Correlação de alertas e intercalação de incidentes no portal do Microsoft Defender

Este artigo explica como o portal do Microsoft Defender agrega e correlaciona os alertas que recolhe de todas as origens que os produzem e os envia para o portal. Explica como o Defender cria incidentes a partir destes alertas e como continua a monitorizar a evolução, intercalando incidentes se a situação o justificar. Para saber mais sobre os alertas e as respetivas origens e como os incidentes acrescentam valor no portal do Microsoft Defender, veja Incidentes e alertas no portal do Microsoft Defender.

Criação de incidentes e correlação de alertas

Quando os alertas são gerados pelos vários mecanismos de deteção no portal do Microsoft Defender, conforme descrito em Incidentes e alertas no portal do Microsoft Defender, são colocados em incidentes novos ou existentes de acordo com a seguinte lógica:

• Se o alerta for suficientemente exclusivo em todas as origens de alertas num determinado período de tempo, o Defender cria um novo incidente e adiciona o alerta ao mesmo.
• Se o alerta estiver suficientemente relacionado com outros alertas ( da mesma origem ou entre origens) dentro de um período de tempo específico, o Defender adiciona o alerta a um incidente existente.

Os critérios utilizados pelo portal do Defender para correlacionar alertas num único incidente fazem parte da lógica de correlação interna proprietária. Esta lógica também é responsável por atribuir um nome adequado ao novo incidente.

Correlação manual de alertas

Embora Microsoft Defender já utilize mecanismos de correlação avançados, poderá querer decidir de forma diferente se um determinado alerta pertence ou não a um determinado incidente. Nesse caso, pode desassociar um alerta de um incidente e ligá-lo a outro. Cada alerta tem de pertencer a um incidente, para que possa ligar o alerta a outro incidente existente ou a um novo incidente que crie no local.

Para obter instruções, veja Ligar alertas a outro incidente no portal do Microsoft Defender.

Correlação e intercalação de incidentes

As atividades de correlação do portal do Defender não param quando são criados incidentes. O Defender continua a detetar semelhanças e relações entre incidentes e entre alertas entre incidentes. Quando dois ou mais incidentes são considerados suficientemente iguais, o Defender intercala os incidentes num único incidente.

Critérios para intercalar incidentes

O motor de correlação do Defender intercala incidentes quando reconhece elementos comuns entre alertas em incidentes separados, com base no conhecimento profundo dos dados e no comportamento do ataque. Alguns destes elementos incluem:

• Entidades — recursos como utilizadores, dispositivos, caixas de correio e outros
• Artefactos — ficheiros, processos, remetentes de e-mail, entre outros
• Intervalos de tempo
• Sequências de eventos que apontam para ataques em várias fases, por exemplo, um evento de clique de e-mail malicioso que se segue de perto numa deteção de e-mail de phishing.

Resultados do processo de intercalação

Quando dois ou mais incidentes são intercalados, não é criado um novo incidente para absorvê-los. Em vez disso, os conteúdos de um incidente são migrados para o outro incidente e o incidente abandonado no processo é fechado automaticamente. O incidente abandonado já não está visível ou disponível no portal do Defender e qualquer referência ao mesmo é redirecionada para o incidente consolidado. O incidente abandonado e fechado continua acessível em Microsoft Sentinel no portal do Azure. Os conteúdos dos incidentes são processados das seguintes formas:

• Os alertas contidos no incidente abandonado são removidos do mesmo e adicionados ao incidente consolidado.
• Todas as etiquetas aplicadas ao incidente abandonado são removidas do mesmo e adicionadas ao incidente consolidado.
• É Redirected adicionada uma etiqueta ao incidente abandonado.
• As entidades (recursos, etc.) seguem os alertas a que estão ligadas.
• As regras de análise registadas como envolvidas na criação do incidente abandonado são adicionadas às regras registadas no incidente consolidado.
• Atualmente, os comentários e as entradas do registo de atividades no incidente abandonado não são movidos para o incidente consolidado.

Para ver os comentários e o histórico de atividades do incidente abandonado, abra o incidente no Microsoft Sentinel no portal do Azure. O histórico de atividades inclui o encerramento do incidente e a adição e remoção de alertas, etiquetas e outros itens relacionados com a intercalação de incidentes. Estas atividades são atribuídas à identidade Microsoft Defender XDR - correlação de alertas.

Quando os incidentes não são intercalados

Mesmo quando a lógica de correlação indica que dois incidentes devem ser intercalados, o Defender não intercala os incidentes nas seguintes circunstâncias:

• Um dos incidentes tem o estado "Fechado". Os incidentes resolvidos não são reabertos.
• Os dois incidentes elegíveis para intercalação são atribuídos a duas pessoas diferentes.
• A intercalação dos dois incidentes aumentaria o número de entidades no incidente intercalado acima do máximo permitido de 50 entidades por incidente.
• Os dois incidentes contêm dispositivos em diferentes grupos de dispositivos , conforme definido pela organização.
  (Esta condição não está em vigor por predefinição; tem de estar ativada.)

Passos seguintes

Para saber mais sobre como atribuir prioridades e gerir incidentes, veja os seguintes artigos:

• Gerir incidentes no Microsoft Defender

Consulte também

• O poder dos incidentes no Microsoft Defender XDR
• Dentro Microsoft Defender XDR: Correlacionar e consolidar ataques em incidentes