Olaylar - başvuru kılavuzu
Not
Önizleme aşamasında olan olaylar için: Azure Önizleme Ek Koşulları , beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Bu makalede, Bulut için Microsoft Defender ve etkinleştirdiğiniz tüm Microsoft Defender planlarından alabileceğiniz olaylar listelenir. Ortamınızda gösterilen olaylar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.
Güvenlik olayı, bir varlığı paylaşan bir saldırı hikayesiyle uyarıların bağıntısıdır. Örneğin, Kaynak, IP Adresi, Kullanıcı veya sonlandırma zinciri deseni paylaşın.
Olayla ilgili tüm uyarıları görüntülemek ve daha fazla bilgi almak için bir olay seçebilirsiniz.
Güvenlik olaylarını yönetmeyi öğrenin.
Not
Aynı uyarı bir olayın parçası olarak bulunabilir ve tek başına uyarı olarak görülebilir.
Güvenlik olayı
| Uyarı | Açıklama | Önem derecesi |
|---|---|---|
| Güvenlik olayı şüpheli kullanıcı etkinliği algılandı (Önizleme) | Bu olay, ortamınızdaki şüpheli kullanıcı işlemlerini gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı bu kullanıcı tarafından tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırıyor. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakların güvenliğini tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir. | Yüksek |
| Güvenlik olayı şüpheli hizmet sorumlusu etkinliği algılandı (Önizleme) | Bu olay, ortamınızdaki şüpheli hizmet sorumlusu işlemlerini gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı bu hizmet sorumlusu tarafından tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırdı. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakların güvenliğini tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir. | Yüksek |
| Güvenlik olayı şüpheli şifreleme madenciliği etkinliği algılandı (Önizleme) | Senaryo 1: Bu olay, şüpheli kullanıcı veya hizmet sorumlusu etkinliği sonrasında şüpheli şifreleme madenciliği etkinliğinin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli hesap etkinliği, bir tehdit aktörünün ortamınıza yetkisiz erişim kazandığını gösterebilir ve başarılı şifreleme madenciliği etkinliği, kaynağınızı başarıyla tehlikeye attığını ve bunu madencilik kripto para birimleri için kullandığını gösterebilir ve bu da kuruluşunuz için maliyetlerin artmasına neden olabilir. Senaryo 2: Bu olay, aynı sanal makine kaynağına yönelik deneme yanılma saldırısının ardından şüpheli şifreleme madenciliği etkinliğinin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Sanal makineye yönelik deneme yanılma saldırısı, bir tehdit aktörünün ortamınıza yetkisiz erişim elde etmeye çalıştığına işaret edebilir ve başarılı şifreleme madenciliği etkinliği kaynağınızı başarıyla tehlikeye attığını ve bunu kripto para birimleri madenciliği için kullandığını önerebilir ve bu da kuruluşunuz için maliyetlerin artmasına neden olabilir. |
Yüksek |
| Güvenlik olayı şüpheli Key Vault etkinliği algılandı (Önizleme) | Senaryo 1: Bu olay, ortamınızda Key Vault kullanımıyla ilgili şüpheli etkinliğin algılandığını gösterir. Bu kullanıcı veya hizmet sorumlusu tarafından farklı Bulut için Defender planlarından birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırıyor. Şüpheli Key Vault etkinliği, bir tehdit aktörün anahtarlar, gizli diziler ve sertifikalar gibi hassas verilerinize erişmeye çalıştığına ve hesabın gizliliğinin ihlal edildiğine ve kötü amaçlı olarak kullanıldığına işaret edebilir. Senaryo 2: Bu olay, ortamınızda Key Vault kullanımıyla ilgili şüpheli etkinliğin algılandığını gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinden tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli Key Vault etkinliği, bir tehdit aktörün anahtarlar, gizli diziler ve sertifikalar gibi hassas verilerinize erişmeye çalıştığına ve hesabın gizliliğinin ihlal edildiğine ve kötü amaçlı olarak kullanıldığına işaret edebilir. Senaryo 3: Bu olay, ortamınızda Key Vault kullanımıyla ilgili şüpheli etkinliğin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli Key Vault etkinliği, bir tehdit aktörün anahtarlar, gizli diziler ve sertifikalar gibi hassas verilerinize erişmeye çalıştığına ve hesabın gizliliğinin ihlal edildiğine ve kötü amaçlı olarak kullanıldığına işaret edebilir. |
Yüksek |
| Güvenlik olayı şüpheli SAS etkinliği algılandı (Önizleme) | Bu olay, SAS belirtecinin olası kötüye kullanımından sonra şüpheli etkinliğin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. SAS belirtecinin kullanımı, bir tehdit aktörünün depolama hesabınıza yetkisiz erişim elde ettiğini ve hassas verilere erişmeye veya verileri dışarı aktarmaya çalıştığına işaret edebilir. | Yüksek |
| Güvenlik olayı anormal coğrafi konum etkinliği algılandı (Önizleme) | Senaryo 1: Bu olay ortamınızda anormal coğrafi konum etkinliğinin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Anormal konumlardan kaynaklanan şüpheli etkinlikler, bir tehdit aktörünün ortamınıza yetkisiz erişim sağladığını ve ortamın güvenliğini aşmaya çalıştığına işaret edebilir. Senaryo 2: Bu olay ortamınızda anormal coğrafi konum etkinliğinin algılandığını gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinden tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Anormal konumlardan kaynaklanan şüpheli etkinlikler, bir tehdit aktörünün ortamınıza yetkisiz erişim sağladığını ve ortamın güvenliğini aşmaya çalıştığına işaret edebilir. |
Yüksek |
| Güvenlik olayı şüpheli IP etkinliği algılandı (Önizleme) | Senaryo 1: Bu olay şüpheli bir IP adresinden kaynaklanan şüpheli etkinliğin algılandığını gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinden tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli bir IP adresinden kaynaklanan şüpheli etkinlik, bir saldırganın ortamınıza yetkisiz erişim elde ettiğini ve güvenliği aşmaya çalıştığı anlamına gelebilir. Senaryo 2: Bu olay şüpheli bir IP adresinden kaynaklanan şüpheli etkinliğin algılandığını gösterir. Aynı kullanıcı veya hizmet sorumlusunda farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli bir IP adresinden kaynaklanan şüpheli etkinlik, bir saldırganın ortamınıza yetkisiz erişim sağladığını ve güvenliği aşmaya çalıştığı anlamına gelebilir. |
Yüksek |
| Güvenlik olayı şüpheli dosyasız saldırı etkinliği algılandı (Önizleme) | Bu olay, aynı kaynakta olası bir açık açma girişiminden sonra sanal makinede dosyasız saldırı araç setinin algılandığını gösterir. Aynı sanal makinede farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Sanal makinede dosyasız saldırı araç setinin bulunması, bir tehdit aktörünün ortamınıza yetkisiz erişim kazandığını ve daha fazla kötü amaçlı etkinlik gerçekleştirirken algılamadan kaçınmaya çalıştığına işaret edebilir. | Yüksek |
| Güvenlik olayı şüpheli DDOS etkinliği algılandı (Önizleme) | Bu olay, ortamınızda şüpheli Dağıtılmış Hizmet Reddi (DDOS) etkinliğinin algılandığını gösterir. DDOS saldırıları, ağınızı veya uygulamanızı yüksek hacimli trafikle bunaltacak şekilde tasarlanmıştır ve bu da geçerli kullanıcılar tarafından kullanılamaz duruma gelmesine neden olur. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinde tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. | Yüksek |
| Güvenlik olayı şüpheli veri sızdırma etkinliği algılandı (Önizleme) | Senaryo 1: Bu olay, şüpheli kullanıcı veya hizmet sorumlusu etkinliği sonrasında şüpheli veri sızdırma etkinliğinin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli hesap etkinliği, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini gösterebilir ve başarılı veri sızdırma etkinliği, hassas bilgileri çalmaya çalıştıklarını gösterebilir. Senaryo 2: Bu olay, şüpheli kullanıcı veya hizmet sorumlusu etkinliği sonrasında şüpheli veri sızdırma etkinliğinin algılandığını gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinden tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli hesap etkinliği, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini gösterebilir ve başarılı veri sızdırma etkinliği, hassas bilgileri çalmaya çalıştıklarını gösterebilir. Senaryo 3: Bu olay, sanal makinede olağan dışı parola sıfırlama sonrasında şüpheli veri sızdırma etkinliğinin algılandığını gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinden tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli hesap etkinliği, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini gösterebilir ve başarılı veri sızdırma etkinliği, hassas bilgileri çalmaya çalıştıklarını gösterebilir. |
Yüksek |
| Güvenlik olayı şüpheli API etkinliği algılandı (Önizleme) | Bu olay şüpheli API etkinliğinin algılandığını gösterir. Aynı kaynakta Bulut için Defender gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli API kullanımı, bir tehdit aktörün hassas bilgilere erişmeye veya yetkisiz eylemler yürütmeye çalıştığına işaret edebilir. | Yüksek |
| Güvenlik olayı şüpheli Kubernetes kümesi etkinliği algılandı (Önizleme) | Bu olay, şüpheli kullanıcı etkinliğinin ardından Kubernetes kümenizde şüpheli etkinliğin algılandığını gösterir. Aynı kümede farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Kubernetes kümenizdeki şüpheli etkinlik, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini ve bu erişimi tehlikeye attığını gösterebilir. | Yüksek |
| Güvenlik olayı şüpheli depolama etkinliği algılandı (Önizleme) | Senaryo 1: Bu olay, şüpheli kullanıcı veya hizmet sorumlusu etkinliği sonrasında şüpheli depolama etkinliğinin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli hesap etkinliği, bir tehdit aktörün ortamınıza yetkisiz erişim sağladığını gösterebilir ve başarılı olan şüpheli depolama etkinliği, hassas olabilecek verilere erişmeye çalıştıklarını gösterebilir. Senaryo 2: Bu olay, şüpheli kullanıcı veya hizmet sorumlusu etkinliği sonrasında şüpheli depolama etkinliğinin algılandığını gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinden tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli hesap etkinliği, bir tehdit aktörün ortamınıza yetkisiz erişim sağladığını gösterebilir ve başarılı olan şüpheli depolama etkinliği, hassas olabilecek verilere erişmeye çalıştıklarını gösterebilir. |
Yüksek |
| Güvenlik olayı şüpheli Azure araç seti etkinliği algılandı (Önizleme) | Bu olay, azure araç setinin olası kullanımından sonra şüpheli etkinliğin algılandığını gösterir. Aynı kullanıcı veya hizmet sorumlusunda farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Azure araç setinin kullanımı, bir saldırganın ortamınıza yetkisiz erişim kazandığını ve güvenliği aşmaya çalıştığı anlamına gelebilir. | Yüksek |
| Güvenlik olayı şüpheli DNS etkinliği algılandı (Önizleme) | Senaryo 1: Bu olay şüpheli DNS etkinliğinin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli DNS etkinliği, bir tehdit aktörün ortamınıza yetkisiz erişim sağladığını ve bu erişimi tehlikeye attığını gösterebilir. Senaryo 2: Bu olay şüpheli DNS etkinliğinin algılandığını gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinden tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli DNS etkinliği, bir tehdit aktörün ortamınıza yetkisiz erişim sağladığını ve bu erişimi tehlikeye attığını gösterebilir. |
Orta |
| Güvenlik olayı şüpheli SQL etkinliği algılandı (Önizleme) | Senaryo 1: Bu olay şüpheli SQL etkinliğinin algılandığını gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinden tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli SQL etkinliği, bir tehdit aktörün SQL sunucunuzu hedeflediğini ve bu sunucunun güvenliğini aşmaya çalıştığına işaret edebilir. Senaryo 2: Bu olay şüpheli SQL etkinliğinin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli SQL etkinliği, bir tehdit aktörün SQL sunucunuzu hedeflediğini ve bu sunucunun güvenliğini aşmaya çalıştığına işaret edebilir. |
Yüksek |
| Güvenlik olayı şüpheli uygulama hizmeti etkinliği algılandı (Önizleme) | Senaryo 1: Bu olay, app service ortamınızda şüpheli etkinliğin algılandığını gösterir. Aynı kaynakta farklı Bulut için Defender planlarından gelen birden çok uyarı tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli uygulama hizmeti etkinliği, bir tehdit aktörün uygulamanızı hedeflediğini gösterebilir ve bu özelliğin güvenliğini aşmaya çalışabilir. Senaryo 2: Bu olay, app service ortamınızda şüpheli etkinliğin algılandığını gösterir. Farklı Bulut için Defender planlarından gelen birden çok uyarı aynı IP adresinden tetiklendi ve bu da ortamınızdaki kötü amaçlı etkinliklerin doğruluğunu artırır. Şüpheli uygulama hizmeti etkinliği, bir tehdit aktörün uygulamanızı hedeflediğini gösterebilir ve bu özelliğin güvenliğini aşmaya çalışabilir. |
Yüksek |
| Güvenlik olayı botnet iletişimi ile güvenliği aşılmış makine algılandı | Bu olay, sanal makinenizdeki şüpheli botnet etkinliğini gösterir. MITRE ATT&CK çerçevesinin ardından farklı Bulut için Defender planlarından gelen birden çok uyarı aynı kaynakta kronolojik sırada tetiklendi. Bu, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini ve bu erişimi tehlikeye attığını gösterebilir. | Orta/Yüksek |
| Güvenlik olayı botnet iletişimi ile güvenliği aşılmış makineler algılandı | Bu olay, sanal makinelerinizdeki şüpheli botnet etkinliğini gösterir. MITRE ATT&CK çerçevesinin ardından farklı Bulut için Defender planlarından gelen birden çok uyarı aynı kaynakta kronolojik sırada tetiklendi. Bu, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini ve bu erişimi tehlikeye attığını gösterebilir. | Orta/Yüksek |
| Güvenlik olayı, kötü amaçlı giden etkinliği olan güvenliği aşılmış makine algılandı | Bu olay, sanal makinenizdeki şüpheli giden etkinliği gösterir. MITRE ATT&CK çerçevesinin ardından farklı Bulut için Defender planlarından gelen birden çok uyarı aynı kaynakta kronolojik sırada tetiklendi. Bu, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini ve bu erişimi tehlikeye attığını gösterebilir. | Orta/Yüksek |
| Güvenlik olayı, güvenliği aşılmış makineler algılandı | Bu olay, bir veya daha fazla sanal makinenizde şüpheli etkinliği gösterir. MITRE ATT&CK çerçevesinin ardından, farklı Bulut için Defender planlarından gelen birden çok uyarı aynı kaynaklarda kronolojik sırada tetiklendi. Bu durum, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini ve bu makinelerin güvenliğini başarıyla aştığını gösterebilir. | Orta/Yüksek |
| Güvenlik olayı, kötü amaçlı giden etkinliği olan güvenliği aşılmış makineler algılandı | Bu olay, sanal makinelerinizden şüpheli giden etkinliği gösterir. MITRE ATT&CK çerçevesinin ardından, farklı Bulut için Defender planlarından gelen birden çok uyarı aynı kaynaklarda kronolojik sırada tetiklendi. Bu, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini ve bu erişimi tehlikeye attığını gösterebilir. | Orta/Yüksek |
| Birden çok makinede güvenlik olayı algılandı | Bu olay, bir veya daha fazla sanal makinenizde şüpheli etkinliği gösterir. MITRE ATT&CK çerçevesinin ardından farklı Bulut için Defender planlarından gelen birden çok uyarı aynı kaynakta kronolojik sırada tetiklendi. Bu, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini ve bu erişimi tehlikeye attığını gösterebilir. | Orta/Yüksek |
| Paylaşılan işlem algılanan güvenlik olayı | Senaryo 1: Bu olay, sanal makinenizdeki şüpheli etkinliği gösterir. Aynı işlem paylaşılırken farklı Bulut için Defender planlarından birden çok uyarı tetiklendi. Bu, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini ve bu erişimi tehlikeye attığını gösterebilir. Senaryo 2: Bu olay, sanal makinelerinizdeki şüpheli etkinliği gösterir. Aynı işlem paylaşılırken farklı Bulut için Defender planlarından birden çok uyarı tetiklendi. Bu, bir tehdit aktörün ortamınıza yetkisiz erişim elde ettiğini ve bu erişimi tehlikeye attığını gösterebilir. |
Orta/Yüksek |
Sonraki adımlar
Bulut için Microsoft Defender’da güvenlik olaylarını yönetme