Alertas, incidentes e correlação no Microsoft Defender XDR
No Microsoft Defender XDR, os alertas são sinais de uma coleção de origens que resultam de várias atividades de deteção de ameaças. Estes sinais indicam a ocorrência de eventos maliciosos ou suspeitos no seu ambiente. Os alertas podem muitas vezes fazer parte de uma história de ataque mais ampla e complexa e os alertas relacionados são agregados e correlacionados para formar incidentes que representam estas histórias de ataque.
Os incidentes fornecem a imagem completa de um ataque. Os algoritmos do Microsoft Defender XDR correlacionam automaticamente sinais (alertas) de todas as soluções de segurança e conformidade da Microsoft, bem como de um vasto número de soluções externas através do Microsoft Sentinel e do Microsoft Defender para a Cloud. O Defender XDR identifica vários sinais como pertencentes à mesma história de ataque, utilizando a IA para monitorizar continuamente as suas origens de telemetria e adicionar mais provas a incidentes já abertos.
Os incidentes também funcionam como "ficheiros de caso", fornecendo-lhe uma plataforma para gerir e documentar as suas investigações. Para obter mais informações sobre a funcionalidade dos incidentes a este respeito, veja Resposta a incidentes no portal do Microsoft Defender.
Importante
O Microsoft Sentinel está agora disponível globalmente na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.
Eis um resumo dos principais atributos de incidentes e alertas e as diferenças entre os mesmos:
Incidentes:
- São a principal "unidade de medida" do trabalho do Centro de Operações de Segurança (SOC).
- Apresentar o contexto mais amplo de um ataque— a história do ataque.
- Representar "ficheiros de caso" de todas as informações necessárias para investigar a ameaça e as conclusões da investigação.
- São criados pelo Microsoft Defender XDR para conter, pelo menos, um alerta e, em muitos casos, contêm muitos alertas.
- Acione uma série automática de respostas à ameaça com regras de automatização, interrupções de ataques e manuais de procedimentos.
- Registe toda a atividade relacionada com a ameaça e a respetiva investigação e resolução.
Alertas:
- Represente as partes individuais da história que são essenciais para compreender e investigar o incidente.
- São criados por várias origens diferentes, tanto internas como externas ao portal do Defender.
- Podem ser analisados por si próprios para acrescentar valor quando for necessária uma análise mais profunda.
- Pode acionar investigações e respostas automáticas ao nível do alerta, para minimizar o potencial impacto da ameaça.
Fontes de alerta
Os alertas XDR do Microsoft Defender são gerados por várias origens:
Soluções que fazem parte do Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Office 365
- Microsoft Defender para Identidade?
- Microsoft Defender for Cloud Apps
- O complemento de governança de aplicativos para o Microsoft Defender para Aplicativos de Nuvem
- Microsoft Entra ID Protection
- Prevenção de Perda de Dados da Microsoft
Outros serviços que têm integrações com o portal de segurança do Microsoft Defender
- Microsoft Sentinel
- Soluções de segurança não Microsoft que transmitem os respetivos alertas ao Microsoft Sentinel
- Microsoft Defender para Nuvem
O próprio Microsoft Defender XDR também cria alertas. Com o Microsoft Sentinel integrado na plataforma de operações de segurança unificada, o motor de correlação do Microsoft Defender XDR tem agora acesso a todos os dados não processados ingeridos pelo Microsoft Sentinel. (Pode encontrar estes dados em Tabelas de investigação avançadas .) As capacidades de correlação exclusivas do Defender XDR fornecem outra camada de análise de dados e deteção de ameaças para todas as soluções que não são da Microsoft no seu património digital. Estas deteções produzem alertas do Defender XDR, para além dos alertas já fornecidos pelas regras de análise do Microsoft Sentinel.
Quando os alertas de diferentes origens são apresentados em conjunto, a origem de cada alerta é indicada por conjuntos de carateres anexados ao ID do alerta. A tabela Origens de alerta mapeia as origens de alerta para o prefixo do ID do alerta.
Criação de incidentes e correlação de alertas
Quando os alertas são gerados pelos vários mecanismos de deteção no portal de segurança do Microsoft Defender, conforme descrito na secção anterior, o Defender XDR coloca-os em incidentes novos ou existentes de acordo com a seguinte lógica:
| Cenário | Decision |
|---|---|
| O alerta é suficientemente exclusivo em todas as origens de alerta dentro de um período de tempo específico. | O Defender XDR cria um novo incidente e adiciona o alerta ao mesmo. |
| O alerta está suficientemente relacionado com outros alertas ( da mesma origem ou entre origens) dentro de um período de tempo específico. | O Defender XDR adiciona o alerta a um incidente existente. |
Os critérios que o Microsoft Defender utiliza para correlacionar alertas num único incidente fazem parte da lógica de correlação interna proprietária. Esta lógica também é responsável por atribuir um nome adequado ao novo incidente.
Correlação e intercalação de incidentes
As atividades de correlação do Microsoft Defender XDR não param quando são criados incidentes. O Defender XDR continua a detetar commonalities e relações entre incidentes e entre alertas entre incidentes. Quando dois ou mais incidentes são determinados como suficientemente iguais, o Defender XDR intercala os incidentes num único incidente.
Como é que o Defender XDR faz essa determinação?
O motor de correlação do Defender XDR intercala incidentes quando reconhece elementos comuns entre alertas em incidentes separados, com base no conhecimento profundo dos dados e no comportamento do ataque. Alguns destes elementos incluem:
- Entidades — recursos como utilizadores, dispositivos, caixas de correio e outros
- Artefactos — ficheiros, processos, remetentes de e-mail, entre outros
- Intervalos de tempo
- Sequências de eventos que apontam para ataques em várias fases, por exemplo, um evento de clique de e-mail malicioso que se segue de perto numa deteção de e-mail de phishing.
Quando é que os incidentes não são intercalados?
Mesmo quando a lógica de correlação indica que dois incidentes devem ser intercalados, o Defender XDR não intercala os incidentes nas seguintes circunstâncias:
- Um dos incidentes tem o estado "Fechado". Os incidentes resolvidos não são reabertos.
- Os dois incidentes elegíveis para intercalação são atribuídos a duas pessoas diferentes.
- Intercalar os dois incidentes aumentaria o número de entidades no incidente intercalado acima do máximo permitido.
- Os dois incidentes contêm dispositivos em diferentes grupos de dispositivos , conforme definido pela organização.
(Esta condição não está em vigor por predefinição; tem de estar ativada.)
O que acontece quando os incidentes são intercalados?
Quando dois ou mais incidentes são intercalados, não é criado um novo incidente para absorvê-los. Em vez disso, os conteúdos de um incidente são migrados para o outro incidente e o incidente abandonado no processo é fechado automaticamente. O incidente abandonado já não está visível ou disponível no Microsoft Defender XDR e qualquer referência ao mesmo é redirecionada para o incidente consolidado. O incidente abandonado e fechado continua acessível no Microsoft Sentinel no portal do Azure. Os conteúdos dos incidentes são processados das seguintes formas:
- Os alertas contidos no incidente abandonado são removidos do mesmo e adicionados ao incidente consolidado.
- Todas as etiquetas aplicadas ao incidente abandonado são removidas do mesmo e adicionadas ao incidente consolidado.
- É
Redirectedadicionada uma etiqueta ao incidente abandonado. - As entidades (recursos, etc.) seguem os alertas a que estão ligadas.
- As regras de análise registadas como envolvidas na criação do incidente abandonado são adicionadas às regras registadas no incidente consolidado.
- Atualmente, os comentários e as entradas do registo de atividades no incidente abandonado não são movidos para o incidente consolidado.
Para ver os comentários e o histórico de atividades do incidente abandonado, abra o incidente no Microsoft Sentinel no portal do Azure. O histórico de atividades inclui o encerramento do incidente e a adição e remoção de alertas, etiquetas e outros itens relacionados com a intercalação de incidentes. Estas atividades são atribuídas à identidade Microsoft Defender XDR – correlação de alertas.
Correlação manual
Embora o Microsoft Defender XDR já utilize mecanismos de correlação avançados, poderá querer decidir de forma diferente se um determinado alerta pertence ou não a um determinado incidente. Nesse caso, pode desassociar um alerta de um incidente e ligá-lo a outro. Cada alerta tem de pertencer a um incidente, para que possa ligar o alerta a outro incidente existente ou a um novo incidente que crie no local.
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.
Próximas etapas
Leia mais sobre incidentes, investigação e resposta: Resposta a incidentes no portal do Microsoft Defender
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de