Korelacja alertów i scalanie zdarzeń w portalu Microsoft Defender
W tym artykule wyjaśniono, w jaki sposób aparat korelacji w portalu Microsoft Defender agreguje i koreluje alerty zebrane ze wszystkich źródeł, które je generują, i wysyła je do portalu. Wyjaśniono w nim, w jaki sposób usługa Defender tworzy zdarzenia na podstawie tych alertów i jak nadal monitoruje ich ewolucję, scalając incydenty razem, jeśli sytuacja jest uzasadniona. Aby dowiedzieć się więcej na temat alertów i ich źródeł oraz sposobu dodawania wartości zdarzeń w portalu Microsoft Defender, zobacz Incydenty i alerty w portalu Microsoft Defender.
Tworzenie zdarzenia i korelacja alertów
Gdy alerty są generowane przez różne mechanizmy wykrywania w portalu Microsoft Defender, zgodnie z opisem w temacie Zdarzenia i alerty w portalu Microsoft Defender, są one umieszczane w nowych lub istniejących zdarzeniach zgodnie z następującą logiką:
- Jeśli alert jest wystarczająco unikatowy we wszystkich źródłach alertów w określonym przedziale czasu, usługa Defender tworzy nowe zdarzenie i dodaje do niego alert.
- Jeśli alert jest wystarczająco powiązany z innymi alertami — z tego samego źródła lub ze źródeł — w określonym przedziale czasu, usługa Defender dodaje alert do istniejącego zdarzenia.
Kryteria używane przez portal usługi Defender do skorelowania alertów w jednym zdarzeniu są częścią zastrzeżonej, wewnętrznej logiki korelacji. Ta logika jest również odpowiedzialna za nadanie nowemu zdarzeniu odpowiedniej nazwy.
Ręczna korelacja alertów
Chociaż Microsoft Defender już używa zaawansowanych mechanizmów korelacji, możesz zdecydować inaczej, czy dany alert należy do określonego zdarzenia, czy nie. W takim przypadku możesz odłączyć alert od jednego zdarzenia i połączyć go z innym. Każdy alert musi należeć do zdarzenia, aby można było połączyć alert z innym istniejącym zdarzeniem lub z nowym incydentem utworzonym na miejscu.
Aby uzyskać więcej informacji na temat przenoszenia alertu z jednego zdarzenia do innego, zobacz Przenoszenie alertów z jednego zdarzenia do innego w portalu Microsoft Defender.
Korelacja i scalanie zdarzeń
Działania korelacji portalu usługi Defender nie są zatrzymywane podczas tworzenia zdarzeń. Usługa Defender nadal wykrywa podobieństwa i relacje między zdarzeniami i alertami w różnych zdarzeniach. Gdy dwa lub więcej zdarzeń zostanie uznanych za wystarczająco podobne, usługa Defender scali zdarzenia w jeden incydent.
Kryteria scalania zdarzeń
Aparat korelacji usługi Defender scala zdarzenia, gdy rozpoznaje typowe elementy między alertami w oddzielnych zdarzeniach na podstawie jego głębokiej wiedzy o danych i zachowaniu ataku. Niektóre z tych elementów obejmują:
- Jednostki — zasoby, takie jak użytkownicy, urządzenia, skrzynki pocztowe i inne
- Artefakty — pliki, procesy, nadawcy wiadomości e-mail i inne
- Przedziały czasowe
- Sekwencje zdarzeń, które wskazują na ataki wieloetapowe — na przykład złośliwe zdarzenie kliknięcia wiadomości e-mail, które ściśle śledzi wykrywanie wiadomości e-mail wyłudzającej informacje.
Szczegóły procesu scalania
Po scaleniu co najmniej dwóch zdarzeń nowe zdarzenie nie zostanie utworzone w celu ich wchłonięcia. Zamiast tego zawartość jednego zdarzenia ( "zdarzenie źródłowe") jest migrowana do drugiego zdarzenia ( "zdarzenie docelowe"), a zdarzenie źródłowe jest automatycznie zamykane. Zdarzenie źródłowe nie jest już widoczne ani dostępne w portalu usługi Defender, a wszelkie odwołania do niego są przekierowywane do zdarzenia docelowego. Incydent źródłowy, choć zamknięty, pozostaje dostępny w Microsoft Sentinel w Azure Portal.
Kierunek scalania
Kierunek scalania incydentu odnosi się do tego, które zdarzenie jest źródłem i które jest celem. Ten kierunek jest określany przez Microsoft Defender, w oparciu o własną logikę wewnętrzną, w celu maksymalizacji przechowywania informacji i dostępu. Użytkownik nie ma żadnych danych wejściowych do tej decyzji.
Zawartość zdarzenia
Zawartość zdarzeń jest obsługiwana w następujący sposób:
- Wszystkie alerty zawarte w zdarzeniu źródłowym zostaną usunięte ze zdarzenia źródłowego i dodane do zdarzenia docelowego.
- Wszystkie tagi zastosowane do zdarzenia źródłowego zostaną usunięte ze zdarzenia źródłowego i dodane do zdarzenia docelowego.
- Tag
Redirectedjest dodawany do zdarzenia źródłowego. - Jednostki (zasoby itp.) postępują zgodnie z alertami, z którymi są połączone.
- Reguły analizy zarejestrowane jako zaangażowane w tworzenie zdarzenia źródłowego są dodawane do reguł zarejestrowanych w zdarzeniu docelowym.
- Obecnie komentarze i wpisy dziennika aktywności w zdarzeniu źródłowym nie są przenoszone do zdarzenia docelowego.
Aby wyświetlić komentarze i historię aktywności zdarzenia źródłowego, otwórz zdarzenie w Microsoft Sentinel w Azure Portal. Historia działań obejmuje zamknięcie zdarzenia oraz dodawanie i usuwanie alertów, tagów i innych elementów związanych z scalaniem incydentu. Te działania są przypisywane do tożsamości Microsoft Defender XDR — korelacji alertów.
Gdy zdarzenia nie są scalane
Nawet jeśli logika korelacji wskazuje, że należy scalić dwa zdarzenia, usługa Defender nie scala zdarzeń w następujących okolicznościach:
- Jedno ze zdarzeń ma stan "Zamknięte". Rozwiązane zdarzenia nie są ponownie otwierane.
- Zdarzenia źródłowe i docelowe są przypisywane do dwóch różnych osób.
- Zdarzenia źródłowe i docelowe mają dwie różne klasyfikacje (na przykład prawdziwie dodatnie i fałszywie dodatnie).
- Scalanie tych dwóch zdarzeń zwiększy liczbę jednostek w zdarzeniu docelowym powyżej dozwolonej maksymalnej liczby jednostek.
- Te dwa zdarzenia zawierają urządzenia w różnych grupach urządzeń zgodnie z definicją organizacji.
(Ten warunek nie obowiązuje domyślnie; musi być włączony).
Następne kroki
Aby dowiedzieć się więcej na temat określania priorytetów zdarzeń i zarządzania nimi, zobacz następujące artykuły:
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.