Aracılığıyla paylaş


Güvenlik uyarıları ve olaylar

Bu makalede, Bulut için Microsoft Defender güvenlik uyarıları ve bildirimleri açıklanmaktadır.

Güvenlik uyarıları nedir?

Güvenlik uyarıları, azure, karma veya çoklu bulut ortamlarınızda tehditler tanımlandığında Bulut için Defender iş yükü koruma planları tarafından oluşturulan bildirimlerdir.

  • Güvenlik uyarıları, belirli kaynak türleri için Defender planlarını etkinleştirdiğinizde kullanılabilen gelişmiş algılamalar tarafından tetiklenir.
  • Her uyarı, etkilenen kaynakların, sorunların ve düzeltme adımlarının ayrıntılarını sağlar.
  • Bulut için Defender uyarıları sınıflandırır ve önem derecelerine göre önceliklendirir.
  • Uyarıyla ilgili kaynak bu süre boyunca silinmiş olsa bile uyarılar portalda 90 gün boyunca görüntülenir. Bunun nedeni uyarının kuruluşunuzda daha fazla araştırılması gereken olası bir ihlali gösterebilmesidir.
  • Uyarılar CSV biçimine aktarılabilir.
  • Uyarılar doğrudan Microsoft Sentinel, Güvenlik Düzenleme Otomatik Yanıtı (SOAR) veya BT Hizmet Yönetimi (ITSM) çözümü gibi bir Güvenlik Bilgileri ve Olay Yönetimi'ne (SIEM) de aktarılabilir.
  • Bulut için DefenderMiTRE Saldırı Matrisi, uyarıları algılanan amaçlarıyla ilişkilendirerek güvenlik etki alanı bilgisinin resmileştirilmesine yardımcı olur.

Uyarılar nasıl sınıflandırılır?

Uyarılar, her uyarıya nasıl katılılacağına öncelik vermek için atanmış bir önem düzeyine sahiptir. Önem derecesi şu temellere dayanır:

  • Belirli tetikleyici
  • Uyarıya yol açan etkinliğin ardında kötü amaçlı bir amaç olduğuna ilişkin güvenilirlik düzeyi
Önem Önerilen yanıt
Yüksek Kaynağınızın gizliliğinin tehlikeye girmiş olma olasılığı yüksektir. Hemen araştırmalısın. Bulut için Defender hem kötü amaçlı amada hem de uyarıyı vermek için kullanılan bulgulara yüksek güveni vardır. Örneğin, kimlik bilgisi hırsızlığı için kullanılan yaygın bir araç olan Mimikatz gibi bilinen bir kötü amaçlı aracın yürütülmesini algılayan bir uyarı.
Medium Bu muhtemelen şüpheli bir etkinlik bir kaynağın gizliliğinin tehlikeye girdiğini gösterebilir. Bulut için Defender analize veya bulmaya olan güveni orta, kötü amaçlı amacın güvenilirliği ise orta ve yüksektir. Bunlar genellikle makine öğrenmesi veya anomali tabanlı algılamalar (örneğin, olağan dışı bir konumdan oturum açma girişimi) olabilir.
Alçak Bu iyi huylu bir pozitif veya engellenen bir saldırı olabilir. Bulut için Defender amacın kötü amaçlı olduğundan ve etkinliğin masum olabileceğinden yeterince emin değildir. Örneğin, günlük temizleme, bir saldırgan izlerini gizlemeye çalıştığında gerçekleşebilecek bir eylemdir, ancak çoğu durumda yöneticiler tarafından gerçekleştirilen rutin bir işlemdir. Bulut için Defender, incelemenizi önerdiğimiz ilginç bir durum olmadığı sürece genellikle saldırıların ne zaman engellendiğini söylemez.
Bilgi Bir olay genellikle bir dizi uyarıdan oluşur ve bazıları yalnızca bilgilendirme amaçlı olarak görünebilir, ancak diğer uyarılar bağlamında daha yakından bakmak gerekebilir.

Güvenlik olayları nedir?

Güvenlik olayı , ilgili uyarıların bir koleksiyonudur.

Olaylar size bir saldırının ve ilgili uyarıların tek bir görünümünü sağlar, böylece bir saldırganın yaptığı eylemleri ve etkilenen kaynakları hızlı bir şekilde anlayabilirsiniz.

Tehdit kapsamının nefesi arttıkça, en ufak bir risk tespit etme ihtiyacı da artar. Güvenlik analistlerinin farklı uyarıları önceliklendirmesi ve gerçek bir saldırıyı belirlemesi zordur. Uyarıları ve düşük uygunluk sinyallerini güvenlik olaylarıyla ilişkilendirerek Bulut için Defender analistlerin bu uyarı yorgunluğuyla başa çıkmasına yardımcı olur.

Bulutta saldırılar farklı kiracılarda gerçekleşebilir Bulut için Defender her Azure aboneliğinde bildirilen saldırı dizilerini analiz etmek için yapay zeka algoritmalarını birleştirebilir. Bu teknik, saldırı dizilerini yalnızca birbirleriyle tesadüfi olarak ilişkilendirilme yerine yaygın uyarı desenleri olarak tanımlar.

Bir olayla ilgili bir araştırma sırasında analistler genellikle tehdidin doğası ve nasıl hafifleteceklerine ilişkin bir karara ulaşmak için ek bağlama ihtiyaç duyarlar. Örneğin, ağ anomalisi algılandığında bile, ağda başka neler olduğunu anlamadan veya hedeflenen kaynakla ilgili olarak, bundan sonra hangi eylemlerin gerçekleştir gerektiğini anlamak zordur. Bir güvenlik olayı yardımcı olmak için yapıtları, ilgili olayları ve bilgileri içerebilir. Güvenlik olayları için sağlanan ek bilgiler, algılanan tehdit türüne ve ortamınızın yapılandırmasına bağlı olarak değişir.

Uyarıları olaylarla ilişkilendirme

Bulut için Defender uyarıları ve bağlamsal sinyalleri olaylarla ilişkilendirmektedir.

  • Bağıntı, kaynaklar genelindeki farklı sinyallere bakar ve güvenlik bilgileriyle yapay zekayı birleştirerek uyarıları analiz eder ve yeni saldırı düzenlerini ortaya çıktıklarında keşfeder.
  • Bir saldırının her adımı için toplanan bilgileri kullanarak Bulut için Defender bir saldırının adımları gibi görünen ancak aslında olmayan etkinlikleri de eleyebilir.

İpucu

Olay başvurusunda, olay bağıntısı tarafından oluşturulabilecek güvenlik olayının listesini gözden geçirin.

Bulut için Defender tehditleri nasıl algılar?

Gerçek tehditleri algılamak ve hatalı pozitif sonuçları azaltmak için Bulut için Defender kaynakları izler, tehditlere yönelik verileri toplar ve analiz eder ve genellikle birden çok kaynaktan gelen verileri ilişkilendirer.

Veri toplama ve sunuyu Bulut için Defender.

Microsoft girişimleri

Bulut için Microsoft Defender, Microsoft genelinde tehdit manzarasındaki değişiklikleri sürekli izleyen güvenlik araştırması ve veri bilimi ekiplerine sahip olmanın avantajlarından yararlanır. Buna aşağıdaki girişimler dahildir:

  • Microsoft güvenlik uzmanları: Microsoft’ta hukuk ve web saldırıcı algılama gibi uzman güvenlik alanlarında çalışan ekiplerle sürekli iletişim.

  • Microsoft güvenlik araştırması: Araştırmacılarımız sürekli olarak tehditleri araştırıyor. Bulutta ve şirket içinde küresel varlığımız nedeniyle geniş bir telemetri kümesine erişimimiz vardır. Geniş erişimli ve çeşitli veri kümeleri koleksiyonu, şirket içi tüketici ve kurumsal ürünlerimizin yanı sıra çevrimiçi hizmetler yeni saldırı düzenlerini ve eğilimlerini keşfetmemizi sağlar. Sonuç olarak Bulut için Defender, saldırganlar yeni ve giderek karmaşık hale gelen açıklardan yararlandıkça algılama algoritmalarını hızla güncelleştirebilir. Bu yaklaşık hızlı hareket eden bir ortama ayak uydurmanıza yardımcı olmaktadır.

  • Tehdit zekası izleme: Tehdit bilgileri mevcut veya yeni ortaya çıkan tehditler hakkında mekanizmalar, göstergeler, etkiler ve eyleme dönüştürülebilir öneriler içerir. Bu bilgileri güvenlik topluluğu içinde paylaşılır ve Microsoft, iç ve dış kaynaklardan gelen tehdit bilgisi akışlarını sürekli olarak izler.

  • Sinyal paylaşımı: Microsoft'un bulut ve şirket içi hizmetler, sunucular ve istemci uç nokta cihazlarından oluşan geniş portföyündeki güvenlik ekiplerinden alınan içgörüler paylaşılır ve analiz edilir.

  • Algılama ayarı: Gerçek müşteri veri kümelerine göre algoritmalar çalıştırılır ve güvenlik araştırmacıları, sonuçları doğrulamak üzere müşterilerle işbirliği yapar. Doğru ve yanlış pozitifler kullanılarak machine learning algoritmaları iyileştirilir.

Bu birleştirilmiş çalışmalar, anında yararlanabileceğiniz yeni ve geliştirilmiş algılamalarda doruk noktası oluşturur; yapmanız gereken bir işlem yoktur.

Güvenlik analizi

Bulut için Defender, imza tabanlı yaklaşımların çok ötesinde gelişmiş güvenlik analizi kullanır. Büyük veri ve machine learning teknolojilerindeki sıçramalar, tüm bulut yapısındaki olayları değerlendirmek için kullanılır: elle yaklaşımlar kullanılarak ve saldırıların gelişimi tahmin edilerek belirlenmesi imkansız olan tehditler algılanır. Bu güvenlik analizleri şunlardır:

Tümleşik tehdit bilgileri

Microsoft yoğun miktarda genel tehdit bilgisine sahiptir. Telemetri, Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Dijital Suçlar Birimi (DCU) ve Microsoft Güvenlik Yanıt Merkezi (MSRC) gibi birden çok kaynaktan akar. Araştırmacılar ayrıca büyük bulut hizmeti sağlayıcıları ve diğer üçüncü tarafların akışları arasında paylaşılan tehdit bilgileri bilgilerini de alır. Bulut için Microsoft Defender, bu bilgileri sizi bilinen kötü aktörlerden gelen tehditlere karşı uyarmak için kullanabilir.

Davranış analizi

Davranış analizi, verileri analiz eden ve bilinen modeller koleksiyonuyla karşılaştıran bir tekniktir. Ancak, bu modeller basit imzalar değildir. Bunlar büyük veri kümelerine uygulanan karmaşık machine learning algoritmaları aracılığıyla belirlenir. Bunlar, kötü amaçlı davranışların uzman analistler tarafından dikkatlice çözümlenmesiyle de belirlenir. Bulut için Microsoft Defender, sanal makine günlükleri, sanal ağ cihaz günlükleri, doku günlükleri ve diğer kaynakların analizine dayalı olarak güvenliği aşılmış kaynakları belirlemek için davranış analizi kullanabilir.

Anomali algılama

Bulut için Defender tehditleri tanımlamak için anomali algılamayı da kullanır. Büyük veri kümelerinden türetilen bilinen desenlere bağlı davranış analizinin aksine, anomali algılama daha "kişiselleştirilmiştir" ve dağıtımlarınıza özgü temellere odaklanır. Dağıtımlarınızın normal etkinliğini belirlemek için machine learning uygulanır ve sonra bir güvenlik olayını gösterebilecek aykırı değer koşullarını tanımlamak üzere kurallar oluşturulur.

Uyarıları dışarı aktarma

Uyarılarınızı Bulut için Defender dışında görüntülemek için çeşitli seçenekleriniz vardır:

  • Uyarılar panosunda CSV raporunu indirme, CSV'ye tek seferlik dışarı aktarma sağlar.
  • Ortam ayarlarından sürekli dışarı aktarma , Log Analytics çalışma alanlarına ve Event Hubs'a güvenlik uyarılarının ve önerilerinin akışlarını yapılandırmanıza olanak tanır. Daha fazla bilgi edinin.
  • Microsoft Sentinel bağlayıcısı, güvenlik uyarılarını Bulut için Microsoft Defender Microsoft Sentinel'e aktarır. Daha fazla bilgi edinin.

SIEM, SOAR veya BT Hizmet Yönetimi çözümüne uyarı akışı sağlama ve verileri sürekli dışarı aktarma hakkında bilgi edinin.

Sonraki adımlar

Bu makalede, Bulut için Defender'da kullanılabilen farklı uyarı türleri hakkında bilgi edindiyseniz. Daha fazla bilgi için bkz.