本文說明如何排除特定分析規則,排除 Microsoft Defender 全面偵測回應相關引擎。 此功能協助從 Microsoft Sentinel 遷移的組織維持可預測的事件行為,並確保與現有自動化工作流程相容。
概觀
Microsoft Defender 全面偵測回應多個警示與事件,整合成統一的攻擊故事。 雖然此能力提供強大的安全洞察,但對於從 Microsoft Sentinel 遷移過來的組織來說,也可能出現意外行為,因為事件是靜態且僅由分析規則設定決定的。
透過排除特定分析規則的相關性,你可以確保這些規則產生的警示繞過相關引擎,並根據分析規則的分組設定,完全像 Microsoft Sentinel 一樣分組成事件。
欲進一步了解 Microsoft Defender 全面偵測回應中的相關性運作方式,請參閱 Microsoft Defender 入口網站中的警示相關與事件合併。
必要條件
要排除分析規則與相關性,你需要以下權限:
Microsoft Sentinel 貢獻者擁有此 Azure 角色的用戶可管理 Microsoft Sentinel SIEM 工作空間資料,包括警示與偵測。
排除的運作方式
當你排除分析規則與相關性時:
- 該規則產生的任何警報都會繞過相關引擎
- 警示僅依分析規則的分組配置分組,將事件分組
- 這些行為與 Microsoft Sentinel 中事件的產生方式相符
- 此規則獨立於通常產生攻擊故事的相關邏輯
這種排除是透過在規則描述的開頭加上 #DONT_CORR# 標籤來控制的。
使用 UI 將規則排除在相關性之外
你可以在分析規則向導中用切換功能排除某個分析規則。
請前往 Microsoft Defender 入口網站並登入。
進入 分析規則精靈。
在規則精靈的 「一般 」標籤中,輸入名稱與描述。
在 Set 規則邏輯 標籤中,依需求設定規則邏輯。
在 事件設定 標籤中,確保啟用相關性切換被設定為 停用。
將開關設為 開啟 ,以排除該規則的相關性。
當你使用 UI 切換排除規則時,標籤 #DONT_CORR# 會自動加到規則描述的開頭。 分析規則檢視現在包含相關性狀態欄位,方便你查看哪些規則被排除,並篩選出特定狀態下的規則。
手動排除規則相關性
你可以手動新增或移除 #DONT_CORR# 標籤,以控制分析規則的相關狀態。
手動新增標籤
在編輯模式下開啟分析規則。
在規則的 描述 欄位,請在正文最開頭加上
#DONT_CORR#。儲存規則。
透過 API 進行控制相關排除
你可以透過 Analytics API 新增或移除 #DONT_CORR# 標籤,程式化控制分析規則的排除狀態。
要修改規則的相關狀態:
請使用 Microsoft Defender 全面偵測回應 API 取得規則目前的設定。
新增或移除
#DONT_CORR#規則描述欄位開頭的標籤。請使用 API 更新規則。
欲了解更多使用 Microsoft Defender 全面偵測回應 API 的資訊,請參閱 Microsoft Defender 全面偵測回應 API 概覽。
重要考量
使用相關性排除時請留意以下幾點:
相關狀態總是與標籤相符。 如果你用 UI 切換排除規則,然後手動從描述中移除
#DONT_CORR#標籤,規則的相關狀態會回復 為啟用相關性。除非明確排除,否則所有分析規則預設都啟用了相關性。
即使規則被排除在相關性之外,如果分析規則是以動態標題定義,Defender 入口網站中的事件標題可能與 Microsoft Sentinel 中的標題不同。 Microsoft Sentinel 這個標題是第一個警示的名稱,而在 Defender 中則回歸 MITRE 常見的警示策略。
更改規則的相關狀態不會影響變更前建立的警示。 警報在建立時會獲得相關狀態,且此狀態保持不變。
相關引擎設計用以建立完整的攻擊故事,並大幅幫助 SOC 分析師理解攻擊並有效回應。 僅在特定業務或營運需求必要時,排除規則相關性。
標籤格式規則
-
不區分大小寫 ——你可以使用大寫和小寫字母的任意組合,例如 (
#dont_corr#或#DONT_CORR#) 。 - 間距彈性很大——你可以在標籤和描述其他部分之間加任意空格,或完全不加空格。
- 必須在開頭 ——標籤必須出現在描述欄位的開頭。
-
不區分大小寫 ——你可以使用大寫和小寫字母的任意組合,例如 (
例如,以下都是有效的描述:
- #DONT_CORR# 此規則用於偵測可疑跡象
- #dont_corr# 此規則監控檔案修改
- #DONT_CORR#This 規則在標籤後沒有空格
後續步驟
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。