Sammenslåing av varselkorrelasjon og hendelse i Microsoft Defender-portalen

• Gjelder for:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Denne artikkelen forklarer hvordan Microsoft Defender-portalen aggregerer og korrelerer varslene den samler inn fra alle kildene som produserer dem, og sender dem til portalen. Den forklarer hvordan Defender oppretter hendelser fra disse varslene, og hvordan den fortsetter å overvåke utviklingen, og slår sammen hendelser sammen hvis situasjonen krever det. Hvis du vil lære mer om varsler og deres kilder, og hvordan hendelser legger til verdi i Microsoft Defender-portalen, kan du se Hendelser og varsler i Microsoft Defender portalen.

Hendelsesoppretting og varslingskorrelasjon

Når varsler genereres av de ulike gjenkjenningsmekanismene i Microsoft Defender-portalen, som beskrevet i hendelser og varsler i Microsoft Defender-portalen, plasseres de i nye eller eksisterende hendelser i henhold til følgende logikk:

• Hvis varselet er tilstrekkelig unikt på tvers av alle varslingskilder innenfor en bestemt tidsramme, oppretter Defender en ny hendelse og legger til varselet.
• Hvis varselet er tilstrekkelig relatert til andre varsler – fra samme kilde eller på tvers av kilder – innen en bestemt tidsramme, legger Defender til varselet i en eksisterende hendelse.

Kriteriene som brukes av Defender-portalen til å koordinere varsler sammen i én enkelt hendelse, er en del av den proprietære, interne korrelasjonslogikken. Denne logikken er også ansvarlig for å gi et passende navn til den nye hendelsen.

Manuell korrelasjon mellom varsler

Selv om Microsoft Defender allerede bruker avanserte korrelasjonsmekanismer, kan det være lurt å avgjøre på en annen måte om et gitt varsel tilhører en bestemt hendelse eller ikke. I et slikt tilfelle kan du koble fra et varsel fra én hendelse og koble det til en annen. Hvert varsel må tilhøre en hendelse, slik at du enten kan koble varselet til en annen eksisterende hendelse, eller til en ny hendelse som du oppretter på stedet.

Hvis du vil ha instruksjoner, kan du se Koblingsvarsler til en annen hendelse i Microsoft Defender-portalen.

Hendelseskorrelasjon og sammenslåing

Korrelasjonsaktivitetene i Defender-portalen stopper ikke når hendelser opprettes. Defender fortsetter å oppdage fellestrekk og relasjoner mellom hendelser, og mellom varsler på tvers av hendelser. Når to eller flere hendelser er fastslått å være tilstrekkelig like, slår Defender sammen hendelsene til en enkelt hendelse.

Vilkår for sammenslåing av hendelser

Defenders korrelasjonsmotor slår sammen hendelser når den gjenkjenner vanlige elementer mellom varsler i separate hendelser, basert på den dype kunnskapen om dataene og angrepsatferden. Noen av disse elementene omfatter:

• Enheter – ressurser som brukere, enheter, postbokser og andre
• Artefakter – filer, prosesser, e-postavsendere og andre
• Tidsrammer
• Sekvenser av hendelser som peker til flertrinnsangrep – for eksempel en ondsinnet e-postklikkhendelse som følger nøye med på gjenkjenning av phishing-e-post.

Resultater av flettingsprosessen

Når to eller flere hendelser slås sammen, opprettes det ikke en ny hendelse for å absorbere dem. I stedet overføres innholdet i en hendelse til den andre hendelsen, og hendelsen som er forlatt i prosessen, lukkes automatisk. Den forlatte hendelsen er ikke lenger synlig eller tilgjengelig i Defender-portalen, og eventuelle referanser til den omdirigeres til den konsoliderte hendelsen. Den forlatte, lukkede hendelsen er fortsatt tilgjengelig i Microsoft Sentinel i Azure Portal. Innholdet i hendelsene håndteres på følgende måter:

• Varsler i den forlatte hendelsen fjernes fra den og legges til i den konsoliderte hendelsen.
• Eventuelle merker som brukes på den forlatte hendelsen fjernes fra den og legges til i den konsoliderte hendelsen.
• Det Redirected legges til et merke i den forlatte hendelsen.
• Enheter (aktiva osv.) følger varslene de er koblet til.
• Analyseregler registrert som involvert i opprettelsen av den forlatte hendelsen legges til reglene som er registrert i den konsoliderte hendelsen.
• Kommentarer og aktivitetsloggoppføringer i den forlatte hendelsen flyttes for øyeblikket ikke til den konsoliderte hendelsen.

For å se den forlatte hendelsens kommentarer og aktivitetshistorikk, åpner du hendelsen i Microsoft Sentinel i Azure Portal. Aktivitetsloggen omfatter stenging av hendelsen og tilføying og fjerning av varsler, merker og andre elementer knyttet til hendelsesflettingen. Disse aktivitetene er tilskrevet identiteten Microsoft Defender XDR – varselkorrelasjon.

Når hendelser ikke slås sammen

Selv når korrelasjonslogikken indikerer at to hendelser skal slås sammen, slår ikke Defender sammen hendelsene under følgende omstendigheter:

• En av hendelsene har statusen «Lukket». Hendelser som løses, åpnes ikke på nytt.
• De to hendelsene som er kvalifisert for sammenslåing er tildelt to forskjellige personer.
• Sammenslåing av de to hendelsene ville øke antall enheter i den sammenslåtte hendelsen over det tillatte maksimalt 50 enheter per hendelse.
• De to hendelsene inneholder enheter i forskjellige enhetsgrupper som definert av organisasjonen.
  (Denne betingelsen er ikke aktivert som standard. Den må være aktivert.)

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.

Neste trinn

Hvis du vil lære mer om prioritering og administrasjon av hendelser, kan du se følgende artikler:

• Behandle hendelser i Microsoft Defender

Se også

• Kraften i hendelser i Microsoft Defender XDR
• Innenfor Microsoft Defender XDR: Korrelere og konsolidere angrep i hendelser