Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Пользовательское обнаружение теперь является лучшим способом создания новых правил в Microsoft Sentinel SIEM Microsoft Defender XDR. Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружения в режиме реального времени и воспользоваться преимуществами простой интеграции с Defender XDR данными, функциями и действиями по исправлению с помощью автоматического сопоставления сущностей. Дополнительные сведения см. в этом блоге.
Microsoft Sentinel использует fusion, подсистему корреляции, основанную на масштабируемых алгоритмах машинного обучения, для автоматического обнаружения многоэтапных атак (также известных как сложные постоянные угрозы или APT) путем выявления сочетаний аномального поведения и подозрительных действий, наблюдаемых на различных этапах цепочки уничтожения. На основе этих открытий Microsoft Sentinel создает инциденты, которые в противном случае было бы трудно поймать. Эти инциденты включают в себя два или более оповещений или действий. По умолчанию эти инциденты отличаются небольшим объемом, высокой точностью и высокой степенью серьезности.
Эта технология обнаружения, настроенная для вашей среды, не только снижает частоту ложноположительных срабатываний , но и может обнаруживать атаки с ограниченными или отсутствующими сведениями.
Так как Fusion сопоставляет несколько сигналов от различных продуктов для обнаружения расширенных многоэтапных атак, успешные обнаружения Fusion отображаются как инциденты Fusion на странице инцидентов Microsoft Sentinel, а не в виде оповещений, и хранятся в таблице SecurityIncident в журналах, а не в таблице SecurityAlert.
Настройка Fusion
Fusion включен по умолчанию в Microsoft Sentinel как правило аналитики, называемое Расширенным многоэтапным обнаружением атак. Вы можете просмотреть и изменить состояние правила, настроить исходные сигналы для включения в модель Fusion ML или исключить определенные шаблоны обнаружения, которые могут не применяться к вашей среде из fusion detection. Узнайте, как настроить правило Fusion.
Примечание.
Microsoft Sentinel в настоящее время использует исторические данные за 30 дней для обучения алгоритмов машинного обучения модуля Fusion. Эти данные всегда шифруются с помощью ключей Майкрософт при их прохождении через конвейер машинного обучения. Однако обучающие данные не шифруются с помощью ключей, управляемых клиентом (CMK), если вы включили CMK в рабочей области Microsoft Sentinel. Чтобы отказаться от Fusion, перейдите к Microsoft Sentinel>Активные правила Аналитики конфигурации>>, щелкните правой кнопкой мыши расширенное правило обнаружения многоэтапных атак и выберите Отключить.
Для Microsoft Sentinel рабочих областей, подключенных к порталу Microsoft Defender, Fusion отключен. Его функции заменяются подсистемой корреляции Microsoft Defender XDR.
Fusion для новых угроз
Важно!
Указанные обнаружения Fusion в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступной версии, см. в дополнительных условиях использования для microsoft Azure preview.
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Время перемещения: портал Azure списания Microsoft Sentinel для повышения безопасности.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.
Настройка Fusion
Fusion включен по умолчанию в Microsoft Sentinel как правило аналитики, называемое Расширенным многоэтапным обнаружением атак. Вы можете просматривать и изменять состояние правила, настраивать исходные сигналы для включения в модель Fusion ML или исключать определенные шаблоны обнаружения, которые могут быть неприменимы к вашей среде из fusion detection. Узнайте, как настроить правило Fusion.
Вы можете отказаться от Fusion, если вы включили управляемые клиентом ключи (CMK) в рабочей области. Microsoft Sentinel в настоящее время использует исторические данные за 30 дней для обучения алгоритмов машинного обучения подсистемы Fusion, и эти данные всегда шифруются с помощью ключей Майкрософт при прохождении через конвейер машинного обучения. Однако обучающие данные не шифруются с помощью CMK. Чтобы отказаться от Fusion, отключите правило расширенной аналитики обнаружения многоэтапных атак в Microsoft Sentinel. Дополнительные сведения см. в разделе Настройка правил Fusion.
Fusion отключается при подключении Microsoft Sentinel к порталу Defender. Вместо этого при работе на портале Defender функции, предоставляемые Fusion, заменяются подсистемой корреляции Microsoft Defender XDR.
Fusion для новых угроз (предварительная версия)
Объем событий безопасности продолжает расти, а область и сложность атак постоянно возрастают. Мы можем определить известные сценарии атак, но как насчет новых и неизвестных угроз в вашей среде?
Microsoft Sentinel подсистема Fusion на основе машинного обучения помогает находить новые и неизвестные угрозы в вашей среде, применяя расширенный анализ машинного обучения и сопоставляя более широкие область аномальных сигналов, сохраняя при этом низкий уровень усталости оповещений.
Алгоритмы машинного обучения подсистемы Fusion постоянно учатся на основе существующих атак и применяют анализ на основе того, как аналитики безопасности думают. Таким образом, он может обнаруживать ранее незамеченные угрозы из миллионов аномальных поведений в цепочке убийств в вашей среде, что помогает вам оставаться на шаг впереди злоумышленников.
Fusion для новых угроз поддерживает сбор и анализ данных из следующих источников:
Оповещения от служб Майкрософт:
- Защита Microsoft Entra ID
- Microsoft Defender для облака
- Microsoft Defender для Интернета вещей
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365
Оповещения из правил аналитики по расписанию. Правила аналитики должны содержать сведения о цепочке завершения (тактике) и сопоставлении сущностей, чтобы их использовал Fusion.
Вам не нужно подключать все перечисленные выше источники данных, чтобы обеспечить работу Fusion для новых угроз. Однако чем больше источников данных подключено, тем шире охват и тем больше угроз будет обнаруживатся Fusion.
Когда корреляции подсистемы Fusion приводят к обнаружению новой угрозы, Microsoft Sentinel создает инцидент с высоким уровнем серьезности под названием Возможные многоэтапные атаки, обнаруженные Fusion.
Fusion для программ-шантажистов
Подсистема Fusion Microsoft Sentinel создает инцидент, когда обнаруживает несколько оповещений разных типов из следующих источников данных и определяет, что они могут быть связаны с действиями программ-шантажистов:
- Microsoft Defender для облака
- Microsoft Defender для конечной точки
- соединитель Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel правила запланированной аналитики. Fusion учитывает только запланированные правила аналитики с информацией о тактике и сопоставленными сущностями.
Такие инциденты Fusion называются Несколько оповещений, возможно связанных с обнаруженной активностью программы-шантажиста, и создаются при обнаружении соответствующих оповещений в течение определенного периода времени и связаны с этапами выполнения и обхода защиты атаки.
Например, Microsoft Sentinel создаст инцидент для возможных действий программ-шантажистов, если в течение определенного периода времени на одном узле активируются следующие оповещения:
| Оповещение | Source | Severity |
|---|---|---|
| События ошибок и предупреждений Windows | Microsoft Sentinel правила запланированной аналитики | Информационных |
| Программа-шантажист "GandCrab" была запрещена | Microsoft Defender для облака | medium |
| Обнаружена вредоносная программа Emotet | Microsoft Defender для конечной точки | Информационных |
| Обнаружен backdoor Tofsee | Microsoft Defender для облака | Низкой |
| Обнаружена вредоносная программа Parite | Microsoft Defender для конечной точки | Информационных |
Обнаружение Fusion на основе сценариев
В следующем разделе перечислены типы многоэтапных атак на основе сценариев, сгруппированных по классификации угроз, которые Microsoft Sentinel обнаруживать с помощью подсистемы корреляции Fusion.
Чтобы включить эти сценарии обнаружения атак на основе Fusion, связанные с ними источники данных должны приниматься в рабочую область Log Analytics. Щелкните ссылки в таблице ниже, чтобы узнать о каждом сценарии и связанных с ним источниках данных.
Связанные материалы
Дополнительные сведения см. в разделе: