Microsoft Defender XDR 中的警报、事件和关联
在 Microsoft Defender XDR 中, 警报 是来自各种威胁检测活动产生的源集合的信号。 这些信号指示环境中发生恶意或可疑事件。 警报通常可以属于更广泛的复杂攻击事件,相关警报会聚合并关联在一起,形成表示这些攻击事件 的事件 。
事件 提供了攻击的全貌。 Microsoft Defender XDR 算法自动关联来自所有Microsoft安全性和合规性解决方案以及来自大量外部解决方案的信号 (警报) ,这些解决方案通过 Microsoft Sentinel 和 Microsoft Defender for Cloud。 Defender XDR 将多个信号识别为属于同一个攻击事件,使用 AI 持续监视其遥测源,并为已打开的事件添加更多证据。
事件还充当“案例文件”,提供管理和记录调查的平台。 有关事件在这方面的功能的详细信息,请参阅 Microsoft Defender 门户中的事件响应。
重要
Microsoft Sentinel 现已在 Microsoft Defender 门户中的Microsoft统一安全操作平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
下面是事件和警报的主要属性以及它们之间的差异的摘要:
事件:
- 安全运营中心工作的主要“度量单位” (SOC) 。
- 显示攻击的更广泛上下文 - 攻击故事。
- 表示调查威胁和调查结果所需的所有信息的“案例文件”。
- 由 Microsoft Defender XDR 创建,以包含至少一个警报,在许多情况下包含多个警报。
- 使用 自动化规则、 攻击中断和 playbook 触发对威胁的自动一系列响应。
- 记录与威胁及其调查和解决相关的所有活动。
警报:
- 表示对理解和调查事件至关重要的故事的各个部分。
- 由 Defender 门户内部和外部的多个不同源创建。
- 可以自行分析,以在需要更深入的分析时增加价值。
- 可以在警报级别触发 自动调查和响应 ,以尽量减少潜在的威胁影响。
警报源
Microsoft Defender XDR 警报由许多源生成:
属于 Microsoft Defender XDR 的解决方案
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- 适用于 Microsoft Defender for Cloud Apps 的应用治理加载项
- Microsoft Entra ID 保护
- Microsoft数据丢失防护
与 Microsoft Defender 安全门户集成的其他服务
- Microsoft Sentinel
- 将警报传递到 Sentinel 的非Microsoft安全解决方案Microsoft
- Microsoft Defender for Cloud
Microsoft Defender XDR 本身也会创建警报。 将 Microsoft Sentinel 载入到 统一安全操作平台后,Microsoft Defender XDR 的相关引擎现在可以访问 Microsoft Sentinel 引入的所有原始数据。 (可以在 高级搜寻 表中找到此数据。) Defender XDR 的独特关联功能为数字资产中的所有非Microsoft解决方案提供了另一层数据分析和威胁检测。 除了Microsoft Sentinel 的分析规则已提供的警报外,这些检测还会生成 Defender XDR 警报。
当来自不同源的警报一起显示时,每个警报的源由警报 ID 前面附加的字符集表示。 “警报源”表将警报源映射到警报 ID 前缀。
事件创建和警报关联
当警报由 Microsoft Defender 安全门户中的各种检测机制生成时(如上一部分所述),Defender XDR 会根据以下逻辑将它们置于新的或现有的事件中:
| 应用场景 | 决定 |
|---|---|
| 在特定时间范围内,警报在所有警报源中具有足够的唯一性。 | Defender XDR 会创建一个新事件,并将警报添加到其中。 |
| 该警报与特定时间范围内来自同一源或跨源的其他警报充分相关。 | Defender XDR 将警报添加到现有事件。 |
Microsoft Defender 在单个事件中将警报关联在一起的条件是其专有的内部关联逻辑的一部分。 此逻辑还负责为新事件提供适当的名称。
事件关联和合并
Microsoft创建事件时,Defender XDR 的相关活动不会停止。 Defender XDR 继续检测事件之间以及跨事件的警报之间的共性和关系。 当确定两个或更多事件足够相似时,Defender XDR 会将事件合并为单个事件。
Defender XDR 如何做出这一决定?
Defender XDR 的相关引擎根据对数据和攻击行为的深入了解,在识别不同事件中的警报之间的常见元素时合并事件。 其中一些元素包括:
- 实体 - 用户、设备、邮箱等资产
- 项目 - 文件、进程、电子邮件发件人等
- 时间范围
- 指向多阶段攻击的事件序列,例如,紧随网络钓鱼电子邮件检测的恶意电子邮件单击事件。
何时 不 合并事件?
即使相关逻辑指示应合并两个事件,Defender XDR 也不会在以下情况下合并事件:
- 其中一个事件的状态为“已关闭”。 已解决的事件不会重新打开。
- 符合合并条件的两个事件分配给两个不同的人员。
- 合并这两个事件会使合并事件中的实体数超过允许的最大数目。
- 这两个事件包含组织定义的不同 设备组中 的设备。
(默认情况下,此条件无效;必须启用它。)
合并事件时会发生什么情况?
合并两个或更多事件时,不会创建新事件来吸收它们。 相反,一个事件的内容将迁移到另一个事件,并且自动关闭进程中放弃的事件。 放弃的事件在 Microsoft Defender XDR 中不再可见或不可用,并且对它的任何引用将重定向到合并事件。 在 Azure 门户中的 Microsoft Sentinel 中仍可访问已放弃的已关闭事件。 事件的内容按以下方式处理:
- 已放弃事件中包含的警报将从中删除并添加到合并事件。
- 将删除应用于已放弃事件的任何标记,并将其添加到合并事件。
- 标记
Redirected将添加到已放弃的事件。 - 实体 (资产等 ) 遵循它们链接到的警报。
- 在创建放弃事件时记录的分析规则将添加到合并事件中记录的规则中。
- 目前,已放弃事件中的注释和活动日志条目 不会 移动到合并事件。
若要查看已放弃事件的注释和活动历史记录,请在 Azure 门户中的 Microsoft Sentinel 中打开事件。 活动历史记录包括事件结束以及添加和删除警报、标记以及与事件合并相关的其他项。 这些活动归因于 标识Microsoft Defender XDR - 警报关联。
手动关联
虽然 Microsoft Defender XDR 已使用高级关联机制,但你可能希望以不同的方式决定给定警报是否属于特定事件。 在这种情况下,可以取消警报与一个事件的链接,并将其链接到另一个事件。 每个警报都必须属于一个事件,因此可以将警报链接到另一个现有事件,或链接到现场创建的新事件。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。
后续步骤
阅读有关事件、调查和响应的详细信息: Microsoft Defender 门户中的事件响应