Microsoft Azure Sentinel uses Fusion ML to detect ransomware attacks
2021/08/10 SecurityAffairs — Microsoft Azure Sentinel cloud-native SIEM は、Fusion の機械学習モデルを使用して、企業環境全体のデータを分析し、ランサムウェア攻撃などの潜在的な脅威に関連するアクティビティを検出するものだ。Fusion 機械学習モデルによりランサムウェア攻撃の疑いが検出されると、「Multiple alerts possibly related to Ransomware activity detected:ランサムウェアの活動に関連する疑いのある複数のアラートが検出された」というタイトルの、重大度の高いインシデントが Azure Sentinel ワークスペースでトリガーされる。Microsoft のアナウンスメントには、「Microsoft Threat Intelligence Center (MSTIC) との協力により、Fusion によるランサムウェア検出機能の提供開始を発表する。
これらの Fusion 検出は、特定の時間枠内の防御回避/実行段階で観察された、ランサムウェア活動に関連するアラートを相関させる」と記載されている。Microsoft によると、ランサムウェア用の Fusion 検出モデルは、攻撃者による防御回避および実行段階で悪意のアクティビティを検出できるため、セキュリティ・アナリストは脅威を迅速に特定/無力化できる。Fusion は、Microsoft 製品からのシグナルと、ネットワークやクラウドにおけるシグナルを相関させ、以下のソリューションからデータを収集する。
・Azure Defender (Azure Security Center)
・Microsoft Defender for Endpoint
・Microsoft Defender for Identity
・Microsoft Cloud App Security
・Azure Sentinel scheduled analytics rules
(Fusionは、戦術情報を持つスケジュールされた分析ルールのみを考慮する)
ランサムウェア活動を早期に検知することで、セキュリティ・アナリストは脅威が対象環境内で広がるのを防ぎ、深刻な被害を防ぐことができる。今回の発表では、ランサムウェアに対する Fusion の検知例として、RDP ブルートフォース攻撃および、Cryptor マルウェアの使用、フィッシング行為の可能性など、継続的な攻撃の連鎖を示すイベントに関連するアラートを、Fusion テクノロジーで相関させ方式を示している。Azure Sentinel の Fusion によるランサムウェア攻撃のアラートを受け取った管理者は、システムを潜在的に危険な状態とみなし、脅威に対応する必要がある。以下は、Microsoft が提供する推奨事項である。
1.マシンをネットワークから隔離し、横移動の可能性を防ぐ。
2.マシン上でアンチ・マルウェアのフルスキャンを実行し、結果として得られる修復アドバイスに従う。
3.マシンにインストール/実行されているソフトウェアを確認し、不明なパッケージや不要なパッケージを削除する。
4.必要に応じて OS を再インストールし、マルウェアが含まれないことが確認されるソースからソフトウェアを復元し、マシンを正常な状態に戻す。
5.警告プロバイダー (Azure Security Center や Microsoft Defender など) からの推奨事項を解決し、今後の侵害を防止する。
6. ネットワーク全体を調査して侵入を把握し、この攻撃の影響を受ける可能性のある、その他のマシンを特定する。
ついに出てきましたね。ランサムウェアの TTP (Tactics / Techniques / Procedures) を学習しておいて、検出された異様なイベントと突合し、ランサムウェアの判定を行うというものなのでしょう。先月に「AI / ML はサイバー・セキュリティにとって諸刃の刃」という記事をポストしましたが、こんなに早く具体化するとは想像もしていませんでした。でも、「ニューラル・ネットワークに埋め込まれたマルウェアは検出を回避する」という話もあるので、終わりなき戦いですね。
IoT OT Security News 