在 Microsoft Sentinel 中配置多阶段攻击检测 (Fusion) 规则

重要

新版本的 Fusion 分析规则当前处于预览阶段。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Sentinel 使用 Fusion(基于可缩放的机器学习算法的关联引擎)通过识别在不同杀伤链阶段观测到的异常行为与可疑活动的组合来自动检测多阶段攻击。 根据这些发现结果,Microsoft Sentinel 生成本来很难捕获的事件。 这些事件由两个或者更多个警报或活动构成。 根据设计,这些事件具有数量少、保真度高和严重性高的特点。

此项检测技术已根据你的环境进行自定义,不仅可以减少误报率,而且还能在信息有限或缺失的情况下检测到攻击。

配置 Fusion 规则

此项检测默认已在 Microsoft Sentinel 中启用。 若要查看或更改其状态,请按照以下说明进行操作:

  1. 登录到 Azure 门户并输入 Microsoft Sentinel。

  2. 从 Microsoft Sentinel 导航菜单中,选择“分析”。

  3. 选择“活动规则”选项卡,然后通过筛选“Fusion”规则类型列表,在“名称”列中找到“高级多阶段攻击检测” 。 检查“状态”列确认此项检测是已启用还是已禁用。

    Fusion 分析规则的屏幕截图。

  4. 若要更改状态,请选择此条目,然后在“高级多阶段攻击检测”预览边栏选项卡上选择“编辑” 。

  5. 在“分析规则向导”的“常规”选项卡中,查看状态(启用/禁用),或者根据需要更改状态 。

    如果仅对状态进行了更改而不做其他进一步的更改,请选择“查看和更新”选项卡,然后选择“保存” 。

注意

Microsoft Sentinel 目前使用 30 天的历史数据来训练机器学习系统。 此数据在通过机器学习管道时,始终会使用 Microsoft 的密钥进行加密。 但是,如果在 Microsoft Sentinel 工作区中启用了 CMK,则不会使用客户管理的密钥 (CMK) 加密训练数据。 若要选择禁用 Fusion,请导航到“Microsoft Sentinel”>“配置”>“分析”>“活动规则”,右键单击“高级多阶段攻击检测”规则,然后选择“禁用”。

为 Fusion 检测配置计划分析规则

重要

  • 使用分析规则警报的基于 Fusion 的检测目前以预览版提供。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Fusion 可以使用计划分析规则生成的警报来检测基于场景的多阶段攻击和新兴威胁。 建议执行以下步骤来配置并启用这些规则,以充分利用 Microsoft Sentinel 的 Fusion 功能。

  1. 针对新兴威胁的 Fusion 可以使用任何计划分析规则生成的警报,这些规则包括杀伤链(策略)和实体映射信息。 确保 Fusion 可使用分析规则的输出来检测新兴威胁:

    • 查看这些计划规则的实体映射。 使用实体映射配置部分将查询结果中的参数映射到 Microsoft Sentinel 识别的实体。 由于 Fusion 基于实体(例如用户帐户或 IP 地址)关联警报,因此其 ML 算法在没有实体信息的情况下无法执行警报匹配 。

    • 请查看分析规则详细信息中的“策略和技术”。 Fusion ML 算法使用 MITRE ATT&CK 信息来检测多阶段攻击,用于标记分析规则的策略和技术将显示在生成的事件中。 如果传入的警报缺少策略信息,Fusion 计算可能会受到影响。

  2. 融合还可以使用基于以下计划分析规则模板的规则检测基于场景的威胁。

    若要在“分析”页面中启用可用作模板的查询,请转到“规则模板”选项卡,在模板库中选择规则名称,然后选择详细信息窗格中的“创建规则”。

    若要添加当前无法作为规则模板使用的查询,请参阅从头开始创建自定义分析规则

    有关详细信息,请参阅使用计划分析规则的融合高级多阶段攻击检测场景

    注意

    对于 Fusion 使用的计划分析规则集,ML 算法将对模板中提供的 KQL 查询执行模糊匹配。 重命名模板不会影响 Fusion 检测。

后续步骤

详细了解 中的 Fusion 检测

如果你已准备好调查系统为你创建的事件,请参阅教程:使用 Microsoft Sentinel 调查事件