Avancerad identifiering av flerstegsattack i Microsoft Sentinel

Gäller för: Microsoft Sentinel in the Azure portal

Viktigt

Anpassade identifieringar är nu det bästa sättet att skapa nya regler i Microsoft Sentinel SIEM-Microsoft Defender XDR. Med anpassade identifieringar kan du minska kostnaderna för inmatning, få obegränsade identifieringar i realtid och dra nytta av sömlös integrering med Defender XDR data, funktioner och reparationsåtgärder med automatisk entitetsmappning. Mer information finns i den här bloggen.

Microsoft Sentinel använder Fusion, en korrelationsmotor baserad på skalbara maskininlärningsalgoritmer, för att automatiskt identifiera flerstegsattacker (kallas även avancerade beständiga hot eller APT) genom att identifiera kombinationer av avvikande beteenden och misstänkta aktiviteter som observeras i olika stadier av dödskedjan. Baserat på dessa upptäckter genererar Microsoft Sentinel incidenter som annars skulle vara svåra att fånga. Dessa incidenter omfattar två eller flera aviseringar eller aktiviteter. De här incidenterna är avsiktligt lågvolym, hög återgivning och hög allvarlighetsgrad.

Den här identifieringstekniken är anpassad för din miljö och minskar inte bara antalet falska positiva identifieringar utan kan också identifiera attacker med begränsad eller saknad information.

Eftersom Fusion korrelerar flera signaler från olika produkter för att identifiera avancerade flerstegsattacker visas lyckade fusionsidentifieringar som fusionsincidenter på sidan Microsoft Sentinel incidenter och inte som aviseringar, och lagras i tabellen SecurityIncident i Loggar och inte i tabellen SecurityAlert.

Konfigurera fusion

Fusion är aktiverat som standard i Microsoft Sentinel, som en analysregel som kallas Avancerad identifiering av flerstegsattacker. Du kan visa och ändra status för regeln, konfigurera källsignaler som ska ingå i Fusion ML-modellen eller exkludera specifika identifieringsmönster som kanske inte är tillämpliga för din miljö från fusionsidentifiering. Lär dig hur du konfigurerar fusionsregeln.

Obs!

Microsoft Sentinel använder för närvarande 30 dagars historiska data för att träna Fusion-motorns maskininlärningsalgoritmer. Dessa data krypteras alltid med hjälp av Microsofts nycklar när de passerar genom maskininlärningspipelinen. Träningsdata krypteras dock inte med hjälp av kundhanterade nycklar (CMK) om du har aktiverat CMK på din Microsoft Sentinel arbetsyta. Om du vill avanmäla dig från Fusion går du till Microsoft Sentinel>Konfigurationsanalys>> Aktiva regler, högerklickar på regeln Avancerad identifiering av flerstegsattacker och väljer Inaktivera.

Fusion är inaktiverat för Microsoft Sentinel arbetsytor som är registrerade på Microsoft Defender-portalen. Dess funktioner ersätts av den Microsoft Defender XDR korrelationsmotorn.

Fusion för nya hot

Viktigt

Angivna fusionsidentifieringar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinel är Azure Portal för ökad säkerhet).

Obs!

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Tillgänglighet för molnfunktioner för amerikanska myndighetskunder.

Konfigurera fusion

Du kanske vill avregistrera dig från Fusion om du har aktiverat kundhanterade nycklar (CMK) på din arbetsyta. Microsoft Sentinel använder för närvarande 30 dagars historiska data för att träna Fusion-motorns maskininlärningsalgoritmer, och dessa data krypteras alltid med Hjälp av Microsofts nycklar när de passerar genom maskininlärningspipelinen. Träningsdata krypteras dock inte med cmk. Om du vill avanmäla dig från Fusion inaktiverar du analysregeln advanced multistage attackidentifiering i Microsoft Sentinel. Mer information finns i Konfigurera fusionsregler.

Fusion inaktiveras när Microsoft Sentinel registreras i Defender-portalen. När du arbetar i Defender-portalen ersätts i stället funktionerna som tillhandahålls av Fusion av den Microsoft Defender XDR korrelationsmotorn.

Fusion för nya hot (förhandsversion)

Mängden säkerhetshändelser fortsätter att växa och omfattningen och sofistikeringen av attacker ökar ständigt. Vi kan definiera kända attackscenarier, men vad sägs om de nya och okända hoten i din miljö?

Microsoft Sentinel ML-baserade fusionsmotor kan hjälpa dig att hitta de nya och okända hoten i din miljö genom att tillämpa utökad ML-analys och genom att korrelera ett bredare omfång av avvikande signaler, samtidigt som varningströttheten är låg.

Fusionsmotorns ML-algoritmer lär sig ständigt av befintliga attacker och tillämpar analys baserat på hur säkerhetsanalytiker tänker. Den kan därför identifiera tidigare oupptäckta hot från miljontals avvikande beteenden i hela killkedjan i din miljö, vilket hjälper dig att ligga steget före angriparna.

Fusion för nya hot stöder datainsamling och analys från följande källor:

Färdiga avvikelseidentifieringar
Aviseringar från Microsoft-tjänster:
- Microsoft Entra ID Skydd
- Microsoft Defender for Molnet
- Microsoft Defender för IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender för Endpoint
- Microsoft Defender for Identity
- Microsoft Defender för Office 365
Aviseringar från schemalagda analysregler. Analysregler måste innehålla kill chain (taktik) och entitetsmappningsinformation för att kunna användas av Fusion.

Du behöver inte ha anslutit alla datakällor som anges ovan för att fusion för nya hot ska fungera. Men ju fler datakällor du har anslutit, desto bredare täckning och desto fler hot hittar Fusion.

När fusionsmotorns korrelationer resulterar i identifiering av ett framväxande hot genererar Microsoft Sentinel en incident med hög allvarlighetsgrad med titeln Möjliga flerstegsattackaktiviteter som identifierats av Fusion.

Fusion för utpressningstrojaner

Microsoft Sentinel fusionsmotor genererar en incident när den identifierar flera aviseringar av olika typer från följande datakällor och fastställer att de kan vara relaterade till utpressningstrojanaktivitet:

Microsoft Defender for Molnet
Microsoft Defender för Endpoint
Microsoft Defender for Identity anslutningsapp
Microsoft Defender for Cloud Apps
Microsoft Sentinel schemalagda analysregler. Fusion tar endast hänsyn till schemalagda analysregler med taktikinformation och mappade entiteter.

Sådana fusionsincidenter namnges Flera aviseringar som kan vara relaterade till aktiviteter med utpressningstrojaner som identifieras och genereras när relevanta aviseringar identifieras under en viss tidsram och är associerade med stegen för körning och försvarsundandragande i en attack.

Till exempel skulle Microsoft Sentinel generera en incident för möjliga aktiviteter med utpressningstrojaner om följande aviseringar utlöses på samma värd inom en viss tidsram:

Varning	Source	Allvarlighetsgrad
Fel- och varningshändelser i Windows	Microsoft Sentinel schemalagda analysregler	Informativt
Utpressningstrojanen "GandCrab" förhindrades	Microsoft Defender for Molnet	Medium
Skadlig kod för "Emotet" har identifierats	Microsoft Defender för Endpoint	Informativt
"Tofsee"-bakdörren upptäcktes	Microsoft Defender for Molnet	Låg
Skadlig kod för "Parite" har identifierats	Microsoft Defender för Endpoint	Informativt

Scenariobaserade fusionsidentifieringar

I följande avsnitt visas de typer av scenariobaserade flerstegsattacker, grupperade efter hotklassificering, som Microsoft Sentinel identifierar med hjälp av fusionskorrelationsmotorn.

För att aktivera dessa fusionsdrivna attackidentifieringsscenarier måste deras associerade datakällor matas in på Log Analytics-arbetsytan. Välj länkarna i tabellen nedan för att lära dig mer om varje scenario och dess associerade datakällor.

Hotklassificering	Scenarier
Missbruk av beräkningsresurser	(FÖRHANDSVERSION) Flera aktiviteter för att skapa virtuella datorer efter misstänkt Microsoft Entra inloggning
Åtkomst till autentiseringsuppgifter	(FÖRHANDSVERSION) Flera lösenord återställs av användaren efter misstänkt inloggning (FÖRHANDSVERSION) Misstänkt inloggning som sammanföll med lyckad inloggning till Palo Alto VPN efter IP med flera misslyckade Microsoft Entra inloggningar
Insamling av autentiseringsuppgifter	Verktyg för stöld av skadliga autentiseringsuppgifter efter misstänkt inloggning Misstänkt stöld av autentiseringsuppgifter efter misstänkt inloggning
Kryptoutvinning	Kryptoutvinningsaktivitet efter misstänkt inloggning
Datadestruktion	Massfilborttagning efter misstänkt Microsoft Entra inloggning (FÖRHANDSVERSION) Massfilborttagning efter lyckad Microsoft Entra inloggning från IP-adress blockerad av en Cisco-brandväggsinstallation (FÖRHANDSVERSION) Massfilborttagning efter lyckad inloggning till Palo Alto VPN efter IP med flera misslyckade Microsoft Entra inloggningar (FÖRHANDSVERSION) Misstänkt e-postborttagning efter misstänkt Microsoft Entra inloggning
Dataexfiltrering	(FÖRHANDSVERSION) Vidarebefordran av e-postaktiviteter efter ny administratörskontoaktivitet som inte har setts nyligen Massfilnedladdning efter misstänkt Microsoft Entra inloggning (FÖRHANDSVERSION) Massfilnedladdning efter lyckad Microsoft Entra inloggning från IP-adress blockerad av en Cisco-brandväggsinstallation (FÖRHANDSVERSION) Massfilnedladdning som sammanföll med SharePoint-filåtgärd från tidigare osynlig IP-adress Massfildelning efter misstänkt Microsoft Entra inloggning (FÖRHANDSVERSION) Flera Power BI-rapportdelningsaktiviteter efter misstänkt Microsoft Entra inloggning Office 365 postlådeexfiltrering efter en misstänkt Microsoft Entra inloggning (FÖRHANDSVERSION) SharePoint-filåtgärd från tidigare osedda IP-adresser efter identifiering av skadlig kod (FÖRHANDSVERSION) Regler för misstänkt inkorgsmanipulering har angetts efter misstänkt Microsoft Entra inloggning (FÖRHANDSVERSION) Misstänkt Delning av Power BI-rapporter efter misstänkt Microsoft Entra inloggning
Denial of Service	(FÖRHANDSVERSION) Flera aktiviteter för borttagning av virtuella datorer efter misstänkt Microsoft Entra inloggning
Lateral förflyttning	Office 365 personifiering efter misstänkt Microsoft Entra inloggning (FÖRHANDSVERSION) Regler för misstänkt inkorgsmanipulering har angetts efter misstänkt Microsoft Entra inloggning
Skadlig administrativ aktivitet	Misstänkt administrativ aktivitet i molnappen efter misstänkt Microsoft Entra inloggning (FÖRHANDSVERSION) Vidarebefordran av e-postaktiviteter efter ny administratörskontoaktivitet som inte har setts nyligen
Skadlig körning med legitim process	(FÖRHANDSVERSION) PowerShell gjorde en misstänkt nätverksanslutning följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen (FÖRHANDSVERSION) Misstänkt fjärr-WMI-körning följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen Misstänkt PowerShell-kommandorad efter misstänkt inloggning
Skadlig kod C2 eller nedladdning	(FÖRHANDSVERSION) Beacon-mönster som identifierats av Fortinet efter flera misslyckade användarinloggningar till en tjänst (FÖRHANDSVERSION) Beacon-mönster upptäckt av Fortinet efter misstänkt Microsoft Entra inloggning (FÖRHANDSVERSION) Nätverksbegäran till TOR-anonymiseringstjänsten följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen (FÖRHANDSVERSION) Utgående anslutning till IP med en historik över obehöriga åtkomstförsök följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen
Ihärdighet	(FÖRHANDSVERSION) Sällsynt programmedgivande efter misstänkt inloggning
Utpressningstrojan	Utpressningstrojankörning efter misstänkt Microsoft Entra inloggning
Fjärrexploatering	(FÖRHANDSVERSION) Misstänkt användning av attackramverk följt av avvikande trafik som flaggas av Palo Alto Networks-brandväggen
Resurskapning	(FÖRHANDSVERSION) Misstänkt resurs-/resursgruppsdistribution av en tidigare osynlig anropare efter misstänkt Microsoft Entra inloggning

Mer information finns i:

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-23

Avancerad identifiering av flerstegsattack i Microsoft Sentinel

Konfigurera fusion

Fusion för nya hot

Konfigurera fusion

Fusion för nya hot (förhandsversion)

Fusion för utpressningstrojaner

Scenariobaserade fusionsidentifieringar

Relaterat innehåll

Feedback

Ytterligare resurser