Beskeder, hændelser og korrelation i Microsoft Defender XDR
I Microsoft Defender XDR er beskeder signaler fra en samling kilder, der stammer fra forskellige aktiviteter til trusselsregistrering. Disse signaler angiver forekomsten af skadelige eller mistænkelige hændelser i dit miljø. Beskeder kan ofte være en del af en bredere, kompleks angrebshistorie og relaterede beskeder aggregeres og korreleres for at danne hændelser , der repræsenterer disse angrebshistorier.
Hændelser giver det fulde billede af et angreb. Microsoft Defender XDR algoritmer korrelerer automatisk signaler (beskeder) fra alle Microsofts løsninger til sikkerhed og overholdelse af angivne standarder samt fra et stort antal eksterne løsninger via Microsoft Sentinel og Microsoft Defender til Cloud. Defender XDR identificerer flere signaler, som tilhører den samme angrebshistorie, ved hjælp af AI til løbende at overvåge sine telemetrikilder og tilføje flere beviser for allerede åbne hændelser.
Hændelser fungerer også som "sagsfiler", hvilket giver dig en platform til administration og dokumentation af dine undersøgelser. Du kan få flere oplysninger om hændelsers funktionalitet i denne forbindelse under Svar på hændelse på Microsoft Defender-portalen.
Vigtigt!
Microsoft Sentinel er nu offentlig tilgængelig på Microsoft Unified Security Operations-platformen på Microsoft Defender-portalen. Du kan få flere oplysninger under Microsoft Sentinel på Microsoft Defender-portalen.
Her er en oversigt over de vigtigste attributter for hændelser og beskeder og forskellene mellem dem:
Hændelser:
- Er de vigtigste "måleenhed" i arbejdet i SECURITY Operations Center (SOC).
- Vis den bredere kontekst for et angreb – angrebshistorien.
- Repræsenter "sagsfiler" for alle de oplysninger, der er nødvendige for at undersøge truslen og resultaterne af undersøgelsen.
- Oprettes af Microsoft Defender XDR til at indeholde mindst én besked og i mange tilfælde mange beskeder.
- Udløs automatiske serier af svar på truslen ved hjælp af automatiseringsregler, angrebsafbrydelser og playbooks.
- Registrer alle aktiviteter relateret til truslen og dens undersøgelse og løsning.
Indberetninger:
- Repræsenter de enkelte dele af historien, der er vigtige for at forstå og undersøge hændelsen.
- Oprettes af mange forskellige kilder, både interne og eksterne i forhold til Defender-portalen.
- Kan analyseres af sig selv for at tilføje værdi, når en dybere analyse er påkrævet.
- Kan udløse automatiske undersøgelser og svar på beskedniveau for at minimere den potentielle trusselspåvirkning.
Beskedkilder
Microsoft Defender XDR beskeder genereres af mange kilder:
Løsninger, der er en del af Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Tilføjelsesprogrammet appstyring til Microsoft Defender for Cloud Apps
- Microsoft Entra ID-beskyttelse
- Microsoft Forebyggelse af datatab
Andre tjenester, der har integrationer med Microsoft Defender sikkerhedsportalen
- Microsoft Sentinel
- Sikkerhedsløsninger, der ikke er fra Microsoft, og som sender deres beskeder til Microsoft Sentinel
- Microsoft Defender for Cloud
Microsoft Defender XDR selv opretter også beskeder. Med Microsoft Sentinel, der er onboardet på den samlede platform til sikkerhedshandlinger, har Microsoft Defender XDR korrelationsprogram nu adgang til alle de rådata, der indtages af Microsoft Sentinel. (Du kan finde disse data i avancerede jagttabeller). Defender XDR unikke korrelationsfunktioner giver endnu et lag af dataanalyse og trusselsregistrering for alle ikke-Microsoft-løsninger i din digitale ejendom. Disse registreringer producerer Defender XDR beskeder ud over de beskeder, der allerede leveres af Microsoft Sentinel analyseregler.
Når beskeder fra forskellige kilder vises sammen, angives hver beskeds kilde med tegnsæt, der er foran besked-id'et. Tabellen Beskedkilder knytter beskedkilderne til præfikset for besked-id'et.
Hændelsesoprettelse og beskedkorrelation
Når beskeder genereres af de forskellige registreringsmekanismer på Microsoft Defender sikkerhedsportal, som beskrevet i forrige afsnit, Defender XDR placerer dem i nye eller eksisterende hændelser i henhold til følgende logik:
| Scenarie | Beslutning |
|---|---|
| Beskeden er tilstrækkelig entydig på tværs af alle kilder til beskeder inden for en bestemt tidsramme. | Defender XDR opretter en ny hændelse og føjer beskeden til den. |
| Beskeden er tilstrækkeligt relateret til andre beskeder – fra den samme kilde eller på tværs af kilder – inden for en bestemt tidsramme. | Defender XDR føjer beskeden til en eksisterende hændelse. |
De kriterier Microsoft Defender bruger til at sammenholde beskeder i en enkelt hændelse, er en del af dens beskyttede interne korrelationslogik. Denne logik er også ansvarlig for at give et passende navn til den nye hændelse.
Hændelseskorrelation og fletning
Microsoft Defender XDR's korrelationsaktiviteter stopper ikke, når der oprettes hændelser. Defender XDR fortsætter med at registrere fællestræk og relationer mellem hændelser og mellem beskeder på tværs af hændelser. Når to eller flere hændelser bestemmes for at være tilstrækkeligt ens, fletter Defender XDR hændelserne til en enkelt hændelse.
Hvordan træffer Defender XDR denne beslutning?
Defender XDR korrelationsprogram fletter hændelser, når det genkender almindelige elementer mellem beskeder i separate hændelser baseret på dets omfattende viden om dataene og angrebsadfærden. Nogle af disse elementer omfatter:
- Enheder – aktiver som f.eks. brugere, enheder, postkasser og andre
- Artefakter – filer, processer, afsendere af mails og andre
- Tidsrammer
- Sekvenser af hændelser, der peger på angreb i flere faser – f.eks. en ondsindet mail click-hændelse, der følger tæt op på en phishing-mailregistrering.
Hvornår flettes hændelser ikke ?
Selvom korrelationslogikken angiver, at to hændelser skal flettes, fletter Defender XDR ikke hændelserne under følgende omstændigheder:
- En af hændelserne har statussen "Lukket". Hændelser, der løses, åbnes ikke igen.
- De to hændelser, der er berettiget til fletning, tildeles til to forskellige personer.
- Hvis du fletter de to hændelser, vil det øge antallet af enheder i den flettede hændelse over det maksimalt tilladte antal enheder pr. hændelse.
- De to hændelser indeholder enheder i forskellige enhedsgrupper , som defineret af organisationen.
(Denne betingelse er ikke aktiveret som standard. Den skal være aktiveret).
Hvad sker der, når hændelser flettes?
Når to eller flere hændelser flettes, oprettes der ikke en ny hændelse for at absorbere dem. I stedet overføres indholdet af én hændelse til den anden hændelse, og den hændelse, der afbrydes i processen, lukkes automatisk. Den afbrudte hændelse er ikke længere synlig eller tilgængelig i Microsoft Defender XDR, og enhver reference til den omdirigeres til den konsoliderede hændelse. Den forladte, lukkede hændelse forbliver tilgængelig i Microsoft Sentinel i Azure Portal. Indholdet af hændelserne håndteres på følgende måder:
- Beskeder i den afbrudte hændelse fjernes fra den og føjes til den konsoliderede hændelse.
- Alle mærker, der anvendes på den afbrudte hændelse, fjernes fra den og føjes til den sammenflettede hændelse.
- Der føjes et
Redirectedmærke til den afbrudte hændelse. - Enheder (aktiver osv.) følger de beskeder, de er knyttet til.
- Analyseregler, der registreres som involveret i oprettelsen af den afbrudte hændelse, føjes til de regler, der er registreret i den konsoliderede hændelse.
- Kommentarer og aktivitetslogposter i den afbrudte hændelse flyttes i øjeblikket ikke til den sammenflettede hændelse.
Hvis du vil se kommentarerne og aktivitetsoversigten for den afbrudte hændelse, skal du åbne hændelsen i Microsoft Sentinel i Azure Portal. Aktivitetsoversigten omfatter lukning af hændelsen og tilføjelse og fjernelse af beskeder, mærker og andre elementer, der er relateret til hændelsesfletningen. Disse aktiviteter tilskrives identiteten Microsoft Defender XDR – beskedkorrelation.
Manuel korrelation
Selvom Microsoft Defender XDR allerede bruger avancerede korrelationsmekanismer, kan det være en god idé at beslutte, om en bestemt besked tilhører en bestemt hændelse eller ej. I så fald kan du fjerne sammenkædningen af en besked fra én hændelse og knytte den til en anden. Alle beskeder skal tilhøre en hændelse, så du kan enten knytte beskeden til en anden eksisterende hændelse eller til en ny hændelse, som du opretter på stedet.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Næste trin
Læs mere om hændelser, undersøgelse og svar: Svar på hændelser på Microsoft Defender-portalen