在 Microsoft Sentinel 中配置多阶段攻击检测 (Fusion) 规则

Microsoft Sentinel 使用 Fusion（基于可缩放的机器学习算法的关联引擎）通过识别在不同杀伤链阶段观测到的异常行为与可疑活动的组合来自动检测多阶段攻击。 Microsoft Sentinel 根据这些发现结果生成事件，否则很难捕获这些事件。 这些事件由两个或者更多个警报或活动构成。 根据设计，这些事件具有数量少、保真度高和严重性高的特点。

此项检测技术已根据你的环境进行自定义，不仅可以减少误报率，而且还能在信息有限或缺失的情况下检测到攻击。

配置 Fusion 规则

此项检测默认已在 Microsoft Sentinel 中启用。 若要查看或更改其状态，请按照以下说明进行操作：

1. 登录到 Azure 门户并输入 Microsoft Sentinel。

2. 从 Microsoft Sentinel 导航菜单中，选择“分析”。

3. 选择“活动规则”选项卡，然后通过筛选“Fusion”规则类型列表，在“名称”列中找到“高级多阶段攻击检测” 。 检查“状态”列确认此项检测是已启用还是已禁用。

   

4. 若要更改状态，请选择此条目，然后在“高级多阶段攻击检测”预览边栏选项卡上选择“编辑” 。

5. 在“分析规则向导”的“常规”选项卡中，查看状态（启用/禁用），或者根据需要更改状态 。

   如果仅对状态进行了更改而不做其他进一步的更改，请选择“查看和更新”选项卡，然后选择“保存” 。

为 Fusion 检测配置计划分析规则

Fusion 可以使用计划分析规则生成的警报来检测基于场景的多阶段攻击和新兴威胁。 建议执行以下步骤来配置并启用这些规则，以充分利用 Microsoft Sentinel 的 Fusion 功能。

1. 针对新兴威胁的 Fusion 可以使用任何计划分析规则生成的警报，这些规则包括内置规则和你的安全分析师创建的规则，其中包含杀伤链（策略）和实体映射信息。 确保 Fusion 可使用分析规则的输出来检测新兴威胁：

   • 查看这些计划规则的实体映射。 使用实体映射配置部分将查询结果中的参数映射到 Microsoft Sentinel 识别的实体。 由于 Fusion 基于实体（例如用户帐户或 IP 地址）关联警报，因此其 ML 算法在没有实体信息的情况下无法执行警报匹配 。

   • 请查看分析规则详细信息中的“策略和技术”。 Fusion ML 算法使用 MITRE ATT&CK 信息来检测多阶段攻击，用于标记分析规则的策略和技术将显示在生成的事件中。 如果传入的警报缺少策略信息，Fusion 计算可能会受到影响。

2. 融合还可以使用基于以下计划分析规则模板的规则检测基于场景的威胁。

   若要在“分析”边栏选项卡中启用可用作模板的查询，请转到“规则模板”选项卡，在模板库中选择规则名称，然后单击详细信息窗格中的“创建规则”。

   • Cisco - 被防火墙阻止但已成功登录到 Microsoft Entra ID
   • Fortinet - 检测到信标模式
   • 多次无法登录到 Microsoft Entra 的 IP 成功登录到 Palo Alto VPN
   • 用户多次重置密码
   • 罕见的应用程序同意
   • 通过以前未曾看到过的 IP 运行 SharePointFileOperation
   • 可疑的资源部署
   • 来自异常 IP 地址的 Palo Alto 威胁签名

   若要添加当前无法作为规则模板使用的查询，请参阅使用计划查询创建自定义分析规则。

   • 出现了以往未曾出现过的新管理员帐户活动

   有关详细信息，请参阅使用计划分析规则的融合高级多阶段攻击检测场景。

   注意

   对于 Fusion 使用的计划分析规则集，ML 算法将对模板中提供的 KQL 查询执行模糊匹配。 重命名模板不会影响 Fusion 检测。

后续步骤

详细了解 中的 Fusion 检测。

现在你已详细了解高级多阶段攻击检测，接下来你可能有兴趣查看以下快速入门以了解如何洞察数据和潜在威胁：Microsoft Sentinel 入门。

如果你已准备好调查系统为你创建的事件，请参阅教程：使用 Microsoft Sentinel 调查事件。