Aviseringar, incidenter och korrelation i Microsoft Defender XDR
I Microsoft Defender XDR är aviseringar signaler från en samling källor som är resultatet av olika hotidentifieringsaktiviteter. Dessa signaler anger förekomsten av skadliga eller misstänkta händelser i din miljö. Aviseringar kan ofta vara en del av en bredare, komplex attackhistoria och relaterade aviseringar sammanställs och korreleras tillsammans för att bilda incidenter som representerar dessa attackberättelser.
Incidenter ger en fullständig bild av en attack. Microsoft Defender XDR:s algoritmer korrelerar automatiskt signaler (aviseringar) från alla Microsofts säkerhets- och efterlevnadslösningar, samt från ett stort antal externa lösningar via Microsoft Sentinel och Microsoft Defender för molnet. Defender XDR identifierar flera signaler som hör till samma attackhistoria, och använder AI för att kontinuerligt övervaka sina telemetrikällor och lägga till fler bevis för redan öppna incidenter.
Incidenter fungerar också som "ärendefiler", vilket ger dig en plattform för att hantera och dokumentera dina undersökningar. Mer information om incidentfunktioner i det här avseendet finns i Incidenthantering i Microsoft Defender-portalen.
Viktigt
Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Här är en sammanfattning av de viktigaste attributen för incidenter och aviseringar och skillnaderna mellan dem:
Incidenter:
- Är den viktigaste "måttenheten" för arbetet i Security Operations Center (SOC).
- Visa den bredare kontexten för en attack – attackberättelsen.
- Representerar "ärendefiler" för all information som behövs för att undersöka hotet och undersökningsresultaten.
- Skapas av Microsoft Defender XDR för att innehålla minst en avisering och innehåller i många fall många aviseringar.
- Utlös automatisk serie svar på hotet med hjälp av automatiseringsregler, attackstörningar och spelböcker.
- Registrera all aktivitet som är relaterad till hotet och dess undersökning och lösning.
Varningar:
- Representera de enskilda delarna i berättelsen som är viktiga för att förstå och undersöka incidenten.
- Skapas av många olika källor både interna och externa i Defender-portalen.
- Kan analyseras själva för att ge mervärde när djupare analys krävs.
- Kan utlösa automatiska undersökningar och svar på aviseringsnivå för att minimera den potentiella hotpåverkan.
Aviseringskällor
Microsoft Defender XDR-aviseringar genereras av många källor:
Lösningar som ingår i Microsoft Defender XDR
- Microsoft Defender för Endpoint
- Microsoft Defender för Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Tillägg för appstyrning för Microsoft Defender för molnappar
- Microsoft Entra ID Protection
- Microsoft Data Loss Prevention
Andra tjänster som har integreringar med Microsoft Defender-säkerhetsportalen
- Microsoft Sentinel
- Säkerhetslösningar som inte kommer från Microsoft och som skickar sina aviseringar till Microsoft Sentinel
- Microsoft Defender for Molnet
Microsoft Defender XDR skapar också aviseringar. Microsoft Defender XDR:s korrelationsmotor har nu åtkomst till alla rådata som matas in av Microsoft Sentinel med Microsoft Sentinel. (Du hittar dessa data i avancerade jakttabeller .) Defender XDR:s unika korrelationsfunktioner ger ett annat lager av dataanalys och hotidentifiering för alla icke-Microsoft-lösningar i din digitala egendom. Dessa identifieringar skapar Defender XDR-aviseringar, förutom de aviseringar som redan tillhandahålls av Microsoft Sentinels analysregler.
När aviseringar från olika källor visas tillsammans indikeras varje aviserings källa av uppsättningar med tecken som läggs till i aviserings-ID:t. Tabellen Aviseringskällor mappar aviseringskällorna till aviserings-ID-prefixet.
Incidentskapande och aviseringskorrelation
När aviseringar genereras av de olika identifieringsmekanismerna i Microsoft Defender-säkerhetsportalen, enligt beskrivningen i föregående avsnitt, placerar Defender XDR dem i nya eller befintliga incidenter enligt följande logik:
| Scenario | Beslut |
|---|---|
| Aviseringen är tillräckligt unik för alla aviseringskällor inom en viss tidsram. | Defender XDR skapar en ny incident och lägger till aviseringen i den. |
| Aviseringen är tillräckligt relaterad till andra aviseringar – från samma källa eller mellan källor – inom en viss tidsram. | Defender XDR lägger till aviseringen i en befintlig incident. |
De kriterier som Microsoft Defender använder för att korrelera aviseringar tillsammans i en enda incident är en del av dess egenutvecklade interna korrelationslogik. Den här logiken ansvarar också för att ge ett lämpligt namn till den nya incidenten.
Incidentkorrelation och sammanslagning
Korrelationsaktiviteter i Microsoft Defender XDR stoppas inte när incidenter skapas. Defender XDR fortsätter att identifiera likheter och relationer mellan incidenter och mellan aviseringar mellan incidenter. När två eller flera incidenter bedöms vara tillräckligt lika sammanfogar Defender XDR incidenterna i en enda incident.
Hur beskriver Defender XDR detta?
Korrelationsmotorn i Defender XDR sammanfogar incidenter när den identifierar vanliga element mellan aviseringar i separata incidenter, baserat på dess djupa kunskaper om data och angreppsbeteendet. Några av dessa element är:
- Entiteter – tillgångar som användare, enheter, postlådor och andra
- Artefakter – filer, processer, e-postavsändare och andra
- Tidsramar
- Sekvenser av händelser som pekar på flerstegsattacker, till exempel en händelse med skadlig e-postklick som följer noga efter en identifiering av nätfiskemeddelanden.
När sammanfogas inte incidenter?
Även om korrelationslogik anger att två incidenter ska slås samman sammanfogar Inte Defender XDR incidenterna under följande omständigheter:
- En av incidenterna har statusen "Stängd". Incidenter som har lösts öppnas inte igen.
- De två incidenter som är berättigade till sammanslagning tilldelas två olika personer.
- Om de två incidenterna slås samman ökar antalet entiteter i den sammanslagna incidenten över det högsta tillåtna antalet.
- De två incidenterna innehåller enheter i olika enhetsgrupper enligt organisationens definition.
(Det här villkoret gäller inte som standard. Det måste vara aktiverat.)
Vad händer när incidenter slås samman?
När två eller flera incidenter slås samman skapas ingen ny incident för att absorbera dem. I stället migreras innehållet i en incident till den andra incidenten och incidenten som överges i processen stängs automatiskt. Den övergivna incidenten är inte längre synlig eller tillgänglig i Microsoft Defender XDR, och alla referenser till den omdirigeras till den konsoliderade incidenten. Den övergivna och stängda incidenten är fortfarande tillgänglig i Microsoft Sentinel i Azure-portalen. Innehållet i incidenterna hanteras på följande sätt:
- Aviseringar i den övergivna incidenten flyttas till den konsoliderade incidenten.
- Entiteter (tillgångar osv.) följer de aviseringar som de är länkade till.
- Analysregler som registrerats som inblandade i skapandet av den övergivna incidenten läggs till i reglerna som registrerats i den konsoliderade incidenten.
- För närvarande flyttas inte kommentarer och aktivitetsloggposter i den övergivna incidenten till den konsoliderade incidenten. Om du vill se den övergivna incidentens kommentarer och aktivitetshistorik öppnar du incidenten i Microsoft Sentinel i Azure-portalen.
Manuell korrelation
Microsoft Defender XDR använder redan avancerade korrelationsmekanismer, men du kanske vill bestämma på olika sätt om en viss avisering hör till en viss incident eller inte. I så fall kan du ta bort länken till en avisering från en incident och länka den till en annan. Varje avisering måste tillhöra en incident, så att du antingen kan länka aviseringen till en annan befintlig incident eller till en ny incident som du skapar på plats.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Nästa steg
Läs mer om incidenter, undersökning och svar: Incidenthantering i Microsoft Defender-portalen
Se även
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för