Корреляция оповещений и объединение инцидентов на портале Microsoft Defender

• Применяется к:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

В этой статье объясняется, как портал Microsoft Defender объединяет и сопоставляет оповещения, собираемые из всех источников, которые создают их и отправляют на портал. В ней объясняется, как Defender создает инциденты из этих оповещений и как продолжает отслеживать их эволюцию, объединяя инциденты вместе, если ситуация того требует. Дополнительные сведения об оповещениях и их источниках, а также о том, как инциденты добавляют ценность на портале Microsoft Defender, см. в статье Инциденты и оповещения на портале Microsoft Defender.

Создание инцидента и корреляция оповещений

Когда оповещения создаются различными механизмами обнаружения на портале Microsoft Defender, как описано в разделе Инциденты и оповещения на портале Microsoft Defender, они помещаются в новые или существующие инциденты в соответствии со следующей логикой:

• Если оповещение достаточно уникально для всех источников оповещений в течение определенного периода времени, Defender создает новый инцидент и добавляет в него оповещение.
• Если оповещение достаточно связано с другими оповещениями (из одного источника или из разных источников) в течение определенного периода времени, Defender добавляет оповещение в существующий инцидент.

Критерии, используемые порталом Defender для сопоставления оповещений в одном инциденте, являются частью собственной внутренней логики корреляции. Эта логика также отвечает за присвоение соответствующего имени новому инциденту.

Корреляция оповещений вручную

Хотя Microsoft Defender уже использует расширенные механизмы корреляции, может потребоваться решить, относится ли данное оповещение к конкретному инциденту или нет. В этом случае можно отключить связь оповещения с одним инцидентом и связать его с другим. Каждое оповещение должно принадлежать к инциденту, поэтому вы можете связать оповещение с другим существующим инцидентом или с новым инцидентом, который вы создаете на месте.

Инструкции см. в статье Связывание оповещений с другим инцидентом на портале Microsoft Defender.

Корреляция инцидентов и слияние

Действия корреляции на портале Defender не прекращаются при создании инцидентов. Defender продолжает обнаруживать общие черты и связи между инцидентами и оповещениями между инцидентами. Если два или более инцидента определяются как достаточно похожие, Defender объединяет инциденты в один инцидент.

Критерии для объединения инцидентов

Подсистема корреляции Defender объединяет инциденты, когда распознает общие элементы между оповещениями в отдельных инцидентах на основе глубоких знаний о данных и поведения атак. Вот некоторые из этих элементов:

• Сущности — такие ресурсы, как пользователи, устройства, почтовые ящики и другие.
• Артефакты — файлы, процессы, отправители электронной почты и другие
• Временные рамки
• Последовательности событий, указывающих на многоэтапные атаки, например вредоносное событие щелчка по электронной почте, которое следует за обнаружением фишингового сообщения.

Результаты процесса слияния

При слиянии двух или более инцидентов новый инцидент не создается для их поглощения. Вместо этого содержимое одного инцидента переносится в другой инцидент, и инцидент, отброшенный в процессе, автоматически закрывается. Заброшенный инцидент больше не отображается и не доступен на портале Defender, и любая ссылка на него перенаправляется в объединенный инцидент. Заброшенный закрытый инцидент остается доступным в Microsoft Sentinel в портал Azure. Содержимое инцидентов обрабатывается следующими способами:

• Оповещения, содержащиеся в отмененном инциденте, удаляются из него и добавляются в объединенный инцидент.
• Все теги, примененные к заброшенному инциденту, удаляются из него и добавляются в объединенный инцидент.
• К Redirected заброшенным инцидентам добавляется тег.
• Сущности (ресурсы и т. д.) следуют оповещениям, с которых они связаны.
• Правила аналитики, записанные как участвующие в создании заброшенного инцидента, добавляются в правила, записанные в объединенном инциденте.
• В настоящее время комментарии и записи журнала действий в заброшенном инциденте не перемещаются в объединенный инцидент.

Чтобы просмотреть комментарии и журнал действий оставленного инцидента, откройте инцидент в Microsoft Sentinel в портал Azure. Журнал действий включает закрытие инцидента, а также добавление и удаление оповещений, тегов и других элементов, связанных с слиянием инцидента. Эти действия относятся к Microsoft Defender XDR идентификации — корреляции оповещений.

Если инциденты не объединены

Даже если логика корреляции указывает на то, что два инцидента должны быть объединены, Defender не объединяет инциденты при следующих обстоятельствах:

• Один из инцидентов имеет состояние "Закрыто". Устраненные инциденты не открываются повторно.
• Два инцидента, имеющие право на слияние, назначаются двум разным людям.
• Объединение двух инцидентов приведет к повышению числа сущностей в объединенном инциденте выше допустимого максимума в 50 сущностей на инцидент.
• Эти два инцидента содержат устройства в разных группах устройств , определенных организацией.
  (Это условие не действует по умолчанию; оно должно быть включено.)

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.

Дальнейшие действия

Дополнительные сведения о расстановке приоритетов и управлении инцидентами см. в следующих статьях:

• Управление инцидентами в Microsoft Defender

См. также

• Возможности инцидентов в Microsoft Defender XDR
• Внутри Microsoft Defender XDR: корреляция и консолидация атак с инцидентами