Aracılığıyla paylaş


Güvenlik uyarıları - başvuru kılavuzu

Bu makale, Bulut için Microsoft Defender ve etkinleştirilmiş Microsoft Defender planlarından alabileceğiniz güvenlik uyarılarını listeleyen sayfalara bağlantılar sağlar. Ortamınızda görüntülenen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.

Not

Microsoft Defender Tehdit Analizi ve Uç Nokta için Microsoft Defender tarafından desteklenen son eklenen uyarılardan bazıları belgelenmemiş olabilir.

Bu sayfa ayrıca MITRE ATT&CK matrisinin 9. sürümüyle hizalanmış Bulut için Microsoft Defender sonlandırma zincirini açıklayan bir tablo içerir.

Bu uyarılara nasıl yanıt vereceğinizi öğrenin.

Uyarıları dışarı aktarmayı öğrenin.

Not

Farklı kaynaklardan gelen uyarıların görünmesi farklı zaman alabilir. Örneğin, ağ trafiğinin analizini gerektiren uyarıların görünmesi, sanal makinelerde çalışan şüpheli işlemlerle ilgili uyarılardan daha uzun sürebilir.

Kategoriye göre güvenlik uyarısı sayfaları

MITRE ATT&CK taktikleri

Bir saldırının amacını anlamak, olayı daha kolay araştırmanıza ve raporlamanıza yardımcı olabilir. Bu çabalara yardımcı olmak için, Bulut için Microsoft Defender uyarılar birçok uyarı içeren MITRE taktiklerini içerir.

Keşiften veri sızdırmaya kadar bir siber saldırının ilerlemesini açıklayan adımlar dizisi genellikle "sonlandırma zinciri" olarak adlandırılır.

Bulut için Defender desteklenen sonlandırma zinciri amaçları, MITRE ATT&CK matrisinin 9. sürümünü temel alır ve aşağıdaki tabloda açıklanmıştır.

Taktik ATT&CK Sürümü Açıklama
PreAttack PreAttack , kötü amaçlı bir amaç ne olursa olsun belirli bir kaynağa erişme girişimi veya açıklardan yararlanmadan önce bilgi toplamak için hedef sisteme erişim elde etme girişimi başarısız olabilir. Bu adım genellikle hedef sistemi taramak ve bir giriş noktasını tanımlamak için ağ dışından gelen bir girişim olarak algılanır.
İlk Erişim V7, V9 İlk Erişim, saldırganın saldırıya uğrayan kaynağa bir ayak dayanağı almayı başardığı aşamadır. Bu aşama, işlem konakları ve kullanıcı hesapları, sertifikalar vb. kaynaklar için geçerlidir. Tehdit aktörleri genellikle bu aşamadan sonra kaynağı denetleyebilecektir.
Kalıcılık V7, V9 Kalıcılık, bir sistemde tehdit aktörlerine kalıcı bir iletişim durumu sağlayan herhangi bir erişim, eylem veya yapılandırma değişikliğidir. Tehdit aktörlerinin genellikle sistem yeniden başlatmaları, kimlik bilgileri kaybı veya bir uzaktan erişim aracının yeniden başlatılmasını veya yeniden erişim kazanmaları için alternatif bir arka kapı sağlamasını gerektirecek diğer hatalar gibi kesintiler aracılığıyla sistemlere erişimi sürdürmesi gerekir.
Ayrıcalık Yükseltme V7, V9 Ayrıcalık yükseltme, bir saldırganın bir sistem veya ağ üzerinde daha yüksek düzeyde izin almasına olanak tanıyan eylemlerin sonucudur. Belirli araçların veya eylemlerin çalışması için daha yüksek bir ayrıcalık düzeyi gerekir ve işlem boyunca birçok noktada büyük olasılıkla gereklidir. Belirli sistemlere erişme veya saldırganların hedeflerine ulaşmaları için gerekli olan belirli işlevleri gerçekleştirme izinleri olan kullanıcı hesapları da ayrıcalık yükseltmesi olarak kabul edilebilir.
Savunma Kaçamak V7, V9 Savunma kaçışı, bir saldırganın algılamadan kaçınmak veya diğer savunmalardan kaçınmak için kullanabileceği tekniklerden oluşur. Bazen bu eylemler, belirli bir savunmayı veya azaltmayı azaltmanın ek avantajı olan diğer kategorilerdeki tekniklerle (veya varyasyonlarıyla) aynıdır.
Kimlik Bilgisi Erişimi V7, V9 Kimlik bilgisi erişimi, kurumsal bir ortamda kullanılan sistem, etki alanı veya hizmet kimlik bilgilerine erişim veya bu kimlik bilgileri üzerinde denetime neden olan teknikleri temsil eder. Saldırganlar büyük olasılıkla ağ içinde kullanmak üzere kullanıcılardan veya yönetici hesaplarından (yerel sistem yöneticisi veya yönetici erişimi olan etki alanı kullanıcıları) meşru kimlik bilgilerini almayı dener. Bir saldırgan, ağ içinde yeterli erişimle ortamda daha sonra kullanmak üzere hesaplar oluşturabilir.
Bulma V7, V9 Keşif, saldırganın sistem ve iç ağ hakkında bilgi edinebilmesini sağlayan tekniklerden oluşur. Saldırganlar yeni bir sisteme erişim elde ettiğinde, artık neleri denetlediklerine ve bu sistemden hangi avantajların yetkisiz erişim sırasında geçerli hedeflerine veya genel hedeflerine verdikleri avantajlara yönelmeleri gerekir. İşletim sistemi, bu ödün verme sonrası bilgi toplama aşamasında yardımcı olan birçok yerel araç sağlar.
LateralMovement V7, V9 Yanal hareket, bir saldırganın bir ağdaki uzak sistemlere erişmesini ve bu sistemleri denetlemesini sağlayan tekniklerden oluşur ve uzak sistemlerde araçların yürütülmesini içermeyebilir. Yanal hareket teknikleri, bir saldırganın uzaktan erişim aracı gibi daha fazla aracı gerekmeden sistemden bilgi toplamasına olanak sağlayabilir. Saldırgan, araçların uzaktan Yürütülmesi, daha fazla sistem için özetleme, belirli bilgilere veya dosyalara erişim, daha fazla kimlik bilgilerine erişim veya bir etkiye neden olmak gibi birçok amaçla yanal hareket kullanabilir.
Yürütme V7, V9 Yürütme taktiği, yerel veya uzak bir sistemde, istenmeyen bir kişi denetlenen kodun yürütülmesiyle sonuçlanan teknikleri temsil eder. Bu taktik genellikle bir ağdaki uzak sistemlere erişimi genişletmek için yanal hareketle birlikte kullanılır.
Koleksiyon V7, V9 Koleksiyon, sızdırmadan önce hedef ağdan hassas dosyalar gibi bilgileri tanımlamak ve toplamak için kullanılan tekniklerden oluşur. Bu kategori, bir sistem veya ağdaki saldırganların dışarı sızmak için bilgi arayabileceği konumları da kapsar.
Komut ve Denetim V7, V9 Komut ve denetim taktiği, saldırganların bir hedef ağ içindeki kontrolleri altındaki sistemlerle nasıl iletişim kursalar onu temsil eder.
Sızdırma V7, V9 Sızdırma, saldırganın hedef ağdan dosya ve bilgi kaldırmasına neden olan veya yardımcı olan teknikleri ve öznitelikleri ifade eder. Bu kategori, bir sistem veya ağdaki saldırganların dışarı sızmak için bilgi arayabileceği konumları da kapsar.
Etki V7, V9 Etki olayları öncelikli olarak bir sistemin, hizmetin veya ağın kullanılabilirliğini veya bütünlüğünü doğrudan azaltmaya çalışır; bir iş veya operasyonel süreci etkilemek için verilerin işlenmesini de içerir. Bu genellikle fidye yazılımı, yüz değiştirme, veri işleme ve diğerleri gibi tekniklere başvurur.

Not

Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Sonraki adımlar