Tehdit analizinde analist raporu
Şunlar için geçerlidir:
Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Her tehdit analizi raporu dinamik bölümler ve analist raporu adlı kapsamlı bir yazılı bölüm içerir. Bu bölüme erişmek için izlenen tehditle ilgili raporu açın ve Analist raporu sekmesini seçin.
Tehdit analizi raporunun analist raporu bölümü
Farklı analist rapor türlerini öğrenme
Tehdit analizi raporu aşağıdaki rapor türlerinden biri altında sınıflandırılabilir:
- Etkinlik profili – Genellikle bir tehdit aktörüyle ilişkili belirli bir saldırı kampanyası hakkında bilgi sağlar. Bu rapor bir saldırının nasıl gerçekleştiğini, bunu neden önemsemeniz gerektiğini ve Microsoft'un müşterilerini bu saldırıdan nasıl koruyup korumayabileceğinizi açıklar. Etkinlik profili ayrıca olayların zaman çizelgesi, saldırı zincirleri, davranışlar ve yöntemler gibi ayrıntıları da içerebilir.
- Aktör profili – Önemli siber saldırıların ardında belirli bir Microsoft tarafından izlenen tehdit aktörü hakkında bilgi sağlar. Bu raporda aktörün motivasyonları, sektör ve/veya coğrafi hedefleri ve taktikleri, teknikleri ve yordamları (TTP) ele alınmaktadır. Aktör profili ayrıca aktörün saldırı altyapısı, kötü amaçlı yazılım (özel veya açık kaynak) ve kullandığı açıklardan yararlanmalar ve parçası olduğu önemli olaylar veya kampanyalar hakkında bilgi içerebilir.
- Teknik profili – Tehdit aktörleri tarafından kullanılan belirli bir teknik (örneğin, PowerShell'in kötü amaçlı kullanımı veya iş e-posta güvenliğinin aşılmasında (BEC) kimlik bilgileri toplama) ve Microsoft'un teknikle ilişkili etkinlikleri algılayarak müşterilerini nasıl koruduğu hakkında bilgi sağlar.
- Tehdide genel bakış – Birden çok profil raporunu, bu raporları kullanan veya bunlarla ilişkili bir tehdidin daha geniş bir resmini çizen bir anlatı halinde özetler. Örneğin, tehdit aktörleri şirket içi kimlik bilgilerini çalmak için farklı teknikler kullanır ve şirket içi kimlik bilgisi hırsızlığıyla ilgili bir tehdit genel bakışı deneme yanılma saldırılarında, Kerberos saldırılarında veya bilgi çalma kötü amaçlı yazılımlarında teknik profillere bağlanabilir. Microsoft Tehdit Bilgileri, bu rapor türüne hangi tehdidin değer verebileceğini değerlendirmek için müşteri ortamlarını etkileyen en üst tehditlerde algılayıcılarını kullanır.
- Araç profili – Genellikle bir tehdit aktörüyle ilişkili belirli bir özel veya açık kaynak araç hakkında bilgi sağlar. Bu rapor aracın özelliklerini, onu kullanan tehdit aktörün gerçekleştirmeye çalıştığı hedefleri ve Microsoft'un kendisiyle ilişkili etkinlikleri algılayarak müşterilerini nasıl koruyabileceğini açıklar.
- Güvenlik açığı profili – Belirli bir Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) kimliği veya bir ürünü etkileyen benzer CV'ler grubu hakkında bilgi sağlar. Güvenlik açığı profili genellikle tehdit aktörleri tarafından kullanılanlar ve önemli saldırı kampanyaları gibi önemli güvenlik açıklarını açıklar. Aşağıdaki bilgi türlerinden birini veya daha fazlasını kapsar: güvenlik açığı türü, etkilenen hizmetler, sıfır gün veya vahşi kullanıma açık, önem derecesi ve olası etki ve Microsoft'un kapsamı.
Analist raporunu tarama
Analist raporunun her bölümü eyleme dönüştürülebilir bilgiler sağlamak için tasarlanmıştır. Raporlar farklılık gösterse de, çoğu rapor aşağıdaki tabloda açıklanan bölümleri içerir.
| Rapor bölümü | Açıklama |
|---|---|
| Yönetici özeti | Tehdidin anlık görüntüsü; ilk görüldüğü zamanları, motivasyonlarını, önemli olayları, ana hedefleri ve farklı araç ve teknikleri içerebilir. Bu bilgileri, sektörünüz, coğrafi konumunuz ve ağınız bağlamında tehdidi nasıl önceliklendirebileceğinizi daha fazla değerlendirmek için kullanabilirsiniz. |
| Genel bakış | Rapor türüne bağlı olarak bir saldırının ayrıntılarını ve saldırganların yeni bir tekniği veya saldırı yüzeyini nasıl kullanabileceğini içeren tehditle ilgili teknik analiz. Bu bölümde ayrıca daha fazla bağlam ve ayrıntı sağlamak için rapor türüne bağlı olarak farklı başlıklar ve daha fazla alt bölüm vardır. Örneğin, bir güvenlik açığı profilinin Etkilenen teknolojileri listeleyen ayrı bir bölümü bulunurken, aktör profili Araçlar ve TTP'ler ileİlişkilendirme bölümlerini içerebilir. |
| Algılamalar/Avcılık sorguları | Microsoft güvenlik çözümleri tarafından sağlanan ve tehditle ilişkili etkinlikleri veya bileşenleri ortaya çıkarabilen belirli ve genel algılamalar . Bu bölüm ayrıca olası tehdit etkinliğini proaktif olarak tanımlamak için avcılık sorguları sağlar. Sorguların çoğu, özellikle kötü amaçlı olabilecek bileşenleri veya kötü amaçlı olduğu dinamik olarak değerlendirilemeyen davranışları bulmak için ek algılamalar için sağlanır. |
| GÖZLEMLENEN MITRE ATT&CK teknikleri | Gözlemlenen teknikler MITRE ATT&CK saldırı çerçevesiyle nasıl eşlenir? |
| Öneriler | Tehdidi durdurabilecek veya tehdidin etkisini azaltmaya yardımcı olabilecek eyleme dönüştürülebilir adımlar. Bu bölüm, tehdit analizi raporunun bir parçası olarak dinamik olarak izlenmemiş risk azaltmaları da içerir. |
| Başvurular | Raporun oluşturulması sırasında analistler tarafından başvuruda bulunan Microsoft ve üçüncü taraf yayınları. Tehdit analizi içeriği, Microsoft araştırmacıları tarafından doğrulanan verileri temel alır. Genel kullanıma açık, üçüncü taraf kaynaklardan gelen bilgiler bu şekilde net bir şekilde tanımlanır. |
| Günlüğü Değiştir | Raporun yayımlandığı zaman ve raporda önemli değişiklikler yapıldığında. |
Her tehdidin nasıl algılanabilir olduğunu anlama
Analist raporu, tehdidi algılamaya yardımcı olabilecek çeşitli Microsoft çözümlerinden bilgiler de sağlar. Aşağıdaki bölümlerde listelenen ürünlerin her birinden bu tehdide özgü algılamaları uygun şekilde listeler. Bu tehditlere özgü algılamalardan gelen uyarılar, Tehdit analizi sayfasının uyarı durum kartlarında gösterilir.
Bazı analist raporları, şüpheli davranışı genel olarak işaretlemek için tasarlanmış ve izlenen tehditle ilişkilendirilmeyebilecek uyarılardan da bahseder. Bu gibi durumlarda rapor, uyarının ilgisiz tehdit etkinliği tarafından tetiklenebileceğini ve Tehdit analizi sayfasında sağlanan durum kartlarında izlendiğini açıkça belirtir.
Microsoft Defender Virüsten Koruma
Virüsten koruma algılamaları, Windows'ta virüsten koruma Microsoft Defender açık cihazlarda kullanılabilir. Bu algılamalar, uygun olduğunda Microsoft Güvenlik Zekası ilgili kötü amaçlı yazılım ansiklopedisi açıklamalarına bağlanır.
Uç Nokta için Microsoft Defender
Uç Nokta için Microsoft Defender eklenen cihazlar için uç nokta algılama ve yanıt (EDR) uyarıları oluşturulur. Bu uyarılar, Uç Nokta için Defender algılayıcısı tarafından toplanan güvenlik sinyallerini ve güçlü sinyal kaynakları görevi görecek virüsten koruma, ağ koruması, kurcalama koruması gibi diğer uç nokta özelliklerini kullanır.
Office 365 için Microsoft Defender
Office 365 için Defender algılamaları ve azaltmaları da analist raporlarına dahil edilir. Office 365 için Defender, e-posta, bağlantılar (URL), dosya ekleri ve işbirliği araçlarındaki tehditlere karşı koruma sağlayan Microsoft 365 abonelikleriyle sorunsuz bir tümleştirmedir.
Kimlik için Microsoft Defender
Kimlik için Defender , kuruluşunuz genelinde kimlik izlemenin güvenliğini sağlamanıza yardımcı olan bulut tabanlı bir güvenlik çözümüdür. Kuruluşunuza yönelik gelişmiş tehditleri daha iyi tanımlamanıza, algılamanıza ve araştırmanıza yardımcı olmak için hem şirket içi Active Directory hem de bulut kimliklerinden gelen sinyalleri kullanır.
Bulut Uygulamaları için Microsoft Defender
Defender for Cloud Apps, temel bulut erişimi güvenlik aracısı (CASB) işlevselliği, SaaS Güvenlik Duruş Yönetimi (SSPM) özellikleri, gelişmiş tehdit koruması ve uygulamadan uygulamaya koruma özelliklerini kullanarak bulut uygulaması verilerinizi izlemenize ve korumanıza yardımcı olan SaaS uygulamaları için tam koruma sağlar.
Bulut için Microsoft Defender
Bulut için Defender , bulut tabanlı uygulamaları çeşitli tehditlere ve güvenlik açıklarına karşı korumak için tasarlanmış güvenlik önlemleri ve uygulamalarından oluşan buluta özel bir uygulama koruma platformudur (CNAPP).
Gelişmiş tehdit avcılığı kullanarak küçük tehdit yapıtlarını bulma
Algılamalar izlenen tehdidi otomatik olarak tanımlamanıza ve durdurmanıza olanak sağlarken, birçok saldırı etkinliği daha fazla inceleme gerektiren ince izler bırakır. Bazı saldırı etkinlikleri de normal olabilecek davranışlar sergiler, bu nedenle bunları dinamik olarak algılamak işlemsel kirlilik ve hatta hatalı pozitif sonuçlara neden olabilir. Tehdit avcılığı sorguları, bu kötü amaçlı olabilecek bileşenleri veya davranışları proaktif olarak bulmanıza olanak sağlar.
Gelişmiş avcılık sorgularını Microsoft Defender XDR
Gelişmiş avcılık, tehdit etkinliğinin ince göstergelerini bulma işlemini basitleştiren Kusto Sorgu Dili dayalı bir sorgu arabirimi sağlar. Ayrıca bağlamsal bilgileri ortaya çıkmanızı ve göstergelerin bir tehdide bağlı olup olmadığını doğrulamanızı sağlar.
Analist raporlarındaki gelişmiş tehdit avcılığı sorguları Microsoft analistleri tarafından izlendi ve gelişmiş tehdit avcılığı sorgu düzenleyicisinde çalıştırmaya hazır. Gelecekteki eşleşmeler için uyarıları tetikleyen özel algılama kuralları oluşturmak için sorguları da kullanabilirsiniz.
sorguları Microsoft Sentinel
Analist raporları, Microsoft Sentinel müşteriler için geçerli avcılık sorguları da içerebilir.
Microsoft Sentinel, kuruluşunuzun veri kaynakları genelinde güvenlik tehditlerini avlamak için güçlü tehdit avcılığı arama ve sorgu araçlarına sahiptir. Güvenlik uygulamalarınız veya zamanlanmış analiz kurallarınız tarafından algılanmayan yeni anomalileri proaktif olarak aramanıza yardımcı olmak için, Sentinel tehdit avcılığı sorguları ağınızda zaten var olan verilerdeki sorunları bulmak için doğru soruları sorma konusunda size yol gösterir.
Ek risk azaltmaları uygulama
Tehdit analizi, belirli güvenlik güncelleştirmelerinin ve güvenli yapılandırmaların durumunu dinamik olarak izler. Bu tür bilgiler Uç Noktalar açığa çıkarmalar ve Önerilen eylemler sekmelerinde grafik ve tablo olarak kullanılabilir ve bu tehdit için geçerli olan ve diğer tehditler için de geçerli olabilecek yinelenebilir önerilerdir.
Analist raporu, izlenen bu önerilere ek olarak yalnızca raporda ele alınan tehdit veya duruma özgü olduğundan dinamik olarak izlenemeyen risk azaltmaları da tartışabilir. Aşağıda dinamik olarak izlenmemiş önemli risk azaltma örnekleri verilmiştir:
- .lnk ekleri veya diğer şüpheli dosya türleri olan e-postaları engelleme
- Yerel yönetici parolalarını rastgele belirleme
- Son kullanıcıları kimlik avı e-postası ve diğer tehdit vektörleri hakkında eğitme
- Belirli saldırı yüzeyi azaltma kurallarını açma
Güvenlik duruşunuzu bir tehdide karşı değerlendirmek için Uç Noktalar açığa çıkarmalar ve Önerilen eylemler sekmelerini kullanabilirsiniz ancak bu öneriler güvenlik duruşunuzu iyileştirmeye yönelik diğer adımları gerçekleştirmenize olanak sağlar. Analist raporundaki tüm risk azaltma kılavuzlarını dikkatle okuyun ve mümkün olduğunda uygulayın.
Ayrıca bkz.
- Tehdit analizine genel bakış
- Gelişmiş avcılık ile tehditleri proaktif olarak bulma
- Özel algılama kuralları
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.