Aracılığıyla paylaş


Microsoft Defender XDR'de uyarılar, olaylar ve bağıntı

Microsoft Defender XDR'de uyarılar , çeşitli tehdit algılama etkinliklerinden kaynaklanan bir kaynak koleksiyonundan gelen sinyallerdir. Bu sinyaller ortamınızda kötü amaçlı veya şüpheli olayların oluştuğuna işaret eder. Uyarılar genellikle daha geniş, karmaşık bir saldırı hikayesinin parçası olabilir ve ilgili uyarılar toplanır ve bu saldırı hikayelerini temsil eden olaylar oluşturmak için birbiriyle ilişkilendirilir.

Olaylar , bir saldırının tam resmini sağlar. Microsoft Defender XDR algoritmaları, tüm Microsoft güvenlik ve uyumluluk çözümlerinin yanı sıra Microsoft Sentinel ve Bulut için Microsoft Defender aracılığıyla çok sayıda dış çözümden gelen sinyalleri (uyarıları) otomatik olarak ilişkilendirmektedir. Defender XDR, telemetri kaynaklarını sürekli izlemek ve açık olan olaylara daha fazla kanıt eklemek için yapay zekayı kullanarak aynı saldırı hikayesine ait olarak birden çok sinyal tanımlar.

Olaylar, araştırmalarınızı yönetmek ve belgelemeniz için bir platform sağlayan "olay dosyaları" olarak da işlev görür. Bu konuda olayların işlevselliği hakkında daha fazla bilgi için bkz. Microsoft Defender portalında olay yanıtı.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunulmuştur. Daha fazla bilgi için Bkz. Microsoft Defender portalında Microsoft Sentinel.

Olayların ve uyarıların ana özniteliklerinin ve aralarındaki farkların özeti aşağıdadır:

Olay:

  • Güvenlik İşlemleri Merkezi'nin (SOC) çalışmasının ana "ölçü birimidir".
  • Bir saldırının daha geniş bağlamını ( saldırı hikayesi) görüntüleyin.
  • Tehdidi ve araştırmanın bulgularını araştırmak için gereken tüm bilgilerin "olay dosyalarını" temsil eder.
  • Microsoft Defender XDR tarafından en az bir uyarı içerecek şekilde oluşturulur ve çoğu durumda birçok uyarı içerir.
  • Otomasyon kurallarını, saldırı kesintisini ve playbook'ları kullanarak tehditlere otomatik yanıt serisini tetikleme.
  • Tehditle ilgili tüm etkinlikleri, araştırmasını ve çözümünü kaydedin.

Uyarı:

  • Olayı anlamak ve araştırmak için gerekli olan hikayenin tek tek parçalarını temsil edin.
  • Defender portalında hem iç hem de dış birçok farklı kaynak tarafından oluşturulur.
  • Daha derin analiz gerektiğinde değer katmak için kendi kendine analiz edilebilir.
  • Olası tehdit etkisini en aza indirmek için uyarı düzeyinde otomatik araştırma ve yanıtları tetikleyebilir.

Uyarı kaynakları

Microsoft Defender XDR uyarıları birçok kaynak tarafından oluşturulur:

  • Microsoft Defender XDR'nin parçası olan çözümler

    • Uç Nokta için Microsoft Defender
    • Office 365 için Microsoft Defender
    • Kimlik için Microsoft Defender
    • Bulut Uygulamaları için Microsoft Defender
    • Cloud Apps için Microsoft Defender'a yönelik uygulama idare eklentisi
    • Microsoft Entra ID Koruması
    • Microsoft Veri Kaybı Önleme
  • Microsoft Defender güvenlik portalı ile tümleştirmeleri olan diğer hizmetler

    • Microsoft Sentinel
    • Uyarılarını Microsoft Sentinel'e geçiren Microsoft dışı güvenlik çözümleri
    • Bulut için Microsoft Defender

Microsoft Defender XDR'nin kendisi de uyarılar oluşturur. Microsoft Sentinel birleşik güvenlik operasyonları platformuna eklendiği için, Microsoft Defender XDR'nin bağıntı altyapısı artık Microsoft Sentinel tarafından alınan tüm ham verilere erişebilir. (Bu verileri Gelişmiş tehdit avcılığı tablolarında bulabilirsiniz.) Defender XDR'nin benzersiz bağıntı özellikleri, dijital varlığınızdaki Microsoft dışı tüm çözümler için başka bir veri analizi ve tehdit algılama katmanı sağlar. Bu algılamalar, Microsoft Sentinel'in analiz kuralları tarafından önceden sağlanan uyarılara ek olarak Defender XDR uyarıları oluşturur.

Farklı kaynaklardan gelen uyarılar birlikte görüntülendiğinde, her uyarının kaynağı uyarı kimliğine eklenmiş karakter kümeleriyle gösterilir. Uyarı kaynakları tablosu, uyarı kaynaklarını uyarı kimliği ön ekine eşler.

Olay oluşturma ve uyarı bağıntısı

Önceki bölümde açıklandığı gibi, Microsoft Defender güvenlik portalındaki çeşitli algılama mekanizmaları tarafından uyarılar oluşturulduğunda, Defender XDR bunları aşağıdaki mantığa göre yeni veya mevcut olaylara yerleştirir:

Senaryo Karar
Uyarı, belirli bir zaman çerçevesindeki tüm uyarı kaynakları arasında yeterince benzersizdir. Defender XDR yeni bir olay oluşturur ve uyarıyı buna ekler.
Uyarı, belirli bir zaman dilimi içindeki diğer uyarılarla (aynı kaynaktan veya kaynaklar arasında) yeterince ilişkilidir. Defender XDR, uyarıyı mevcut bir olaya ekler.

Microsoft Defender'ın uyarıları tek bir olayda ilişkilendirmek için kullandığı ölçütler, kendi özel iç bağıntı mantığının bir parçasıdır. Bu mantık, yeni olaya uygun bir ad vermekle de sorumludur.

Olay bağıntısı ve birleştirme

Olaylar oluşturulduğunda Microsoft Defender XDR'nin bağıntı etkinlikleri durmaz. Defender XDR, olaylar arasındaki ve olaylar arasındaki ortak durumları ve ilişkileri algılamaya devam eder. İki veya daha fazla olayın yeterince benzer olduğu belirlendiğinde, Defender XDR olayları tek bir olayda birleştirir.

Defender XDR bu belirlemeyi nasıl yapar?

Defender XDR'nin bağıntı altyapısı, veriler ve saldırı davranışı hakkındaki derin bilgisine bağlı olarak ayrı olaylarda uyarılar arasındaki ortak öğeleri tanıdığında olayları birleştirir. Bu öğelerden bazıları şunlardır:

  • Varlıklar— kullanıcılar, cihazlar, posta kutuları ve diğerleri gibi varlıklar
  • Yapıtlar—dosyalar, işlemler, e-posta gönderenler ve diğerleri
  • Zaman çerçeveleri
  • Çok aşamalı saldırılara işaret eden olay dizileri; örneğin, bir kimlik avı e-posta algılamasını yakından izleyen kötü amaçlı bir e-posta tıklama olayı.

Olaylar ne zaman birleştirilmiyor ?

Bağıntı mantığı iki olayın birleştirilmesi gerektiğini gösterse bile, Defender XDR aşağıdaki koşullarda olayları birleştirmez:

  • Olaylardan birinde "Kapalı" durumu var. Çözülen olaylar yeniden açılmaz.
  • Birleştirme için uygun olan iki olay iki farklı kişiye atanır.
  • İki olayın birleştirilmesi, birleştirilmiş olaydaki varlık sayısını izin verilen üst sınırın üzerine çıkar.
  • İki olay, kuruluş tarafından tanımlanan farklı cihaz gruplarındaki cihazları içerir.
    (Bu koşul varsayılan olarak etkin değildir; etkinleştirilmesi gerekir.)

Olaylar birleştirildiğinde ne olur?

İki veya daha fazla olay birleştirildiğinde, bunları absorbe etmek için yeni bir olay oluşturulmaz. Bunun yerine, bir olayın içeriği diğer olaya geçirilir ve işlemde bırakılan olay otomatik olarak kapatılır. Bırakılan olay artık Microsoft Defender XDR'de görünmüyor veya kullanılamıyor ve buna yapılan tüm başvurular birleştirilmiş olaya yönlendiriliyor. Terk edilmiş, kapatılan olay Azure portalında Microsoft Sentinel'de erişilebilir durumda kalır. Olayların içeriği aşağıdaki yollarla işlenir:

  • Bırakılan olayda yer alan uyarılar bu olaydan kaldırılır ve birleştirilmiş olaya eklenir.
  • Bırakılan olaya uygulanan tüm etiketler olaydan kaldırılır ve birleştirilmiş olaya eklenir.
  • Redirected Bırakılan olaya bir etiket eklenir.
  • Varlıklar (varlıklar vb.) bağlı oldukları uyarıları izler.
  • Terk edilen olayın oluşturulmasına dahil olarak kaydedilen analiz kuralları, birleştirilmiş olayda kaydedilen kurallara eklenir.
  • Şu anda, bırakılan olaydaki açıklamalar ve etkinlik günlüğü girişleri birleştirilmiş olaya taşınmaz .

Terk edilen olayın açıklamalarını ve etkinlik geçmişini görmek için olayı Azure portalında Microsoft Sentinel'de açın. Etkinlik geçmişi, olayın kapatılmasını ve olay birleştirmeyle ilgili uyarıların, etiketlerin ve diğer öğelerin eklenmesini ve kaldırılmasını içerir. Bu etkinlikler Microsoft Defender XDR - uyarı bağıntısı kimliğiyle ilişkilendirilir.

El ile bağıntı

Microsoft Defender XDR zaten gelişmiş bağıntı mekanizmalarını kullanıyor olsa da, belirli bir uyarının belirli bir olaya ait olup olmadığına farklı karar vermek isteyebilirsiniz. Böyle bir durumda, bir uyarının bir olayla bağlantısını kaldırabilir ve başka bir olaya bağlayabilirsiniz. Her uyarı bir olaya ait olmalıdır, böylece uyarıyı mevcut başka bir olaya veya anında oluşturduğunuz yeni bir olaya bağlayabilirsiniz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.

Sonraki adımlar

Olaylar, araştırma ve yanıt hakkında daha fazla bilgi edinin: Microsoft Defender portalında olay yanıtı

Ayrıca bkz.