Riasztások korrelációja és incidensek egyesítése a Microsoft Defender portálon
Ez a cikk azt ismerteti, hogy a Microsoft Defender portál korrelációs motorja hogyan összesíti és korrelálja az ezeket előállító összes forrásból gyűjtött riasztásokat, és hogyan küldi el őket a portálnak. Ismerteti, hogyan hozza létre a Defender az incidenseket ezekből a riasztásokból, és hogyan figyeli tovább fejlődésüket, egyesítve az incidenseket, ha a helyzet indokolt. Ha többet szeretne megtudni a riasztásokról és forrásaikról, valamint arról, hogy az incidensek hogyan növelik az értéket a Microsoft Defender portálon, tekintse meg az Incidensek és riasztások az Microsoft Defender portálon című cikket.
Incidensek létrehozása és riasztások korrelációja
Ha a riasztásokat a Microsoft Defender portál különböző észlelési mechanizmusai hozzák létre a Microsoft Defender portál Incidensek és riasztások szakaszában leírtak szerint, a rendszer az alábbi logika szerint helyezi őket új vagy meglévő incidensekbe:
- Ha a riasztás kellően egyedi az összes riasztási forrásban egy adott időkereten belül, a Defender létrehoz egy új incidenst, és hozzáadja a riasztást.
- Ha a riasztás egy adott időkereten belül megfelelően kapcsolódik más – azonos forrásból származó vagy több forrásból származó – riasztáshoz, a Defender hozzáadja a riasztást egy meglévő incidenshez.
A Defender portál által a riasztások egyetlen incidensben való korrelálásához használt feltételek a saját belső korrelációs logikájának részei. Ez a logika felelős azért is, hogy megfelelő nevet adjon az új incidensnek.
Riasztások manuális korrelációja
Bár Microsoft Defender már fejlett korrelációs mechanizmusokat használ, érdemes lehet másként eldönteni, hogy egy adott riasztás egy adott incidenshez tartozik-e, vagy sem. Ilyen esetben leválaszthat egy riasztást az egyik incidensről, és összekapcsolhatja azt egy másikhoz. Minden riasztásnak egy incidenshez kell tartoznia, így összekapcsolhatja a riasztást egy másik meglévő incidenssel, vagy egy helyszíni új incidenssel.
A riasztások egyik incidensből a másikba való áthelyezéséről további információt a riasztások egyik incidensből a másikba való áthelyezését ismertető cikkben talál a Microsoft Defender portálon.
Incidensek korrelációja és egyesítése
A Defender portál korrelációs tevékenységei nem állnak le incidensek létrehozásakor. A Defender továbbra is észleli az incidensek és a riasztások közötti gyakoriságokat és kapcsolatokat az incidensek között. Ha két vagy több incidens megfelelőnek van ítélve, a Defender egyetlen incidensbe egyesíti az incidenseket.
Az incidensek egyesítésének feltételei
A Defender korrelációs motorja akkor egyesíti az incidenseket, amikor felismeri a riasztások közötti gyakori elemeket a különböző incidensekben, az adatok részletes ismerete és a támadási viselkedés alapján. Néhány ilyen elem:
- Entitások – eszközök, például felhasználók, eszközök, postaládák és mások
- Összetevők – fájlok, folyamatok, e-mail feladók és mások
- Időkeretek
- Többlépcsős támadásokra mutató eseménysorozatok – például egy rosszindulatú e-mail-kattintási esemény, amely szorosan követi az adathalász e-mailek észlelését.
Az egyesítési folyamat részletei
Két vagy több incidens egyesítésekor a rendszer nem hoz létre új incidenst az elnyelésükhöz. Ehelyett az egyik incidens tartalma (a "forrásesemény") átkerül a másik incidensbe (a "céleseménybe"), és a forrásesemény automatikusan lezáródik. A forrásesemény már nem látható vagy nem érhető el a Defender portálon, és az arra mutató hivatkozásokat a rendszer átirányítja a céleseményre. A forrásesemény ugyan lezárult, de a Azure Portal Microsoft Sentinel elérhető marad.
Egyesítés iránya
Az incidensegyesítés iránya arra utal, hogy melyik incidens a forrás, és melyik a cél. Ezt az irányt a Microsoft Defender határozza meg a saját belső logikája alapján, azzal a céllal, hogy maximalizálja az információmegőrzést és a hozzáférést. A felhasználó nem rendelkezik semmilyen bemenettel ehhez a döntéshez.
Incidens tartalma
Az incidensek tartalma a következő módokon kezelhető:
- A forráseseményben található összes riasztás el lesz távolítva a forráseseményből, és hozzáadódik a céleseményhez.
- A forráseseményre alkalmazott címkék el lesznek távolítva a forráseseményből, és hozzáadódnak a céleseményhez.
- A rendszer hozzáad egy
Redirected
címkét a forráseseményhez. - Az entitások (objektumok stb.) a hozzájuk kapcsolódó riasztásokat követik.
- A forrásesemény létrehozása során rögzített elemzési szabályok hozzá lesznek adva a céleseményben rögzített szabályokhoz.
- A forrásesemény megjegyzései és tevékenységnapló-bejegyzései jelenleg nem kerülnek át a céleseménybe.
A forrás incidens megjegyzéseinek és tevékenységelőzményeinek megtekintéséhez nyissa meg az incidenst a Microsoft Sentinel a Azure Portal. A tevékenységelőzmények közé tartozik az incidens lezárása, valamint az incidensegyesítéssel kapcsolatos riasztások, címkék és egyéb elemek hozzáadása és eltávolítása. Ezek a tevékenységek az identitás-Microsoft Defender XDR – riasztások korrelációjának tulajdoníthatók.
Ha az incidensek nincsenek egyesítve
Még ha a korrelációs logika azt is jelzi, hogy két incidenst kell egyesíteni, a Defender nem egyesíti az incidenseket a következő körülmények között:
- Az egyik incidens állapota "Lezárt". A megoldott incidensek nem lesznek újra megnyitva.
- A forrás- és a célesemények két különböző személyhez vannak rendelve.
- A forrás- és a célesemények két különböző besorolással rendelkeznek (például valódi pozitív és hamis pozitív).
- A két incidens egyesítésével a céleseményben lévő entitások száma a megengedett maximum fölé emelkedne.
- A két incidens a szervezet által meghatározott különböző eszközcsoportokban lévő eszközöket tartalmazza.
(Ez a feltétel alapértelmezés szerint nincs érvényben, engedélyezni kell.)
Következő lépések
Az incidensek rangsorolásával és kezelésével kapcsolatos további információkért tekintse meg a következő cikkeket:
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.