Freigeben über


Warnungen, Incidents und Korrelationen in Microsoft Defender XDR

In Microsoft Defender XDR sind Warnungen Signale aus einer Sammlung von Quellen, die aus verschiedenen Aktivitäten zur Bedrohungserkennung resultieren. Diese Signale weisen auf das Auftreten schädlicher oder verdächtiger Ereignisse in Ihrer Umgebung hin. Warnungen können häufig Teil einer umfassenderen, komplexen Angriffsgeschichte sein, und verwandte Warnungen werden aggregiert und korreliert, um Incidents zu bilden, die diese Angriffsgeschichten darstellen.

Incidents bieten das vollständige Bild eines Angriffs. Die Algorithmen von Microsoft Defender XDR korrelieren automatisch Signale (Warnungen) von allen Microsoft-Sicherheits- und Compliancelösungen sowie von einer großen Anzahl externer Lösungen über Microsoft Sentinel und Microsoft Defender für Cloud. Defender XDR identifiziert mehrere Signale, die zu demselben Angriffsverlauf gehören, wobei KI verwendet wird, um seine Telemetriequellen kontinuierlich zu überwachen und bereits geöffneten Vorfällen weitere Beweise hinzuzufügen.

Incidents fungieren auch als "Falldateien" und bieten Ihnen eine Plattform zum Verwalten und Dokumentieren Ihrer Untersuchungen. Weitere Informationen zur Funktionalität von Incidents in dieser Hinsicht finden Sie unter Reaktion auf Vorfälle im Microsoft Defender-Portal.

Wichtig

Microsoft Sentinel ist jetzt allgemein auf der Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Hier finden Sie eine Zusammenfassung der Hauptattribute von Incidents und Warnungen sowie die Unterschiede zwischen ihnen:

Vorfälle:

  • Sind die wichtigste "Maßeinheit" der Arbeit des Security Operations Center (SOC).
  • Zeigen Sie den breiteren Kontext eines Angriffs an– die Angriffsgeschichte.
  • Stellen Sie "Falldateien" mit allen Informationen dar, die zur Untersuchung der Bedrohung und der Ergebnisse der Untersuchung erforderlich sind.
  • Werden von Microsoft Defender XDR erstellt, um mindestens eine Warnung und in vielen Fällen viele Warnungen zu enthalten.
  • Auslösen einer automatischen Reihe von Reaktionen auf die Bedrohung mithilfe von Automatisierungsregeln, Angriffsunterbrechungen und Playbooks.
  • Zeichnen Sie alle Aktivitäten im Zusammenhang mit der Bedrohung und deren Untersuchung und Lösung auf.

Alarmsignale:

  • Stellen Sie die einzelnen Teile der Geschichte dar, die für das Verständnis und die Untersuchung des Vorfalls unerlässlich sind.
  • Werden von vielen verschiedenen Quellen sowohl intern als auch extern für das Defender-Portal erstellt.
  • Kann selbst analysiert werden, um einen Mehrwert zu erreichen, wenn eine tiefere Analyse erforderlich ist.
  • Kann automatische Untersuchungen und Reaktionen auf Warnungsebene auslösen, um die potenziellen Auswirkungen auf Bedrohungen zu minimieren.

Warnungsquellen

Microsoft Defender XDR-Warnungen werden von vielen Quellen generiert:

  • Lösungen, die Teil von Microsoft Defender XDR sind

    • Microsoft Defender für Endpunkt
    • Microsoft Defender für Office 365
    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps
    • Das App-Governance-Add-On für Microsoft Defender for Cloud Apps
    • Microsoft Entra ID Protection
    • Microsoft Data Loss Prevention
  • Andere Dienste mit Integrationen in das Microsoft Defender-Sicherheitsportal

    • Microsoft Sentinel
    • Nicht von Microsoft stammende Sicherheitslösungen, die ihre Warnungen an Microsoft Sentinel übergeben
    • Microsoft Defender für Cloud

Microsoft Defender XDR selbst erstellt auch Warnungen. Da Microsoft Sentinel in die Unified Security Operations-Plattform integriert ist, hat die Korrelations-Engine von Microsoft Defender XDR jetzt Zugriff auf alle von Microsoft Sentinel erfassten Rohdaten. (Diese Daten finden Sie unter Erweiterte Suchtabellen .) Die einzigartigen Korrelationsfunktionen von Defender XDR bieten eine weitere Ebene der Datenanalyse und Bedrohungserkennung für alle Nicht-Microsoft-Lösungen in Ihrem digitalen Bestand. Diese Erkennungen erzeugen Defender-XDR-Warnungen zusätzlich zu den Warnungen, die bereits von den Analyseregeln von Microsoft Sentinel bereitgestellt werden.

Wenn Warnungen aus verschiedenen Quellen zusammen angezeigt werden, wird die Quelle jeder Warnung durch Zeichensätze angegeben, die der Warnungs-ID vorangestellt sind. In der Tabelle Warnungsquellen werden die Warnungsquellen dem Präfix der Warnungs-ID zugeordnet.

Incidenterstellung und Warnungskorrelation

Wenn Warnungen von den verschiedenen Erkennungsmechanismen im Microsoft Defender-Sicherheitsportal generiert werden, wie im vorherigen Abschnitt beschrieben, platziert Defender XDR sie gemäß der folgenden Logik in neuen oder vorhandenen Vorfällen:

Szenario Decision
Die Warnung ist in allen Warnungsquellen innerhalb eines bestimmten Zeitrahmens ausreichend eindeutig. Defender XDR erstellt einen neuen Incident und fügt die Warnung hinzu.
Die Warnung ist in ausreichendem Zusammenhang mit anderen Warnungen – aus derselben Quelle oder quellenübergreifend – innerhalb eines bestimmten Zeitrahmens. Defender XDR fügt die Warnung einem vorhandenen Incident hinzu.

Die Kriterien, die Microsoft Defender verwendet, um Warnungen in einem einzelnen Incident zusammen zu korrelieren, sind Teil der proprietären internen Korrelationslogik. Diese Logik ist auch dafür verantwortlich, dem neuen Incident einen geeigneten Namen zu geben.

Incidentkorrelation und Zusammenführung

Die Korrelationsaktivitäten von Microsoft Defender XDR werden nicht beendet, wenn Incidents erstellt werden. Defender XDR erkennt weiterhin Gemeinsamkeiten und Beziehungen zwischen Incidents und zwischen Warnungen über Incidents hinweg. Wenn festgestellt wird, dass zwei oder mehr Incidents ausreichend gleich sind, führt Defender XDR die Incidents zu einem einzelnen Incident zusammen.

Wie trifft Defender XDR diese Entscheidung?

Die Korrelations-Engine von Defender XDR führt Incidents zusammen, wenn es häufige Elemente zwischen Warnungen in separaten Vorfällen erkennt, basierend auf seinen umfassenden Kenntnissen der Daten und des Angriffsverhaltens. Einige dieser Elemente umfassen:

  • Entitäten – Ressourcen wie Benutzer, Geräte, Postfächer und andere
  • Artefakte – Dateien, Prozesse, E-Mail-Absender und andere
  • Zeitrahmen
  • Sequenzen von Ereignissen, die auf mehrstufige Angriffe verweisen, z. B. ein schädliches E-Mail-Klickereignis, das genau auf eine Phishing-E-Mail-Erkennung folgt.

Wann werden Incidents nicht zusammengeführt?

Selbst wenn die Korrelationslogik angibt, dass zwei Incidents zusammengeführt werden sollen, führt Defender XDR die Incidents unter den folgenden Umständen nicht zusammen:

  • Einer der Vorfälle hat den Status "Geschlossen". Behobene Vorfälle werden nicht erneut geöffnet.
  • Die beiden zusammenführenden Vorfälle werden zwei verschiedenen Personen zugewiesen.
  • Durch das Zusammenführen der beiden Incidents würde die Anzahl der Entitäten im zusammengeführten Incident über den maximal zulässigen Wert hinaus steigen.
  • Die beiden Incidents enthalten Geräte in unterschiedlichen Gerätegruppen , wie von der Organisation definiert.
    (Diese Bedingung ist nicht standardmäßig in Kraft; sie muss aktiviert sein.)

Was geschieht, wenn Incidents zusammengeführt werden?

Wenn zwei oder mehr Incidents zusammengeführt werden, wird kein neuer Vorfall erstellt, um sie aufzufangen. Stattdessen werden die Inhalte eines Incidents in den anderen Incident migriert, und der Im Prozess abgebrochene Incident wird automatisch geschlossen. Der abgebrochene Incident ist in Microsoft Defender XDR nicht mehr sichtbar oder verfügbar, und jeder Verweis darauf wird an den konsolidierten Incident umgeleitet. Auf den abgebrochenen, geschlossenen Incident kann weiterhin in Microsoft Sentinel im Azure-Portal zugegriffen werden. Die Inhalte der Incidents werden wie folgt behandelt:

  • Warnungen, die im abgebrochenen Incident enthalten sind, werden daraus entfernt und dem konsolidierten Incident hinzugefügt.
  • Alle Tags, die auf den abgebrochenen Incident angewendet werden, werden daraus entfernt und dem konsolidierten Incident hinzugefügt.
  • Dem abgebrochenen Incident wird ein Redirected Tag hinzugefügt.
  • Entitäten (Objekte usw.) folgen den Warnungen, mit denen sie verknüpft sind.
  • Analyseregeln, die als an der Erstellung des abgebrochenen Incidents beteiligt sind, werden den regeln hinzugefügt, die im konsolidierten Incident aufgezeichnet wurden.
  • Derzeit werden Kommentare und Aktivitätsprotokolleinträge im abgebrochenen Incident nicht in den konsolidierten Incident verschoben.

Um die Kommentare und den Aktivitätsverlauf des abgebrochenen Incidents anzuzeigen, öffnen Sie den Incident in Microsoft Sentinel im Azure-Portal. Der Aktivitätsverlauf umfasst das Schließen des Incidents sowie das Hinzufügen und Entfernen von Warnungen, Tags und anderen Elementen im Zusammenhang mit der Incidentzusammenführung. Diese Aktivitäten werden der Identität Microsoft Defender XDR – Warnungskorrelation zugeordnet.

Manuelle Korrelation

Obwohl Microsoft Defender XDR bereits erweiterte Korrelationsmechanismen verwendet, sollten Sie anders entscheiden, ob eine bestimmte Warnung zu einem bestimmten Incident gehört oder nicht. In einem solchen Fall können Sie die Verknüpfung einer Warnung mit einem Incident aufheben und mit einem anderen verknüpfen. Jede Warnung muss zu einem Incident gehören, sodass Sie die Warnung entweder mit einem anderen vorhandenen Incident oder einem neuen Incident verknüpfen können, den Sie vor Ort erstellen.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.

Nächste Schritte

Weitere Informationen zu Incidents, Untersuchung und Reaktion: Reaktion auf Vorfälle im Microsoft Defender-Portal

Siehe auch