Výstrahy, incidenty a korelace v Microsoft Defender XDR

V Microsoft Defender XDR jsou výstrahy signály z kolekce zdrojů, které jsou výsledkem různých aktivit detekce hrozeb. Tyto signály označují výskyt škodlivých nebo podezřelých událostí ve vašem prostředí. Výstrahy můžou být často součástí širšího složitého scénáře útoku a související výstrahy se agregují a vzájemně korelují a vytvářejí incidenty , které představují tyto scénáře útoku.

Incidenty poskytují úplný přehled o útoku. Algoritmy Microsoft Defender XDR automaticky korelují signály (výstrahy) ze všech řešení microsoftu pro zabezpečení a dodržování předpisů a také z obrovského počtu externích řešení prostřednictvím Microsoft Sentinel a Microsoft Defender pro cloud. Defender XDR identifikuje několik signálů, které patří do stejného scénáře útoku, a používá AI k průběžnému monitorování zdrojů telemetrie a přidávání dalších důkazů k již otevřeným incidentům.

Incidenty také fungují jako "soubory případů", což vám poskytuje platformu pro správu a dokumentaci vyšetřování. Další informace o funkcích incidentů v tomto ohledu najdete v tématu Reakce na incidenty na portálu Microsoft Defender.

Tady je souhrn hlavních atributů incidentů a výstrah a rozdílů mezi nimi:

Incidenty:

• Jsou hlavní "měrnou jednotkou" práce služby Security Operations Center (SOC).
• Zobrazení širšího kontextu útoku – příběhu útoku
• Představují "soubory případu" všech informací potřebných k prošetření hrozby a zjištění vyšetřování.
• Jsou vytvořené Microsoft Defender XDR tak, aby obsahovaly aspoň jednu výstrahu a v mnoha případech obsahují mnoho výstrah.
• Aktivujte automatickou řadu reakcí na hrozbu pomocí pravidel automatizace, přerušení útoku a playbooků.
• Zaznamenejte všechny aktivity související s hrozbou a jejím šetřením a řešením.

Výstrahy:

• Představuje jednotlivé části příběhu, které jsou nezbytné pro pochopení a prošetření incidentu.
• Vytváří je mnoho různých zdrojů interních i externích na portálu Defender.
• Pokud je potřeba hlubší analýza, můžete je analyzovat sami, aby se přidala hodnota.
• Může aktivovat automatické šetření a odpovědi na úrovni upozornění, aby se minimalizoval potenciální dopad na hrozby.

Zdroje upozornění

Microsoft Defender XDR výstrahy generuje mnoho zdrojů:

• Řešení, která jsou součástí Microsoft Defender XDR

  • Microsoft Defender for Endpoint
  • Microsoft Defender pro Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Doplněk zásad správného řízení aplikací pro Microsoft Defender for Cloud Apps
  • Microsoft Entra ID Protection
  • Microsoft Data Loss Prevention

• Další služby, které mají integraci s portálem zabezpečení Microsoft Defender

  • Microsoft Sentinel
  • Řešení zabezpečení jiných společností než Microsoft, která předávají výstrahy Microsoft Sentinel
  • Microsoft Defender for Cloud

Microsoft Defender XDR sám také vytváří výstrahy. Díky Microsoft Sentinel nasazené na platformě sjednocených operací zabezpečení má teď korelační modul Microsoft Defender XDR přístup ke všem nezpracovaným datům ingestovaným Microsoft Sentinel. (Tato data najdete v tabulkách rozšířeného proaktivního vyhledávání.) jedinečné možnosti korelace Defender XDR poskytují další vrstvu analýzy dat a detekce hrozeb pro všechna řešení od jiných společností než Microsoft ve vašich digitálních aktivech. Tyto detekce vytvářejí Defender XDR výstrahy a také výstrahy, které už poskytují analytická pravidla Microsoft Sentinel.

Když se výstrahy z různých zdrojů zobrazují společně, zdroj každé výstrahy je označen sadami znaků, které jsou před sebou. Tabulka Zdroje výstrah mapuje zdroje upozornění na předponu ID výstrahy.

Vytvoření incidentu a korelace upozornění

Pokud jsou výstrahy generovány různými mechanismy detekce na portálu zabezpečení Microsoft Defender, jak je popsáno v předchozí části, Defender XDR je umístí do nových nebo existujících incidentů podle následující logiky:

Kritéria, Microsoft Defender používají ke vzájemné korelaci výstrah v jednom incidentu, jsou součástí vlastní interní korelační logiky. Tato logika je také zodpovědná za poskytnutí vhodného názvu nového incidentu.

Korelace a slučování incidentů

Microsoft Defender XDR korelační aktivity se při vytváření incidentů nezastaví. Defender XDR dál detekuje společné rysy a vztahy mezi incidenty a mezi výstrahami napříč incidenty. Pokud jsou dva nebo více incidentů dostatečně podobné, Defender XDR incidenty sloučí do jednoho incidentu.

Jak Defender XDR toto rozhodnutí provést?

Modul korelace Defender XDR slučuje incidenty, když rozpozná společné prvky mezi výstrahami v samostatných incidentech, a to na základě hluboké znalosti dat a chování útoku. Mezi tyto prvky patří:

• Entity – prostředky, jako jsou uživatelé, zařízení, poštovní schránky a další
• Artefakty – soubory, procesy, odesílatelé e-mailů a další
• Časové rámce
• Posloupnosti událostí, které ukazují na útoky s více fázemi – například škodlivá událost kliknutí na e-mail, která úzce sleduje detekci phishingových e-mailů.

Kdy se incidenty neslučují ?

I když korelační logika naznačuje, že by se měly sloučit dva incidenty, Defender XDR incidenty nesloučí za následujících okolností:

• Jeden z incidentů má stav Uzavřeno. Incidenty, které jsou vyřešené, se znovu neotevřejí.
• Dva incidenty, které mají nárok na sloučení, jsou přiřazené dvěma různým lidem.
• Sloučení těchto dvou incidentů by zvýšilo počet entit ve sloučených incidentech nad maximální povolených 50 entit na incident.
• Oba incidenty obsahují zařízení v různých skupinách zařízení definovaných organizací.
  (Tato podmínka není ve výchozím nastavení platná, musí být povolená.)

Co se stane, když se incidenty sloučí?

Při sloučení dvou nebo více incidentů se nevytvořil nový incident, který by je absorboval. Místo toho se obsah jednoho incidentu migruje do druhého incidentu a incident opuštěný v procesu se automaticky uzavře. Opuštěný incident už není viditelný ani dostupný v Microsoft Defender XDR a všechny odkazy na něj se přesměrují na konsolidovaný incident. Opuštěný, uzavřený incident zůstává přístupný v Microsoft Sentinel v Azure Portal. Obsah incidentů se zpracovává následujícími způsoby:

• Výstrahy obsažené v opuštěném incidentu se z něj odeberou a přidají se do konsolidovaného incidentu.
• Všechny značky použité na opuštěný incident se z něj odeberou a přidají se do konsolidovaného incidentu.
• Do Redirected opuštěného incidentu se přidá značka.
• Entity (prostředky atd.) sledují výstrahy, se které jsou propojené.
• Analytická pravidla zaznamenaná jako zapojená do vytváření opuštěného incidentu se přidají do pravidel zaznamenaných v konsolidovaném incidentu.
• V současné době se komentáře a položky protokolu aktivit v opuštěném incidentu do konsolidovaného incidentu nepřesouvají.

Pokud chcete zobrazit komentáře a historii aktivit opuštěného incidentu, otevřete incident v Microsoft Sentinel v Azure Portal. Historie aktivit zahrnuje ukončení incidentu a přidání a odebrání výstrah, značek a dalších položek souvisejících se sloučením incidentu. Tyto aktivity jsou přiřazeny identitě Microsoft Defender XDR – korelaci výstrah.

Ruční korelace

I když Microsoft Defender XDR už používá pokročilé mechanismy korelace, můžete se rozhodnout jinak, jestli daná výstraha patří k určitému incidentu. V takovém případě můžete zrušit propojení výstrahy s jedním incidentem a propojit ho s jiným. Každá výstraha musí patřit incidentu, takže můžete buď propojit výstrahu s jiným existujícím incidentem, nebo s novým incidentem, který vytvoříte na místě.

Další kroky

Další informace o incidentech, vyšetřování a reakcích: Reakce na incidenty na portálu Microsoft Defender

Viz také

• Síla incidentů v Microsoft Defender XDR
• Vnitřní Microsoft Defender XDR: Korelace a konsolidace útoků do incidentů