Compartilhar via


Alertas, incidentes e correlação no Microsoft Defender XDR

No Microsoft Defender XDR, os alertas são sinais de uma coleção de origens que resultam de várias atividades de deteção de ameaças. Estes sinais indicam a ocorrência de eventos maliciosos ou suspeitos no seu ambiente. Os alertas podem muitas vezes fazer parte de uma história de ataque mais ampla e complexa e os alertas relacionados são agregados e correlacionados para formar incidentes que representam estas histórias de ataque.

Os incidentes fornecem a imagem completa de um ataque. Os algoritmos do Microsoft Defender XDR correlacionam automaticamente sinais (alertas) de todas as soluções de segurança e conformidade da Microsoft, bem como de um vasto número de soluções externas através de Microsoft Sentinel e Microsoft Defender para a Cloud. Defender XDR identifica vários sinais como pertencentes à mesma história de ataque, utilizando IA para monitorizar continuamente as suas origens de telemetria e adicionar mais provas a incidentes já abertos.

Os incidentes também funcionam como "ficheiros de caso", fornecendo-lhe uma plataforma para gerir e documentar as suas investigações. Para obter mais informações sobre a funcionalidade dos incidentes a este respeito, veja Resposta a incidentes no portal do Microsoft Defender.

Importante

Microsoft Sentinel está agora disponível globalmente na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.

Eis um resumo dos atributos main de incidentes e alertas e as diferenças entre os mesmos:

Incidentes:

  • São os main "unidade de medida" do trabalho do Centro de Operações de Segurança (SOC).
  • Apresentar o contexto mais amplo de um ataque— a história do ataque.
  • Representar "ficheiros de caso" de todas as informações necessárias para investigar a ameaça e as conclusões da investigação.
  • São criados por Microsoft Defender XDR para conter pelo menos um alerta e, em muitos casos, contêm muitos alertas.
  • Acione uma série automática de respostas à ameaça com regras de automatização, interrupções de ataques e manuais de procedimentos.
  • Registe toda a atividade relacionada com a ameaça e a respetiva investigação e resolução.

Alertas:

  • Represente as partes individuais da história que são essenciais para compreender e investigar o incidente.
  • São criados por várias origens diferentes, tanto internas como externas ao portal do Defender.
  • Podem ser analisados por si próprios para acrescentar valor quando for necessária uma análise mais profunda.
  • Pode acionar investigações e respostas automáticas ao nível do alerta, para minimizar o potencial impacto da ameaça.

Fontes de alerta

Microsoft Defender XDR alertas são gerados por várias origens:

  • Soluções que fazem parte do Microsoft Defender XDR

    • Microsoft Defender para Ponto de Extremidade
    • Microsoft Defender para Office 365
    • Microsoft Defender para Identidade?
    • Microsoft Defender for Cloud Apps
    • O complemento de governança de aplicativos para o Microsoft Defender para Aplicativos de Nuvem
    • Microsoft Entra ID Protection
    • Prevenção de Perda de Dados da Microsoft
  • Outros serviços que têm integrações com o portal de segurança do Microsoft Defender

    • Microsoft Sentinel
    • Soluções de segurança não Microsoft que transmitem os respetivos alertas ao Microsoft Sentinel
    • Microsoft Defender para Nuvem

Microsoft Defender XDR também cria alertas. Com Microsoft Sentinel integrados na plataforma de operações de segurança unificada, o motor de correlação do Microsoft Defender XDR tem agora acesso a todos os dados não processados ingeridos por Microsoft Sentinel. (Pode encontrar estes dados em Tabelas de investigação avançadas.) as capacidades de correlação exclusivas do Defender XDR fornecem outra camada de análise de dados e deteção de ameaças para todas as soluções que não são da Microsoft no seu património digital. Estas deteções produzem alertas Defender XDR, para além dos alertas já fornecidos pelas regras de análise do Microsoft Sentinel.

Quando os alertas de diferentes origens são apresentados em conjunto, a origem de cada alerta é indicada por conjuntos de carateres anexados ao ID do alerta. A tabela Origens de alerta mapeia as origens de alerta para o prefixo do ID do alerta.

Criação de incidentes e correlação de alertas

Quando os alertas são gerados pelos vários mecanismos de deteção no portal de segurança do Microsoft Defender, conforme descrito na secção anterior, Defender XDR os coloca em incidentes novos ou existentes de acordo com a seguinte lógica:

Cenário Decision
O alerta é suficientemente exclusivo em todas as origens de alerta dentro de um período de tempo específico. Defender XDR cria um novo incidente e adiciona o alerta ao mesmo.
O alerta está suficientemente relacionado com outros alertas ( da mesma origem ou entre origens) dentro de um período de tempo específico. Defender XDR adiciona o alerta a um incidente existente.

Os critérios Microsoft Defender utiliza para correlacionar alertas num único incidente fazem parte da lógica de correlação interna proprietária. Esta lógica também é responsável por atribuir um nome adequado ao novo incidente.

Correlação e intercalação de incidentes

as atividades de correlação do Microsoft Defender XDR não param quando são criados incidentes. Defender XDR continua a detetar semelhanças e relações entre incidentes e entre alertas entre incidentes. Quando dois ou mais incidentes são determinados como suficientemente iguais, Defender XDR intercala os incidentes num único incidente.

Como é que Defender XDR faz essa determinação?

O motor de correlação do Defender XDR intercala incidentes quando reconhece elementos comuns entre alertas em incidentes separados, com base no conhecimento profundo dos dados e no comportamento do ataque. Alguns destes elementos incluem:

  • Entidades — recursos como utilizadores, dispositivos, caixas de correio e outros
  • Artefactos — ficheiros, processos, remetentes de e-mail, entre outros
  • Intervalos de tempo
  • Sequências de eventos que apontam para ataques em várias fases, por exemplo, um evento de clique de e-mail malicioso que se segue de perto numa deteção de e-mail de phishing.

Quando é que os incidentes não são intercalados?

Mesmo quando a lógica de correlação indica que dois incidentes devem ser intercalados, Defender XDR não intercala os incidentes nas seguintes circunstâncias:

  • Um dos incidentes tem uma status de "Fechado". Os incidentes resolvidos não são reabertos.
  • Os dois incidentes elegíveis para intercalação são atribuídos a duas pessoas diferentes.
  • A intercalação dos dois incidentes aumentaria o número de entidades no incidente intercalado acima do máximo de 50 entidades por incidente permitido.
  • Os dois incidentes contêm dispositivos em diferentes grupos de dispositivos , conforme definido pela organização.
    (Esta condição não está em vigor por predefinição; tem de estar ativada.)

O que acontece quando os incidentes são intercalados?

Quando dois ou mais incidentes são intercalados, não é criado um novo incidente para absorvê-los. Em vez disso, os conteúdos de um incidente são migrados para o outro incidente e o incidente abandonado no processo é fechado automaticamente. O incidente abandonado já não está visível ou disponível no Microsoft Defender XDR e qualquer referência ao mesmo é redirecionada para o incidente consolidado. O incidente abandonado e fechado continua acessível em Microsoft Sentinel no portal do Azure. Os conteúdos dos incidentes são processados das seguintes formas:

  • Os alertas contidos no incidente abandonado são removidos do mesmo e adicionados ao incidente consolidado.
  • Todas as etiquetas aplicadas ao incidente abandonado são removidas do mesmo e adicionadas ao incidente consolidado.
  • É Redirected adicionada uma etiqueta ao incidente abandonado.
  • As entidades (recursos, etc.) seguem os alertas a que estão ligadas.
  • As regras de análise registadas como envolvidas na criação do incidente abandonado são adicionadas às regras registadas no incidente consolidado.
  • Atualmente, os comentários e as entradas do registo de atividades no incidente abandonado não são movidos para o incidente consolidado.

Para ver os comentários e o histórico de atividades do incidente abandonado, abra o incidente no Microsoft Sentinel no portal do Azure. O histórico de atividades inclui o encerramento do incidente e a adição e remoção de alertas, etiquetas e outros itens relacionados com a intercalação de incidentes. Estas atividades são atribuídas à identidade Microsoft Defender XDR - correlação de alertas.

Correlação manual

Embora Microsoft Defender XDR já utilize mecanismos de correlação avançados, poderá querer decidir de forma diferente se um determinado alerta pertence ou não a um determinado incidente. Nesse caso, pode desassociar um alerta de um incidente e ligá-lo a outro. Cada alerta tem de pertencer a um incidente, para que possa ligar o alerta a outro incidente existente ou a um novo incidente que crie no local.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.

Próximas etapas

Leia mais sobre incidentes, investigação e resposta: Resposta a incidentes no portal do Microsoft Defender

Confira também