Saldırı yollarını tanımlama ve düzeltme

Defender for Cloud, çoklu bulut ortamınıza özgü olası saldırı yollarını bulmak için özel durum algoritması kullanır. Defender for Cloud, geniş senaryolar yerine gerçek, dışarıdan yönlendirilebilen ve kötüye kullanılabilir tehditlere odaklanır. Algoritma, kuruluşunuzun dışından başlayan ve iş açısından kritik hedeflere ilerleyen saldırı yollarını algılayarak gürültüyü azaltmanıza ve daha hızlı işlem yapmanıza yardımcı olur.

Anında tehdit oluşturan ve ortamınızda en büyük kötüye kullanım potansiyeline sahip olan güvenlik sorunlarını gidermek için saldırı yolu analizini kullanabilirsiniz. Defender for Cloud, saldırganların ortamınızı ihlal etmek için kullanabileceği dış kullanıma açık saldırı yollarının parçası olan güvenlik sorunlarını analiz eder. Ayrıca bu sorunları azaltmak için çözmeniz gereken güvenlik önerilerini de vurgular.

Varsayılan olarak saldırı yolları risk düzeyine göre düzenlenir. Risk düzeyi, her kaynağın risk faktörlerini dikkate alan bağlama duyarlı bir risk önceliklendirme altyapısı tarafından belirlenir. Defender for Cloud'un güvenlik önerilerini nasıl önceliklendirdiği hakkında daha fazla bilgi edinin.

Önkoşullar

  • Defender Bulut Güvenliği Duruş Yönetimi (CSPM) etkinleştirilmeli ve aracısız tarama etkin olmalıdır.

  • Gerekli roller ve izinler: Güvenlik Okuyucusu, Güvenlik Yöneticisi, Okuyucu, Katkıda Bulunan veya Sahip.

Uyarı

Boş bir Saldırı Yolu sayfası görebilirsiniz; saldırı yolları artık geniş senaryolar yerine gerçek, dışarıdan yönlendirilebilen ve kötüye kullanılabilir tehditlere odaklanıyor. Bu, gürültüyü azaltmaya ve yakın riskleri önceliklendirmeye yardımcı olur.

Kapsayıcılarla ilgili saldırı yollarını görüntülemek için:

Saldırı yollarını belirleme

Ortamınız için en büyük riskleri bulmak ve bunları düzeltmek için Saldırı yolu analizini kullanabilirsiniz.

Saldırı yolu sayfasında tüm saldırı yollarınıza genel bir bakış gösterilir. Ayrıca etkilenen kaynaklarınızı ve etkin saldırı yollarının listesini de görebilirsiniz.

Örnek saldırı yolu giriş sayfasının ekran görüntüsü.

Azure portalında saldırı yollarını belirlemek için:

  1. Azure portalında oturum açın.

  2. Microsoft Defender for Cloud>Saldırı yol analizi sayfasına gidin.

    Ana ekrandaki saldırı yolu analiz sayfasını gösteren ekran görüntüsü.

  3. Bir saldırı yolu seçin.

  4. Bir düğüm seçin.

    Düğümlerin seçim için nerede bulunduğunu gösteren saldırı yolu ekranına ait bir ekran görüntüsü.

    Uyarı

    Özellikle abonelikler arasında sınırlı izinleriniz varsa tam saldırı yolu ayrıntılarını göremeyebilirsiniz. Bu, hassas verileri korumak için tasarlanmış beklenen bir davranıştır. Tüm ayrıntıları görüntülemek için gerekli izinlere sahip olduğunuzdan emin olun.

  5. İçgörüler düğmesini seçerek, ilgili düğümün içgörülerini görüntüleyin.

    Belirli bir düğüm için içgörüler sekmesinin ekran görüntüsü.

  6. Öneriler seçeneğini belirleyin.

    Ekranda önerilerin nerede seçildiğini gösteren ekran görüntüsü.

  7. Bir öneri seçin.

  8. Öneriyi düzeltin.

Defender portalında saldırı yollarını belirlemek için:

  1. Microsoft Defender portalında oturum açın.

  2. Pozlama Yönetimi>Saldırısı yüzeyi>Saldırı yolları'na gidin. Saldırı yollarınıza genel bir bakış görürsünüz.

    Saldırı yolları deneyimi birden çok görünüm sağlar:

    • Genel bakış sekmesi: Zaman içindeki saldırı yollarını, ilk 5 boğulma noktası, ilk 5 saldırı yolu senaryolarını, en iyi hedefleri ve en üst giriş noktalarını görüntüleme
    • Saldırı yolları listesi: Gelişmiş filtreleme özelliklerine sahip tüm saldırı yollarının dinamik, filtrelenebilir görünümü
    • Tıkanma noktaları: Birden çok saldırı yolunun yakınsadığı ve yüksek riskli tıkanma noktaları olarak işaretlenen düğüm noktalarının listesi

    Defender portalında saldırı yoluna genel bakış gösteren ekran görüntüsü.

    Uyarı

    Defender portalında, saldırı yolu analizi daha geniş Pozlama Yönetimi özelliklerinin bir parçasıdır ve diğer Microsoft güvenlik çözümleri ve birleşik olay bağıntısıyla gelişmiş tümleştirme sağlar.

  3. Saldırı yolları sekmesini seçin.

    Defender portalında saldırı yolu sayfasını gösteren Ekran Görüntüsü.

  4. Belirli saldırı yollarına odaklanmak için Saldırı yolları listesinde gelişmiş filtrelemeyi kullanın:

    • Risk düzeyi: Yüksek, Orta veya Düşük riskli saldırı yollarına göre filtreleme
    • Varlık türü: Belirli kaynak türlerine odaklanma
    • Düzeltme durumu: Çözümlenen, devam eden veya bekleyen saldırı yollarını görüntüleme
    • Zaman çerçevesi: Belirli zaman aralıklarına göre filtreleme (örneğin, son 30 gün)

  5. Saldırı Yolu Haritası'nı görüntülemek için bir saldırı yolu seçin; graf tabanlı bir görünüm vurgulanır:

    • Güvenlik açığı olan düğümler: Güvenlik sorunları olan kaynaklar
    • Giriş noktaları: Saldırıların başlayabildiği dış erişim noktaları
    • Hedef varlıklar: Saldırganların ulaşmaya çalıştığı kritik kaynaklar
    • Boğulma noktaları: Birden çok saldırı yolunun kesiştiği yakınsama noktaları

  6. Ayrıntılı bilgileri araştırmak için bir düğüm seçin:

    Defender portalındaki saldırı yolu ekranının ekran görüntüsü, düğüm seçimini gösteriyor.

    Uyarı

    Özellikle abonelikler arasında sınırlı izinleriniz varsa tam saldırı yolu ayrıntılarını göremeyebilirsiniz. Bu, hassas verileri korumak için tasarlanmış beklenen bir davranıştır. Tüm ayrıntıları görüntülemek için gerekli izinlere sahip olduğunuzdan emin olun.

  7. Şunları içeren düğüm ayrıntılarını gözden geçirin:

    • MITRE ATT&CK taktikleri ve teknikleri: Saldırı metodolojisini anlama
    • Risk faktörleri: Risklere katkıda bulunan çevresel faktörler
    • İlişkili öneriler: Sorunu azaltmak için güvenlik iyileştirmeleri

  8. İçgörüler düğmesini seçerek, ilgili düğümün içgörülerini görüntüleyin.

  9. Düzeltme durumu izleme ile eyleme dönüştürülebilir yönergeleri görmek için Öneriler'i seçin.

    Defender portalında önerilerin nereden seçildiğini gösteren ekran görüntüsü.

  10. Bir öneri seçin.

  11. Öneriyi düzeltin.

    Bir saldırı yolu araştırmanızı tamamladıktan ve ilişkili tüm bulguları ve önerileri gözden geçirdikten sonra, saldırı yolunu düzeltmeye başlayabilirsiniz.

  12. Öneriyi düzeltin.

Bir saldırı yolu çözümlendikten sonra, bir saldırı yolunun listeden kaldırılması 24 saat kadar sürebilir.

Saldırı yollarını düzeltme

Bir saldırı yolu araştırmanızı tamamladıktan ve ilişkili tüm bulguları ve önerileri gözden geçirdikten sonra, saldırı yolunu düzeltmeye başlayabilirsiniz.

Azure portalında bir saldırı yolunu düzeltmek için:

  1. Microsoft Defender for Cloud>Saldırı yol analizi sayfasına gidin.

  2. Bir saldırı yolu seçin.

  3. Düzeltme'yi seçin.

    Düzeltmeyi nerede seçeceğinizi gösteren saldırı yolunun ekran görüntüsü.

  4. Bir öneri seçin.

  5. Öneriyi düzeltin.

Bir saldırı yolu çözümlendikten sonra, bir saldırı yolunun listeden kaldırılması 24 saat kadar sürebilir.

Bir saldırı yolu içindeki tüm önerileri düzeltin

Saldırı yolu analizi, her düğümü ayrı ayrı denetlemek zorunda kalmadan tüm önerileri saldırı yoluna göre görme olanağı sağlar. Her düğümü ayrı ayrı görüntülemek zorunda kalmadan tüm önerileri çözümleyebilirsiniz.

Düzeltme yolu iki tür öneri içerir:

  • Öneriler - Saldırı yolunu azaltan öneriler.
  • Ek öneriler - Sömürü risklerini azaltan ancak saldırı yolunu azaltmayan öneriler.

Azure portalındaki tüm önerileri çözmek için:

  1. Azure portalında oturum açın.

  2. Microsoft Defender for Cloud>Saldırı yol analizi sayfasına gidin.

  3. Bir saldırı yolu seçin.

  4. Düzeltme'yi seçin.

    Saldırı yollarının önerilerin tam listesini görmek için ekranda nerede seçileceği gösteren ekran görüntüsü.

  5. Ek önerileri genişletin.

  6. Bir öneri seçin.

  7. Öneriyi düzeltin.

Bir saldırı yolu çözümlendikten sonra, bir saldırı yolunun listeden kaldırılması 24 saat kadar sürebilir.

Defender portalındaki tüm önerileri çözümlemek için:

  1. Microsoft Defender portalında oturum açın.

  2. Pozlama Yönetimi>Saldırı yolu analizi'ne gidin.

  3. Bir saldırı yolu seçin.

  4. Düzeltme'yi seçin.

    Uyarı

    Defender portalı, düzeltme ilerleme durumunun daha iyi izlenmesini sağlar ve düzeltme etkinliklerini daha geniş güvenlik operasyonları ve olay yönetimi iş akışlarıyla ilişkilendirebilir.

  5. Ek önerileri genişletin.

  6. Bir öneri seçin.

  7. Öneriyi düzeltin.

Bir saldırı yolu çözümlendikten sonra, bir saldırı yolunun listeden kaldırılması 24 saat kadar sürebilir.

Gelişmiş pozlama yönetimi özellikleri

Defender portalı, tümleşik Pozlama Yönetimi çerçevesi aracılığıyla saldırı yolu analizi için ek özellikler sağlar:

  • Unified olay bağıntısı: Saldırı yolları, Microsoft güvenlik ekosisteminizdeki güvenlik olaylarıyla otomatik olarak ilişkilendirilir.
  • Cross-product insights: Saldırı yolu verileri Uç Nokta için Microsoft Defender, Microsoft Sentinel ve diğer Microsoft güvenlik çözümlerinin bulgularıyla tümleştirilir.
  • Gelişmiş tehdit bilgileri: Saldırı düzenlerini ve aktör davranışlarını daha iyi anlamak için Microsoft tehdit zekası akışlarından geliştirilmiş bağlam.
  • Tümleşik düzeltme iş akışları: Birden çok güvenlik aracında otomatik yanıtları tetikleyebilen kolaylaştırılmış düzeltme işlemleri.
  • Yönetici raporlaması: İş etkisi değerlendirmeleriyle güvenlik liderliği için gelişmiş raporlama özellikleri.

Bu özellikler, güvenlik duruşunuzun daha kapsamlı bir görünümünü sağlar ve saldırı yolu analiziyle tanımlanan olası tehditlere daha etkili yanıt vermenizi sağlar.

Cloud için Defender'da saldırı yolları hakkında daha fazla bilgi edinin.

Sonraki adım

Bulut güvenlik gezgini ile sorgu oluşturma

  • Last updated on