Partilhar via

Configurar regras de deteção de ataques de vários estágios (Fusion) no Microsoft Sentinel

  • Artigo

Importante

A nova versão da regra de análise do Fusion está atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

O Microsoft Sentinel usa o Fusion, um mecanismo de correlação baseado em algoritmos escaláveis de aprendizado de máquina, para detetar automaticamente ataques de vários estágios, identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de morte. Com base nessas descobertas, o Microsoft Sentinel gera incidentes que, de outra forma, seriam difíceis de detetar. Estes incidentes compreendem dois ou mais alertas ou atividades. Por design, esses incidentes são de baixo volume, alta fidelidade e alta gravidade.

Personalizada para o seu ambiente, essa tecnologia de deteção não só reduz as taxas de falsos positivos , mas também pode detetar ataques com informações limitadas ou ausentes.

Configurar as regras de Fusão

Essa deteção é habilitada por padrão no Microsoft Sentinel. Para verificar ou alterar seu status, use as seguintes instruções:

  1. Entre no portal do Azure e digite Microsoft Sentinel.

  2. No menu de navegação do Microsoft Sentinel, selecione Analytics.

  3. Selecione a guia Regras ativas e localize Deteção avançada de ataque de vários estágios na coluna NOME , filtrando a lista para o tipo de regra do Fusion . Verifique a coluna STATUS para confirmar se essa deteção está habilitada ou desabilitada.

    Captura de tela da regra de análise do Fusion.

  4. Para alterar o estado, selecione esta entrada e, no painel de pré-visualização Deteção Avançada de Ataques Multifaseados, selecione Editar.

  5. Na guia Geral do assistente de regras do Google Analytics, anote o status (Ativado/Desativado) ou altere-o, se desejar.

    Se você alterou o status, mas não tem mais alterações a fazer, selecione a guia Revisar e atualizar e selecione Salvar.

    Para configurar ainda mais a regra de deteção do Fusion, selecione Avançar: Configurar o Fusion.

    Captura de ecrã da configuração da regra do Fusion.

  6. Configurar sinais de origem para deteção do Fusion: recomendamos que você inclua todos os sinais de origem listados, com todos os níveis de gravidade, para obter o melhor resultado. Por padrão, eles já estão todos incluídos, mas você tem a opção de fazer alterações das seguintes maneiras:

    Nota

    Se você excluir um sinal de origem específico ou um nível de gravidade de alerta, as deteções do Fusion que dependem de sinais dessa fonte ou de alertas correspondentes a esse nível de gravidade não serão acionadas.

    • Exclua sinais de deteções do Fusion, incluindo anomalias, alertas de vários provedores e logs brutos.

      Caso de uso: se você estiver testando uma fonte de sinal específica conhecida por produzir alertas barulhentos, poderá desativar temporariamente os sinais dessa fonte de sinal específica para deteções do Fusion.

    • Configure a severidade do alerta para cada provedor: por design, o modelo Fusion ML correlaciona sinais de baixa fidelidade em um único incidente de alta gravidade com base em sinais anômalos em toda a cadeia de morte de várias fontes de dados. Os alertas incluídos no Fusion são geralmente de menor gravidade (média, baixa, informativa), mas ocasionalmente alertas relevantes de alta gravidade são incluídos.

      Caso de uso: se você tiver um processo separado para triagem e investigação de alertas de alta gravidade e preferir não incluir esses alertas no Fusion, poderá configurar os sinais de origem para excluir alertas de alta gravidade das deteções do Fusion.

    • Exclua padrões de deteção específicos da deteção do Fusion. Certas deteções do Fusion podem não ser aplicáveis ao seu ambiente ou podem ser propensas a gerar falsos positivos. Se quiser excluir um padrão de deteção específico do Fusion, siga as instruções abaixo:

      1. Localize e abra um incidente do Fusion do tipo que você deseja excluir.

      2. Na seção Descrição, selecione Mostrar mais.

      3. Em Excluir este padrão de deteção específico, selecione o link de exclusão, que o redireciona para a guia Configurar o Fusion no assistente de regra de análise.

        Screenshot do incidente do Fusion. Selecione o link de exclusão.

      Na guia Configurar o Fusion, você verá que o padrão de deteção - uma combinação de alertas e anomalias em um incidente do Fusion - foi adicionado à lista de exclusão, juntamente com a hora em que o padrão de deteção foi adicionado.

      Você pode remover um padrão de deteção excluído a qualquer momento, selecionando o ícone da lixeira nesse padrão de deteção.

      Captura de tela da lista de padrões de deteção excluídos.

      Os incidentes que correspondem aos padrões de deteção excluídos ainda serão acionados, mas não aparecerão na fila de incidentes ativos. Eles serão preenchidos automaticamente com os seguintes valores:

      • Estado: "Fechado"

      • Classificação de encerramento: "Indeterminado"

      • Comentário: "Padrão de deteção Fusion fechado automaticamente, excluído"

      • Tag: "ExcludedFusionDetectionPattern" - você pode consultar essa tag para visualizar todos os incidentes correspondentes a esse padrão de deteção.

        Captura de tela do incidente Fusion fechado automaticamente, excluído.

Nota

Atualmente, o Microsoft Sentinel usa 30 dias de dados históricos para treinar os sistemas de aprendizado de máquina. Esses dados são sempre criptografados usando as chaves da Microsoft à medida que passam pelo pipeline de aprendizado de máquina. No entanto, os dados de treinamento não são criptografados usando chaves gerenciadas pelo cliente (CMK) se você habilitou a CMK no espaço de trabalho do Microsoft Sentinel. Para desativar o Fusion, navegue até Regras ativas do Microsoft Sentinel>Configuration>Analytics>, clique com o botão direito do mouse na regra Deteção Avançada de Ataques de Vários Estágios e selecione Desativar.

Configurar regras de análise agendadas para deteções do Fusion

Importante

  • A deteção baseada em fusão usando alertas de regra de análise está atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O Fusion pode detetar ataques de vários estágios baseados em cenários e ameaças emergentes usando alertas gerados por regras de análise agendadas. Recomendamos que você siga as etapas a seguir para configurar e habilitar essas regras, para que possa aproveitar ao máximo os recursos do Fusion do Microsoft Sentinel.

  1. O Fusion para ameaças emergentes pode usar alertas gerados por quaisquer regras de análise agendadas, tanto internas quanto aquelas criadas por seus analistas de segurança, que contêm informações de cadeia de morte (táticas) e mapeamento de entidade. Para garantir que a saída de uma regra de análise possa ser usada pelo Fusion para detetar ameaças emergentes:

    • Revise o mapeamento de entidades para essas regras agendadas. Use a seção de configuração de mapeamento de entidade para mapear parâmetros dos resultados da consulta para entidades reconhecidas pelo Microsoft Sentinel. Como o Fusion correlaciona alertas com base em entidades (como conta de usuário ou endereço IP), seus algoritmos de ML não podem executar a correspondência de alertas sem as informações da entidade.

    • Analise as táticas e técnicas nos detalhes da regra de análise. O algoritmo Fusion ML usa informações MITRE ATT&CK para detetar ataques em vários estágios, e as táticas e técnicas com as quais você rotula as regras de análise aparecerão nos incidentes resultantes. Os cálculos de fusão podem ser afetados se os alertas recebidos estiverem faltando informações táticas.

  2. O Fusion também pode detetar ameaças baseadas em cenários usando regras baseadas nos seguintes modelos de regras de análise agendada.

    Para habilitar as consultas disponíveis como modelos na folha Análise, vá para a guia Modelos de regra, selecione o nome da regra na galeria de modelos e clique em Criar regra no painel de detalhes.

    Para adicionar consultas que não estão atualmente disponíveis como um modelo de regra, consulte Criar uma regra de análise personalizada a partir do zero.

    Para obter mais informações, consulte Fusion Advanced Multistage Attack Detection Scenarios with Scheduled Analytics Rules.

    Nota

    Para o conjunto de regras de análise agendadas usadas pelo Fusion, o algoritmo de ML faz correspondência difusa para as consultas KQL fornecidas nos modelos. Renomear os modelos não afetará as deteções do Fusion.

Próximos passos

Saiba mais sobre as deteções do Fusion no Microsoft Sentinel.

Saiba mais sobre as muitas deteções do Fusion baseadas em cenários.

Agora que já aprendeu mais sobre a deteção avançada de ataques em várias fases, poderá estar interessado no seguinte guia de início rápido para saber como obter visibilidade dos seus dados e potenciais ameaças: Introdução ao Microsoft Sentinel.

Se você estiver pronto para investigar os incidentes criados para você, consulte o seguinte tutorial: Investigar incidentes com o Microsoft Sentinel.