Aracılığıyla paylaş

Microsoft Defender portalında olayları araştırma

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender portalı, tüm varlıklarınızdaki ilişkili uyarıları, varlıkları, araştırmaları ve kanıtları bir olaya sunarak bir saldırının tüm kapsamına kapsamlı bir bakış sunar.

Bir olay içinde uyarıları analiz eder, bunların ne anlama geldiğini anlar ve etkili bir düzeltme planı oluşturabilmeniz için kanıtları harmanlarsınız.

İlk araştırma

Ayrıntılara girmeden önce, olayın özelliklerine ve saldırı hikayesinin tamamına göz atın.

Onay işareti sütunundan olayı seçerek başlayabilirsiniz. İşte bir örnek.

Microsoft Defender portalında bir olay seçme

Bunu yaptığınızda, olayın ayrıntıları, önerilen eylemler ve ilgili tehditler gibi olayla ilgili önemli bilgilerin yerlendiği bir özet bölmesi açılır. İşte bir örnek.

Microsoft Defender portalında bir olayın özet ayrıntılarını görüntüleyen bölme.

Buradan Olay sayfasını aç'ı seçebilirsiniz. Bu, tam saldırı hikayesi bilgilerini ve uyarılar, cihazlar, kullanıcılar, araştırmalar ve kanıt sekmelerini bulabileceğiniz olayın ana sayfasını açar. Olay kuyruğundan olay adını seçerek bir olayın ana sayfasını da açabilirsiniz.

Not

Microsoft Security Copilot için sağlanan erişime sahip kullanıcılar, bir olayı açtıklarında ekranın sağ tarafında Copilot bölmesini görür. Copilot, olayları araştırmanıza ve yanıtlamanıza yardımcı olacak gerçek zamanlı içgörüler ve öneriler sağlar. Daha fazla bilgi için bkz. Microsoft Defender'da Microsoft Copilot.

Saldırı hikayesi

Saldırı hikayeleri, saldırının tüm hikayesini aynı sekmede görüntülerken saldırıları hızla gözden geçirmenize, araştırmanıza ve düzeltmenize yardımcı olur. Ayrıca varlık ayrıntılarını gözden geçirmenize ve bir dosyayı silme veya bağlamı kaybetmeden bir cihazı yalıtma gibi düzeltme eylemleri gerçekleştirmenize olanak tanır.

Saldırı hikayesi aşağıdaki videoda kısaca açıklanmıştır.

Saldırı hikayesinin içinde uyarı sayfasını ve olay grafiğini bulabilirsiniz.

Olay uyarısı sayfasında şu bölümler vardır:

  • Uyarı hikayesi:

    • Ne oldu
    • Gerçekleştirilen eylemler
    • İlgili olaylar

  • Sağ bölmedeki uyarı özellikleri (durum, ayrıntılar, açıklama ve diğerleri)

Her uyarının Uyarı hikayesi bölümünde listelenen tüm alt bölümlere sahip olmadığını unutmayın.

Grafikte saldırının tam kapsamı, saldırının zaman içinde ağınız üzerinden nasıl yayıldığı, nereden başladığı ve saldırganın ne kadar ileri gittiği gösterilir. Saldırının parçası olan farklı şüpheli varlıkları kullanıcılar, cihazlar ve posta kutuları gibi ilgili varlıklarına bağlar.

Grafikten şunları yapabilirsiniz:

  • Saldırının kronolojisini anlamak için zaman içinde gerçekleşen uyarıları ve düğümleri grafikte oynatın.

    Saldırı hikayesi grafı sayfasında uyarıların ve düğümlerin oynatıldığını gösteren ekran görüntüsü.

  • Varlık bölmesini açarak varlık ayrıntılarını gözden geçirmenizi ve dosyayı silme veya cihazı yalıtma gibi düzeltme eylemleri üzerinde işlem yapmanızı sağlar.

    Saldırı hikayesi graf sayfasındaki varlık ayrıntılarının gözden geçirilmesini gösteren ekran görüntüsü.

  • İlgili oldukları varlığa göre uyarıları vurgulayın.

  • Cihaz, dosya, IP adresi, URL, kullanıcı, e-posta, posta kutusu veya bulut kaynağının varlık bilgilerini arayın.

Git avla

Go hunt eylemi, bir varlıkla ilgili bilgileri bulmak için gelişmiş avcılık özelliğinden yararlanır. Go hunt sorgusu, araştırdığınız varlığı içeren olaylar veya uyarılar için ilgili şema tablolarını denetler. Varlıkla ilgili bilgileri bulmak için seçeneklerden herhangi birini belirleyebilirsiniz:

  • Tüm kullanılabilir sorguları görün– seçeneği araştırdığınız varlık türü için tüm kullanılabilir sorguları döndürür.
  • Tüm Etkinlik – sorgu, bir varlıkla ilişkili tüm etkinlikleri döndürür ve size olayın bağlamının kapsamlı bir görünümünü sağlar.
  • İlgili Uyarılar: Sorgu belirli bir varlığı içeren tüm güvenlik uyarılarını arar ve döndürür ve hiçbir bilgiyi kaçırmamanızı sağlar.

Saldırı hikayesindeki bir cihazda go hunt seçeneğini belirleme

Sonuçta elde edilen günlükler veya uyarılar, bir sonuç ve ardından Olaya bağla seçilerek bir olaya bağlanabilir.

Go hunt sorgu sonuçlarında olay seçeneğinin bağlantısını vurgulama

Olay veya ilgili uyarılar ayarladığınız bir analiz kuralının sonucuysa, diğer ilgili sonuçları görmek için Sorguyu çalıştır'ı da seçebilirsiniz.

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Saldırı yolları

Olay grafiği, saldırı yolları hakkında da bilgi içerir. Bu yollar, güvenlik analistlerinin bir saldırganın daha sonra hedef alma olasılığı olan diğer varlıkları belirlemesine olanak tanır. Saldırı yolunu görüntülemek için olay grafiğinde bir varlığa tıklayabilir ve Saldırı yollarını göster'i seçebilirsiniz. Saldırı yolları , kritik varlık etiketine sahip varlıklar için kullanılabilir.

Olay grafiğinde Saldırı yollarını göster eylemini vurgulama.

Saldırı yollarını göster'i seçtikten sonra, seçili varlık için saldırı yollarının listesini görüntüleyen bir yan bölme açılır. Saldırı yolları, saldırı yolu adı, giriş noktası, giriş noktası türü, hedef, hedef türü, hedef kritikliği gösteren bir tablo biçiminde görüntülenir.

Listeden bir saldırı yolu seçildiğinde, giriş noktasından hedefe giden saldırı yolunu gösteren saldırı yolu grafiği görüntülenir. Haritayı görüntüle'nin seçilmesi, saldırı yolunu tam olarak görüntülemek için yeni bir pencere açar.

Yan bölmede gösterilen saldırı yolu grafiği örneği.

Not

Bir saldırı yolunun ayrıntılarını görüntülemek için, Microsoft Defender portalında okuma erişim izinlerine ve Microsoft Güvenlik Korunma Düzeyi Yönetimi lisansına sahip olmanız gerekir.

Birleşik güvenlik işlemleri platformunda saldırı yolu ayrıntılarını görüntülemek için Sentinel Okuyucu rolü gereklidir. Yeni saldırı yolları oluşturmak için Güvenlik Yöneticisi rolü gereklidir.

Uyarılar

Uyarılar sekmesinde, olayla ilgili uyarılar için uyarı kuyruğu ve bunlar hakkında aşağıdaki gibi diğer bilgileri görüntüleyebilirsiniz:

  • Uyarıların önem derecesi.
  • Uyarıya katılan varlıklar.
  • Uyarıların kaynağı (Kimlik için Microsoft Defender, Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender, Defender for Cloud Apps, ve uygulama idaresi eklentisi).
  • Bu yüzden birbirlerine bağlandılar.

İşte bir örnek.

Microsoft Defender portalındaki bir olayın Uyarılar bölmesi

Varsayılan olarak uyarılar kronolojik olarak sıralanır ve bu sayede saldırının zaman içinde nasıl ilerlediğini görebilirsiniz. Bir olay içinde bir uyarı seçtiğinizde, Microsoft Defender XDR genel olayın bağlamı için uyarı bilgilerini görüntüler.

Uyarının olaylarını, tetiklenen diğer uyarıların geçerli uyarıya neden olduğunu ve cihazlar, dosyalar, kullanıcılar, bulut uygulamaları ve posta kutuları dahil olmak üzere saldırıyla ilgili tüm etkilenen varlıkları ve etkinlikleri görebilirsiniz.

İşte bir örnek.

Microsoft Defender portalındaki bir olay içindeki uyarının ayrıntıları.

Uyarıları araştırmak için uyarı kuyruğu ve uyarı sayfalarını kullanmayı öğrenin.

Varlık

Yeni Varlıklar sekmesiyle tüm varlıklarınızı tek bir yerde kolayca görüntüleyin ve yönetin. Bu birleşik görünüm Cihazlar, Kullanıcılar, Posta Kutuları ve Uygulamalar'ı içerir.

Varlıklar sekmesinde adının yanında toplam varlık sayısı görüntülenir. Varlıklar sekmesi seçilirken, bu kategorideki varlık sayısına sahip farklı kategorilerin listesi gösterilir.

Microsoft Defender portalındaki bir olayın Varlıklar sayfası

Aygıtları

Cihazlar görünümü, olayla ilgili tüm cihazları listeler. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Cihazlar sayfası

Listeden bir cihaz seçildiğinde, seçili cihazı yönetmenizi sağlayan bir çubuk açılır. Etiketleri hızla dışarı aktarabilir, yönetebilir, otomatik araştırma başlatabilir ve daha fazlasını yapabilirsiniz.

Cihazın ayrıntılarını, dizin verilerini, etkin uyarıları ve oturum açmış kullanıcıları görmek için cihazın onay işaretini seçebilirsiniz. Uç Nokta için Defender cihaz envanterinde cihaz ayrıntılarını görmek için cihazın adını seçin. İşte bir örnek.

Microsoft Defender portalındaki Varlıklar sayfasındaki Cihazlar seçenekleri.

Cihaz sayfasından cihaz hakkında tüm uyarıları, zaman çizelgesi ve güvenlik önerileri gibi ek bilgiler toplayabilirsiniz. Örneğin, Zaman Çizelgesi sekmesinden cihaz zaman çizelgesinde gezinebilir ve makinede gözlemlenen tüm olayları ve davranışları, tetiklenen uyarılarla birlikte kronolojik sırayla görüntüleyebilirsiniz.

Kullanıcılar

Kullanıcılar görünümü, olayın parçası olduğu veya olayla ilgili olduğu belirlenen tüm kullanıcıları listeler. İşte bir örnek.

Microsoft Defender portalındaki Kullanıcılar sayfası.

Kullanıcı hesabı tehdidinin, açığa çıkarmanın ve iletişim bilgilerinin ayrıntılarını görmek için kullanıcının onay işaretini seçebilirsiniz. Ek kullanıcı hesabı ayrıntılarını görmek için kullanıcı adını seçin.

Kullanıcıları araştırmak için ek kullanıcı bilgilerini görüntülemeyi ve bir olayın kullanıcılarını yönetmeyi öğrenin.

Posta kutu -ları

Posta Kutuları görünümü, olayın parçası olduğu veya olayla ilgili olduğu belirlenen tüm posta kutularını listeler. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Posta Kutuları sayfası.

Etkin uyarıların listesini görmek için posta kutusunun onay işaretini seçebilirsiniz. Office 365 için Defender için Gezgin sayfasında ek posta kutusu ayrıntılarını görmek için posta kutusu adını seçin.

Apps

Uygulamalar görünümü, olayın parçası veya olayla ilgili olduğu belirlenen tüm uygulamaları listeler. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Uygulamalar sayfası.

Etkin uyarıların listesini görmek için bir uygulamanın onay işaretini seçebilirsiniz. Defender for Cloud Apps için Gezgin sayfasında ek ayrıntıları görmek için uygulama adını seçin.

Bulut kaynakları

Bulut kaynakları görünümü, olayın parçası veya olayla ilgili olduğu belirlenen tüm bulut kaynaklarını listeler. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Bulut kaynakları sayfası.

Kaynağın ayrıntılarını ve etkin uyarıların listesini görmek için bulut kaynağının onay işaretini seçebilirsiniz. Ek ayrıntıları görmek ve tüm ayrıntılarını Bulut için Microsoft Defender'de görüntülemek için Bulut kaynağı sayfasını aç'ı seçin.

Sondajları

Araştırma sekmesi, bu olaydaki uyarılar tarafından tetiklenen tüm otomatik araştırmaları listeler. Otomatik araştırmalar, otomatik araştırmalarınızı Uç Nokta için Defender'da ve Office 365 için Defender çalışacak şekilde nasıl yapılandırdığınıza bağlı olarak düzeltme eylemleri gerçekleştirir veya analistin eylemleri onaylamasını bekler.

Microsoft Defender portalındaki bir olayın Araştırma sayfası

Araştırma ve düzeltme durumu hakkında tam bilgi için ayrıntılar sayfasına gitmek için bir araştırma seçin. Araştırmanın bir parçası olarak onay bekleyen eylemler varsa, Bunlar Bekleyen eylemler sekmesinde görünür. Olay düzeltme işleminin bir parçası olarak işlem yapın.

Ayrıca şunları gösteren bir Araştırma grafı sekmesi de vardır:

  • Uyarıların kuruluşunuzdaki etkilenen varlıklarla bağlantısı.
  • Hangi varlıkların hangi uyarılarla ilgili olduğu ve bunların saldırı hikayesinin bir parçası olması.
  • Olayın uyarıları.

Araştırma grafiği, saldırının parçası olan farklı şüpheli varlıkları kullanıcılar, cihazlar ve posta kutuları gibi ilgili varlıklarına bağlayarak saldırının tam kapsamını hızla anlamanıza yardımcı olur.

Daha fazla bilgi için bkz. Microsoft Defender XDR'de otomatik araştırma ve yanıt.

Kanıt ve Yanıt

Kanıt ve Yanıt sekmesi, olaydaki uyarılarda desteklenen tüm olayları ve şüpheli varlıkları gösterir. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Kanıt ve Yanıt sayfası

Microsoft Defender XDR, uyarılardaki tüm olayların desteklenen olaylarını ve şüpheli varlıkları otomatik olarak araştırır ve size önemli e-postalar, dosyalar, işlemler, hizmetler, IP Adresleri ve daha fazlası hakkında bilgi sağlar. Bu, olaydaki olası tehditleri hızla algılamanıza ve engellemenize yardımcı olur.

Analiz edilen varlıkların her biri bir karar (Kötü Amaçlı, Şüpheli, Temiz) ve bir düzeltme durumuyla işaretlenir. Bu, tüm olayın düzeltme durumunu ve sonraki adımları anlamanıza yardımcı olur.

Düzeltme eylemlerini onaylama veya reddetme

Düzeltme durumu Onay bekleniyor olan olaylar için bir düzeltme eylemini onaylayabilir veya reddedebilir, Gezgin'de açabilir veya Kanıt ve Yanıt sekmesinden Avlanmaya git seçeneğini kullanabilirsiniz. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Kanıt ve Yanıt yönetimi bölmesindeki Onayla\Reddet seçeneği.

Özet

Olayın göreli önemini değerlendirmek ve ilişkili uyarılara ve etkilenen varlıklara hızla erişmek için Özet sayfasını kullanın. Özet sayfası, olayla ilgili dikkat çekmeniz gereken en önemli şeylere bir anlık görüntü bakışı sağlar.

Microsoft Defender portalında bir olayın özet bilgilerini gösteren ekran görüntüsü.

Bilgiler bu bölümlerde düzenlenmiştir.

Bölüm Açıklama
Uyarılar ve kategoriler Saldırının sonlandırma zincirine karşı ne kadar gelişmiş olduğunu gösteren görsel ve sayısal bir görünüm. Diğer Microsoft güvenlik ürünlerinde olduğu gibi Microsoft Defender XDR de MITRE ATT&CK™ çerçevesiyle uyumludur. Uyarılar zaman çizelgesi, uyarıların oluştuğu kronolojik sırayı ve her uyarı için durumlarını ve adlarını gösterir.
Kapsam Etkilenen cihazların, kullanıcıların ve posta kutularının sayısını görüntüler ve varlıkları risk düzeyi ve araştırma önceliği sırasına göre listeler.
Uyarılar Olaya dahil olan uyarıları görüntüler.
Kanıt Olaydan etkilenen varlık sayısını görüntüler.
Olay bilgileri Olayın etiketler, durum ve önem derecesi gibi özelliklerini görüntüler.

Benzer olaylar

Bazı olayların Benzer olaylar sayfasında listelenen benzer olaylar olabilir. Bu bölümde benzer uyarılara, varlıklara ve diğer özelliklere sahip olaylar gösterilir. Bu, saldırının kapsamını anlamanıza ve ilgili olabilecek diğer olayları belirlemenize yardımcı olabilir. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Benzer olaylar sekmesini gösteren ekran görüntüsü.

İpucu

Kuruluşunuzun son altı ay/yıl içindeki güvenlik başarılarını, iyileştirmelerini ve yanıt eylemlerini gösteren bir dizi kart olan Defender Boxed, her yılın Ocak ve Temmuz aylarında sınırlı bir süre için görünür. Defender Boxed vurgularınızı nasıl paylaşabileceğinizi öğrenin.

Sonraki adımlar

Gerektiğinde:

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.