התראות, אירועים ומתאם ב- Microsoft Defender XDR

• חל על:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

ב Microsoft Defender XDR, התראות הן אותות מאוסף של מקורות הנכללים בפעילויות שונות של זיהוי איומים. אותות אלה מציינים את המופע של אירועים זדוניים או חשודים בסביבה שלך. התראות יכולות לעתים להיות חלק מסיפור תקיפה רחב ומורכב יותר, והתראות קשורות נצברות ומתאם יחד כדי ליצור אירועים המייצגים סיפורי תקיפה אלה.

אירועים מספקים את התמונה המלאה של התקפה. Microsoft Defender XDR האלגוריתמים של Microsoft Defender XDR מתאם באופן אוטומטי אותות (התראות) מכל פתרונות האבטחה והתאימות של Microsoft, וכן ממגוון רחב של פתרונות חיצוניים באמצעות Microsoft Sentinel ו- Microsoft Defender עבור ענן. Defender XDR מזהה אותות מרובים כשייכים לאותה סיפור התקפה, תוך שימוש בבינה מלאכותית כדי לנטר ללא התוקף את מקורות מדידת השימוש שלה ולהוסיף עוד ראיות לתקריות שכבר פתוחות.

תקריות פועלות גם כ"קבצי מקרה", ומספקות לך פלטפורמה לניהול ולתיעוד החקירות שלך. לקבלת מידע נוסף אודות הפונקציונליות של אירועים בנושא זה, ראה תגובה לתקריות Microsoft Defender הפורטל.

חשוב

Microsoft Sentinel זמינה כעת באופן כללי בתוך פלטפורמת פעולות האבטחה המאוחדות של Microsoft בפורטל Microsoft Defender האבטחה. לקבלת מידע נוסף, Microsoft Sentinel ראה Microsoft Defender הפורטל.

להלן סיכום של התכונות העיקריות של אירועים והתראות, וההבדלים ביניהם:

אירועים:

• הן "יחידת המידה" העיקרית של העבודה של מרכז פעולות האבטחה (SOC).
• הצג את ההקשר הרחב יותר של התקפה - סיפור ההתקפה.
• מייצגים "קבצי מקרה" של כל המידע הדרוש כדי לחקור את האיום ואת ממצאי החקירה.
• נוצרים על Microsoft Defender XDR כך שהם יכילו התראה אחת לפחות, ומקרים רבים מכילים התראות רבות.
• הפעל סידרה אוטומטית של תגובות לאיום, באמצעות כללי אוטומציה, הפרעה בתקיפותוספרי הפעלות.
• תעד את כל הפעילות הקשורה לאיום, לחקירה ולפתרון שלו.

התראות:

• מייצגים את החלקים הבודדים של הסיפור שהם חיוניים להבנה ולתחקור של המקרה.
• נוצרים על-ידי מקורות רבים ושונות הן פנימיות והן חיצוניות לפורטל Defender.
• ניתן לנתח בעצמם כדי להוסיף ערך כאשר נדרש ניתוח מעמיק יותר.
• יכול להפעיל חקירות אוטומטיות ותגובות ברמת ההתראה , כדי למזער את ההשפעה הפוטנציאלית על האיומים.

מקורות התראה

Microsoft Defender XDR אלה נוצרות על-ידי מקורות רבים:

• פתרונות שהם חלק Microsoft Defender XDR

  • Microsoft Defender עבור נקודת קצה
  • Microsoft Defender עבור Office 365
  • Microsoft Defender עבור זהות
  • Microsoft Defender עבור יישומי ענן
  • ההרחבה 'פיקוח על היישום' עבור יישומי ענן של Microsoft Defender
  • הגנה למזהה Microsoft Entra
  • מניעת אובדן נתונים של Microsoft

• שירותים אחרים הכוללים שילובים עם פורטל Microsoft Defender האבטחה שלך

  • Microsoft Sentinel
  • פתרונות אבטחה שאינם של Microsoft העוברים את ההתראות שלהם Microsoft Sentinel
  • Microsoft Defender עבור ענן

Microsoft Defender XDR עצמו גם יוצר התראות. כאשר Microsoft Sentinel לפלטפורמת פעולות האבטחה המאוחדת, למנגנון המתאם של Microsoft Defender XDR יש כעת גישה לכל הנתונים הגולמיים Microsoft Sentinel. (ניתן למצוא נתונים אלה בטבלאות ציד מתקדמות.) Defender XDR המתאם הייחודיות של Defender XDR מספקות שכבה נוספת של ניתוח נתונים וזיהוי איומים עבור כל הפתרונות שאינם של Microsoft באחוזה הדיגיטלית שלך. זיהויים אלה מפיקים Defender XDR אוטומטיות, בנוסף להתראות שכבר סופקו על-ידי Microsoft Sentinel הניתוח של המשתמשים.

כאשר התראות ממקורות שונים מוצגות יחד, כל מקור התראה מצוין על-ידי ערכות תווים שנשלחו מראש אל מזהה ההתראה. הטבלה מקורות התראה ממופה את מקורות ההתראה לקידומת מזהה ההתראה.

מתאם יצירת אירועים והתראות

כאשר התראות נוצרות באמצעות מנגנוני הזיהוי השונים בפורטל האבטחה של Microsoft Defender, כמתואר בסעיף הקודם, Defender XDR מציב אותן באירועים חדשים או קיימים בהתאם ללוגיקה הבאה:

תרחיש	ההחלטה
ההתראה ייחודית במידה מספקת בכל מקורות ההתראה בתוך מסגרת זמן מסוימת.	Defender XDR יוצר מקרה חדש ומוסיף לו את ההתראה.
ההתראה קשורה במידה מספקת להתראות אחרות – מאותו מקור או ממקורות שונים - במסגרת זמן מסוימת.	Defender XDR מוסיף את ההתראה לתקרית קיימת.

הקריטריונים Microsoft Defender לתיאום התראות יחד באירוע יחיד הם חלק מהלוגיקת המתאם הפנימית הקינית שלו. לוגיקה זו אחראית גם על מתן שם מתאים לתקרית החדשה.

מתאם ומיזוג של אירועים

Microsoft Defender XDR המתאם של Microsoft Defender XDR אינן נפסקות בעת יצירת אירועים. Defender XDR ממשיך לזהות את הנפוצה ואת קשרי הגומלין בין אירועים, ביניהם התראות בין אירועים. כאשר שני מקרים או יותר נקבעים להיות זהים מספיק, Defender XDR את האירועים לתקריות בודדות.

איך Defender XDR לקבוע זאת?

Defender XDR המתאם של Defender XDR ממזג אירועים כאשר הוא מזהה רכיבים נפוצים בין התראות באירועים נפרדים, בהתבסס על הידע העמוק שלו לגבי הנתונים ועל אופן הפעולה של ההתקפה. חלק מהרכיבים הבאים כוללים:

• ישויות – נכסים כגון משתמשים, מכשירים, תיבות דואר ועוד
• תוצרים - קבצים, תהליכים, שולחי דואר אלקטרוני ואחרים
• מסגרות זמן
• רצפים של אירועים המצביעים על תקיפות מרובות לוחותמה - לדוגמה, אירוע לחיצה זדוני בדואר אלקטרוני המופיע באופן דומה בזיהוי דואר אלקטרוני של דיוג.

מתי תקריות אינן ממוזגות?

גם כאשר לוגיקת המתאם מציינת שיש למזג שני Defender XDR, הוא אינו ממזג את האירועים בנסיבות הבאות:

• לאחד מהתקריות יש מצב "סגור". אירועים שנפתרו אינם נפתחים מחדש.
• שני האירועים הזכאים למזג מוקצים לשני אנשים שונים.
• מיזוג שני האירועים היה מעלה את מספר הישויות באירוע הממוזג מעל ל- 50 ישויות לכל מקרה מותר.
• שני האירועים מכילים מכשירים בקבוצות מכשירים שונות , כפי שהוגדר על-ידי הארגון.
  (תנאי זה אינו נמצא בתוקף כברירת מחדל; יש להפוך אותו לזמין.)

מה קורה כאשר אירועים ממוזגים?

כאשר שני אירועים או יותר ממוזגים, לא נוצר מקרה חדש כדי לקלוט אותם. במקום זאת, התוכן של אירוע אחד מועבר אל האירוע האחר, והתקרית שננטשה בתהליך נסגרת באופן אוטומטי. האירוע שננטש אינו גלוי עוד או זמין ב- Microsoft Defender XDR, וכל הפניה אליה מנותבת מחדש אל המקרה המאוחד. האירוע הנטוש הסגור נשאר נגיש Microsoft Sentinel בפורטל Azure. תוכן האירועים מטופל בדרכים הבאות:

• התראות הכלולות באירוע שננטש מוסרות ממנו ויתווספו לתקרית המאוחדת.
• כל תגים המוחלים על המקרה שננטש מוסרים ממנו ויתווספו לתקרית המאוחדת.
• תגית Redirected נוספת לתקרית שננטשה.
• ישויות (נכסים וכו') עוקבות אחר ההתראות שהן מקושרות אלן.
• כללי ניתוח המתועדים כמעורבים ביצירת האירוע הנטוש מתווספים לכללים המתועדים באירוע המאוחד.
• בשלב זה, הערות וערכים ביומן הפעילות באירוע הנטוש אינם מועברים לתקרית המאוחדת.

כדי לראות את ההערות והיסטוריית הפעילות של האירוע שננטש, פתח את Microsoft Sentinel בפורטל Azure. היסטוריית הפעילות כוללת את סגירת האירוע ואת ההוספה והסרה של התראות, תגיות ופריטים אחרים הקשורים למיזוג האירועים. פעילויות אלה משויימות לזהות Microsoft Defender XDR - מתאם התראות.

מתאם ידני

למרות Microsoft Defender XDR כבר משתמש במנגנוני מיתאם מתקדמים, ייתכן שתרצה להחליט באופן שונה אם התראה נתונה שייכת לתקרית מסוימת או לא. במקרה כזה, באפשרותך לבטל את הקישור של התראה לתקרית אחת ולקשר אותה לאחרת. כל התראה חייבת להשתייך לתקרית, כך שתוכל לקשר את ההתראה לתקרית קיימת אחרת, או לתקרית חדשה שאתה יוצר במקום.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.

השלבים הבאים

קרא עוד אודות אירועים, חקירה ותגובה: תגובה לתקריות בפורטל Microsoft Defender שלך

למידע נוסף

• כוח האירועים Microsoft Defender XDR
• בתוך Microsoft Defender XDR: מתאם ואיחוד תקיפות באירועים