Correlazione degli avvisi e unione di eventi imprevisti nel portale di Microsoft Defender

• Si applica a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come il motore di correlazione nel portale di Microsoft Defender aggrega e correla gli avvisi raccolti da tutte le origini che li producono e li invia al portale. Spiega in che modo Defender crea eventi imprevisti da questi avvisi e come continua a monitorarne l'evoluzione, unendo gli eventi imprevisti se la situazione lo richiede. Per altre informazioni sugli avvisi e sulle relative origini e su come gli eventi imprevisti aggiungono valore nel portale di Microsoft Defender, vedere Eventi imprevisti e avvisi nel portale di Microsoft Defender.

Creazione di eventi imprevisti e correlazione degli avvisi

Quando gli avvisi vengono generati dai vari meccanismi di rilevamento nel portale di Microsoft Defender, come descritto in Eventi imprevisti e avvisi nel portale di Microsoft Defender, vengono inseriti in eventi imprevisti nuovi o esistenti in base alla logica seguente:

• Se l'avviso è sufficientemente univoco in tutte le origini di avviso entro un determinato intervallo di tempo, Defender crea un nuovo evento imprevisto e lo aggiunge.
• Se l'avviso è sufficientemente correlato ad altri avvisi, dalla stessa origine o tra origini, entro un determinato intervallo di tempo, Defender aggiunge l'avviso a un evento imprevisto esistente.

I criteri usati dal portale di Defender per correlare gli avvisi in un singolo evento imprevisto fanno parte della logica di correlazione interna proprietaria. Questa logica è anche responsabile di assegnare un nome appropriato al nuovo evento imprevisto.

Correlazione manuale degli avvisi

Anche se Microsoft Defender usa già meccanismi di correlazione avanzati, è possibile decidere in modo diverso se un determinato avviso appartiene o meno a un evento imprevisto specifico. In questo caso, è possibile scollegare un avviso da un evento imprevisto e collegarlo a un altro. Ogni avviso deve appartenere a un evento imprevisto, in modo da poter collegare l'avviso a un altro evento imprevisto esistente o a un nuovo evento imprevisto creato sul posto.

Per altre informazioni sullo spostamento di un avviso da un evento imprevisto a un altro, vedere Spostare avvisi da un evento imprevisto a un altro nel portale di Microsoft Defender.

Correlazione e unione degli eventi imprevisti

Le attività di correlazione del portale di Defender non si arrestano quando vengono creati eventi imprevisti. Defender continua a rilevare le comunità e le relazioni tra eventi imprevisti e avvisi tra gli eventi imprevisti. Quando due o più eventi imprevisti sono considerati sufficientemente simili, Defender unisce gli eventi imprevisti in un singolo evento imprevisto.

Criteri per l'unione di eventi imprevisti

Il motore di correlazione di Defender unisce gli eventi imprevisti quando riconosce gli elementi comuni tra gli avvisi in eventi imprevisti separati, in base alla conoscenza approfondita dei dati e del comportamento degli attacchi. Alcuni di questi elementi includono:

• Entità: asset come utenti, dispositivi, cassette postali e altri
• Artefatti: file, processi, mittenti di posta elettronica e altri
• Intervalli di tempo
• Sequenze di eventi che puntano ad attacchi a più fasi, ad esempio un evento di clic di posta elettronica dannoso che segue da vicino un rilevamento di posta elettronica di phishing.

Dettagli del processo di unione

Quando vengono uniti due o più eventi imprevisti, non viene creato un nuovo evento imprevisto per assorbirli. Al contrario, viene eseguita la migrazione del contenuto di un evento imprevisto ( l'evento imprevisto di origine) nell'altro evento imprevisto ( l'evento imprevisto di destinazione) e l'evento imprevisto di origine viene chiuso automaticamente. L'evento imprevisto di origine non è più visibile o disponibile nel portale di Defender e qualsiasi riferimento a tale evento viene reindirizzato all'evento imprevisto di destinazione. L'evento imprevisto di origine, sebbene chiuso, rimane accessibile in Microsoft Sentinel nel portale di Azure.

Direzione unione

La direzione dell'unione degli eventi imprevisti fa riferimento a quale evento imprevisto è l'origine e quale è la destinazione. Questa direzione è determinata da Microsoft Defender, in base alla propria logica interna, con l'obiettivo di massimizzare la conservazione e l'accesso alle informazioni. L'utente non ha alcun input in questa decisione.

Contenuto dell'evento imprevisto

Il contenuto degli eventi imprevisti viene gestito nei modi seguenti:

• Tutti gli avvisi contenuti nell'evento imprevisto di origine vengono rimossi dall'evento imprevisto di origine e aggiunti all'evento imprevisto di destinazione.
• Tutti i tag applicati all'evento imprevisto di origine vengono rimossi dall'evento imprevisto di origine e aggiunti all'evento imprevisto di destinazione.
• Un Redirected tag viene aggiunto all'evento imprevisto di origine.
• Le entità (asset e così via) seguono gli avvisi a cui sono collegate.
• Le regole di analisi registrate come coinvolte nella creazione dell'evento imprevisto di origine vengono aggiunte alle regole registrate nell'evento imprevisto di destinazione.
• Attualmente, i commenti e le voci del log attività nell'evento imprevisto di origine non vengono spostati nell'evento imprevisto di destinazione.

Per visualizzare i commenti e la cronologia attività dell'evento imprevisto di origine, aprire l'evento imprevisto in Microsoft Sentinel nel portale di Azure. La cronologia attività include la chiusura dell'evento imprevisto e l'aggiunta e la rimozione di avvisi, tag e altri elementi correlati all'unione dell'evento imprevisto. Queste attività sono attribuite alla correlazione identity Microsoft Defender XDR - alert.

Quando gli eventi imprevisti non vengono uniti

Anche quando la logica di correlazione indica che due eventi imprevisti devono essere uniti, Defender non unisce gli eventi imprevisti nelle circostanze seguenti:

• Uno degli eventi imprevisti ha lo stato "Chiuso". Gli eventi imprevisti risolti non vengono riaperti.
• Gli eventi imprevisti di origine e di destinazione vengono assegnati a due persone diverse.
• Gli eventi imprevisti di origine e di destinazione hanno due classificazioni diverse, ad esempio vero positivo e falso positivo.
• L'unione dei due eventi imprevisti comporterebbe un aumento del numero di entità nell'evento imprevisto di destinazione superiore al massimo consentito.
• I due eventi imprevisti contengono dispositivi in gruppi di dispositivi diversi, come definito dall'organizzazione.
  Questa condizione non è attiva per impostazione predefinita, ma deve essere abilitata.

Passaggi successivi

Per altre informazioni sulla definizione delle priorità e sulla gestione degli eventi imprevisti, vedere gli articoli seguenti:

• Gestire gli eventi imprevisti in Microsoft Defender

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.

Vedere anche

• La potenza degli eventi imprevisti in Microsoft Defender XDR
• All'interno Microsoft Defender XDR: correlare e consolidare gli attacchi in eventi imprevisti