Microsoft Defender门户中的警报关联和事件合并
本文介绍Microsoft Defender门户中的相关引擎如何聚合和关联从生成警报的所有源收集的警报并将其发送到门户。 它介绍了 Defender 如何根据这些警报创建事件,以及它如何继续监视其演变,在情况需要时将事件合并在一起。 若要详细了解警报及其来源,以及事件如何在Microsoft Defender门户中增加价值,请参阅 Microsoft Defender 门户中的事件和警报。
事件创建和警报关联
当警报由Microsoft Defender门户中的各种检测机制生成时(如 Microsoft Defender 门户中的事件和警报中所述),它们会根据以下逻辑放入新的或现有的事件中:
- 如果警报在特定时间范围内在所有警报源中具有足够的唯一性,Defender 会创建一个新事件,并向其中添加警报。
- 如果警报与特定时间范围内来自同一源或跨源的其他警报充分相关,Defender 会将警报添加到现有事件。
Defender 门户用于将单个事件中的警报关联在一起的条件是其专有的内部关联逻辑的一部分。 此逻辑还负责为新事件提供适当的名称。
警报的手动关联
虽然Microsoft Defender已使用高级关联机制,但你可能希望以不同的方式决定给定警报是否属于特定事件。 在这种情况下,可以取消警报与一个事件的链接,并将其链接到另一个事件。 每个警报都必须属于一个事件,因此可以将警报链接到另一个现有事件,或链接到现场创建的新事件。
有关将警报从一个事件移动到另一个事件的详细信息,请参阅Microsoft Defender门户中将警报从一个事件移到另一个事件。
事件关联和合并
创建事件时,Defender 门户的关联活动不会停止。 Defender 继续检测事件与跨事件警报之间的共性和关系。 当确定两个或更多事件足够相似时,Defender 会将事件合并为单个事件。
合并事件的条件
Defender 的关联引擎根据对数据和攻击行为的深入了解,在识别不同事件中的警报之间的常见元素时合并事件。 其中一些元素包括:
- 实体 - 用户、设备、邮箱等资产
- 项目 - 文件、进程、电子邮件发件人等
- 时间范围
- 指向多阶段攻击的事件序列,例如,紧随网络钓鱼电子邮件检测的恶意电子邮件单击事件。
合并过程的详细信息
合并两个或更多事件时, 不会 创建新事件来吸收它们。 相反,一个事件 (“源事件”) 的内容将迁移到另一个事件 (“目标事件”) ,并且源事件会自动关闭。 源事件在 Defender 门户中不再可见或不可用,并且对源事件的任何引用将重定向到目标事件。 源事件虽然已关闭,但在Azure 门户Microsoft Sentinel仍可访问。
合并方向
事件合并的方向是指哪个事件是源事件,哪个事件是目标。 此方向由Microsoft Defender确定,基于其自己的内部逻辑,目的是最大程度地保留和访问信息。 用户对此决策没有任何输入。
事件内容
事件的内容按以下方式处理:
- 源事件中包含的所有警报将从源事件中删除并添加到目标事件。
- 应用于源事件的任何标记将从源事件中删除并添加到目标事件。
- 标记
Redirected
将添加到源事件。 - 实体 (资产等 ) 遵循它们链接到的警报。
- 在创建源事件时记录的分析规则将添加到目标事件中记录的规则中。
- 目前,源事件中的注释和活动日志条目 不会 移动到目标事件。
若要查看源事件的注释和活动历史记录,请在Azure 门户Microsoft Sentinel中打开事件。 活动历史记录包括事件结束以及添加和删除警报、标记以及与事件合并相关的其他项。 这些活动归因于标识Microsoft Defender XDR - 警报关联。
未合并事件时
即使相关逻辑指示应合并两个事件,Defender 也不会在以下情况下合并事件:
- 其中一个事件的状态为“已关闭”。 已解决的事件不会重新打开。
- 源事件和目标事件分配给两个不同的人员。
- 源事件和目标事件有两种不同的分类, (例如,) 真正和误报。
- 合并这两个事件会使目标事件中的实体数超过允许的最大数目。
- 这两个事件包含组织定义的不同 设备组中 的设备。
(默认情况下,此条件无效;必须启用它。)
后续步骤
若要详细了解如何确定事件的优先级和管理,请参阅以下文章:
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。