Оповещения, инциденты и корреляция в Microsoft Defender XDR
В Microsoft Defender XDR оповещения — это сигналы из коллекции источников, которые являются результатом различных действий по обнаружению угроз. Эти сигналы указывают на возникновение вредоносных или подозрительных событий в вашей среде. Оповещения часто могут быть частью более широкой и сложной истории атак, а связанные оповещения объединяются и сопоставляются для формирования инцидентов , представляющих эти истории атак.
Инциденты предоставляют полную картину атаки. Алгоритмы Microsoft Defender XDR автоматически сопоставляют сигналы (оповещения) от всех решений майкрософт по обеспечению безопасности и соответствия требованиям, а также от огромного числа внешних решений через Microsoft Sentinel и Microsoft Defender для облака. Defender XDR определяет несколько сигналов, относящихся к одной и той же истории атак, используя ИИ для постоянного мониторинга источников телеметрии и добавления дополнительных доказательств уже открытых инцидентов.
Инциденты также функционируют как "файлы обращений", предоставляя платформу для управления расследованиями и их документирования. Дополнительные сведения о функциях инцидентов в этой связи см. в статье Реагирование на инциденты на портале Microsoft Defender.
Важно!
Microsoft Sentinel теперь общедоступна на единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.
Ниже приведена сводка main атрибутов инцидентов и оповещений, а также различий между ними:
Инцидентов:
- Main "единица измерения" работы Центра управления безопасностью (SOC).
- Отображение более широкого контекста атаки — истории атаки.
- Представляют "файлы дел" всей информации, необходимой для расследования угрозы и результатов расследования.
- Создаются Microsoft Defender XDR, чтобы содержать по крайней мере одно оповещение, а во многих случаях содержит много оповещений.
- Активируйте автоматическую серию ответов на угрозу, используя правила автоматизации, нарушения атак и сборники схем.
- Запишите все действия, связанные с угрозой, а также ее исследованием и устранением.
Оповещения:
- Представить отдельные части истории, необходимые для понимания и расследования инцидента.
- Создаются различными источниками, как внутренними, так и внешними на портале Defender.
- Может анализироваться самостоятельно, чтобы повысить ценность, если требуется более глубокий анализ.
- Может активировать автоматические исследования и ответы на уровне оповещений , чтобы свести к минимуму потенциальное влияние угрозы.
Источники оповещений
Microsoft Defender XDR оповещения создаются из нескольких источников:
Решения, входящие в состав Microsoft Defender XDR
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Надстройка управления приложениями для Microsoft Defender для облачных приложений
- Защита Microsoft Entra ID
- Защита от потери данных (Майкрософт)
Другие службы, которые имеют интеграцию с порталом безопасности Microsoft Defender
- Microsoft Sentinel
- Решения безопасности сторонних разработчиков, которые передают оповещения в Microsoft Sentinel
- Microsoft Defender для облака
Microsoft Defender XDR также создает оповещения. Благодаря подключению Microsoft Sentinel к единой платформе операций безопасности подсистема корреляции Microsoft Defender XDR теперь имеет доступ ко всем необработанным данным, принятым Microsoft Sentinel. (Эти данные можно найти в таблицах расширенной охоты.) уникальные возможности корреляции Defender XDR обеспечивают еще один уровень анализа данных и обнаружения угроз для всех решений, не относящихся к корпорации Майкрософт, в вашей цифровой недвижимости. Эти обнаружения создают Defender XDR оповещения в дополнение к оповещениям, которые уже предоставляются правилами аналитики Microsoft Sentinel.
При отображении оповещений из разных источников источник каждого оповещения указывается наборами символов, которые добавляются к идентификатору оповещения. Таблица Источники оповещений сопоставляет источники оповещений с префиксом идентификатора оповещения.
Создание инцидента и корреляция оповещений
Когда оповещения создаются различными механизмами обнаружения на портале безопасности Microsoft Defender, как описано в предыдущем разделе, Defender XDR помещает их в новые или существующие инциденты в соответствии со следующей логикой:
| Сценарий | Decision |
|---|---|
| Оповещение достаточно уникально для всех источников оповещений в течение определенного периода времени. | Defender XDR создает новый инцидент и добавляет в него оповещение. |
| Оповещение достаточно связано с другими оповещениями (из одного источника или из разных источников) в течение определенного периода времени. | Defender XDR добавляет оповещение в существующий инцидент. |
Критерии, Microsoft Defender используются для корреляции оповещений в одном инциденте, являются частью собственной внутренней логики корреляции. Эта логика также отвечает за присвоение соответствующего имени новому инциденту.
Корреляция инцидентов и слияние
действия корреляции Microsoft Defender XDR не прекращаются при создании инцидентов. Defender XDR продолжает обнаруживать общие черты и связи между инцидентами и между оповещениями между инцидентами. Если два или более инцидента определены как достаточно похожие, Defender XDR объединяет инциденты в один инцидент.
Как Defender XDR принять это решение?
подсистема корреляции Defender XDR объединяет инциденты, когда распознает общие элементы между оповещениями в отдельных инцидентах на основе глубоких знаний о данных и поведения атак. Вот некоторые из этих элементов:
- Сущности — такие ресурсы, как пользователи, устройства, почтовые ящики и другие.
- Артефакты — файлы, процессы, отправители электронной почты и другие
- Временные рамки
- Последовательности событий, указывающих на многоэтапные атаки, например вредоносное событие щелчка по электронной почте, которое следует за обнаружением фишингового сообщения.
Когда инциденты не объединяются?
Даже если логика корреляции указывает на то, что два инцидента должны быть объединены, Defender XDR не объединяет инциденты при следующих обстоятельствах:
- Один из инцидентов имеет состояние "Закрыто". Устраненные инциденты не открываются повторно.
- Два инцидента, имеющие право на слияние, назначаются двум разным людям.
- Слияние двух инцидентов приведет к тому, что число сущностей в объединенном инциденте превышает максимально допустимое число 50 сущностей на инцидент.
- Эти два инцидента содержат устройства в разных группах устройств , определенных организацией.
(Это условие не действует по умолчанию; оно должно быть включено.)
Что происходит при слиянии инцидентов?
При слиянии двух или более инцидентов новый инцидент не создается для их поглощения. Вместо этого содержимое одного инцидента переносится в другой инцидент, и инцидент, отброшенный в процессе, автоматически закрывается. Отмененный инцидент больше не виден или недоступен в Microsoft Defender XDR, и любая ссылка на него перенаправляется в объединенный инцидент. Заброшенный закрытый инцидент остается доступным в Microsoft Sentinel в портал Azure. Содержимое инцидентов обрабатывается следующими способами:
- Оповещения, содержащиеся в отмененном инциденте, удаляются из него и добавляются в объединенный инцидент.
- Все теги, примененные к заброшенному инциденту, удаляются из него и добавляются в объединенный инцидент.
- К
Redirectedзаброшенным инцидентам добавляется тег. - Сущности (ресурсы и т. д.) следуют оповещениям, с которых они связаны.
- Правила аналитики, записанные как участвующие в создании заброшенного инцидента, добавляются в правила, записанные в объединенном инциденте.
- В настоящее время комментарии и записи журнала действий в заброшенном инциденте не перемещаются в объединенный инцидент.
Чтобы просмотреть комментарии и журнал действий оставленного инцидента, откройте инцидент в Microsoft Sentinel в портал Azure. Журнал действий включает закрытие инцидента, а также добавление и удаление оповещений, тегов и других элементов, связанных с слиянием инцидента. Эти действия относятся к Microsoft Defender XDR идентификации — корреляции оповещений.
Корреляция вручную
Хотя Microsoft Defender XDR уже использует расширенные механизмы корреляции, вам может потребоваться решить, относится ли данное оповещение к конкретному инциденту или нет. В этом случае можно отключить связь оповещения с одним инцидентом и связать его с другим. Каждое оповещение должно принадлежать к инциденту, поэтому вы можете связать оповещение с другим существующим инцидентом или с новым инцидентом, который вы создаете на месте.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.
Дальнейшие действия
Дополнительные сведения об инцидентах, расследовании и реагировании на инциденты см. на портале Microsoft Defender.