Correlazione degli avvisi e unione di eventi imprevisti nel portale di Microsoft Defender
Questo articolo illustra come il portale Microsoft Defender aggrega e correla gli avvisi raccolti da tutte le origini che li producono e li invia al portale. Spiega in che modo Defender crea eventi imprevisti da questi avvisi e come continua a monitorarne l'evoluzione, unendo gli eventi imprevisti se la situazione lo richiede. Per altre informazioni sugli avvisi e sulle relative origini e su come gli eventi imprevisti aggiungono valore nel portale di Microsoft Defender, vedere Eventi imprevisti e avvisi nel portale di Microsoft Defender.
Creazione di eventi imprevisti e correlazione degli avvisi
Quando gli avvisi vengono generati dai vari meccanismi di rilevamento nel portale di Microsoft Defender, come descritto in Eventi imprevisti e avvisi nel portale di Microsoft Defender, vengono inseriti in eventi imprevisti nuovi o esistenti in base alla logica seguente:
- Se l'avviso è sufficientemente univoco in tutte le origini di avviso entro un determinato intervallo di tempo, Defender crea un nuovo evento imprevisto e lo aggiunge.
- Se l'avviso è sufficientemente correlato ad altri avvisi, dalla stessa origine o tra origini, entro un determinato intervallo di tempo, Defender aggiunge l'avviso a un evento imprevisto esistente.
I criteri usati dal portale di Defender per correlare gli avvisi in un singolo evento imprevisto fanno parte della logica di correlazione interna proprietaria. Questa logica è anche responsabile di assegnare un nome appropriato al nuovo evento imprevisto.
Correlazione e unione degli eventi imprevisti
Le attività di correlazione del portale di Defender non si arrestano quando vengono creati eventi imprevisti. Defender continua a rilevare le comunità e le relazioni tra gli eventi imprevisti e tra gli avvisi tra gli eventi imprevisti. Quando due o più eventi imprevisti sono considerati sufficientemente simili, Defender unisce gli eventi imprevisti in un singolo evento imprevisto.
Criteri per l'unione di eventi imprevisti
Il motore di correlazione di Defender unisce gli eventi imprevisti quando riconosce gli elementi comuni tra gli avvisi in eventi imprevisti separati, in base alla conoscenza approfondita dei dati e del comportamento degli attacchi. Alcuni di questi elementi includono:
- Entità: asset come utenti, dispositivi, cassette postali e altri
- Artefatti: file, processi, mittenti di posta elettronica e altri
- Intervalli di tempo
- Sequenze di eventi che puntano ad attacchi a più fasi, ad esempio un evento di clic di posta elettronica dannoso che segue da vicino un rilevamento di posta elettronica di phishing.
Risultati del processo di merge
Quando vengono uniti due o più eventi imprevisti, non viene creato un nuovo evento imprevisto per assorbirli. Al contrario, il contenuto di un evento imprevisto viene migrato nell'altro evento imprevisto e l'evento imprevisto abbandonato nel processo viene chiuso automaticamente. L'evento imprevisto abbandonato non è più visibile o disponibile nel portale di Defender e qualsiasi riferimento a tale evento viene reindirizzato all'evento imprevisto consolidato. L'evento imprevisto abbandonato e chiuso rimane accessibile in Microsoft Sentinel nella portale di Azure. Il contenuto degli eventi imprevisti viene gestito nei modi seguenti:
- Gli avvisi contenuti nell'evento imprevisto abbandonato vengono rimossi e aggiunti all'evento imprevisto consolidato.
- Tutti i tag applicati all'evento imprevisto abbandonato vengono rimossi e aggiunti all'evento imprevisto consolidato.
- Un
Redirectedtag viene aggiunto all'evento imprevisto abbandonato. - Le entità (asset e così via) seguono gli avvisi a cui sono collegate.
- Le regole di analisi registrate come coinvolte nella creazione dell'evento imprevisto abbandonato vengono aggiunte alle regole registrate nell'evento imprevisto consolidato.
- Attualmente, i commenti e le voci del log attività nell'evento imprevisto abbandonato non vengono spostati nell'evento imprevisto consolidato.
Per visualizzare i commenti e la cronologia attività dell'evento imprevisto abbandonato, aprire l'evento imprevisto in Microsoft Sentinel nel portale di Azure. La cronologia attività include la chiusura dell'evento imprevisto e l'aggiunta e la rimozione di avvisi, tag e altri elementi correlati all'unione dell'evento imprevisto. Queste attività sono attribuite alla correlazione identity Microsoft Defender XDR - alert.
Quando gli eventi imprevisti non vengono uniti
Anche quando la logica di correlazione indica che due eventi imprevisti devono essere uniti, Defender non unisce gli eventi imprevisti nelle circostanze seguenti:
- Uno degli eventi imprevisti ha lo stato "Chiuso". Gli eventi imprevisti risolti non vengono riaperti.
- I due eventi imprevisti idonei per l'unione sono assegnati a due persone diverse.
- Se si uniscono i due eventi imprevisti, il numero di entità nell'evento imprevisto unito supera il massimo consentito di 50 entità per evento imprevisto.
- I due eventi imprevisti contengono dispositivi in gruppi di dispositivi diversi, come definito dall'organizzazione.
Questa condizione non è attiva per impostazione predefinita, ma deve essere abilitata.
Correlazione manuale
Anche se Microsoft Defender usa già meccanismi di correlazione avanzati, è possibile decidere in modo diverso se un determinato avviso appartiene o meno a un evento imprevisto specifico. In questo caso, è possibile scollegare un avviso da un evento imprevisto e collegarlo a un altro. Ogni avviso deve appartenere a un evento imprevisto, in modo da poter collegare l'avviso a un altro evento imprevisto esistente o a un nuovo evento imprevisto creato sul posto.
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.
Passaggi successivi
Per altre informazioni sulla definizione delle priorità e sulla gestione degli eventi imprevisti, vedere gli articoli seguenti: