Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Bestimmte Analyseregeln aus der Microsoft Defender XDR-Korrelations-Engine ausgeschlossen werden. Dieses Feature unterstützt Organisationen bei der Migration von Microsoft Sentinel bei der Aufrechterhaltung eines vorhersagbaren Vorfallverhaltens und bei der Sicherstellung der Kompatibilität mit vorhandenen Automatisierungsworkflows.
Übersicht
Microsoft Defender XDR gruppiert mehrere Warnungen und Vorfälle in einheitliche Angriffsgeschichten. Diese Funktion bietet zwar leistungsstarke Sicherheitserkenntnisse, kann jedoch zu unerwartetem Verhalten für Organisationen führen, die von Microsoft Sentinel migrieren, wobei Incidents statisch sind und ausschließlich durch Analyseregelkonfigurationen bestimmt werden.
Indem Sie bestimmte Analyseregeln aus der Korrelation ausschließen, können Sie sicherstellen, dass von diesen Regeln generierte Warnungen die Korrelations-Engine umgehen und genau wie in Microsoft Sentinel in Incidents gruppiert werden – nur basierend auf der Gruppierungskonfiguration der Analyseregel.
Weitere Informationen zur Funktionsweise der Korrelation in Microsoft Defender XDR finden Sie unter Warnungskorrelation und Incidentzusammenführung im Microsoft Defender-Portal.
Voraussetzungen
Um Analyseregeln von der Korrelation auszuschließen, benötigen Sie die folgenden Berechtigungen:
Microsoft Sentinel Mitwirkender Benutzer mit dieser Azure Rolle können Microsoft Sentinel SIEM-Arbeitsbereichsdaten verwalten, einschließlich Warnungen und Erkennungen.
Funktionsweise des Ausschlusses
Wenn Sie eine Analyseregel von der Korrelation ausschließen:
- Jede von dieser Regel generierte Warnung umgeht die Korrelations-Engine.
- Warnungen werden ausschließlich basierend auf der Gruppierungskonfiguration der Analyseregel in Incidents gruppiert.
- Das Verhalten entspricht der Erstellung von Incidents in Microsoft Sentinel
- Die Regel funktioniert unabhängig von der Korrelationslogik, die normalerweise Angriffsgeschichten erstellt.
Dieser Ausschluss wird gesteuert, indem das #DONT_CORR# Tag am Anfang der Beschreibung der Regel hinzugefügt wird.
Ausschließen einer Regel aus der Korrelation über die Benutzeroberfläche
Sie können eine Analyseregel mithilfe eines Umschalters im Analyseregel-Assistenten von der Korrelation ausschließen.
Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.
Navigieren Sie zum Assistenten für Analyseregeln.
Geben Sie auf der Registerkarte Allgemein des Regel-Assistenten einen Namen und eine Beschreibung ein.
Konfigurieren Sie auf der Registerkarte Regellogik festlegen die Regellogik nach Bedarf.
Stellen Sie auf der Registerkarte Incidenteinstellungen sicher, dass die Umschaltfläche Korrelation aktivieren auf Deaktiviert festgelegt ist.
Legen Sie den Umschalter auf Ein fest, um die Regel von der Korrelation auszuschließen.
Wenn Sie eine Regel über den Umschalter der Benutzeroberfläche ausschließen, wird das #DONT_CORR# Tag automatisch am Anfang der Beschreibung der Regel hinzugefügt. Die Ansicht Analyseregeln enthält jetzt eine Spalte für den Korrelationszustand, sodass Sie leicht sehen können, welche Regeln ausgeschlossen werden, sowie die Liste filtern können, um Regeln in einem bestimmten Zustand anzuzeigen.
Manuelles Ausschließen einer Regel aus der Korrelation
Sie können das #DONT_CORR# Tag manuell hinzufügen oder entfernen, um den Korrelationsstatus einer Analyseregel zu steuern.
Manuelles Hinzufügen des Tags
Öffnen Sie die Analyseregel im Bearbeitungsmodus.
Fügen Sie im Feld Beschreibung der Regel ganz am Anfang des Texts hinzu
#DONT_CORR#.Speichern Sie die Regel.
Steuern des Korrelationsausschlusses über die API
Sie können den Ausschlussstatus von Analyseregeln programmgesteuert steuern, indem Sie das Tag über die #DONT_CORR# Analyse-API hinzufügen oder entfernen.
So ändern Sie den Korrelationsstatus einer Regel:
Verwenden Sie die Microsoft Defender XDR-API, um die aktuelle Konfiguration der Regel abzurufen.
Fügen Sie das
#DONT_CORR#Tag am Anfang des Beschreibungsfelds der Regel hinzu, oder entfernen Sie es.Aktualisieren Sie die Regel mithilfe der API.
Weitere Informationen zur Verwendung der Microsoft Defender XDR-API finden Sie unter übersicht über Microsoft Defender XDR-APIs.
Wichtige Überlegungen
Beachten Sie bei der Verwendung des Korrelationsausschlusses die folgenden Punkte:
Der Korrelationszustand stimmt immer mit dem Tag überein. Wenn Sie eine Regel über die Umschaltfläche der Benutzeroberfläche ausschließen und dann das
#DONT_CORR#Tag manuell aus der Beschreibung entfernen, wird der Korrelationszustand der Regel auf Korrelation aktiviert zurückgesetzt.Für alle Analyseregeln ist die Korrelation standardmäßig aktiviert, es sei denn, es wird explizit ausgeschlossen.
Auch wenn eine Regel von der Korrelation ausgeschlossen ist und eine Analyseregel mit einem dynamischen Titel definiert ist, kann sich der Incidenttitel im Defender-Portal vom Titel in Microsoft Sentinel unterscheiden. Der Microsoft Sentinel Titel ist der Titel der ersten Warnung, und in Defender greift er auf die allgemeine MITRE-Taktik aller Warnungen zurück.
Das Ändern des Korrelationszustands einer Regel wirkt sich nicht auf Warnungen aus, die vor der Änderung erstellt wurden. Warnungen erhalten ihren Korrelationszustand, wenn sie erstellt werden, und dieser Zustand bleibt statisch.
Die Korrelations-Engine ist für die Erstellung vollständiger Angriffsgeschichten konzipiert und hilft SOC-Analysten erheblich dabei, Angriffe zu verstehen und effizient zu reagieren. Schließen Sie Regeln nur dann von der Korrelation aus, wenn dies für bestimmte geschäftliche oder betriebliche Anforderungen erforderlich ist.
Tagformatierungsregeln
-
Keine Groß-/Kleinschreibung : Sie können eine beliebige Kombination aus Groß- und Kleinbuchstaben verwenden (z. B
#dont_corr#. oder#DONT_CORR#). - Der Abstand ist flexibel : Sie können eine beliebige Anzahl von Leerzeichen zwischen dem Tag und dem Rest der Beschreibung oder gar keine Leerzeichen hinzufügen.
- Muss am Anfang sein : Das Tag muss am Anfang des Beschreibungsfelds angezeigt werden.
-
Keine Groß-/Kleinschreibung : Sie können eine beliebige Kombination aus Groß- und Kleinbuchstaben verwenden (z. B
Im Folgenden sind beispielsweise alle gültigen Beschreibungen aufgeführt:
- #DONT_CORR# Diese Regel erkennt verdächtige Anmeldeversuche.
- #dont_corr# Diese Regel überwacht Dateiänderungen.
- #DONT_CORR#This Regel hat kein Leerzeichen nach dem Tag
Nächste Schritte
- Warnungskorrelation und Incidentzusammenführung im Microsoft Defender-Portal
- Erstellen benutzerdefinierter Erkennungsregeln
- Verwalten von benutzerdefinierten Erkennungen
- Verwalten von Incidents in Microsoft Defender
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.