Détection avancée des attaques multiphases dans Microsoft Sentinel

Important

Certaines détections de Fusion (voir celles indiquées ci-dessous) sont actuellement en préversion. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Microsoft Sentinel utilise Fusion, un moteur de corrélation basé sur des algorithmes évolutifs de Machine Learning, pour détecter automatiquement les attaques multiphases (également connues sous le nom de menaces persistantes avancées ou APT) en identifiant des combinaisons de comportements anormaux et d’activités suspectes observés à différentes étapes de la chaîne de destruction. Sur la base de ces découvertes, Microsoft Sentinel génère des incidents qui seraient autrement difficiles à intercepter. Ces incidents comprennent au moins deux alertes ou activités. Le système est conçu de façon à ce que ces incidents soient peu volumineux, soient détectés avec une haute fidélité, et présentent un niveau de gravité élevé.

Personnalisée pour votre environnement, cette technologie de détection, en plus de réduire la fréquence de faux positifs, peut détecter des attaques même si les informations sont limitées ou si certaines informations sont manquantes.

Étant donné que Fusion met en corrélation plusieurs signaux provenant de divers produits pour détecter les attaques multiphases avancées, les détections réussies de Fusion sont présentées en tant qu’incidents Fusion sur la page Incidents de Microsoft Sentinel et non en tant qu’alertes et sont stockées dans la table SecurityIncident dans Journaux et non dans la table SecurityAlerts.

Configurer Fusion

Fusion est activé par défaut dans Microsoft Sentinel, en tant que règle d’analyse appelée Détection d’attaques multiphases avancées. Vous pouvez afficher et modifier l’état de la règle, configurer des signaux source à inclure dans le modèle de ML de Fusion ou exclure des modèles de détection spécifiques qui peuvent ne pas être applicables à votre environnement à partir de la détection de Fusion. Découvrir comment configurer la règle Fusion.

Notes

Microsoft Sentinel utilise actuellement 30 jours de données historiques pour former les algorithmes de Machine Learning du moteur Fusion. Ces données sont toujours chiffrées à l’aide des clés de Microsoft à mesure qu’elles passent par le pipeline de Machine Learning. Cependant, les données de formation ne sont pas chiffrées à l’aide de clés gérées par le client (CMK) si vous avez activé CMK dans votre espace de travail Microsoft Sentinel. Pour désactiver Fusion, accédez à Microsoft Sentinel>Configuration>Analytique > Règles actives, cliquez avec le bouton droit sur la règle Détection des attaques multiphases avancées et sélectionnez Désactiver.

Dans les espaces de travail Microsoft Sentinel qui sont intégrés à la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender, Fusion est désactivé, car sa fonctionnalité est remplacée par le moteur de corrélation Microsoft Defender XDR.

Fusion pour les menaces émergentes

Important

Le volume des événements de sécurité continue de croître, et l’étendue et la sophistication des attaques augmentent encore. Nous pouvons définir les scénarios d’attaque connues, mais qu’en-est-il des menaces émergentes et inconnues dans votre environnement ?

Le moteur Fusion basé sur le ML de Microsoft Sentinel peut vous aider à identifier les menaces émergentes et inconnues dans votre environnement en appliquant une analyse de ML étendue et en mettant en corrélation un large éventail de signaux anormaux, tout en réduisant le niveau de fatigue des alertes.

Les algorithmes de ML du moteur Fusion se forment constamment contre les attaques existantes et appliquent une analyse en fonction de la façon de penser des analystes de sécurité. Il peut donc découvrir des menaces non détectées auparavant à partir de millions de comportements anormaux sur l’ensemble de la chaîne de destruction de votre environnement, ce qui vous permet d’avoir une longueur d’avance sur les attaquants.

Fusion pour les menaces émergentes prend en charge la collecte et l’analyse des données à partir des sources suivantes :

Vous n’avez pas besoin de connecter toutes les sources de données mentionnées ci-dessus pour que Fusion fonctionne sur les menaces émergentes. Toutefois, plus le nombre de sources de données que vous avez connectées est important, plus la couverture est large et Fusion trouvera alors plus de menaces.

Lorsque les corrélations du moteur Fusion entraînent la détection d’une menace émergente, un incident de gravité élevée intitulé « Activités d’attaques multiphases potentielles détectées par Fusion » est généré dans la table incidents de votre espace de travail Microsoft Sentinel.

Fusion pour ransomware

Le moteur Fusion de Microsoft Sentinel génère un incident lorsqu’il détecte plusieurs alertes de types différents à partir des sources de données suivantes et détermine qu’elles peuvent être associées à une activité de ransomware :

De tels incidents Fusion sont nommés Alertes multiples possiblement liées à l’activité Ransomware détectée et sont générés lorsque des alertes connexes sont détectées pendant un délai d’exécution spécifique et sont associées aux étapes Exécution et Évasion défense sur une attaque.

Par exemple, Microsoft Sentinel génère un incident pour les éventuelles activités de Ransomware si les alertes suivantes sont déclenchées sur le même hôte dans un délai d’exécution spécifique :

Alerte Source severity
Événements d'erreur et d'avertissement Windows Règles d’analyse planifiée de Microsoft Sentinel information
Le ransomware « GandCrab » a été évité Microsoft Defender pour le cloud moyenne
Le programme malveillant « Emotet » a été détecté Microsoft Defender for Endpoint information
La Porte dérobée « Tofsee » a été détectée Microsoft Defender pour le cloud low
Le programme malveillant « Parite » a été détecté Microsoft Defender for Endpoint information

Détections de Fusion basées sur un scénario

La section suivante répertorie les types d'attaques multiphases basées sur des scénarios, regroupées par classification des menaces, que Microsoft Sentinel détecte à l’aide du moteur de corrélation Fusion.

Pour activer ces scénarios de détection d’attaques par Fusion, les sources de données associées doivent être ingérées dans votre espace de travail Log Analytics. Sélectionnez les liens dans le tableau ci-dessous pour en savoir plus sur chaque scénario et ses sources de données associées.

Notes

Certains de ces scénarios sont en PRÉVERSION. Cela est spécifié.

Classification des menaces Scénarios
Abus de ressource de calcul
Accès aux informations d’identification
Collecte des informations d’identification
Minage de cryptomonnaie
Destruction de données
Exfiltration de données
Déni de service
Mouvement latéral
Activité administrative malveillante
Exécution malveillante
avec un processus légitime
Logiciel malveillant C2 ou téléchargement
Persistance
Ransomware
Exploitation à distance
Piratage des ressources

Étapes suivantes

Obtenir plus d’informations sur la détection d’attaques multiphases avancées Fusion :

Maintenant que vous en savez plus sur la détection avancée des attaques multiphases, il peut vous être utile de suivre le guide de démarrage suivant pour savoir comment bénéficier d’une visibilité sur vos données et sur les menaces potentielles : Bien démarrer avec Microsoft Sentinel.

Si vous êtes prêt à examiner les incidents créés pour vous, consultez le tutoriel suivant : Examiner les incidents avec Microsoft Sentinel.