Aracılığıyla paylaş

Varlıkları araştırma

  • Makale

Kimlik için Microsoft Defender, Microsoft Defender XDR kullanıcılara kullanıcıların, bilgisayarların ve cihazların ne zaman şüpheli etkinlikler gerçekleştirdiğini veya tehlikeye girdiğini gösteren kanıtlar sağlar.

Bu makale, kuruluşunuz için riskleri belirleme, düzeltme konusunda karar verme ve gelecekte benzer saldırıları önlemenin en iyi yolunu belirleme konusunda öneriler sunar.

Şüpheli kullanıcılar için araştırma adımları

Not

Microsoft Defender XDR'da kullanıcı profillerini görüntüleme hakkında bilgi için Microsoft Defender XDR belgelerine bakın.

Bir uyarı veya olay kullanıcının şüpheli veya tehlikeye girmiş olabileceğini gösteriyorsa, aşağıdaki ayrıntılar ve etkinlikler için kullanıcı profilini denetleyin ve araştırın:

  • Kullanıcı kimliği

    • Kullanıcı hassas bir kullanıcı mı (yönetici veya izleme listesi gibi)?
    • Kuruluştaki rolleri nedir?
    • Kuruluş ağacında önemli mi?

  • Aşağıdakiler gibi şüpheli etkinlikleri araştırın:

    • Kullanıcının Kimlik için Defender'da veya Uç Nokta için Microsoft Defender, Bulut için Microsoft Defender ve/veya Microsoft Defender for Cloud Apps gibi diğer güvenlik araçlarında başka açık uyarıları var mı?
    • Kullanıcı oturum açmada başarısız oldu mu?
    • Kullanıcı hangi kaynaklara erişmiş?
    • Kullanıcı yüksek değerli kaynaklara erişmiş mi?
    • Kullanıcının eriştikleri kaynaklara erişmesi mi gerekiyordu?
    • Kullanıcı hangi cihazlarda oturum açmıştı?
    • Kullanıcının bu cihazlarda oturum açması mı gerekiyordu?
    • Kullanıcı ile hassas kullanıcı arasında yanal hareket yolu (LMP) var mı?

Hesabın tehlikeye girmiş gibi görünüp görünmediğini veya şüpheli etkinliklerin kötü amaçlı eylemlere neden olup olmadığını belirlemek için bu soruların yanıtlarını kullanın.

Kimlik bilgilerini aşağıdaki Microsoft Defender XDR alanlarında bulabilirsiniz:

  • Bireysel kimlik ayrıntıları sayfaları
  • Tek tek uyarı veya olay ayrıntıları sayfası
  • Cihaz ayrıntıları sayfaları
  • Gelişmiş tehdit avcılığı sorguları
  • İşlem merkezi sayfası

Örneğin, aşağıdaki görüntü kimlik ayrıntıları sayfasındaki ayrıntıları gösterir:

Microsoft Defender portalında belirli bir kullanıcının sayfasının ekran görüntüsü.

Kimlik ayrıntıları

Belirli bir kimliği araştırdığınızda, kimlik ayrıntıları sayfasında aşağıdaki ayrıntıları görürsünüz:

Kimlik ayrıntıları sayfa alanı Açıklama
Genel Bakış sekmesi Microsoft Entra kimlik risk düzeyi, kullanıcının oturum açtığı cihaz sayısı, kullanıcı ilk ve son görüldüğü zaman, kullanıcının hesapları ve daha önemli bilgiler gibi genel kimlik verileri.

Olaylar ve uyarılar, araştırma öncelik puanı, kuruluş ağacı, varlık etiketleri ve puanlanmış etkinlik zaman çizelgesi grafiklerini görüntülemek için Genel Bakış sekmesini kullanın.
Olaylar ve uyarılar Uyarı önem derecesi ve uyarının oluşturulma zamanı gibi ayrıntılar da dahil olmak üzere son 180 günün etkin olaylarını ve kullanıcıyla ilgili uyarıları Listeler.
Kuruluşta gözlemlenen Aşağıdaki alt alanları içerir:
- Cihazlar: Son 180 gün içinde en çok ve en az kullanılanlar da dahil olmak üzere, kimliğin oturum açtığı cihazlar.
- Konumlar: Kimliğin son 30 gün içindeki gözlemlenen konumları.
- Gruplar: Kimlik için gözlemlenen tüm şirket içi gruplar.
- Yanal hareket yolları - şirket içi ortamdan tüm profilli yanal hareket yolları.
Kimlik zaman çizelgesi Zaman çizelgesi, son 180 gün içinde kullanıcının kimliğinden gözlemlenen etkinlikleri ve uyarıları temsil eder; Kimlik için Microsoft Defender, Microsoft Defender for Cloud Apps ve Uç Nokta için Microsoft Defender.

Kullanıcının gerçekleştirdiği veya belirli zaman çerçevelerinde gerçekleştirilen etkinliklere odaklanmak için zaman çizelgesini kullanın. Zaman aralığını başka bir yerleşik değerle veya özel bir aralıkla değiştirmek için varsayılan 30 günü seçin.
Düzeltme eylemleri Hesaplarını devre dışı bırakarak veya parolalarını sıfırlayarak güvenliği aşılmış kullanıcılara yanıt verin. Kullanıcılar üzerinde işlem yaptıktan sonra, Microsoft Defender XDR **İşlem merkezinde etkinlik ayrıntılarını de kontrol edebilirsiniz.

Not

Araştırma Önceliği Puanı 3 Aralık 2025'te kullanım dışı bırakılmıştır. Sonuç olarak, hem Araştırma Önceliği Puanı dökümü hem de puanlanan etkinlik zaman çizelgesi kartları kullanıcı arabiriminden kaldırılmıştır.

Daha fazla bilgi için Microsoft Defender XDR belgelerindeki Kullanıcıları araştırma bölümüne bakın.

Şüpheli gruplar için araştırma adımları

Bir uyarı veya olay araştırması bir Active Directory grubuyla ilgiliyse, aşağıdaki ayrıntılar ve etkinlikler için grup varlığını denetleyin:

  • Grup varlığı

    • Grup, Etki Alanı Yöneticileri gibi hassas bir grup mu?
    • Grup hassas kullanıcıları içeriyor mu?

  • Aşağıdakiler gibi şüpheli etkinlikleri araştırın:

    • Grubun, Kimlik için Defender'da veya bulut ve/veya Microsoft Defender for Cloud Apps için Uç Nokta için Microsoft Defender, Microsoft Defender gibi diğer güvenlik araçlarında başka açık, ilgili uyarıları var mı?
    • Gruba son eklenen veya gruptan kaldırılan kullanıcılar hangileridir?
    • Grup kısa süre önce sorgulandı mı ve kim tarafından sorgulandı?

Araştırmanıza yardımcı olması için bu soruların yanıtlarını kullanın.

Araştırmak için grup varlığı ayrıntıları bölmesinden Avlanmaya git veya Zaman çizelgesini aç'ı seçin. Grup bilgilerini aşağıdaki Microsoft Defender XDR alanlarında da bulabilirsiniz:

  • Tek tek uyarı veya olay ayrıntıları sayfası
  • Cihaz veya kullanıcı ayrıntıları sayfaları
  • Gelişmiş tehdit avcılığı sorguları

Örneğin, aşağıdaki görüntüde, son 180 güne ait ilgili uyarılar ve etkinlikler de dahil olmak üzere Sunucu İşleçleri etkinlik zaman çizelgesi gösterilmektedir:

Grup Zaman Çizelgesi sekmesinin ekran görüntüsü.

Şüpheli cihazlar için araştırma adımları

Microsoft Defender XDR uyarı, her şüpheli etkinliğe bağlı tüm cihazları ve kullanıcıları listeler. Cihaz ayrıntıları sayfasını görüntülemek için bir cihaz seçin ve ardından aşağıdaki ayrıntılar ve etkinlikler için araştırma yapın:

  • Şüpheli etkinliğin olduğu zamanlarda ne oldu?

    • Cihazda hangi kullanıcı oturum açtı?
    • Bu kullanıcı normalde kaynak veya hedef cihazda oturum açar veya bu cihaza erişer mi?
    • Hangi kaynaklara erişildi? Hangi kullanıcılar tarafından? Kaynaklara erişildiyse, bunlar yüksek değerli kaynaklar mıydı?
    • Kullanıcının bu kaynaklara erişmesi mi gerekiyordu?
    • Cihaza erişen kullanıcı diğer şüpheli etkinlikleri gerçekleştirdi mi?

  • Araştırılması gereken daha şüpheli etkinlikler:

    • Diğer uyarılar, Kimlik için Defender'da veya bulut ve/veya Microsoft Defender for Cloud Apps için Uç Nokta için Microsoft Defender, Microsoft Defender gibi diğer güvenlik araçlarında bu uyarıyla aynı zamanda mı açıldı?
    • Başarısız oturum açma işlemleri var mıydı?
    • Yeni programlar dağıtıldı mı veya yüklendi mi?

Cihazın güvenliği aşılmış gibi görünüp görünmediğini veya şüpheli etkinliklerin kötü amaçlı eylemlere neden olup olmadığını belirlemek için bu soruların yanıtlarını kullanın.

Örneğin, aşağıdaki görüntüde bir cihaz ayrıntıları sayfası gösterilmektedir:

Cihaz ayrıntıları sayfasının ekran görüntüsü.

Daha fazla bilgi için Microsoft Defender XDR belgelerindeki Cihazları araştırma bölümüne bakın.

Sonraki adımlar

İpucu

Etkileşimli kılavuzumuzu deneyin: Kimlik için Microsoft Defender ile saldırıları araştırma ve yanıtlama