Korelacja alertów i scalanie zdarzeń w portalu Microsoft Defender

• Dotyczy:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, w jaki sposób portal Microsoft Defender agreguje i koreluje alerty zbierane ze wszystkich źródeł, które je generują, i wysyła je do portalu. Wyjaśniono w nim, w jaki sposób usługa Defender tworzy zdarzenia na podstawie tych alertów i jak nadal monitoruje ich ewolucję, scalając incydenty razem, jeśli sytuacja jest uzasadniona. Aby dowiedzieć się więcej na temat alertów i ich źródeł oraz sposobu dodawania wartości zdarzeń w portalu Microsoft Defender, zobacz Incydenty i alerty w portalu Microsoft Defender.

Tworzenie zdarzenia i korelacja alertów

Gdy alerty są generowane przez różne mechanizmy wykrywania w portalu Microsoft Defender, zgodnie z opisem w temacie Zdarzenia i alerty w portalu Microsoft Defender, są one umieszczane w nowych lub istniejących zdarzeniach zgodnie z następującą logiką:

• Jeśli alert jest wystarczająco unikatowy we wszystkich źródłach alertów w określonym przedziale czasu, usługa Defender tworzy nowe zdarzenie i dodaje do niego alert.
• Jeśli alert jest wystarczająco powiązany z innymi alertami — z tego samego źródła lub ze źródeł — w określonym przedziale czasu, usługa Defender dodaje alert do istniejącego zdarzenia.

Kryteria używane przez portal usługi Defender do skorelowania alertów w jednym zdarzeniu są częścią zastrzeżonej, wewnętrznej logiki korelacji. Ta logika jest również odpowiedzialna za nadanie nowemu zdarzeniu odpowiedniej nazwy.

Korelacja i scalanie zdarzeń

Działania korelacji portalu usługi Defender nie są zatrzymywane podczas tworzenia zdarzeń. Usługa Defender nadal wykrywa podobieństwa i relacje między zdarzeniami oraz między alertami w różnych zdarzeniach. Gdy dwa lub więcej zdarzeń zostanie uznanych za wystarczająco podobne, usługa Defender scali zdarzenia w jeden incydent.

Kryteria scalania zdarzeń

Aparat korelacji usługi Defender scala zdarzenia, gdy rozpoznaje typowe elementy między alertami w oddzielnych zdarzeniach na podstawie jego głębokiej wiedzy o danych i zachowaniu ataku. Niektóre z tych elementów obejmują:

• Jednostki — zasoby, takie jak użytkownicy, urządzenia, skrzynki pocztowe i inne
• Artefakty — pliki, procesy, nadawcy wiadomości e-mail i inne
• Przedziały czasowe
• Sekwencje zdarzeń, które wskazują na ataki wieloetapowe — na przykład złośliwe zdarzenie kliknięcia wiadomości e-mail, które ściśle śledzi wykrywanie wiadomości e-mail wyłudzającej informacje.

Wyniki procesu scalania

Po scaleniu co najmniej dwóch zdarzeń nowe zdarzenie nie zostanie utworzone w celu ich wchłonięcia. Zamiast tego zawartość jednego zdarzenia jest migrowana do drugiego zdarzenia, a zdarzenie porzucone w procesie jest automatycznie zamykane. Porzucone zdarzenie nie jest już widoczne ani dostępne w portalu usługi Defender, a wszelkie odwołania do niego są przekierowywane do skonsolidowanego incydentu. Opuszczony, zamknięty incydent pozostaje dostępny w Microsoft Sentinel w Azure Portal. Zawartość zdarzeń jest obsługiwana w następujący sposób:

• Alerty zawarte w porzuconym zdarzeniu są usuwane z niego i dodawane do skonsolidowanego incydentu.
• Wszystkie tagi zastosowane do porzuconego zdarzenia zostaną z niego usunięte i dodane do skonsolidowanego incydentu.
• Tag Redirected jest dodawany do porzuconego incydentu.
• Jednostki (zasoby itp.) postępują zgodnie z alertami, z którymi są połączone.
• Reguły analizy zarejestrowane jako zaangażowane w tworzenie porzuconego zdarzenia są dodawane do reguł zarejestrowanych w skonsolidowanym zdarzeniu.
• Obecnie komentarze i wpisy dziennika aktywności w porzuconym zdarzeniu nie są przenoszone do skonsolidowanego incydentu.

Aby wyświetlić komentarze i historię aktywności porzuconego incydentu, otwórz zdarzenie w Microsoft Sentinel w Azure Portal. Historia działań obejmuje zamknięcie zdarzenia oraz dodawanie i usuwanie alertów, tagów i innych elementów związanych z scalaniem incydentu. Te działania są przypisywane do tożsamości Microsoft Defender XDR — korelacji alertów.

Gdy zdarzenia nie są scalane

Nawet jeśli logika korelacji wskazuje, że należy scalić dwa zdarzenia, usługa Defender nie scala zdarzeń w następujących okolicznościach:

• Jedno ze zdarzeń ma stan "Zamknięte". Rozwiązane zdarzenia nie są ponownie otwierane.
• Dwa zdarzenia kwalifikujące się do scalenia są przypisywane do dwóch różnych osób.
• Scalanie tych dwóch zdarzeń zwiększy liczbę jednostek w scalonym zdarzeniu powyżej dozwolonego maksymalnie 50 jednostek na zdarzenie.
• Te dwa zdarzenia zawierają urządzenia w różnych grupach urządzeń zgodnie z definicją organizacji.
  (Ten warunek nie obowiązuje domyślnie; musi być włączony).

Korelacja ręczna

Chociaż Microsoft Defender już używa zaawansowanych mechanizmów korelacji, możesz zdecydować inaczej, czy dany alert należy do określonego zdarzenia, czy nie. W takim przypadku możesz odłączyć alert od jednego zdarzenia i połączyć go z innym. Każdy alert musi należeć do zdarzenia, aby można było połączyć alert z innym istniejącym zdarzeniem lub z nowym incydentem utworzonym na miejscu.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

Następne kroki

Aby dowiedzieć się więcej na temat określania priorytetów zdarzeń i zarządzania nimi, zobacz następujące artykuły:

• Zarządzanie zdarzeniami w Microsoft Defender

Zobacz też

• Możliwości zdarzeń w Microsoft Defender XDR
• Wewnątrz Microsoft Defender XDR: Korelowanie i konsolidowanie ataków w zdarzeniach