Microsoft Defender portalında olayların önceliklerini belirleme

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender portalındaki birleşik güvenlik operasyonları platformu bağıntı analizi uygular ve farklı ürünlerden gelen ilgili uyarıları ve otomatik araştırmaları bir olaya toplar. Microsoft Sentinel ve Defender XDR, tüm ürün paketinde birleşik platformda uçtan uca görünürlük göz önünde bulundurularak yalnızca kötü amaçlı olarak tanımlanabilen etkinliklerde benzersiz uyarılar tetikler. Bu görünüm, güvenlik analistlerinize kuruluşunuz genelindeki karmaşık tehditleri daha iyi anlamalarına ve bunlarla başa çıkmalarına yardımcı olan daha geniş bir saldırı hikayesi sunar.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformu için genel önizleme kapsamında sağlanır. Daha fazla bilgi için Microsoft Defender portalında Microsoft Sentinel'e bakın.

Olay kuyruğu

Olay kuyruğu cihazlar, kullanıcılar, posta kutuları ve diğer kaynaklar arasında oluşturulmuş bir olay koleksiyonunu gösterir. Olay önceliklerini belirleme ve olay önceliklendirme olarak bilinen bir bilgili siber güvenlik yanıtı kararı oluşturma amacıyla olayları sıralamanıza yardımcı olur.

İpucu

Ocak 2024'te, Olaylar sayfasını ziyaret ettiğinizde Defender Boxed görüntülenir. Defender Boxed, kuruluşunuzun 2023 süresince imza attığı güvenlik başarılarını, iyileştirmeleri ve yanıt eylemlerini öne çıkarır. Defender Boxed'ı yeniden açmak için Microsoft Defender portalında Olaylar'a gidin ve Defender Boxed'ınızı seçin.

Microsoft Defender portalının hızlı başlatılmasıyla Olaylar & uyarılar > Olaylar bölümünden olay kuyruğuna ulaşabilirsiniz. İşte bir örnek.

Microsoft Defender portalındaki Olaylar kuyruğunun ekran görüntüsü.

En son olaylar ve uyarılar'ı seçerek son 24 saat içinde alınan uyarı ve olay sayısının zaman çizelgesi grafiğini gösteren üst bölümün genişletilmesine geçiş yapın.

24 saatlik olay grafiğinin ekran görüntüsü.

Bunun altında, Microsoft Defender portalındaki olay kuyruğu son altı ayda görülen olayları görüntüler. En son olay listenin en üstündedir, böylece önce siz görebilirsiniz. Üstteki açılan listeden seçerek farklı bir zaman dilimi seçebilirsiniz.

Olay kuyruğunda, olayın farklı özelliklerine veya etkilenen varlıklara görünürlük sağlayan özelleştirilebilir sütunlar ( Sütunları özelleştir'i seçin) vardır. Bu filtreleme, analiz için olayların önceliklendirilmesiyle ilgili bilinçli bir karar vermenizi sağlar.

Olay sayfası filtresi ve sütun denetimlerinin ekran görüntüsü.

Olay adları

Bir bakışta daha fazla görünürlük elde Microsoft Defender XDR, etkilenen uç nokta sayısı, etkilenen kullanıcılar, algılama kaynakları veya kategoriler gibi uyarı özniteliklerine göre olay adlarını otomatik olarak oluşturur. Bu belirli adlandırma, olayın kapsamını hızlı bir şekilde anlamanıza olanak tanır.

Örneğin: Birden çok kaynak tarafından bildirilen birden çok uç noktada çok aşamalı olay.

Microsoft Sentinel'i birleşik güvenlik operasyonları platformuna eklediyseniz, Microsoft Sentinel'den gelen tüm uyarıların ve olayların adları büyük olasılıkla değiştirilmiştir (eklemeden önce mi yoksa eklemeden sonra mı oluşturulduklarından bağımsız olarak).

Otomasyon kurallarını tetikleme koşulu olarak olay adını kullanmaktan kaçınmanızı öneririz. Olay adı bir koşulsa ve olay adı değişirse kural tetiklenmez.

Filtre

Olay kuyruğu, uygulandığında ortamınızdaki tüm mevcut olayların kapsamlı bir taramasını gerçekleştirmenize veya belirli bir senaryoya veya tehdide odaklanmaya karar vermenize olanak tanıyan birden çok filtreleme seçeneği de sunar. Olay kuyruğuna filtre uygulamak, hangi olayın hemen ilgilenilmesi gerektiğini belirlemeye yardımcı olabilir.

Olay listesinin üstündeki Filtreler listesi, geçerli olarak uygulanan filtreleri gösterir.

Varsayılan olay kuyruğundan Filtre ekle açılan listesini seçerek gösterilen olay kümesini sınırlamak için olay kuyruğuna uygulanacak filtreleri belirtebilirsiniz. İşte bir örnek.

Microsoft Defender portalındaki olay kuyruğunun Filtreler bölmesi.

Kullanmak istediğiniz filtreleri seçin ve ardından listenin alt kısmındaki Ekle'yi seçerek kullanılabilir duruma getirin.

Artık seçtiğiniz filtreler, mevcut uygulanan filtrelerle birlikte gösterilir. Koşullarını belirtmek için yeni filtreyi seçin. Örneğin, "Hizmet/algılama kaynakları" filtresini seçtiyseniz, listeyi filtreleyen kaynakları seçmek için bu filtreyi seçin.

Filtre bölmesini, olay listesinin üzerindeki Filtreler listesinden herhangi birini seçerek de görebilirsiniz.

Bu tabloda, kullanılabilen filtre adları listelenir.

Filtre adı Açıklama/Koşullar
Durum Yeni, Sürüyor veya Çözümlendi'yi seçin.
Uyarı önem derecesi
Olay önem derecesi		 Bir uyarının veya olayın önem derecesi, varlıklarınız üzerindeki etkisini gösterir. Önem derecesi ne kadar yüksekse, etki o kadar büyük olur ve genellikle en acil dikkati gerektirir. Yüksek, Orta, Düşük veya Bilgilendirici'yi seçin.
Olay ataması Atanan kullanıcıyı veya kullanıcıları seçin.
Birden çok hizmet kaynağı Filtrenin birden fazla hizmet kaynağı için olup olmadığını belirtin.
Hizmet/algılama kaynakları Aşağıdakilerden birinden veya birden fazlasından gelen uyarıları içeren olayları belirtin:
  • Kimlik için Microsoft Defender
  • Bulut Uygulamaları için Microsoft Defender
  • Uç Nokta için Microsoft Defender
  • Microsoft Defender XDR
  • Office 365 için Microsoft Defender
  • Uygulama İdaresi
  • Microsoft Entra ID Koruması
  • Microsoft Veri Kaybı Önleme
  • Bulut için Microsoft Defender
  • Microsoft Sentinel

    Bu hizmetlerin çoğu, belirli bir hizmet içindeki diğer algılama kaynakları seçeneklerini ortaya çıkarmak için menüde genişletilebilir.
    		•
    Etiketler Listeden bir veya birden çok etiket adı seçin.
    Birden çok kategori Filtrenin birden fazla kategori için olup olmadığını belirtin.
    Kategori Görülen belirli taktiklere, tekniklere veya saldırı bileşenlerine odaklanmak için kategorileri seçin.
    Varlık Kullanıcı, cihaz, posta kutusu veya uygulama adı gibi bir varlığın adını belirtin.
    Veri duyarlılığı Bazı saldırılar, hassas veya değerli verileri sızdırmak için hedeflemeye odaklanır. Belirli duyarlılık etiketleri için bir filtre uygulayarak hassas bilgilerin ele geçirilip geçirilmemiş olabileceğini hızla belirleyebilir ve bu olayları ele geçirmeyi önceliklendikleyebilirsiniz.

    Bu filtre yalnızca Microsoft Purview Bilgi Koruması duyarlılık etiketleri uyguladığınızda bilgileri görüntüler.
    Cihaz grupları Bir cihaz grubu adı belirtin.
    İşletim sistemi platformu Cihaz işletim sistemlerini belirtin.
    Sınıflandırma İlgili uyarıların sınıflandırma kümesini belirtin.
    Otomatik araştırma durumu Otomatik araştırmanın durumunu belirtin.
    İlişkili tehdit Adlandırılmış bir tehdit belirtin.
    Uyarı ilkeleri Bir uyarı ilkesi başlığı belirtin.

    Varsayılan filtre, Durumu Yeni ve Devam Ediyor olan ve Yüksek, Orta veya Düşük önem derecesine sahip tüm uyarıları ve olayları göstermektir.

    Filtreler listesindeki bir filtrenin adında X işaretini seçerek filtreyi hızla kaldırabilirsiniz.

    Kaydedilen filtre sorguları Filtre kümesi oluştur'u seçerek olaylar sayfasında filtre kümeleri de oluşturabilirsiniz.> Hiçbir filtre kümesi oluşturulmadıysa , kaydetmek için Kaydet'i seçin.

    Microsoft Defender portalındaki olay kuyruğu için filtre oluşturma seçeneği.

    Özel filtreleri URL olarak kaydetme

    Olaylar kuyruğunda yararlı bir filtre yapılandırdıktan sonra, tarayıcı sekmesinin URL'sine yer işareti ekleyebilir veya web sayfasına, Word belgesine veya tercih ettiğiniz bir yere bağlantı olarak kaydedebilirsiniz. Yer işareti ekleme, olay kuyruğunun önemli görünümlerine tek tıklamayla erişmenizi sağlar, örneğin:

    • Yeni olaylar
    • Yüksek önem dereceli olaylar
    • Atanmamış olaylar
    • Yüksek önem derecesi, atanmamış olaylar
    • Bana atanan olaylar
    • Bana ve Uç Nokta için Microsoft Defender için atanan olaylar
    • Belirli bir etiket veya etikete sahip olaylar
    • Belirli bir tehdit kategorisine sahip olaylar
    • Belirli bir ilişkili tehdide sahip olaylar
    • Belirli bir aktörle ilgili olaylar

    Yararlı filtre görünümleri listenizi DERleyip URL olarak depoladıktan sonra, kuyruğunuzdaki olayları hızlı bir şekilde işlemek ve önceliklendirmek ve bunları sonraki atama ve analiz için yönetmek için kullanın.

    Olay listesinin üzerindeki ad veya kimlik Arama kutusundan, aradığınızı hızla bulmak için olayları çeşitli yollarla arayabilirsiniz.

    Olay adına veya kimliğine göre Arama

    Olay kimliğini veya olay adını yazarak doğrudan bir olay için Arama. Arama sonuçları listesinden bir olay seçtiğinizde, Microsoft Defender portalı olayın özelliklerini içeren ve araştırmanızı başlatabileceğiniz yeni bir sekme açar.

    Etkilenen varlıklar tarafından Arama

    Bir varlığı (kullanıcı, cihaz, posta kutusu, uygulama adı veya bulut kaynağı gibi) adlandırabilir ve bu varlıkla ilgili tüm olayları bulabilirsiniz.

    Zaman aralığı belirtme

    Varsayılan olay listesi, son altı ay içinde gerçekleşen olaylara yöneliktir. Takvim simgesinin yanındaki açılan kutudan şunları seçerek yeni bir zaman aralığı belirtebilirsiniz:

    • Bir gün
    • Üç gün
    • Bir hafta
    • 30 gün
    • 30 gün
    • Altı ay
    • Hem tarihleri hem de saatleri belirtebileceğiniz özel bir aralık

    Sonraki adımlar

    Hangi olayın en yüksek önceliğe sahip olduğunu belirledikten sonra seçin ve:

    • Etiketler, atama, hatalı pozitif olaylar ve açıklamalar için anında çözüm için olayın özelliklerini yönetin.
    • Araştırmalarınızı başlatın.

    Ayrıca bkz.

    İpucu

    Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.