Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılama
Önemli
Bazı Fusion algılamaları (aşağıda belirtilenlere bakın) şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Not
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Microsoft Sentinel, çok aşamalı saldırıları (gelişmiş kalıcı tehditler veya APT olarak da bilinir) sonlandırma zincirinin çeşitli aşamalarında gözlemlenen anormal davranışların ve şüpheli etkinliklerin bileşimlerini belirleyerek otomatik olarak algılamak için ölçeklenebilir makine öğrenmesi algoritmalarını temel alan bir bağıntı altyapısı olan Fusion'ı kullanır. Bu keşiflere dayanarak, Microsoft Sentinel aksi takdirde yakalanması zor olabilecek olaylar oluşturur. Bu olaylar iki veya daha fazla uyarı veya etkinlik içerir. Tasarım gereği, bu olaylar düşük hacimli, yüksek aslına uygun ve yüksek önem derecesindedir.
Ortamınız için özelleştirilmiş olan bu algılama teknolojisi yalnızca hatalı pozitif oranları azaltmakla kalmaz, aynı zamanda sınırlı veya eksik bilgiler içeren saldırıları da algılayabilir.
Fusion, gelişmiş çoklu sahne saldırılarını algılamak için çeşitli ürünlerden gelen birden çok sinyali ilişkilendirdiğinden, başarılı Fusion algılamaları uyarı olarak değil Microsoft Sentinel Olayları sayfasında Fusion olayları olarak sunulur ve SecurityAlert tablosunda değil Günlükler'deki SecurityIncident tablosunda depolanır.
Fusion'ı yapılandırma
Fusion, Gelişmiş çok aşamalı saldırı algılama adlı bir analiz kuralı olarak Microsoft Sentinel'de varsayılan olarak etkinleştirilir. Kuralın durumunu görüntüleyebilir ve değiştirebilir, kaynak sinyallerini Fusion ML modeline dahil edilecek şekilde yapılandırabilir veya ortamınız için geçerli olmayan belirli algılama desenlerini Fusion algılamasından hariç tutabilirsiniz. Fusion kuralını yapılandırmayı öğrenin.
Not
Microsoft Sentinel şu anda Fusion altyapısının makine öğrenmesi algoritmalarını eğitmek için 30 günlük geçmiş verileri kullanmaktadır. Bu veriler, makine öğrenmesi işlem hattından geçerken Microsoft'un anahtarları kullanılarak her zaman şifrelenir. Ancak, Microsoft Sentinel çalışma alanınızda CMK'yi etkinleştirdiyseniz eğitim verileri Müşteri Tarafından Yönetilen Anahtarlar (CMK) kullanılarak şifrelenmez. Fusion'ı geri çevirmek için Microsoft Sentinel>Yapılandırma>Analizi > Etkin kuralları'na gidin, Gelişmiş Çok Aşamalı Saldırı Algılama kuralına sağ tıklayın ve Devre dışı bırak'ı seçin.
Microsoft Defender portalında birleşik güvenlik işlemleri platformuna eklenen Microsoft Sentinel çalışma alanlarında Fusion devre dışıdır, işlevselliği Microsoft Defender XDR bağıntı altyapısı tarafından değiştirildiğinden fusion devre dışı bırakılır.
Yeni ortaya çıkan tehditler için fusion
Önemli
- Yeni ortaya çıkan tehditler için füzyon tabanlı algılama şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Güvenlik olaylarının hacmi artmaya devam ediyor ve saldırıların kapsamı ve karmaşıklık düzeyi giderek artıyor. Bilinen saldırı senaryolarını tanımlayabiliriz, ancak ortamınızda ortaya çıkan ve bilinmeyen tehditlere ne dersin?
Microsoft Sentinel'in ML destekli Fusion altyapısı, genişletilmiş ML analizi uygulayarak ve daha geniş bir anormal sinyal kapsamını ilişkilendirerek ve uyarı yorgunluğunu düşük tutarak ortamınızda ortaya çıkan ve bilinmeyen tehditleri bulmanıza yardımcı olabilir.
Fusion altyapısının ML algoritmaları sürekli olarak mevcut saldırılardan ders alır ve güvenlik analistlerinin düşüncelerine göre analiz uygular. Bu nedenle, ortamınız genelindeki sonlandırma zincirindeki milyonlarca anormal davranıştan daha önce algılanmayan tehditleri keşfedebilir ve bu da saldırganlardan bir adım önde olmanıza yardımcı olur.
Yeni ortaya çıkan tehditler için Fusion, aşağıdaki kaynaklardan veri toplamayı ve analizi destekler:
- Kullanıma açık anomali algılamaları
- Microsoft ürünlerinden gelen uyarılar:
- Microsoft Entra Kimlik Koruması
- Bulut için Microsoft Defender
- IoT için Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Uç nokta için Microsoft Defender
- Kimlik için Microsoft Defender
- Office 365 için Microsoft Defender
- Zamanlanmış analiz kurallarından gelen uyarılar. Analiz kurallarının Fusion tarafından kullanılabilmesi için sonlandırma zinciri (taktikler) ve varlık eşleme bilgileri içermesi gerekir.
Fusion'ın yeni ortaya çıkan tehditler için çalışmasını sağlamak için yukarıda listelenen tüm veri kaynaklarını bağlamanız gerekmez. Ancak, ne kadar çok veri kaynağı bağladıysanız, kapsamı o kadar geniştir ve Fusion o kadar fazla tehdit bulur.
Fusion altyapısının bağıntıları yeni ortaya çıkan bir tehdidin algılanmasıyla sonuçlandığında, Microsoft Sentinel çalışma alanınızdaki olaylar tablosunda "Fusion tarafından algılanan olası çok aşamalı saldırı etkinlikleri" başlıklı yüksek önem dereceli bir olay oluşturulur.
Fidye yazılımı için Fusion
Microsoft Sentinel'in Fusion altyapısı, aşağıdaki veri kaynaklarından farklı türlerde birden çok uyarı algıladığında bir olay oluşturur ve bunların fidye yazılımı etkinliğiyle ilgili olabileceğini belirler:
- Bulut için Microsoft Defender
- Uç Nokta için Microsoft Defender
- Kimlik için Microsoft Defender bağlayıcısı
- Bulut için Microsoft Defender Uygulamaları
- Microsoft Sentinel zamanlanmış analiz kuralları. Fusion yalnızca taktik bilgileri ve eşlenmiş varlıklarla zamanlanmış analiz kurallarını dikkate alır.
Bu tür Fusion olayları, muhtemelen Algılanan Fidye Yazılımı etkinliğiyle ilgili birden çok uyarı olarak adlandırılır ve belirli bir zaman diliminde ilgili uyarılar algılandığında oluşturulur ve bir saldırının Yürütme ve SavunmaDan Kaçınma aşamalarıyla ilişkilendirilir.
Örneğin, belirli bir zaman çerçevesi içinde aynı konakta aşağıdaki uyarılar tetiklenirse Microsoft Sentinel olası fidye yazılımı etkinlikleri için bir olay oluşturur:
| Uyarı | Kaynak | Önem |
|---|---|---|
| Windows Hata ve Uyarı Olayları | Microsoft Sentinel zamanlanmış analiz kuralları | Bilgi |
| 'GandCrab' fidye yazılımı engellendi | Bulut için Microsoft Defender | orta |
| 'Emotet' kötü amaçlı yazılımı algılandı | Uç nokta için Microsoft Defender | Bilgi |
| 'Tofsee' arka kapı algılandı | Bulut için Microsoft Defender | Iowa |
| 'Parite' kötü amaçlı yazılımı algılandı | Uç nokta için Microsoft Defender | Bilgi |
Senaryo tabanlı Fusion algılamaları
Aşağıdaki bölümde, Microsoft Sentinel'in Fusion bağıntı altyapısını kullanarak algıladığı tehdit sınıflandırmasına göre gruplandırılmış senaryo tabanlı çok aşamalı saldırı türleri listelenmiştir.
Bu Fusion destekli saldırı algılama senaryolarını etkinleştirmek için ilişkili veri kaynaklarının Log Analytics çalışma alanınıza alınması gerekir. Her senaryo ve ilişkili veri kaynakları hakkında bilgi edinmek için aşağıdaki tabloda yer alan bağlantıları seçin.
Not
Bu senaryolardan bazıları ÖNİzLEME aşamasındadır. Bunlar çok belirtilir.
Sonraki adımlar
Fusion gelişmiş çok aşamalı saldırı algılama hakkında daha fazla bilgi edinin:
- Fusion senaryo tabanlı saldırı algılamaları hakkında daha fazla bilgi edinin.
- Fusion kurallarını yapılandırmayı öğrenin.
Gelişmiş çok aşamalı saldırı algılama hakkında daha fazla bilgi edindiniz. Verilerinize ve olası tehditlere nasıl görünürlük elde edebileceğinizi öğrenmek için aşağıdaki hızlı başlangıçla ilgilenebilirsiniz: Microsoft Sentinel'i kullanmaya başlayın.
Sizin için oluşturulan olayları araştırmaya hazırsanız şu öğreticiye bakın: Microsoft Sentinel ile olayları araştırma.