Warnungen, Vorfälle und Korrelationen in Microsoft Defender XDR

In Microsoft Defender XDR sind Warnungen Signale aus einer Sammlung von Quellen, die sich aus verschiedenen Aktivitäten zur Bedrohungserkennung ergeben. Diese Signale weisen auf das Auftreten schädlicher oder verdächtiger Ereignisse in Ihrer Umgebung hin. Warnungen können häufig Teil einer umfassenderen, komplexen Angriffsgeschichte sein, und verwandte Warnungen werden aggregiert und korreliert, um Incidents zu bilden, die diese Angriffsgeschichten darstellen.

Incidents bieten das vollständige Bild eines Angriffs. Microsoft Defender XDR-Algorithmen korrelieren automatisch Signale (Warnungen) von allen Sicherheits- und Compliancelösungen von Microsoft sowie von einer großen Anzahl externer Lösungen über Microsoft Sentinel und Microsoft Defender for Cloud. Defender XDR identifiziert mehrere Signale, die zum gleichen Angriffsverlauf gehören, und verwendet KI, um seine Telemetriequellen kontinuierlich zu überwachen und bereits geöffneten Vorfällen weitere Beweise hinzuzufügen.

Incidents fungieren auch als "Falldateien" und bieten Ihnen eine Plattform zum Verwalten und Dokumentieren Ihrer Untersuchungen. Weitere Informationen zur Funktionalität von Incidents in dieser Hinsicht finden Sie unter Reaktion auf Vorfälle im Microsoft Defender-Portal.

Wichtig

Microsoft Sentinel ist jetzt allgemein auf der Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Im Folgenden finden Sie eine Zusammenfassung der Standard Attribute von Incidents und Warnungen sowie die Unterschiede zwischen ihnen:

Vorfälle:

  • Sind die Standard "Maßeinheit" der Arbeit des Security Operations Center (SOC).
  • Zeigen Sie den breiteren Kontext eines Angriffs an– die Angriffsgeschichte.
  • Stellen Sie "Falldateien" mit allen Informationen dar, die zur Untersuchung der Bedrohung und der Ergebnisse der Untersuchung erforderlich sind.
  • Werden von Microsoft Defender XDR erstellt, um mindestens eine Warnung und in vielen Fällen viele Warnungen zu enthalten.
  • Auslösen einer automatischen Reihe von Reaktionen auf die Bedrohung mithilfe von Automatisierungsregeln, Angriffsunterbrechungen und Playbooks.
  • Zeichnen Sie alle Aktivitäten im Zusammenhang mit der Bedrohung und deren Untersuchung und Lösung auf.

Alarmsignale:

  • Stellen Sie die einzelnen Teile der Geschichte dar, die für das Verständnis und die Untersuchung des Vorfalls unerlässlich sind.
  • Werden von vielen verschiedenen Quellen sowohl intern als auch extern für das Defender-Portal erstellt.
  • Kann selbst analysiert werden, um einen Mehrwert zu erreichen, wenn eine tiefere Analyse erforderlich ist.
  • Kann automatische Untersuchungen und Reaktionen auf Warnungsebene auslösen, um die potenziellen Auswirkungen auf Bedrohungen zu minimieren.

Warnungsquellen

Microsoft Defender XDR Warnungen werden von vielen Quellen generiert:

  • Lösungen, die Teil von Microsoft Defender XDR sind

    • Microsoft Defender für Endpunkt
    • Microsoft Defender für Office 365
    • Microsoft Defender for Identity
    • Microsoft Defender for Cloud Apps
    • Das App-Governance-Add-On für Microsoft Defender for Cloud Apps
    • Microsoft Entra ID Protection
    • Microsoft Data Loss Prevention
  • Andere Dienste, die über Integrationen mit dem Microsoft Defender-Sicherheitsportal verfügen

    • Microsoft Sentinel
    • Nicht von Microsoft stammende Sicherheitslösungen, die ihre Warnungen an Microsoft Sentinel übergeben
    • Microsoft Defender für Cloud

Microsoft Defender XDR selbst erstellt auch Warnungen. Da Microsoft Sentinel in die Unified Security Operations-Plattform integriert ist, hat die Korrelations-Engine von Microsoft Defender XDR jetzt Zugriff auf alle von Microsoft Sentinel erfassten Rohdaten. (Diese Daten finden Sie unter Erweiterte Suchtabellen.) Defender XDR einzigartige Korrelationsfunktionen bieten eine weitere Ebene der Datenanalyse und Bedrohungserkennung für alle Nicht-Microsoft-Lösungen in Ihrem digitalen Bestand. Diese Erkennungen erzeugen zusätzlich zu den Warnungen, die bereits von den Analyseregeln von Microsoft Sentinel bereitgestellt werden, Defender XDR Warnungen.

Wenn Warnungen aus verschiedenen Quellen zusammen angezeigt werden, wird die Quelle jeder Warnung durch Zeichensätze angegeben, die der Warnungs-ID vorangestellt sind. In der Tabelle Warnungsquellen werden die Warnungsquellen dem Präfix der Warnungs-ID zugeordnet.

Incidenterstellung und Warnungskorrelation

Wenn Warnungen von den verschiedenen Erkennungsmechanismen im Microsoft Defender Sicherheitsportal generiert werden, wie im vorherigen Abschnitt beschrieben, platziert Defender XDR sie gemäß der folgenden Logik in neuen oder vorhandenen Vorfällen:

Szenario Decision
Die Warnung ist in allen Warnungsquellen innerhalb eines bestimmten Zeitrahmens ausreichend eindeutig. Defender XDR erstellt einen neuen Incident und fügt die Warnung hinzu.
Die Warnung ist in ausreichendem Zusammenhang mit anderen Warnungen – aus derselben Quelle oder quellenübergreifend – innerhalb eines bestimmten Zeitrahmens. Defender XDR fügt die Warnung einem vorhandenen Incident hinzu.

Die Kriterien, mit denen Microsoft Defender Warnungen in einem einzelnen Incident korrelieren, sind Teil der proprietären internen Korrelationslogik. Diese Logik ist auch dafür verantwortlich, dem neuen Incident einen geeigneten Namen zu geben.

Incidentkorrelation und Zusammenführung

Microsoft Defender XDR Korrelationsaktivitäten werden nicht beendet, wenn Incidents erstellt werden. Defender XDR erkennt weiterhin Gemeinsamkeiten und Beziehungen zwischen Incidents und zwischen Warnungen über Vorfälle hinweg. Wenn festgestellt wird, dass zwei oder mehr Vorfälle ausreichend gleich sind, führt Defender XDR die Vorfälle zu einem einzelnen Incident zusammen.

Wie trifft Defender XDR diese Entscheidung?

Defender XDR Korrelations-Engine führt Incidents zusammen, wenn es häufige Elemente zwischen Warnungen in separaten Vorfällen erkennt, basierend auf seinen fundierten Kenntnissen der Daten und des Angriffsverhaltens. Einige dieser Elemente umfassen:

  • Entitäten – Ressourcen wie Benutzer, Geräte, Postfächer und andere
  • Artefakte – Dateien, Prozesse, E-Mail-Absender und andere
  • Zeitrahmen
  • Sequenzen von Ereignissen, die auf mehrstufige Angriffe verweisen, z. B. ein schädliches E-Mail-Klickereignis, das genau auf eine Phishing-E-Mail-Erkennung folgt.

Wann werden Incidents nicht zusammengeführt?

Selbst wenn die Korrelationslogik angibt, dass zwei Incidents zusammengeführt werden sollen, führt Defender XDR die Vorfälle unter den folgenden Umständen nicht zusammen:

  • Einer der Vorfälle weist die status "Closed" auf. Behobene Vorfälle werden nicht erneut geöffnet.
  • Die beiden zusammenführenden Vorfälle werden zwei verschiedenen Personen zugewiesen.
  • Durch das Zusammenführen der beiden Incidents würde die Anzahl der Entitäten im zusammengeführten Incident über die maximal zulässige Anzahl von 50 Entitäten pro Incident steigen.
  • Die beiden Incidents enthalten Geräte in unterschiedlichen Gerätegruppen, wie vom organization definiert.
    (Diese Bedingung ist nicht standardmäßig in Kraft; sie muss aktiviert sein.)

Was geschieht, wenn Incidents zusammengeführt werden?

Wenn zwei oder mehr Incidents zusammengeführt werden, wird kein neuer Vorfall erstellt, um sie aufzufangen. Stattdessen werden die Inhalte eines Incidents in den anderen Incident migriert, und der Im Prozess abgebrochene Incident wird automatisch geschlossen. Der abgebrochene Incident ist in Microsoft Defender XDR nicht mehr sichtbar oder verfügbar, und alle Verweise darauf werden an den konsolidierten Incident umgeleitet. Der abgebrochene, geschlossene Vorfall bleibt in Microsoft Sentinel im Azure-Portal zugänglich. Die Inhalte der Incidents werden wie folgt behandelt:

  • Warnungen, die im abgebrochenen Incident enthalten sind, werden daraus entfernt und dem konsolidierten Incident hinzugefügt.
  • Alle Tags, die auf den abgebrochenen Incident angewendet werden, werden daraus entfernt und dem konsolidierten Incident hinzugefügt.
  • Dem abgebrochenen Incident wird ein Redirected Tag hinzugefügt.
  • Entitäten (Objekte usw.) folgen den Warnungen, mit denen sie verknüpft sind.
  • Analyseregeln, die als an der Erstellung des abgebrochenen Incidents beteiligt sind, werden den regeln hinzugefügt, die im konsolidierten Incident aufgezeichnet wurden.
  • Derzeit werden Kommentare und Aktivitätsprotokolleinträge im abgebrochenen Incident nicht in den konsolidierten Incident verschoben.

Um die Kommentare und den Aktivitätsverlauf des abgebrochenen Incidents anzuzeigen, öffnen Sie den Vorfall in Microsoft Sentinel im Azure-Portal. Der Aktivitätsverlauf umfasst das Schließen des Incidents sowie das Hinzufügen und Entfernen von Warnungen, Tags und anderen Elementen im Zusammenhang mit der Incidentzusammenführung. Diese Aktivitäten werden der Identitäts-Microsoft Defender XDR - Warnungskorrelation zugeordnet.

Manuelle Korrelation

Obwohl Microsoft Defender XDR bereits erweiterte Korrelationsmechanismen verwendet, sollten Sie anders entscheiden, ob eine bestimmte Warnung zu einem bestimmten Vorfall gehört oder nicht. In einem solchen Fall können Sie die Verknüpfung einer Warnung mit einem Incident aufheben und mit einem anderen verknüpfen. Jede Warnung muss zu einem Incident gehören, sodass Sie die Warnung entweder mit einem anderen vorhandenen Incident oder einem neuen Incident verknüpfen können, den Sie vor Ort erstellen.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.

Nächste Schritte

Weitere Informationen zu Incidents, Untersuchung und Reaktion: Reaktion auf Vorfälle im Microsoft Defender-Portal

Siehe auch