- 点击进入:ChatGPT工具插件导航大全
Windows 11 Pro ISO文件在哪下载最新版?如何下载原装纯净版Win11 ?点击进入 持续更新!
微软表示,Azure Sentinel 云原生 SIEM(安全信息和事件管理)平台现在能够使用 Fusion 机器学习模型检测潜在的勒索软件活动。
Azure Sentinel使用内置人工智能 (AI) 技术快速分析企业环境中的大量数据,寻找潜在的威胁行为者活动。
它还采用称为Fusion 的机器学习技术,通过识别在各个攻击阶段发现的可疑活动和异常行为集来检测和触发多阶段攻击警报。
Azure Sentinel 会结合其中的几个警报来生成事件,即使信息有限或缺失,否则很难捕捉到这些警报。
其基于云的 SIEM 现在支持对可能的勒索软件攻击进行融合检测,并触发可能与勒索软件活动检测到的事件相关的高严重性多个警报。
例如,Azure Sentinel 在同一主机上的特定时间范围内检测到以下警报后,将生成勒索软件攻击事件:
- Azure Sentinel 计划警报(信息性):Windows 错误和警告事件
- Azure Defender(中):“GandCrab”勒索软件被阻止
- Microsoft Defender for Endpoint(信息性):检测到“Emotet”恶意软件
- Azure Defender(低):检测到“Tofsee”后门
- Microsoft Defender for Endpoint(信息性):检测到“Parite”恶意软件
为了检测潜在的持续勒索软件攻击,Azure Sentinel 可以使用以下数据连接器从以下来源收集数据:Azure Defender(Azure 安全中心)、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Cloud App Security和Azure Sentinel 计划分析规则。
Fusion 勒索软件检测事件 (Microsoft) 管理员建议将系统视为“可能受到损害”
“事件是针对可能与勒索软件活动相关联的警报生成的,当它们在特定时间范围内发生时,并且与攻击的执行和防御规避阶段相关联,”微软解释说。
“您可以使用事件中列出的警报来分析攻击者可能使用的技术来破坏主机/设备并逃避检测。”
在 Azure Sentinel 中 Fusion 检测到勒索软件攻击场景后,建议管理员将系统视为“可能受到威胁”并立即采取行动。
Microsoft 提供了以下推荐步骤来分析攻击者在潜在攻击期间使用的技术:
- 将机器与网络隔离以防止潜在的横向移动。
- 在机器上运行完整的反恶意软件扫描,遵循任何由此产生的补救建议。
- 查看机器上已安装/正在运行的软件,删除任何未知或不需要的软件包。
- 将机器恢复到已知的良好状态,仅在需要时重新安装操作系统,并从经过验证的无恶意软件源恢复软件。
- 解决来自警报提供商(例如Azure 安全中心和Microsoft Defender)的建议,以防止未来发生违规行为。
- 调查整个网络以了解入侵并识别可能受此攻击影响的其他机器。
发表评论