Microsoft Defender 入口網站中的警示相互關聯和事件合併
本文說明 Microsoft Defender 入口網站中的相互關聯引擎如何匯總並相互關聯從產生警示的所有來源收集的警示,並將其傳送至入口網站。 其中說明 Defender 如何從這些警示建立事件,以及如何繼續監視其演進,並在情況需要時將事件合併在一起。 若要深入瞭解警示及其來源,以及事件如何在 Microsoft Defender 入口網站中增加價值,請參閱 Microsoft Defender 入口網站中的事件和警示。
事件建立和警示相互關聯
當 Microsoft Defender 入口網站中的各種偵測機制產生警示時,如 Microsoft Defender 入口網站中的事件和警示中所述,它們會根據下列邏輯放入新的或現有的事件:
- 如果警示在特定時間範圍內的所有警示來源中都足夠唯一,Defender 會建立新的事件,並將警示新增至其中。
- 如果警示在特定時間範圍內與來自相同來源或跨來源的其他警示充分相關,Defender 會將警示新增至現有的事件。
Defender 入口網站用來在單一事件中將警示相互關聯的準則,是其專屬內部相互關聯邏輯的一部分。 此邏輯也負責為新事件提供適當的名稱。
警示的手動相互關聯
雖然 Microsoft Defender 已經使用進階相互關聯機制,但您可能想要以不同的方式決定指定的警示是否屬於特定事件。 在這種情況下,您可以將警示從一個事件取消連結,並將其連結到另一個事件。 每個警示都必須屬於事件,因此您可以將警示連結至另一個現有的事件,或連結到您在現場建立的新事件。
如需將警示從某個事件移至另一個事件的詳細資訊,請參閱在 Microsoft Defender 入口網站中將警示從一個事件移至另一個事件。
事件相互關聯和合併
建立事件時,Defender 入口網站的相互關聯活動不會停止。 Defender 會持續偵測跨事件的事件和警示之間的共通性和關聯性。 當兩個或多個事件判斷為完全相似時,Defender 會將事件合併成單一事件。
合併事件的準則
Defender 的相互關聯引擎會根據其對數據和攻擊行為的深入瞭解,在辨識不同事件中警示之間的常見元素時合併事件。 其中一些元素包括:
- 實體—用戶、裝置、信箱等資產
- 成品—檔案、處理程序、電子郵件寄件者和其他
- 時間範圍
- 指向多階段攻擊的事件序列,例如,緊接在網路釣魚電子郵件偵測之後的惡意電子郵件點選事件。
合併程序的詳細數據
合併兩個或多個事件時, 不會 建立新的事件來加以吸收。 相反地,一個事件 (「來源事件」) 的內容會移轉到另一個事件 (「目標事件」) ,而來源事件會自動關閉。 來源事件不再顯示或無法在 Defender 入口網站中使用,而且任何對它的參考會重新導向至目標事件。 來源事件雖然已關閉,但仍可在 Azure 入口網站 中的 Microsoft Sentinel 存取。
合併方向
事件合併的方向是指哪一個事件是來源,而哪個是目標。 此方向是由 Microsoft Defender 根據自己的內部邏輯來決定,目標是要將資訊保留和存取權最大化。 使用者對此決策沒有任何輸入。
事件內容
事件的內容會以下列方式處理:
- 來源事件中包含的所有警示都會從來源事件中移除,並新增至目標事件。
- 套用至來源事件的任何標籤都會從來源事件中移除,並新增至目標事件。
- 標記
Redirected會新增至來源事件。 - 實體 (資產等 ) 遵循其連結的警示。
- 記錄在建立來源事件時所涉及的分析規則會新增至目標事件中記錄的規則。
- 目前,來源事件中的批注和活動記錄專案 不會 移至目標事件。
若要查看來源事件的批注和活動歷程記錄,請在 Azure 入口網站 的 Microsoft Sentinel 中開啟事件。 活動歷程記錄包括關閉事件,以及新增和移除與事件合併相關的警示、標籤和其他專案。 這些活動會歸屬於身分識別 Microsoft Defender 全面偵測回應 - 警示相互關聯。
事件未合併時
即使相互關聯邏輯指出應該合併兩個事件,Defender 也不會在下列情況下合併事件:
- 其中一個事件的狀態為「已關閉」。 已解決的事件不會重新開啟。
- 來源和目標事件會指派給兩個不同的人員。
- 來源和目標事件有兩種不同的分類 (例如,確判為真和誤判) 。
- 合併這兩個事件會使目標事件中的實體數目高於允許的最大值。
- 這兩個事件包含組織所定義之不同 裝置群組中的裝置 。
(此條件預設為無效;必須啟用。)
後續步驟
若要深入瞭解事件的優先順序和管理,請參閱下列文章:
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。