Edistynyt monivaihehyökkäyksen tunnistaminen Microsoft Sentinel

Koskee seuraavia:: Microsoft Sentinel in the Azure portal

Tärkeää

Mukautetut tunnistuksia ovat nyt paras tapa luoda uusia sääntöjä siem Microsoft Sentinel Microsoft Defender XDR. Mukautettujen tunnistusten avulla voit pienentää käsittelykustannuksia, saada rajoittamattoman reaaliaikaisen tunnistamisen ja hyötyä saumattomasta integroinnista Defender XDR tietojen, funktioiden ja korjaustoimintojen kanssa automaattisella entiteettikartoituksella. Lisätietoja on tässä blogissa.

Microsoft Sentinel käyttää skaalattaviin koneoppimisalgoritmeihin perustuvaa korrelaatiomoduulia Fusionin avulla tunnistaakseen automaattisesti useita vaiheittaisia hyökkäyksiä (tunnetaan myös nimellä kehittyneet pysyvät uhat tai APT) tunnistamalla poikkeavien käyttäytymisten ja epäilyttävien toimintojen yhdistelmiä, joita havaitaan tappoketjun eri vaiheissa. Näiden löytöjen perusteella Microsoft Sentinel luo tapauksia, joita muuten olisi vaikea saada kiinni. Nämä tapaukset koostuvat kahdesta tai useammasta hälytyksestä tai toiminnasta. Nämä tapaukset ovat suunniteltuja pieniä määriä, suurta tarkkuutta ja suurta vakavuutta.

Ympäristöösi mukautettuna tämä tunnistustekniikka ei ainoastaan vähennä vääriä positiivisia suhteita, vaan se voi myös havaita hyökkäyksiä, joissa on rajallisia tai puuttuvia tietoja.

Koska fuusio korreloi useita signaaleja eri tuotteista edistyneiden monivaihehyökkäysten havaitsemiseksi, onnistuneet fuusiotunnistukset esitetään fuusiotapauksina Microsoft Sentinel Incidents -sivulla, ei hälytyksinä, ja ne tallennetaan SecurityIncident-taulukkoonLogs-taulukossa eikä SecurityAlert-taulukossa.

Fuusion määrittäminen

Fuusio on oletusarvoisesti käytössä Microsoft Sentinel analytiikkasääntönä nimeltä Edistynyt monivaiheisen hyökkäyksen tunnistaminen. Voit tarkastella ja muuttaa säännön tilaa, määrittää lähdesignaaleja, jotka sisällytetään Fusion ML -malliin, tai jättää pois tiettyjä tunnistusmalleja, jotka eivät ehkä koske ympäristöäsi fuusiotunnistuksesta. Lue, miten voit määrittää fuusiosäännön.

Huomautus

Microsoft Sentinel käyttää tällä hetkellä 30 päivän historiallista tietoa fuusiomoottorin koneoppimisalgoritmien kouluttamiseen. Nämä tiedot salataan aina Microsoftin avaimien avulla, kun ne kulkevat koneoppimisputken läpi. Harjoitustietoja ei kuitenkaan salata asiakkaan hallitsemilla avaimilla (CMK), jos cmk on otettu käyttöön Microsoft Sentinel työtilassa. Jos haluat estää fuusion käytön, siirry kohtaan Microsoft Sentinel>Määritä analytiikan>> aktiiviset säännöt, napsauta hiiren kakkospainikkeella Multistage Attack Detection -lisäsääntöä ja valitse Poista käytöstä.

Microsoft Sentinel työtiloissa, jotka on otettu käyttöön Microsoft Defender-portaalissa, Fuusio on poistettu käytöstä. Sen toiminnot korvataan Microsoft Defender XDR korrelaatiomoduulilla.

Fuusio uusille uhille

Tärkeää

Ilmoitetut fuusiotunnistimet ovat tällä hetkellä ESIKATSELU-tilassa. Microsoft Azure Preview -esiversioiden lisäkäyttöehdot-kohdassa on muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa. Heinäkuusta 2025 alkaen monet uudet asiakkaat lisätään automaattisesti ja ohjataan Defender-portaaliin.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta. Lisätietoja on kohdassa Siirron aika: Microsoft Sentinel käytöstä poistamisen Azure-portaali suojauksen lisäämiseksi.

Huomautus

Lisätietoja ominaisuuksien saatavuudesta Yhdysvaltain valtionhallinnon pilvipalveluissa on kohdassa Microsoft Sentinel taulukot Pilvipalvelun ominaisuuksien käytettävyydestä Yhdysvaltain valtionhallinnon asiakkaille.

Fuusion määrittäminen

Saatat haluta lopettaa fuusion, jos olet ottanut asiakkaan hallitsemat avaimet (CMK) käyttöön työtilassasi. Microsoft Sentinel käyttää tällä hetkellä 30 päivän historiallisia tietoja fuusiomoottorin koneoppimisalgoritmien harjoittamiseen, ja nämä tiedot salataan aina Microsoftin avaimilla, kun ne kulkevat koneoppimisputken läpi. Harjoitustietoja ei kuitenkaan salata CMK:n avulla. Jos haluat estää fuusion käytön, poista käytöstä multistage Attack Detectionin edistynyt analytiikkasääntö Microsoft Sentinel. Lisätietoja on artikkelissa Fuusiosääntöjen määrittäminen.

Fuusio poistetaan käytöstä, kun Microsoft Sentinel lisätään Defender-portaaliin. Kun työskentelet Defender-portaalissa, Fusionin tarjoama toiminto korvataan Microsoft Defender XDR korrelaatiomoduulilla.

Fuusio uusille uhille (esikatselu)

Tietoturvatapahtumien määrä kasvaa edelleen, ja hyökkäysten laajuus ja hienostuneisuus lisääntyvät jatkuvasti. Voimme määrittää tunnetut hyökkäysskenaariot, mutta entä uudet ja tuntemattomat uhat ympäristössäsi?

Microsoft Sentinel koneoppimiskäyttöinen fuusiomoduuli voi auttaa sinua löytämään nousevat ja tuntemattomat uhat ympäristöstäsi laajennetun koneoppimisanalyysin avulla ja korreloimalla laajemman laajojen poikkeavien signaalien laajuuden ja pitämällä hälytyksen väsymyksen alhaisena.

Fuusiomoottorin koneoppimisalgoritmit oppivat jatkuvasti olemassa olevista hyökkäyksistä ja soveltavat analyysejä sen perusteella, miten tietoturva-analyytikot ajattelevat. Sen vuoksi se voi havaita aiemmin havaitsemattomia uhkia miljoonista poikkeavuuksista koko ympäristössäsi, mikä auttaa pysymään askeleen edellä hyökkääjiä.

Uusien uhkien yhdistäminen tukee tietojen keräämistä ja analysointia seuraavista lähteistä:

Valmiiden poikkeamien tunnistuksia
Microsoft-palveluiden ilmoitukset:
- Microsoft Entra ID suojaus
- Microsoft Defender for Cloud
- Microsoft Defender IoT:lle
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
Ilmoitukset ajoitetun analysoinnin säännöistä. Analysointisäännöissä on oltava kill-chain (taktiikot) ja entiteettikartoitustiedot, jotta fuusiota voidaan käyttää.

Sinun ei tarvitse yhdistää kaikkia yllä lueteltuja tietolähteitä, jotta Fuusio uusissa uhissa toimisi. Mitä enemmän tietolähteitä olet yhdistänyt, sitä laajempi kattavuus ja sitä enemmän uhkia Fusion löytää.

Kun fuusiomoottorin korrelaatiot johtavat uuden uhan havaitsemiseen, Microsoft Sentinel luo suuren vakavuusasteen tapahtuman nimeltä Fuusion havaitsemat mahdolliset monivaiheiset hyökkäystoimet.

Fuusio kiristysohjelmille

Microsoft Sentinel fuusiomoduuli luo tapahtuman, kun se havaitsee useita erityyppisiä ilmoituksia seuraavista tietolähteistä ja määrittää, että ne saattavat liittyä kiristyshaittaohjelmatoimintaan:

Microsoft Defender for Cloud
Microsoft Defender for Endpoint
Microsoft Defender for Identity liitin
Microsoft Defender for Cloud Apps
Microsoft Sentinel ajoitettuja analytiikkasääntöjä. Fusion käsittelee vain ajoitettuja analytiikkasääntöjä, joissa on tietoa taktiikasta ja yhdistetyistä entiteeteistä.

Tällaiset fuusiotapaukset nimetään useiksi hälytyksiksi, jotka mahdollisesti liittyvät ransomware-toimintaan havaittuina, ja ne luodaan, kun asianmukaisia hälytyksiä havaitaan tietyn ajanjakson aikana ja ne liittyvät hyökkäyksen suoritus- ja puolustuskiertovaiheisiin .

Esimerkiksi Microsoft Sentinel aiheuttaisi tapahtuman mahdollisista kiristyshaittaohjelmatoiminnoista, jos seuraavat hälytykset käynnistetään samalle isännälle tietyssä ajassa:

Ilmoitus	Lähde	Vakavuus
Windowsin virhe- ja varoitustapahtumat	Microsoft Sentinel ajoitettuja analytiikkasääntöjä	Tiedottava
GandCrab-kiristysohjelma estettiin	Microsoft Defender for Cloud	Keskiverto
Emotet-haittaohjelmisto havaittiin	Microsoft Defender for Endpoint	Tiedottava
Tofsee-takaovi havaittiin	Microsoft Defender for Cloud	Alhainen
"Parite"-haittaohjelma havaittiin	Microsoft Defender for Endpoint	Tiedottava

Skenaariopohjaiset fuusiotunnistimet

Seuraavassa osiossa luetellaan skenaariopohjaisia monivaiheisia hyökkäyksiä, jotka on ryhmitelty uhkien luokituksen mukaan ja jotka Microsoft Sentinel havaitsee fuusion korrelaatiomoduulin avulla.

Jotta nämä fuusiopohjaisen hyökkäyksen havaitsemisskenaariot voidaan ottaa käyttöön, niihin liittyvät tietolähteet on otettava käyttöön Log Analytics -työtilassasi. Saat lisätietoja kustakin skenaariosta ja siihen liittyvistä tietolähteistä valitsemalla alla olevasta taulukosta linkit.

Uhkien luokitus	Skenaarioita
Resurssien väärinkäytön käsittely	(ESIKATSELU) Useita näennäiskoneen luontitoimintoja epäilyttävien Microsoft Entra sisäänkirjautumisen jälkeen
Tunnistetietojen käyttö	(ESIKATSELU) Käyttäjä palauttaa useita salasanoja epäilyttävän sisäänkirjautumisen jälkeen (ESIKATSELU) Epäilyttävä sisäänkirjautuminen samaan aikaan onnistuneen Palo Alto VPN -kirjautumisen kanssa IP-osoitteen mukaan, useita epäonnistuneita Microsoft Entra kirjautumisia
Tunnistetietojen kerääminen	Pahantahtoisen tunnistetietovarkaustyökalun suorittaminen epäilyttävän sisäänkirjautumisen jälkeen Epäillyt tunnistetietovarkaudet epäilyttävän sisäänkirjautumisen jälkeen
Salauslouhinta	Salauslouhintatoiminta epäilyttävän sisäänkirjautumisen jälkeen
Tietojen tuhoaminen	Joukkotiedoston poistaminen epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen (ESIKATSELU) Joukkotiedoston poistaminen onnistuneen Microsoft Entra jälkeen Cisco-palomuurilaitteen estämä IP-osoite (ESIKATSELU) Joukkotiedoston poistaminen onnistuneen Palo Alto VPN -kirjautumisen jälkeen IP-osoitteen mukaan, useita epäonnistuneita Microsoft Entra kirjautumisia (ESIKATSELU) Epäilyttävä sähköpostin poistotoiminto epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen
Tietojen suodatus	(ESIKATSELU) Sähköpostin edelleenlähetystoiminnot uuden järjestelmänvalvojan tilin toiminnan jälkeen , jota ei ole nähty äskettäin Joukkotiedoston lataaminen epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen (ESIKATSELU) Joukkotiedoston lataaminen onnistuneen Microsoft Entra jälkeen Cisco-palomuurilaitteen estämä IP-osoite (ESIKATSELU) Joukkotiedoston lataaminen samaan aikaan SharePoint-tiedostotoiminnon kanssa aiemmin näkymättömästä IP-osoitteesta Joukkotiedostojen jakaminen epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen (ESIKATSELU) Useita Power BI -raporttien jakamistoimintoja epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen Office 365 postilaatikon suodatus epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen (ESIKATSELU) SharePoint-tiedostotoiminto aiemmin näkymättömästä IP-osoitteesta haittaohjelmien tunnistamisen jälkeen (ESIKATSELU) Epäilyttävät Saapuneet-kansion käsittelysäännöt asetettu epäilyttävien Microsoft Entra sisäänkirjautumisen jälkeen (ESIKATSELU) Epäilyttävä Power BI -raporttien jakaminen epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen
Palvelunesto	(ESIKATSELU) Useita näennäiskoneen poistotoimintoja epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen
Sivusuuntainen liike	Office 365 tekeytyminen epäilyttävän Microsoft Entra kirjautumisen jälkeen (ESIKATSELU) Epäilyttävät Saapuneet-kansion käsittelysäännöt asetettu epäilyttävien Microsoft Entra sisäänkirjautumisen jälkeen
Pahantahtoinen hallinnollinen toiminta	Epäilyttävää pilvisovelluksen hallintatoimintaa epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen (ESIKATSELU) Sähköpostin edelleenlähetystoiminnot uuden järjestelmänvalvojan tilin toiminnan jälkeen , jota ei ole nähty äskettäin
Pahantahtoinen suorittaminen laillisella prosessilla	(ESIKATSELU) PowerShell teki epäilyttävän verkkoyhteyden, jota seurasi Palo Alto Networksin palomuurin ilmoittama poikkeava liikenne (ESIKATSELU) Epäilyttävä WMI-etäteloitus ja sen jälkeen Palo Alto Networksin palomuurin ilmoittama poikkeava liikenne Epäilyttävä PowerShell-komentorivi epäilyttävän sisäänkirjautumisen jälkeen
Malware C2 tai lataa	(ESIKATSELU) Fortinetin havaitsema majakkakuvio useiden epäonnistuneiden käyttäjien palveluun kirjautumisen jälkeen (ESIKATSELU) Fortinetin havaitsema majakkakuvio epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen (ESIKATSELU) Verkkopyyntö tor-anonymisointipalveluun ja sen jälkeen Palo Alto Networksin palomuurin ilmoittama poikkeava liikenne (ESIKATSELU) Lähtevä yhteys IP-osoitteisiin, jonka jälkeen on luvaton käyttöyritys ja sen jälkeen Palo Alto Networksin palomuurin ilmoittama poikkeava liikenne
Pysyvyys	(ESIKATSELU) Harvinainen sovelluksen suostumus epäilyttävän sisäänkirjautumisen jälkeen
Kiristysohjelma	Kiristyshaittaohjelman teloitus epäilyttävän kirjautumisen Microsoft Entra jälkeen
Etäkäyttö	(ESIKATSELU) Epäillään hyökkäyskehyksen käyttöä ja sen jälkeen Palo Alto Networksin palomuurin ilmoittama poikkeava liikenne
Resurssien kaappaus	(ESIKATSELU) Epäilyttävä resurssi- tai resurssiryhmän käyttöönotto aiemmin tuntemattoman soittajan toimesta epäilyttävän Microsoft Entra sisäänkirjautumisen jälkeen

Lisätietoja on seuraavissa artikkeleissa:

Palaute

Onko tästä sivusta apua?

Last updated on 2026-04-23

Edistynyt monivaihehyökkäyksen tunnistaminen Microsoft Sentinel

Fuusion määrittäminen

Fuusio uusille uhille

Fuusion määrittäminen

Fuusio uusille uhille (esikatselu)

Fuusio kiristysohjelmille

Skenaariopohjaiset fuusiotunnistimet

Aiheeseen liittyvä sisältö

Palaute

Lisäresursseja