Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
Importante
Alcuni rilevamenti Fusion (vedere quelli indicati di seguito) sono attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.
Microsoft Sentinel usa Fusion, un motore di correlazione basato su algoritmi di Machine Learning scalabili, per rilevare automaticamente gli attacchi a più fasi (noti anche come minacce persistenti avanzate o APT) identificando combinazioni di comportamenti anomali e attività sospette osservate in varie fasi della kill chain. Sulla base di queste individuazioni, Microsoft Sentinel genera eventi imprevisti che altrimenti sarebbero difficili da intercettare. Questi eventi imprevisti comprendono due o più avvisi o attività. Per impostazione predefinita, questi eventi imprevisti sono a basso volume, alta fedeltà e gravità elevata.
Personalizzata per l'ambiente in uso, questa tecnologia di rilevamento non solo riduce percentuali di falsi positivi, ma può anche rilevare attacchi con informazioni limitate o mancanti.
Poiché Fusion correla più segnali provenienti da vari prodotti per rilevare attacchi a più fasi avanzati, i rilevamenti Fusion riusciti vengono presentati come Eventi imprevisti Fusion nella pagina Eventi imprevisti di Microsoft Sentinel e non come avvisie vengono archiviati nella tabella SecurityIncident nei Log e non nella tabella SecurityAlert.
Configura Fusion
Fusion è abilitato per impostazione predefinita in Microsoft Sentinel, come regola di analisi denominata Rilevamento avanzato degli attacchi a più fasi. È possibile visualizzare e modificare lo stato della regola, configurare i segnali di origine da includere nel modello fusion ML o escludere modelli di rilevamento specifici che potrebbero non essere applicabili all'ambiente dal rilevamento Fusion. Informazioni su come configurare la regola Fusion.
Nota
Microsoft Sentinel usa attualmente 30 giorni di dati storici per eseguire il training degli algoritmi di Machine Learning del motore Fusion. Questi dati vengono sempre crittografati usando le chiavi di Microsoft mentre passano attraverso la pipeline di Machine Learning. Tuttavia, i dati di training non vengono crittografati usando chiavi gestite dal cliente (CMK) se è stata abilitata la chiave gestita dal cliente nell'area di lavoro di Microsoft Sentinel. Per rifiutare esplicitamente Fusion, passare a Microsoft Sentinel>Configurazione>Analisi > Regole attive, fare clic con il pulsante destro del mouse sulla regola Rilevamento avanzato degli attacchi a più fasi e selezionare Disabilita.
Nelle aree di lavoro di Microsoft Sentinel di cui viene eseguito l'onboarding nella piattaforma operazioni di sicurezza unificata nel portale di Microsoft Defender, Fusion viene disabilitata, perché la relativa funzionalità viene sostituita dal motore di correlazione di Microsoft Defender XDR.
Fusion per le minacce emergenti
Importante
- Il rilevamento basato su Fusion per le minacce emergenti è attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Il volume degli eventi di sicurezza continua a crescere e l'ambito e la complessità degli attacchi aumentano sempre di più. È possibile definire gli scenari di attacco noti, ma come farlo per le minacce emergenti e sconosciute nell'ambiente in uso?
Il motore Fusion basato su ML di Microsoft Sentinel consente di trovare le minacce emergenti e sconosciute nell'ambiente applicando l’analisi estesa di ML e correlando un ambito più ampio di segnali anomali, mantenendo al tempo stesso basso le attività correlate agli avvisi.
Gli algoritmi di Machine Learning del motore Fusion imparano costantemente dagli attacchi esistenti e applicano l'analisi in base al modo in cui pensano gli analisti della sicurezza. Può quindi individuare minacce non rilevate in precedenza da milioni di comportamenti anomali in tutta la kill chain nell'ambiente, che consente di rimanere un passo avanti rispetto agli utenti malintenzionati.
Fusion per le minacce emergenti supporta la raccolta e l'analisi dei dati dalle origini seguenti:
- Rilevamenti anomalie predefiniti
- Avvisi dei prodotti Microsoft:
- Microsoft Entra ID
- Microsoft Defender for Cloud
- Microsoft Defender per IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender per identità
- Microsoft Defender per Office 365
- Avvisi dalle regole di analisi pianificata. Regole di Analisi devono contenere informazioni sulla kill chain (tattiche) e sul mapping di entità per poter essere usate da Fusion.
Non è necessario avere tutte le origini dati elencate in precedenza connesse per far funzionare Fusion per le minacce emergenti. Tuttavia, più origini dati sono state connesse, più ampia è la copertura e più minacce troverà Fusion.
Quando le correlazioni del motore Fusion generano il rilevamento di una minaccia emergente, viene generato un evento imprevisto con gravità elevata denominato “Possibili attività di attacco a più fasi rilevate da Fusion” nella tabella eventi imprevisti nell'area di lavoro di Microsoft Sentinel.
Fusion per ransomware
Il motore Fusion di Microsoft Sentinel genera un evento imprevisto quando rileva più avvisi di tipi diversi dalle origini dati seguenti e determina che possono essere correlati all'attività ransomware:
- Microsoft Defender per il cloud
- Microsoft Defender per endpoint
- Connettore Microsoft Defender per identità
- Microsoft Defender for Cloud Apps
- Regole di analisi pianificata di Microsoft Sentinel. Fusion considera solo le regole di analisi pianificata con informazioni sulle tattiche ed entità di cui è stato eseguito il mapping.
Tali eventi fusion sono denominati Più avvisi probabilmente correlati all'attività ransomware rilevatae vengono generati quando vengono rilevati avvisi pertinenti durante un intervallo di tempo specifico e sono associati alle fasi esecuzione ed evasione della difesa di un attacco.
Ad esempio, Microsoft Sentinel genererà un evento imprevisto per le possibili attività ransomware se gli avvisi seguenti vengono attivati nello stesso host entro un intervallo di tempo specifico:
| Avviso | Origine | Gravità |
|---|---|---|
| Eventi di errore e avviso di Windows | Regole di analisi pianificata di Microsoft Sentinel | informational |
| Ransomware 'GandCrab' è stato impedito | Microsoft Defender for Cloud | medium |
| Malware 'Emotet' rilevato | Microsoft Defender for Endpoint | informational |
| Backdoor 'Tofsee' rilevato | Microsoft Defender for Cloud | low |
| Malware 'Parite' rilevato | Microsoft Defender for Endpoint | informational |
Rilevamenti Fusion basati su scenari
La sezione seguente elenca i tipi di attacchi a più fasi basati su scenari, raggruppati per classificazione delle minacce, rilevati da Microsoft Sentinel usando il motore di correlazione Fusion.
Per abilitare questi scenari di rilevamento degli attacchi basati su Fusion, le origini dati associate devono essere inserite nell'area di lavoro Log Analytics. Selezionare i collegamenti nella tabella seguente per informazioni su ogni scenario e sulle origini dati associate.
Nota
Alcuni di questi scenari sono in ANTEPRIMA. Saranno così indicati.
Passaggi successivi
Ottenere altre informazioni sul rilevamento avanzato degli attacchi a più fasi Fusion:
- Altre informazioni sui Rilevamenti degli attacchi Fusion basati su scenari.
- Informazioni su come configurare le regole Fusion.
Dopo aver appreso di più sul rilevamento avanzato degli attacchi a più fasi, si potrebbe essere interessati all'argomento di avvio rapido seguente per informazioni su come ottenere visibilità sui dati e sulle potenziali minacce: Introduzione a Microsoft Sentinel.
Se si è pronti per esaminare gli incidenti creati automaticamente, vedere l'esercitazione seguente: Analizzare gli incidenti con Microsoft Sentinel.