适用于:
注意
使用 MS Graph 安全 API 试用我们的新 API。 有关详细信息,请查看: 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn。
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
多个复杂的恶意事件、属性和上下文信息构成高级网络安全攻击。 识别和决定哪些活动符合可疑条件可能是一项具有挑战性的任务。 了解特定于行业的已知属性和异常活动是了解何时将观察到的行为称为可疑行为的基础。
借助Microsoft Defender XDR,可以创建自定义威胁警报,以帮助跟踪组织中可能的攻击活动。 可以标记可疑事件以拼凑线索,并可能阻止攻击链。 这些自定义威胁警报将仅显示在组织中,并标记你设置它要跟踪的事件。
创建自定义威胁警报之前,请务必了解警报定义背后的概念和入侵指标 (IOC) 及其之间的关系。
警报定义
警报定义是上下文属性,可以共同用于识别可能的网络安全攻击的早期线索。 这些指标通常是攻击者为成功实现攻击目标而采取的一系列活动、特征和作的组合。 监视这些属性组合对于获取攻击的有利点并可能在攻击者达到目标之前干扰事件链至关重要。
国际奥委会) (妥协指标
IOC 是个别已知的恶意事件,指示网络或设备已遭到入侵。 与警报定义不同,这些指标被视为违规的证据。 他们经常在攻击已经实施并达到目标后看到,如外泄。 在法医调查期间,跟踪 IOC 也很重要。 尽管它可能无法干预攻击链,但收集这些指标对于为将来可能的攻击创建更好的防御可能很有用。
警报定义与 IOC 之间的关系
在Microsoft Defender XDR和Microsoft Defender for Endpoint的上下文中,警报定义是 IOC 的容器,并定义警报,包括为特定 IOC 匹配项引发的元数据。 各种元数据作为警报定义的一部分提供。 元数据(如攻击的警报定义名称、严重性和说明)与其他选项一起提供。
每个 IOC 根据其类型、值和作定义具体的检测逻辑,这些逻辑决定了匹配方式。 它绑定到特定的警报定义,该定义定义如何在Microsoft Defender XDR控制台上将检测显示为警报。
下面是 IOC 的示例:
- 类型:Sha1
- 值:92cfceb39d57d914ed8b14d0e37643de0797ae56
- 作:等于
IOC 与警报定义具有多对一关系,因此警报定义可以具有许多与之对应的 IOC。
相关主题
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。