Aviseringskorrelation och incidentsammanslagningen i Microsoft Defender-portalen

• Gäller för:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln förklarar hur Microsoft Defender-portalen sammanställer och korrelerar de aviseringar som samlas in från alla källor som producerar dem och skickar dem till portalen. Den förklarar hur Defender skapar incidenter från dessa aviseringar och hur de fortsätter att övervaka deras utveckling och sammanfogar incidenter om situationen motiverar detta. Mer information om aviseringar och deras källor samt hur incidenter tillför värde i Microsoft Defender-portalen finns i Incidenter och aviseringar i Microsoft Defender-portalen.

Incidentskapande och aviseringskorrelation

När aviseringar genereras av de olika identifieringsmekanismerna i Microsoft Defender-portalen, enligt beskrivningen i Incidenter och aviseringar i Microsoft Defender portalen, placeras de i nya eller befintliga incidenter enligt följande logik:

• Om aviseringen är tillräckligt unik för alla aviseringskällor inom en viss tidsram skapar Defender en ny incident och lägger till aviseringen i den.
• Om aviseringen är tillräckligt relaterad till andra aviseringar – från samma källa eller mellan källor – inom en viss tidsram lägger Defender till aviseringen till en befintlig incident.

De kriterier som används av Defender-portalen för att korrelera aviseringar tillsammans i en enda incident är en del av dess egenutvecklade interna korrelationslogik. Den här logiken ansvarar också för att ge ett lämpligt namn till den nya incidenten.

Manuell korrelation av aviseringar

Även om Microsoft Defender redan använder avancerade korrelationsmekanismer kanske du vill bestämma om en viss avisering hör till en viss incident eller inte. I så fall kan du ta bort länken till en avisering från en incident och länka den till en annan. Varje avisering måste tillhöra en incident, så att du antingen kan länka aviseringen till en annan befintlig incident eller till en ny incident som du skapar på plats.

Anvisningar finns i Länka aviseringar till en annan incident i Microsoft Defender-portalen.

Incidentkorrelation och sammanslagning

Defender-portalens korrelationsaktiviteter stoppas inte när incidenter skapas. Defender fortsätter att identifiera likheter och relationer mellan incidenter och mellan aviseringar mellan incidenter. När två eller flera incidenter bedöms vara tillräckligt lika sammanfogar Defender incidenterna till en enda incident.

Kriterier för sammanslagning av incidenter

Defenders korrelationsmotor sammanfogar incidenter när den identifierar vanliga element mellan aviseringar i separata incidenter, baserat på dess djupa kunskaper om data och angreppsbeteendet. Några av dessa element är:

• Entiteter – tillgångar som användare, enheter, postlådor och andra
• Artefakter – filer, processer, e-postavsändare och andra
• Tidsramar
• Sekvenser av händelser som pekar på flerstegsattacker, till exempel en händelse med skadlig e-postklick som följer noga efter en identifiering av nätfiskemeddelanden.

Resultatet av sammanslagningsprocessen

När två eller flera incidenter slås samman skapas ingen ny incident för att absorbera dem. I stället migreras innehållet i en incident till den andra incidenten och incidenten som överges i processen stängs automatiskt. Den övergivna incidenten är inte längre synlig eller tillgänglig i Defender-portalen och alla referenser till den omdirigeras till den konsoliderade incidenten. Den övergivna, stängda incidenten är fortfarande tillgänglig i Microsoft Sentinel i Azure Portal. Innehållet i incidenterna hanteras på följande sätt:

• Aviseringar som finns i den övergivna incidenten tas bort från den och läggs till i den konsoliderade incidenten.
• Taggar som tillämpas på den övergivna incidenten tas bort från den och läggs till i den konsoliderade incidenten.
• En Redirected tagg läggs till i den övergivna incidenten.
• Entiteter (tillgångar osv.) följer de aviseringar som de är länkade till.
• Analysregler som registrerats som inblandade i skapandet av den övergivna incidenten läggs till i reglerna som registrerats i den konsoliderade incidenten.
• För närvarande flyttas inte kommentarer och aktivitetsloggposter i den övergivna incidenten till den konsoliderade incidenten.

Om du vill se den övergivna incidentens kommentarer och aktivitetshistorik öppnar du incidenten i Microsoft Sentinel i Azure Portal. Aktivitetshistoriken omfattar stängning av incidenten och tillägg och borttagning av aviseringar, taggar och andra objekt som är relaterade till incidentsammanslagningen. Dessa aktiviteter tillskrivs identiteten Microsoft Defender XDR – aviseringskorrelation.

När incidenter inte slås samman

Även om korrelationslogik anger att två incidenter ska slås samman sammanfogar Defender inte incidenterna under följande omständigheter:

• En av incidenterna har statusen "Stängd". Incidenter som har lösts öppnas inte igen.
• De två incidenter som är berättigade till sammanslagning tilldelas två olika personer.
• Sammanslagning av de två incidenterna skulle öka antalet entiteter i den sammanslagna incidenten över det tillåtna maximala antalet 50 entiteter per incident.
• De två incidenterna innehåller enheter i olika enhetsgrupper enligt organisationens definition.
  (Det här villkoret gäller inte som standard. Det måste vara aktiverat.)

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.

Nästa steg

Mer information om hur du prioriterar och hanterar incidenter finns i följande artiklar:

• Hantera incidenter i Microsoft Defender

Se även

• Kraften hos incidenter i Microsoft Defender XDR
• Inuti Microsoft Defender XDR: Korrelera och konsolidera attacker till incidenter