Microsoft Defender portalında olaylar ve uyarılar
Microsoft Defender portalı, güvenlik tehditlerine maruz kalmanızı azaltmak, kurumsal güvenlik duruşunuzu geliştirmek, güvenlik tehditlerini algılamak ve ihlalleri araştırmak ve yanıtlamak için birleşik bir güvenlik hizmetleri kümesi sunar. Bu hizmetler portalda görüntülenen sinyalleri toplar ve üretir. İki ana sinyal türü şunlardır:
Uyarılar: Çeşitli tehdit algılama etkinliklerinden kaynaklanan sinyaller. Bu sinyaller ortamınızda kötü amaçlı veya şüpheli olayların oluştuğuna işaret eder.
Olaylar: İlgili uyarı koleksiyonlarını içeren ve bir saldırının tüm hikayesini anlatan kapsayıcılar. Tek bir olaydaki uyarılar, tüm Microsoft güvenlik ve uyumluluk çözümlerinin yanı sıra Bulut için Microsoft Sentinel ve Microsoft Defender aracılığıyla toplanan çok sayıda dış çözümden gelebilir.
Bağıntı ve araştırma için olaylar
Tek tek uyarıların dikkatinize sunduğu tehditleri araştırabilir ve azaltabilirsiniz ancak bu tehditler, size daha geniş ve karmaşık bir saldırı hikayesi hakkında hiçbir şey söylemeyen yalıtılmış oluşumlardır. Tek bir saldırı hikayesine ait olan uyarı gruplarını arayabilir, araştırabilir, araştırabilir ve ilişkilendirebilirsiniz, ancak bu size çok zaman, çaba ve enerjiye mal olur.
Bunun yerine, Microsoft Defender portalındaki bağıntı altyapıları ve algoritmalar, ilgili uyarıları otomatik olarak toplar ve ilişkilendirerek bu büyük saldırı hikayelerini temsil eden olaylar oluşturur. Defender, telemetri kaynaklarını sürekli izlemek ve açık olan olaylara daha fazla kanıt eklemek için yapay zekayı kullanarak aynı saldırı hikayesine ait olarak birden çok sinyal tanımlar. Olaylar birbiriyle ve genel saldırı hikayesiyle ilgili olduğu kabul edilen tüm uyarıları içerir ve hikayeyi çeşitli biçimlerde sunar:
- Uyarıların zaman çizelgeleri ve temel aldıkları ham olaylar
- Kullanılan taktiklerin listesi
- İlgili ve etkilenen tüm kullanıcıların, cihazların ve diğer kaynakların Listeler
- Hikayedeki tüm oyuncuların nasıl etkileşime geçtiğini gösteren görsel bir gösterim
- Defender XDR başlatılan ve tamamlanan otomatik araştırma ve yanıt işlemlerinin günlükleri
- Saldırı hikayesini destekleyen kanıt koleksiyonları: kötü aktörlerin kullanıcı hesapları ve cihaz bilgileri ve adresi, kötü amaçlı dosyalar ve işlemler, ilgili tehdit bilgileri vb.
- Saldırı hikayesinin metinsel özeti
Olaylar ayrıca araştırmalarınızı ve tehdit yanıtınızı yönetmenize ve belgelemenize yönelik bir çerçeve sağlar. Bu bağlamda olayların işlevselliği hakkında daha fazla bilgi için bkz. Microsoft Defender'de olayları yönetme.
Uyarı kaynakları ve tehdit algılama
Microsoft Defender portalındaki uyarılar birçok kaynaktan gelir. Bu kaynaklar, Microsoft Defender XDR parçası olan birçok hizmetin yanı sıra Microsoft Defender portalıyla değişen tümleştirme derecelerine sahip diğer hizmetleri içerir.
Örneğin, Microsoft Sentinel Microsoft Defender portalına eklendiğinde, Defender portalındaki bağıntı altyapısı, Microsoft Sentinel tarafından alınan ve Defender'ın Gelişmiş avcılık tablolarında bulabileceğiniz tüm ham verilere erişebilir.
Microsoft Defender XDR kendisi de uyarılar oluşturur. Defender XDR benzersiz bağıntı özellikleri, dijital varlığınızdaki Microsoft dışı tüm çözümler için başka bir veri analizi ve tehdit algılama katmanı sağlar. Bu algılamalar, Microsoft Sentinel analiz kuralları tarafından önceden sağlanan uyarılara ek olarak Defender XDR uyarı oluşturur.
Bu kaynakların her birinde, her mekanizmada tanımlanan kurallara göre uyarı oluşturan bir veya daha fazla tehdit algılama mekanizması vardır.
Örneğin, Microsoft Sentinel her biri kendi kurallarına sahip farklı türde uyarılar üreten en az dört farklı altyapıya sahiptir.
Araştırma ve yanıt için araçlar ve yöntemler
Microsoft Defender portalında olayların önceliklendirme, araştırma ve çözümünde otomatikleştirmeye veya başka bir şekilde yardımcı olacak araçlar ve yöntemler bulunur. Bu araçlar aşağıdaki tabloda verilmiştir:
| Araç/Yöntem | Açıklama |
|---|---|
| Olayları yönetme ve araştırma | Olaylarınızın önceliklerini önem derecesine göre ayarladığınızdan emin olun ve araştırmak için bunları inceleyin. Tehditleri aramak ve tehdit analiziyle yeni ortaya çıkan tehditlerin önüne geçmek için gelişmiş avcılığı kullanın. |
| Uyarıları otomatik olarak araştırma ve çözme | Microsoft Defender XDR bunu yapmak için etkinleştirilirse, otomasyon ve yapay zeka aracılığıyla Microsoft 365 ve Entra ID kaynaklarından gelen uyarıları otomatik olarak araştırabilir ve çözümleyebilir. |
| Otomatik saldırı kesintisi eylemlerini yapılandırma | Microsoft Defender XDR ve Microsoft Sentinel toplanan yüksek güvenilirlik sinyallerini kullanarak, tehdit içeren ve etkiyi sınırlayan makine hızında etkin saldırıları otomatik olarak kesintiye uğratın. |
| Microsoft Sentinel otomasyon kurallarını yapılandırma | Kaynaklarından bağımsız olarak olayların önceliklendirmesini, atamasını ve yönetimini otomatikleştirmek için otomasyon kurallarını kullanın. Kurallarınızı içeriklerine göre olaylara etiket uygulayacak şekilde yapılandırarak, gürültülü (hatalı pozitif) olayları bastıracak ve uygun ölçütleri karşılayan çözümlenmiş olayları kapatarak, bir neden belirterek ve açıklamalar ekleyerek ekibinizin verimliliğini daha da artırabilirsiniz. |
| Gelişmiş avcılık ile proaktif av | Defender portalında toplanan günlükleri sorgulayarak ağınızdaki olayları proaktif olarak incelemek için Kusto Sorgu Dili (KQL) kullanın. Gelişmiş avcılık, sorgu oluşturucusunun rahatlığını arayan kullanıcılar için kılavuzlu modu destekler. |
| Güvenlik için Microsoft Copilot ile yapay zekadan yararlanma | Karmaşık ve zaman alan günlük iş akışlarıyla analistleri desteklemek için yapay zeka ekleyin. Örneğin, Güvenlik için Microsoft Copilot net bir şekilde açıklanan saldırı hikayeleri, adım adım eyleme dönüştürülebilir düzeltme kılavuzu ve olay etkinliği özetlenmiş raporlar, doğal dil KQL avcılığı ve uzman kod analizi sağlayarak uçtan uca olay araştırması ve yanıtı konusunda yardımcı olabilir. Bu sayede tüm kaynaklardan alınan veriler arasında SOC verimliliğini iyileştirebilirsiniz. Bu özellik, Microsoft Sentinel kullanıcı ve varlık davranış analizi, anomali algılama, çok aşamalı tehdit algılama ve daha fazlası alanlarında birleştirilmiş platforma getirdiği diğer yapay zeka tabanlı işlevlere ek olarak sunulur. |
İpucu
Kuruluşunuzun son altı ay/yıl içindeki güvenlik başarılarını, iyileştirmelerini ve yanıt eylemlerini gösteren bir dizi kart olan Defender Boxed, her yılın Ocak ve Temmuz aylarında sınırlı bir süre için görünür. Defender Boxed vurgularınızı nasıl paylaşabileceğinizi öğrenin.
İlgili öğeler
Defender portalında uyarı bağıntısı ve olay birleştirme hakkında daha fazla bilgi edinmek için bkz. Microsoft Defender XDR'de uyarılar, olaylar ve bağıntı