Megosztás a következőn keresztül:


Riasztások, incidensek és korreláció a Microsoft Defender XDR-ben

A Microsoft Defender XDR-ben a riasztások különböző fenyegetésészlelési tevékenységekből származó forrásokból származó jelek. Ezek a jelek rosszindulatú vagy gyanús események előfordulását jelzik a környezetben. A riasztások gyakran egy tágabb, összetettebb támadási történet részei lehetnek, és a kapcsolódó riasztások összesítve és korrelálva jelennek meg az ilyen támadási történeteket képviselő incidensek formájában.

Az incidensek teljes képet adnak a támadásról. A Microsoft Defender XDR algoritmusai automatikusan korrelálják a Microsoft összes biztonsági és megfelelőségi megoldásának jelzéseit (riasztásait), valamint a Microsoft Sentinelen és a Microsoft Defender for Cloudon keresztül rengeteg külső megoldásból származó jeleket (riasztásokat). A Defender XDR több jelet azonosít ugyanahhoz a támadási történethez tartozóként, és AI használatával folyamatosan monitorozza a telemetriai forrásait, és további bizonyítékokat ad a már megnyitott incidensekhez.

Az incidensek "esetfájlokként" is működnek, és platformot biztosítanak a vizsgálatok kezeléséhez és dokumentálására. Az incidensek e tekintetben való működésével kapcsolatos további információkért lásd: Incidenskezelés a Microsoft Defender portálon.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Az alábbiakban összefoglaljuk az incidensek és riasztások fő attribútumait, valamint a köztük lévő különbségeket:

Események:

  • A Security Operations Center (SOC) fő "mértékegysége".
  • A támadás tágabb kontextusának megjelenítése – a támadási történet.
  • A fenyegetés és a vizsgálat eredményeinek kivizsgálásához szükséges összes információ "esetfájljait" jelöli.
  • A Microsoft Defender XDR hozza létre, hogy legalább egy riasztást tartalmazzon, és sok esetben számos riasztást tartalmazzon.
  • Automatikus válaszsorozat aktiválása a fenyegetésre automatizálási szabályok, támadáskimaradások és forgatókönyvek használatával.
  • Jegyezze fel a fenyegetéssel kapcsolatos összes tevékenységet, valamint annak vizsgálatát és megoldását.

Figyelmeztetések:

  • A történet azon részeit képviseli, amelyek elengedhetetlenek az incidens megértéséhez és kivizsgálásához.
  • A Defender portálon belül és kívül is számos különböző forrás hozza létre.
  • Önmagában is elemezhető, hogy értéket adjon, ha mélyebb elemzésre van szükség.
  • Automatikus vizsgálatokat és válaszokat indíthat riasztási szinten a lehetséges fenyegetési hatás minimalizálása érdekében.

Riasztási források

A Microsoft Defender XDR-riasztásokat számos forrás hozza létre:

  • A Microsoft Defender XDR részét képező megoldások

    • Végponthoz készült Microsoft Defender
    • Office 365-höz készült Microsoft Defender
    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps
    • A Microsoft Defender for Cloud Apps alkalmazásszabályozási bővítménye
    • Microsoft Entra ID Protection
    • Microsoft adatveszteség-megelőzés
  • A Microsoft Defender biztonsági portállal integrációval rendelkező egyéb szolgáltatások

    • Microsoft Sentinel
    • Nem Microsoft biztonsági megoldások, amelyek továbbítják a riasztásaikat a Microsoft Sentinelnek
    • Microsoft Defender for Cloud

Maga a Microsoft Defender XDR is létrehoz riasztásokat. A Microsoft Sentinel egységes biztonsági üzemeltetési platformra való előkészítésével a Microsoft Defender XDR korrelációs motorja mostantól hozzáfér a Microsoft Sentinel által betöltött összes nyers adathoz. (Ezeket az adatokat a Speciális veszélyforrás-keresési táblákban találja.) A Defender XDR egyedi korrelációs képességei egy újabb adatelemzési és fenyegetésészlelési réteget biztosítanak a digitális tulajdonban lévő nem Microsoft-megoldásokhoz. Ezek az észlelések a Microsoft Sentinel elemzési szabályai által már biztosított riasztásokon kívül Defender XDR-riasztásokat is létrehoznak.

Ha a különböző forrásokból származó riasztások együtt jelennek meg, az egyes riasztások forrását a riasztásazonosítóra előjelzett karakterkészletek jelzik. A Riasztásforrások tábla a riasztási forrásokat a riasztásazonosító előtagjára képezi le.

Incidensek létrehozása és riasztások korrelációja

Ha a Riasztásokat a Microsoft Defender biztonsági portáljának különböző észlelési mechanizmusai generálják az előző szakaszban leírtak szerint, a Defender XDR az alábbi logika szerint helyezi őket új vagy meglévő incidensekbe:

Forgatókönyv Döntés
A riasztás kellően egyedi az összes riasztási forrásban egy adott időkereten belül. A Defender XDR létrehoz egy új incidenst, és hozzáadja a riasztást.
A riasztás megfelelően kapcsolódik egy adott időkereten belül más riasztásokhoz – azonos forrásból vagy különböző forrásokból. A Defender XDR hozzáadja a riasztást egy meglévő incidenshez.

A Microsoft Defender által a riasztások egyetlen incidensben való összekapcsolására használt feltételek a saját belső korrelációs logikájának részét képezik. Ez a logika felelős azért is, hogy megfelelő nevet adjon az új incidensnek.

Incidensek korrelációja és egyesítése

A Microsoft Defender XDR korrelációs tevékenységei nem állnak le incidensek létrehozásakor. A Defender XDR továbbra is észleli az incidensek és a riasztások közötti gyakoriságokat és kapcsolatokat az incidensek között. Ha két vagy több incidens megfelelőnek van ítélve, a Defender XDR egyetlen incidensbe egyesíti az incidenseket.

Hogyan határozza meg a Defender XDR ezt a döntést?

A Defender XDR korrelációs motorja akkor egyesíti az incidenseket, amikor felismeri a riasztások közötti gyakori elemeket a különböző incidensekben, az adatok részletes ismerete és a támadási viselkedés alapján. Néhány ilyen elem:

  • Entitások – eszközök, például felhasználók, eszközök, postaládák és mások
  • Összetevők – fájlok, folyamatok, e-mail feladók és mások
  • Időkeretek
  • Többlépcsős támadásokra mutató eseménysorozatok – például egy rosszindulatú e-mail-kattintási esemény, amely szorosan követi az adathalász e-mailek észlelését.

Mikor nem egyesülnek az incidensek?

Még ha a korrelációs logika azt is jelzi, hogy két incidenst kell egyesíteni, a Defender XDR nem egyesíti az incidenseket a következő körülmények között:

  • Az egyik incidens állapota "Lezárt". A megoldott incidensek nem lesznek újra megnyitva.
  • Az egyesítésre jogosult két incidens két különböző személyhez van rendelve.
  • A két incidens egyesítése az egyesített incidensben szereplő entitások számát a megengedett maximális érték fölé emelné.
  • A két incidens a szervezet által meghatározott különböző eszközcsoportokban lévő eszközöket tartalmazza.
    (Ez a feltétel alapértelmezés szerint nincs érvényben, engedélyezni kell.)

Mi történik az incidensek egyesítésekor?

Két vagy több incidens egyesítésekor a rendszer nem hoz létre új incidenst az elnyelésükhöz. Ehelyett az egyik incidens tartalma a másik incidensbe lesz migrálva, és a folyamat során megszakított incidens automatikusan lezárul. A megszakított incidens többé nem látható vagy nem érhető el a Microsoft Defender XDR-ben, és az arra mutató hivatkozásokat a rendszer átirányítja a konszolidált incidensre. Az elhagyatott, lezárt incidens továbbra is elérhető marad a Microsoft Sentinelben az Azure Portalon. Az incidensek tartalma a következő módokon kezelhető:

  • A félbehagyott incidensben található riasztások el lesznek távolítva, és hozzáadódnak a konszolidált incidenshez.
  • A félbehagyott incidensre alkalmazott címkék el lesznek távolítva, és hozzáadódnak a konszolidált incidenshez.
  • A rendszer hozzáad egy Redirected címkét a félbehagyott incidenshez.
  • Az entitások (objektumok stb.) a hozzájuk kapcsolódó riasztásokat követik.
  • A felhagyott incidens létrehozása során rögzített elemzési szabályok hozzá lesznek adva a konszolidált incidensben rögzített szabályokhoz.
  • A megszakított incidens megjegyzései és tevékenységnapló-bejegyzései jelenleg nem kerülnek át a konszolidált incidensbe.

Az elhagyatott incidens megjegyzéseinek és tevékenységelőzményeinek megtekintéséhez nyissa meg az incidenst a Microsoft Sentinelben az Azure Portalon. A tevékenységelőzmények közé tartozik az incidens lezárása, valamint az incidensegyesítéssel kapcsolatos riasztások, címkék és egyéb elemek hozzáadása és eltávolítása. Ezek a tevékenységek a Microsoft Defender XDR – riasztások korrelációjának tulajdoníthatók.

Manuális korreláció

Bár a Microsoft Defender XDR már fejlett korrelációs mechanizmusokat használ, érdemes lehet másként eldönteni, hogy egy adott riasztás egy adott incidenshez tartozik-e, vagy sem. Ilyen esetben leválaszthat egy riasztást az egyik incidensről, és összekapcsolhatja azt egy másikhoz. Minden riasztásnak egy incidenshez kell tartoznia, így összekapcsolhatja a riasztást egy másik meglévő incidenssel, vagy egy helyszíni új incidenssel.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.

Következő lépések

További információ az incidensekről, a vizsgálatról és a reagálásról: Incidenskezelés a Microsoft Defender portálon

Lásd még