Jätä pois analytiikkasäännöt Microsoft Defender XDR

Tässä artikkelissa kerrotaan, miten voit jättää tietyt analytiikkasäännöt pois Microsoft Defender XDR korrelaatiomoduulista. Tämän ominaisuuden avulla organisaatiot voivat Microsoft Sentinel ylläpitää ennustettavissa olevaa tapausten toimintaa ja varmistaa yhteensopivuuden olemassa olevien automaatiotyönkulkujen kanssa.

Yleiskatsaus

Microsoft Defender XDR ryhmittelee useita ilmoituksia ja välikohtauksia yhtenäisiksi hyökkäystarineiksi. Vaikka tämä ominaisuus tarjoaa tehokkaita merkityksellisiä suojaustietoja, se voi johtaa odottamattomaan käyttäytymiseen organisaatioissa, jotka ovat siirtymässä Microsoft Sentinel, jossa tapaukset ovat staattisia ja määräytyvät yksinomaan analytiikkasääntöjen määritysten perusteella.

Sulkemalla pois tietyt analytiikkasäännöt korrelaatiosta voit varmistaa, että näiden sääntöjen luomat hälytykset ohittavat korrelaatiomoduulin ja ryhmittelevät tapauksiin täsmälleen samalla tavalla kuin Microsoft Sentinel – vain analytiikkasäännön ryhmittelymäärityksen perusteella.

Lisätietoja korrelaation toiminnasta Microsoft Defender XDR on Microsoft Defender portaalin kohdassa Ilmoitusten korrelaatio ja tapausten yhdistäminen.

Ennakkovaatimukset

Jotta voit jättää analytiikkasäännöt korrelaation ulkopuolelle, tarvitset seuraavat käyttöoikeudet:

Microsoft Sentinel Osallistujakäyttäjät, joilla on tämä Azure rooli, voivat hallita Microsoft Sentinel SIEM-työtilan tietoja, kuten ilmoituksia ja tunnistuksia.

Miten poissulkeminen toimii

Kun jätät analytiikkasäännön pois korrelaatiosta:

• Kaikki kyseisen säännön luomat hälytykset ohittavat korrelaatiomoduulin
• Hälytykset on ryhmitelty tapauksiin pelkästään analytiikkasäännön ryhmittelymäärityksen perusteella
• Toiminta vastaa sitä, miten tapaukset luotiin Microsoft Sentinel
• Sääntö toimii erillään korrelaatiologiikasta, joka yleensä luo hyökkäystarinoita

Tätä poissulkemista hallitaan lisäämällä #DONT_CORR# -tunniste säännön kuvauksen alkuun.

Jätä sääntö pois korrelaatiosta käyttöliittymän avulla

Voit jättää analytiikkasäännön pois korrelaatiosta ohjatun analytiikkasäännön luomisen vaihtopainikkeella.

1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

2. Siirry analytiikkasäännön ohjattuun toimintoon.

3. Kirjoita ohjatun säännön luomisen Yleiset-välilehteen nimi ja kuvaus.

4. Määritä sääntölogiikka tarpeen mukaan Aseta sääntölogiikka -välilehdessä.

5. Varmista Tapausasetukset-välilehdessä , että Ota korrelaatio käyttöön -asetuksena on Ei käytössä.

   

6. Aseta valitsimen arvoksi Käytössä , jos haluat jättää säännön pois korrelaatiosta.

Kun jätät säännön pois käyttöliittymän vaihtopainikkeella, #DONT_CORR# tunniste lisätään automaattisesti säännön kuvauksen alkuun. Analytiikkasääntöjen näkymä sisältää nyt korrelaatiotilan sarakkeen, jotta voit helposti nähdä, mitkä säännöt jätetään pois, sekä suodattaa luettelon, jotta näet säännöt tietyssä tilassa.

Jätä sääntö pois korrelaatiosta manuaalisesti

Voit manuaalisesti lisätä tai poistaa tunnisteen #DONT_CORR# hallitaksesi analytiikkasäännön korrelaatiotilaa.

Lisää tunniste manuaalisesti

1. Avaa analytiikkasääntö muokkaustilassa.

2. Lisää #DONT_CORR# säännön Kuvaus-kenttään tekstin alkuun.

3. Tallenna sääntö.

Korrelaation poissulkemisen hallinta ohjelmointirajapinnan kautta

Voit hallita ohjelmallisesti analytiikkasääntöjen poissulkemistilaa lisäämällä tai poistamalla tunnisteen #DONT_CORR# analytiikan ohjelmointirajapinnan kautta.

Voit muokata säännön korrelaatiotilaa seuraavasti:

1. Nouda säännön nykyinen määritys Microsoft Defender XDR-ohjelmointirajapinnan avulla.

2. Lisää tai poista #DONT_CORR# tunniste säännön kuvauskentän alussa.

3. Päivitä sääntö ohjelmointirajapinnan avulla.

Lisätietoja Microsoft Defender XDR-ohjelmointirajapinnan käyttämisestä on Microsoft Defender XDR ohjelmointirajapintoja yleiskatsauksessa.

Huomioon otettavat seikat

Huomioi seuraavat seikat käytettäessä korrelaation poissulkemista:

• Korrelaatiotila vastaa aina tunnistetta. Jos jätät säännön pois käyttöliittymän vaihtopainikkeella ja poistat #DONT_CORR# sitten tunnisteen manuaalisesti kuvauksesta, säännön korrelaatiotila palautuu Korrelaatio käytössä -tilaan.

• Kaikilla analytiikkasäännöillä on oletusarvoisesti käytössä korrelaatio, ellei sitä nimenomaisesti suljeta pois.

• Vaikka jätät säännön pois korrelaatiosta ja määrität analytiikkasäännön dynaamisella otsikolla, Defender-portaalin tapahtuman otsikko saattaa poiketa Microsoft Sentinel otsikosta. Microsoft Sentinel otsikko on ensimmäisen hälytyksen otsikko, ja Defenderissä se palaa kaikkien hälytysten yleiseen MITRE-taktiikkaan.

• Säännön korrelaatiotilan muuttaminen ei vaikuta hälytyksiin, jotka luotiin ennen muutosta. Ilmoitukset saavat korrelaatiotilansa, kun ne luodaan, ja tämä tila pysyy staattisena.

• Korrelaatiomoduuli on suunniteltu rakentamaan täydellisiä hyökkäystarinoita ja auttaa merkittävästi SOC-analyytikoita ymmärtämään hyökkäyksiä ja reagoimaan tehokkaasti. Jätä pois säännöt korrelaatiosta vain, jos se on tarpeen tiettyjä liiketoiminta- tai toiminnallisia vaatimuksia varten.

• Tunnisteiden muotoilusäännöt:

  • Kirjainkoko ei ole merkitsevä – Voit käyttää mitä tahansa isojen ja pienten kirjainten yhdistelmää (esimerkiksi #dont_corr# tai #DONT_CORR#).
  • Välistys on joustava – Voit lisätä minkä tahansa määrän välilyöntejä tunnisteen ja kuvauksen muiden kohteiden väliin tai olla lainkaan välilyöntejä.
  • On oltava alussa - tunnisteen on oltava kuvauskentän alussa.

  Esimerkiksi seuraavat kuvaukset ovat kaikki kelvollisia:

  • #DONT_CORR# Tämä sääntö havaitsee epäilyttävät kirjautumisyritykset
  • #dont_corr# Tämä sääntö valvoo tiedostomuutoksia
  • #DONT_CORR#This säännöstä ei ole välilyöntiä tunnisteen jälkeen

Seuraavat vaiheet

• Ilmoitusten korrelaatio ja tapausten yhdistäminen Microsoft Defender portaalissa
• Mukautettujen tunnistussääntöjen luominen
• Mukautettujen tunnistusten hallinta
• Tapausten hallinta Microsoft Defender

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.