Ilmoitusten korrelaatio ja tapausten yhdistäminen Microsoft Defender portaalissa

• Koskee seuraavia::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Tässä artikkelissa kerrotaan, miten Microsoft Defender portaali koostaa ja korreloi hälytykset, jotka se kerää kaikista niitä tuottavista lähteistä ja lähettää ne portaaliin. Se selittää, miten Defender luo tapauksia näistä hälytyksistä ja miten se seuraa edelleen niiden kehitystä yhdistäen tapauksia yhteen, jos tilanne sitä vaatii. Lisätietoja ilmoituksista ja niiden lähteistä sekä siitä, miten tapaukset lisäävät lisäarvoa Microsoft Defender-portaalissa, on artikkelissa Tapaukset ja hälytykset Microsoft Defender portaalissa.

Tapausten luominen ja hälytysten korrelaatio

Kun Microsoft Defender portaalin eri tunnistusmekanismeilla luodaan ilmoituksia, jotka on kuvattu kohdassa Microsoft Defender portaalin tapaukset ja hälytykset, ne sijoitetaan uusiin tai olemassa oleviin tapauksiin seuraavan logiikan mukaisesti:

• Jos ilmoitus on riittävän yksilöllinen kaikissa hälytyslähteissä tietyssä ajassa, Defender luo uuden tapahtuman ja lisää hälytyksen siihen.
• Jos ilmoitus liittyy tarpeeksi muihin ilmoituksiin – samasta lähteestä tai eri lähteistä – tietyn ajanjakson kuluessa, Defender lisää hälytyksen olemassa olevaan tapahtumaan.

Defender-portaalin käyttämät ehdot, jotka korreloivat hälytykset yhteen yksittäisessä tapauksessa, ovat osa sen omaa sisäistä korrelaatiologiikkaa. Tämä logiikka on myös vastuussa asianmukaisen nimen antamisesta uudelle tapahtumalle.

Tapausten korrelaatio ja yhdistäminen

Defender-portaalin korrelaatiotoiminnot eivät lopu, kun tapauksia luodaan. Defender havaitsee edelleen yhtäläisyyksiä ja suhteita tapausten välillä sekä hälytysten välillä eri tapahtumissa. Kun vähintään kaksi tapausta on määritetty riittävän samanlaisiksi, Defender yhdistää tapaukset yhdeksi tapahtumaksi.

Tapausten yhdistämisehdot

Defenderin korrelaatiomoduuli yhdistää tapaukset, kun se tunnistaa yleisiä elementtejä ilmoitusten välillä erillisissä tapahtumissa sen syvän tietojen ja hyökkäyksen käyttäytymisen perusteella. Näitä elementtejä ovat muun muassa seuraavat:

• Entiteetit – resurssit, kuten käyttäjät, laitteet, postilaatikot ja muut
• Artefaktit – tiedostot, prosessit, sähköpostin lähettäjät ja muut
• Aikavälit
• Tapahtumasarjat, jotka viittaavat monivaiheisiin hyökkäyksiin – esimerkiksi haitallisiin sähköpostin napsautustapahtumiin, jotka seuraavat tiiviisti tietojenkalastelun sähköpostin tunnistusta.

Yhdistämisprosessin tulokset

Kun kaksi tai useampia tapauksia yhdistetään, niitä vastaan ei luoda uutta tapausta. Sen sijaan yhden tapauksen sisältö siirretään toiseen tapaukseen, ja prosessissa hylätty tapaus suljetaan automaattisesti. Hylätty tapaus ei ole enää näkyvissä tai käytettävissä Defender-portaalissa, ja kaikki viittaukset siihen ohjataan konsolidoituun tapaukseen. Hylätty suljettu tapaus on edelleen saatavilla Microsoft Sentinel Azure-portaali. Tapahtumien sisältöä käsitellään seuraavilla tavoilla:

• Hylätyn tapauksen sisältämät hälytykset poistetaan siitä ja lisätään konsolidoituun tapaukseen.
• Hylätyssä tapahtumassa käytetyt tunnisteet poistetaan siitä ja lisätään konsolidoituun tapaukseen.
• Hylättyyn Redirected tapaukseen lisätään tunniste.
• Entiteetit (resurssit jne.) noudattavat ilmoituksia, joihin ne on linkitetty.
• Hylätyn tapauksen luomiseen liittyväksi kirjatut analytiikkasäännöt lisätään konsolidoidussa tapauksessa kirjattuihin sääntöihin.
• Tällä hetkellä hylätyn tapauksen kommentteja ja toimintalokin merkintöjä ei siirretä konsolidoituun tapaukseen.

Jos haluat nähdä hylätyn tapauksen kommentit ja toimintahistorian, avaa tapaus Microsoft Sentinel Azure-portaali. Toimintahistoria sisältää tapahtuman sulkemisen sekä ilmoitusten, tunnisteiden ja muiden tapahtumayhdistämiseen liittyvien kohteiden lisäämisen ja poistamisen. Nämä toiminnot johtuvat käyttäjätietojen Microsoft Defender XDR – ilmoitusten korrelaatio.

Kun tapauksia ei yhdistetä

Vaikka korrelaatiologiikka ilmaisee, että kaksi tapausta tulisi yhdistää, Defender ei yhdistä tapauksia seuraavissa olosuhteissa:

• Yhden tapauksen tila on "Suljettu". Ratkaistuja tapauksia ei avata uudelleen.
• Kaksi yhdistämiseen oikeutettua tapausta on määritetty kahdelle eri henkilölle.
• Kahden tapauksen yhdistäminen nostaisi yhdistetyn tapauksen entiteettien määrän yli sallitun enintään 50 entiteetin tapahtumaa kohden.
• Nämä kaksi tapausta sisältävät laitteita eri laiteryhmissä organisaation määrittämällä tavalla.
  (Tämä ehto ei ole oletusarvoisesti käytössä. Sen on oltava käytössä.)

Manuaalinen korrelaatio

Vaikka Microsoft Defender käyttääkin jo kehittyneitä korrelaatiomekanismeja, haluat ehkä päättää eri tavalla, kuuluuko tietty ilmoitus tiettyyn tapahtumaan vai ei. Tässä tapauksessa voit poistaa ilmoituksen linkityksen yhdestä tapauksesta ja linkittää sen toiseen. Jokaisen hälytyksen on kuuluttava tapahtumaan, joten voit joko linkittää hälytyksen toiseen olemassa olevaan tapahtumaan tai uuteen tapahtumaan, jonka luot paikan päällä.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.

Seuraavat vaiheet

Lisätietoja tapausten priorisoinnista ja hallinnasta on seuraavissa artikkeleissa:

• Tapausten hallinta Microsoft Defender

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tapausten voima Microsoft Defender XDR
• Sisällä Microsoft Defender XDR: Hyökkäysten korreloiminen ja yhdistäminen välikohtauksiin