שתף באמצעות


התראות, אירועים ומתאם ב- Microsoft Defender XDR

ב- XDR של Microsoft Defender, התראות הן אותות מאוסף של מקורות שמקורם בפעילויות שונות של זיהוי איומים. אותות אלה מציינים את המופע של אירועים זדוניים או חשודים בסביבה שלך. התראות יכולות לעתים להיות חלק מסיפור תקיפה רחב ומורכב יותר, והתראות קשורות נצברות ומתאם יחד כדי ליצור אירועים המייצגים סיפורי תקיפה אלה.

אירועים מספקים את התמונה המלאה של התקפה. האלגוריתמים של Microsoft Defender XDR מתאם באופן אוטומטי אותות (התראות) מכל פתרונות האבטחה והתאימות של Microsoft, וכן ממגוון רחב של פתרונות חיצוניים באמצעות Microsoft Sentinel ו- Microsoft Defender for Cloud. XDR של Defender מזהה אותות מרובים כשייכים לאותה סיפור התקפה, תוך שימוש בבינה מלאכותית לניטור רצף של מקורות מדידת השימוש שלו והוספת ראיות נוספות לתקריות שכבר פתוחות.

תקריות פועלות גם כ"קבצי מקרה", ומספקות לך פלטפורמה לניהול ולתיעוד החקירות שלך. לקבלת מידע נוסף על הפונקציונליות של אירועים בנושא זה, ראה תגובה לתקריות בפורטל Microsoft Defender.

חשוב

Microsoft Sentinel זמין כעת באופן כללי בתוך פלטפורמת פעולות האבטחה המאוחדות של Microsoft בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה Microsoft Sentinel בפורטל Microsoft Defender.

להלן סיכום של התכונות העיקריות של אירועים והתראות, וההבדלים ביניהם:

אירועים:

  • הן "יחידת המידה" העיקרית של העבודה של מרכז פעולות האבטחה (SOC).
  • הצג את ההקשר הרחב יותר של התקפה - סיפור ההתקפה.
  • מייצגים "קבצי מקרה" של כל המידע הדרוש כדי לחקור את האיום ואת ממצאי החקירה.
  • נוצרים על-ידי XDR של Microsoft Defender כדי להכיל התראה אחת לפחות, ומקרים רבים מכילים התראות רבות.
  • הפעל סידרה אוטומטית של תגובות לאיום, באמצעות כללי אוטומציה, הפרעה בתקיפותוספרי הפעלות.
  • תעד את כל הפעילות הקשורה לאיום, לחקירה ולפתרון שלו.

התראות:

  • מייצגים את החלקים הבודדים של הסיפור שהם חיוניים להבנה ולתחקור של המקרה.
  • נוצרים על-ידי מקורות רבים ושונות הן פנימיות והן חיצוניות לפורטל Defender.
  • ניתן לנתח בעצמם כדי להוסיף ערך כאשר נדרש ניתוח מעמיק יותר.
  • יכול להפעיל חקירות אוטומטיות ותגובות ברמת ההתראה , כדי למזער את ההשפעה הפוטנציאלית על האיומים.

מקורות התראה

התראות XDR של Microsoft Defender נוצרות על-ידי מקורות רבים:

  • פתרונות שהם חלק מ- Microsoft Defender XDR

    • Microsoft Defender עבור נקודת קצה
    • Microsoft Defender עבור Office 365
    • Microsoft Defender עבור זהות
    • Microsoft Defender עבור יישומי ענן
    • ההרחבה 'פיקוח על האפליקציה' עבור Microsoft Defender for Cloud Apps
    • Microsoft Entra ID Protection
    • מניעת אובדן נתונים של Microsoft
  • שירותים אחרים הכוללים שילובים עם פורטל האבטחה של Microsoft Defender

    • Microsoft Sentinel
    • פתרונות אבטחה שאינם של Microsoft העוברים את ההתראות שלהם ל- Microsoft Sentinel
    • Microsoft Defender עבור ענן

Microsoft Defender XDR עצמו גם יוצר התראות. כאשר Microsoft Sentinel רשום לפלטפורמת פעולות האבטחה המאוחדת , למנגנון המתאם של Microsoft Defender XDR יש כעת גישה לכל הנתונים הגולמיים ש- Microsoft Sentinel עיסת. (ניתן למצוא נתונים אלה בטבלאות ציד מתקדמות .) יכולות המתאם הייחודיות של Defender XDR מספקות שכבה נוספת של ניתוח נתונים וזיהוי איומים עבור כל הפתרונות שאינם של Microsoft בנדל"ן הדיגיטלי שלך. זיהויים אלה מפיקים התראות XDR של Defender, בנוסף להתראות שכבר סופקו על-ידי כללי הניתוח של Microsoft Sentinel.

כאשר התראות ממקורות שונים מוצגות יחד, כל מקור התראה מצוין על-ידי ערכות תווים שנשלחו מראש אל מזהה ההתראה. הטבלה מקורות התראה ממופה את מקורות ההתראה לקידומת מזהה ההתראה.

מתאם יצירת אירועים והתראות

כאשר התראות נוצרות באמצעות מנגנוני הזיהוי השונים בפורטל האבטחה של Microsoft Defender, כמתואר בסעיף הקודם, Defender XDR מציב אותן באירועים חדשים או קיימים בהתאם ללוגיקה הבאה:

תרחיש ההחלטה
ההתראה ייחודית במידה מספקת בכל מקורות ההתראה בתוך מסגרת זמן מסוימת. XDR של Defender יוצר מקרה חדש ומוסיף לו את ההתראה.
ההתראה קשורה במידה מספקת להתראות אחרות – מאותו מקור או ממקורות שונים - במסגרת זמן מסוימת. XDR של Defender מוסיף את ההתראה לתקרית קיימת.

הקריטריונים ש- Microsoft Defender משתמש בהם כדי לתאם התראות יחד באירוע יחיד הם חלק מגוגיקת המתאם הפנימית הקינית שלו. לוגיקה זו אחראית גם על מתן שם מתאים לתקרית החדשה.

מתאם ומיזוג של אירועים

פעילויות המתאם של Microsoft Defender XDR אינן נפסקות בעת יצירת אירועים. XDR של Defender ממשיך לזהות את הנפוצה ואת קשרי הגומלין בין אירועים, ותקריות בין התראות. כאשר שני מקרים או יותר נקבעים להיות זהים מספיק, XDR של Defender ממזג את האירועים לתקריות בודדות.

כיצד XDR של Defender מאפשר קביעה זו?

מנגנון המתאם של Defender XDR ממזג אירועים כאשר הוא מזהה רכיבים נפוצים בין התראות באירועים נפרדים, בהתבסס על הידע העמוק שלו על הנתונים ועל אופן הפעולה של התקיפה. חלק מהרכיבים הבאים כוללים:

  • ישויות – נכסים כגון משתמשים, מכשירים, תיבות דואר ועוד
  • תוצרים - קבצים, תהליכים, שולחי דואר אלקטרוני ואחרים
  • מסגרות זמן
  • רצפים של אירועים המצביעים על תקיפות מרובות לוחותמה - לדוגמה, אירוע לחיצה זדוני בדואר אלקטרוני המופיע באופן דומה בזיהוי דואר אלקטרוני של דיוג.

מתי תקריות אינן ממוזגות?

גם כאשר לוגיקת המתאם מציינת שיש למזג שני מקרים, XDR של Defender אינו ממזג את האירועים בנסיבות הבאות:

  • לאחד מהתקריות יש מצב "סגור". אירועים שנפתרו אינם נפתחים מחדש.
  • שני האירועים הזכאים למזג מוקצים לשני אנשים שונים.
  • מיזוג שני האירועים היה מעלה את מספר הישויות באירוע הממוזג מעל למספר המרבי המותר.
  • שני האירועים מכילים מכשירים בקבוצות מכשירים שונות , כפי שהוגדר על-ידי הארגון.
    (תנאי זה אינו נמצא בתוקף כברירת מחדל; יש להפוך אותו לזמין.)

מה קורה כאשר אירועים ממוזגים?

כאשר שני אירועים או יותר ממוזגים, לא נוצר מקרה חדש כדי לקלוט אותם. במקום זאת, התוכן של אירוע אחד מועבר אל האירוע האחר, והתקרית שננטשה בתהליך נסגרת באופן אוטומטי. האירוע שננטש אינו גלוי עוד או זמין ב- XDR של Microsoft Defender, וכל הפניה אליה מנותבת מחדש אל המקרה המאוחד. האירוע הנטוש והסגור נשאר נגיש ב- Microsoft Sentinel בפורטל Azure. תוכן האירועים מטופל בדרכים הבאות:

  • התראות הכלולות באירוע שננטש מוסרות ממנו ויתווספו לתקרית המאוחדת.
  • כל תגים המוחלים על המקרה שננטש מוסרים ממנו ויתווספו לתקרית המאוחדת.
  • תגית Redirected נוספת לתקרית שננטשה.
  • ישויות (נכסים וכו') עוקבות אחר ההתראות שהן מקושרות אלן.
  • כללי ניתוח המתועדים כמעורבים ביצירת האירוע הנטוש מתווספים לכללים המתועדים באירוע המאוחד.
  • בשלב זה, הערות וערכים ביומן הפעילות באירוע הנטוש אינם מועברים לתקרית המאוחדת.

כדי לראות את ההערות והיסטוריית הפעילות של האירוע שננטש, פתח את האירוע ב- Microsoft Sentinel בפורטל Azure. היסטוריית הפעילות כוללת את סגירת האירוע ואת ההוספה והסרה של התראות, תגיות ופריטים אחרים הקשורים למיזוג האירועים. פעילויות אלה משויימות לזהות Microsoft Defender XDR - מתאם התראות.

מתאם ידני

למרות ש- Microsoft Defender XDR כבר משתמש במנגנוני מיתאם מתקדמים, ייתכן שתרצה להחליט באופן שונה אם התראה נתונה שייכת לתקרית מסוימת או לא. במקרה כזה, באפשרותך לבטל את הקישור של התראה לתקרית אחת ולקשר אותה לאחרת. כל התראה חייבת להשתייך לתקרית, כך שתוכל לקשר את ההתראה לתקרית קיימת אחרת, או לתקרית חדשה שאתה יוצר במקום.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.

השלבים הבאים

קרא עוד על מקרים, חקירה ותגובה: תגובה לתקריות בפורטל Microsoft Defender

למידע נוסף