Analyysisääntöjen korrelaatioasetusten hallinta Microsoft Defender XDR

  • Koskee seuraavia:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Tässä artikkelissa kerrotaan, miten voit sisällyttää analytiikkasääntöjä Microsoft Defender XDR korrelaatiomoduulista tai jättää ne pois. Tämän ominaisuuden avulla organisaatiot voivat Microsoft Sentinel ylläpitää ennustettavissa olevaa tapausten toimintaa ja varmistaa yhteensopivuuden olemassa olevien automaatiotyönkulkujen kanssa.

Yleiskatsaus

Microsoft Defender XDR ryhmittelee useita ilmoituksia ja välikohtauksia yhtenäisiksi hyökkäystarineiksi. Vaikka tämä ominaisuus tarjoaa tehokkaita merkityksellisiä suojaustietoja, se voi johtaa odottamattomaan käyttäytymiseen organisaatioissa, jotka ovat siirtymässä Microsoft Sentinel, jossa tapaukset ovat staattisia ja määräytyvät yksinomaan analytiikkasääntöjen määritysten perusteella.

Oletusarvoisesti kaikki analytiikkasäännöt jätetään pois vuokraajatasolla, kun Microsoft Defender. Organisaatiosi tarpeista riippuen voit muuttaa tätä asetusta niin, että se ottaa korrelaation käyttöön kaikissa analytiikkasäännöissä ja jättää pois vain tietyt säännöt tai jättää pois kaikki analytiikkasäännöt ja lisätä tiettyjä sääntöjä korrelaatiota varten.

Jättämällä analytiikkasäännöt korrelaation ulkopuolelle voit varmistaa, että näiden sääntöjen luomat hälytykset ohittavat korrelaatiomoduulin ja ryhmittelevät tapauksiin täsmälleen samalla tavalla kuin Microsoft Sentinel – vain analytiikkasäännön ryhmittelymäärityksen perusteella.

Lisätietoja korrelaation toiminnasta Microsoft Defender XDR on Microsoft Defender portaalin kohdassa Ilmoitusten korrelaatio ja tapausten yhdistäminen.

Ennakkovaatimukset

Jotta voit hallita analytiikkasäännön poissulkemisia korrelaatiosta, tarvitset seuraavat käyttöoikeudet:

Microsoft Sentinel Osallistujakäyttäjät, joilla on tämä Azure rooli, voivat hallita Microsoft Sentinel SIEM-työtilan tietoja, kuten ilmoituksia ja tunnistuksia.

Miten poissulkeminen toimii

Vuokraajan asetuksista riippuen korrelaatiosta voi jättää korrelaatiosta pois kaikki tai vain tietyt analytiikkasäännöt.

Kun jätät analytiikkasäännön pois korrelaatiosta:

  • Tämän säännön luomat hälytykset ohittavat korrelaatiomoduulin.
  • Hälytykset on ryhmitelty tapauksiin pelkästään analytiikkasäännön ryhmittelymäärityksen perusteella.
  • Toiminta vastaa sitä, miten tapaukset luotiin Microsoft Sentinel.
  • Sääntö toimii erillään korrelaatiologiikasta, joka yleensä luo hyökkäystarinoita.

Tapausten korrelaatiotoiminnan oletusasetusten määrittäminen

Määritä oletusarvoinen tapausten korrelaatiotoiminta hälytyksille ja tapauksille, jotka on luotu analyysisäännöillä koko vuokraajassa. Tämä asetus määrittää, sisällyttävätkö Microsoft Defender korrelaatiomoduuliinsa kaikki analytiikkasäännöt, joiden tapausten korrelaatiotoimintaa ei ole nimenomaisesti määritetty.

Jos haluat määrittää vuokraajasi tapausten oletuskorrelaatiotoiminnan, siirry Defender-portaalin siirtymisvalikossa kohtaan Järjestelmäasetukset>>Microsoft Defender XDR>Rules>Tapausten korrelaatio ja ota Tapausten korrelaation oletusasetus käyttöön tai poista se käytöstä.

Näyttökuva Tapahtuma-korrelaation oletusasetuksen valitsimesta.

Tärkeää

Tämä asetus on oletusarvoisesti poissa käytöstä.

Kun poistat tapausten korrelaation toiminnan oletusasetuksen käytöstä, Microsoft Defender jättää kaikki analytiikkasäännöt pois korrelaatiosta, ellet nimenomaisesti määritä sisällytä niitä lisäämällä #INC_CORR# tunnistetta. Kun otat oletusasetuksen käyttöön, Defender korreloi kaikki analytiikkasäännöt, ellet nimenomaisesti määritä sulkemaan niitä pois lisäämällä -tunnisteen #DONT_CORR# .

Hallitse säännön korrelaatiotoimintaa käyttöliittymän avulla

Voit sisällyttää korrelaatioon tietyn analytiikkasäännön tai jättää sen pois ohjatun analysointisäännön avulla.

  1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

  2. Siirry analytiikkasäännön ohjattuun toimintoon.

  3. Kirjoita ohjatun säännön luomisen Yleiset-välilehteen nimi ja kuvaus.

  4. Määritä sääntölogiikka tarpeen mukaan Aseta sääntölogiikka -välilehdessä.

  5. Valitse Tapausasetukset-välilehdessä jokin seuraavista vaihtoehdoista Avattavasta Incident correlation - valikosta:

    • Vuokraajan oletus – Käytä vuokraajatason tapausten korrelaation toiminta-asetusta
    • Käytössä – Sisällytä korrelaation analytiikkasääntö
    • Poistettu käytöstä - Jätä analytiikkasääntö pois korrelaatiosta

    Näyttökuva Tapahtumat-asetusten käyttöliittymästä, jossa Ota korrelaatio käyttöön -asetuksena on Ei käytössä.

Kun sisällytät säännön tai jätät sen pois käyttöliittymän vaihtopainikkeella, #INC_CORR# or-tunniste #DONT_CORR# lisätään automaattisesti säännön kuvauksen alkuun.

Analytiikkasääntöjen näkymä sisältää nyt sarakkeen korrelaatiotilaa varten, joten voit helposti nähdä, mitkä säännöt sisällytetään tai jätetään pois, ja suodattaa luettelon nähdäksesi säännöt tietyssä tilassa.

Näyttökuva analytiikan sääntönäkymästä, jossa on Korrelaation tilan sarake.

Hallitse säännön korrelaatiotoimintaa manuaalisesti

Voit manuaalisesti lisätä ja -tunnisteita ja #DONT_CORR# -#INC_CORR#tunnisteita hallitaksesi analytiikkasäännön korrelaatiotilaa.

Lisää tunniste manuaalisesti

  1. Avaa analytiikkasääntö muokkaustilassa.
  2. Lisää #INC_CORR# säännön Kuvaus-kenttään tai #DONT_CORR# aivan tekstin alkuun.
  3. Tallenna sääntö.

Korrelaatiotoiminnan hallinta ohjelmointirajapinnan kautta

Voit hallita ohjelmallisesti analytiikkasääntöjen poissulkemistilaa lisäämällä tai poistamalla -tunnisteen #INC_CORR# tai #DONT_CORR# -tunnisteen analytiikan ohjelmointirajapinnan kautta.

Voit muokata säännön korrelaatiotilaa seuraavasti:

  1. Nouda säännön nykyinen määritys Microsoft Defender XDR-ohjelmointirajapinnan avulla.
  2. Lisää tai poista #INC_CORR# -tunniste tai #DONT_CORR# -tunniste säännön kuvauskentän alussa.
  3. Päivitä sääntö ohjelmointirajapinnan avulla.

Lisätietoja Microsoft Defender XDR-ohjelmointirajapinnan käyttämisestä on Microsoft Defender XDR ohjelmointirajapintoja yleiskatsauksessa.

Huomioon otettavat seikat

Huomioi seuraavat seikat käytettäessä korrelaation poissulkemista:

  • Korrelaatiotila vastaa aina tunnistetta. Jos esimerkiksi jätät säännön pois käyttöliittymän vaihtopainikkeella ja poistat #DONT_CORR# sitten tunnisteen manuaalisesti kuvauksesta, säännön korrelaatiotila palautuu Korrelaatio käytössä -tilaan.

  • Vaikka jätät säännön pois korrelaatiosta ja määrität analytiikkasäännön dynaamisella otsikolla, Defender-portaalin tapahtuman otsikko saattaa poiketa Microsoft Sentinel otsikosta. Microsoft Sentinel otsikko on ensimmäisen hälytyksen otsikko, ja Defenderissä se palaa kaikkien hälytysten yleiseen MITRE-taktiikkaan.

  • Säännön korrelaatiotilan muuttaminen ei vaikuta hälytyksiin, jotka luotiin ennen muutosta. Ilmoitukset saavat korrelaatiotilansa, kun ne luodaan, ja tämä tila pysyy staattisena.

  • Korrelaatiomoduuli on suunniteltu rakentamaan täydellisiä hyökkäystarinoita ja auttaa merkittävästi tietoturvakeskuksen (SOC) analyytikoita ymmärtämään hyökkäyksiä ja reagoimaan tehokkaasti. Jätä pois säännöt korrelaatiosta vain, jos se on tarpeen tiettyjä liiketoiminta- tai toiminnallisia vaatimuksia varten.

  • Tunnisteiden muotoilusäännöt:

    • Kirjainkoko ei ole merkitsevä – Voit käyttää mitä tahansa isojen ja pienten kirjainten yhdistelmää (esimerkiksi #dont_corr# tai #DONT_CORR#).
    • Välistys on joustava – Voit lisätä minkä tahansa määrän välilyöntejä tunnisteen ja kuvauksen muiden kohteiden väliin tai olla lainkaan välilyöntejä.
    • On oltava alussa - tunnisteen on oltava kuvauskentän alussa.

    Esimerkiksi seuraavat kuvaukset ovat kaikki kelvollisia:

    • #DONT_CORR# Tämä sääntö havaitsee epäilyttävät kirjautumisyritykset
    • #dont_corr# Tämä sääntö valvoo tiedostomuutoksia
    • #DONT_CORR#This säännöstä ei ole välilyöntiä tunnisteen jälkeen

Seuraavat vaiheet

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.

  • Last updated on