Korelace výstrah a slučování incidentů na portálu Microsoft Defender

• Platí pro:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Tento článek vysvětluje, jak modul korelace na portálu Microsoft Defender agreguje a koreluje výstrahy shromážděné ze všech zdrojů, které je vytvářejí, a odesílají je na portál. Vysvětluje, jak Defender vytváří incidenty z těchto výstrah a jak dál monitoruje jejich vývoj a slučuje incidenty dohromady, pokud to situace vyžaduje. Další informace o výstrahách a jejich zdrojích a o tom, jak incidenty přidávají hodnotu na portálu Microsoft Defender, najdete v tématu Incidenty a výstrahy na portálu Microsoft Defender.

Vytvoření incidentu a korelace upozornění

Když jsou výstrahy generovány různými mechanismy detekce na portálu Microsoft Defender, jak je popsáno v tématu Incidenty a výstrahy na portálu Microsoft Defender, umístí se do nových nebo existujících incidentů podle následující logiky:

• Pokud je výstraha dostatečně jedinečná napříč všemi zdroji výstrah v určitém časovém rámci, Defender vytvoří nový incident a přidá do něj výstrahu.
• Pokud výstraha dostatečně souvisí s jinými výstrahami – ze stejného zdroje nebo ze zdrojů – v určitém časovém rámci, Defender přidá výstrahu ke stávajícímu incidentu.

Kritéria, která portál Defender používá ke vzájemné korelaci výstrah v jednom incidentu, jsou součástí jeho vlastní interní korelační logiky. Tato logika je také zodpovědná za poskytnutí vhodného názvu nového incidentu.

Ruční korelace upozornění

I když Microsoft Defender už používá pokročilé mechanismy korelace, můžete se rozhodnout jinak, jestli daná výstraha patří ke konkrétnímu incidentu. V takovém případě můžete zrušit propojení výstrahy s jedním incidentem a propojit ho s jiným. Každá výstraha musí patřit incidentu, takže můžete buď propojit výstrahu s jiným existujícím incidentem, nebo s novým incidentem, který vytvoříte na místě.

Další informace o přesunu výstrah z jednoho incidentu na jiný najdete v tématu Přesun výstrah z jednoho incidentu do druhého na portálu Microsoft Defender.

Korelace a slučování incidentů

Korelační aktivity portálu Defender se při vytváření incidentů nezastaví. Defender dál zjišťuje společné rysy a vztahy mezi incidenty a výstrahami napříč incidenty. Pokud jsou dva nebo více incidentů dostatečně podobné, Defender sloučí incidenty do jednoho incidentu.

Kritéria pro slučování incidentů

Modul korelace Defenderu slučuje incidenty, když rozpozná společné prvky mezi výstrahami v samostatných incidentech na základě svých hlubokých znalostí dat a chování útoku. Mezi tyto prvky patří:

• Entity – prostředky, jako jsou uživatelé, zařízení, poštovní schránky a další
• Artefakty – soubory, procesy, odesílatelé e-mailů a další
• Časové rámce
• Posloupnosti událostí, které ukazují na útoky s více fázemi – například škodlivá událost kliknutí na e-mail, která úzce sleduje detekci phishingových e-mailů.

Podrobnosti o procesu sloučení

Při sloučení dvou nebo více incidentů se nevytvořil nový incident, který by je absorboval. Místo toho se obsah jednoho incidentu ( zdrojový incident) migruje do druhého incidentu ( cílový incident) a zdrojový incident se automaticky uzavře. Zdrojový incident už není viditelný ani dostupný na portálu Defender a všechny odkazy na něj se přesměrují na cílový incident. Zdrojový incident je sice uzavřený, ale ve Azure Portal zůstává přístupný v Microsoft Sentinel.

Směr sloučení

Směr sloučení incidentů odkazuje na to, který incident je zdrojem a který je cílem. Tento směr určuje Microsoft Defender na základě vlastní interní logiky s cílem maximalizovat uchovávání informací a přístup k informacím. Uživatel nemá do tohoto rozhodnutí žádný vstup.

Obsah incidentu

Obsah incidentů se zpracovává následujícími způsoby:

• Všechny výstrahy obsažené ve zdrojovém incidentu se odeberou ze zdrojového incidentu a přidají se do cílového incidentu.
• Všechny značky použité na zdrojový incident se odeberou ze zdrojového incidentu a přidají se do cílového incidentu.
• Do Redirected zdrojového incidentu se přidá značka.
• Entity (prostředky atd.) sledují výstrahy, se které jsou propojené.
• Analytická pravidla zaznamenaná jako zapojená do vytvoření zdrojového incidentu se přidají do pravidel zaznamenaných v cílovém incidentu.
• Komentáře a položky protokolu aktivit ve zdrojovém incidentu se v současné době nepřesouvají do cílového incidentu.

Pokud chcete zobrazit komentáře ke zdrojovému incidentu a historii aktivit, otevřete incident v Microsoft Sentinel v Azure Portal. Historie aktivit zahrnuje ukončení incidentu a přidání a odebrání výstrah, značek a dalších položek souvisejících se sloučením incidentu. Tyto aktivity jsou přiřazeny identitě Microsoft Defender XDR – korelaci výstrah.

Když se incidenty neslučují

I když logika korelace indikuje, že by se měly sloučit dva incidenty, Defender incidenty nespočívá za následujících okolností:

• Jeden z incidentů má stav Uzavřeno. Incidenty, které jsou vyřešené, se znovu neotevřejí.
• Zdrojové a cílové incidenty jsou přiřazené dvěma různým lidem.
• Zdrojové a cílové incidenty mají dvě různé klasifikace (například pravdivě pozitivní a falešně pozitivní).
• Sloučení těchto dvou incidentů by zvýšilo počet entit v cílovém incidentu nad povolené maximum.
• Oba incidenty obsahují zařízení v různých skupinách zařízení definovaných organizací.
  (Tato podmínka není ve výchozím nastavení platná, musí být povolená.)

Další kroky

Další informace o určování priorit a správě incidentů najdete v následujících článcích:

• Správa incidentů v Microsoft Defender

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

Viz také

• Síla incidentů v Microsoft Defender XDR
• Vnitřní Microsoft Defender XDR: Korelace a konsolidace útoků do incidentů