Waarschuwingscorrelatie en incident samenvoegen in de Microsoft Defender-portal

• Van toepassing op:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel wordt uitgelegd hoe de correlatie-engine in de Microsoft Defender portal de waarschuwingen verzamelt en correleert die zijn verzameld uit alle bronnen die ze produceren en naar de portal verzenden. Hierin wordt uitgelegd hoe Defender incidenten maakt op basis van deze waarschuwingen en hoe het de evolutie ervan blijft bewaken, en incidenten samenvoegt als de situatie dat rechtvaardigt. Zie Incidenten en waarschuwingen in de Microsoft Defender portal voor meer informatie over waarschuwingen en hun bronnen en hoe incidenten waarde toevoegen in de Microsoft Defender-portal.

Correlatie van het maken van incidenten en waarschuwingen

Wanneer waarschuwingen worden gegenereerd door de verschillende detectiemechanismen in de Microsoft Defender-portal, zoals beschreven in Incidenten en waarschuwingen in de Microsoft Defender-portal, worden ze in nieuwe of bestaande incidenten geplaatst volgens de volgende logica:

• Als de waarschuwing voldoende uniek is in alle waarschuwingsbronnen binnen een bepaald tijdsbestek, maakt Defender een nieuw incident en voegt de waarschuwing eraan toe.
• Als de waarschuwing binnen een bepaald tijdsbestek voldoende is gerelateerd aan andere waarschuwingen, afkomstig van dezelfde bron of bronnen, voegt Defender de waarschuwing toe aan een bestaand incident.

De criteria die door de Defender-portal worden gebruikt om waarschuwingen in één incident te correleren, maken deel uit van de eigen interne correlatielogica. Deze logica is ook verantwoordelijk voor het geven van een geschikte naam aan het nieuwe incident.

Handmatige correlatie van waarschuwingen

Hoewel Microsoft Defender al gebruikmaakt van geavanceerde correlatiemechanismen, wilt u misschien anders beslissen of een bepaalde waarschuwing bij een bepaald incident hoort of niet. In een dergelijk geval kunt u een waarschuwing ontkoppelen van het ene incident en deze koppelen aan een ander incident. Elke waarschuwing moet deel uitmaken van een incident, zodat u de waarschuwing kunt koppelen aan een ander bestaand incident of aan een nieuw incident dat u ter plaatse maakt.

Zie Waarschuwingen verplaatsen van het ene incident naar het andere in de Microsoft Defender portal voor meer informatie over het verplaatsen van een waarschuwing van het ene incident naar het andere.

Incidentcorrelatie en samenvoegen

De correlatieactiviteiten van de Defender-portal stoppen niet wanneer er incidenten worden gemaakt. Defender blijft veelvoorkomende kenmerken en relaties tussen incidenten en waarschuwingen tussen incidenten detecteren. Wanneer wordt vastgesteld dat twee of meer incidenten voldoende op elkaar lijken, worden de incidenten samengevoegd in één incident.

Criteria voor het samenvoegen van incidenten

De correlatie-engine van Defender voegt incidenten samen wanneer er algemene elementen tussen waarschuwingen in afzonderlijke incidenten worden herkend, op basis van de diepgaande kennis van de gegevens en het aanvalsgedrag. Enkele van deze elementen zijn:

• Entiteiten: assets zoals gebruikers, apparaten, postvakken en andere
• Artefacten: bestanden, processen, afzenders van e-mail en andere
• Tijdframes
• Reeksen van gebeurtenissen die verwijzen naar aanvallen met meerdere fasen, bijvoorbeeld een schadelijke e-mailklikgebeurtenis die op de voet volgt op een phishing-e-maildetectie.

Details van het samenvoegproces

Wanneer twee of meer incidenten worden samengevoegd, wordt er geen nieuw incident gemaakt om deze op te vangen. In plaats daarvan wordt de inhoud van het ene incident (het 'bronincident') gemigreerd naar het andere incident (het 'doelincident') en wordt het bronincident automatisch gesloten. Het bronincident is niet meer zichtbaar of beschikbaar in de Defender-portal en elke verwijzing ernaar wordt omgeleid naar het doelincident. Het bronincident blijft, hoewel gesloten, toegankelijk in Microsoft Sentinel in de Azure Portal.

Samenvoegrichting

De richting van de samenvoeging van het incident verwijst naar welk incident de bron is en welk het doel is. Deze richting wordt bepaald door Microsoft Defender, op basis van de eigen interne logica, met als doel het maximaliseren van gegevensretentie en toegang. De gebruiker heeft geen invoer in deze beslissing.

Inhoud van incident

De inhoud van de incidenten wordt op de volgende manieren verwerkt:

• Alle waarschuwingen in het bronincident worden verwijderd uit het bronincident en toegevoegd aan het doelincident.
• Tags die zijn toegepast op het bronincident, worden verwijderd uit het bronincident en toegevoegd aan het doelincident.
• Er wordt een Redirected tag toegevoegd aan het bronincident.
• Entiteiten (assets, enzovoort) volgen de waarschuwingen waaraan ze zijn gekoppeld.
• Analyseregels die zijn vastgelegd als betrokken bij het maken van het bronincident, worden toegevoegd aan de regels die zijn vastgelegd in het doelincident.
• Momenteel worden opmerkingen en vermeldingen in het activiteitenlogboek in het bronincident niet verplaatst naar het doelincident.

Als u de opmerkingen en activiteitengeschiedenis van het bronincident wilt bekijken, opent u het incident in Microsoft Sentinel in de Azure Portal. De activiteitengeschiedenis omvat het sluiten van het incident en het toevoegen en verwijderen van waarschuwingen, tags en andere items met betrekking tot de samenvoeging van incidenten. Deze activiteiten worden toegeschreven aan de correlatie tussen identiteiten Microsoft Defender XDR - waarschuwingen.

Wanneer incidenten niet worden samengevoegd

Zelfs wanneer de correlatielogica aangeeft dat twee incidenten moeten worden samengevoegd, worden de incidenten niet samengevoegd in Defender onder de volgende omstandigheden:

• Een van de incidenten heeft de status Gesloten. Incidenten die zijn opgelost, worden niet opnieuw geopend.
• De bron- en doelincidenten worden toegewezen aan twee verschillende personen.
• De bron- en doelincidenten hebben twee verschillende classificaties (bijvoorbeeld waar-positief en fout-positief).
• Als u de twee incidenten samenvoegt, wordt het aantal entiteiten in het doelincident hoger dan het toegestane maximum.
• De twee incidenten bevatten apparaten in verschillende apparaatgroepen , zoals gedefinieerd door de organisatie.
  (Deze voorwaarde is niet standaard van kracht; deze moet zijn ingeschakeld.)

Volgende stappen

Zie de volgende artikelen voor meer informatie over het prioriteren en beheren van incidenten:

• Incidenten beheren in Microsoft Defender

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.

Zie ook

• De kracht van incidenten in Microsoft Defender XDR
• Inside Microsoft Defender XDR: Aanvallen correleren en consolideren in incidenten