Güvenlik uyarılarını yönetme ve yanıtlama

Bulut için Defender, Azure, hibrit ve çoklu bulut kaynaklarınızdan, ağdan ve güvenlik duvarları ve uç nokta aracıları gibi bağlı iş ortağı çözümlerinden günlük verilerini toplar, analiz eder ve tümleştirir. Bulut için Defender, gerçek tehditleri algılamak ve hatalı pozitif sonuçları azaltmak için günlük verilerini kullanır. Bulut için Defender'da sorunu hızla araştırmak için ihtiyacınız olan bilgiler ve bir saldırıyı düzeltmek için atılması gereken adımların yanı sıra öncelikli güvenlik uyarılarının listesi gösterilir.

Bu makalede, Bulut için Defender uyarılarını görüntüleme ve işleme ve kaynaklarınızı koruma adımları gösterilmektedir.

Güvenlik uyarılarını önceliklendirirken, önce daha yüksek önem derecesine sahip uyarıları ele alarak uyarı önem derecesine göre önceliklendirmeniz gerekir. Uyarıların nasıl sınıflandırılmış olduğu hakkında daha fazla bilgi edinin.

Tavsiye

Bulut için Microsoft Defender'ı Microsoft Sentinel dahil olmak üzere SIEM çözümlerine bağlayabilir ve istediğiniz araçtan gelen uyarıları kullanabilirsiniz. SIEM, SOAR veya BT Hizmet Yönetimi çözümlerine uyarı akışının nasıl yapılacağı hakkında daha fazla bilgi edinin.

Önkoşullar

Önkoşullar ve gereksinimler için bkz. Defender for Cloud için destek tabloları.

Güvenlik uyarılarınızı yönetme

Şu adımları izleyin:

  1. Azure portalınaoturum açın.

  2. Microsoft Defender for Cloud>Güvenlik uyarılarına gidin.

    Bulut için Microsoft Defender'ın genel bakış sayfasındaki güvenlik uyarıları sayfasını gösteren ekran görüntüsü.

  3. (İsteğe bağlı) Uyarı listesini ilgili filtrelerden herhangi biriyle filtreleyin. Filtre ekle seçeneğiyle ek filtreler ekleyebilirsiniz.

    Uyarılar görünümüne filtre eklemeyi gösteren ekran görüntüsü.

    Liste, seçilen filtrelere göre güncelleştirilir. Örneğin, sistemdeki olası bir ihlali araştırdığınız için son 24 saat içinde oluşan güvenlik uyarılarını ele almak isteyebilirsiniz.

Güvenlik uyarısını araştırma

Her uyarı, araştırmanızda size yardımcı olan uyarıyla ilgili bilgiler içerir.

Güvenlik uyarısını araştırmak için:

  1. Bir uyarı seçin. Yan bölme açılır ve uyarının ve etkilenen tüm kaynakların açıklaması gösterilir.

    Güvenlik uyarısının üst düzey ayrıntılar görünümünün ekran görüntüsü.

  2. Güvenlik uyarısı hakkındaki üst düzey bilgileri gözden geçirin.

    • Uyarı önem derecesi, durum ve etkinlik süresi
    • Algılanan kesin etkinliği açıklayan açıklama
    • Etkilenen kaynaklar
    • MITRE ATT&CK matrisinde etkinliğin saldırı zinciri niyeti (uygulanabiliyorsa)

  3. Tüm ayrıntıları görüntüle'yi seçin.

    Sağ bölme, sorunu araştırmanıza yardımcı olmak için uyarının diğer ayrıntılarını içeren Uyarı ayrıntıları sekmesini içerir: IP adresleri, dosyalar, işlemler ve daha fazlası.

    Uyarının tüm ayrıntılar sayfasını gösteren ekran görüntüsü.

    Ayrıca sağ bölmede Eylem gerçekleştir sekmesi yer alır. Güvenlik uyarısıyla ilgili daha fazla işlem yapmak için bu sekmeyi kullanın. Şunlar gibi eylemler:

    • Kaynak bağlamını inceleme - sizi kaynağın güvenlik uyarısını destekleyen etkinlik günlüklerine gönderir
    • Tehdidi azaltma - Bu güvenlik uyarısı için el ile düzeltme adımları sağlar
    • Gelecekteki saldırıları önleme - saldırı yüzeyini azaltmaya, güvenlik duruşunu artırmaya ve böylece gelecekteki saldırıları önlemeye yardımcı olmak için güvenlik önerileri sağlar
    • Otomatik yanıtı tetikleme - Bu güvenlik uyarısına yanıt olarak bir mantıksal uygulamayı tetikleme seçeneği sağlar
    • Benzer uyarıları gizleme - Uyarı kuruluşunuz için uygun değilse benzer özelliklere sahip gelecek uyarıları gizleme seçeneği sağlar

    Eylem gerçekleştir sekmesinde sağlanan seçenekleri gösteren ekran görüntüsü.

    Diğer ayrıntılar için, algılanan etkinliğin hatalı pozitif olup olmadığını doğrulamak için kaynak sahibine başvurun. Ayrıca, saldırıya uğrayan kaynak tarafından oluşturulan ham günlükleri araştırabilirsiniz.

Aynı anda birden çok güvenlik uyarısının durumunu değiştirme

Uyarılar listesinde, birden çok uyarıyı aynı anda işleyebilmeniz için onay kutuları bulunur. Örneğin, önceliklendirme amacıyla belirli bir kaynak için tüm bilgilendirme uyarılarını kapatmaya karar vekleyebilirsiniz.

  1. Toplu olarak işlemek istediğiniz uyarılara göre filtreleyin.

    Bu örnekte, Informational önem derecesine sahip uyarılar ASC-AKS-CLOUD-TALK kaynağı için seçilir.

    İlgili uyarıları göstermek için uyarıları filtrelemeyi gösteren ekran görüntüsü.

  2. İşlenecek uyarıları seçmek için onay kutularını kullanın.

    Bu örnekte tüm uyarılar seçilidir. Durumu değiştir düğmesi artık kullanılabilir.

    Toplu olarak işlenmek üzere tüm uyarıları seçme işleminin ekran görüntüsü.

  3. İstenen durumu ayarlamak için Durumu değiştir seçeneklerini kullanın.

    Güvenlik uyarıları durum sekmesinin ekran görüntüsü.

    Geçerli sayfada gösterilen uyarıların durumu seçili değere değiştirildi.

Güvenlik uyarısını yanıtlama

Bir güvenlik uyarısını araştırdıktan sonra, bulut için Microsoft Defender'ın içinden uyarıya yanıt vekleyebilirsiniz.

Bir güvenlik uyarısını yanıtlamak için:

  1. Önerilen yanıtları görmek için Eylem gerçekleştir sekmesini açın.

    Güvenlik uyarıları eyleme geç sekmesinin ekran görüntüsü.

  2. Sorunu azaltmak için gereken el ile araştırma adımları için Tehdit azaltma bölümünü gözden geçirin.

  3. Kaynaklarınızı sağlamlaştırmak ve gelecekte bu tür saldırıları önlemek için , Gelecek saldırıları önleme bölümündeki güvenlik önerilerini düzeltin.

  4. Otomatik yanıt adımlarıyla bir mantıksal uygulamayı tetikleme için Otomatik yanıtı tetikle bölümünü kullanın ve Mantıksal uygulamayı tetikle'yi seçin.

  5. Algılanan etkinlik kötü amaçlı değilse Benzer uyarıları gizle bölümünü kullanarak bu türdeki gelecek uyarıları gizleyebilir ve Gizleme kuralı oluştur'u seçebilirsiniz.

  6. Bu abonelikte güvenlik uyarılarıyla ilgili e-postaları kimlerin aldığını görüntülemek için E-posta bildirim ayarlarını yapılandır'ı seçin. E-posta ayarlarını yapılandırmak için abonelik sahibine başvurun.

  7. Uyarıyla ilgili araştırmayı tamamlayıp uygun şekilde yanıtladığınızda, durumu Kapatıldı olarak değiştirin.

    Uyarının durum açılan menüsünün ekran görüntüsü.

    Uyarı, ana uyarılar listesinden kaldırılır. Kapatıldı durumundaki tüm uyarıları görüntülemek için uyarı listesi sayfasındaki filtreyi kullanabilirsiniz.

  8. Uyarı hakkında Microsoft'a geri bildirim göndermenizi öneririz:

    1. Uyarıyı Yararlı veya Yararlı Değil olarak işaretleme.
    2. Bir neden seçin ve açıklama ekleyin.

    Uyarının yararlılığını seçmenize olanak tanıyan Microsoft'a geri bildirim sağlama penceresinin ekran görüntüsü.

Tavsiye

Algoritmalarımızı geliştirmek ve daha iyi güvenlik uyarıları sağlamak için geri bildirimlerinizi gözden geçiriyoruz.

Farklı uyarı türleri hakkında bilgi edinmek için bkz . Güvenlik uyarıları - başvuru kılavuzu.

Bulut için Defender'ın nasıl uyarı oluşturduğuna genel bakış için bkz. Bulut için Microsoft Defender tehditleri nasıl algılar ve yanıtlar.

Aracısız taramanın sonuçlarını gözden geçirme

Hem aracı tabanlı hem de aracısız tarayıcının sonuçları Güvenlik uyarıları sayfasında görünür.

Hem aracı tabanlı hem de aracısız tarama sonuçlarını gösteren güvenlik uyarıları sayfasının ekran görüntüsü.

Uyarı

Bu uyarılardan biri düzeltildiğinde, sonraki tarama tamamlanana kadar diğer uyarı düzeltilmeyecektir.

İlgili içerik

  • Last updated on