Корреляция оповещений и объединение инцидентов на портале Microsoft Defender
В этой статье объясняется, как подсистема корреляции на портале Microsoft Defender объединяет и сопоставляет оповещения, собранные из всех источников, которые создают их и отправляют на портал. В ней объясняется, как Defender создает инциденты из этих оповещений и как продолжает отслеживать их эволюцию, объединяя инциденты вместе, если ситуация того требует. Дополнительные сведения об оповещениях и их источниках, а также о том, как инциденты добавляют ценность на портале Microsoft Defender, см. в статье Инциденты и оповещения на портале Microsoft Defender.
Создание инцидента и корреляция оповещений
Когда оповещения создаются различными механизмами обнаружения на портале Microsoft Defender, как описано в разделе Инциденты и оповещения на портале Microsoft Defender, они помещаются в новые или существующие инциденты в соответствии со следующей логикой:
- Если оповещение достаточно уникально для всех источников оповещений в течение определенного периода времени, Defender создает новый инцидент и добавляет в него оповещение.
- Если оповещение достаточно связано с другими оповещениями (из одного источника или из разных источников) в течение определенного периода времени, Defender добавляет оповещение в существующий инцидент.
Критерии, используемые порталом Defender для сопоставления оповещений в одном инциденте, являются частью собственной внутренней логики корреляции. Эта логика также отвечает за присвоение соответствующего имени новому инциденту.
Корреляция оповещений вручную
Хотя Microsoft Defender уже использует расширенные механизмы корреляции, может потребоваться решить, относится ли данное оповещение к конкретному инциденту или нет. В этом случае можно отключить связь оповещения с одним инцидентом и связать его с другим. Каждое оповещение должно принадлежать к инциденту, поэтому вы можете связать оповещение с другим существующим инцидентом или с новым инцидентом, который вы создаете на месте.
Дополнительные сведения о перемещении оповещения из одного инцидента в другой см. в разделе Перемещение оповещений из одного инцидента в другой на портале Microsoft Defender.
Корреляция инцидентов и слияние
Действия корреляции на портале Defender не прекращаются при создании инцидентов. Defender продолжает обнаруживать общие черты и связи между инцидентами и оповещениями между инцидентами. Если два или более инцидента определяются как достаточно похожие, Defender объединяет инциденты в один инцидент.
Критерии для объединения инцидентов
Подсистема корреляции Defender объединяет инциденты, когда распознает общие элементы между оповещениями в отдельных инцидентах на основе глубоких знаний о данных и поведения атак. Вот некоторые из этих элементов:
- Сущности — такие ресурсы, как пользователи, устройства, почтовые ящики и другие.
- Артефакты — файлы, процессы, отправители электронной почты и другие
- Временные рамки
- Последовательности событий, указывающих на многоэтапные атаки, например вредоносное событие щелчка по электронной почте, которое следует за обнаружением фишингового сообщения.
Сведения о процессе слияния
При слиянии двух или более инцидентов новый инцидент не создается для их поглощения. Вместо этого содержимое одного инцидента ( "исходный инцидент") переносится в другой инцидент ( "целевой инцидент"), а исходный инцидент автоматически закрывается. Исходный инцидент больше не отображается и не доступен на портале Defender, и любая ссылка на него перенаправляется в целевой инцидент. Исходный инцидент, хотя и закрыт, остается доступным в Microsoft Sentinel в портал Azure.
Направление слияния
Направление слияния инцидентов указывает, какой инцидент является источником, а какой — целевым. Это направление определяется Microsoft Defender, основанной на собственной внутренней логике, с целью максимального хранения информации и доступа. Пользователь не имеет никаких входных данных в это решение.
Содержимое инцидента
Содержимое инцидентов обрабатывается следующими способами:
- Все оповещения, содержащиеся в исходном инциденте, удаляются из исходного инцидента и добавляются в целевой инцидент.
- Все теги, примененные к исходному инциденту, удаляются из исходного инцидента и добавляются в целевой инцидент.
- Тег
Redirectedдобавляется к исходному инциденту. - Сущности (ресурсы и т. д.) следуют оповещениям, с которых они связаны.
- Правила аналитики, записанные как участвующие в создании исходного инцидента, добавляются в правила, записанные в целевом инциденте.
- В настоящее время комментарии и записи журнала действий в исходном инциденте не перемещаются в целевой инцидент.
Чтобы просмотреть комментарии и журнал действий исходного инцидента, откройте инцидент в Microsoft Sentinel в портал Azure. Журнал действий включает закрытие инцидента, а также добавление и удаление оповещений, тегов и других элементов, связанных с слиянием инцидента. Эти действия относятся к Microsoft Defender XDR идентификации — корреляции оповещений.
Если инциденты не объединены
Даже если логика корреляции указывает на то, что два инцидента должны быть объединены, Defender не объединяет инциденты при следующих обстоятельствах:
- Один из инцидентов имеет состояние "Закрыто". Устраненные инциденты не открываются повторно.
- Исходные и целевые инциденты назначаются двум разным пользователям.
- Исходный и целевой инциденты имеют две разные классификации (например, истинно положительный и ложноположительный).
- Слияние двух инцидентов приведет к повышению числа сущностей в целевом инциденте выше допустимого максимума.
- Эти два инцидента содержат устройства в разных группах устройств , определенных организацией.
(Это условие не действует по умолчанию; оно должно быть включено.)
Дальнейшие действия
Дополнительные сведения о расстановке приоритетов и управлении инцидентами см. в следующих статьях:
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.