Sdílet prostřednictvím


Výstrahy, incidenty a korelace v Microsoft Defenderu XDR

V programu Microsoft Defender XDR jsou výstrahy signály z kolekce zdrojů, které jsou výsledkem různých aktivit detekce hrozeb. Tyto signály označují výskyt škodlivých nebo podezřelých událostí ve vašem prostředí. Výstrahy můžou být často součástí širšího složitého scénáře útoku a související výstrahy se agregují a vzájemně korelují a vytvářejí incidenty , které představují tyto scénáře útoku.

Incidenty poskytují úplný přehled o útoku. Algoritmy XDR v programu Microsoft Defender automaticky korelují signály (výstrahy) ze všech řešení microsoftu pro zabezpečení a dodržování předpisů a také z obrovského počtu externích řešení prostřednictvím služby Microsoft Sentinel a Microsoft Defenderu for Cloud. Defender XDR identifikuje několik signálů, které patří do stejného scénáře útoku, a používá AI k nepřetržitému monitorování zdrojů telemetrie a přidávání dalších důkazů k již otevřeným incidentům.

Incidenty také fungují jako "soubory případů", což vám poskytuje platformu pro správu a dokumentaci vyšetřování. Další informace o funkcích incidentů v tomto ohledu najdete v tématu Reakce na incidenty na portálu Microsoft Defender.

Důležité

Microsoft Sentinel je teď obecně dostupný v rámci sjednocené platformy microsoftu pro operace zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Tady je souhrn hlavních atributů incidentů a výstrah a rozdílů mezi nimi:

Incidenty:

  • Jsou hlavní "měrnou jednotkou" práce služby Security Operations Center (SOC).
  • Zobrazení širšího kontextu útoku – příběhu útoku
  • Představují "soubory případu" všech informací potřebných k prošetření hrozby a zjištění vyšetřování.
  • Jsou vytvořené programem Microsoft Defender XDR tak, aby obsahovaly alespoň jednu výstrahu a v mnoha případech obsahují mnoho výstrah.
  • Aktivujte automatickou řadu reakcí na hrozbu pomocí pravidel automatizace, přerušení útoku a playbooků.
  • Zaznamenejte všechny aktivity související s hrozbou a jejím šetřením a řešením.

Výstrahy:

  • Představuje jednotlivé části příběhu, které jsou nezbytné pro pochopení a prošetření incidentu.
  • Vytváří je mnoho různých zdrojů interních i externích na portálu Defender.
  • Pokud je potřeba hlubší analýza, můžete je analyzovat sami, aby se přidala hodnota.
  • Může aktivovat automatické šetření a odpovědi na úrovni upozornění, aby se minimalizoval potenciální dopad na hrozby.

Zdroje upozornění

Upozornění XDR v programu Microsoft Defender generuje mnoho zdrojů:

  • Řešení, která jsou součástí Microsoft DefenderU XDR

    • Microsoft Defender for Endpoint
    • Microsoft Defender pro Office 365
    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps
    • Doplněk zásad správného řízení aplikací pro Microsoft Defender for Cloud Apps
    • Microsoft Entra ID Protection
    • Microsoft Data Loss Prevention
  • Další služby, které mají integraci s portálem zabezpečení Microsoft Defenderu

    • Microsoft Sentinel
    • Řešení zabezpečení jiných společností než Microsoft, která předávají výstrahy službě Microsoft Sentinel
    • Microsoft Defender for Cloud

Výstrahy vytváří také samotný Microsoft Defender XDR. Díky nasazení služby Microsoft Sentinel na platformě sjednocených operací zabezpečení teď korelační modul XDR v programu Microsoft Defender má přístup ke všem nezpracovaným datům ingestovaným službou Microsoft Sentinel. (Tato data najdete v tabulkách rozšířeného proaktivního vyhledávání .) Jedinečné možnosti korelace defenderu XDR poskytují další vrstvu analýzy dat a detekce hrozeb pro všechna řešení od jiných společností než Microsoft ve vašich digitálních aktivech. Tyto detekce vytvářejí kromě upozornění, která už poskytují analytická pravidla služby Microsoft Sentinel, upozornění Defender XDR.

Když se výstrahy z různých zdrojů zobrazují společně, zdroj každé výstrahy je označen sadami znaků, které jsou před sebou. Tabulka Zdroje výstrah mapuje zdroje upozornění na předponu ID výstrahy.

Vytvoření incidentu a korelace upozornění

Když jsou výstrahy generovány různými mechanismy detekce na portálu zabezpečení Microsoft Defenderu, jak je popsáno v předchozí části, Defender XDR je umístí do nových nebo existujících incidentů podle následující logiky:

Scénář Rozhodnutí
Výstraha je dostatečně jedinečná napříč všemi zdroji výstrah v určitém časovém rámci. Defender XDR vytvoří nový incident a přidá do něj výstrahu.
Výstraha dostatečně souvisí s jinými výstrahami – ze stejného zdroje nebo napříč zdroji – v určitém časovém rámci. Defender XDR přidá výstrahu k existujícímu incidentu.

Kritéria, která Microsoft Defender používá ke vzájemné korelaci výstrah v jednom incidentu, jsou součástí vlastní interní korelační logiky. Tato logika je také zodpovědná za poskytnutí vhodného názvu nového incidentu.

Korelace a slučování incidentů

Při vytváření incidentů se korelační aktivity XDR v programu Microsoft Defender nezastaví. Defender XDR dál detekuje společné znaky a vztahy mezi incidenty a mezi výstrahami napříč incidenty. Pokud jsou dva nebo více incidentů dostatečně podobné, Defender XDR tyto incidenty sloučí do jednoho incidentu.

Jak defender XDR toto rozhodnutí dělá?

Modul korelace defenderu XDR slučuje incidenty, když rozpozná společné prvky mezi výstrahami v samostatných incidentech na základě svých hlubokých znalostí dat a chování útoku. Mezi tyto prvky patří:

  • Entity – prostředky, jako jsou uživatelé, zařízení, poštovní schránky a další
  • Artefakty – soubory, procesy, odesílatelé e-mailů a další
  • Časové rámce
  • Posloupnosti událostí, které ukazují na útoky s více fázemi – například škodlivá událost kliknutí na e-mail, která úzce sleduje detekci phishingových e-mailů.

Kdy se incidenty neslučují ?

I když logika korelace indikuje, že by se měly sloučit dva incidenty, Defender XDR incidenty nesloučí za následujících okolností:

  • Jeden z incidentů má stav Uzavřeno. Incidenty, které jsou vyřešené, se znovu neotevřejí.
  • Dva incidenty, které mají nárok na sloučení, jsou přiřazené dvěma různým lidem.
  • Sloučení těchto dvou incidentů by zvýšilo počet entit ve sloučených incidentech nad maximální povolenou hodnotu.
  • Oba incidenty obsahují zařízení v různých skupinách zařízení definovaných organizací.
    (Tato podmínka není ve výchozím nastavení platná, musí být povolená.)

Co se stane, když se incidenty sloučí?

Při sloučení dvou nebo více incidentů se nevytvořil nový incident, který by je absorboval. Místo toho se obsah jednoho incidentu migruje do druhého incidentu a incident opuštěný v procesu se automaticky uzavře. Opuštěný incident už není viditelný ani dostupný v microsoft defenderu XDR a všechny odkazy na něj se přesměrují na konsolidovaný incident. Opuštěný a uzavřený incident zůstává přístupný ve službě Microsoft Sentinel na webu Azure Portal. Obsah incidentů se zpracovává následujícími způsoby:

  • Výstrahy obsažené v opuštěném incidentu se z něj odeberou a přidají se do konsolidovaného incidentu.
  • Všechny značky použité na opuštěný incident se z něj odeberou a přidají se do konsolidovaného incidentu.
  • Do Redirected opuštěného incidentu se přidá značka.
  • Entity (prostředky atd.) sledují výstrahy, se které jsou propojené.
  • Analytická pravidla zaznamenaná jako zapojená do vytváření opuštěného incidentu se přidají do pravidel zaznamenaných v konsolidovaném incidentu.
  • V současné době se komentáře a položky protokolu aktivit v opuštěném incidentu do konsolidovaného incidentu nepřesouvají.

Pokud chcete zobrazit komentáře a historii aktivit opuštěného incidentu, otevřete incident ve službě Microsoft Sentinel na webu Azure Portal. Historie aktivit zahrnuje ukončení incidentu a přidání a odebrání výstrah, značek a dalších položek souvisejících se sloučením incidentu. Tyto aktivity jsou přiřazeny identitě Microsoft Defender XDR – korelace upozornění.

Ruční korelace

I když microsoft Defender XDR už používá pokročilé mechanismy korelace, můžete se jinak rozhodnout, jestli daná výstraha patří k určitému incidentu, nebo ne. V takovém případě můžete zrušit propojení výstrahy s jedním incidentem a propojit ho s jiným. Každá výstraha musí patřit incidentu, takže můžete buď propojit výstrahu s jiným existujícím incidentem, nebo s novým incidentem, který vytvoříte na místě.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

Další kroky

Další informace o incidentech, vyšetřování a reakcích: Reakce na incidenty na portálu Microsoft Defender

Viz také