Alertes, incidents et corrélation dans Microsoft Defender XDR
Dans Microsoft Defender XDR, les alertes sont des signaux provenant d’une collection de sources qui résultent de diverses activités de détection des menaces. Ces signaux indiquent l’occurrence d’événements malveillants ou suspects dans votre environnement. Les alertes peuvent souvent faire partie d’une histoire d’attaque plus large et complexe, et les alertes associées sont agrégées et corrélées ensemble pour former des incidents qui représentent ces récits d’attaque.
Les incidents fournissent une image complète d’une attaque. Les algorithmes de Microsoft Defender XDR mettent automatiquement en corrélation les signaux (alertes) de toutes les solutions de sécurité et de conformité Microsoft, ainsi que d’un grand nombre de solutions externes via Microsoft Sentinel et Microsoft Defender pour le cloud. Defender XDR identifie plusieurs signaux comme appartenant à la même histoire d’attaque, en utilisant l’IA pour surveiller en permanence ses sources de télémétrie et ajouter des preuves aux incidents déjà ouverts.
Les incidents fonctionnent également comme des « fichiers de cas », ce qui vous offre une plateforme pour gérer et documenter vos enquêtes. Pour plus d’informations sur la fonctionnalité des incidents à cet égard, consultez Réponse aux incidents dans le portail Microsoft Defender.
Importante
Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Voici un résumé des principaux attributs des incidents et des alertes, ainsi que des différences entre eux :
Incidents:
- Il s’agit de l'« unité de mesure » principale du travail du Centre des opérations de sécurité (SOC).
- Afficher le contexte plus large d’une attaque, c’est-à-dire l’histoire de l’attaque.
- Représenter les « dossiers de cas » de toutes les informations nécessaires pour enquêter sur la menace et les conclusions de l’enquête.
- Sont créés par Microsoft Defender XDR pour contenir au moins une alerte et, dans de nombreux cas, contenir de nombreuses alertes.
- Déclenchez des séries automatiques de réponses à la menace, à l’aide de règles d’automatisation, d’interruptiondes attaques et de playbooks.
- Enregistrez toutes les activités liées à la menace, ainsi qu’à son investigation et à sa résolution.
Alertes:
- Représenter les éléments individuels de l’histoire qui sont essentiels à la compréhension et à l’investigation de l’incident.
- Sont créés par de nombreuses sources internes et externes au portail Defender.
- Peut être analysé par eux-mêmes pour ajouter de la valeur quand une analyse plus approfondie est nécessaire.
- Peut déclencher des enquêtes et des réponses automatiques au niveau de l’alerte, afin de réduire l’impact potentiel des menaces.
Sources d’alerte
Les alertes Microsoft Defender XDR sont générées par de nombreuses sources :
Solutions qui font partie de Microsoft Defender XDR
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour Office 365
- Microsoft Defender pour l’identité
- Microsoft Defender for Cloud Apps
- Module complémentaire de gouvernance des applications pour Microsoft Defender pour les applications cloud
- Protection Microsoft Entra ID
- Protection contre la perte de données Microsoft
Autres services qui ont des intégrations avec le portail de sécurité Microsoft Defender
- Microsoft Sentinel
- Solutions de sécurité non-Microsoft qui transmettent leurs alertes à Microsoft Sentinel
- Microsoft Defender pour le cloud
Microsoft Defender XDR lui-même crée également des alertes. Avec Microsoft Sentinel intégré à la plateforme d’opérations de sécurité unifiée, le moteur de corrélation de Microsoft Defender XDR a désormais accès à toutes les données brutes ingérées par Microsoft Sentinel. (Vous pouvez trouver ces données dans tables de chasse avancées .) Les fonctionnalités de corrélation uniques de Defender XDR fournissent une autre couche d’analyse des données et de détection des menaces pour toutes les solutions non-Microsoft de votre patrimoine numérique. Ces détections produisent des alertes Defender XDR, en plus des alertes déjà fournies par les règles d’analyse de Microsoft Sentinel.
Lorsque des alertes provenant de différentes sources sont affichées ensemble, la source de chaque alerte est indiquée par des ensembles de caractères ajoutés à l’ID d’alerte. Le tableau Sources d’alerte mappe les sources d’alerte au préfixe d’ID d’alerte.
Création d’incidents et corrélation des alertes
Lorsque des alertes sont générées par les différents mécanismes de détection dans le portail de sécurité Microsoft Defender, comme décrit dans la section précédente, Defender XDR les place dans des incidents nouveaux ou existants selon la logique suivante :
Scénario | Decision |
---|---|
L’alerte est suffisamment unique dans toutes les sources d’alerte dans un laps de temps particulier. | Defender XDR crée un incident et y ajoute l’alerte. |
L’alerte est suffisamment liée à d’autres alertes (provenant de la même source ou d’une source à l’autre) dans un laps de temps particulier. | Defender XDR ajoute l’alerte à un incident existant. |
Les critères utilisés par Microsoft Defender pour mettre en corrélation les alertes dans un seul incident font partie de sa logique de corrélation interne propriétaire. Cette logique est également responsable de l’attribution d’un nom approprié au nouvel incident.
Corrélation et fusion des incidents
Les activités de corrélation de Microsoft Defender XDR ne s’arrêtent pas lorsque des incidents sont créés. Defender XDR continue de détecter les points communs et les relations entre les incidents et entre les alertes entre les incidents. Lorsque plusieurs incidents sont jugés suffisamment similaires, Defender XDR fusionne les incidents en un seul incident.
Comment Defender XDR prend-il cette décision ?
Le moteur de corrélation de Defender XDR fusionne les incidents lorsqu’il reconnaît les éléments communs entre les alertes dans des incidents distincts, en fonction de sa connaissance approfondie des données et du comportement d’attaque. Voici quelques-uns de ces éléments :
- Entités : ressources telles que les utilisateurs, les appareils, les boîtes aux lettres et autres
- Artefacts : fichiers, processus, expéditeurs d’e-mails et autres
- Intervalles de temps
- Séquences d’événements qui pointent vers des attaques multiphases, par exemple, un événement de clic d’e-mail malveillant qui suit de près la détection d’un e-mail d’hameçonnage.
Quand les incidents ne sont-ils pas fusionnés ?
Même lorsque la logique de corrélation indique que deux incidents doivent être fusionnés, Defender XDR ne fusionne pas les incidents dans les circonstances suivantes :
- L’un des incidents a l’état « Fermé ». Les incidents résolus ne sont pas rouverts.
- Les deux incidents éligibles à la fusion sont attribués à deux personnes différentes.
- La fusion des deux incidents augmenterait le nombre d’entités dans l’incident fusionné au-dessus du nombre maximal autorisé.
- Les deux incidents contiennent des appareils appartenant à différents groupes d’appareils définis par l’organisation.
(Cette condition n’est pas appliquée par défaut ; elle doit être activée.)
Que se passe-t-il lorsque des incidents sont fusionnés ?
Lorsque plusieurs incidents sont fusionnés, aucun incident n’est créé pour les absorber. Au lieu de cela, le contenu d’un incident est migré vers l’autre incident, et l’incident abandonné dans le processus est automatiquement fermé. L’incident abandonné n’est plus visible ou disponible dans Microsoft Defender XDR, et toute référence à celui-ci est redirigée vers l’incident consolidé. L’incident abandonné et fermé reste accessible dans Microsoft Sentinel dans le portail Azure. Le contenu des incidents est géré de la manière suivante :
- Les alertes contenues dans l’incident abandonné y sont supprimées et ajoutées à l’incident consolidé.
- Toutes les balises appliquées à l’incident abandonné y sont supprimées et ajoutées à l’incident consolidé.
- Une
Redirected
balise est ajoutée à l’incident abandonné. - Les entités (ressources, etc.) suivent les alertes auxquelles elles sont liées.
- Les règles d’analyse enregistrées comme impliquées dans la création de l’incident abandonné sont ajoutées aux règles enregistrées dans l’incident consolidé.
- Actuellement, les commentaires et les entrées du journal d’activité dans l’incident abandonné ne sont pas déplacés vers l’incident consolidé.
Pour afficher les commentaires et l’historique des activités de l’incident abandonné, ouvrez l’incident dans Microsoft Sentinel dans le portail Azure. L’historique des activités inclut la fermeture de l’incident, ainsi que l’ajout et la suppression d’alertes, d’étiquettes et d’autres éléments liés à la fusion d’incidents. Ces activités sont attribuées à l’identité Microsoft Defender XDR - corrélation d’alerte.
Corrélation manuelle
Bien que Microsoft Defender XDR utilise déjà des mécanismes de corrélation avancés, vous pouvez décider différemment si une alerte donnée appartient à un incident particulier ou non. Dans ce cas, vous pouvez dissocier une alerte d’un incident et la lier à un autre. Chaque alerte doit appartenir à un incident, de sorte que vous pouvez lier l’alerte à un autre incident existant ou à un nouvel incident que vous créez sur place.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.
Étapes suivantes
En savoir plus sur les incidents, l’investigation et la réponse : Réponse aux incidents dans le portail Microsoft Defender