Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek vysvětluje, jak zahrnout nebo vyloučit analytická pravidla z Microsoft Defender XDR korelačního modulu. Zahrnutí nebo vyloučení analytických pravidel z korelace pomáhá organizacím migrovat z Microsoft Sentinel udržovat předvídatelné chování incidentů a zajistit kompatibilitu s existujícími pracovními postupy automatizace.
Přehled
Microsoft Defender seskupí několik výstrah a incidentů do jednotných scénářů útoků. I když tato funkce poskytuje výkonné přehledy o zabezpečení, může vést k neočekávanému chování organizací, které migrují z Microsoft Sentinel, kde jsou incidenty statické a určují je výhradně konfigurace analytických pravidel.
Ve výchozím nastavení jsou všechna analytická pravidla vyloučena na úrovni tenanta při prvním nasazení do Microsoft Defender. V závislosti na potřebách vaší organizace můžete toto nastavení změnit tak, aby umožňovalo korelaci pro všechna analytická pravidla a vyloučilo pouze konkrétní pravidla, nebo můžete vyloučit všechna analytická pravidla a přidat konkrétní pravidla pro korelaci.
Vyloučením analytických pravidel z korelace můžete zajistit, aby výstrahy generované těmito pravidly obešly korelační modul a seskupily do incidentů přesně stejně jako v Microsoft Sentinel – pouze na základě konfigurace seskupení analytického pravidla.
Další informace o tom, jak korelace funguje v Microsoft Defender, najdete v tématu Korelace výstrah a sloučení incidentů na portálu Microsoft Defender.
Požadavky
Ke správě vyloučení analytických pravidel z korelace potřebujete následující oprávnění:
Microsoft Sentinel Přispěvatel Uživatelé s touto rolí Azure můžou spravovat data pracovního prostoru Microsoft Sentinel SIEM, včetně výstrah a detekcí.
Jak funguje vyloučení
V závislosti na nastavení vašeho tenanta můžete z korelace vyloučit všechna nebo jenom konkrétní analytická pravidla.
Když z korelace vyloučíte analytické pravidlo:
- Jakákoli výstraha vygenerovaná tímto pravidlem obchází modul korelace.
- Výstrahy se seskupují do incidentů výhradně na základě konfigurace seskupování analytického pravidla.
- Chování odpovídá způsobu vytváření incidentů v Microsoft Sentinel.
- Pravidlo funguje nezávisle na korelační logice, která obvykle vytváří scénáře útoku.
Konfigurace výchozího nastavení chování korelace incidentů
Nastavte výchozí chování korelace incidentů pro výstrahy a incidenty generované analytickými pravidly v rámci vašeho tenanta. Výchozí nastavení korelace incidentů tenanta určuje, jestli Microsoft Defender zahrnuje do modulu korelace všechna analytická pravidla, která nemají explicitně nakonfigurované chování korelace incidentu.
Pokud chcete nakonfigurovat výchozí chování korelace incidentů pro svého tenanta, přejděte v navigační nabídce portálu Defender na Systém>Nastavení>Microsoft Defender XDR>Pravidla>Korelace incidentů a zapněte nebo vypněte možnost Výchozí nastavení korelace incidentů.
Důležité
Toto nastavení je ve výchozím nastavení vypnuté.
Když vypnete výchozí nastavení chování korelace incidentů, Microsoft Defender z korelace vyloučí všechna analytická pravidla, pokud je explicitně nenakonfigurujete tak, aby je zahrnovala přidáním #INC_CORR# značky. Když zapnete výchozí nastavení, Defender koreluje všechna analytická pravidla, pokud je explicitně nenakonfigurujete tak, aby je vyloučilo přidáním #DONT_CORR# značky.
Správa korelačního chování pravidla pomocí uživatelského rozhraní
Pomocí průvodce analytickým pravidlem můžete zahrnout nebo vyloučit konkrétní analytické pravidlo z korelace.
Přejděte na portál Microsoft Defender a přihlaste se.
Přejděte na průvodce analytickými pravidly.
Na kartě Obecné v průvodci pravidlem zadejte název a popis.
Na kartě Nastavit logiku pravidla nakonfigurujte logiku pravidla podle potřeby.
Na kartě Nastavení incidentu zvolte v rozevíracím seznamu Korelace incidentů některé z následujících nastavení:
- Výchozí nastavení tenanta – Použití nastavení chování korelace incidentů na úrovni tenanta
- Povoleno – zahrnutí analytického pravidla pro korelaci
- Zakázáno – Vyloučení analytického pravidla z korelace
Když pravidlo zahrnete nebo vyloučíte pomocí přepínače uživatelského rozhraní, #INC_CORR# značka nebo #DONT_CORR# se automaticky přidá na začátek popisu pravidla.
Zobrazení analytických pravidel teď obsahuje sloupec pro stav korelace, takže můžete snadno zjistit, která pravidla jsou zahrnutá nebo vyloučená, a filtrovat seznam, abyste viděli pravidla v určitém stavu.
Ruční správa korelačního chování pravidla
Značky #INC_CORR# a #DONT_CORR# můžete ručně přidat nebo odebrat, abyste mohli ovládat stav korelace analytického pravidla.
Přidejte značku ručně
Pokud chcete nastavit stav korelace pravidla ručně, přidejte na začátek popisu pravidla příslušnou značku.
- Otevřete analytické pravidlo v režimu úprav.
- Do pole Popis pravidla přidejte
#INC_CORR#na začátek textu nebo#DONT_CORR#. - Uložte pravidlo.
Správa korelačního chování prostřednictvím rozhraní API
Stav vyloučení analytických pravidel můžete programově řídit přidáním nebo odebráním značky #INC_CORR# nebo #DONT_CORR# prostřednictvím rozhraní API pro analýzy.
Úprava stavu korelace pravidla:
- K načtení aktuální konfigurace pravidla použijte rozhraní API Microsoft Defender XDR.
- Přidejte nebo odeberte značku
#INC_CORR#nebo#DONT_CORR#na začátek pole s popisem pravidla. - Aktualizujte pravidlo pomocí rozhraní API.
Další informace o používání rozhraní API Microsoft Defender najdete v přehledu rozhraní API Microsoft Defender.
Důležité aspekty nastavení korelace analytických pravidel
Při použití vyloučení korelace mějte na paměti následující body:
Stav korelace vždy odpovídá značce. Pokud například vyloučíte pravidlo pomocí přepínače uživatelského rozhraní a potom značku z popisu ručně odeberete
#DONT_CORR#, stav korelace pravidla se vrátí na Korelace povolená.I když pravidlo vyloučíte z korelace a definujete analytické pravidlo s dynamickým názvem, může se název incidentu na portálu Defender lišit od názvu v Microsoft Sentinel. Název Microsoft Sentinel je název první výstrahy a v Defenderu se vrací k běžné taktice MITRE pro všechna upozornění.
Změna stavu korelace pravidla nemá vliv na výstrahy vytvořené před změnou. Výstrahy obdrží po vytvoření stav korelace a tento stav zůstává statický.
Modul korelace je navržený tak, aby sestavoval kompletní scénáře útoků a významně pomáhá analytikům soc (Security Operations Center) porozumět útokům a efektivně reagovat. Vylučte pravidla z korelace pouze v případě, že je to nezbytné pro konkrétní obchodní nebo provozní požadavky.
Pravidla formátování značek:
-
Nerozlišuje se malá a velká písmena – Můžete použít libovolnou kombinaci velkých a malých písmen (například
#dont_corr#nebo#DONT_CORR#). - Mezery jsou flexibilní – mezi značku a zbytek popisu můžete přidat libovolný počet mezer nebo vůbec žádné mezery.
- Musí být na začátku – Značka se musí zobrazit na začátku pole popis.
Například všechny následující popisy jsou platné:
- #DONT_CORR# Toto pravidlo detekuje podezřelé pokusy o přihlášení.
- #dont_corr# Toto pravidlo monitoruje úpravy souborů.
- #DONT_CORR#Toto pravidlo nemá za značkou mezeru
-
Nerozlišuje se malá a velká písmena – Můžete použít libovolnou kombinaci velkých a malých písmen (například
Související obsah
- Korelace výstrah a slučování incidentů na portálu Microsoft Defender
- Vytvoření vlastních pravidel detekce
- Správa vlastních detekcí
- Správa incidentů v Microsoft Defender
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.