Office 365 için Microsoft Defender Güvenlik İşlemleri Kılavuzu

• Şunlara uygulanır:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Bu makalede, kuruluşunuzda Office 365 için Microsoft Defender başarıyla çalıştırma gereksinimleri ve görevlerine genel bir bakış sunun. Bu görevler, güvenlik operasyonları merkezinizin (SOC) e-posta ve işbirliğiyle ilgili güvenlik tehditlerini korumak, algılamak ve yanıtlamak için yüksek kaliteli, güvenilir bir yaklaşım sağlamasına yardımcı olur.

Bu kılavuzun geri kalanında SecOps personeli için gerekli etkinlikler açıklanmaktadır. Etkinlikler günlük, haftalık, aylık ve geçici olarak açıklayıcı görevler halinde gruplandırılır.

Bu kılavuzun yardımcı makalesi, Microsoft Defender portalının Olaylar sayfasındaki Office 365 için Defender olayları ve uyarıları yönetmeye yönelik bir genel bakış sağlar.

Microsoft Defender XDR Güvenlik İşlemleri Kılavuzu, planlama ve geliştirme için kullanabileceğiniz ek bilgiler içerir.

Bu bilgiler hakkında bir video için bkz https://youtu.be/eQanpq9N1Ps. .

Günlük etkinlikler

Microsoft Defender XDR Olayları kuyruğunun izlenmesi

Microsoft Defender portalındaki https://security.microsoft.com/incidents-queue(Olaylar kuyruğu olarak da bilinir) Olaylar sayfası, Office 365 için Defender'da aşağıdaki kaynaklardan olayları yönetmenize ve izlemenize olanak tanır:

• Uyarılar'a bakın.
• Otomatik araştırma ve yanıt (AIR).

Olaylar kuyruğu hakkında daha fazla bilgi için bkz. Microsoft Defender XDR olayları önceliklendirme.

Olaylar kuyruğunun izlenmesine yönelik önceliklendirme planınız, olaylar için aşağıdaki öncelik sırasını kullanmalıdır:

1. Kötü amaçlı olabilecek bir URL tıklaması algılandı.
2. Kullanıcının e-posta göndermesi kısıtlandı.
3. Şüpheli e-posta gönderme desenleri algılandı.
4. Email kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı olarak rapor edildi ve Birden çok kullanıcı e-postayı kötü amaçlı yazılım veya kimlik avı olarak bildirdi.
5. teslimden sonra kaldırılan kötü amaçlı dosya içeren iletileri Email, teslim sonrasında kaldırılan kötü amaçlı URL içeren iletileri Email ve teslim sonrasında kaldırılan bir kampanyadan gelen iletileri Email.
6. ETR geçersiz kılma nedeniyle kimlik avı teslim edildi, Kullanıcının Gereksiz Posta klasörü devre dışı bırakıldığından kimlik avı teslim edildi ve Kimlik avı ip izin ilkesi nedeniyle teslim edildi
7. ZAP devre dışı olduğundan kötü amaçlı yazılıma ve ZAP devre dışıbırakıldığından Kimlik avına engellenmedi.

Olay kuyruğu yönetimi ve sorumlu kişilikler aşağıdaki tabloda açıklanmıştır:

Etkinlik	Cadence	Açıklama	Kişilik
konumundaki Olaylar kuyruğundaki https://security.microsoft.com/incidents-queueolayları önceliklendirme.	Günlük	Office 365 için Defender tüm Orta ve Yüksek önem dereceli olayların önceliklendirildiğini doğrulayın.	Güvenlik operasyonları ekibi
Olaylar üzerinde Yanıt eylemlerini araştırın ve gerçekleştirin.	Günlük	Tüm olayları araştırın ve önerilen veya el ile yanıt eylemlerini etkin bir şekilde gerçekleştirin.	Güvenlik operasyonları ekibi
Olayları çözün.	Günlük	Olay düzeltildiyse, olayı çözün. Olayı çözmek, bağlantılı ve ilgili tüm etkin uyarıları çözer.	Güvenlik operasyonları ekibi
Olayları sınıflandırma.	Günlük	Olayları doğru veya yanlış olarak sınıflandırabilirsiniz. Gerçek uyarılar için tehdit türünü belirtin. Bu sınıflandırma, güvenlik ekibinizin tehdit desenlerini görmesine ve kuruluşunuzu onlardan korumasına yardımcı olur.	Güvenlik operasyonları ekibi

Hatalı pozitif ve hatalı negatif algılamaları yönetme

Office 365 için Defender'de, aşağıdaki konumlarda hatalı pozitif sonuçları (kötü olarak işaretlenmiş iyi postalar) ve hatalı negatifleri (hatalı postaya izin verilir) yönetirsiniz:

• Gönderimler sayfası (yönetici gönderimleri).
• Kiracı İzin Ver/Engelle Listesi
• Tehdit Gezgini

Daha fazla bilgi için bu makalenin devamında yer alan Hatalı pozitif ve hatalı negatif algılamaları yönetme bölümüne bakın.

Hatalı pozitif ve hatalı negatif yönetim ve sorumlu kişilikler aşağıdaki tabloda açıklanmıştır:

Etkinlik	Cadence	Açıklama	Kişilik
Microsoft'a https://security.microsoft.com/reportsubmissionadresinden hatalı pozitif ve hatalı negatifler gönderin.	Günlük	Yanlış e-posta, URL ve dosya algılamaları bildirerek Microsoft'a sinyaller sağlayın.	Güvenlik operasyonları ekibi
Yönetici gönderimi ayrıntılarını analiz edin.	Günlük	Microsoft'a yaptığınız gönderimler için aşağıdaki faktörleri anlayın: Hatalı pozitif veya yanlış negatife neden olan şey. gönderim sırasındaki Office 365 için Defender yapılandırmanızın durumu. Office 365 için Defender yapılandırmanızda değişiklik yapmanız gerekip gerekmediği.	Güvenlik operasyonları ekibi Güvenlik Yönetimi
konumundaki Kiracı İzin Ver/Engelle Listesine https://security.microsoft.com/tenantAllowBlockListblok girdileri ekleyin.	Günlük	Gerektiğinde hatalı negatif URL, dosya veya gönderen algılamaları için blok girdileri eklemek için Kiracı İzin Ver/Engelle Listesi'ni kullanın.	Güvenlik operasyonları ekibi
Karantinadan hatalı pozitif yayın.	Günlük	Alıcı iletinin yanlış karantinaya alındığını onayladıktan sonra, kullanıcılar için yayın isteklerini serbest bırakabilir veya onaylayabilirsiniz. Kullanıcıların kendi karantinaya alınan iletilerine (yayın veya istek yayını dahil) neler yapabileceğini denetlemek için bkz. Karantina ilkeleri.	Güvenlik operasyonları ekibi Mesajlaşma Ekibi

Teslim edilen postayla sonuçlanan kimlik avı ve kötü amaçlı yazılım kampanyalarını gözden geçirin

Etkinlik	Cadence	Açıklama	Kişilik
E-posta kampanyalarını gözden geçirin.	Günlük	adresinde kuruluşunuzu https://security.microsoft.com/campaignshedefleyen e-posta kampanyalarını gözden geçirin. İletilerin alıcılara teslimine neden olan kampanyalara odaklanın. Kullanıcı posta kutularında bulunan kampanyalardan iletileri kaldırın. Bu eylem yalnızca bir kampanya olaylardan, sıfır saatlik otomatik temizlemeden (ZAP) veya el ile düzeltme eylemleriyle düzeltilmemiş e-posta içerdiğinde gereklidir.	Güvenlik operasyonları ekibi

Haftalık etkinlikler

Office 365 için Defender raporlarda e-posta algılama eğilimlerini gözden geçirme

Office 365 için Defender'da, kuruluşunuzdaki e-posta algılama eğilimlerini gözden geçirmek için aşağıdaki raporları kullanabilirsiniz:

• Posta Akışı durum raporu
• Tehdit Koruması durum raporu

Etkinlik	Cadence	Açıklama	Kişilik
E-posta algılama raporlarını şu adreste gözden geçirin: https://security.microsoft.com/reports/TPSAggregateReportATP https://security.microsoft.com/mailflowStatusReport?viewid=type	Hafta -lık	İyi e-postayla karşılaştırıldığında kötü amaçlı yazılım, kimlik avı ve istenmeyen posta için e-posta algılama eğilimlerini gözden geçirin. Zaman içindeki gözlem, tehdit desenlerini görmenizi ve Office 365 için Defender ilkelerinizi ayarlamanız gerekip gerekmediğini belirlemenizi sağlar.	Güvenlik Yönetimi Güvenlik operasyonları ekibi

Tehdit analizini kullanarak yeni ortaya çıkan tehditleri izleme ve yanıtlama

Etkin ve popüler tehditleri gözden geçirmek için Tehdit analizini kullanın.

Etkinlik	Cadence	Açıklama	Kişilik
Tehdit analizindeki tehditleri adresinden https://security.microsoft.com/threatanalytics3gözden geçirin.	Hafta -lık	Tehdit analizi, aşağıdaki öğeler de dahil olmak üzere ayrıntılı analiz sağlar: GÇ'ler. Etkin tehdit aktörleri ve kampanyaları hakkında avcılık sorguları. Popüler ve yeni saldırı teknikleri. Kritik güvenlik açıkları. Yaygın saldırı yüzeyleri. Yaygın kötü amaçlı yazılım.	Güvenlik operasyonları ekibi Tehdit avcılığı ekibi

Kötü amaçlı yazılım ve kimlik avı için en çok hedeflenen kullanıcıları gözden geçirin

Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinin ayrıntılar alanındaki En çok hedeflenen kullanıcılar sekmesini (görünüm) kullanarak kötü amaçlı yazılım ve kimlik avı e-postasının en önemli hedefleri olan kullanıcıları bulun veya onaylayın.

Etkinlik	Cadence	Açıklama	Kişilik
konumundaki Tehdit Gezgini'nde https://security.microsoft.com/threatexplorerEn çok hedeflenen kullanıcılar sekmesini gözden geçirin.	Hafta -lık	Bu kullanıcılar için ilkeleri veya korumaları ayarlamanız gerekip gerekmediğini belirlemek için bu bilgileri kullanın. Aşağıdaki avantajları elde etmek için etkilenen kullanıcıları Öncelik hesaplarına ekleyin: Olaylar bunları etkilediğinde ek görünürlük. Yönetici posta akışı desenleri (öncelik hesabı koruması) için uyarlanmış buluşsal yöntemler. Öncelik hesapları raporu için Email sorunları	Güvenlik Yönetimi Güvenlik operasyonları ekibi

Kuruluşunuzu hedefleyen en önemli kötü amaçlı yazılım ve kimlik avı kampanyalarını gözden geçirin

Kampanya Görünümleri, kuruluşunuza yönelik kötü amaçlı yazılım ve kimlik avı saldırılarını gösterir. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de Kampanya Görünümleri.

Etkinlik	Cadence	Açıklama	Kişilik
Sizi etkileyen kötü amaçlı yazılımları ve kimlik avı saldırılarını gözden geçirmek için adresinden Kampanya Görünümleri'nihttps://security.microsoft.com/campaigns kullanın.	Hafta -lık	Saldırılar ve teknikler ve Office 365 için Defender neleri tanımlayıp engelleyebileceği hakkında bilgi edinin. Kampanya hakkında ayrıntılı bilgi için Kampanya Görünümleri'nde Tehdit raporunu indir'i kullanın.	Güvenlik operasyonları ekibi

Geçici etkinlikler

E-postayı el ile araştırma ve kaldırma

Etkinlik	Cadence	Açıklama	Kişilik
Tehdit Gezgini'nde https://security.microsoft.com/threatexplorer kullanıcı isteklerine göre hatalı e-postayı araştırın ve kaldırın.	Geçici	Son 30 günün herhangi bir e-postasında otomatik araştırma ve yanıt playbook'u başlatmak için Tehdit Gezgini'ndeki Araştırmayı tetikle eylemini kullanın. Araştırmayı el ile tetikleme, şunları merkezi olarak ekleyerek zaman ve çaba tasarrufu sağlar: Kök araştırma. Tehditleri tanımlama ve ilişkilendirme adımları. Bu tehditleri azaltmak için önerilen eylemler. Daha fazla bilgi için bkz . Örnek: Kullanıcı tarafından bildirilen kimlik avı iletisi bir araştırma playbook'u başlatır İsterseniz Tehdit Gezgini'ni kullanarak güçlü arama ve filtreleme özelliklerine sahip e-postaları el ile araştırabilir ve doğrudan aynı yerden el ile yanıt eylemi gerçekleştirebilirsiniz . Kullanılabilir el ile gerçekleştirilen eylemler: Gelen Kutusuna Taşı Gereksiz Öğeye Taşı Silinmiş öğelere gitme Geçici silme Sabit silme.	Güvenlik operasyonları ekibi

Tehditleri proaktif olarak avlama

Etkinlik	Cadence	Açıklama	Kişilik
Tehditler için düzenli ve proaktif avcılık: https://security.microsoft.com/threatexplorer https://security.microsoft.com/v2/advanced-hunting .	Geçici	Tehdit Gezgini ve Gelişmiş avcılık kullanarak tehditler için Arama.	Güvenlik operasyonları ekibi Tehdit avcılığı ekibi
Avlanma sorgularını paylaşın.	Geçici	Daha hızlı el ile tehdit avcılığı ve düzeltme için güvenlik ekibi içinde sık kullanılan ve yararlı sorguları etkin bir şekilde paylaşın. Gelişmiş tehdit avcılığındaTehdit izleyicilerini ve paylaşılan sorguları kullanın.	Güvenlik operasyonları ekibi Tehdit avcılığı ekibi
konumunda https://security.microsoft.com/custom_detectionözel algılama kurallarını İçerik Oluşturucu.	Geçici	İçerik Oluşturucu Gelişmiş Tehdit Avcılığı'nda Office 365 için Defender verileri temel alan olayları, desenleri ve tehditleri proaktif olarak izlemek için özel algılama kuralları. Algılama kuralları, eşleşen ölçütlere göre uyarılar oluşturan gelişmiş tehdit avcılığı sorguları içerir.	Güvenlik operasyonları ekibi Tehdit avcılığı ekibi

Office 365 için Defender ilkesi yapılandırmalarını gözden geçirin

Etkinlik	Cadence	Açıklama	Kişilik
konumundaki https://security.microsoft.com/configurationAnalyzerOffice 365 için Defender ilkelerinin yapılandırmasını gözden geçirin.	Geçici Aylık	Mevcut ilke ayarlarınızı Office 365 için Defender için önerilen Standart veya Katı değerlerle karşılaştırmak için Yapılandırma çözümleyicisini kullanın. Yapılandırma çözümleyicisi, kuruluşunuzun güvenlik duruşunu düşürebilecek yanlışlıkla veya kötü amaçlı değişiklikleri tanımlar. İsterseniz PowerShell tabanlı ORCA aracını da kullanabilirsiniz.	Güvenlik Yönetimi Mesajlaşma Ekibi
Office 365 için Defender'de algılama geçersiz kılmalarını gözden geçirin:https://security.microsoft.com/reports/TPSMessageOverrideReportATP	Geçici Aylık	Tehdit Koruması durum raporunda, kimlik avı olarak algılanan ancak ilke veya kullanıcı geçersiz kılma ayarları nedeniyle teslim edilen e-postayı gözden geçirmek için Verileri Sisteme göre görüntüle geçersiz kılma > Grafiği dökümünü kullanın. Kötü amaçlı olduğu belirlenen e-postaların teslimini önlemek için geçersiz kılmaları etkin bir şekilde araştırın, kaldırın veya hassas ayar yapın.	Güvenlik Yönetimi Mesajlaşma Ekibi

Kimlik sahtekarlığı ve kimliğe bürünme algılamalarını gözden geçirme

Etkinlik	Cadence	Açıklama	Kişilik
Spoof intelligence içgörülerini ve Kimliğe Bürünme algılama içgörülerini gözden geçirin: https://security.microsoft.com/spoofintelligence https://security.microsoft.com/impersonationinsight .	Geçici Aylık	Kimlik sahtekarlığı ve kimliğe bürünme algılamaları için filtrelemeyi ayarlamak için kimlik sahtekarlığı zekası içgörülerini ve kimliğe bürünme içgörülerini kullanın.	Güvenlik Yönetimi Mesajlaşma Ekibi

Öncelik hesabı üyeliğini gözden geçirme

Etkinlik	Cadence	Açıklama	Kişilik
adresinde kimlerin öncelik hesabı https://security.microsoft.com/securitysettings/userTagsolarak tanımlandığını gözden geçirin.	Geçici	Bu kullanıcılar için aşağıdaki avantajları elde etmek için, kurumsal değişikliklerle öncelik hesaplarının üyeliğini güncel tutun: Raporlarda daha iyi görünürlük. Olaylar ve uyarılarda filtreleme. Yönetici posta akışı desenleri (öncelik hesabı koruması) için uyarlanmış buluşsal yöntemler. Aşağıdaki bilgileri almak için diğer kullanıcılar için özel kullanıcı etiketlerini kullanın: Raporlarda daha iyi görünürlük. Olaylar ve uyarılarda filtreleme.	Güvenlik operasyonları ekibi

Ek

Office 365 için Microsoft Defender araçları ve süreçleri hakkında bilgi edinin

Güvenlik operasyonları ve yanıt ekibi üyelerinin Office 365 için Defender araçları ve özellikleri mevcut araştırmalarla ve yanıt süreçleriyle tümleştirmesi gerekir. Yeni araçlar ve özellikler hakkında bilgi edinmek zaman alabilir ancak bu, ekleme işleminin kritik bir parçasıdır. SecOps ve e-posta güvenlik ekibi üyelerinin Office 365 için Defender hakkında bilgi edinmelerinin en basit yolu, konumundaki https://aka.ms/mdoninjaNinja eğitim içeriğinin bir parçası olarak sağlanan eğitim içeriğini kullanmaktır.

İçerik, düzey başına birden çok modül içeren farklı bilgi düzeyleri (Temel Bilgiler, Ara ve Gelişmiş) için yapılandırılmıştır.

Belirli görevlere yönelik kısa videolar Office 365 için Microsoft Defender YouTube kanalında da sağlanır.

Office 365 için Defender etkinlikleri ve görevleri için izinler

Microsoft Defender portalında ve PowerShell'de Office 365 için Defender yönetme izinleri rol tabanlı erişim denetimi (RBAC) izin modelini temel alır. RBAC, microsoft 365 hizmetlerinin çoğu tarafından kullanılan izin modeliyle aynıdır. Daha fazla bilgi için bkz. Microsoft Defender portalındaki İzinler.

Not

Microsoft Entra ID'da Privileged Identity Management (PIM), SecOps personeline gerekli izinleri atamanın da bir yoludur. Daha fazla bilgi için bkz. Privileged Identity Management (PIM) ve neden Office 365 için Microsoft Defender ile kullanılacağı.

Aşağıdaki izinler (roller ve rol grupları) Office 365 için Defender kullanılabilir ve güvenlik ekibi üyelerine erişim vermek için kullanılabilir:

• Microsoft Entra ID: Office 365 için Defender dahil olmak üzere tüm Microsoft 365 hizmetleri için izin atayan merkezi roller. Microsoft Defender portalında Microsoft Entra rollerini ve atanmış kullanıcıları görüntüleyebilirsiniz, ancak bunları doğrudan orada yönetemezsiniz. Bunun yerine, Microsoft Entra rollerini ve üyelerini adresinde https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2Fyönetirsiniz. Güvenlik ekipleri tarafından en sık kullanılan roller şunlardır:

  • Güvenlik Yöneticisi
  • Güvenlik Okuyucusu

• Exchange Online ve Email & işbirliği: Office 365 için Microsoft Defender özgü izin veren roller ve rol grupları. Aşağıdaki roller Microsoft Entra ID'de kullanılamaz, ancak güvenlik ekipleri için önemli olabilir:

  • Önizleme rolü (Email & işbirliği): Araştırma etkinlikleri kapsamında e-posta iletilerini önizlemesi veya indirmesi gereken ekip üyelerine bu rolü atayın. Kullanıcıların Tehdit Gezgini (Gezgin) veya Gerçek zamanlı algılamaları ve Email varlık sayfasını kullanarak bulut posta kutularından gelen e-posta iletilerini önizlemesine ve indirmesine olanak tanır.

    Varsayılan olarak Önizleme rolü yalnızca aşağıdaki rol gruplarına atanır:

    • Veri Araştırmacısı
    • eBulma Yöneticisi

    Bu rol gruplarına kullanıcı ekleyebilir veya Önizlemerolü atanmış yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.

  • Arama ve Temizleme rolü (Email & işbirliği): AIR tarafından önerilen kötü amaçlı iletilerin silinmesini onaylayın veya Tehdit Gezgini gibi tehdit avcılığı deneyimlerindeki iletiler üzerinde el ile işlem yapın.

    Varsayılan olarak, Arama ve Temizleme rolü yalnızca aşağıdaki rol gruplarına atanır:

    • Veri Araştırmacısı
    • Kuruluş Yönetimi

    Bu rol gruplarına kullanıcı ekleyebilir veya Arama ve Temizleme rolünün atandığı yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.

  • Kiracı AllowBlockList Manager (Exchange Online): Kiracı İzin Ver/Engelle Listesindeki izin ver ve engelle girdilerini yönetin. URL'leri, dosyaları (dosya karması kullanarak) veya gönderenleri engellemek, teslim edilen kötü amaçlı e-postaları araştırırken yapmanız gereken yararlı bir yanıt eylemidir.

    Varsayılan olarak, bu rol Microsoft Entra ID değil yalnızca Exchange Online'daki Güvenlik İşleci rol grubuna atanır. Microsoft Entra ID'de Güvenlik İşleci rolü üyeliği, Kiracı İzin Ver/Engelle Listesi girdilerini yönetmenize izin vermez.

    Microsoft Entra ID'deki Güvenlik Yöneticisi veya Kuruluş yönetim rollerinin veya Exchange Online'deki ilgili rol gruplarının üyeleri, Kiracı İzin Ver/Engelle Listesi'ndeki girdileri yönetebilir.

SIEM/SOAR tümleştirmesi

Office 365 için Defender, verilerinin çoğunu bir dizi programlı API aracılığıyla kullanıma sunar. Bu API'ler iş akışlarını otomatikleştirmenize ve Office 365 için Defender özelliklerinden tam olarak yararlanmanıza yardımcı olur. Veriler Microsoft Defender XDR API'leri aracılığıyla sağlanır ve Office 365 için Defender mevcut SIEM/SOAR çözümleriyle tümleştirmek için kullanılabilir.

• Olay API'si: Office 365 için Defender uyarıları ve otomatik araştırmalar, Microsoft Defender XDR'daki olayların etkin parçalarıdır. Güvenlik ekipleri, tam saldırı kapsamını ve etkilenen tüm varlıkları birlikte gruplandırarak kritik öneme odaklanabilir.

• Olay akışı API'si: Gerçek zamanlı olayların ve uyarıların gerçekleştiği anda tek bir veri akışına gönderilmesine izin verir. Office 365 için Defender'de desteklenen olay türleri şunlardır:

  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo

  Olaylar, son 30 gün içindeki tüm e-postaların (kuruluş içi iletiler dahil) işlenmesinden alınan verileri içerir.

• Gelişmiş Tehdit Avcılığı API'si: Ürün arası tehdit avcılığı sağlar.

• Tehdit Değerlendirmesi API'si: İstenmeyen posta, kimlik avı URL'leri veya kötü amaçlı yazılım eklerini doğrudan Microsoft'a bildirmek için kullanılabilir.

Office 365 için Defender olayları ve ham verileri Microsoft Sentinel ile bağlamak için Microsoft Defender XDR (M365D) bağlayıcısını kullanabilirsiniz

Microsoft Defender API'lere API erişimini test etmek için aşağıdaki "Merhaba Dünya" örneğini kullanabilirsiniz: Microsoft Defender XDR REST API için Merhaba Dünya.

SIEM aracı tümleştirmesi hakkında daha fazla bilgi için bkz. SIEM araçlarınızı Microsoft Defender XDR ile tümleştirme.

Office 365 için Defender hatalı pozitif sonuçları ve hatalı negatifleri ele alın

Kullanıcı tarafından bildirilen iletiler ve e-posta iletilerinin yönetici gönderimleri, makine öğrenmesi algılama sistemlerimiz için kritik pozitif pekiştirici sinyallerdir. Gönderiler saldırıları gözden geçirmemize, önceliklendirmemize, hızla öğrenmemize ve azaltmamıza yardımcı olur. Hatalı pozitif sonuçları ve hatalı negatifleri etkin bir şekilde raporlamak, algılama sırasında hatalar yapıldığında Office 365 için Defender geri bildirim sağlayan önemli bir etkinliktir.

Kuruluşlar, kullanıcı tarafından bildirilen iletileri yapılandırmak için birden çok seçeneğe sahiptir. Yapılandırmaya bağlı olarak, kullanıcılar Microsoft'a hatalı pozitif veya hatalı negatifler gönderdiğinde güvenlik ekipleri daha etkin katılıma sahip olabilir:

• Kullanıcı tarafından bildirilen iletiler, Kullanıcı tarafından bildirilen ayarlar aşağıdaki ayarlardan biriyle yapılandırıldığında analiz için Microsoft'a gönderilir:

  • Bildirilen iletileri şu adresine gönderin: Yalnızca Microsoft.
  • Bildirilen iletileri şu adresine gönderin: Microsoft ve raporlama posta kutum.

  Güvenlik ekipleri üyeleri, operasyon ekibi kullanıcılar tarafından raporlanmamış hatalı pozitifler veya hatalı negatifler keşfettiğinde eklenti yöneticisi gönderimleri yapmalıdır.

• Kullanıcı tarafından bildirilen iletiler yalnızca kuruluşun posta kutusuna ileti gönderecek şekilde yapılandırıldığında, güvenlik ekipleri yönetici gönderimleri aracılığıyla kullanıcı tarafından bildirilen hatalı pozitif ve hatalı negatifleri etkin bir şekilde Microsoft'a göndermelidir.

Kullanıcı bir iletiyi kimlik avı olarak bildirdiğinde Office 365 için Defender bir uyarı oluşturur ve uyarı bir AIR playbook'unu tetikler. Olay mantığı, bu bilgileri mümkün olduğunda diğer uyarılarla ve olaylarla ilişkilendirmektedir. Bilgilerin bu şekilde birleştirilmesi, güvenlik ekiplerinin kullanıcı tarafından bildirilen iletileri önceliklendirmesine, araştırmasına ve yanıtlamasına yardımcı olur.

Hizmetteki gönderim işlem hattı, kullanıcı iletileri raporladığında ve yöneticiler ileti gönderdiğinde sıkı bir şekilde tümleşik bir işlem izler. Bu işlem şunları içerir:

• Gürültü azaltma.
• Otomatik önceliklendirme.
• Güvenlik analistleri ve insan iş ortağı makine öğrenmesi tabanlı çözümler tarafından puanlama.

Daha fazla bilgi için bkz. Office 365 için Defender - Microsoft Tech Community'de e-posta raporlama.

Güvenlik ekibi üyeleri, adresinden Microsoft Defender portalında https://security.microsoft.combirden çok konumdan gönderim yapabilir:

• Yönetici gönderme: Şüpheli istenmeyen postaları, kimlik avı, URL'leri ve dosyaları Microsoft'a göndermek için Gönderimler sayfasını kullanın.

• Aşağıdaki ileti eylemlerinden birini kullanarak doğrudan Tehdit Gezgini'nden:

  • Rapor temizleme
  • Kimlik avı bildirme
  • Kötü amaçlı yazılımları bildirme
  • İstenmeyen posta bildirme

  Toplu gönderim gerçekleştirmek için en fazla 10 ileti seçebilirsiniz. Bu yöntemler kullanılarak oluşturulan Yönetici gönderimler, Gönderiler sayfasındaki ilgili sekmelerde görünür.

Hatalı negatiflerin kısa vadeli hafifletilmesi için güvenlik ekipleri , Kiracı İzin Ver/Engelle Listesi'nde dosyalar, URL'ler ve etki alanları veya e-posta adresleri için blok girişlerini doğrudan yönetebilir.

Hatalı pozitif sonuçların kısa vadeli risk azaltması için, güvenlik ekipleri Kiracı İzin Ver/Engelle Listesi'nde etki alanları ve e-posta adresleri için izin verme girdilerini doğrudan yönetemez. Bunun yerine, e-posta iletisini hatalı pozitif olarak raporlamak için yönetici gönderimlerini kullanmaları gerekir. Yönergeler için bkz. Microsoft'a iyi e-posta bildirme.

Office 365 için Defender'de karantinaya almak tehlikeli veya istenmeyen iletileri ve dosyaları barındırıyor. Güvenlik ekipleri tüm kullanıcılar için tüm karantinaya alınmış iletileri görüntüleyebilir, yayımlayabilir ve silebilir. Bu özellik, hatalı pozitif bir ileti veya dosya karantinaya alındığında güvenlik ekiplerinin etkili bir şekilde yanıt vermesini sağlar.

Üçüncü taraf raporlama araçlarını Office 365 için Defender kullanıcı tarafından bildirilen iletilerle tümleştirme

Kuruluşunuz, kullanıcıların şüpheli e-postaları dahili olarak bildirmesine olanak tanıyan bir üçüncü taraf raporlama aracı kullanıyorsa, aracı Office 365 için Defender kullanıcı tarafından bildirilen ileti özellikleriyle tümleştirebilirsiniz. Bu tümleştirme, güvenlik ekiplerine aşağıdaki avantajları sağlar:

• Office 365 için Defender AIR özellikleriyle tümleştirme.
• Basitleştirilmiş önceliklendirme.
• Araştırma ve yanıt süresi azaltıldı.

Kullanıcı tarafından bildirilen iletilerin gönderildiği raporlama posta kutusunu, Microsoft Defender portalındaki Kullanıcı tarafından bildirilen ayarlar sayfasında belirtinhttps://security.microsoft.com/securitysettings/userSubmission. Daha fazla bilgi için bkz. Kullanıcı tarafından bildirilen ayarlar.

Not

• Raporlama posta kutusu bir Exchange Online posta kutusu olmalıdır.
• Üçüncü taraf raporlama aracı, bildirilen özgün iletiyi sıkıştırılmamış olarak içermelidir. EML veya . Raporlama posta kutusuna gönderilen iletideki MSG eki (özgün iletiyi yalnızca raporlama posta kutusuna iletmeyin). Daha fazla bilgi için bkz. Üçüncü taraf raporlama araçları için ileti gönderme biçimi.
• Raporlama posta kutusu, hatalı olabilecek iletilerin filtrelenmeden veya değiştirilmeden teslim edilmesine izin vermek için belirli önkoşullar gerektirir. Daha fazla bilgi için bkz . Raporlama posta kutusu için yapılandırma gereksinimleri.

Raporlanan bir ileti raporlama posta kutusuna ulaştığında, Office 365 için Defender kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı olarak bildirilen Email adlı uyarıyı otomatik olarak oluşturur. Bu uyarı bir AIR playbook'u başlatır. Playbook, bir dizi otomatik araştırma adımı gerçekleştirir:

• Belirtilen e-posta hakkında veri toplayın.
• Bu e-postayla ilgili tehditler ve varlıklar (örneğin, dosyalar, URL'ler ve alıcılar) hakkında veri toplayın.
• Araştırma bulgularına göre SecOps ekibinin gerçekleştirmesi önerilen eylemleri sağlayın.

kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı uyarıları olarak bildirilen Email, otomatik araştırma ve önerilen eylemleri Microsoft Defender XDR olaylarla otomatik olarak ilişkilendirilir. Bu bağıntı, güvenlik ekipleri için önceliklendirme ve yanıt sürecini daha da basitleştirir. Birden çok kullanıcı aynı veya benzer iletileri bildirirse, tüm kullanıcılar ve iletiler aynı olayla ilişkilendirilir.

Office 365 için Defender'daki uyarılardan ve araştırmalardan alınan veriler, diğer Microsoft Defender XDR ürünlerdeki uyarı ve araştırmalarla otomatik olarak karşılaştırılır:

• Uç Nokta için Microsoft Defender
• Bulut Uygulamaları için Microsoft Defender
• Kimlik için Microsoft Defender

Bir ilişki bulunursa sistem, saldırının tamamı için görünürlük sağlayan bir olay oluşturur.