Microsoft рекламирует, что они предлагают машинное обучение как часть Azure Sentinel, то, что они называют Azure Sentinel FUSION. Я писал об этом до здесь, и, поскольку Azure Sentinel стал общедоступным, он включен по умолчанию.
Вас легко обмануть, если вы подумаете, что FUSION - это маркетинговое бинго, но нет ничего вернее: существуют настоящие модели машинного обучения, которые помогут вам в реальных ситуациях. Одно из первых, что стало доступно, называется «Advanced Multistage Detection». Он основан на более чем шестилетнем опыте создания модулей машинного обучения для таких сервисов, как Azure AD Identity Protection и т. Д.
Мне пришлось встретиться с группой машинного обучения, входящей в Центр аналитики угроз Microsoft, для разработки этих моделей. Вот что я узнал.
Azure Sentinel FUSION
FUSION описывается как «Раскройте возможности ИИ для профессионалов в области безопасности, используя передовые исследования MS и передовой опыт машинного обучения, независимо от вашего текущего уровня инвестиций в машинное обучение». Microsoft строит свою работу на двух столпах:
(1) Анализ множества предупреждений в SIEM - не то, чем любят заниматься аналитики безопасности. Их набор навыков также может быть лучше использован для поиска плохих актеров на основе предварительно отфильтрованных сигналов.
(2) Во-вторых, хорошо известно, что аналитики безопасности тонут в этих предупреждениях и иногда пропускают важную часть, чтобы перейти к следующему этапу расследования.
Обнаружение многоэтапной атаки
В разделе «Аналитика» Azure Sentinel вы найдете правило под названием «Расширенное обнаружение многоэтапных атак». Он имеет следующее описание:
Используя технологию Fusion, основанную на машинном обучении, Azure Sentinel может автоматически обнаруживать многоэтапные атаки, комбинируя аномальное поведение и подозрительные действия, наблюдаемые на различных этапах цепочки уничтожения. Затем Azure Sentinel генерирует инциденты, которые в противном случае было бы очень трудно обнаружить.
По своей природе эти инциденты отличаются малым объемом, высокой точностью и серьезностью. По этой же причине это обнаружение по умолчанию включено в Azure Sentinel. Это будет буквально первое активное правило, которое будет в вашей новой среде Azure Sentinel, и обещание машинного обучения станет реальностью.
Что именно он обнаруживает?
Вопрос, который я задаю больше всего: Но что именно он обнаруживает?. Microsoft только что обновила страницу документации, которую можно найти здесь.
Обнаружения можно разделить на следующие категории:
- Impossible travel to atypical location followed by anomalous Office 365 activity - Sign-in activity for unfamiliar location followed by anomalous Office 365 activity - Sign-in activity from infected device followed by anomalous Office 365 activity - Sign-in activity from anonymous IP address followed by anomalous Office 365 activity - Sign-in activity from user with leaked credentials followed by anomalous Office 365 activity
Вот конкретный пример обнаружения, при котором срабатывает модель машинного обучения:
An alert gets raised that is an indication of a sign-in event by <account name> from an anonymous proxy IP address <IP address>, followed by a suspicious inbox forwarding rule was set on a user’s inbox. This may indicate that the account is compromised, and that the mailbox is being used to exfiltrate information from your organization. The user <account name> created or updated an inbox forwarding rule that forwards all incoming email to the external address <email address> shortly after.
Коннекторы
Чтобы модель машинного обучения работала, в нее должны поступать «правильные» данные. В случае модели «расширенного многоэтапного обнаружения» ему требуются данные как из Azure Active Directory Identity Protection, так и из Microsoft Cloud App Security.
СОВЕТ ОТ ПРОФЕССИОНАЛА: убедитесь, что у вас включены соединители Azure Active Directory Identity Protection и Microsoft Cloud App Security!
MITER ATT & CK
Структура MITER ATT & CK - это комплексная матрица тактик и приемов, используемых охотниками за угрозами, красными командами и защитниками, чтобы лучше классифицировать атаки и оценивать риски организации. Azure Sentinel и многие другие продукты безопасности адаптировали эту структуру и сопоставляют предупреждения с тактиками и TTP MITER.
Действия, которые обнаруживает модель машинного обучения «расширенного многоэтапного обнаружения», сопоставляются с TTP в следующей тактике MITER:
· Persistence · Lateral Movement · Exfiltration · Command and Control
Команда Azure Sentinel FUSION
Мне выпала большая честь встретиться с командой, стоящей за Azure Sentinel FUSION, в их здании в Редмонде, США, во время мероприятия по обеспечению безопасности клиентов. Рам Шанкар Шива Кумар возглавляет команду, которая также является филиалом Центра Беркмана Кляйна в Гарварде, вместе с ведущими учеными, занимающимися данными, такими как Лили Ма. Рам также является основателем Коллоквиума по науке о данных безопасности - единственного форума, на котором собираются специалисты по данным по безопасности из всех крупных облачных провайдеров.
Ранее команда работала над моделями, лежащими в основе, например, Azure Active Directory Identity Protection, а теперь также разрабатывает модели для Azure Sentinel FUSION. Иногда они могут повторно использовать годы разработки / настройки модели, например, год для аномальных входов в систему (на основе их работы на платформах Azure и Microsoft 365), но в большинстве случаев они будут разрабатывать новые модели на основе обнаружений, которые являются наивысшими. требование.
Более 35 специалистов по данным, занимающихся вопросами безопасности, работают над моделями машинного обучения для основных платформ Microsoft и Azure Sentinel! ЭПИЧЕСКИЙ.
Что дальше?
Хотя наличие реальных моделей машинного обучения в Azure Sentinel уже значительно повышает вашу защиту, Microsoft работает над функциональностью собственного машинного обучения для Azure Sentinel. В настоящее время он находится в частной предварительной версии, выпуск которой ожидается в начале 2020 года. Он позволяет вам представить вашу собственную модель машинного обучения на вечеринке с помощью Azure Databricks. У меня была возможность протестировать, и это очень многообещающе!
Еще более мощным является третий вариант, который преследует Microsoft: расширение существующих моделей, которые вы получаете в комплекте. Этакий гибрид между разработкой собственного с нуля и использованием того, что есть. Отличным примером может быть расширение существующей модели машинного обучения для аномальных входов в систему данными из вашей системы доступа со значком / ключом. Это может еще больше уменьшить количество ложных срабатываний, если понять, присутствует ли кто-то физически в определенном месте.
Заключение
Microsoft вкладывает много денег, времени и энергии в создание настоящего машинного обучения. Когда в Azure Sentinel FUSION появились первые модели машинного обучения, стало ясно, что они решают реальные проблемы.
Удачной охоты!
- Маартен Гет, MVP и RD
