Avansert angrepsgjenkjenning i fleretrinn i Microsoft Sentinel

Gjelder for: Microsoft Sentinel in the Azure portal

Viktig

Egendefinerte gjenkjenninger er nå den beste måten å opprette nye regler på tvers av Microsoft Sentinel SIEM-Microsoft Defender XDR. Med egendefinerte oppdagelser kan du redusere inntakskostnader, få ubegrensede sanntidsgjenkjenninger og dra nytte av sømløs integrering med Defender XDR data, funksjoner og utbedringshandlinger med automatisk enhetstilordning. Hvis du vil ha mer informasjon, kan du lese denne bloggen.

Microsoft Sentinel bruker Fusion, en korrelasjonsmotor basert på skalerbare maskinlæringsalgoritmer, til automatisk å oppdage flertrinnsangrep (også kjent som avanserte vedvarende trusler eller APT) ved å identifisere kombinasjoner av uregelmessig atferd og mistenkelige aktiviteter som observeres på ulike stadier i kill-kjeden. Basert på disse funnene genererer Microsoft Sentinel hendelser som ellers ville vært vanskelige å fange. Disse hendelsene består av to eller flere varsler eller aktiviteter. Etter design er disse hendelsene lavvolum, høy gjengivelse og høy alvorlighetsgrad.

Tilpasset for miljøet ditt, reduserer denne gjenkjenningsteknologien ikke bare falske positive priser, men kan også oppdage angrep med begrenset eller manglende informasjon.

Siden Fusion korrelerer flere signaler fra ulike produkter for å oppdage avanserte flertrinnsangrep, presenteres vellykkede Fusion-gjenkjenninger som Fusion-hendelser på siden Microsoft Sentinel Hendelser og ikke som varsler, og lagres i SecurityIncident-tabellen i Logger og ikke i SecurityAlert-tabellen.

Konfigurer fusjon

Fusion aktiveres som standard i Microsoft Sentinel, som en analyseregel kalt Avansert angrepsgjenkjenning med flere trinn. Du kan vise og endre statusen for regelen, konfigurere kildesignaler som skal inkluderes i Fusion ML-modellen, eller utelukke bestemte gjenkjenningsmønstre som kanskje ikke gjelder for miljøet ditt, fra Fusion-gjenkjenning. Finn ut hvordan du konfigurerer Fusion-regelen.

Obs!

Microsoft Sentinel bruker for tiden 30 dager med historiske data til å lære opp Fusion-motorens maskinlæringsalgoritmer. Disse dataene krypteres alltid ved hjelp av Microsofts nøkler når de passerer gjennom datasamlebåndet for maskinlæring. Opplæringsdataene krypteres imidlertid ikke ved hjelp av kundeadministrerte nøkler (CMK) hvis du aktiverte CMK i det Microsoft Sentinel arbeidsområdet. Hvis du vil melde deg ut av Fusion, kan du gå til Microsoft Sentinel>Configuration>Analytics > Active-regler, høyreklikke på regelen for avansert angrepsgjenkjenning med flere trinn og velge Deaktiver.

For Microsoft Sentinel arbeidsområder som er innebygd i Microsoft Defender-portalen, deaktiveres Fusion. Funksjonaliteten erstattes av Microsoft Defender XDR korrelasjonsmotor.

Fusjon for nye trusler

Viktig

Indikerte fusion-gjenkjenninger er for øyeblikket i FORHÅNDSVERSJON. Se tilleggsvilkårene for bruk for Microsoft Azure previews for flere juridiske termer som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke utgitt i generell tilgjengelighet.

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen. Fra og med juli 2025 blir mange nye kunder automatisk omlastet og omdirigert til Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender. Hvis du vil ha mer informasjon, kan du se Det er på tide å flytte: Tilbaketrekking av Microsoft Sentinel er Azure Portal for større sikkerhet.

Obs!

Hvis du vil ha informasjon om funksjonstilgjengelighet i US Government-skyer, kan du se Microsoft Sentinel tabeller i skyfunksjonstilgjengelighet for US Government-kunder.

Konfigurer fusjon

Du vil kanskje melde deg ut av Fusion hvis du har aktivert kundeadministrerte nøkler (CMK) i arbeidsområdet. Microsoft Sentinel bruker for tiden 30 dager med historiske data til å lære opp Fusion-motorens maskinlæringsalgoritmer, og disse dataene krypteres alltid ved hjelp av Microsofts nøkler når de passerer gjennom maskinlæringsforløpet. Opplæringsdataene krypteres imidlertid ikke ved hjelp av CMK. Hvis du vil melde deg ut av Fusion, deaktiverer du den avanserte analyseregelen for angrepsgjenkjenning med fleretrinn i Microsoft Sentinel. Hvis du vil ha mer informasjon, kan du se Konfigurer fusjonsregler.

Fusion deaktiveres når Microsoft Sentinel er innebygd i Defender-portalen. Når du arbeider i Defender-portalen, erstattes funksjonaliteten som leveres av Fusion av Microsoft Defender XDR korrelasjonsmotor.

Fusjon for nye trusler (forhåndsversjon)

Volumet av sikkerhetshendelser fortsetter å vokse, og omfanget og raffinementet av angrep øker stadig. Vi kan definere de kjente angrepsscenarioene, men hva med de fremvoksende og ukjente truslene i miljøet ditt?

Microsoft Sentinel ML-drevet Fusion-motor kan hjelpe deg med å finne de nye og ukjente truslene i miljøet ditt ved å bruke utvidet ML-analyse og ved å koordinere et bredere omfang av uregelmessige signaler, samtidig som varseltrettheten er lav.

Fusion-motorens ML-algoritmer lærer hele tiden av eksisterende angrep og bruker analyser basert på hvordan sikkerhetsanalytikere tenker. Det kan derfor oppdage tidligere uoppdagede trusler fra millioner av uregelmessige atferder på tvers av kill-kjeden i hele miljøet ditt, noe som hjelper deg med å holde deg ett skritt foran angriperne.

Fusion for nye trusler støtter datainnsamling og analyse fra følgende kilder:

Forhåndsdefinerte avviksregistreringer
Varsler fra Microsoft-tjenester:
- Microsoft Entra ID Protection
- Microsoft Defender for skyen
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for skyapper
- Microsoft Defender for endepunkt
- Microsoft Defender for identitet
- Microsoft Defender for Office 365
Varsler fra planlagte analyseregler. Analyseregler må inneholde kill-chain (taktikk) og enhetstilordningsinformasjon for å kunne brukes av Fusion.

Du trenger ikke å ha koblet til alle datakildene som er oppført ovenfor for å få Fusion til å fungere for nye trusler. Men jo flere datakilder du har koblet til, jo bredere dekning, og jo flere trusler Fusion vil finne.

Når Fusion-motorens korrelasjoner resulterer i påvisning av en fremvoksende trussel, genererer Microsoft Sentinel en hendelse med høy alvorlighetsgrad med tittelen Mulige flertrinns angrepsaktiviteter oppdaget av Fusion.

Fusjon for løsepengevirus

Microsoft Sentinel's Fusion-motor genererer en hendelse når den oppdager flere varsler av forskjellige typer fra følgende datakilder, og fastslår at de kan være relatert til løsepengevirusaktivitet:

Microsoft Defender for skyen
Microsoft Defender for endepunkt
Microsoft Defender for identitet kobling
Microsoft Defender for skyapper
Microsoft Sentinel planlagte analyseregler. Fusion vurderer bare planlagte analyseregler med taktikkinformasjon og tilordnede enheter.

Slike Fusion hendelser kalles Flere varsler muligens relatert til Ransomware aktivitet oppdaget, og genereres når relevante varsler oppdages i løpet av en bestemt tidsramme og er knyttet til Execution og Defense Evasion stadier av et angrep.

For eksempel vil Microsoft Sentinel generere en hendelse for mulige løsepengevirusaktiviteter hvis følgende varsler utløses på samme vert innen en bestemt tidsramme:

Varsel	Kilde	Alvorlighetsgraden
Windows-feil- og advarselshendelser	Microsoft Sentinel planlagte analyseregler	Informativ
'GandCrab' ransomware ble forhindret	Microsoft Defender for skyen	Medium
'Emotet' malware ble oppdaget	Microsoft Defender for endepunkt	Informativ
'Tofsee' bakdør ble oppdaget	Microsoft Defender for skyen	Lav
'Parite' malware ble oppdaget	Microsoft Defender for endepunkt	Informativ

Scenariobaserte fusjonsgjenkjenninger

Den følgende delen viser hvilke typer scenariobaserte flertrinnsangrep, gruppert etter trusselklassifisering, som Microsoft Sentinel oppdager ved hjelp av Fusion-korrelasjonsmotoren.

For å aktivere disse Fusion-drevne angrepsgjenkjenningsscenarioene må de tilknyttede datakildene tas inn i Log Analytics-arbeidsområdet. Velg koblingene i tabellen nedenfor for å lære om hvert scenario og tilknyttede datakilder.

Trusselklassifisering	Scenarier
Databehandlingsressursmisbruk	(FORHÅNDSVERSJON) Flere vm-opprettelsesaktiviteter etter mistenkelig Microsoft Entra pålogging
Legitimasjonstilgang	(FORHÅNDSVERSJON) Flere passord tilbakestilt av brukeren etter mistenkelig pålogging (FORHÅNDSVERSJON) Mistenkelig pålogging som sammenfaller med vellykket pålogging til Palo Alto VPN etter IP med flere mislykkede Microsoft Entra pålogginger
Innhøsting av legitimasjon	Kjøring av verktøy for skadelig legitimasjonstyveri etter mistenkelig pålogging Mistenkt legitimasjonstyveri aktivitet etter mistenkelig pålogging
Krypto-gruvedrift	Krypto-gruvedrift aktivitet etter mistenkelig pålogging
Dataødeleggelse	Massefilsletting etter mistenkelig Microsoft Entra pålogging (FORHÅNDSVERSJON) Massefilsletting etter vellykket Microsoft Entra pålogging fra IP blokkert av et Cisco-brannmurapparat (FORHÅNDSVERSJON) Massefilsletting etter vellykket pålogging til Palo Alto VPN etter IP med flere mislykkede Microsoft Entra pålogginger (FORHÅNDSVERSJON) Mistenkelig e-postslettingsaktivitet etter mistenkelig Microsoft Entra pålogging
Dataeksfiltrering	(FORHÅNDSVERSJON) Aktiviteter for videresending av e-post etter ny aktivitet for administratorkonto er ikke nylig sett Massefilnedlasting etter mistenkelig Microsoft Entra pålogging (FORHÅNDSVERSJON) Massefilnedlasting etter vellykket Microsoft Entra pålogging fra IP blokkert av et Cisco-brannmurapparat (FORHÅNDSVERSJON) Massefilnedlasting sammenfallende med SharePoint-filoperasjon fra tidligere usett IP Massefildeling etter mistenkelig Microsoft Entra pålogging (FORHÅNDSVERSJON) Flere rapportdelingsaktiviteter i Power BI etter mistenkelig Microsoft Entra pålogging Office 365 postboksutfiltrering etter en mistenkelig Microsoft Entra pålogging (FORHÅNDSVERSJON) SharePoint-filoperasjon fra tidligere usett IP etter gjenkjenning av skadelig programvare (FORHÅNDSVERSJON) Mistenkelige innboksmanipuleringsregler angitt etter mistenkelig Microsoft Entra pålogging (FORHÅNDSVERSJON) Mistenkelig deling av Power BI-rapporter etter mistenkelig Microsoft Entra pålogging
Tjenestenekt	(FORHÅNDSVERSJON) Flere vm-slettingsaktiviteter etter mistenkelig Microsoft Entra pålogging
Sideveis bevegelse	Office 365 etterligning etter mistenkelig Microsoft Entra pålogging (FORHÅNDSVERSJON) Mistenkelige innboksmanipuleringsregler angitt etter mistenkelig Microsoft Entra pålogging
Skadelig administrativ aktivitet	Mistenkelig administrativ aktivitet i skyappen etter mistenkelig Microsoft Entra pålogging (FORHÅNDSVERSJON) Aktiviteter for videresending av e-post etter ny aktivitet for administratorkonto er ikke nylig sett
Ondsinnet kjøring med legitim prosess	(FORHÅNDSVERSJON) PowerShell utførte en mistenkelig nettverkstilkobling, etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur (FORHÅNDSVERSJON) Mistenkelig ekstern WMI-kjøring etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur Mistenkelig PowerShell-kommandolinje etter mistenkelig pålogging
Skadelig programvare C2 eller last ned	(FORHÅNDSVERSJON) Beacon-mønster oppdaget av Fortinet etter flere mislykkede brukerpålogginger til en tjeneste (FORHÅNDSVERSJON) Beacon mønster oppdaget av Fortinet etter mistenkelig Microsoft Entra pålogging (FORHÅNDSVERSJON) Nettverksforespørsel til tor anonymiseringstjeneste etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur (FORHÅNDSVERSJON) Utgående tilkobling til IP med en logg over uautoriserte tilgangsforsøk etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur
Utholdenhet	(FORHÅNDSVERSJON) Sjeldent søknadssamtykke etter mistenkelig pålogging
Løsepengevirus	Utføring av løsepengevirus etter mistenkelig Microsoft Entra pålogging
Ekstern utnyttelse	(FORHÅNDSVERSJON) Mistenkt bruk av angrepsrammeverk etterfulgt av uregelmessig trafikk flagget av Palo Alto Networks brannmur
Ressurskapring	(FORHÅNDSVERSJON) Mistenkelig ressurs-/ressursgruppedistribusjon av en tidligere usett innringer etter mistenkelig Microsoft Entra pålogging

Hvis du vil ha mer informasjon, kan du se:

Tilbakemeldinger

Var denne siden nyttig?

Last updated on 2026-04-23

Avansert angrepsgjenkjenning i fleretrinn i Microsoft Sentinel

Konfigurer fusjon

Fusjon for nye trusler

Konfigurer fusjon

Fusjon for nye trusler (forhåndsversjon)

Fusjon for løsepengevirus

Scenariobaserte fusjonsgjenkjenninger

Beslektet innhold

Tilbakemeldinger

Flere ressurser