本文說明 Microsoft Defender 入口網站中的相互關聯引擎如何匯總並相互關聯從產生警示的所有來源收集的警示,並將其傳送至入口網站。 其中說明 Defender 如何從這些警示建立事件,以及如何繼續監視其演進,並在情況需要時將事件合併在一起。 若要深入瞭解警示及其來源,以及事件如何在 Microsoft Defender 入口網站中增加價值,請參閱 Microsoft Defender 入口網站中的事件和警示。
事件建立和警示相互關聯
當 Microsoft Defender 入口網站中的各種偵測機制產生警示時,如 Microsoft Defender 入口網站中的事件和警示中所述,這些警示會根據下列邏輯放入新的或現有的事件:
- 如果警示在特定時間範圍內的所有警示來源中都足夠唯一,Defender 會建立新的事件,並將警示新增至其中。
- 如果警示在特定時間範圍內與來自相同來源或跨來源的其他警示充分相關,Defender 會將警示新增至現有的事件。
Defender 入口網站用來在單一事件中將警示相互關聯的準則,是其專屬內部相互關聯邏輯的一部分。 此邏輯也負責為新事件提供適當的名稱。
Microsoft Sentinel 工作區的警示相互關聯
當 Defender 入口網站設定為將 Microsoft Sentinel 包含為數據源時,每個 Microsoft Sentinel 工作區都會被視為自己的個別數據源。 如果您有多個 Microsoft Sentinel 的工作區,Defender 入口網站可讓您將其中一個工作區設定為主要工作區。 來自主要工作區的警示可以與 Microsoft Defender 全面偵測回應 警示相互關聯,而且可以一起包含在事件中。 任何其他已上線 Microsoft Sentinel 工作區都會被視為次要工作區。 來自這些次要工作區的警示不會與來自 Defender 全面偵測回應 或其他任何 Defender 入口網站數據源的警示相互關聯,包括其他 Microsoft Sentinel 工作區。 Defender 入口網站會在 Microsoft Sentinel 工作區之間保持事件建立和警示相互關聯。 如需詳細資訊,請參閱Defender入口網站中的多個 Microsoft Sentinel工作區。
警示的手動相互關聯
雖然 Microsoft Defender 已經使用進階相互關聯機制,但您可能想要以不同的方式決定指定的警示是否屬於特定事件。 在這種情況下,您可以將警示從一個事件取消連結,並將其連結到另一個事件。 每個警示都必須屬於事件,因此您可以將警示連結至另一個現有的事件,或連結到您在現場建立的新事件。
如需將警示從一個事件移至另一個事件的詳細資訊,請參閱在 Microsoft Defender 入口網站中將警示從一個事件移至另一個事件。
事件相互關聯和合併
建立事件時,Defender 入口網站的相互關聯活動不會停止。 Defender 會持續偵測跨事件的事件和警示之間的共通性和關聯性。 當多個事件判斷為完全相似時,Defender 會將事件合併成單一事件。
合併事件的準則
Defender 的相互關聯引擎會根據其對數據和攻擊行為的深入瞭解,在辨識不同事件中警示之間的常見元素時合併事件。 其中一些元素包括:
- 實體—用戶、裝置、信箱等資產
- 成品—檔案、處理程序、電子郵件寄件者和其他
- 時間範圍
- 指向多階段攻擊的事件序列,例如,緊接在網路釣魚電子郵件偵測之後的惡意電子郵件點選事件。
合併程序的詳細數據
合併兩個或多個事件時, 不會 建立新的事件來加以吸收。 相反地,一個事件 (「來源事件」) 的內容會移轉到另一個事件 (「目標事件」) ,而來源事件會自動關閉。 來源事件不再顯示或無法在 Defender 入口網站中使用,而且任何對它的參考會重新導向至目標事件。 來源事件雖然已關閉,但仍可在 Azure 入口網站 的 Microsoft Sentinel 中存取。
合併方向
事件合併的方向是指哪一個事件是來源,而哪個是目標。 此方向是由 Microsoft Defender 根據自己的內部邏輯來決定,目標是要將資訊保留和存取權最大化。 使用者對此決策沒有任何輸入,即使手動合併事件也一般。
事件內容
事件的內容會以下列方式處理:
- 來源事件中包含的所有警示都會從來源事件中移除,並新增至目標事件。
- 套用至來源事件的任何標籤都會從來源事件中移除,並新增至目標事件。
- 標記
Redirected會新增至來源事件。 - 實體 (資產等 ) 遵循其連結的警示。
- 記錄在建立來源事件時所涉及的分析規則會新增至目標事件中記錄的規則。
- 目前,來源事件中的批注和活動記錄專案 不會 移至目標事件。
若要查看來源事件的批注和活動歷程記錄,請在 Azure 入口網站 的 Microsoft Sentinel 中開啟事件。 活動歷程記錄包括關閉事件,以及新增和移除與事件合併相關的警示、標籤和其他專案。 這些活動會歸屬於身分識別 Microsoft Defender 全面偵測回應 - 警示相互關聯。
事件未合併時
即使相互關聯邏輯指出應該合併兩個事件,Defender 也不會在下列情況下合併事件:
- 其中一個事件的狀態為「已關閉」。 已解決的事件不會重新開啟。
- 來源和目標事件會指派給兩個不同的人員。
- 來源和目標事件有兩個不同的分類 (例如,確判為真和誤) 或兩個不同的判斷 (分類) 的子類別。
- 合併這兩個事件會使目標事件中的實體數目高於允許的最大值。
- 這兩個事件包含組織所定義之不同 裝置群組中的裝置 。
(此條件預設為無效;必須啟用。)
手動合併事件 (預覽)
如果兩個事件應該合併,但因為 上一節所列的任何原因而未合併,您現在可以在修正基礎原因之後手動合併事件。
例如,如果事件因為指派給兩個不同的人員而未合併,您可以移除其中一個事件的指派,然後手動合併事件。
將事件合併在一起,最好是將警示從一個事件取消連結,並將其連結至另一個事件,因為所有事件資訊 (例如,會保留活動記錄) 。
目前,一次可手動合併五個事件。
管理手動合併的其他規則與自動合併相同。 請參閱上述 合併程序的詳細 數據。
如需如何手動合併事件的指示和詳細資訊,請參閱 Microsoft Defender 入口網站中的手動合併事件。
後續步驟
若要深入瞭解事件的優先順序和管理,請參閱下列文章:
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。