Dela via

Aviseringskorrelation och incidentsammanslagningen i Microsoft Defender-portalen

  • Artikel
  • Gäller för:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln förklarar hur korrelationsmotorn i Microsoft Defender-portalen aggregerar och korrelerar aviseringarna som samlas in från alla källor som producerar dem och skickar dem till portalen. Den förklarar hur Defender skapar incidenter från dessa aviseringar och hur de fortsätter att övervaka deras utveckling och sammanfogar incidenter om situationen motiverar detta. Mer information om aviseringar och deras källor samt hur incidenter tillför värde i Microsoft Defender-portalen finns i Incidenter och aviseringar i Microsoft Defender-portalen.

Incidentskapande och aviseringskorrelation

När aviseringar genereras av de olika identifieringsmekanismerna i Microsoft Defender-portalen, enligt beskrivningen i Incidenter och aviseringar i Microsoft Defender portalen, placeras de i nya eller befintliga incidenter enligt följande logik:

  • Om aviseringen är tillräckligt unik för alla aviseringskällor inom en viss tidsram skapar Defender en ny incident och lägger till aviseringen i den.
  • Om aviseringen är tillräckligt relaterad till andra aviseringar – från samma källa eller mellan källor – inom en viss tidsram lägger Defender till aviseringen till en befintlig incident.

De kriterier som används av Defender-portalen för att korrelera aviseringar tillsammans i en enda incident är en del av dess egenutvecklade interna korrelationslogik. Den här logiken ansvarar också för att ge ett lämpligt namn till den nya incidenten.

Manuell korrelation av aviseringar

Även om Microsoft Defender redan använder avancerade korrelationsmekanismer kanske du vill bestämma om en viss avisering hör till en viss incident eller inte. I så fall kan du ta bort länken till en avisering från en incident och länka den till en annan. Varje avisering måste tillhöra en incident, så att du antingen kan länka aviseringen till en annan befintlig incident eller till en ny incident som du skapar på plats.

Mer information om hur du flyttar en avisering från en incident till en annan finns i Flytta aviseringar från en incident till en annan i Microsoft Defender portalen.

Incidentkorrelation och sammanslagning

Defender-portalens korrelationsaktiviteter stoppas inte när incidenter skapas. Defender fortsätter att identifiera likheter och relationer mellan incidenter och aviseringar mellan incidenter. När två eller flera incidenter bedöms vara tillräckligt lika sammanfogar Defender incidenterna till en enda incident.

Kriterier för sammanslagning av incidenter

Defenders korrelationsmotor sammanfogar incidenter när den identifierar vanliga element mellan aviseringar i separata incidenter, baserat på dess djupa kunskaper om data och angreppsbeteendet. Några av dessa element är:

  • Entiteter – tillgångar som användare, enheter, postlådor och andra
  • Artefakter – filer, processer, e-postavsändare och andra
  • Tidsramar
  • Sekvenser av händelser som pekar på flerstegsattacker, till exempel en händelse med skadlig e-postklick som följer noga efter en identifiering av nätfiskemeddelanden.

Information om sammanslagningsprocessen

När två eller flera incidenter slås samman skapas ingen ny incident för att absorbera dem. I stället migreras innehållet i en incident ( "källincidenten") till den andra incidenten ( "målincidenten") och källincidenten stängs automatiskt. Källincidenten är inte längre synlig eller tillgänglig i Defender-portalen och alla referenser till den omdirigeras till målincidenten. Källincidenten, även om den är stängd, är fortfarande tillgänglig i Microsoft Sentinel i Azure Portal.

Kopplingsriktning

Riktningen för incidentsammanslagningen refererar till vilken incident som är källan och vilken som är målet. Den här riktningen bestäms av Microsoft Defender, baserat på dess egen interna logik, med målet att maximera informationskvarhållning och åtkomst. Användaren har inga indata i det här beslutet.

Incidentinnehåll

Innehållet i incidenterna hanteras på följande sätt:

  • Alla aviseringar i källincidenten tas bort från källincidenten och läggs till i målincidenten.
  • Taggar som tillämpas på källincidenten tas bort från källincidenten och läggs till i målincidenten.
  • En Redirected tagg läggs till i källincidenten.
  • Entiteter (tillgångar osv.) följer de aviseringar som de är länkade till.
  • Analysregler som registrerats som inblandade i skapandet av källincidenten läggs till i reglerna som registreras i målincidenten.
  • För närvarande flyttas inte kommentarer och aktivitetsloggposter i källincidenten till målincidenten.

Om du vill se källincidentens kommentarer och aktivitetshistorik öppnar du incidenten i Microsoft Sentinel i Azure Portal. Aktivitetshistoriken omfattar stängning av incidenten och tillägg och borttagning av aviseringar, taggar och andra objekt som är relaterade till incidentsammanslagningen. Dessa aktiviteter tillskrivs identiteten Microsoft Defender XDR – aviseringskorrelation.

När incidenter inte slås samman

Även om korrelationslogik anger att två incidenter ska slås samman sammanfogar Defender inte incidenterna under följande omständigheter:

  • En av incidenterna har statusen "Stängd". Incidenter som har lösts öppnas inte igen.
  • Käll- och målincidenterna tilldelas till två olika personer.
  • Käll- och målincidenterna har två olika klassificeringar (till exempel sann positiv och falsk positiv).
  • Sammanslagning av de två incidenterna skulle öka antalet entiteter i målincidenten över det tillåtna maxvärdet.
  • De två incidenterna innehåller enheter i olika enhetsgrupper enligt organisationens definition.
    (Det här villkoret gäller inte som standard. Det måste vara aktiverat.)

Nästa steg

Mer information om hur du prioriterar och hanterar incidenter finns i följande artiklar:

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.

Se även