Jaa


Hälytykset, tapaukset ja korrelaatio Microsoft Defender XDR:ssä

Microsoft Defender XDR:ssä hälytykset ovat signaaleja kokoelmasta lähteitä, jotka ovat seurausta erilaisista uhkien havaitsemistoimista. Nämä signaalit ilmaisevat haitallisia tai epäilyttäviä tapahtumia ympäristössäsi. Hälytykset voivat usein olla osa laajempaa ja monimutkaista hyökkäystarinaa, ja niihin liittyvät hälytykset koostetaan ja korreloivat yhteen näitä hyökkäystarinoita edustavien tapausten muodostamiseksi.

Tapaukset antavat koko kuvan hyökkäyksestä. Microsoft Defenderin XDR-algoritmit korreloivat automaattisesti signaaleja (hälytyksiä) kaikista Microsoftin tietoturva- ja yhteensopivuusratkaisuista sekä laajasta määrästä ulkoisia ratkaisuja Microsoft Sentinelin ja Microsoft Defender for Cloudin kautta. Defender XDR tunnistaa useita signaaleja, jotka kuuluvat samaan hyökkäystarinaan, tekoälyn avulla seuratakseen jatkuvasti telemetrialähteitään ja lisätäkseen todisteita jo avoimiin tapauksiin.

Tapaukset toimivat myös "tapaustiedostoina", mikä tarjoaa käyttöympäristön tutkimusten hallintaan ja dokumentointiin. Lisätietoja tapausten toiminnoista on Microsoft Defender -portaalin kohdassa Tapausten käsittely.

Tärkeää

Microsoft Sentinel on nyt yleisesti saatavilla Microsoft unified security operations -ympäristössä Microsoft Defender -portaalissa. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.

Seuraavassa on yhteenveto tapahtumien ja hälytysten tärkeimmistä ominaisuuksista sekä niiden välisistä eroista:

Tapauksia:

  • Ovat SoC:n (Security Operations Center) työn tärkein mittayksikkö.
  • Näytä hyökkäyksen laajempi konteksti – hyökkäystarina.
  • Esitä "tapaustiedostot" kaikista tiedoista, joita tarvitaan uhan ja tutkimuksen tulosten tutkimiseen.
  • Microsoft Defender XDR luo ne sisältämään vähintään yhden ilmoituksen, ja monissa tapauksissa se sisältää useita ilmoituksia.
  • Käynnistä automaattinen vastaussarja uhkaan käyttämällä automaatiosääntöjä, hyökkäyshäiriöitä ja pelikirjoja.
  • Tallenna kaikki uhkaan liittyvä toiminta sekä sen tutkimukset ja ratkaisut.

Ilmoitukset:

  • Esitä tarinan yksittäiset osat, jotka ovat välttämättömiä tapauksen ymmärtämiselle ja tutkimiselle.
  • Ne luodaan monista eri lähteistä sekä Defender-portaalin sisäisistä että ulkoisista lähteistä.
  • Voidaan analysoida itse, jotta niistä saadaan lisäarvoa, kun tarvitaan syvempää analyysia.
  • Voi käynnistää automaattisia tutkimuksia ja vastauksia hälytystasolla mahdollisten uhkavaikutusten minimoimiseksi.

Ilmoituslähteet

Microsoft Defenderin XDR-ilmoitukset ovat monien lähteiden luomia:

  • Ratkaisut, jotka ovat osa Microsoft Defender XDR:ää

    • Microsoft Defender for Endpoint
    • Microsoft Defender for Office 365
    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender for Cloud Appsin sovellusten hallinnan lisäosa
    • Microsoft Entra ID Protection
    • Microsoftin tietojen menetyksen estäminen
  • Muut palvelut, jotka on integroitu Microsoft Defenderin suojausportaaliin

    • Microsoft Sentinel
    • Muut kuin Microsoftin suojausratkaisut, jotka siirtävät ilmoituksensa Microsoft Sentinelille
    • Microsoft Defender for Cloud

Myös Microsoft Defender XDR luo hälytyksiä. Kun Microsoft Sentinel on otettu käyttöön yhtenäisessä suojaustoimintojen ympäristössä, Microsoft Defender XDR:n korrelaatiomoduulilla on nyt pääsy kaikkiin Microsoft Sentinelin käsittelemiin raakatietoihin. (Löydät nämä tiedot lisämetsästystaulukoista .) Defender XDR:n ainutlaatuiset korrelaatio-ominaisuudet tarjoavat toisen tietoanalyysi- ja uhkien tunnistamisen tason kaikille muille kuin Microsoft-ratkaisuille digitaalisessa tilassasi. Nämä tunnistamiset tuottavat Defenderin XDR-hälytyksiä Microsoft Sentinelin analytiikkasääntöjen jo toimittamien hälytysten lisäksi.

Kun eri lähteistä peräisin olevat hälytykset näytetään yhdessä, kunkin ilmoituksen lähde ilmoitetaan ilmoitustunnukseen valmiiksi liitettyjen merkkien joukkoina. Ilmoituslähteiden taulukko yhdistää ilmoituslähteet hälytystunnuksen etuliitteeksi.

Tapausten luominen ja hälytysten korrelaatio

Kun Microsoft Defenderin suojausportaalin eri tunnistusmekanismeilla luodaan ilmoituksia edellisessä osiossa kuvatulla tavalla, Defender XDR sijoittaa ne uusiin tai olemassa oleviin tapauksiin seuraavan logiikan mukaisesti:

Skenaario Päätös
Ilmoitus on riittävän yksilöllinen kaikissa hälytyslähteissä tietyssä ajassa. Defender XDR luo uuden tapauksen ja lisää hälytyksen siihen.
Ilmoitus liittyy tarpeeksi muihin ilmoituksiin – samasta lähteestä tai eri lähteistä – tietyn ajan kuluessa. Defender XDR lisää hälytyksen olemassa olevaan tapaukseen.

Ehdot, joita Microsoft Defender käyttää ilmoitusten yhdistämiseen yhdessä yksittäisessä tapauksessa, ovat osa sen omaa sisäistä korrelaatiologiikkaa. Tämä logiikka on myös vastuussa asianmukaisen nimen antamisesta uudelle tapahtumalle.

Tapausten korrelaatio ja yhdistäminen

Microsoft Defender XDR:n korrelaatiotoimet eivät lopu, kun tapauksia luodaan. Defender XDR havaitsee edelleen yleisyyksiä ja suhteita tapausten välillä sekä hälytysten välillä eri tapahtumissa. Kun vähintään kaksi tapausta on määritetty riittävän samanlaisiksi, Defender XDR yhdistää tapaukset yhdeksi tapahtumaksi.

Miten Defender XDR tekee tämän päätöksen?

Defender XDR:n korrelaatiomoduuli yhdistää tapaukset, joissa se tunnistaa yleisiä elementtejä ilmoitusten välillä erillisissä tapahtumissa sen syvän tietojen ja hyökkäyksen käyttäytymisen perusteella. Näitä elementtejä ovat muun muassa seuraavat:

  • Entiteetit – resurssit, kuten käyttäjät, laitteet, postilaatikot ja muut
  • Artefaktit – tiedostot, prosessit, sähköpostin lähettäjät ja muut
  • Aikavälit
  • Tapahtumasarjat, jotka viittaavat monivaiheisiin hyökkäyksiin – esimerkiksi haitallisiin sähköpostin napsautustapahtumiin, jotka seuraavat tiiviisti tietojenkalastelun sähköpostin tunnistusta.

Milloin tapauksia ei yhdistetä?

Vaikka korrelaatiologiikka ilmaisee, että kaksi tapausta tulisi yhdistää, Defender XDR ei yhdistä tapauksia seuraavissa olosuhteissa:

  • Yhden tapauksen tila on "Suljettu". Ratkaistuja tapauksia ei avata uudelleen.
  • Kaksi yhdistämiseen oikeutettua tapausta on määritetty kahdelle eri henkilölle.
  • Kahden tapauksen yhdistäminen nostaisi yhdistetyn tapauksen entiteettien määrän sallitun enimmäismäärän yläpuolelle.
  • Nämä kaksi tapausta sisältävät laitteita eri laiteryhmissä organisaation määrittämällä tavalla.
    (Tämä ehto ei ole oletusarvoisesti käytössä. Sen on oltava käytössä.)

Mitä tapahtuu, kun tapaukset yhdistetään?

Kun kaksi tai useampia tapauksia yhdistetään, niitä vastaan ei luoda uutta tapausta. Sen sijaan yhden tapauksen sisältö siirretään toiseen tapaukseen, ja prosessissa hylätty tapaus suljetaan automaattisesti. Hylätty tapaus ei ole enää näkyvissä tai käytettävissä Microsoft Defender XDR:ssä, ja kaikki viittaukset siihen ohjataan konsolidoituun tapaukseen. Hylätty suljettu tapaus on edelleen käytettävissä Microsoft Sentinelissä Azure-portaalissa. Tapahtumien sisältöä käsitellään seuraavilla tavoilla:

  • Hylätyn tapauksen sisältämät hälytykset poistetaan siitä ja lisätään konsolidoituun tapaukseen.
  • Hylätyssä tapahtumassa käytetyt tunnisteet poistetaan siitä ja lisätään konsolidoituun tapaukseen.
  • Hylättyyn Redirected tapaukseen lisätään tunniste.
  • Entiteetit (resurssit jne.) noudattavat ilmoituksia, joihin ne on linkitetty.
  • Hylätyn tapauksen luomiseen liittyväksi kirjatut analytiikkasäännöt lisätään konsolidoidussa tapauksessa kirjattuihin sääntöihin.
  • Tällä hetkellä hylätyn tapauksen kommentteja ja toimintalokin merkintöjä ei siirretä konsolidoituun tapaukseen.

Jos haluat nähdä hylätyn tapauksen kommentit ja toimintahistorian, avaa tapaus Microsoft Sentinelissä Azure-portaalissa. Toimintahistoria sisältää tapahtuman sulkemisen sekä ilmoitusten, tunnisteiden ja muiden tapahtumayhdistämiseen liittyvien kohteiden lisäämisen ja poistamisen. Nämä toiminnot johtuvat Microsoft Defender XDR - alert correlation -käyttäjätiedoista.

Manuaalinen korrelaatio

Vaikka Microsoft Defenderin XDR käyttää jo kehittyneitä korrelaatiomekanismeja, haluat ehkä päättää eri tavalla, kuuluuko tietty ilmoitus tiettyyn tapahtumaan vai ei. Tässä tapauksessa voit poistaa ilmoituksen linkityksen yhdestä tapauksesta ja linkittää sen toiseen. Jokaisen hälytyksen on kuuluttava tapahtumaan, joten voit joko linkittää hälytyksen toiseen olemassa olevaan tapahtumaan tai uuteen tapahtumaan, jonka luot paikan päällä.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.

Seuraavat vaiheet

Lue lisää tapauksista, tutkimuksista ja vastauksista: Tapausten käsittely Microsoft Defender -portaalissa

Tutustu myös seuraaviin ohjeartikkeleihin: