learn.microsoft.com Open in urlscan Pro
2a02:26f0:6c00:1b4::3544  Public Scan

Form analysis
0 forms found in the DOM

Text Content

Weiter zum Hauptinhalt


Dieser Browser wird nicht mehr unterstützt.

Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features,
Sicherheitsupdates und den technischen Support zu nutzen.

Microsoft Edge herunterladen Weitere Informationen zu Internet Explorer und
Microsoft Edge

Inhaltsverzeichnis Fokusmodus beenden

Auf Englisch lesen Speichern
Inhaltsverzeichnis Auf Englisch lesen Speichern Drucken

Twitter LinkedIn Facebook E-Mail
Inhaltsverzeichnis


ERWEITERTE ERKENNUNG VON MEHRSTUFIGEN ANGRIFFEN IN MICROSOFT SENTINEL

 * Artikel
 * 11/09/2021
 * 6 Mitwirkende

Feedback



IN DIESEM ARTIKEL

Wichtig

Einige Fusion-Erkennungen (weiter unten aufgeführt) befinden sich derzeit in der
VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen
enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die
sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur
allgemeinen Verfügbarkeit freigegeben sind.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds
finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit
für US-Regierungskunden.

Microsoft Sentinel verwendet Fusion, ein Korrelations-Modul, das auf
skalierbaren Algorithmen von Maschinellem Lernen basiert, um mehrstufige
Angriffe (auch als erweiterte persistente Bedrohungen oder APT bezeichnet)
automatisch zu erkennen, indem Kombinationen aus anomalem Verhalten und
verdächtigen Aktivitäten identifiziert werden, die in verschiedenen Phasen der
Kette auftreten können. Auf der Grundlage dieser Entdeckungen generiert
Microsoft Sentinel Incidents, die auf andere Weise nur schwer abgefangen werden
können. Diese Incidents umfassen mindestens zwei Warnungen oder Aktivitäten.
Standardmäßig weisen diese Incidents ein geringes Volumen, eine hohe Qualität
und einen hohen Schweregrad auf.

Diese Erkennungstechnologie ist für Ihre Umgebung angepasst und bewirkt nicht
nur eine Reduzierung der False Positive-Rate, sondern kann Angriffe auch mit
eingeschränkten oder fehlenden Informationen erkennen.

Da Fusion mehrere Signale von verschiedenen Produkten korreliert, um erweiterte
mehrstufige Angriffe zu erkennen, werden erfolgreiche Erkennungen von Fusion als
Fusion-Vorfälle auf der Seite Microsoft Sentinel Vorfälle und nicht als
Warnungen angezeigt und in der Tabelle SecurityIncident in Protokollen und nicht
in der Tabelle Sicherheitswarnungen gespeichert.


KONFIGURIEREN VON FUSION

Fusion ist standardmäßig in Microsoft Sentinel als Analyseregel namens
Erweiterte mehrstufige Angriffserkennung aktiviert. Sie können den Status des
Filters anzeigen und ändern, Quellsignale so konfigurieren, dass sie in das
Fusion ML-Modell aufgenommen werden, oder bestimmte Erkennungsmuster von der
Erkennung durch Fusion ausschließen, die möglicherweise nicht auf Ihre Umgebung
anwendbar sind. Erfahren Sie hier, wie Sie den Fusion-Filter konfigurieren.

Hinweis

Microsoft Sentinel verwendet derzeit Verlaufsdaten von 30 Tagen, um die
Algorithmen für das Maschinelle Lernen des Fusion Moduls zu trainieren. Diese
Daten werden immer mit den Schlüsseln von Microsoft verschlüsselt, wenn sie die
Pipeline für maschinelles Lernen durchlaufen. Die Trainingsdaten werden jedoch
nicht mit vom Kunden verwalteten Schlüsseln (Customer Managed Keys, CMK)
verschlüsselt, wenn Sie CMK in Ihrem Microsoft Sentinel-Arbeitsbereich aktiviert
haben. Um Fusion zu deaktivieren, navigieren Sie zu Microsoft
Sentinel>Konfiguration>Analytics > Aktive Regeln, klicken Sie mit der rechten
Maustaste auf die Regel Erweiterte mehrstufige Angriffserkennung (Advanced
Multistage Attack Detection), und wählen Sie Deaktivieren aus.


FUSION FÜR NEUE BEDROHUNGEN

Wichtig

 * Die fusionsbasierte Erkennung für neue Bedrohungen befindet sich derzeit in
   der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft
   Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für
   Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden
   bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Die Menge der Sicherheitsereignisse wächst weiter, und der Umfang und die
Raffinesse von Angriffen nehmen ständig zu. Zwar können wir die bekannten
Angriffsszenarien definieren, doch wie sieht es eigentlich mit den neuen und
noch unbekannten Bedrohungen in Ihrer Umgebung aus?

Das von ML unterstützte Microsoft Sentinel Fusion Modul hilft Ihnen, die neuen
und unbekannten Bedrohungen in Ihrer Umgebung zu finden, indem sie eine
erweiterte ML-Analyse anwenden und einen größeren Bereich anomaler Signale
korrelieren und gleichzeitig die Warnungsmüdigkeit gering halten.

Die ML-Algorithmen des Fusion Moduls lernen ständig aus erfolgten Angriffen und
wenden Analysen basierend auf der Meinung von Sicherheitsanalysten an. Es kann
daher zuvor unerkannte Bedrohungen von Millionen anomaler Verhaltensweisen in
der gesamten Kette in Ihrer Umgebung erkennen, wodurch Sie den Angreifern einen
Schritt voraus sein können.

Fusion für neue Bedrohungen unterstützt die Datensammlung und -analyse aus den
folgenden Quellen:

 * Standardmäßige Erkennung von Anomalien
 * Warnungen von Microsoft-Produkten:
   * Azure Active Directory Identity Protection
   * Microsoft Defender für Cloud
   * Microsoft Defender für IoT
   * Microsoft 365 Defender
   * Microsoft Defender für Cloud-Apps
   * Microsoft Defender für den Endpunkt
   * Microsoft Defender for Identity
   * Microsoft Defender für Office 365
 * Warnungen aus Filtern für geplanteAnalysen, und zwar sowohl integrierte als
   auch von Ihren Sicherheitsanalysten erstellte. Analysefilter müssen
   Informationen über die Angriffskette (Taktiken) und die Zuordnung der Einheit
   enthalten, um von Fusion verwendet werden zu können.

Sie müssen nicht unbedingt alle oben aufgeführten Datenquellen verbunden haben,
damit Fusion für neue Bedrohungen funktioniert. Doch desto mehr Datenquellen Sie
verknüpft haben, je umfassender ist die Abdeckung, und desto mehr Bedrohungen
wird Fusion entdecken.

Wenn die Korrelationen des Fusion Moduls zur Erkennung einer neuen Bedrohung
führen, wird in der Tabelle Vorfälle in Ihrem Microsoft Sentinel-Arbeitsbereich
ein Vorfall mit hohem Schweregrad mit dem Titel "Potentielle mehrstufige
Angriffsaktivitäten von Fusion erkannt" generiert.


FUSION FÜR RANSOMWARE

Das Microsoft Sentinel Fusion Modul von Azure generiert einen Vorfall, wenn
mehrere Warnungen verschiedener Typen aus den folgenden Datenquellen erkannt
werden, und entscheidet, dass sie mit Ransomware-Aktivitäten in Zusammenhang
stehen könnten:

 * Microsoft Defender für Cloud
 * Microsoft Defender für den Endpunkt
 * Microsoft Defender for Identity-Connector
 * Microsoft Defender für Cloud-Apps
 * Microsoft Sentinel-Regeln für geplante Analysen Fusion berücksichtigt nur
   Filter für geplante Analysen mit Taktikinformationen und zugeordneten
   Einheiten.

Solche Fusion-Incidents heißen Mehrere Warnungen, die sich möglicherweise auf
erkannte Ransomware-Aktivität beziehen, und werden generiert, wenn relevante
Warnungen in einem bestimmten Zeitrahmen erkannt werden und mit den Phasen
Ausführung und Umgehen von Verteidigungsmaßnahmen eines Angriffs verknüpft sind.

Beispielsweise generiert Microsoft Sentinel einen Incident für mögliche
Ransomware-Aktivitäten, wenn die folgenden Warnungen in einem bestimmten
Zeitrahmen auf demselben Host ausgelöst werden:

Warnung `Source` Schweregrad Windows Fehler- und Warnereignisse Microsoft
Sentinel-Regeln für geplante Analysen Information Ransomware ‘GandCrab‘ wurde
verhindert Microsoft Defender für Cloud mittel ‘Emotet‘-Schadsoftware wurde
erkannt Microsoft Defender für den Endpunkt Information ‘Tofsee‘ hinten erkannt
Microsoft Defender für Cloud niedrig ‘Parite‘-Schadsoftware wurde erkannt
Microsoft Defender für den Endpunkt Information


SZENARIOBASIERTE ERKENNUNGEN DURCH FUSION

Im folgenden Abschnitt werden die Arten von szenariobasierten mehrstufigen
Angriffen nach Bedrohungsklassifizierung aufgelistet, die Microsoft Sentinel mit
dem Fusion-Korrelations-Filter erkennt.

Um diese Fusion-gestützten Angriffserkennungsszenarien zu ermöglichen, müssen
die zugehörigen Datenquellen in Ihrem Log Analytics-Arbeitsbereich erfasst sein.
Wählen Sie die Links in der folgenden Tabelle aus, um mehr über die einzelnen
Szenarien und die zugehörigen Datenquellen zu erfahren.

Hinweis

Einige dieser Szenarios befinden sich in der VORSCHAU. Diese sind entsprechend
gekennzeichnet.

Bedrohungsklassifizierung Szenarien Missbrauch von Computeressourcen
 * (VORSCHAU) Mehrere VM-Erstellungsaktivitäten nach verdächtiger Azure Active
   Directory Anmeldung

Zugriff auf Anmeldeinformationen
 * (VORSCHAU) Zurücksetzen mehrerer Kennwörter durch den Benutzernach
   verdächtiger Anmeldung
 * (VORSCHAU) Verdächtige Anmeldung mit erfolgreicher Anmeldung bei Palo Alto
   VPN
   über IP-Adresse mit mehreren fehlgeschlagenen Azure AD-Anmeldungen

Abgreifen von Anmeldeinformation
 * Ausführung des Tools zum Diebstahl schädlicher Anmeldeinformationen nach
   verdächtiger Anmeldung
 * Verdacht auf Diebstahl von Anmeldeinformationen nach verdächtiger Anmeldung

Crypto-mining
 * Crypto-Mining-Aktivität nach verdächtiger Anmeldung

Datenvernichtung
 * Massenlöschung von Dateiennachverdächtiger Azure AD Anmeldung
 * (VORSCHAU) Massenlöschung von Dateien nach erfolgreicher Azure AD-Anmeldung
   über eine von der Cisco Firewall-Appliance blockierten IP-Adresse
 * (VORSCHAU) Massenlöschung von Dateien nach erfolgreicher Anmeldung Palo Alto
   VPN
   über IP-Adresse mit mehreren fehlgeschlagenen Azure AD-Anmeldungen
 * (VORSCHAU) Verdächtige E-Mail-Löschaktivität nach verdächtiger Azure AD
   Anmeldung

Daten-Exfiltration
 * (VORSCHAU) E-Mail-Weiterleitungsaktivitäten nach neuer
   Administratorkontoaktivität, die zuletzt nicht angezeigt wurde
 * Massendownload von Dateien nach verdächtige Azure AD Anmeldung
 * (VORSCHAU) Massendownlaod von Dateien nach erfolgreicher Azure AD-Anmeldung
   über eine von der Cisco Firewall-Appliance blockierten IP-Adresse
 * (VORSCHAU) Massendownload von Dateienmit SharePoint Dateivorgang von zuvor
   nicht verwendeter IP-Adresse
 * Massenfreigabe von Dateien nach verdächtiger Azure AD Anmeldung
 * (VORSCHAU) Mehrere Aktivitäten zur Freigabe von Power BI-Berichten nach
   verdächtiger Azure AD Anmeldung
 * Office 365 Postfach Exfiltration nach einer verdächtigen Azure AD Anmeldung
 * (VORSCHAU) SharePoint Dateivorgang von einer zuvor nicht erkannten
   IP-Adressenach der Erkennung von Schadsoftware
 * (VORSCHAU) Festlegung verdächtiger Regeln zur Posteingangsänderung nach einer
   verdächtigen Azure AD Anmeldung
 * (VORSCHAU) Verdächtige Freigabe von Power BI-Berichten nach einer
   verdächtigen Azure AD Anmeldung

Denial of Service
 * (VORSCHAU) Mehrere Aktivitäten zur Löschung von VMs nach einer verdächtigen
   Azure AD Anmeldung

Seitwärtsbewegung
 * Office 365 Identitätswechsel nach verdächtiger Azure AD Anmeldung
 * (VORSCHAU) Festlegung verdächtiger Regeln zur Posteingangsänderung nach einer
   verdächtigen Azure AD Anmeldung

Böswillige administrative Aktivität
 * (VORSCHAU) Verdächtige Cloud-App-Administratoraktivität nach verdächtiger
   Azure AD Anmeldung
 * (VORSCHAU) E-Mail-Weiterleitungsaktivitäten nach neuer
   Administratorkontoaktivität, die zuletzt nicht angezeigt wurde

Böswillige Ausführung
mit legitimem Prozess
 * (VORSCHAU) PowerShell hat eine verdächtige Netzwerkverbindung hergestellt,
   gefolgt von
   anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr
 * (VORSCHAU) Verdächtige WMI-Remoteausführung, gefolgt von
   anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr
 * Verdächtige PowerShell-Befehlszeile nach verdächtiger Anmeldung

Malware C2 oder Download
 * (VORSCHAU) Von Fortinet erkanntes Beaconmuster nach mehreren fehlgeschlagenen
   Benutzeranmeldungen bei einem Dienst
 * (VORSCHAU) Von Fortinet erkanntes Beaconmuster nach verdächtiger Azure AD
   Anmeldung
 * (VORSCHAU) Netzwerkanforderung an den TOR-Anonymisierungsdienst gefolgt von
   anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr
 * (VORSCHAU) Ausgehende Verbindung mit IP mit einem Verlauf nicht autorisierter
   Zugriffsversuche, gefolgt von
   anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr

Persistenz
 * (VORSCHAU) Seltene Anwendungseinwilligung nach verdächtiger Anmeldung

Ransomware
 * Ransomware-Ausführung nach verdächtiger Azure AD Anmeldung

Remoteausnutzung
 * (VORSCHAU) Verdacht der Nutzung eines Angriffsframeworks, gefolgt von
   anomalem, durch die Palo Alto Networks-Firewall gekennzeichnetem Datenverkehr

Ressourcenübernahme
 * (VORSCHAU) Verdächtige Ressourcen-/Ressourcengruppenbereitstellung durch
   einen zuvor unbekannten Aufrufer
   nach verdächtiger Azure AD Anmeldung


NÄCHSTE SCHRITTE

Weitere Informationen zur erweiterten Erkennung mehrstufiger Angriffe durch
Fusion:

 * Erfahren Sie mehr über die szenariobasierten Angriffserkennungen durch
   Fusion.
 * Hier erfahren Sie, wie Sie die Filter für Fusion konfigurieren.

Nachdem Sie nun mehr über die erweiterte Erkennung von mehrstufigen Angriffen
erfahren haben, ist für Sie ggf. die folgende Schnellstartanleitung interessant.
Darin wird veranschaulicht, wie Sie Einblicke in Ihre Daten und potenzielle
Bedrohungen erhalten: Erste Schritte mit Microsoft Sentinel.

Wenn Sie bereit sind, die Vorfälle zu untersuchen, die für Sie erstellt werden,
lesen Sie das folgende Tutorial: Untersuchen von Vorfällen mit Microsoft
Sentinel.





--------------------------------------------------------------------------------


ZUSÄTZLICHE RESSOURCEN





Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * 
 * Frühere Versionen
 * Blog
 * Mitwirken
 * Datenschutz
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2023


ZUSÄTZLICHE RESSOURCEN






IN DIESEM ARTIKEL



Design
 * Hell
 * Dunkel
 * Hoher Kontrast

 * 
 * Frühere Versionen
 * Blog
 * Mitwirken
 * Datenschutz
 * Nutzungsbedingungen
 * Impressum
 * Marken
 * © Microsoft 2023