Fletning af beskedkorrelation og hændelse på Microsoft Defender-portalen

• Gælder for:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

I denne artikel forklares det, hvordan Microsoft Defender-portalen samler og korrelerer de beskeder, den indsamler, fra alle de kilder, der producerer dem, og sender dem til portalen. Den forklarer, hvordan Defender opretter hændelser ud fra disse beskeder, og hvordan den fortsat overvåger deres udvikling og fletter hændelser sammen, hvis situationen berettiger til det. Hvis du vil vide mere om beskeder og deres kilder, og hvordan hændelser tilføjer værdi på Microsoft Defender-portalen, skal du se Hændelser og beskeder på Microsoft Defender-portalen.

Hændelsesoprettelse og beskedkorrelation

Når beskeder genereres af de forskellige registreringsmekanismer på Microsoft Defender-portalen, som beskrevet i Hændelser og beskeder på Microsoft Defender-portalen, placeres de i nye eller eksisterende hændelser i henhold til følgende logik:

• Hvis beskeden er tilstrækkelig entydig på tværs af alle kilder til beskeder inden for en bestemt tidsramme, opretter Defender en ny hændelse og føjer beskeden til den.
• Hvis beskeden er tilstrækkeligt relateret til andre beskeder – fra den samme kilde eller på tværs af kilder – inden for en bestemt tidsramme, føjer Defender beskeden til en eksisterende hændelse.

De kriterier, der bruges af Defender-portalen til at sammenholde beskeder i en enkelt hændelse, er en del af dens beskyttede interne korrelationslogik. Denne logik er også ansvarlig for at give et passende navn til den nye hændelse.

Manuel korrelation af beskeder

Selvom Microsoft Defender allerede bruger avancerede korrelationsmekanismer, kan det være en god idé at beslutte, om en bestemt besked tilhører en bestemt hændelse eller ej. I så fald kan du fjerne sammenkædningen af en besked fra én hændelse og knytte den til en anden. Alle beskeder skal tilhøre en hændelse, så du kan enten knytte beskeden til en anden eksisterende hændelse eller til en ny hændelse, som du opretter på stedet.

Du kan finde instruktioner under Linkbeskeder til en anden hændelse på Microsoft Defender-portalen.

Hændelseskorrelation og fletning

Defender-portalens korrelationsaktiviteter stopper ikke, når der oprettes hændelser. Defender fortsætter med at registrere fællestræk og relationer mellem hændelser og mellem beskeder på tværs af hændelser. Når to eller flere hændelser bestemmes for at være tilstrækkeligt ens, fletter Defender hændelserne til en enkelt hændelse.

Kriterier for fletning af hændelser

Defenders korrelationsprogram fletter hændelser, når det genkender almindelige elementer mellem beskeder i separate hændelser, baseret på dets dybe kendskab til dataene og angrebsadfærden. Nogle af disse elementer omfatter:

• Enheder – aktiver som f.eks. brugere, enheder, postkasser og andre
• Artefakter – filer, processer, afsendere af mails og andre
• Tidsrammer
• Sekvenser af hændelser, der peger på angreb i flere faser – f.eks. en ondsindet mail click-hændelse, der følger tæt op på en phishing-mailregistrering.

Resultater af fletningsprocessen

Når to eller flere hændelser flettes, oprettes der ikke en ny hændelse for at absorbere dem. I stedet overføres indholdet af én hændelse til den anden hændelse, og den hændelse, der afbrydes i processen, lukkes automatisk. Den afbrudte hændelse er ikke længere synlig eller tilgængelig i Defender-portalen, og enhver reference til den omdirigeres til den samlede hændelse. Den forladte, lukkede hændelse forbliver tilgængelig i Microsoft Sentinel i Azure Portal. Indholdet af hændelserne håndteres på følgende måder:

• Beskeder i den afbrudte hændelse fjernes fra den og føjes til den konsoliderede hændelse.
• Alle mærker, der anvendes på den afbrudte hændelse, fjernes fra den og føjes til den sammenflettede hændelse.
• Der føjes et Redirected mærke til den afbrudte hændelse.
• Enheder (aktiver osv.) følger de beskeder, de er knyttet til.
• Analyseregler, der registreres som involveret i oprettelsen af den afbrudte hændelse, føjes til de regler, der er registreret i den konsoliderede hændelse.
• Kommentarer og aktivitetslogposter i den afbrudte hændelse flyttes i øjeblikket ikke til den sammenflettede hændelse.

Hvis du vil se kommentarerne og aktivitetsoversigten for den afbrudte hændelse, skal du åbne hændelsen i Microsoft Sentinel i Azure Portal. Aktivitetsoversigten omfatter lukning af hændelsen og tilføjelse og fjernelse af beskeder, mærker og andre elementer, der er relateret til hændelsesfletningen. Disse aktiviteter tilskrives identiteten Microsoft Defender XDR – beskedkorrelation.

Når hændelser ikke flettes

Selv når korrelationslogikken angiver, at to hændelser skal flettes, fletter Defender ikke hændelserne under følgende omstændigheder:

• En af hændelserne har statussen "Lukket". Hændelser, der løses, åbnes ikke igen.
• De to hændelser, der er berettiget til fletning, tildeles til to forskellige personer.
• Hvis du fletter de to hændelser, vil det øge antallet af enheder i den flettede hændelse over det tilladte maksimum på 50 enheder pr. hændelse.
• De to hændelser indeholder enheder i forskellige enhedsgrupper , som defineret af organisationen.
  (Denne betingelse er ikke aktiveret som standard. Den skal være aktiveret).

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.

Næste trin

Du kan få mere at vide om prioritering og administration af hændelser i følgende artikler:

• Administrer hændelser i Microsoft Defender

Se også

• Styrken ved hændelser i Microsoft Defender XDR
• Inside Microsoft Defender XDR: Korrelerer og konsoliderer angreb i hændelser