Microsoft Defender 全面偵測回應 中的警示、事件和相互關聯
在 Microsoft Defender 全面偵測回應 中,警示是來自各種威脅偵測活動所產生來源集合的訊號。 這些訊號表示您的環境中發生惡意或可疑事件。 警示通常可以是更廣泛、複雜攻擊案例的一部分,而相關的警示會匯總並相互關聯,以形成代表這些攻擊劇本 的事件 。
事件 提供攻擊的完整概觀。 Microsoft Defender 全面偵測回應 的演算法會自動將來自所有Microsoft安全性與合規性解決方案的訊號 (警示) ,以及透過雲端 Microsoft Sentinel 和 Microsoft Defender 的大量外部解決方案相互關聯。 Defender 全面偵測回應 將多個訊號識別為屬於相同的攻擊案例,使用 AI 持續監視其遙測來源,並將更多辨識項新增至已開啟的事件。
事件也可作為「案例檔案」,為您提供管理及記錄調查的平臺。 如需有關事件功能的詳細資訊,請參閱 Microsoft Defender 入口網站中的事件回應。
重要事項
Microsoft Sentinel 現在已在 Microsoft Defender 入口網站的Microsoft統一安全性作業平臺內正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
以下是事件和警示的主要屬性摘要,以及兩者之間的差異:
事件:
- 這是資訊安全作業中心 (SOC) 工作的主要「測量單位」。
- 顯示攻擊的更廣泛內容— 攻擊案例。
- 代表調查威脅和調查結果所需的所有資訊的「案例檔案」。
- 由 Microsoft Defender 全面偵測回應 建立,以包含至少一個警示,而且在許多情況下會包含許多警示。
- 使用 自動化規則、 攻擊中斷和 劇本,觸發對威脅的自動一系列回應。
- 記錄與威脅及其調查和解決相關的所有活動。
警報:
- 代表了解和調查事件所需的個別故事片段。
- 由 Defender 入口網站內部和外部的許多不同來源所建立。
- 當需要更深入的分析時,可以自行分析以增加價值。
- 可在警示層級觸發 自動調查和回應 ,以將潛在威脅影響降到最低。
警示來源
Microsoft Defender 全面偵測回應 警示是由許多來源產生:
屬於 Microsoft Defender 全面偵測回應一部分的解決方案
- 適用於端點的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft 雲端 App 安全性
- 適用于雲端應用程式的 Microsoft Defender 應用程式控管附加元件
- Microsoft Entra ID Protection
- Microsoft數據外洩防護
與 Microsoft Defender 安全性入口網站整合的其他服務
- Microsoft Sentinel
- 傳遞警示給 Microsoft Sentinel的非Microsoft安全性解決方案
- 適用於雲端的 Microsoft Defender
Microsoft Defender 全面偵測回應 本身也會建立警示。 Microsoft Sentinel 上線至統一安全性作業平台之後,Microsoft Defender 全面偵測回應 的相互關聯引擎現在可以存取 Microsoft Sentinel 所擷取的所有原始數據。 (您可以在進階搜捕數據表中找到此資料。) Defender 全面偵測回應 的獨特相互關聯功能可為您數字資產中的所有非Microsoft解決方案提供另一層數據分析和威脅偵測。 除了 Microsoft Sentinel 分析規則已提供的警示之外,這些偵測還會產生 Defender 全面偵測回應 警示。
當來自不同來源的警示一起顯示時,每個警示的來源都會以警示標識符前面加上的字元集來表示。 [ 警示來源] 數據表會將警示來源對應至警示標識符前置詞。
事件建立和警示相互關聯
當 Microsoft Defender 安全性入口網站中的各種偵測機制產生警示時,如上一節所述,Defender 全面偵測回應 根據下列邏輯,將警示放入新的或現有的事件中:
| 案例 | Decision |
|---|---|
| 在特定時間範圍內,警示在所有警示來源中都有足夠的唯一性。 | Defender 全面偵測回應 會建立新的事件,並將警示新增至其中。 |
| 在特定時間範圍內,警示就足以與來自相同來源或跨來源的其他警示相關。 | Defender 全面偵測回應 會將警示新增至現有的事件。 |
在單一事件中,Microsoft Defender 用來將警示相互關聯的準則是其專屬內部相互關聯邏輯的一部分。 此邏輯也負責為新事件提供適當的名稱。
事件相互關聯和合併
Microsoft Defender 全面偵測回應的相互關聯活動不會在事件建立時停止。 Defender 全面偵測回應 會繼續偵測事件之間的共通性和關聯性,以及跨事件的警示。 當兩個或多個事件判斷為完全相似時,Defender 全面偵測回應 將事件合併成單一事件。
Defender 全面偵測回應 如何進行判斷?
Defender 全面偵測回應 的相互關聯引擎會根據其對數據和攻擊行為的深入瞭解,在辨識不同事件中警示之間的常見元素時合併事件。 其中一些元素包括:
- 實體—用戶、裝置、信箱等資產
- 成品—檔案、處理程序、電子郵件寄件者和其他
- 時間範圍
- 指向多階段攻擊的事件序列,例如,緊接在網路釣魚電子郵件偵測之後的惡意電子郵件點選事件。
何時 不會 合併事件?
即使相互關聯邏輯指出應該合併兩個事件,Defender 全面偵測回應 也不會在下列情況下合併事件:
- 其中一個事件的狀態為「已關閉」。 已解決的事件不會重新開啟。
- 這兩個符合合併資格的事件會指派給兩個不同的人員。
- 合併這兩個事件會使合併事件中的實體數目高於每個事件允許的50個實體上限。
- 這兩個事件包含組織所定義之不同 裝置群組中的裝置 。
(此條件預設為無效;必須啟用。)
合併事件時會發生什麼事?
合併兩個或多個事件時,不會建立新的事件來加以吸收。 相反地,一個事件的內容會移轉到另一個事件,而在程式中放棄的事件會自動關閉。 已放棄的事件已不再顯示或無法在 Microsoft Defender 全面偵測回應 中使用,而且任何對該事件的參考會重新導向至合併事件。 在 Azure 入口網站 中,已放棄的已關閉事件仍可在 Microsoft Sentinel 中存取。 事件的內容會以下列方式處理:
- 已放棄事件中包含的警示會從中移除,並新增至合併事件。
- 套用至已放棄事件的任何標記都會從中移除,並新增至合併事件。
- 標記
Redirected會新增至已放棄的事件。 - 實體 (資產等 ) 遵循其連結的警示。
- 記錄為參與建立已放棄事件的分析規則會新增至合併事件中記錄的規則。
- 目前,已放棄事件中的批注和活動記錄專案 不會 移至合併事件。
若要查看已放棄事件的批注和活動歷程記錄,請在 Azure 入口網站 的 Microsoft Sentinel 中開啟事件。 活動歷程記錄包括關閉事件,以及新增和移除與事件合併相關的警示、標籤和其他專案。 這些活動會歸屬於身分識別 Microsoft Defender 全面偵測回應 - 警示相互關聯。
手動相互關聯
雖然 Microsoft Defender 全面偵測回應 已經使用進階相互關聯機制,但您可能想要以不同的方式決定指定的警示是否屬於特定事件。 在這種情況下,您可以將警示從一個事件取消連結,並將其連結到另一個事件。 每個警示都必須屬於事件,因此您可以將警示連結至另一個現有的事件,或連結到您在現場建立的新事件。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。
後續步驟
深入瞭解事件、調查和回應:Microsoft Defender 入口網站中的事件回應