Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vigtigt!
Brugerdefinerede registreringer er nu den bedste måde at oprette nye regler på tværs af Microsoft Sentinel SIEM-Microsoft Defender XDR. Med brugerdefinerede registreringer kan du reducere omkostningerne til indtagelse, få ubegrænsede registreringer i realtid og drage fordel af problemfri integration med Defender XDR data, funktioner og afhjælpningshandlinger med automatisk enhedstilknytning. Du kan få flere oplysninger ved at læse denne blog.
Vigtigt!
Den nye version af Fusion-analysereglen findes i øjeblikket i PREVIEW. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Bemærk!
Du kan få oplysninger om tilgængelighed af funktioner i US Government-cloudmiljøer i Microsoft Sentinel tabeller i Cloudfunktionstilgængelighed for US Government-kunder.
Microsoft Sentinel bruger Fusion, et korrelationsprogram, der er baseret på skalerbare algoritmer til maskinel indlæring, til automatisk at registrere angreb i flere faser ved at identificere kombinationer af unormal adfærd og mistænkelige aktiviteter, der observeres i forskellige faser af angrebskæden. På baggrund af disse opdagelser genererer Microsoft Sentinel hændelser, der ellers ville være svære at fange. Disse hændelser omfatter to eller flere beskeder eller aktiviteter. Disse hændelser er tilsigtet med lav mængde, høj pålidelighed og høj alvorsgrad.
Denne registreringsteknologi, der er tilpasset dit miljø, reducerer ikke kun falske positive rater, men kan også registrere angreb med begrænsede eller manglende oplysninger.
Konfigurer fusionsregler
Denne registrering er som standard aktiveret i Microsoft Sentinel. Hvis du vil kontrollere eller ændre dens status, skal du bruge følgende instruktioner:
Log på Azure Portal, og angiv Microsoft Sentinel.
Vælg Analytics i navigationsmenuen Microsoft Sentinel.
Vælg fanen Aktive regler , og find derefter Advanced Multistage Attack Detection i kolonnen NAME ved at filtrere listen for regeltypen Fusion . Kontrollér kolonnen STATUS for at bekræfte, om denne registrering er aktiveret eller deaktiveret.
Hvis du vil ændre status, skal du vælge denne post. I prøveversionsruden Avanceret angrebsregistrering i fleretage skal du vælge Rediger.
Notér status (Aktiveret/Deaktiveret) under fanen Generelt i guiden Analytics-regel, eller rediger den, hvis du vil.
Hvis du ændrer status, men ikke har flere ændringer at foretage, skal du vælge fanen Gennemse og opdater og vælge Gem.
Hvis du vil konfigurere reglen Fusionsregistrering yderligere, skal du vælge Næste: Konfigurer Fusion.
Konfigurer kildesignaler til fusionsregistrering: Vi anbefaler, at du medtager alle de angivne kildesignaler med alle alvorsgradsniveauer for at opnå det bedste resultat. Som standard er de allerede inkluderet, men du har mulighed for at foretage ændringer på følgende måder:
Bemærk!
Hvis du udelader et bestemt kildesignal eller en besked alvorsgrad, udløses alle Fusion-registreringer, der er afhængige af signaler fra den pågældende kilde, eller beskeder, der matcher dette alvorsgradsniveau, ikke.
Udelad signaler fra Fusionsregistreringer, herunder uregelmæssigheder, beskeder fra forskellige udbydere og rå logge.
Use case: Hvis du tester en bestemt signalkilde, der er kendt for at skabe støjende beskeder, kan du midlertidigt deaktivere signalerne fra den pågældende signalkilde for Fusion-registreringer.
Konfigurer alvorsgraden af beskeder for hver udbyder: Fusion ML-modellen korrelerer designvis signaler med lav pålidelighed til en enkelt hændelse med høj alvorsgrad baseret på unormale signaler på tværs af kill-chain fra flere datakilder. Beskeder, der er inkluderet i Fusion, er lavere alvorsgrad (mellem, lav, oplysende), men undertiden relevante beskeder med høj alvorsgrad er inkluderet.
Use case: Hvis du har en separat proces til at skelne mellem og undersøge vigtige beskeder med høj alvorsgrad og foretrækker ikke at inkludere disse beskeder i Fusion, kan du konfigurere kildesignalerne til at udelade vigtige vigtige beskeder med høj alvorsgrad fra Fusion-registreringer.
Udelad bestemte opdagelsesmønstre fra Fusionsregistrering. Visse Fusionsregistreringer gælder muligvis ikke for dit miljø, eller der kan være en tilbøjelig til at generere falske positiver. Hvis du vil udelade et bestemt mønster for fusionsregistrering, skal du følge vejledningen nedenfor:
Find og åbn en Fusion-hændelse af den type, du vil ekskludere.
I afsnittet Beskrivelse skal du vælge Vis mere.
Under Udelad dette specifikke registreringsmønster skal du vælge udeladelseslink, der omdirigerer dig til fanen Konfigurer fusion i guiden til analyseregel.
Under fanen Konfigurer fusion kan du se, at registreringsmønsteret – en kombination af beskeder og uregelmæssigheder i en Fusion-hændelse – er føjet til listen over undtagelser sammen med det tidspunkt, hvor registreringsmønsteret blev tilføjet.
Du kan når som helst fjerne et udeladt registreringsmønster ved at vælge skraldespandsikonet i det pågældende registreringsmønster.
Hændelser, der matcher udeladte registreringsmønstre, udløser stadig, men de vises ikke i din aktive hændelseskø. De udfyldes automatisk med følgende værdier:
Status: "Lukket"
Slutklassificering: "Ikke defineret"
Kommentar: "Auto closed, excluded Fusion detection pattern"
Mærke: "ExcludedFusionDetectionPattern" – du kan forespørge på dette mærke for at få vist alle hændelser, der matcher dette registreringsmønster.
Bemærk!
Microsoft Sentinel bruger i øjeblikket 30 dages historiske data til at oplære systemerne til maskinel indlæring. Disse data krypteres altid med Microsofts nøgler, når de går gennem pipelinen til maskinel indlæring. Oplæringsdataene krypteres dog ikke med CMK (Customer-Managed Keys), hvis du aktiverer CMK i dit Microsoft Sentinel arbejdsområde. Hvis du vil fravælge Fusion, skal du gå til Microsoft Sentinel >Konfigurationsanalyse>> Aktive regler, højreklikke på reglen Avanceret multistage-angrebsregistrering og vælge Deaktiver.
Konfigurer planlagte analyseregler for Fusionsregistreringer
Vigtigt!
Fusionsbaseret registrering ved hjælp af beskeder om analyseregel findes i øjeblikket i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Fusion registrerer scenariebaserede flertrinsangreb og nye trusler ved hjælp af beskeder, der genereres af planlagte analyseregler. Hvis du vil have mest muligt ud af Microsoft Sentinel fusionsfunktioner, skal du benytte følgende fremgangsmåde for at konfigurere og aktivere disse regler.
Fusion til nye trusler bruger beskeder, der genereres af alle planlagte analyseregler , der indeholder oplysninger om kill-chain (taktik) og enhedstilknytning. Sådan sikrer du, at Fusion kan bruge outputtet fra en analyseregel til at registrere nye trusler:
Gennemse enhedstilknytningen for disse planlagte regler. Brug konfigurationsafsnittet for objekttilknytning til at knytte parametre fra dine forespørgselsresultater til Microsoft Sentinel-genkendte objekter. Da Fusion korrelerer beskeder baseret på enheder (f.eks . brugerkonto eller IP-adresse), kan ml-algoritmerne ikke udføre matchning af beskeder uden enhedsoplysningerne.
Gennemse taktikken og teknikkerne i oplysningerne om din analyseregel. Fusion ML-algoritmen bruger MITRE ATT-&CK-oplysninger til at registrere angreb i flere omgange og de taktikker og teknikker, du mærker analysereglerne med, som vises i de resulterende hændelser. Fusionsberegninger kan blive påvirket, hvis indgående beskeder mangler taktikoplysninger.
Fusion kan også registrere scenariebaserede trusler ved hjælp af regler, der er baseret på følgende planlagte skabeloner til analyseregler.
Hvis du vil aktivere de forespørgsler, der er tilgængelige som skabeloner på siden Analytics , skal du gå til fanen Regelskabeloner , vælge regelnavnet i skabelongalleriet og vælge Opret regel i detaljeruden.
- Cisco - firewall blok, men succes logon til Microsoft Entra ID
- Fortinet - Beacon mønster registreret
- IP med flere mislykkede Microsoft Entra logges korrekt på Palo Alto VPN
- Nulstilling af flere adgangskoder efter bruger
- Sjældent programsamtykke
- SharePointFileOperation via tidligere uset IP-adresser
- Mistænkelig ressourceinstallation
- Palo Alto Threat-signaturer fra usædvanlige IP-adresser
Hvis du vil tilføje forespørgsler, der i øjeblikket ikke er tilgængelige som en regelskabelon, skal du se Opret en brugerdefineret analyseregel fra bunden.
Du kan finde flere oplysninger under Scenarier med avanceret multistage-angrebsregistrering med planlagte analyseregler.
Bemærk!
For det sæt planlagte analyseregler, der bruges af Fusion, matcher ML-algoritmen fuzzy for de KQL-forespørgsler, der er angivet i skabelonerne. Omdøbning af skabelonerne påvirker ikke Fusion-registreringer.
Næste trin
Få mere at vide om Fusionsregistreringer i Microsoft Sentinel.
Få mere at vide om de mange scenariebaserede fusionsregistreringer.
Nu, hvor du ved mere om avanceret angrebsregistrering i fleretages, kan du være interesseret i følgende hurtig start for at få mere at vide om, hvordan du får indsigt i dine data og potentielle trusler: Kom i gang med Microsoft Sentinel.
Hvis du er klar til at undersøge de hændelser, der er oprettet for dig, skal du se følgende selvstudium: Undersøg hændelser med Microsoft Sentinel.