Ilmoitusten korrelaatio ja tapausten yhdistäminen Microsoft Defender portaalissa

• Koskee seuraavia::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Tässä artikkelissa kerrotaan, miten Microsoft Defender-portaalin korrelaatiomoduuli koostaa ja korreloi kaikista niitä tuottavista lähteistä kerätyt hälytykset ja lähettää ne portaaliin. Se selittää, miten Defender luo tapauksia näistä hälytyksistä ja miten se seuraa edelleen niiden kehitystä yhdistäen tapauksia yhteen, jos tilanne sitä vaatii. Lisätietoja ilmoituksista ja niiden lähteistä sekä siitä, miten tapaukset lisäävät lisäarvoa Microsoft Defender-portaalissa, on artikkelissa Tapaukset ja hälytykset Microsoft Defender portaalissa.

Tapausten luominen ja hälytysten korrelaatio

Kun Microsoft Defender portaalin eri tunnistusmekanismeilla luodaan ilmoituksia, jotka on kuvattu kohdassa Microsoft Defender portaalin tapaukset ja hälytykset, ne sijoitetaan uusiin tai olemassa oleviin tapauksiin seuraavan logiikan mukaisesti:

• Jos ilmoitus on riittävän yksilöllinen kaikissa hälytyslähteissä tietyssä ajassa, Defender luo uuden tapahtuman ja lisää hälytyksen siihen.
• Jos ilmoitus liittyy tarpeeksi muihin ilmoituksiin – samasta lähteestä tai eri lähteistä – tietyn ajanjakson kuluessa, Defender lisää hälytyksen olemassa olevaan tapahtumaan.

Defender-portaalin käyttämät ehdot, jotka korreloivat hälytykset yhteen yksittäisessä tapauksessa, ovat osa sen omaa sisäistä korrelaatiologiikkaa. Tämä logiikka on myös vastuussa asianmukaisen nimen antamisesta uudelle tapahtumalle.

Ilmoitusten manuaalinen korrelaatio

Vaikka Microsoft Defender käyttääkin jo kehittyneitä korrelaatiomekanismeja, haluat ehkä päättää eri tavalla, kuuluuko tietty ilmoitus tiettyyn tapahtumaan vai ei. Tässä tapauksessa voit poistaa ilmoituksen linkityksen yhdestä tapauksesta ja linkittää sen toiseen. Jokaisen hälytyksen on kuuluttava tapahtumaan, joten voit joko linkittää hälytyksen toiseen olemassa olevaan tapahtumaan tai uuteen tapahtumaan, jonka luot paikan päällä.

Lisätietoja ilmoituksen siirtämisestä tapahtumasta toiseen on artikkelissa Ilmoitusten siirtäminen tapahtumasta toiseen Microsoft Defender portaalissa.

Tapausten korrelaatio ja yhdistäminen

Defender-portaalin korrelaatiotoiminnot eivät lopu, kun tapauksia luodaan. Defender havaitsee edelleen yhtäläisyyksiä ja suhteita tapausten ja hälytysten välillä eri tapahtumissa. Kun vähintään kaksi tapausta on määritetty riittävän samanlaisiksi, Defender yhdistää tapaukset yhdeksi tapahtumaksi.

Tapausten yhdistämisehdot

Defenderin korrelaatiomoduuli yhdistää tapaukset, kun se tunnistaa yleisiä elementtejä ilmoitusten välillä erillisissä tapahtumissa sen syvän tietojen ja hyökkäyksen käyttäytymisen perusteella. Näitä elementtejä ovat muun muassa seuraavat:

• Entiteetit – resurssit, kuten käyttäjät, laitteet, postilaatikot ja muut
• Artefaktit – tiedostot, prosessit, sähköpostin lähettäjät ja muut
• Aikavälit
• Tapahtumasarjat, jotka viittaavat monivaiheisiin hyökkäyksiin – esimerkiksi haitallisiin sähköpostin napsautustapahtumiin, jotka seuraavat tiiviisti tietojenkalastelun sähköpostin tunnistusta.

Yhdistämisprosessin tiedot

Kun kaksi tai useampia tapauksia yhdistetään, niitä vastaan ei luoda uutta tapausta. Sen sijaan yhden tapauksen sisältö ( "lähdetapaus") siirretään toiseen tapahtumaan ( "kohdetapaus"), ja lähdetapaus suljetaan automaattisesti. Lähdetapaus ei ole enää näkyvissä tai käytettävissä Defender-portaalissa, ja kaikki viittaukset siihen ohjataan kohdetapaukseen. Vaikka lähdetapaus on suljettu, se on käytettävissä Microsoft Sentinel Azure-portaali.

Yhdistämissuunta

Tapahtumayhdistämisen suunta viittaa siihen, mikä tapaus on lähde ja mikä on kohde. Microsoft Defender määrittää tämän suunnan oman sisäisen logiikkansa perusteella tavoitteenaan maksimoida tietojen säilytys ja käyttöoikeus. Käyttäjällä ei ole syötettä tähän päätökseen.

Tapahtuman sisältö

Tapahtumien sisältöä käsitellään seuraavilla tavoilla:

• Kaikki lähdetapauksen sisältämät hälytykset poistetaan lähdetapauksesta ja lisätään kohdetapaukseen.
• Lähdetapauksessa käytetyt tunnisteet poistetaan lähdetapauksesta ja lisätään kohdetapaukseen.
• Lähdetapaukseen Redirected lisätään tunniste.
• Entiteetit (resurssit jne.) noudattavat ilmoituksia, joihin ne on linkitetty.
• Lähdetapauksen luomiseen liittyväksi kirjatut analytiikkasäännöt lisätään kohdetapauksessa tallennettuihin sääntöihin.
• Tällä hetkellä lähdetapauksen kommentteja ja toimintalokin merkintöjä ei siirretä kohdetapaukseen.

Jos haluat nähdä lähdetapauksen kommentit ja toimintahistorian, avaa tapaus Microsoft Sentinel Azure-portaali. Toimintahistoria sisältää tapahtuman sulkemisen sekä ilmoitusten, tunnisteiden ja muiden tapahtumayhdistämiseen liittyvien kohteiden lisäämisen ja poistamisen. Nämä toiminnot johtuvat käyttäjätietojen Microsoft Defender XDR – ilmoitusten korrelaatio.

Kun tapauksia ei yhdistetä

Vaikka korrelaatiologiikka ilmaisee, että kaksi tapausta tulisi yhdistää, Defender ei yhdistä tapauksia seuraavissa olosuhteissa:

• Yhden tapauksen tila on "Suljettu". Ratkaistuja tapauksia ei avata uudelleen.
• Lähde- ja kohdetapaukset on määritetty kahdelle eri henkilölle.
• Lähde- ja kohdetapahtumilla on kaksi eri luokitusta (esimerkiksi tosi-positiivinen ja epätosi-positiivinen).
• Kahden tapauksen yhdistäminen nostaisi kohdetapauksen entiteettien määrän sallitun enimmäismäärän yläpuolelle.
• Nämä kaksi tapausta sisältävät laitteita eri laiteryhmissä organisaation määrittämällä tavalla.
  (Tämä ehto ei ole oletusarvoisesti käytössä. Sen on oltava käytössä.)

Seuraavat vaiheet

Lisätietoja tapausten priorisoinnista ja hallinnasta on seuraavissa artikkeleissa:

• Tapausten hallinta Microsoft Defender

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tapausten voima Microsoft Defender XDR
• Sisällä Microsoft Defender XDR: Hyökkäysten korreloiminen ja yhdistäminen välikohtauksiin