Microsoft Defender门户中的警报关联和事件合并
本文介绍Microsoft Defender门户如何聚合和关联从生成警报的所有源收集的警报并将其发送到门户。 它介绍了 Defender 如何根据这些警报创建事件,以及它如何继续监视其演变,在情况需要时将事件合并在一起。 若要详细了解警报及其来源,以及事件如何在Microsoft Defender门户中增加价值,请参阅 Microsoft Defender 门户中的事件和警报。
事件创建和警报关联
当警报由Microsoft Defender门户中的各种检测机制生成时(如 Microsoft Defender 门户中的事件和警报中所述),它们会根据以下逻辑放入新的或现有的事件中:
- 如果警报在特定时间范围内在所有警报源中具有足够的唯一性,Defender 会创建一个新事件,并向其中添加警报。
- 如果警报与特定时间范围内来自同一源或跨源的其他警报充分相关,Defender 会将警报添加到现有事件。
Defender 门户用于将单个事件中的警报关联在一起的条件是其专有的内部关联逻辑的一部分。 此逻辑还负责为新事件提供适当的名称。
警报的手动关联
虽然Microsoft Defender已使用高级关联机制,但你可能希望以不同的方式决定给定警报是否属于特定事件。 在这种情况下,可以取消警报与一个事件的链接,并将其链接到另一个事件。 每个警报都必须属于一个事件,因此可以将警报链接到另一个现有事件,或链接到现场创建的新事件。
有关说明,请参阅在 Microsoft Defender 门户中将警报链接到另一个事件。
事件关联和合并
创建事件时,Defender 门户的关联活动不会停止。 Defender 会继续检测事件之间的共性和关系,以及跨事件警报之间的关系。 当确定两个或更多事件足够相似时,Defender 会将事件合并为单个事件。
合并事件的条件
Defender 的关联引擎根据对数据和攻击行为的深入了解,在识别不同事件中的警报之间的常见元素时合并事件。 其中一些元素包括:
- 实体 - 用户、设备、邮箱等资产
- 项目 - 文件、进程、电子邮件发件人等
- 时间范围
- 指向多阶段攻击的事件序列,例如,紧随网络钓鱼电子邮件检测的恶意电子邮件单击事件。
合并过程的结果
合并两个或更多事件时,不会创建新事件来吸收它们。 相反,一个事件的内容将迁移到另一个事件,并且自动关闭进程中放弃的事件。 放弃的事件在 Defender 门户中不再可见或不可用,对它的任何引用将重定向到合并事件。 在Azure 门户Microsoft Sentinel仍可访问被遗弃的已关闭事件。 事件的内容按以下方式处理:
- 已放弃事件中包含的警报将从中删除并添加到合并事件。
- 将删除应用于已放弃事件的任何标记,并将其添加到合并事件。
- 标记
Redirected将添加到已放弃的事件。 - 实体 (资产等 ) 遵循它们链接到的警报。
- 在创建放弃事件时记录的分析规则将添加到合并事件中记录的规则中。
- 目前,已放弃事件中的注释和活动日志条目 不会 移动到合并事件。
若要查看已放弃事件的注释和活动历史记录,请在Azure 门户Microsoft Sentinel中打开事件。 活动历史记录包括事件结束以及添加和删除警报、标记以及与事件合并相关的其他项。 这些活动归因于标识Microsoft Defender XDR - 警报关联。
未合并事件时
即使相关逻辑指示应合并两个事件,Defender 也不会在以下情况下合并事件:
- 其中一个事件的状态为“已关闭”。 已解决的事件不会重新打开。
- 符合合并条件的两个事件分配给两个不同的人员。
- 合并这两个事件将使合并事件中的实体数超过每个事件允许的最多 50 个实体。
- 这两个事件包含组织定义的不同 设备组中 的设备。
(默认情况下,此条件无效;必须启用它。)
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。
后续步骤
若要详细了解如何确定事件的优先级和管理,请参阅以下文章: