Microsoft Defender portalında uyarı bağıntısı ve olay birleştirme

Bu makalede, Microsoft Defender portalın bunları üreten ve portala gönderen tüm kaynaklardan topladığı uyarıları nasıl topladığı ve ilişkilendirildiği açıklanmaktadır. Defender'ın bu uyarılardan olayları nasıl oluşturduğunu ve durumun gerekli olması durumunda olayları bir araya getirerek bunların evrimini izlemeye nasıl devam etmesi açıklanmaktadır. Uyarılar ve kaynakları ve olayların Microsoft Defender portalında nasıl değer katacakları hakkında daha fazla bilgi edinmek için bkz. Microsoft Defender portalında olaylar ve uyarılar.

Olay oluşturma ve uyarı bağıntısı

uyarılar, Microsoft Defender portalındaki olaylar ve uyarılar bölümünde açıklandığı gibi Microsoft Defender portalındaki çeşitli algılama mekanizmaları tarafından oluşturulduğunda, aşağıdaki mantığa göre yeni veya mevcut olaylara yerleştirilir:

• Uyarı belirli bir zaman çerçevesindeki tüm uyarı kaynakları arasında yeterince benzersizse, Defender yeni bir olay oluşturur ve uyarıyı buna ekler.
• Uyarı, belirli bir zaman dilimi içinde aynı kaynaktan veya kaynaklardan gelen diğer uyarılarla yeterince ilgiliyse, Defender uyarıyı mevcut bir olaya ekler.

Defender portalı tarafından uyarıları tek bir olayda ilişkilendirmek için kullanılan ölçütler, özel, iç bağıntı mantığının bir parçasıdır. Bu mantık, yeni olaya uygun bir ad vermekle de sorumludur.

Uyarıların el ile bağıntısı

Microsoft Defender zaten gelişmiş bağıntı mekanizmaları kullanıyor olsa da, belirli bir uyarının belirli bir olaya ait olup olmadığına farklı karar vermek isteyebilirsiniz. Böyle bir durumda, bir uyarının bir olayla bağlantısını kaldırabilir ve başka bir olaya bağlayabilirsiniz. Her uyarı bir olaya ait olmalıdır, böylece uyarıyı mevcut başka bir olaya veya anında oluşturduğunuz yeni bir olaya bağlayabilirsiniz.

Yönergeler için bkz. Microsoft Defender portalında uyarıları başka bir olaya bağlama.

Olay bağıntısı ve birleştirme

Olaylar oluşturulduğunda Defender portalının bağıntı etkinlikleri durmaz. Defender, olaylar arasındaki ve olaylar arasındaki yaygınlıkları ve ilişkileri algılamaya devam eder. İki veya daha fazla olayın yeterince benzer olduğu belirlendiğinde, Defender olayları tek bir olayda birleştirir.

Olayları birleştirme ölçütleri

Defender'ın bağıntı altyapısı, veriler ve saldırı davranışı hakkında derin bilgisine bağlı olarak ayrı olaylarda uyarılar arasındaki ortak öğeleri tanıdığında olayları birleştirir. Bu öğelerden bazıları şunlardır:

• Varlıklar— kullanıcılar, cihazlar, posta kutuları ve diğerleri gibi varlıklar
• Yapıtlar—dosyalar, işlemler, e-posta gönderenler ve diğerleri
• Zaman çerçeveleri
• Çok aşamalı saldırılara işaret eden olay dizileri; örneğin, bir kimlik avı e-posta algılamasını yakından izleyen kötü amaçlı bir e-posta tıklama olayı.

Birleştirme işleminin sonuçları

İki veya daha fazla olay birleştirildiğinde, bunları absorbe etmek için yeni bir olay oluşturulmaz. Bunun yerine, bir olayın içeriği diğer olaya geçirilir ve işlemde bırakılan olay otomatik olarak kapatılır. Bırakılan olay artık Defender portalında görünmez veya kullanılamaz ve buna yapılan tüm başvurular birleştirilmiş olaya yönlendirilir. Terk edilmiş, kapalı olay Azure portal Microsoft Sentinel erişilebilir durumda kalır. Olayların içeriği aşağıdaki yollarla işlenir:

• Bırakılan olayda yer alan uyarılar bu olaydan kaldırılır ve birleştirilmiş olaya eklenir.
• Bırakılan olaya uygulanan tüm etiketler olaydan kaldırılır ve birleştirilmiş olaya eklenir.
• Redirected Bırakılan olaya bir etiket eklenir.
• Varlıklar (varlıklar vb.) bağlı oldukları uyarıları izler.
• Terk edilen olayın oluşturulmasına dahil olarak kaydedilen analiz kuralları, birleştirilmiş olayda kaydedilen kurallara eklenir.
• Şu anda, bırakılan olaydaki açıklamalar ve etkinlik günlüğü girişleri birleştirilmiş olaya taşınmaz .

Bırakılan olayın yorumlarını ve etkinlik geçmişini görmek için olayı Azure portal Microsoft Sentinel açın. Etkinlik geçmişi, olayın kapatılmasını ve olay birleştirmeyle ilgili uyarıların, etiketlerin ve diğer öğelerin eklenmesini ve kaldırılmasını içerir. Bu etkinlikler kimlik Microsoft Defender XDR - uyarı bağıntısına atfedilir.

Olaylar birleştirildiğinde

Bağıntı mantığı iki olayın birleştirilmesi gerektiğini gösterse bile, Defender aşağıdaki koşullarda olayları birleştirmez:

• Olaylardan birinde "Kapalı" durumu var. Çözülen olaylar yeniden açılmaz.
• Birleştirme için uygun olan iki olay iki farklı kişiye atanır.
• İki olayın birleştirilmesi, birleştirilmiş olaydaki varlık sayısını olay başına izin verilen en fazla 50 varlığın üzerine çıkar.
• İki olay, kuruluş tarafından tanımlanan farklı cihaz gruplarındaki cihazları içerir.
  (Bu koşul varsayılan olarak etkin değildir; etkinleştirilmesi gerekir.)

Sonraki adımlar

Olayları önceliklendirme ve yönetme hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Microsoft Defender'da olayları yönetme

Ayrıca bkz.

• Microsoft Defender XDR'daki olayların gücü
• İç Microsoft Defender XDR: Saldırıları olaylarla ilişkilendirme ve birleştirme