Udostępnij za pośrednictwem


Alerty, zdarzenia i korelacja w usłudze Microsoft Defender XDR

W usłudze Microsoft Defender XDR alerty są sygnałami z kolekcji źródeł, które wynikają z różnych działań wykrywania zagrożeń. Te sygnały wskazują na wystąpienie złośliwych lub podejrzanych zdarzeń w środowisku. Alerty często mogą być częścią szerszej, złożonej historii ataków, a powiązane alerty są agregowane i skorelowane ze sobą w celu utworzenia zdarzeń reprezentujących te historie ataków.

Incydenty zapewniają pełny obraz ataku. Algorytmy XDR usługi Microsoft Defender automatycznie korelują sygnały (alerty) ze wszystkich rozwiązań firmy Microsoft w zakresie zabezpieczeń i zgodności, a także z ogromnej liczby rozwiązań zewnętrznych za pośrednictwem usług Microsoft Sentinel i Microsoft Defender for Cloud. Usługa Defender XDR identyfikuje wiele sygnałów jako należących do tej samej historii ataku, używając sztucznej inteligencji do ciągłego monitorowania źródeł telemetrii i dodawania kolejnych dowodów w celu otwarcia już otwartych zdarzeń.

Zdarzenia działają również jako "pliki spraw", zapewniając platformę do zarządzania badaniami i dokumentowania ich. Aby uzyskać więcej informacji na temat funkcji zdarzeń w tym zakresie, zobacz Reagowanie na zdarzenia w portalu usługi Microsoft Defender.

Ważna

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie ujednoliconych operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Oto podsumowanie głównych atrybutów zdarzeń i alertów oraz różnic między nimi:

Incydentów:

  • Są główną "jednostką miary" pracy centrum operacji zabezpieczeń (SOC).
  • Wyświetl szerszy kontekst ataku — historię ataku.
  • Reprezentują "akta sprawy" wszystkich informacji potrzebnych do zbadania zagrożenia i ustaleń dochodzenia.
  • Są tworzone przez usługę Microsoft Defender XDR tak, aby zawierały co najmniej jeden alert, a w wielu przypadkach zawierają wiele alertów.
  • Wyzwalanie automatycznej serii odpowiedzi na zagrożenie przy użyciu reguł automatyzacji, zakłóceń ataku i podręczników.
  • Zarejestruj wszystkie działania związane z zagrożeniem oraz jego badaniem i rozwiązaniem.

Alerty:

  • Przedstawia poszczególne fragmenty historii, które są niezbędne do zrozumienia i zbadania zdarzenia.
  • Są tworzone przez wiele różnych źródeł zarówno wewnętrznych, jak i zewnętrznych w portalu usługi Defender.
  • Mogą być analizowane samodzielnie, aby dodać wartość, gdy wymagana jest dokładniejsza analiza.
  • Może wyzwalać automatyczne badania i odpowiedzi na poziomie alertu, aby zminimalizować potencjalny wpływ na zagrożenie.

Źródła alertów

Alerty XDR usługi Microsoft Defender są generowane przez wiele źródeł:

  • Rozwiązania będące częścią usługi Microsoft Defender XDR

    • Ochrona punktu końcowego w usłudze Microsoft Defender
    • Ochrona usługi Office 365 w usłudze Microsoft Defender
    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps
    • Dodatek dotyczący ładu aplikacji dla usługi Microsoft Defender for Cloud Apps
    • Microsoft Entra ID Protection
    • Ochrona przed utratą danych firmy Microsoft
  • Inne usługi, które mają integrację z portalem zabezpieczeń usługi Microsoft Defender

    • Microsoft Sentinel
    • Rozwiązania zabezpieczeń innych niż Microsoft, które przekazują swoje alerty do usługi Microsoft Sentinel
    • Microsoft Defender for Cloud

Usługa Microsoft Defender XDR również tworzy alerty. Dzięki dołączeniu usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń aparat korelacji usługi Microsoft Defender XDR ma teraz dostęp do wszystkich pierwotnych danych pozyskanych przez usługę Microsoft Sentinel. (Te dane można znaleźć w zaawansowanych tabelach wyszukiwania zagrożeń ). Unikatowe możliwości korelacji usługi Defender XDR zapewniają kolejną warstwę analizy danych i wykrywania zagrożeń dla wszystkich rozwiązań innych niż Microsoft w twojej infrastrukturze cyfrowej. Te wykrycia generują alerty XDR usługi Defender oprócz alertów już udostępnianych przez reguły analizy usługi Microsoft Sentinel.

Gdy alerty z różnych źródeł są wyświetlane razem, źródło każdego alertu jest wskazywane przez zestawy znaków przedłożone do identyfikatora alertu. Tabela Źródła alertów mapuje źródła alertów na prefiks identyfikatora alertu.

Tworzenie zdarzenia i korelacja alertów

Gdy alerty są generowane przez różne mechanizmy wykrywania w portalu zabezpieczeń usługi Microsoft Defender, zgodnie z opisem w poprzedniej sekcji, usługa Defender XDR umieszcza je w nowych lub istniejących zdarzeniach zgodnie z następującą logiką:

Scenariusz Decyzja
Alert jest wystarczająco unikatowy we wszystkich źródłach alertów w określonym przedziale czasu. Usługa Defender XDR tworzy nowe zdarzenie i dodaje do niego alert.
Alert jest wystarczająco powiązany z innymi alertami — z tego samego źródła lub z różnych źródeł — w określonym przedziale czasu. Usługa Defender XDR dodaje alert do istniejącego incydentu.

Kryteria używane przez usługę Microsoft Defender do skorelowania alertów w jednym zdarzeniu są częścią zastrzeżonej, wewnętrznej logiki korelacji. Ta logika jest również odpowiedzialna za nadanie nowemu zdarzeniu odpowiedniej nazwy.

Korelacja i scalanie zdarzeń

Działania korelacji usługi Microsoft Defender XDR nie są zatrzymywane podczas tworzenia zdarzeń. Usługa Defender XDR nadal wykrywa podobieństwa i relacje między zdarzeniami oraz między alertami w różnych zdarzeniach. Gdy dwa lub więcej zdarzeń zostanie uznanych za wystarczająco podobne, usługa Defender XDR scali zdarzenia w pojedyncze zdarzenie.

W jaki sposób usługa Defender XDR czyni tę decyzję?

Aparat korelacji usługi Defender XDR scala zdarzenia, gdy rozpoznaje typowe elementy między alertami w oddzielnych zdarzeniach w oparciu o jego głęboką wiedzę na temat danych i zachowania ataku. Niektóre z tych elementów obejmują:

  • Jednostki — zasoby, takie jak użytkownicy, urządzenia, skrzynki pocztowe i inne
  • Artefakty — pliki, procesy, nadawcy wiadomości e-mail i inne
  • Przedziały czasowe
  • Sekwencje zdarzeń, które wskazują na ataki wieloetapowe — na przykład złośliwe zdarzenie kliknięcia wiadomości e-mail, które ściśle śledzi wykrywanie wiadomości e-mail wyłudzającej informacje.

Kiedy zdarzenia nie są scalane?

Nawet jeśli logika korelacji wskazuje, że należy scalić dwa zdarzenia, usługa Defender XDR nie scala zdarzeń w następujących okolicznościach:

  • Jedno ze zdarzeń ma stan "Zamknięte". Rozwiązane zdarzenia nie są ponownie otwierane.
  • Dwa zdarzenia kwalifikujące się do scalenia są przypisywane do dwóch różnych osób.
  • Scalanie tych dwóch zdarzeń zwiększy liczbę jednostek w scalonym zdarzeniu powyżej maksymalnej dozwolonej liczby jednostek.
  • Te dwa zdarzenia zawierają urządzenia w różnych grupach urządzeń zgodnie z definicją organizacji.
    (Ten warunek nie obowiązuje domyślnie; musi być włączony).

Co się stanie, gdy zdarzenia zostaną scalone?

Po scaleniu co najmniej dwóch zdarzeń nowe zdarzenie nie zostanie utworzone w celu ich wchłonięcia. Zamiast tego zawartość jednego zdarzenia jest migrowana do drugiego zdarzenia, a zdarzenie porzucone w procesie jest automatycznie zamykane. Porzucone zdarzenie nie jest już widoczne ani dostępne w usłudze Microsoft Defender XDR, a wszelkie odwołania do niego są przekierowywane do skonsolidowanego incydentu. Porzucone, zamknięte zdarzenie pozostaje dostępne w usłudze Microsoft Sentinel w witrynie Azure Portal. Zawartość zdarzeń jest obsługiwana w następujący sposób:

  • Alerty zawarte w porzuconym zdarzeniu są usuwane z niego i dodawane do skonsolidowanego incydentu.
  • Wszystkie tagi zastosowane do porzuconego zdarzenia zostaną z niego usunięte i dodane do skonsolidowanego incydentu.
  • Tag Redirected jest dodawany do porzuconego incydentu.
  • Jednostki (zasoby itp.) postępują zgodnie z alertami, z którymi są połączone.
  • Reguły analizy zarejestrowane jako zaangażowane w tworzenie porzuconego zdarzenia są dodawane do reguł zarejestrowanych w skonsolidowanym zdarzeniu.
  • Obecnie komentarze i wpisy dziennika aktywności w porzuconym zdarzeniu nie są przenoszone do skonsolidowanego incydentu.

Aby wyświetlić komentarze i historię działań porzuconego incydentu, otwórz zdarzenie w usłudze Microsoft Sentinel w witrynie Azure Portal. Historia działań obejmuje zamknięcie zdarzenia oraz dodawanie i usuwanie alertów, tagów i innych elementów związanych z scalaniem incydentu. Te działania są przypisywane do tożsamości Microsoft Defender XDR — korelacja alertów.

Korelacja ręczna

Chociaż usługa Microsoft Defender XDR korzysta już z zaawansowanych mechanizmów korelacji, warto zdecydować inaczej, czy dany alert należy do określonego zdarzenia, czy nie. W takim przypadku możesz odłączyć alert od jednego zdarzenia i połączyć go z innym. Każdy alert musi należeć do zdarzenia, aby można było połączyć alert z innym istniejącym zdarzeniem lub z nowym incydentem utworzonym na miejscu.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

Następne kroki

Dowiedz się więcej o zdarzeniach, badaniach i reagowaniu na zdarzenia: Reagowanie na zdarzenia w portalu usługi Microsoft Defender

Zobacz też