Microsoft Defender XDR'de Kimlik için Defender güvenlik uyarılarını araştırma

Bu makalede, Microsoft Defender XDR'de Kimlik için Microsoft Defender güvenlik uyarılarıyla çalışmanın temelleri açıklanmaktadır.

Kimlik için Defender uyarıları, ayrılmış kimlik uyarısı sayfa biçimiyle Microsoft Defender XDR ile yerel olarak tümleştirilir.

Kimlik uyarısı sayfası, Kimlik için Microsoft Defender müşterilere daha iyi etki alanları arası sinyal zenginleştirmesi ve yeni otomatik kimlik yanıtı özellikleri sağlar. Güvende kalmanızı sağlar ve güvenlik operasyonlarınızın verimliliğini artırmaya yardımcı olur.

Microsoft Defender XDR aracılığıyla uyarıları araştırmanın avantajlarından biri, Kimlik için Microsoft Defender uyarıların paketteki diğer ürünlerin her birinden alınan bilgilerle daha da bağıntılı olmasıdır. Bu gelişmiş uyarılar, Office 365 için Microsoft Defender ve Uç Nokta için Microsoft Defender kaynaklı diğer Microsoft Defender XDR uyarı biçimleriyle tutarlıdır. Yeni sayfa, kimlikle ilişkili uyarıları araştırmak için başka bir ürün portalına gitme gereksinimini etkili bir şekilde ortadan kaldırır.

Kimlik için Defender'dan kaynaklanan uyarılar artık uyarıları otomatik olarak düzeltme ve şüpheli etkinliğe katkıda bulunabilecek araç ve işlemlerin azaltılması da dahil olmak üzere Microsoft Defender XDR otomatik araştırma ve yanıt (AIR) özelliklerini tetikleyebilir.

Önemli

Microsoft Defender XDR ile yakınsama kapsamında, bazı seçenekler ve ayrıntılar Kimlik için Defender portalındaki konumlarından değişti. Hem tanıdık hem de yeni özellikleri nerede bulabileceğinizi öğrenmek için lütfen aşağıdaki ayrıntıları okuyun.

Güvenlik uyarılarını gözden geçirme

Uyarılar sayfası, Olaylar sayfası, tek tek Cihazların sayfaları ve Gelişmiş tehdit avcılığı sayfası dahil olmak üzere birden çok konumdan uyarılara erişilebilir. Bu örnekte Uyarılar sayfasını gözden geçireceğiz.

Microsoft Defender XDR'de Olaylar ve uyarılar'a ve ardından Uyarılar'a gidin.

The Alerts menu item

Kimlik için Defender'dan gelen uyarıları görmek için sağ üstteki Filtre'yi seçin ve ardından Hizmet kaynakları'nın altında Kimlik için Microsoft Defender'ı seçin ve Uygula'yı seçin:

The filter for the Defender for Identity events

Uyarılar şu sütunlarda bilgilerle görüntülenir: Uyarı adı, Etiketler, Önem Derecesi, Araştırma durumu, Durum, Kategori, Algılama kaynağı, Etkilenen varlıklar, İlk etkinlik ve Son etkinlik.

The Defender for Identity events

Güvenlik uyarısı kategorileri

Kimlik için Defender güvenlik uyarıları, tipik bir siber saldırı sonlandırma zincirinde görülen aşamalar gibi aşağıdaki kategorilere veya aşamalara ayrılır.

Uyarıları yönetme

Uyarılardan birinin Uyarı adını seçerseniz, uyarıyla ilgili ayrıntıları içeren sayfaya gidersiniz. Sol bölmede Neler olduğunu içeren bir özet görürsünüz:

The What happened pane

Ne oldu kutusunun üstünde uyarının Hesaplar, Hedef Ana Bilgisayar ve Kaynak Konağı düğmeleri bulunur. Diğer uyarılar için ek konaklar, hesaplar, IP adresleri, etki alanları ve güvenlik grupları hakkındaki ayrıntılara yönelik düğmeler görebilirsiniz. İlgili varlıklar hakkında daha fazla bilgi edinmek için bunlardan birini seçin.

Sağ bölmede Uyarı ayrıntılarını görürsünüz. Burada daha fazla ayrıntı görebilir ve birkaç görev gerçekleştirebilirsiniz:

  • Bu uyarıyı sınıflandır - Burada bu uyarıyı Doğru uyarı veya Yanlış uyarı olarak belirleyebilirsiniz

    The page on which you can classify an alert

  • Uyarı durumu - SınıflandırmaYı Ayarla bölümünde uyarıyı Doğru veya Yanlış olarak sınıflandırabilirsiniz. Atanan'da, uyarıyı kendinize atayabilir veya atamasını kaldırabilirsiniz.

    The Alert state pane

  • Uyarı ayrıntıları - Uyarı ayrıntıları altında, belirli uyarı hakkında daha fazla bilgi bulabilir, uyarı türüyle ilgili belgelerin bağlantısını izleyebilir, uyarının hangi olayla ilişkili olduğunu görebilir, bu uyarı türüne bağlı otomatik araştırmaları gözden geçirebilir ve etkilenen cihazları ve kullanıcıları görebilirsiniz.

    The Alert details page

  • Açıklamalar ve geçmiş - Burada açıklamalarınızı uyarıya ekleyebilir ve uyarıyla ilişkili tüm eylemlerin geçmişini görebilirsiniz.

    The Comments & history page

  • Uyarıyı yönet - Uyarıyı yönet'i seçerseniz şunları düzenlemenizi sağlayacak bir bölmeye gidersiniz:

    • Durum - Yeni, Çözümlendi veya Devam ediyor'u seçebilirsiniz.

    • Sınıflandırma - Doğru uyarı veya Yanlış uyarı'yı seçebilirsiniz.

    • Açıklama - Uyarı hakkında bir açıklama ekleyebilirsiniz.

    • Uyarıyı yönet'in yanındaki üç noktayı seçerseniz uyarıyı başka bir olaya bağlayabilir, Gizleme kuralı oluştur (yalnızca önizleme müşterileri için kullanılabilir) veya Defender Uzmanlarına Sorun...

      The Manage alert option

      Uyarıyı bir Excel dosyasına da aktarabilirsiniz. Bunu yapmak için Dışarı Aktar'ı seçin .

      Dekont

      Excel dosyasında artık iki bağlantınız vardır: Kimlik için Microsoft Defender'da görüntüle ve Microsoft Defender XDR'de Görüntüle. Her bağlantı sizi ilgili portala getirir ve uyarı hakkında orada bilgi sağlar.

Uyarıları ayarlama

Uyarılarınızı ayarlayarak ve iyileştirerek hatalı pozitif sonuçları azaltarak ayarlayın. Uyarı ayarlama, SOC ekiplerinizin yüksek öncelikli uyarılara odaklanmasını ve sisteminizde tehdit algılama kapsamını geliştirmesini sağlar. Microsoft Defender XDR'de kanıt türlerini temel alan kural koşulları oluşturun ve kuralınızı koşullarınızla eşleşen herhangi bir kural türüne uygulayın.

Daha fazla bilgi için bkz . Uyarı ayarlama.

Ayrıca bkz.

Daha fazla bilgi edinin