重要事項
自訂偵測現在是跨 Microsoft Sentinel SIEM Microsoft Defender 全面偵測回應建立新規則的最佳方式。 透過自訂偵測,您可以降低擷取成本、取得無限制的即時偵測,並受益於與 Defender 全面偵測回應 資料、函式和補救動作的無縫整合,且具有自動實體對應。 如需詳細資訊,請參閱此部落格。
Microsoft Sentinel 使用融合,這是以可調整的機器學習演算法為基礎的相互關聯引擎,透過識別在狙殺鏈的各個階段觀察到的異常行為和可疑活動組合,自動偵測多階段攻擊 (也稱為進階持續性威脅或 APT)。 根據這些發現,Microsoft Sentinel 會產生難以攔截的事件。 這些事件包含兩個或多個警示或活動。 根據設計,這些事件是低數量、高精確度和高嚴重性。
針對您的環境自定義,此偵測技術不僅可降低 誤判 率,還可以偵測有限或遺漏信息的攻擊。
由於 Fusion 會關聯各種產品的多個訊號來偵測進階多階段攻擊,因此成功融合偵測會顯示為 [Microsoft Sentinel 事件] 頁面上的 Fusion 事件,而不是警示,並且會儲存在 Logs 中的 SecurityIncident 數據表中,而不是儲存在 SecurityAlert 數據表中。
設定融合
在 Microsoft Sentinel 中預設會啟用 Fusion,作為稱為進階多階段攻擊偵測的分析規則。 您可以檢視並變更規則的狀態、將來源訊號設定為包含在融合 ML 模型中,或將可能不適用於您環境的特定偵測模式從融合偵測中排除。 瞭解如何 設定 Fusion 規則。
附註
Microsoft Sentinel 目前使用 30 天的歷程記錄資料,來定型融合引擎的機器學習演算法。 一律會使用 Microsoft 的金鑰加密此資料,因為其會通過機器學習管線。 不過,若您在 Microsoft Sentinel 工作區中啟用了 CMK,則訓練資料不會使用 Customer-Managed 金鑰(CMK) 加密。 若要退出融合,請瀏覽至 [Microsoft Sentinel]> [設定]> [分析] > [作用中規則],以滑鼠右鍵按一下 [進階多階段攻擊偵測] 規則,然後選取 [停用]。
針對已上線至 Microsoft Defender 入口網站的 Microsoft Sentinel 工作區,會停用融合。 其功能會由 Microsoft Defender 全面偵測回應相互關聯引擎取代。
新興威脅的融合
重要事項
指出的融合偵測目前處於預覽狀態。 如需適用於 Beta、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款,請參閱 Microsoft 適用於 Azure 預覽版的補充使用規定。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新使用者也會從 Azure 入口網站自動 上線並重新導向至 Defender 入口網站。 如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
附註
如需美國政府雲端中功能可用性的相關信息,請參閱 美國政府客戶雲端功能可用性中的 Microsoft Sentinel 數據表。
設定融合
在 Microsoft Sentinel 中預設會啟用 Fusion,作為稱為進階多階段攻擊偵測的分析規則。 您可以檢視並變更規則的狀態、將來源訊號設定為包含在融合 ML 模型中,或將可能不適用於您環境的特定偵測模式從融合偵測中排除。 瞭解如何 設定 Fusion 規則。
如果您已在工作區中啟用 Customer-Managed 金鑰(CMK), 您可能希望退出 Fusion。 Microsoft Sentinel 目前使用 30 天的歷史資料來訓練融合引擎的機器學習演算法,一律會使用 Microsoft 的金鑰加密此資料,因為其會通過機器學習管線。 不過,訓練資料不會使用 CMK 加密。 若要退出 Fusion,請在 Microsoft Sentinel 中停用 進階多階段攻擊偵測 分析規則。 如需詳細資訊,請參閱 設定融合規則。
當 Microsoft Sentinel 被整合到 Defender 入口網站時,Fusion 會被停用。 相反地,在 Defender 入口網站中工作時,融合所提供的功能會由 Microsoft Defender 全面偵測回應相互關聯引擎取代。
新興威脅的融合 (預覽)
安全性事件的數量會持續成長,而且攻擊的範圍和複雜度不斷增加。 我們可以定義已知的攻擊情節,但您環境中的新興和未知威脅又是如何?
Microsoft Sentinel 的 ML 動力融合引擎可藉由套用延伸 ML 分析,以及將更廣泛的異常訊號範圍相互關聯,同時讓警示疲勞保持低,協助您找出環境中的新興和未知威脅。
融合引擎的 ML 演算法會持續從現有的攻擊中學習,並根據安全性分析師的想法來套用分析。 因此,其可探索到先前未從整個環境狙殺鏈的數百萬個異常行為中偵測到的威脅,而協助您提早防範攻擊者的攻擊。
應對新興威脅的整合 支援下列來源的數據收集與分析:
來自 Microsoft 服務的警示:
- 微軟 Entra 身分識別保護
- 適用於雲端的 Microsoft Defender
- 適用於 IoT 的 Microsoft Defender
- Microsoft Defender 全面偵測回應
- Microsoft Defender for Cloud Apps (Microsoft 雲端應用程式防護)
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
來自排程分析規則的警示。 分析規則 必須包含攻擊鏈(策略)和實體對應資訊,才能由 Fusion 使用。
您不需要連接上面所列所有資料來源,就能讓新興威脅的融合運作。 不過,您連線的資料來源越多、涵蓋範圍愈廣,而且會發現更多威脅融合。
當 Fusion 引擎的相互關聯導致偵測到新興威脅時,Microsoft Sentinel 會產生高嚴重性事件,標題為 Fusion 偵測到的可能多階段攻擊活動。
勒索軟體的融合
當 Microsoft Sentinel 的融合引擎偵測到來自下列資料來源的多個不同類型的警示時,會產生事件,並判斷其是否可能與勒索軟體活動相關:
- 適用於雲端的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender 連接器
- 適用於雲端應用程式的 Microsoft Defender
- Microsoft Sentinel 排程分析規則。 融合只會考慮具有策略資訊和對應實體的排程分析規則。
這類融合事件會命名為多個可能與偵測到勒索軟體活動相關的警示,並在特定時間範圍內偵測到相關警示時產生,並與攻擊的執行和防禦逃避階段相關聯。
例如,如果在特定時間範圍內在相同主機上觸發下列警示,Microsoft Sentinel 就會針對可能的勒索軟體活動產生事件:
| 警報 | 來源 | Severity |
|---|---|---|
| Windows 錯誤和警告事件 | Microsoft Sentinel 已排程的分析規則 | 資訊 |
| “GandCrab” 勒索軟體被防止 | 適用於雲端的 Microsoft Defender | 適中 |
| 偵測到 『Emotet』 惡意代碼 | 適用於端點的 Microsoft Defender | 資訊 |
| 偵測到「Tofsee」後門程式 | 適用於雲端的 Microsoft Defender | low |
| 偵測到 『Parite』 惡意代碼 | 適用於端點的 Microsoft Defender | 資訊 |
情節型融合偵測
下一節列出以威脅分類分組的 案例型多階段攻擊類型,Microsoft Sentinel 使用 Fusion 相互關聯引擎偵測到。
若要啟用這些融合式攻擊偵測情節,必須將相關聯的資料來源內嵌到 Log Analytics 工作區。 選取下表中的連結,以瞭解每個情節及其相關聯的資料來源。
| 威脅分類 | 案例 |
|---|---|
| 計算資源濫用 | |
| 認證存取 | |
| 憑證竊取 | |
| 密碼採礦 | |
| 數據解構 | |
| 數據外流 |
|
| 拒絕服務 | |
| 橫向移動 | |
| 惡意管理活動 | |
|
惡意執行 具有合法程序 |
|
| 惡意程式碼 C2 或下載 |
|
| 堅持 |
|
| 勒索軟體 | |
| 遠端利用 | |
| 資源劫持 |
相關內容
如需詳細資訊,請參閱: