据源检测到多个不同类型的警报,并确定这些警报可能与勒索软件活动相关时,则会生成事件:

此类 Fusion 事件命名为“多个警报可能与检测到的勒索软件活动相关”,这些事件在特定时间范围内检测到相关警报时生成,并与攻击的“执行”和“防御规避”阶段相关联。

例如,如果在特定时间范围内在同一主机上触发以下警报,则 Microsoft Sentinel 会为可能的勒索软件活动生成事件:

警报 severity
Windows 错误和警告事件 Microsoft Sentinel 计划分析规则 informational
“GandCrab”勒索软件已被阻止 Microsoft Defender for Cloud
检测到“Tofsee”后门程序 Microsoft Defender for Cloud low

后续步骤

获取有关 Fusion 高级多阶段攻击检测的详细信息:

如果你已准备好调查系统为你创建的事件,请参阅教程:使用 Microsoft Sentinel 调查事件