Correlação de alertas e intercalação de incidentes no portal do Microsoft Defender

• Aplica-se a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Este artigo explica como o motor de correlação no portal do Microsoft Defender agrega e correlaciona os alertas recolhidos de todas as origens que os produzem e os enviam para o portal. Explica como o Defender cria incidentes a partir destes alertas e como continua a monitorizar a evolução, intercalando incidentes se a situação o justificar. Para saber mais sobre os alertas e as respetivas origens e como os incidentes acrescentam valor no portal do Microsoft Defender, veja Incidentes e alertas no portal do Microsoft Defender.

Criação de incidentes e correlação de alertas

Quando os alertas são gerados pelos vários mecanismos de deteção no portal do Microsoft Defender, conforme descrito em Incidentes e alertas no portal do Microsoft Defender, são colocados em incidentes novos ou existentes de acordo com a seguinte lógica:

• Se o alerta for suficientemente exclusivo em todas as origens de alertas num determinado período de tempo, o Defender cria um novo incidente e adiciona o alerta ao mesmo.
• Se o alerta estiver suficientemente relacionado com outros alertas ( da mesma origem ou entre origens) dentro de um período de tempo específico, o Defender adiciona o alerta a um incidente existente.

Os critérios utilizados pelo portal do Defender para correlacionar alertas num único incidente fazem parte da lógica de correlação interna proprietária. Esta lógica também é responsável por atribuir um nome adequado ao novo incidente.

Correlação manual de alertas

Embora Microsoft Defender já utilize mecanismos de correlação avançados, poderá querer decidir de forma diferente se um determinado alerta pertence ou não a um determinado incidente. Nesse caso, pode desassociar um alerta de um incidente e ligá-lo a outro. Cada alerta tem de pertencer a um incidente, para que possa ligar o alerta a outro incidente existente ou a um novo incidente que crie no local.

Para obter mais informações sobre como mover um alerta de um incidente para outro, veja Mover alertas de um incidente para outro no portal do Microsoft Defender.

Correlação e intercalação de incidentes

As atividades de correlação do portal do Defender não param quando são criados incidentes. O Defender continua a detetar semelhanças e relações entre incidentes e alertas entre incidentes. Quando dois ou mais incidentes são considerados suficientemente iguais, o Defender intercala os incidentes num único incidente.

Critérios para intercalar incidentes

O motor de correlação do Defender intercala incidentes quando reconhece elementos comuns entre alertas em incidentes separados, com base no conhecimento profundo dos dados e no comportamento do ataque. Alguns destes elementos incluem:

• Entidades — recursos como utilizadores, dispositivos, caixas de correio e outros
• Artefactos — ficheiros, processos, remetentes de e-mail, entre outros
• Intervalos de tempo
• Sequências de eventos que apontam para ataques em várias fases, por exemplo, um evento de clique de e-mail malicioso que se segue de perto numa deteção de e-mail de phishing.

Detalhes do processo de intercalação

Quando dois ou mais incidentes são intercalados, não é criado um novo incidente para absorvê-los. Em vez disso, os conteúdos de um incidente (o "incidente de origem") são migrados para o outro incidente (o "incidente de destino") e o incidente de origem é fechado automaticamente. O incidente de origem já não está visível ou disponível no portal do Defender e qualquer referência ao mesmo é redirecionada para o incidente de destino. O incidente de origem, embora fechado, permanece acessível em Microsoft Sentinel no portal do Azure.

Direção da intercalação

A direção da intercalação de incidentes refere-se ao incidente que é a origem e qual é o destino. Esta direção é determinada por Microsoft Defender, com base na sua própria lógica interna, com o objetivo de maximizar a retenção e o acesso de informações. O utilizador não tem qualquer entrada nesta decisão.

Conteúdo do incidente

Os conteúdos dos incidentes são processados das seguintes formas:

• Todos os alertas contidos no incidente de origem são removidos do incidente de origem e adicionados ao incidente de destino.
• Todas as etiquetas aplicadas ao incidente de origem são removidas do incidente de origem e adicionadas ao incidente de destino.
• É Redirected adicionada uma etiqueta ao incidente de origem.
• As entidades (recursos, etc.) seguem os alertas a que estão ligadas.
• As regras de análise registadas como envolvidas na criação do incidente de origem são adicionadas às regras registadas no incidente de destino.
• Atualmente, os comentários e as entradas do registo de atividades no incidente de origem não são movidos para o incidente de destino.

Para ver os comentários e o histórico de atividades do incidente de origem, abra o incidente no Microsoft Sentinel no portal do Azure. O histórico de atividades inclui o encerramento do incidente e a adição e remoção de alertas, etiquetas e outros itens relacionados com a intercalação de incidentes. Estas atividades são atribuídas à identidade Microsoft Defender XDR - correlação de alertas.

Quando os incidentes não são intercalados

Mesmo quando a lógica de correlação indica que dois incidentes devem ser intercalados, o Defender não intercala os incidentes nas seguintes circunstâncias:

• Um dos incidentes tem o estado "Fechado". Os incidentes resolvidos não são reabertos.
• Os incidentes de origem e de destino são atribuídos a duas pessoas diferentes.
• Os incidentes de origem e de destino têm duas classificações diferentes (por exemplo, verdadeiro positivo e falso positivo).
• Intercalar os dois incidentes aumentaria o número de entidades no incidente de destino acima do máximo permitido.
• Os dois incidentes contêm dispositivos em diferentes grupos de dispositivos , conforme definido pela organização.
  (Esta condição não está em vigor por predefinição; tem de estar ativada.)

Passos seguintes

Para saber mais sobre como atribuir prioridades e gerir incidentes, veja os seguintes artigos:

• Gerir incidentes no Microsoft Defender

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.

Consulte também

• O poder dos incidentes no Microsoft Defender XDR
• Dentro Microsoft Defender XDR: Correlacionar e consolidar ataques em incidentes