Оповещения, инциденты и корреляция в XDR в Microsoft Defender
В Microsoft Defender XDR оповещения — это сигналы из коллекции источников, которые являются результатом различных действий по обнаружению угроз. Эти сигналы указывают на возникновение вредоносных или подозрительных событий в вашей среде. Оповещения часто могут быть частью более широкой и сложной истории атак, а связанные оповещения объединяются и сопоставляются для формирования инцидентов , представляющих эти истории атак.
Инциденты предоставляют полную картину атаки. Алгоритмы XDR в Microsoft Defender автоматически сопоставляют сигналы (оповещения) от всех решений майкрософт для обеспечения безопасности и соответствия требованиям, а также от огромного числа внешних решений через Microsoft Sentinel и Microsoft Defender для облака. Defender XDR определяет несколько сигналов как принадлежащих к одной и той же истории атак, используя ИИ для постоянного мониторинга источников телеметрии и добавления дополнительных доказательств для уже открытых инцидентов.
Инциденты также функционируют как "файлы обращений", предоставляя платформу для управления расследованиями и их документирования. Дополнительные сведения о функциях инцидентов в этой связи см. в разделе Реагирование на инциденты на портале Microsoft Defender.
Важно!
Microsoft Sentinel теперь общедоступен в рамках единой платформы операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см. в статье Microsoft Sentinel на портале Microsoft Defender.
Ниже приведена сводка основных атрибутов инцидентов и оповещений, а также различий между ними:
Инцидентов:
- Являются основной "единицей измерения" работы Центра управления безопасностью (SOC).
- Отображение более широкого контекста атаки — истории атаки.
- Представляют "файлы дел" всей информации, необходимой для расследования угрозы и результатов расследования.
- Создаются XDR в Microsoft Defender, чтобы содержать по крайней мере одно оповещение и во многих случаях содержит много оповещений.
- Активируйте автоматическую серию ответов на угрозу, используя правила автоматизации, нарушения атак и сборники схем.
- Запишите все действия, связанные с угрозой, а также ее исследованием и устранением.
Оповещения:
- Представить отдельные части истории, необходимые для понимания и расследования инцидента.
- Создаются различными источниками, как внутренними, так и внешними на портале Defender.
- Может анализироваться самостоятельно, чтобы повысить ценность, если требуется более глубокий анализ.
- Может активировать автоматические исследования и ответы на уровне оповещений , чтобы свести к минимуму потенциальное влияние угрозы.
Источники оповещений
Оповещения XDR в Microsoft Defender создаются многими источниками:
Решения, входящие в состав XDR в Microsoft Defender
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Надстройка управления приложениями для Microsoft Defender для облачных приложений
- Защита идентификаторов Microsoft Entra
- Защита от потери данных (Майкрософт)
Другие службы с интеграцией с порталом безопасности Microsoft Defender
- Microsoft Sentinel
- Решения безопасности сторонних разработчиков, которые передают оповещения в Microsoft Sentinel
- Microsoft Defender для облака
XDR в Microsoft Defender также создает оповещения. Благодаря подключению Microsoft Sentinel к единой платформе операций безопасности подсистема корреляции XDR в Microsoft Defender теперь имеет доступ ко всем необработанным данным, принятым Microsoft Sentinel. (Эти данные можно найти в таблицах расширенной охоты .) Уникальные возможности корреляции Defender XDR обеспечивают еще один уровень анализа данных и обнаружения угроз для всех решений сторонних разработчиков в вашем цифровом пространстве. Эти обнаружения создают оповещения Defender XDR в дополнение к оповещениям, уже предоставляемым правилами аналитики Microsoft Sentinel.
При отображении оповещений из разных источников источник каждого оповещения указывается наборами символов, которые добавляются к идентификатору оповещения. Таблица Источники оповещений сопоставляет источники оповещений с префиксом идентификатора оповещения.
Создание инцидента и корреляция оповещений
Когда оповещения создаются различными механизмами обнаружения на портале безопасности Microsoft Defender, как описано в предыдущем разделе, XDR Defender помещает их в новые или существующие инциденты в соответствии со следующей логикой:
| Сценарий | Decision |
|---|---|
| Оповещение достаточно уникально для всех источников оповещений в течение определенного периода времени. | Defender XDR создает новый инцидент и добавляет в него оповещение. |
| Оповещение достаточно связано с другими оповещениями (из одного источника или из разных источников) в течение определенного периода времени. | Defender XDR добавляет оповещение к существующему инциденту. |
Критерии, которые Microsoft Defender использует для корреляции оповещений в одном инциденте, являются частью собственной внутренней логики корреляции. Эта логика также отвечает за присвоение соответствующего имени новому инциденту.
Корреляция инцидентов и слияние
Действия корреляции XDR в Microsoft Defender не прекращаются при создании инцидентов. Defender XDR продолжает обнаруживать общие черты и связи между инцидентами и между оповещениями между инцидентами. Если два или более инцидента определены как достаточно похожие, Defender XDR объединяет инциденты в один инцидент.
Как XDR Defender делает это определение?
Подсистема корреляции Defender XDR объединяет инциденты, когда распознает общие элементы между оповещениями в отдельных инцидентах на основе глубоких знаний о данных и поведения атак. Вот некоторые из этих элементов:
- Сущности — такие ресурсы, как пользователи, устройства, почтовые ящики и другие.
- Артефакты — файлы, процессы, отправители электронной почты и другие
- Временные рамки
- Последовательности событий, указывающих на многоэтапные атаки, например вредоносное событие щелчка по электронной почте, которое следует за обнаружением фишингового сообщения.
Когда инциденты не объединяются?
Даже если логика корреляции указывает на то, что два инцидента должны быть объединены, XDR Defender не объединяет инциденты при следующих обстоятельствах:
- Один из инцидентов имеет состояние "Закрыто". Устраненные инциденты не открываются повторно.
- Два инцидента, имеющие право на слияние, назначаются двум разным людям.
- Слияние двух инцидентов приведет к тому, что число сущностей в объединенном инциденте превышает максимально допустимое.
- Эти два инцидента содержат устройства в разных группах устройств , определенных организацией.
(Это условие не действует по умолчанию; оно должно быть включено.)
Что происходит при слиянии инцидентов?
При слиянии двух или более инцидентов новый инцидент не создается для их поглощения. Вместо этого содержимое одного инцидента переносится в другой инцидент, и инцидент, отброшенный в процессе, автоматически закрывается. Заброшенный инцидент больше не отображается и недоступен в XDR в Microsoft Defender, и любая ссылка на него перенаправляется в объединенный инцидент. Заброшенный закрытый инцидент остается доступным в Microsoft Sentinel на портале Azure. Содержимое инцидентов обрабатывается следующими способами:
- Оповещения, содержащиеся в отмененном инциденте, удаляются из него и добавляются в объединенный инцидент.
- Все теги, примененные к заброшенному инциденту, удаляются из него и добавляются в объединенный инцидент.
- К
Redirectedзаброшенным инцидентам добавляется тег. - Сущности (ресурсы и т. д.) следуют оповещениям, с которых они связаны.
- Правила аналитики, записанные как участвующие в создании заброшенного инцидента, добавляются в правила, записанные в объединенном инциденте.
- В настоящее время комментарии и записи журнала действий в заброшенном инциденте не перемещаются в объединенный инцидент.
Чтобы просмотреть комментарии и журнал действий оставленного инцидента, откройте инцидент в Microsoft Sentinel на портале Azure. Журнал действий включает закрытие инцидента, а также добавление и удаление оповещений, тегов и других элементов, связанных с слиянием инцидента. Эти действия относятся к корреляции удостоверений Microsoft Defender XDR — оповещений.
Корреляция вручную
Хотя XDR в Microsoft Defender уже использует расширенные механизмы корреляции, может потребоваться решить, относится ли данное оповещение к конкретному инциденту или нет. В этом случае можно отключить связь оповещения с одним инцидентом и связать его с другим. Каждое оповещение должно принадлежать к инциденту, поэтому вы можете связать оповещение с другим существующим инцидентом или с новым инцидентом, который вы создаете на месте.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.
Дальнейшие действия
Дополнительные сведения об инцидентах, расследовании и реагировании на инциденты см. на портале Microsoft Defender.