Korelace výstrah a slučování incidentů na portálu Microsoft Defender

• Platí pro:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Tento článek vysvětluje, jak portál Microsoft Defender agreguje a koreluje výstrahy, které shromažďuje ze všech zdrojů, které je vytvářejí, a odesílají je na portál. Vysvětluje, jak Defender vytváří incidenty z těchto výstrah a jak dál monitoruje jejich vývoj a slučuje incidenty dohromady, pokud to situace vyžaduje. Další informace o výstrahách a jejich zdrojích a o tom, jak incidenty přidávají hodnotu na portálu Microsoft Defender, najdete v tématu Incidenty a výstrahy na portálu Microsoft Defender.

Vytvoření incidentu a korelace upozornění

Když jsou výstrahy generovány různými mechanismy detekce na portálu Microsoft Defender, jak je popsáno v tématu Incidenty a výstrahy na portálu Microsoft Defender, umístí se do nových nebo existujících incidentů podle následující logiky:

• Pokud je výstraha dostatečně jedinečná napříč všemi zdroji výstrah v určitém časovém rámci, Defender vytvoří nový incident a přidá do něj výstrahu.
• Pokud výstraha dostatečně souvisí s jinými výstrahami – ze stejného zdroje nebo ze zdrojů – v určitém časovém rámci, Defender přidá výstrahu ke stávajícímu incidentu.

Kritéria, která portál Defender používá ke vzájemné korelaci výstrah v jednom incidentu, jsou součástí jeho vlastní interní korelační logiky. Tato logika je také zodpovědná za poskytnutí vhodného názvu nového incidentu.

Ruční korelace upozornění

I když Microsoft Defender už používá pokročilé mechanismy korelace, můžete se rozhodnout jinak, jestli daná výstraha patří ke konkrétnímu incidentu. V takovém případě můžete zrušit propojení výstrahy s jedním incidentem a propojit ho s jiným. Každá výstraha musí patřit incidentu, takže můžete buď propojit výstrahu s jiným existujícím incidentem, nebo s novým incidentem, který vytvoříte na místě.

Pokyny najdete v tématu Propojení výstrah s jiným incidentem na portálu Microsoft Defender.

Korelace a slučování incidentů

Korelační aktivity portálu Defender se při vytváření incidentů nezastaví. Defender dál detekuje společné rysy a vztahy mezi incidenty a mezi výstrahami napříč incidenty. Pokud jsou dva nebo více incidentů dostatečně podobné, Defender sloučí incidenty do jednoho incidentu.

Kritéria pro slučování incidentů

Modul korelace Defenderu slučuje incidenty, když rozpozná společné prvky mezi výstrahami v samostatných incidentech na základě svých hlubokých znalostí dat a chování útoku. Mezi tyto prvky patří:

• Entity – prostředky, jako jsou uživatelé, zařízení, poštovní schránky a další
• Artefakty – soubory, procesy, odesílatelé e-mailů a další
• Časové rámce
• Posloupnosti událostí, které ukazují na útoky s více fázemi – například škodlivá událost kliknutí na e-mail, která úzce sleduje detekci phishingových e-mailů.

Výsledky procesu sloučení

Při sloučení dvou nebo více incidentů se nevytvořil nový incident, který by je absorboval. Místo toho se obsah jednoho incidentu migruje do druhého incidentu a incident opuštěný v procesu se automaticky uzavře. Opuštěný incident už není viditelný ani dostupný na portálu Defenderu a všechny odkazy na něj se přesměrují na konsolidovaný incident. Opuštěný, uzavřený incident zůstává přístupný v Microsoft Sentinel v Azure Portal. Obsah incidentů se zpracovává následujícími způsoby:

• Výstrahy obsažené v opuštěném incidentu se z něj odeberou a přidají se do konsolidovaného incidentu.
• Všechny značky použité na opuštěný incident se z něj odeberou a přidají se do konsolidovaného incidentu.
• Do Redirected opuštěného incidentu se přidá značka.
• Entity (prostředky atd.) sledují výstrahy, se které jsou propojené.
• Analytická pravidla zaznamenaná jako zapojená do vytváření opuštěného incidentu se přidají do pravidel zaznamenaných v konsolidovaném incidentu.
• V současné době se komentáře a položky protokolu aktivit v opuštěném incidentu do konsolidovaného incidentu nepřesouvají.

Pokud chcete zobrazit komentáře a historii aktivit opuštěného incidentu, otevřete incident v Microsoft Sentinel v Azure Portal. Historie aktivit zahrnuje ukončení incidentu a přidání a odebrání výstrah, značek a dalších položek souvisejících se sloučením incidentu. Tyto aktivity jsou přiřazeny identitě Microsoft Defender XDR – korelaci výstrah.

Když se incidenty neslučují

I když logika korelace indikuje, že by se měly sloučit dva incidenty, Defender incidenty nespočívá za následujících okolností:

• Jeden z incidentů má stav Uzavřeno. Incidenty, které jsou vyřešené, se znovu neotevřejí.
• Dva incidenty, které mají nárok na sloučení, jsou přiřazené dvěma různým lidem.
• Sloučení těchto dvou incidentů by zvýšilo počet entit ve sloučených incidentech nad povolený maximální počet 50 entit na incident.
• Oba incidenty obsahují zařízení v různých skupinách zařízení definovaných organizací.
  (Tato podmínka není ve výchozím nastavení platná, musí být povolená.)

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

Další kroky

Další informace o určování priorit a správě incidentů najdete v následujících článcích:

• Správa incidentů v Microsoft Defender

Viz také

• Síla incidentů v Microsoft Defender XDR
• Vnitřní Microsoft Defender XDR: Korelace a konsolidace útoků do incidentů