learn.microsoft.com Open in urlscan Pro
2a02:26f0:6c00:1b4::3544  Public Scan

Form analysis
0 forms found in the DOM

Text Content

Ignora e passa al contenuto principale


Questo browser non è più supportato.

Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità
più recenti, aggiornamenti della sicurezza e supporto tecnico.

Scarica Microsoft Edge Scopri di più su Internet Explorer e Microsoft Edge

Sommario Esci dalla modalità messa a fuoco

Leggere in inglese Salva
Sommario Leggere in inglese Salva Stampa

Twitter LinkedIn Facebook E-mail
Sommario


RILEVAMENTO AVANZATO DEGLI ATTACCHI IN PIÙ FASI IN MICROSOFT SENTINEL

 * Articolo
 * 03/09/2023
 * 6 contributori

Commenti e suggerimenti



IN QUESTO ARTICOLO

Importante

Alcuni rilevamenti fusion (vedere quelli indicati di seguito) sono attualmente
in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime
di Microsoft Azure per le condizioni legali aggiuntive applicabili alle
funzionalità di Azure disponibili in versione beta, in anteprima o altrimenti
non ancora rilasciate nella disponibilità generale.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud us government,
vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità
cloud per i clienti del governo degli Stati Uniti.

Microsoft Sentinel usa Fusion, un motore di correlazione basato su algoritmi di
Machine Learning scalabili, per rilevare automaticamente gli attacchi multistage
(noti anche come minacce persistenti avanzate o APT) identificando combinazioni
di comportamenti anomali e attività sospette osservate in varie fasi della kill
chain. Sulla base di queste individuazioni, Microsoft Sentinel genera eventi
imprevisti che altrimenti sarebbero difficili da intercettare. Questi eventi
imprevisti comprendono due o più avvisi o attività. Per impostazione
predefinita, questi eventi imprevisti sono a basso volume, alta fedeltà e
gravità elevata.

Personalizzata per l'ambiente, questa tecnologia di rilevamento non solo riduce
i tassi di falsi positivi , ma può anche rilevare attacchi con informazioni
limitate o mancanti.

Poiché Fusion mette in correlazione più segnali provenienti da vari prodotti per
rilevare attacchi a più fasi avanzati, i rilevamenti fusion riusciti vengono
presentati come eventi imprevisti Fusion nella pagina Eventi imprevisti di
Microsoft Sentinel e non come avvisi e vengono archiviati nella tabella
SecurityIncident nei log e non nella tabella SecurityAlert .


CONFIGURARE FUSION

Fusion è abilitato per impostazione predefinita in Microsoft Sentinel, come
regola di analisi denominata Rilevamento avanzato degli attacchi a più fasi. È
possibile visualizzare e modificare lo stato della regola, configurare i segnali
di origine da includere nel modello fusion ML o escludere modelli di rilevamento
specifici che potrebbero non essere applicabili all'ambiente dal rilevamento
Fusion. Informazioni su come configurare la regola Fusion.

Nota

Microsoft Sentinel attualmente usa 30 giorni di dati cronologici per eseguire il
training degli algoritmi di Machine Learning del motore Fusion. Questi dati
vengono sempre crittografati usando le chiavi di Microsoft mentre passano
attraverso la pipeline di Machine Learning. Tuttavia, i dati di training non
vengono crittografati usando chiavi gestite dal cliente (CMK) se è stata
abilitata la chiave gestita dal cliente nell'area di lavoro di Microsoft
Sentinel. Per rifiutare esplicitamente Fusion, passare a Regoleattive di Analisi
>configurazione di>Microsoft Sentinel>, fare clic con il pulsante destro del
mouse sulla regola Advanced Multistage Attack Detection e scegliere Disabilita.


FUSION PER LE MINACCE EMERGENTI

Importante

 * Il rilevamento basato su Fusion per le minacce emergenti è attualmente
   disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari
   per le anteprime di Microsoft Azure per le condizioni legali aggiuntive
   applicabili alle funzionalità di Azure disponibili in versione beta, in
   anteprima o altrimenti non ancora rilasciate nella disponibilità generale.

Il volume degli eventi di sicurezza continua a crescere e l'ambito e la
complessità degli attacchi aumentano sempre di più. È possibile definire gli
scenari di attacco noti, ma come si tratta delle minacce emergenti e sconosciute
nell'ambiente in uso?

Il motore Fusion basato su ML di Microsoft Sentinel consente di trovare le
minacce emergenti e sconosciute nell'ambiente applicando l'analisi estesa di
MACHINE Learning e correlando un ambito più ampio di segnali anomali, mantenendo
al tempo stesso basso l'affaticamento degli avvisi.

Gli algoritmi di Machine Learning del motore Fusion imparano costantemente dagli
attacchi esistenti e applicano l'analisi in base al modo in cui gli analisti
della sicurezza pensano. Può quindi individuare minacce non rilevate in
precedenza da milioni di comportamenti anomali nella kill chain in tutto
l'ambiente, che consente di rimanere un passo avanti rispetto agli utenti
malintenzionati.

Fusion per le minacce emergenti supporta la raccolta e l'analisi dei dati dalle
origini seguenti:

 * Rilevamenti anomalie predefiniti
 * Avvisi dei prodotti Microsoft:
   * Azure Active Directory Identity Protection
   * Microsoft Defender for Cloud
   * Microsoft Defender per IoT
   * Microsoft 365 Defender
   * Microsoft Defender for Cloud Apps
   * Microsoft Defender for Endpoint
   * Microsoft Defender per identità
   * Microsoft Defender per Office 365
 * Avvisi provenienti da regole di analisi pianificate, sia predefinite che
   create dagli analisti della sicurezza. Le regole di analisi devono contenere
   informazioni sulla kill chain (tattiche) e sul mapping delle entità per poter
   essere usate da Fusion.

Non è necessario avere connesso tutte le origini dati elencate in precedenza per
consentire a Fusion di funzionare per le minacce emergenti. Tuttavia, più
origini dati sono state connesse, più ampia sarà la copertura e più minacce
troveranno Fusion.

Quando le correlazioni del motore Fusion generano il rilevamento di una minaccia
emergente, viene generato un evento imprevisto di gravità elevato denominato
"Possibili attività di attacco a più fasi rilevate da Fusion" nella tabella
degli eventi imprevisti nell'area di lavoro di Microsoft Sentinel.


FUSION PER RANSOMWARE

Il motore Fusion di Microsoft Sentinel genera un evento imprevisto quando rileva
più avvisi di tipi diversi dalle origini dati seguenti e determina che possono
essere correlati all'attività ransomware:

 * Microsoft Defender for Cloud
 * Microsoft Defender for Endpoint
 * connettore Microsoft Defender per identità
 * Microsoft Defender for Cloud Apps
 * Regole di analisi pianificate di Microsoft Sentinel. Fusion considera solo le
   regole di analisi pianificate con informazioni sulle tattiche e le entità
   mappate.

Tali eventi imprevisti Fusion sono denominati Più avvisi possibilmente correlati
all'attività ransomware rilevata e vengono generati quando vengono rilevati
avvisi pertinenti durante un intervallo di tempo specifico e sono associati alle
fasi di esecuzione e evasione della difesa di un attacco.

Ad esempio, Microsoft Sentinel genererà un evento imprevisto per le possibili
attività ransomware se gli avvisi seguenti vengono attivati nello stesso host
entro un intervallo di tempo specifico:

Avviso Source (Sorgente) Gravità Eventi di errore e avviso di Windows Regole di
analisi pianificate di Microsoft Sentinel Informativo Ransomware 'GandCrab' è
stato impedito Microsoft Defender for Cloud media È stato rilevato malware
"Emotet" Microsoft Defender for Endpoint Informativo È stato rilevato il
backdoor 'Tofsee' Microsoft Defender for Cloud low È stato rilevato malware
'Parite' Microsoft Defender for Endpoint Informativo


RILEVAMENTI FUSION BASATI SU SCENARI

La sezione seguente elenca i tipi di attacchi multistage basati su scenari,
raggruppati per classificazione delle minacce, rilevati da Microsoft Sentinel
tramite il motore di correlazione Fusion.

Per abilitare questi scenari di rilevamento degli attacchi basati su Fusion, le
origini dati associate devono essere inserite nell'area di lavoro Log Analytics.
Selezionare i collegamenti nella tabella seguente per informazioni su ogni
scenario e sulle relative origini dati associate.

Nota

Alcuni di questi scenari sono disponibili in ANTEPRIMA. Saranno così indicati.

Classificazione delle minacce Scenari Uso improprio delle risorse di calcolo
 * (ANTEPRIMA) Più attività di creazione di macchine virtuali dopo l'accesso
   sospetto ad Azure Active Directory

Accesso alle credenziali
 * (ANTEPRIMA) Reimpostazione di più password da parte dell'utente dopo
   l'accesso sospetto
 * (ANTEPRIMA) Accesso sospetto che coincide con l'accesso riuscito a Palo Alto
   VPN
   per IP con più accessi di Azure AD non riusciti

Raccolta delle credenziali
 * Esecuzione dello strumento di furto di credenziali dannose dopo l'accesso
   sospetto
 * Sospetta attività di furto di credenziali dopo l'accesso sospetto

Crypto mining
 * Attività di crypto mining dopo l'accesso sospetto

Eliminazione definitiva di dati
 * Eliminazione di file di massa dopo l'accesso sospetto ad Azure AD
 * (ANTEPRIMA) Eliminazione di massa dei file dopo l'accesso riuscito ad Azure
   AD
   IP bloccato da un'appliance firewall Cisco
 * (ANTEPRIMA) Eliminazione di file di massa dopo l'accesso riuscito a Palo Alto
   VPN
   per IP con più accessi di Azure AD non riusciti
 * (ANTEPRIMA) Attività di eliminazione di posta elettronica sospetta dopo
   l'accesso di Azure AD sospetto

Esfiltrazione di dati
 * (ANTEPRIMA) Attività di inoltro della posta in seguito alla nuova attività
   dell'account amministratore non vista di recente
 * Download di file di massa seguendo l'accesso sospetto di Azure AD
 * (ANTEPRIMA) Download di file di massa dopo l'accesso di Azure AD riuscito da
   IP bloccato da un'appliance firewall Cisco
 * (ANTEPRIMA) Download di file di massa in coincidenza con l'operazione file di
   SharePoint dall'indirizzo IP precedentemente non visualizzato
 * Condivisione file di massa dopo l'accesso sospetto ad Azure AD
 * (ANTEPRIMA) Più attività di condivisione report di Power BI dopo l'accesso
   sospetto ad Azure AD
 * Office 365'esfiltrazione della cassetta postale seguendo un accesso sospetto
   di Azure AD
 * (ANTEPRIMA) Operazione di file di SharePoint da IP precedentemente non
   rilevata dopo il rilevamento di malware
 * (ANTEPRIMA) Regole di manipolazione della posta in arrivo sospette impostate
   seguendo l'accesso sospetto di Azure AD
 * (ANTEPRIMA) Condivisione di report di Power BI sospetta dopo l'accesso di
   Azure AD sospetto

Denial of Service
 * (ANTEPRIMA) Più attività di eliminazione di macchine virtuali che seguono
   l'accesso sospetto di Azure AD

Spostamento laterale
 * Office 365 rappresentazione dopo l'accesso sospetto di Azure AD
 * (ANTEPRIMA) Regole di manipolazione della posta in arrivo sospette impostate
   seguendo l'accesso sospetto di Azure AD

Attività amministrativa dannosa
 * Attività amministrativa dell'app cloud sospetta dopo l'accesso di Azure AD
   sospetto
 * (ANTEPRIMA) Attività di inoltro della posta in seguito alla nuova attività
   dell'account amministratore non vista di recente

Esecuzione dannosa
con il processo legittimo
 * (ANTEPRIMA) PowerShell ha fatto una connessione di rete sospetta, seguita da
   flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks
 * (ANTEPRIMA) Esecuzione WMI remota sospetta seguita da
   flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks
 * Riga di comando di PowerShell sospetta dopo l'accesso sospetto

Malware C2 o download
 * (ANTEPRIMA) Modello di beacon rilevato da Fortinet seguendo più accessi
   utente non riusciti a un servizio
 * (ANTEPRIMA) Modello di beacon rilevato da Fortinet seguendo l'accesso
   sospetto di Azure AD
 * (ANTEPRIMA) Richiesta di rete al servizio di anonimato TOR seguito da
   flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks
 * (ANTEPRIMA) Connessione in uscita all'INDIRIZZO IP con una cronologia dei
   tentativi di accesso non autorizzati seguiti da
   flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks

Persistenza
 * (ANTEPRIMA) Consenso dell'applicazione rara dopo l'accesso sospetto

Ransomware
 * Esecuzione ransomware dopo l'accesso sospetto di Azure AD

Sfruttamento remoto
 * (ANTEPRIMA) Sospetto uso del framework di attacco seguito da
   flag di traffico anomalo contrassegnato dal firewall Palo Alto Networks

Hijacking delle risorse
 * (ANTEPRIMA) Distribuzione sospetta di risorse/gruppo di risorse da parte di
   un chiamante non eseguito in precedenza
   seguendo l'accesso di Azure AD sospetto


PASSAGGI SUCCESSIVI

Ottenere altre informazioni sul rilevamento di attacchi multistage avanzati di
Fusion:

 * Altre informazioni sui rilevamenti degli attacchi basati su scenari fusion.
 * Informazioni su come configurare le regole Fusion.

Dopo aver appreso di più sul rilevamento avanzato degli attacchi multistage, è
possibile che si sia interessati alla guida introduttiva seguente per
informazioni su come ottenere visibilità sui dati e sulle potenziali minacce:
Introduzione a Microsoft Sentinel.

Se si è pronti per analizzare gli eventi imprevisti creati per l'utente, vedere
l'esercitazione seguente: Analizzare gli eventi imprevisti con Microsoft
Sentinel.





--------------------------------------------------------------------------------


RISORSE AGGIUNTIVE





Tema
 * Chiaro
 * Scuro
 * Contrasto elevato

 * 
 * Versioni precedenti
 * Blog
 * Collabora
 * Privacy
 * Condizioni per l'utilizzo
 * Accessibilità
 * Marchi
 * © Microsoft 2023


RISORSE AGGIUNTIVE






IN QUESTO ARTICOLO



Tema
 * Chiaro
 * Scuro
 * Contrasto elevato

 * 
 * Versioni precedenti
 * Blog
 * Collabora
 * Privacy
 * Condizioni per l'utilizzo
 * Accessibilità
 * Marchi
 * © Microsoft 2023