Microsoft Defender 入口網站中的警示相互關聯和事件合併
本文說明 Microsoft Defender 入口網站如何匯總並相互關聯它從產生警示的所有來源收集的警示,並將其傳送至入口網站。 其中說明 Defender 如何從這些警示建立事件,以及如何繼續監視其演進,並在情況需要時將事件合併在一起。 若要深入瞭解警示及其來源,以及事件如何在 Microsoft Defender 入口網站中增加價值,請參閱 Microsoft Defender 入口網站中的事件和警示。
事件建立和警示相互關聯
當 Microsoft Defender 入口網站中的各種偵測機制產生警示時,如 Microsoft Defender 入口網站中的事件和警示中所述,這些警示會根據下列邏輯放入新的或現有的事件:
- 如果警示在特定時間範圍內的所有警示來源中都足夠唯一,Defender 會建立新的事件,並將警示新增至其中。
- 如果警示在特定時間範圍內與來自相同來源或跨來源的其他警示充分相關,Defender 會將警示新增至現有的事件。
Defender 入口網站用來在單一事件中將警示相互關聯的準則,是其專屬內部相互關聯邏輯的一部分。 此邏輯也負責為新事件提供適當的名稱。
事件相互關聯和合併
建立事件時,Defender 入口網站的相互關聯活動不會停止。 Defender 會繼續偵測事件之間的共通性和關聯性,以及跨事件的警示之間的關聯性。 當兩個或多個事件判斷為完全相似時,Defender 會將事件合併成單一事件。
合併事件的準則
Defender 的相互關聯引擎會根據其對數據和攻擊行為的深入瞭解,在辨識不同事件中警示之間的常見元素時合併事件。 其中一些元素包括:
- 實體—用戶、裝置、信箱等資產
- 成品—檔案、處理程序、電子郵件寄件者和其他
- 時間範圍
- 指向多階段攻擊的事件序列,例如,緊接在網路釣魚電子郵件偵測之後的惡意電子郵件點選事件。
合併程序的結果
合併兩個或多個事件時,不會建立新的事件來加以吸收。 相反地,一個事件的內容會移轉到另一個事件,而在程式中放棄的事件會自動關閉。 已放棄的事件在 Defender 入口網站中已不再可見或無法使用,而且任何對它的參考會重新導向至合併事件。 在 Azure 入口網站 中,已放棄的已關閉事件仍可在 Microsoft Sentinel 中存取。 事件的內容會以下列方式處理:
- 已放棄事件中包含的警示會從中移除,並新增至合併事件。
- 套用至已放棄事件的任何標記都會從中移除,並新增至合併事件。
- 標記
Redirected
會新增至已放棄的事件。 - 實體 (資產等 ) 遵循其連結的警示。
- 記錄為參與建立已放棄事件的分析規則會新增至合併事件中記錄的規則。
- 目前,已放棄事件中的批注和活動記錄專案 不會 移至合併事件。
若要查看已放棄事件的批注和活動歷程記錄,請在 Azure 入口網站 的 Microsoft Sentinel 中開啟事件。 活動歷程記錄包括關閉事件,以及新增和移除與事件合併相關的警示、標籤和其他專案。 這些活動會歸屬於身分識別 Microsoft Defender 全面偵測回應 - 警示相互關聯。
事件未合併時
即使相互關聯邏輯指出應該合併兩個事件,Defender 也不會在下列情況下合併事件:
- 其中一個事件的狀態為「已關閉」。 已解決的事件不會重新開啟。
- 這兩個符合合併資格的事件會指派給兩個不同的人員。
- 合併這兩個事件會使合併事件中的實體數目高於每個事件允許的50個實體上限。
- 這兩個事件包含組織所定義之不同 裝置群組中的裝置 。
(此條件預設為無效;必須啟用。)
手動相互關聯
雖然 Microsoft Defender 已經使用進階相互關聯機制,但您可能想要以不同的方式決定指定的警示是否屬於特定事件。 在這種情況下,您可以將警示從一個事件取消連結,並將其連結到另一個事件。 每個警示都必須屬於事件,因此您可以將警示連結至另一個現有的事件,或連結到您在現場建立的新事件。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。
後續步驟
若要深入瞭解事件的優先順序和管理,請參閱下列文章: