Korelacja alertów i scalanie zdarzeń w portalu Microsoft Defender

• Dotyczy:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, w jaki sposób portal Microsoft Defender agreguje i koreluje alerty zbierane ze wszystkich źródeł, które je generują, i wysyła je do portalu. Wyjaśniono w nim, w jaki sposób usługa Defender tworzy zdarzenia na podstawie tych alertów i jak nadal monitoruje ich ewolucję, scalając incydenty razem, jeśli sytuacja jest uzasadniona. Aby dowiedzieć się więcej na temat alertów i ich źródeł oraz sposobu dodawania wartości zdarzeń w portalu Microsoft Defender, zobacz Incydenty i alerty w portalu Microsoft Defender.

Tworzenie zdarzenia i korelacja alertów

Gdy alerty są generowane przez różne mechanizmy wykrywania w portalu Microsoft Defender, zgodnie z opisem w temacie Zdarzenia i alerty w portalu Microsoft Defender, są one umieszczane w nowych lub istniejących zdarzeniach zgodnie z następującą logiką:

• Jeśli alert jest wystarczająco unikatowy we wszystkich źródłach alertów w określonym przedziale czasu, usługa Defender tworzy nowe zdarzenie i dodaje do niego alert.
• Jeśli alert jest wystarczająco powiązany z innymi alertami — z tego samego źródła lub ze źródeł — w określonym przedziale czasu, usługa Defender dodaje alert do istniejącego zdarzenia.

Kryteria używane przez portal usługi Defender do skorelowania alertów w jednym zdarzeniu są częścią zastrzeżonej, wewnętrznej logiki korelacji. Ta logika jest również odpowiedzialna za nadanie nowemu zdarzeniu odpowiedniej nazwy.

Ręczna korelacja alertów

Chociaż Microsoft Defender już używa zaawansowanych mechanizmów korelacji, możesz zdecydować inaczej, czy dany alert należy do określonego zdarzenia, czy nie. W takim przypadku możesz odłączyć alert od jednego zdarzenia i połączyć go z innym. Każdy alert musi należeć do zdarzenia, aby można było połączyć alert z innym istniejącym zdarzeniem lub z nowym incydentem utworzonym na miejscu.

Aby uzyskać instrukcje, zobacz Link alerts to another incident in the Microsoft Defender portal (Łączenie alertów z innym incydentem w portalu Microsoft Defender).

Korelacja i scalanie zdarzeń

Działania korelacji portalu usługi Defender nie są zatrzymywane podczas tworzenia zdarzeń. Usługa Defender nadal wykrywa podobieństwa i relacje między zdarzeniami oraz między alertami w różnych zdarzeniach. Gdy dwa lub więcej zdarzeń zostanie uznanych za wystarczająco podobne, usługa Defender scali zdarzenia w jeden incydent.

Kryteria scalania zdarzeń

Aparat korelacji usługi Defender scala zdarzenia, gdy rozpoznaje typowe elementy między alertami w oddzielnych zdarzeniach na podstawie jego głębokiej wiedzy o danych i zachowaniu ataku. Niektóre z tych elementów obejmują:

• Jednostki — zasoby, takie jak użytkownicy, urządzenia, skrzynki pocztowe i inne
• Artefakty — pliki, procesy, nadawcy wiadomości e-mail i inne
• Przedziały czasowe
• Sekwencje zdarzeń, które wskazują na ataki wieloetapowe — na przykład złośliwe zdarzenie kliknięcia wiadomości e-mail, które ściśle śledzi wykrywanie wiadomości e-mail wyłudzającej informacje.

Wyniki procesu scalania

Po scaleniu co najmniej dwóch zdarzeń nowe zdarzenie nie zostanie utworzone w celu ich wchłonięcia. Zamiast tego zawartość jednego zdarzenia jest migrowana do drugiego zdarzenia, a zdarzenie porzucone w procesie jest automatycznie zamykane. Porzucone zdarzenie nie jest już widoczne ani dostępne w portalu usługi Defender, a wszelkie odwołania do niego są przekierowywane do skonsolidowanego incydentu. Opuszczony, zamknięty incydent pozostaje dostępny w Microsoft Sentinel w Azure Portal. Zawartość zdarzeń jest obsługiwana w następujący sposób:

• Alerty zawarte w porzuconym zdarzeniu są usuwane z niego i dodawane do skonsolidowanego incydentu.
• Wszystkie tagi zastosowane do porzuconego zdarzenia zostaną z niego usunięte i dodane do skonsolidowanego incydentu.
• Tag Redirected jest dodawany do porzuconego incydentu.
• Jednostki (zasoby itp.) postępują zgodnie z alertami, z którymi są połączone.
• Reguły analizy zarejestrowane jako zaangażowane w tworzenie porzuconego zdarzenia są dodawane do reguł zarejestrowanych w skonsolidowanym zdarzeniu.
• Obecnie komentarze i wpisy dziennika aktywności w porzuconym zdarzeniu nie są przenoszone do skonsolidowanego incydentu.

Aby wyświetlić komentarze i historię aktywności porzuconego incydentu, otwórz zdarzenie w Microsoft Sentinel w Azure Portal. Historia działań obejmuje zamknięcie zdarzenia oraz dodawanie i usuwanie alertów, tagów i innych elementów związanych z scalaniem incydentu. Te działania są przypisywane do tożsamości Microsoft Defender XDR — korelacji alertów.

Gdy zdarzenia nie są scalane

Nawet jeśli logika korelacji wskazuje, że należy scalić dwa zdarzenia, usługa Defender nie scala zdarzeń w następujących okolicznościach:

• Jedno ze zdarzeń ma stan "Zamknięte". Rozwiązane zdarzenia nie są ponownie otwierane.
• Dwa zdarzenia kwalifikujące się do scalenia są przypisywane do dwóch różnych osób.
• Scalanie tych dwóch zdarzeń zwiększy liczbę jednostek w scalonym zdarzeniu powyżej dozwolonego maksymalnie 50 jednostek na zdarzenie.
• Te dwa zdarzenia zawierają urządzenia w różnych grupach urządzeń zgodnie z definicją organizacji.
  (Ten warunek nie obowiązuje domyślnie; musi być włączony).

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

Następne kroki

Aby dowiedzieć się więcej na temat określania priorytetów zdarzeń i zarządzania nimi, zobacz następujące artykuły:

• Zarządzanie zdarzeniami w Microsoft Defender

Zobacz też

• Możliwości zdarzeń w Microsoft Defender XDR
• Wewnątrz Microsoft Defender XDR: Korelowanie i konsolidowanie ataków w zdarzeniach