Udostępnij przez

Wykluczanie reguł analizy z korelacji w Microsoft Defender XDR (wersja zapoznawcza)

  • Dotyczy: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jak wykluczyć określone reguły analizy z aparatu korelacji Microsoft Defender XDR. Ta funkcja pomaga organizacjom migrować z Microsoft Sentinel zachować przewidywalne zachowanie zdarzeń i zapewnić zgodność z istniejącymi przepływami pracy automatyzacji.

Omówienie

Microsoft Defender XDR grupuje wiele alertów i zdarzeń w ujednolicone historie ataków. Chociaż ta funkcja zapewnia zaawansowane szczegółowe informacje o zabezpieczeniach, może prowadzić do nieoczekiwanego zachowania organizacji migrujących z Microsoft Sentinel, gdzie zdarzenia są statyczne i określane wyłącznie przez konfiguracje reguł analizy.

Wykluczając określone reguły analizy z korelacji, możesz upewnić się, że alerty generowane przez te reguły pomijają aparat korelacji i grupują zdarzenia dokładnie tak, jak w Microsoft Sentinel — tylko w oparciu o konfigurację grupowania reguły analizy.

Aby dowiedzieć się więcej na temat sposobu działania korelacji w Microsoft Defender XDR, zobacz Korelacja alertów i scalanie zdarzeń w portalu Microsoft Defender.

Wymagania wstępne

Aby wykluczyć reguły analizy z korelacji, potrzebne są następujące uprawnienia:

Microsoft Sentinel użytkownicy współautorów z tą rolą Azure mogą zarządzać danymi obszaru roboczego Microsoft Sentinel SIEM, w tym alertami i wykrywaniami.

Jak działa wykluczenie

Po wykluczeniu reguły analizy z korelacji:

  • Każdy alert wygenerowany przez tę regułę pomija aparat korelacji
  • Alerty są pogrupowane w zdarzenia oparte wyłącznie na konfiguracji grupowania reguły analizy
  • Zachowanie odpowiada sposobowi tworzenia zdarzeń w Microsoft Sentinel
  • Reguła działa niezależnie od logiki korelacji, która zwykle tworzy historie ataków

To wykluczenie jest kontrolowane przez dodanie tagu #DONT_CORR# na początku opisu reguły.

Wykluczanie reguły z korelacji przy użyciu interfejsu użytkownika

Regułę analizy można wykluczyć z korelacji przy użyciu przełącznika w kreatorze reguł analizy.

  1. Przejdź do portalu Microsoft Defender i zaloguj się.

  2. Przejdź do kreatora reguł analizy.

  3. Na karcie Ogólne kreatora reguł wprowadź i nazwę i opis.

  4. Na karcie Ustawianie logiki reguły skonfiguruj logikę reguły zgodnie z potrzebami.

  5. Na karcie Ustawienia zdarzenia upewnij się, że przełącznik Włącz korelację jest ustawiony na wartość Wyłączone.

    Zrzut ekranu przedstawiający interfejs użytkownika ustawień zdarzeń z przełącznikiem Włącz korelację ustawionym na Wyłączone.

  6. Ustaw przełącznik na Wł. , aby wykluczyć regułę z korelacji.

Po wykluczeniu reguły przy użyciu przełącznika interfejsu #DONT_CORR# użytkownika tag jest automatycznie dodawany do początku opisu reguły. Widok reguł analizy zawiera teraz kolumnę stanu korelacji, dzięki czemu można łatwo zobaczyć, które reguły są wykluczone, a także filtrować listę, aby wyświetlić reguły w określonym stanie.

Zrzut ekranu przedstawiający widok reguł analizy z kolumną Stan korelacji.

Ręczne wykluczanie reguły z korelacji

Możesz ręcznie dodać lub usunąć tag, #DONT_CORR# aby kontrolować stan korelacji reguły analizy.

Ręczne dodawanie tagu

  1. Otwórz regułę analizy w trybie edycji.

  2. W polu Opis reguły dodaj #DONT_CORR# na samym początku tekstu.

  3. Zapisz regułę.

Kontrolowanie wykluczania korelacji za pośrednictwem interfejsu API

Możesz programowo kontrolować stan wykluczania reguł analizy, dodając lub usuwając #DONT_CORR# tag za pośrednictwem interfejsu API analizy.

Aby zmodyfikować stan korelacji reguły:

  1. Użyj interfejsu API Microsoft Defender XDR, aby pobrać bieżącą konfigurację reguły.

  2. Dodaj lub usuń #DONT_CORR# tag na początku pola opisu reguły.

  3. Zaktualizuj regułę przy użyciu interfejsu API.

Aby uzyskać więcej informacji na temat korzystania z interfejsu API Microsoft Defender XDR, zobacz omówienie interfejsów API Microsoft Defender XDR.

Ważne zagadnienia

Podczas korzystania z wykluczenia korelacji należy pamiętać o następujących kwestiach:

  • Stan korelacji zawsze odpowiada tagowi. Jeśli wykluczysz regułę przy użyciu przełącznika interfejsu użytkownika, a następnie ręcznie usuniesz #DONT_CORR# tag z opisu, stan korelacji reguły powróci do włączonej korelacji.

  • Wszystkie reguły analizy mają domyślnie włączoną korelację, chyba że zostanie jawnie wykluczona.

  • Nawet jeśli reguła jest wykluczona z korelacji, jeśli reguła analizy jest zdefiniowana z tytułem dynamicznym, tytuł zdarzenia w portalu usługi Defender może różnić się od tytułu w Microsoft Sentinel. Tytuł Microsoft Sentinel jest tytułem pierwszego alertu, a w usłudze Defender wraca do wspólnej taktyki MITRE wszystkich alertów.

  • Zmiana stanu korelacji reguły nie wpływa na alerty utworzone przed zmianą. Alerty otrzymują stan korelacji podczas tworzenia, a ten stan pozostaje statyczny.

  • Aparat korelacji jest przeznaczony do tworzenia kompletnych historii ataków i znacznie pomaga analitykom SOC zrozumieć ataki i efektywnie reagować. Wykluczaj reguły z korelacji tylko wtedy, gdy jest to konieczne dla określonych wymagań biznesowych lub operacyjnych.

  • Reguły formatowania tagów

    • Nie uwzględnia wielkość liter — można użyć dowolnej kombinacji wielkich i małych liter (na przykład #dont_corr# lub #DONT_CORR#).
    • Odstępy są elastyczne — możesz dodać dowolną liczbę spacji między tagiem a resztą opisu lub w ogóle nie spacje.
    • Musi być na początku — tag musi być wyświetlany na początku pola opisu.

Na przykład poniżej przedstawiono wszystkie prawidłowe opisy:

  • #DONT_CORR# Ta reguła wykrywa podejrzane próby logowania
  • #dont_corr# Ta reguła monitoruje modyfikacje plików
  • Reguła #DONT_CORR#This nie ma miejsca po tagu

Następne kroki

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

  • Last updated on