Sammenslåing av varselkorrelasjon og hendelse i Microsoft Defender-portalen

• Gjelder for:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Denne artikkelen forklarer hvordan korrelasjonsmotoren i Microsoft Defender-portalen aggregerer og korrelerer varslene som samles inn fra alle kildene som produserer dem, og sender dem til portalen. Den forklarer hvordan Defender oppretter hendelser fra disse varslene, og hvordan den fortsetter å overvåke utviklingen, og slår sammen hendelser sammen hvis situasjonen krever det. Hvis du vil lære mer om varsler og deres kilder, og hvordan hendelser legger til verdi i Microsoft Defender-portalen, kan du se Hendelser og varsler i Microsoft Defender portalen.

Hendelsesoppretting og varslingskorrelasjon

Når varsler genereres av de ulike gjenkjenningsmekanismene i Microsoft Defender-portalen, som beskrevet i hendelser og varsler i Microsoft Defender-portalen, plasseres de i nye eller eksisterende hendelser i henhold til følgende logikk:

• Hvis varselet er tilstrekkelig unikt på tvers av alle varslingskilder innenfor en bestemt tidsramme, oppretter Defender en ny hendelse og legger til varselet.
• Hvis varselet er tilstrekkelig relatert til andre varsler – fra samme kilde eller på tvers av kilder – innen en bestemt tidsramme, legger Defender til varselet i en eksisterende hendelse.

Kriteriene som brukes av Defender-portalen til å koordinere varsler sammen i én enkelt hendelse, er en del av den proprietære, interne korrelasjonslogikken. Denne logikken er også ansvarlig for å gi et passende navn til den nye hendelsen.

Manuell korrelasjon mellom varsler

Selv om Microsoft Defender allerede bruker avanserte korrelasjonsmekanismer, kan det være lurt å avgjøre på en annen måte om et gitt varsel tilhører en bestemt hendelse eller ikke. I et slikt tilfelle kan du koble fra et varsel fra én hendelse og koble det til en annen. Hvert varsel må tilhøre en hendelse, slik at du enten kan koble varselet til en annen eksisterende hendelse, eller til en ny hendelse som du oppretter på stedet.

Hvis du vil ha mer informasjon om hvordan du flytter et varsel fra én hendelse til en annen, kan du se Flytte varsler fra én hendelse til en annen i Microsoft Defender-portalen.

Hendelseskorrelasjon og sammenslåing

Korrelasjonsaktivitetene i Defender-portalen stopper ikke når hendelser opprettes. Defender fortsetter å oppdage fellestrekk og relasjoner mellom hendelser og varsler på tvers av hendelser. Når to eller flere hendelser er fastslått å være tilstrekkelig like, slår Defender sammen hendelsene til en enkelt hendelse.

Vilkår for sammenslåing av hendelser

Defenders korrelasjonsmotor slår sammen hendelser når den gjenkjenner vanlige elementer mellom varsler i separate hendelser, basert på den dype kunnskapen om dataene og angrepsatferden. Noen av disse elementene omfatter:

• Enheter – ressurser som brukere, enheter, postbokser og andre
• Artefakter – filer, prosesser, e-postavsendere og andre
• Tidsrammer
• Sekvenser av hendelser som peker til flertrinnsangrep – for eksempel en ondsinnet e-postklikkhendelse som følger nøye med på gjenkjenning av phishing-e-post.

Detaljer for flettingsprosessen

Når to eller flere hendelser slås sammen, opprettes det ikke en ny hendelse for å absorbere dem. Innholdet i én hendelse (kildehendelsen) overføres i stedet til den andre hendelsen ( «målhendelsen»), og kildehendelsen lukkes automatisk. Kildehendelsen er ikke lenger synlig eller tilgjengelig i Defender-portalen, og eventuelle referanser til den omdirigeres til målhendelsen. Kildehendelsen, selv om den er stengt, er fortsatt tilgjengelig i Microsoft Sentinel i Azure Portal.

Sammenslåingsretning

Retningen på hendelsesflettingen refererer til hvilken hendelse som er kilden og hvilket som er målet. Denne retningen bestemmes av Microsoft Defender, basert på sin egen interne logikk, med mål om å maksimere informasjonsoppbevaring og tilgang. Brukeren har ingen inndata i denne beslutningen.

Hendelsesinnhold

Innholdet i hendelsene håndteres på følgende måter:

• Alle varsler i kildehendelsen fjernes fra kildehendelsen og legges til målhendelsen.
• Eventuelle koder som brukes på kildehendelsen fjernes fra kildehendelsen og legges til målhendelsen.
• Det legges til et Redirected merke i kildehendelsen.
• Enheter (aktiva osv.) følger varslene de er koblet til.
• Analyseregler som registreres som involvert i opprettelsen av kildehendelsen, legges til reglene som er registrert i målhendelsen.
• Kommentarer og aktivitetsloggoppføringer i kildehendelsen flyttes for øyeblikket ikke til målhendelsen.

Hvis du vil se kildehendelsens kommentarer og aktivitetshistorikk, åpner du hendelsen i Microsoft Sentinel i Azure Portal. Aktivitetsloggen omfatter stenging av hendelsen og tilføying og fjerning av varsler, merker og andre elementer knyttet til hendelsesflettingen. Disse aktivitetene er tilskrevet identiteten Microsoft Defender XDR – varselkorrelasjon.

Når hendelser ikke slås sammen

Selv når korrelasjonslogikken indikerer at to hendelser skal slås sammen, slår ikke Defender sammen hendelsene under følgende omstendigheter:

• En av hendelsene har statusen «Lukket». Hendelser som løses, åpnes ikke på nytt.
• Kilde- og målhendelsene er tildelt to forskjellige personer.
• Kilde- og målhendelsene har to forskjellige klassifiseringer (for eksempel sann positiv og falsk positiv).
• Sammenslåing av de to hendelsene ville øke antall enheter i målhendelsen over tillatt maksimum.
• De to hendelsene inneholder enheter i forskjellige enhetsgrupper som definert av organisasjonen.
  (Denne betingelsen er ikke aktivert som standard. Den må være aktivert.)

Neste trinn

Hvis du vil lære mer om prioritering og administrasjon av hendelser, kan du se følgende artikler:

• Behandle hendelser i Microsoft Defender

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.

Se også

• Kraften i hendelser i Microsoft Defender XDR
• Innenfor Microsoft Defender XDR: Korrelere og konsolidere angrep i hendelser