Riasztások, incidensek és korreláció a Microsoft Defender XDR-ben
A Microsoft Defender XDR-ben a riasztások különböző fenyegetésészlelési tevékenységekből származó forrásokból származó jelek. Ezek a jelek rosszindulatú vagy gyanús események előfordulását jelzik a környezetben. A riasztások gyakran egy tágabb, összetettebb támadási történet részei lehetnek, és a kapcsolódó riasztások összesítve és korrelálva jelennek meg az ilyen támadási történeteket képviselő incidensek formájában.
Az incidensek teljes képet adnak a támadásról. A Microsoft Defender XDR algoritmusai automatikusan korrelálják a Microsoft összes biztonsági és megfelelőségi megoldásának jelzéseit (riasztásait), valamint a Microsoft Sentinelen és a Microsoft Defender for Cloudon keresztül rengeteg külső megoldásból származó jeleket (riasztásokat). A Defender XDR több jelet azonosít ugyanahhoz a támadási történethez tartozóként, és AI használatával folyamatosan monitorozza a telemetriai forrásait, és további bizonyítékokat ad a már megnyitott incidensekhez.
Az incidensek "esetfájlokként" is működnek, és platformot biztosítanak a vizsgálatok kezeléséhez és dokumentálására. Az incidensek e tekintetben való működésével kapcsolatos további információkért lásd: Incidenskezelés a Microsoft Defender portálon.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Az alábbiakban összefoglaljuk az incidensek és riasztások fő attribútumait, valamint a köztük lévő különbségeket:
Események:
- A Security Operations Center (SOC) fő "mértékegysége".
- A támadás tágabb kontextusának megjelenítése – a támadási történet.
- A fenyegetés és a vizsgálat eredményeinek kivizsgálásához szükséges összes információ "esetfájljait" jelöli.
- A Microsoft Defender XDR hozza létre, hogy legalább egy riasztást tartalmazzon, és sok esetben számos riasztást tartalmazzon.
- Automatikus válaszsorozat aktiválása a fenyegetésre automatizálási szabályok, támadáskimaradások és forgatókönyvek használatával.
- Jegyezze fel a fenyegetéssel kapcsolatos összes tevékenységet, valamint annak vizsgálatát és megoldását.
Figyelmeztetések:
- A történet azon részeit képviseli, amelyek elengedhetetlenek az incidens megértéséhez és kivizsgálásához.
- A Defender portálon belül és kívül is számos különböző forrás hozza létre.
- Önmagában is elemezhető, hogy értéket adjon, ha mélyebb elemzésre van szükség.
- Automatikus vizsgálatokat és válaszokat indíthat riasztási szinten a lehetséges fenyegetési hatás minimalizálása érdekében.
Riasztási források
A Microsoft Defender XDR-riasztásokat számos forrás hozza létre:
A Microsoft Defender XDR részét képező megoldások
- Végponthoz készült Microsoft Defender
- Office 365-höz készült Microsoft Defender
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- A Microsoft Defender for Cloud Apps alkalmazásszabályozási bővítménye
- Microsoft Entra ID Protection
- Microsoft adatveszteség-megelőzés
A Microsoft Defender biztonsági portállal integrációval rendelkező egyéb szolgáltatások
- Microsoft Sentinel
- Nem Microsoft biztonsági megoldások, amelyek továbbítják a riasztásaikat a Microsoft Sentinelnek
- Microsoft Defender for Cloud
Maga a Microsoft Defender XDR is létrehoz riasztásokat. A Microsoft Sentinel egységes biztonsági üzemeltetési platformra való előkészítésével a Microsoft Defender XDR korrelációs motorja mostantól hozzáfér a Microsoft Sentinel által betöltött összes nyers adathoz. (Ezeket az adatokat a Speciális veszélyforrás-keresési táblákban találja.) A Defender XDR egyedi korrelációs képességei egy újabb adatelemzési és fenyegetésészlelési réteget biztosítanak a digitális tulajdonban lévő nem Microsoft-megoldásokhoz. Ezek az észlelések a Microsoft Sentinel elemzési szabályai által már biztosított riasztásokon kívül Defender XDR-riasztásokat is létrehoznak.
Ha a különböző forrásokból származó riasztások együtt jelennek meg, az egyes riasztások forrását a riasztásazonosítóra előjelzett karakterkészletek jelzik. A Riasztásforrások tábla a riasztási forrásokat a riasztásazonosító előtagjára képezi le.
Incidensek létrehozása és riasztások korrelációja
Ha a Riasztásokat a Microsoft Defender biztonsági portáljának különböző észlelési mechanizmusai generálják az előző szakaszban leírtak szerint, a Defender XDR az alábbi logika szerint helyezi őket új vagy meglévő incidensekbe:
Forgatókönyv | Döntés |
---|---|
A riasztás kellően egyedi az összes riasztási forrásban egy adott időkereten belül. | A Defender XDR létrehoz egy új incidenst, és hozzáadja a riasztást. |
A riasztás megfelelően kapcsolódik egy adott időkereten belül más riasztásokhoz – azonos forrásból vagy különböző forrásokból. | A Defender XDR hozzáadja a riasztást egy meglévő incidenshez. |
A Microsoft Defender által a riasztások egyetlen incidensben való összekapcsolására használt feltételek a saját belső korrelációs logikájának részét képezik. Ez a logika felelős azért is, hogy megfelelő nevet adjon az új incidensnek.
Incidensek korrelációja és egyesítése
A Microsoft Defender XDR korrelációs tevékenységei nem állnak le incidensek létrehozásakor. A Defender XDR továbbra is észleli az incidensek és a riasztások közötti gyakoriságokat és kapcsolatokat az incidensek között. Ha két vagy több incidens megfelelőnek van ítélve, a Defender XDR egyetlen incidensbe egyesíti az incidenseket.
Hogyan határozza meg a Defender XDR ezt a döntést?
A Defender XDR korrelációs motorja akkor egyesíti az incidenseket, amikor felismeri a riasztások közötti gyakori elemeket a különböző incidensekben, az adatok részletes ismerete és a támadási viselkedés alapján. Néhány ilyen elem:
- Entitások – eszközök, például felhasználók, eszközök, postaládák és mások
- Összetevők – fájlok, folyamatok, e-mail feladók és mások
- Időkeretek
- Többlépcsős támadásokra mutató eseménysorozatok – például egy rosszindulatú e-mail-kattintási esemény, amely szorosan követi az adathalász e-mailek észlelését.
Mikor nem egyesülnek az incidensek?
Még ha a korrelációs logika azt is jelzi, hogy két incidenst kell egyesíteni, a Defender XDR nem egyesíti az incidenseket a következő körülmények között:
- Az egyik incidens állapota "Lezárt". A megoldott incidensek nem lesznek újra megnyitva.
- Az egyesítésre jogosult két incidens két különböző személyhez van rendelve.
- A két incidens egyesítése az egyesített incidensben szereplő entitások számát a megengedett maximális érték fölé emelné.
- A két incidens a szervezet által meghatározott különböző eszközcsoportokban lévő eszközöket tartalmazza.
(Ez a feltétel alapértelmezés szerint nincs érvényben, engedélyezni kell.)
Mi történik az incidensek egyesítésekor?
Két vagy több incidens egyesítésekor a rendszer nem hoz létre új incidenst az elnyelésükhöz. Ehelyett az egyik incidens tartalma a másik incidensbe lesz migrálva, és a folyamat során megszakított incidens automatikusan lezárul. A megszakított incidens többé nem látható vagy nem érhető el a Microsoft Defender XDR-ben, és az arra mutató hivatkozásokat a rendszer átirányítja a konszolidált incidensre. Az elhagyatott, lezárt incidens továbbra is elérhető marad a Microsoft Sentinelben az Azure Portalon. Az incidensek tartalma a következő módokon kezelhető:
- A félbehagyott incidensben található riasztások el lesznek távolítva, és hozzáadódnak a konszolidált incidenshez.
- A félbehagyott incidensre alkalmazott címkék el lesznek távolítva, és hozzáadódnak a konszolidált incidenshez.
- A rendszer hozzáad egy
Redirected
címkét a félbehagyott incidenshez. - Az entitások (objektumok stb.) a hozzájuk kapcsolódó riasztásokat követik.
- A felhagyott incidens létrehozása során rögzített elemzési szabályok hozzá lesznek adva a konszolidált incidensben rögzített szabályokhoz.
- A megszakított incidens megjegyzései és tevékenységnapló-bejegyzései jelenleg nem kerülnek át a konszolidált incidensbe.
Az elhagyatott incidens megjegyzéseinek és tevékenységelőzményeinek megtekintéséhez nyissa meg az incidenst a Microsoft Sentinelben az Azure Portalon. A tevékenységelőzmények közé tartozik az incidens lezárása, valamint az incidensegyesítéssel kapcsolatos riasztások, címkék és egyéb elemek hozzáadása és eltávolítása. Ezek a tevékenységek a Microsoft Defender XDR – riasztások korrelációjának tulajdoníthatók.
Manuális korreláció
Bár a Microsoft Defender XDR már fejlett korrelációs mechanizmusokat használ, érdemes lehet másként eldönteni, hogy egy adott riasztás egy adott incidenshez tartozik-e, vagy sem. Ilyen esetben leválaszthat egy riasztást az egyik incidensről, és összekapcsolhatja azt egy másikhoz. Minden riasztásnak egy incidenshez kell tartoznia, így összekapcsolhatja a riasztást egy másik meglévő incidenssel, vagy egy helyszíni új incidenssel.
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Következő lépések
További információ az incidensekről, a vizsgálatról és a reagálásról: Incidenskezelés a Microsoft Defender portálon