Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa kerrotaan, miten Microsoft Defender-portaalin korrelaatiomoduuli koostaa ja korreloi kaikista niitä tuottavista lähteistä kerätyt hälytykset ja lähettää ne portaaliin. Se selittää, miten Defender luo tapauksia näistä hälytyksistä ja miten se seuraa edelleen niiden kehitystä yhdistäen tapauksia yhteen, jos tilanne sitä vaatii. Lisätietoja ilmoituksista ja niiden lähteistä sekä siitä, miten tapaukset lisäävät lisäarvoa Microsoft Defender-portaalissa, on artikkelissa Tapaukset ja hälytykset Microsoft Defender portaalissa.
Tapausten luominen ja hälytysten korrelaatio
Kun Microsoft Defender portaalin eri tunnistusmekanismeilla luodaan ilmoituksia, jotka on kuvattu kohdassa Microsoft Defender portaalin tapaukset ja hälytykset, ne sijoitetaan uusiin tai olemassa oleviin tapauksiin seuraavan logiikan mukaisesti:
- Jos ilmoitus on riittävän yksilöllinen kaikissa hälytyslähteissä tietyssä ajassa, Defender luo uuden tapahtuman ja lisää hälytyksen siihen.
- Jos ilmoitus liittyy tarpeeksi muihin ilmoituksiin – samasta lähteestä tai eri lähteistä – tietyn ajanjakson kuluessa, Defender lisää hälytyksen olemassa olevaan tapahtumaan.
Defender-portaalin käyttämät ehdot, jotka korreloivat hälytykset yhteen yksittäisessä tapauksessa, ovat osa sen omaa sisäistä korrelaatiologiikkaa. Tämä logiikka on myös vastuussa asianmukaisen nimen antamisesta uudelle tapahtumalle.
Ilmoitusten korrelaatio työtilan Microsoft Sentinel mukaan
Kun Defender-portaali on määritetty sisältämään Microsoft Sentinel tietolähteenä, kutakin Microsoft Sentinel työtilaa pidetään omana erillisenä tietolähteenään. Jos sinulla on useita työtiloja Microsoft Sentinel varten, Defender-portaalin avulla voit määrittää yhden näistä työtiloista ensisijaiseksi työtilaksi. Ensisijaisesta työtilasta tulevat hälytykset voidaan korreloida Microsoft Defender XDR ilmoitusten kanssa, ja ne voidaan sisällyttää tapauksiin. Muita perehdytetyissä Microsoft Sentinel työtiloja pidetään toissijaisina työtiloina. Näiden toissijaisten työtilojen ilmoitukset eivät korreloi Defender XDR tai minkään muun Defender-portaalin tietolähteen ilmoitusten kanssa, mukaan lukien muut Microsoft Sentinel työtilat. Defender-portaali pitää tapausten luomisen ja hälytysten korrelaation erillään Microsoft Sentinel työtilojen välillä. Lisätietoja on Defender-portaalin kohdassa Useita Microsoft Sentinel työtiloja.
Ilmoitusten manuaalinen korrelaatio
Vaikka Microsoft Defender käyttää jo kehittyneitä korrelaatiomekanismeja, haluat ehkä päättää eri tavalla, kuuluuko tietty ilmoitus tiettyyn tapahtumaan. Tässä tapauksessa voit poistaa ilmoituksen linkityksen yhdestä tapauksesta ja linkittää sen toiseen. Jokaisen hälytyksen on kuuluttava tapahtumaan, joten voit joko linkittää hälytyksen toiseen olemassa olevaan tapahtumaan tai uuteen tapahtumaan, jonka luot paikan päällä.
Lisätietoja ilmoituksen siirtämisestä tapahtumasta toiseen on artikkelissa Ilmoitusten siirtäminen tapahtumasta toiseen Microsoft Defender portaalissa.
Tapausten korrelaatio ja yhdistäminen
Defender-portaalin korrelaatiotoiminnot eivät lopu, kun tapauksia luodaan. Defender havaitsee edelleen yhtäläisyyksiä ja suhteita tapausten ja hälytysten välillä eri tapahtumissa. Kun useita tapauksia määritetään samanlaisiksi, Defender yhdistää tapaukset yhdeksi tapahtumaksi.
Tapausten yhdistämisehdot
Defenderin korrelaatiomoduuli yhdistää tapaukset, kun se tunnistaa yleisiä elementtejä ilmoitusten välillä erillisissä tapahtumissa sen syvän tietojen ja hyökkäyksen käyttäytymisen perusteella. Näitä elementtejä ovat muun muassa seuraavat:
- Entiteetit – resurssit, kuten käyttäjät, laitteet, postilaatikot ja muut
- Artefaktit – tiedostot, prosessit, sähköpostin lähettäjät ja muut
- Aikavälit
- Tapahtumasarjat, jotka viittaavat monivaiheisiin hyökkäyksiin – esimerkiksi haitallisiin sähköpostin napsautustapahtumiin, jotka seuraavat tiiviisti tietojenkalastelun sähköpostin tunnistusta.
Yhdistämisprosessin tiedot
Kun kaksi tai useampia tapauksia yhdistetään, niitä vastaan ei luoda uutta tapausta. Sen sijaan yhden tapauksen sisältö ( "lähdetapaus") siirretään toiseen tapahtumaan ( "kohdetapaus"), ja lähdetapaus suljetaan automaattisesti. Lähdetapaus ei ole enää näkyvissä tai käytettävissä Defender-portaalissa, ja kaikki viittaukset siihen ohjataan kohdetapaukseen. Vaikka lähdetapaus on suljettu, se on käytettävissä Microsoft Sentinel Azure-portaali.
Yhdistämissuunta
Tapahtumayhdistämisen suunta viittaa siihen, mikä tapaus on lähde ja mikä on kohde. Microsoft Defender määrittää tämän suunnan oman sisäisen logiikkansa perusteella tavoitteenaan maksimoida tietojen säilytys ja käyttöoikeus. Käyttäjällä ei ole syötettä tähän päätökseen edes silloin, kun hän yhdistää tapauksia manuaalisesti.
Tapahtuman sisältö
Tapahtumien sisältöä käsitellään seuraavilla tavoilla:
- Kaikki lähdetapauksen sisältämät hälytykset poistetaan lähdetapauksesta ja lisätään kohdetapaukseen.
- Lähdetapauksessa käytetyt tunnisteet poistetaan lähdetapauksesta ja lisätään kohdetapaukseen.
- Lähdetapaukseen
Redirectedlisätään tunniste. - Entiteetit (resurssit jne.) noudattavat ilmoituksia, joihin ne on linkitetty.
- Lähdetapauksen luomiseen liittyväksi kirjatut analytiikkasäännöt lisätään kohdetapauksessa tallennettuihin sääntöihin. Jos haluat jättää analytiikkasäännön pois korrelaatiosta, lue artikkeli Analyysisääntöjen jättäminen pois korrelaatiosta Microsoft Defender XDR (esikatselu) -kohdassa.
- Tällä hetkellä kommenttien siirto ja toimintolokimerkintöjen valvonta on esikatseluvaiheessa.
Jos haluat nähdä lähdetapauksen kommentit ja toimintahistorian, jos sinulla ei ole käyttöoikeutta esikatseluun, avaa tapaus Microsoft Sentinel Azure-portaali. Toimintahistoria sisältää tapahtuman sulkemisen sekä ilmoitusten, tunnisteiden ja muiden tapahtumayhdistämiseen liittyvien kohteiden lisäämisen ja poistamisen. Nämä toiminnot johtuvat käyttäjätietojen Microsoft Defender XDR – ilmoitusten korrelaatio.
Kun tapauksia ei yhdistetä
Vaikka korrelaatiologiikka ilmaisee, että kaksi tapausta tulisi yhdistää, Defender ei yhdistä tapauksia seuraavissa olosuhteissa:
- Yhden tapauksen tila on "Suljettu". Ratkaistuja tapauksia ei avata uudelleen.
- Lähde- ja kohdetapaukset on määritetty kahdelle eri henkilölle.
- Lähde- ja kohdetapahtumilla on kaksi eri luokitusta (esimerkiksi tosi positiivinen ja epätosi-positiivinen) tai kaksi eri määritystä (luokitusten alaluokat).
- Kahden tapauksen yhdistäminen nostaisi kohdetapauksen entiteettien määrän sallitun enimmäismäärän yläpuolelle.
- Nämä kaksi tapausta sisältävät laitteita eri laiteryhmissä organisaation määrittämällä tavalla.
(Tämä ehto ei ole oletusarvoisesti käytössä. Sen on oltava käytössä.)
Tapausten manuaalinen yhdistäminen (esikatselu)
Jos kaksi tapausta tulee yhdistää, mutta niitä ei yhdistetä minkään edellisessä osiossa luetellun syyn vuoksi, voit nyt yhdistää tapaukset manuaalisesti, kun olet korjannut taustalla olevat syyt.
Jos tapauksia ei esimerkiksi yhdistetty, koska ne on määritetty kahdelle eri henkilölle, voit poistaa yhden tapauksen määrittämisen ja yhdistää tapaukset sitten manuaalisesti.
Tapausten yhdistäminen on suositeltavaa poistaa ilmoitusten linkitys yhdestä tapauksesta ja linkittää ne toiseen, koska kaikki tapahtumatiedot (esimerkiksi toimintaloki) säilytetään.
Tällä hetkellä viisi tapausta kerrallaan voidaan yhdistää manuaalisesti.
Muut manuaalista yhdistämistä koskevat säännöt ovat samat kuin automaattinen yhdistäminen. Katso yhdistämisprosessin tiedot edellä.
Lisätietoja tapausten manuaalisesta yhdistämisestä on artikkelissa Tapausten yhdistäminen manuaalisesti Microsoft Defender portaalissa.
Seuraavat vaiheet
Lisätietoja tapausten priorisoinnista ja hallinnasta on seuraavissa artikkeleissa:
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.