Waarschuwingen, incidenten en correlatie in Microsoft Defender XDR
In Microsoft Defender XDR zijn waarschuwingen signalen van een verzameling bronnen die het gevolg zijn van verschillende detectieactiviteiten voor bedreigingen. Deze signalen duiden op het optreden van schadelijke of verdachte gebeurtenissen in uw omgeving. Waarschuwingen kunnen vaak deel uitmaken van een breder, complex aanvalsverhaal en gerelateerde waarschuwingen worden samengevoegd en gecorreleerd om incidenten te vormen die deze aanvalsverhalen vertegenwoordigen.
Incidenten geven het volledige beeld van een aanval. De algoritmen van Microsoft Defender XDR correleren automatisch signalen (waarschuwingen) van alle Microsoft-beveiligings- en nalevingsoplossingen, evenals van een groot aantal externe oplossingen via Microsoft Sentinel en Microsoft Defender for Cloud. Defender XDR identificeert meerdere signalen als behorend tot hetzelfde aanvalsverhaal, waarbij AI wordt gebruikt om de telemetriebronnen voortdurend te bewaken en meer bewijs toe te voegen aan al geopende incidenten.
Incidenten fungeren ook als 'casebestanden', waardoor u een platform hebt voor het beheren en documenteren van uw onderzoeken. Zie Reactie op incidenten in de Microsoft Defender-portal voor meer informatie over de functionaliteit van incidenten in dit verband.
Belangrijk
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Hier volgt een overzicht van de belangrijkste kenmerken van incidenten en waarschuwingen, en de verschillen ertussen:
Incidenten:
- Zijn de belangrijkste 'maateenheid' van het werk van het Security Operations Center (SOC).
- De bredere context van een aanval weergeven: het aanvalsverhaal.
- Vertegenwoordigt 'casebestanden' van alle informatie die nodig is om de bedreiging en de bevindingen van het onderzoek te onderzoeken.
- Worden gemaakt door Microsoft Defender XDR om ten minste één waarschuwing te bevatten en in veel gevallen veel waarschuwingen.
- Activeer automatische reeks reacties op de bedreiging, met behulp van automatiseringsregels, aanvalsonderbrekingen en playbooks.
- Noteer alle activiteiten met betrekking tot de bedreiging en het onderzoek en de oplossing ervan.
Waarschuwingen:
- Vertegenwoordig de afzonderlijke onderdelen van het verhaal die essentieel zijn voor het begrijpen en onderzoeken van het incident.
- Worden gemaakt door veel verschillende bronnen, zowel intern als extern in de Defender-portal.
- Kan zelf worden geanalyseerd om waarde toe te voegen wanneer een diepere analyse vereist is.
- Kan automatische onderzoeken en reacties op waarschuwingsniveau activeren om de mogelijke impact op bedreigingen te minimaliseren.
Waarschuwingsbronnen
Microsoft Defender XDR-waarschuwingen worden gegenereerd door veel bronnen:
Oplossingen die deel uitmaken van Microsoft Defender XDR
- Microsoft Defender voor Eindpunt
- Microsoft Defender voor Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- De invoegtoepassing voor app-beheer voor Microsoft Defender for Cloud Apps
- Microsoft Entra ID Protection
- Preventie van gegevensverlies in Microsoft
Andere services die integraties hebben met de Microsoft Defender-beveiligingsportal
- Microsoft Sentinel
- Niet-Microsoft-beveiligingsoplossingen die hun waarschuwingen doorgeven aan Microsoft Sentinel
- Microsoft Defender voor Cloud
Microsoft Defender XDR zelf maakt ook waarschuwingen. Nu Microsoft Sentinel is voorbereid op het geïntegreerde platform voor beveiligingsbewerkingen, heeft de correlatie-engine van Microsoft Defender XDR nu toegang tot alle onbewerkte gegevens die door Microsoft Sentinel worden opgenomen. (U vindt deze gegevens in Geavanceerde opsporingstabellen .) De unieke correlatiemogelijkheden van Defender XDR bieden een andere laag van gegevensanalyse en detectie van bedreigingen voor alle niet-Microsoft-oplossingen in uw digitale omgeving. Deze detecties produceren Defender XDR-waarschuwingen, naast de waarschuwingen die al worden geleverd door de analyseregels van Microsoft Sentinel.
Wanneer waarschuwingen van verschillende bronnen samen worden weergegeven, wordt de bron van elke waarschuwing aangegeven door sets tekens die zijn voorafgegaan aan de waarschuwings-id. De tabel Waarschuwingsbronnen wijst de waarschuwingsbronnen toe aan het waarschuwings-id-voorvoegsel.
Correlatie van het maken van incidenten en waarschuwingen
Wanneer waarschuwingen worden gegenereerd door de verschillende detectiemechanismen in de Microsoft Defender-beveiligingsportal, zoals beschreven in de vorige sectie, plaatst Defender XDR deze in nieuwe of bestaande incidenten volgens de volgende logica:
| Scenario | Beslissing |
|---|---|
| De waarschuwing is voldoende uniek voor alle waarschuwingsbronnen binnen een bepaald tijdsbestek. | Defender XDR maakt een nieuw incident en voegt de waarschuwing eraan toe. |
| De waarschuwing is voldoende gerelateerd aan andere waarschuwingen, van dezelfde bron of van verschillende bronnen, binnen een bepaald tijdsbestek. | Defender XDR voegt de waarschuwing toe aan een bestaand incident. |
De criteria die Microsoft Defender gebruikt om waarschuwingen in één incident te correleren, maken deel uit van de eigen, interne correlatielogica. Deze logica is ook verantwoordelijk voor het geven van een geschikte naam aan het nieuwe incident.
Incidentcorrelatie en samenvoegen
De correlatieactiviteiten van Microsoft Defender XDR stoppen niet wanneer er incidenten worden gemaakt. Defender XDR blijft veelvoorkomende kenmerken en relaties tussen incidenten en tussen waarschuwingen tussen incidenten detecteren. Wanneer wordt vastgesteld dat twee of meer incidenten voldoende op elkaar lijken, voegt Defender XDR de incidenten samen in één incident.
Hoe maakt Defender XDR die beslissing?
De correlatie-engine van Defender XDR voegt incidenten samen wanneer deze gemeenschappelijke elementen tussen waarschuwingen in afzonderlijke incidenten herkent, op basis van de diepgaande kennis van de gegevens en het aanvalsgedrag. Enkele van deze elementen zijn:
- Entiteiten: assets zoals gebruikers, apparaten, postvakken en andere
- Artefacten: bestanden, processen, afzenders van e-mail en andere
- Tijdframes
- Reeksen van gebeurtenissen die verwijzen naar aanvallen met meerdere fasen, bijvoorbeeld een schadelijke e-mailklikgebeurtenis die op de voet volgt op een phishing-e-maildetectie.
Wanneer worden incidenten niet samengevoegd?
Zelfs wanneer de correlatielogica aangeeft dat twee incidenten moeten worden samengevoegd, worden de incidenten in Defender XDR niet samengevoegd onder de volgende omstandigheden:
- Een van de incidenten heeft de status Gesloten. Incidenten die zijn opgelost, worden niet opnieuw geopend.
- De twee incidenten die in aanmerking komen voor samenvoegen, worden toegewezen aan twee verschillende personen.
- Als u de twee incidenten samenvoegt, wordt het aantal entiteiten in het samengevoegde incident boven het maximum toegestaan.
- De twee incidenten bevatten apparaten in verschillende apparaatgroepen , zoals gedefinieerd door de organisatie.
(Deze voorwaarde is niet standaard van kracht; deze moet zijn ingeschakeld.)
Wat gebeurt er wanneer incidenten worden samengevoegd?
Wanneer twee of meer incidenten worden samengevoegd, wordt er geen nieuw incident gemaakt om deze op te vangen. In plaats daarvan wordt de inhoud van het ene incident gemigreerd naar het andere incident en wordt het incident dat in het proces is afgestaan, automatisch gesloten. Het verlaten incident is niet meer zichtbaar of beschikbaar in Microsoft Defender XDR en elke verwijzing ernaar wordt omgeleid naar het geconsolideerde incident. Het verlaten, gesloten incident blijft toegankelijk in Microsoft Sentinel in Azure Portal. De inhoud van de incidenten wordt op de volgende manieren verwerkt:
- Waarschuwingen in het verlaten incident worden verwijderd en toegevoegd aan het geconsolideerde incident.
- Alle tags die zijn toegepast op het verlaten incident, worden verwijderd en toegevoegd aan het geconsolideerde incident.
- Er wordt een
Redirectedtag toegevoegd aan het verlaten incident. - Entiteiten (assets, enzovoort) volgen de waarschuwingen waaraan ze zijn gekoppeld.
- Analyseregels die zijn vastgelegd als betrokken bij het maken van het verlaten incident, worden toegevoegd aan de regels die zijn vastgelegd in het geconsolideerde incident.
- Momenteel worden opmerkingen en activiteitenlogboekvermeldingen in het verlaten incident niet verplaatst naar het geconsolideerde incident.
Als u de opmerkingen en activiteitengeschiedenis van het verlaten incident wilt bekijken, opent u het incident in Microsoft Sentinel in Azure Portal. De activiteitengeschiedenis omvat het sluiten van het incident en het toevoegen en verwijderen van waarschuwingen, tags en andere items met betrekking tot de samenvoeging van incidenten. Deze activiteiten worden toegeschreven aan de identiteit Microsoft Defender XDR - waarschuwingscorrelatie.
Handmatige correlatie
Hoewel Microsoft Defender XDR al gebruikmaakt van geavanceerde correlatiemechanismen, wilt u misschien anders beslissen of een bepaalde waarschuwing bij een bepaald incident hoort of niet. In een dergelijk geval kunt u een waarschuwing ontkoppelen van het ene incident en deze koppelen aan een ander incident. Elke waarschuwing moet deel uitmaken van een incident, zodat u de waarschuwing kunt koppelen aan een ander bestaand incident of aan een nieuw incident dat u ter plaatse maakt.
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Volgende stappen
Meer informatie over incidenten, onderzoek en reactie: Reactie op incidenten in de Microsoft Defender-portal