Aracılığıyla paylaş

Microsoft Defender portalında uyarı bağıntısı ve olay birleştirme

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, Microsoft Defender portalındaki bağıntı altyapısının bunları üreten ve portala gönderen tüm kaynaklardan toplanan uyarıları nasıl topladığı ve ilişkilendirildiği açıklanır. Defender'ın bu uyarılardan olayları nasıl oluşturduğunu ve durumun gerekli olması durumunda olayları bir araya getirerek bunların evrimini izlemeye nasıl devam etmesi açıklanmaktadır. Uyarılar ve kaynakları ve olayların Microsoft Defender portalında nasıl değer katacakları hakkında daha fazla bilgi edinmek için bkz. Microsoft Defender portalında olaylar ve uyarılar.

Olay oluşturma ve uyarı bağıntısı

uyarılar, Microsoft Defender portalındaki olaylar ve uyarılar bölümünde açıklandığı gibi Microsoft Defender portalındaki çeşitli algılama mekanizmaları tarafından oluşturulduğunda, aşağıdaki mantığa göre yeni veya mevcut olaylara yerleştirilir:

  • Uyarı belirli bir zaman çerçevesindeki tüm uyarı kaynakları arasında yeterince benzersizse, Defender yeni bir olay oluşturur ve uyarıyı buna ekler.
  • Uyarı, belirli bir zaman dilimi içinde aynı kaynaktan veya kaynaklardan gelen diğer uyarılarla yeterince ilgiliyse, Defender uyarıyı mevcut bir olaya ekler.

Defender portalı tarafından uyarıları tek bir olayda ilişkilendirmek için kullanılan ölçütler, özel, iç bağıntı mantığının bir parçasıdır. Bu mantık, yeni olaya uygun bir ad vermekle de sorumludur.

Uyarıların el ile bağıntısı

Microsoft Defender zaten gelişmiş bağıntı mekanizmaları kullanıyor olsa da, belirli bir uyarının belirli bir olaya ait olup olmadığına farklı karar vermek isteyebilirsiniz. Böyle bir durumda, bir uyarının bir olayla bağlantısını kaldırabilir ve başka bir olaya bağlayabilirsiniz. Her uyarı bir olaya ait olmalıdır, böylece uyarıyı mevcut başka bir olaya veya anında oluşturduğunuz yeni bir olaya bağlayabilirsiniz.

Bir uyarıyı bir olaydan diğerine taşıma hakkında daha fazla bilgi için bkz. Microsoft Defender portalında uyarıları bir olaydan diğerine taşıma.

Olay bağıntısı ve birleştirme

Olaylar oluşturulduğunda Defender portalının bağıntı etkinlikleri durmaz. Defender, olaylar ve uyarılar arasındaki ortak durumları ve ilişkileri algılamaya devam eder. İki veya daha fazla olayın yeterince benzer olduğu belirlendiğinde, Defender olayları tek bir olayda birleştirir.

Olayları birleştirme ölçütleri

Defender'ın bağıntı altyapısı, veriler ve saldırı davranışı hakkında derin bilgisine bağlı olarak ayrı olaylarda uyarılar arasındaki ortak öğeleri tanıdığında olayları birleştirir. Bu öğelerden bazıları şunlardır:

  • Varlıklar— kullanıcılar, cihazlar, posta kutuları ve diğerleri gibi varlıklar
  • Yapıtlar—dosyalar, işlemler, e-posta gönderenler ve diğerleri
  • Zaman çerçeveleri
  • Çok aşamalı saldırılara işaret eden olay dizileri; örneğin, bir kimlik avı e-posta algılamasını yakından izleyen kötü amaçlı bir e-posta tıklama olayı.

Birleştirme işleminin ayrıntıları

İki veya daha fazla olay birleştirildiğinde, bunları absorbe etmek için yeni bir olay oluşturulmaz . Bunun yerine, bir olayın içeriği ( "kaynak olay"), diğer olaya ( hedef olay) geçirilir ve kaynak olay otomatik olarak kapatılır. Kaynak olay artık Defender portalında görünür veya kullanılamaz ve buna yapılan tüm başvurular hedef olaya yönlendirilir. Kaynak olay kapatılsa da Azure portal Microsoft Sentinel erişilebilir durumda kalır.

Birleştirme yönü

Olay birleştirmenin yönü, hangi olayın kaynak ve hangi hedef olduğunu belirtir. Bu yön, bilgi saklama ve erişimi en üst düzeye çıkarma hedefiyle kendi iç mantığına göre Microsoft Defender tarafından belirlenir. Kullanıcının bu karara herhangi bir girişi yoktur.

Olay içeriği

Olayların içeriği aşağıdaki yollarla işlenir:

  • Kaynak olayda yer alan tüm uyarılar kaynak olaydan kaldırılır ve hedef olaya eklenir.
  • Kaynak olaya uygulanan tüm etiketler kaynak olaydan kaldırılır ve hedef olaya eklenir.
  • Redirected Kaynak olaya bir etiket eklenir.
  • Varlıklar (varlıklar vb.) bağlı oldukları uyarıları izler.
  • Kaynak olayın oluşturulmasına dahil olarak kaydedilen analiz kuralları, hedef olaya kaydedilen kurallara eklenir.
  • Şu anda, kaynak olaydaki açıklamalar ve etkinlik günlüğü girişleri hedef olaya taşınmaz .

Kaynak olayın açıklamalarını ve etkinlik geçmişini görmek için olayı Azure portal Microsoft Sentinel açın. Etkinlik geçmişi, olayın kapatılmasını ve olay birleştirmeyle ilgili uyarıların, etiketlerin ve diğer öğelerin eklenmesini ve kaldırılmasını içerir. Bu etkinlikler kimlik Microsoft Defender XDR - uyarı bağıntısına atfedilir.

Olaylar birleştirildiğinde

Bağıntı mantığı iki olayın birleştirilmesi gerektiğini gösterse bile, Defender aşağıdaki koşullarda olayları birleştirmez:

  • Olaylardan birinde "Kapalı" durumu var. Çözülen olaylar yeniden açılmaz.
  • Kaynak ve hedef olaylar iki farklı kişiye atanır.
  • Kaynak ve hedef olayların iki farklı sınıflandırması vardır (örneğin, gerçek pozitif ve yanlış pozitif).
  • İki olayın birleştirilmesi hedef olaydaki varlık sayısını izin verilen üst sınırın üzerine çıkar.
  • İki olay, kuruluş tarafından tanımlanan farklı cihaz gruplarındaki cihazları içerir.
    (Bu koşul varsayılan olarak etkin değildir; etkinleştirilmesi gerekir.)

Sonraki adımlar

Olayları önceliklendirme ve yönetme hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.

Ayrıca bkz.