Del via

Fletning af beskedkorrelation og hændelse på Microsoft Defender-portalen

  • Artikel
  • Gælder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

I denne artikel forklares det, hvordan korrelationsprogrammet på Microsoft Defender-portalen samler og korrelerer de beskeder, der indsamles fra alle de kilder, der producerer dem, og sender dem til portalen. Den forklarer, hvordan Defender opretter hændelser ud fra disse beskeder, og hvordan den fortsat overvåger deres udvikling og fletter hændelser sammen, hvis situationen berettiger til det. Hvis du vil vide mere om beskeder og deres kilder, og hvordan hændelser tilføjer værdi på Microsoft Defender-portalen, skal du se Hændelser og beskeder på Microsoft Defender-portalen.

Hændelsesoprettelse og beskedkorrelation

Når beskeder genereres af de forskellige registreringsmekanismer på Microsoft Defender-portalen, som beskrevet i Hændelser og beskeder på Microsoft Defender-portalen, placeres de i nye eller eksisterende hændelser i henhold til følgende logik:

  • Hvis beskeden er tilstrækkelig entydig på tværs af alle kilder til beskeder inden for en bestemt tidsramme, opretter Defender en ny hændelse og føjer beskeden til den.
  • Hvis beskeden er tilstrækkeligt relateret til andre beskeder – fra den samme kilde eller på tværs af kilder – inden for en bestemt tidsramme, føjer Defender beskeden til en eksisterende hændelse.

De kriterier, der bruges af Defender-portalen til at sammenholde beskeder i en enkelt hændelse, er en del af dens beskyttede interne korrelationslogik. Denne logik er også ansvarlig for at give et passende navn til den nye hændelse.

Manuel korrelation af beskeder

Selvom Microsoft Defender allerede bruger avancerede korrelationsmekanismer, kan det være en god idé at beslutte, om en bestemt besked tilhører en bestemt hændelse eller ej. I så fald kan du fjerne sammenkædningen af en besked fra én hændelse og knytte den til en anden. Alle beskeder skal tilhøre en hændelse, så du kan enten knytte beskeden til en anden eksisterende hændelse eller til en ny hændelse, som du opretter på stedet.

Du kan få flere oplysninger om, hvordan du flytter en besked fra én hændelse til en anden, under Flyt beskeder fra én hændelse til en anden på Microsoft Defender portalen.

Hændelseskorrelation og fletning

Defender-portalens korrelationsaktiviteter stopper ikke, når der oprettes hændelser. Defender fortsætter med at registrere fællestræk og relationer mellem hændelser og beskeder på tværs af hændelser. Når to eller flere hændelser bestemmes for at være tilstrækkeligt ens, fletter Defender hændelserne til en enkelt hændelse.

Kriterier for fletning af hændelser

Defenders korrelationsprogram fletter hændelser, når det genkender almindelige elementer mellem beskeder i separate hændelser, baseret på dets dybe kendskab til dataene og angrebsadfærden. Nogle af disse elementer omfatter:

  • Enheder – aktiver som f.eks. brugere, enheder, postkasser og andre
  • Artefakter – filer, processer, afsendere af mails og andre
  • Tidsrammer
  • Sekvenser af hændelser, der peger på angreb i flere faser – f.eks. en ondsindet mail click-hændelse, der følger tæt op på en phishing-mailregistrering.

Oplysninger om fletningsprocessen

Når to eller flere hændelser flettes, oprettes der ikke en ny hændelse for at absorbere dem. I stedet overføres indholdet af én hændelse ( "kildehændelsen") til den anden hændelse ( "målhændelsen"), og kildehændelsen lukkes automatisk. Kildehændelsen er ikke længere synlig eller tilgængelig i Defender-portalen, og enhver reference til den omdirigeres til destinationshændelsen. Kildehændelsen, selvom den er lukket, forbliver tilgængelig i Microsoft Sentinel i Azure Portal.

Fletteretning

Retningen for hændelsesfletningen refererer til, hvilken hændelse der er kilden, og hvilken der er målet. Denne retning bestemmes af Microsoft Defender, der er baseret på sin egen interne logik, med det formål at maksimere opbevaring og adgang til oplysninger. Brugeren har ikke noget input til denne beslutning.

Hændelsesindhold

Indholdet af hændelserne håndteres på følgende måder:

  • Alle beskeder i kildehændelsen fjernes fra kildehændelsen og føjes til destinationshændelsen.
  • Alle mærker, der anvendes på kildehændelsen, fjernes fra kildehændelsen og føjes til destinationshændelsen.
  • Der føjes et Redirected mærke til kildehændelsen.
  • Enheder (aktiver osv.) følger de beskeder, de er knyttet til.
  • Analyseregler, der registreres som involveret i oprettelsen af kildehændelsen, føjes til de regler, der registreres i destinationshændelsen.
  • I øjeblikket flyttes kommentarer og aktivitetslogposter i kildehændelsen ikke til destinationshændelsen.

Hvis du vil se kildehændelsens kommentarer og aktivitetshistorik, skal du åbne hændelsen i Microsoft Sentinel i Azure Portal. Aktivitetsoversigten omfatter lukning af hændelsen og tilføjelse og fjernelse af beskeder, mærker og andre elementer, der er relateret til hændelsesfletningen. Disse aktiviteter tilskrives identiteten Microsoft Defender XDR – beskedkorrelation.

Når hændelser ikke flettes

Selv når korrelationslogikken angiver, at to hændelser skal flettes, fletter Defender ikke hændelserne under følgende omstændigheder:

  • En af hændelserne har statussen "Lukket". Hændelser, der løses, åbnes ikke igen.
  • Kilde- og målhændelser tildeles til to forskellige personer.
  • Kilde- og målhændelserne har to forskellige klassificeringer (f.eks. sand positiv og falsk positiv).
  • Hvis du fletter de to hændelser, vil det øge antallet af enheder i destinationshændelsen over det tilladte maksimum.
  • De to hændelser indeholder enheder i forskellige enhedsgrupper , som defineret af organisationen.
    (Denne betingelse er ikke aktiveret som standard. Den skal være aktiveret).

Næste trin

Du kan få mere at vide om prioritering og administration af hændelser i følgende artikler:

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.

Se også