Güvenlik uyarılarını yönetme ve yanıtlama

Bulut için Defender, Azure, hibrit ve çoklu kaynaklar, ağınız ve güvenlik duvarı ve uç nokta koruma çözümleri gibi bağlı aracı çözümlerinden günlük verilerini toplar, çözümler ve tümleştirir. Bulut için Defender, gerçek tehditleri algılamak ve hatalı pozitif sonuçları azaltmak için günlük verilerini kullanır. Sorunu hızlıca araştırmanız için gerekli bilgiler ve saldırıyı düzeltme hakkındaki önerilerin yanında öncelikli güvenlik uyarıları listesi Cloud için Defender’da gösterilir.

Bu makalede, Bulut için Defender uyarılarını görüntüleme ve işleme ve kaynaklarınızı koruma adımları anlatılmaktadır.

Güvenlik uyarılarını önceliklendirirken, önce daha yüksek önem derecesine sahip uyarıları ele alarak uyarı önem derecesine göre önceliklendirmeniz gerekir. Uyarıların nasıl sınıflandırılmış olduğu hakkında daha fazla bilgi edinin.

İpucu

Bulut için Microsoft Defender Microsoft Sentinel dahil olmak üzere SIEM çözümlerine bağlanabilir ve istediğiniz araçtan gelen uyarıları kullanabilirsiniz. SIEM, SOAR veya BT Hizmet Yönetimi çözümüne uyarı akışı yapmayı öğrenin.

Önkoşullar

Önkoşullar ve gereksinimler için bkz. Bulut için Defender için destek matrisleri.

Güvenlik uyarılarınızı yönetme

Şu adımları izleyin:

1. Azure Portal’ında oturum açın.

2. Bulut için Microsoft Defender> Güvenlik uyarıları'na gidin.

   

3. (İsteğe bağlı) Uyarı listesini ilgili filtrelerden herhangi biriyle filtreleyin. Filtre ekle seçeneğiyle ek filtreler ekleyebilirsiniz.

   

   Liste, seçilen filtrelere göre güncelleştirilir. Örneğin, sistemdeki olası bir ihlali araştırdığınız için son 24 saat içinde oluşan güvenlik uyarılarını ele almak isteyebilirsiniz.

Güvenlik uyarısını araştırma

Her uyarı, araştırmanızda size yardımcı olan uyarıyla ilgili bilgiler içerir.

Güvenlik uyarısını araştırmak için:

1. Bir uyarı seçin. Yan bölme açılır ve uyarının ve etkilenen tüm kaynakların açıklaması gösterilir.

   

2. Güvenlik uyarısı hakkındaki üst düzey bilgileri gözden geçirin.

   • Uyarı önem derecesi, durum ve etkinlik süresi
   • Algılanan kesin etkinliği açıklayan açıklama
   • Etkilenen kaynaklar
   • MITRE ATT&CK matrisinde etkinliğin sonlandırma zinciri amacı (varsa)

3. Tüm ayrıntıları görüntüle'yi seçin.

   Sağ bölme, sorunu araştırmanıza yardımcı olmak için uyarının diğer ayrıntılarını içeren Uyarı ayrıntıları sekmesini içerir: IP adresleri, dosyalar, işlemler ve daha fazlası.

   

   Ayrıca sağ bölmede Eylem yap sekmesi yer alır. Güvenlik uyarısıyla ilgili daha fazla işlem yapmak için bu sekmeyi kullanın. Şunlar gibi eylemler:

   • Kaynak bağlamını inceleme - sizi kaynağın güvenlik uyarısını destekleyen etkinlik günlüklerine gönderir
   • Tehdidi azaltma - Bu güvenlik uyarısı için el ile düzeltme adımları sağlar
   • Gelecekteki saldırıları önleme - saldırı yüzeyini azaltmaya, güvenlik duruşunu artırmaya ve böylece gelecekteki saldırıları önlemeye yardımcı olmak için güvenlik önerileri sağlar
   • Otomatik yanıtı tetikleme - Bu güvenlik uyarısına yanıt olarak bir mantıksal uygulamayı tetikleme seçeneği sağlar
   • Benzer uyarıları gizleme - Uyarı kuruluşunuz için uygun değilse benzer özelliklere sahip gelecek uyarıları gizleme seçeneği sağlar

   

   Diğer ayrıntılar için, algılanan etkinliğin hatalı pozitif olup olmadığını doğrulamak için kaynak sahibine başvurun. Ayrıca, saldırıya uğrayan kaynak tarafından oluşturulan ham günlükleri araştırabilirsiniz.

Aynı anda birden çok güvenlik uyarısının durumunu değiştirme

Uyarılar listesinde, birden çok uyarıyı aynı anda işleyebilmeniz için onay kutuları bulunur. Örneğin, önceliklendirme amacıyla belirli bir kaynak için tüm bilgilendirme uyarılarını kapatmaya karar vekleyebilirsiniz.

1. Toplu olarak işlemek istediğiniz uyarılara göre filtreleyin.

   Bu örnekte, kaynağın ASC-AKS-CLOUD-TALK önem derecesine Informational sahip uyarılar seçilir.

   

2. İşlenecek uyarıları seçmek için onay kutularını kullanın.

   Bu örnekte tüm uyarılar seçilidir. Durumu değiştir düğmesi artık kullanılabilir.

   

3. İstenen durumu ayarlamak için Durumu değiştir seçeneklerini kullanın.

   

   Geçerli sayfada gösterilen uyarıların durumu seçili değere değiştirildi.

Güvenlik uyarısını yanıtlama

Bir güvenlik uyarısını araştırdıktan sonra, uyarıya Bulut için Microsoft Defender içinden yanıt vekleyebilirsiniz.

Bir güvenlik uyarısını yanıtlamak için:

1. Önerilen yanıtları görmek için Eylem gerçekleştir sekmesini açın.

   

2. Sorunu azaltmak için gereken el ile araştırma adımları için Tehdit azaltma bölümünü gözden geçirin.

3. Kaynaklarınızı sağlamlaştırmak ve gelecekte bu tür saldırıları önlemek için, Gelecek saldırıları önleme bölümündeki güvenlik önerilerini düzeltin.

4. Otomatik yanıt adımlarıyla bir mantıksal uygulamayı tetikleme için Otomatik yanıtı tetikle bölümünü kullanın ve Mantıksal uygulamayı tetikle'yi seçin.

5. Algılanan etkinlik kötü amaçlı değilse Benzer uyarıları gizle bölümünü kullanarak bu türdeki gelecek uyarıları gizleyebilir ve Gizleme kuralı oluştur'u seçebilirsiniz.

6. Bu abonelikte güvenlik uyarılarıyla ilgili e-postaları kimlerin aldığını görüntülemek için E-posta bildirim ayarlarını yapılandır'ı seçin. E-posta ayarlarını yapılandırmak için abonelik sahibine başvurun.

7. Uyarıyla ilgili araştırmayı tamamlayıp uygun şekilde yanıtladığınızda, durumu Kapatıldı olarak değiştirin.

   

   Uyarı, ana uyarılar listesinden kaldırılır. Kapatıldı durumundaki tüm uyarıları görüntülemek için uyarı listesi sayfasındaki filtreyi kullanabilirsiniz.

8. Uyarı hakkında Microsoft'a geri bildirim göndermenizi öneririz:

   1. Uyarıyı Yararlı veya Yararlı Değil olarak işaretleme.
   2. Bir neden seçin ve açıklama ekleyin.

   

   İpucu

   Algoritmalarımızı geliştirmek ve daha iyi güvenlik uyarıları sağlamak için geri bildirimlerinizi gözden geçiriyoruz.

   Farklı uyarı türleri hakkında bilgi edinmek için bkz . Güvenlik uyarıları - başvuru kılavuzu.

   Bulut için Defender'nin uyarıları nasıl oluşturduğuna genel bakış için bkz. Bulut için Microsoft Defender tehditleri algılama ve yanıtlama.

   Aracısız taramanın sonuçlarını gözden geçirme

   Hem aracı tabanlı hem de aracısız tarayıcının sonuçları Güvenlik uyarıları sayfasında görünür.

   

   Not

   Bu uyarılardan biri düzeltildiğinde, sonraki tarama tamamlanana kadar diğer uyarı düzeltilmeyecektir.

İlgili içerik

• Uyarı gizleme kurallarını yapılandırma
• Bulut için Defender tetikleyicilerine yanıtları otomatikleştirme
• Güvenlik uyarıları - başvuru kılavuzu

Bulut için Defender, Azure, hibrit ve çoklu kaynaklar, ağınız ve güvenlik duvarı ve uç nokta koruma çözümleri gibi bağlı aracı çözümlerinden günlük verilerini toplar, çözümler ve tümleştirir. Bulut için Defender, gerçek tehditleri algılamak ve hatalı pozitif sonuçları azaltmak için günlük verilerini kullanır. Sorunu hızlıca araştırmanız için gerekli bilgiler ve saldırıyı düzeltme hakkındaki önerilerin yanında öncelikli güvenlik uyarıları listesi Cloud için Defender’da gösterilir.

Bu makalede, Bulut için Defender uyarılarını görüntüleme ve işleme ve kaynaklarınızı koruma adımları anlatılmaktadır.

Güvenlik uyarılarını önceliklendirirken, önce daha yüksek önem derecesine sahip uyarıları ele alarak uyarı önem derecesine göre önceliklendirmeniz gerekir. Uyarıların nasıl sınıflandırılmış olduğu hakkında daha fazla bilgi edinin.

İpucu

Bulut için Microsoft Defender Microsoft Sentinel dahil olmak üzere SIEM çözümlerine bağlanabilir ve istediğiniz araçtan gelen uyarıları kullanabilirsiniz. SIEM, SOAR veya BT Hizmet Yönetimi çözümüne uyarı akışı yapmayı öğrenin.

Önkoşullar ve gereksinimler için bkz. Bulut için Defender için destek matrisleri.

Şu adımları izleyin:

1. Azure Portal’ında oturum açın.

2. Bulut için Microsoft Defender> Güvenlik uyarıları'na gidin.

   

3. (İsteğe bağlı) Uyarı listesini ilgili filtrelerden herhangi biriyle filtreleyin. Filtre ekle seçeneğiyle ek filtreler ekleyebilirsiniz.

   

   Liste, seçilen filtrelere göre güncelleştirilir. Örneğin, sistemdeki olası bir ihlali araştırdığınız için son 24 saat içinde oluşan güvenlik uyarılarını ele almak isteyebilirsiniz.

Her uyarı, araştırmanızda size yardımcı olan uyarıyla ilgili bilgiler içerir.

Güvenlik uyarısını araştırmak için:

1. Bir uyarı seçin. Yan bölme açılır ve uyarının ve etkilenen tüm kaynakların açıklaması gösterilir.

   

2. Güvenlik uyarısı hakkındaki üst düzey bilgileri gözden geçirin.

   • Uyarı önem derecesi, durum ve etkinlik süresi
   • Algılanan kesin etkinliği açıklayan açıklama
   • Etkilenen kaynaklar
   • MITRE ATT&CK matrisinde etkinliğin sonlandırma zinciri amacı (varsa)

3. Tüm ayrıntıları görüntüle'yi seçin.

   Sağ bölme, sorunu araştırmanıza yardımcı olmak için uyarının diğer ayrıntılarını içeren Uyarı ayrıntıları sekmesini içerir: IP adresleri, dosyalar, işlemler ve daha fazlası.

   

   Ayrıca sağ bölmede Eylem yap sekmesi yer alır. Güvenlik uyarısıyla ilgili daha fazla işlem yapmak için bu sekmeyi kullanın. Şunlar gibi eylemler:

   • Kaynak bağlamını inceleme - sizi kaynağın güvenlik uyarısını destekleyen etkinlik günlüklerine gönderir
   • Tehdidi azaltma - Bu güvenlik uyarısı için el ile düzeltme adımları sağlar
   • Gelecekteki saldırıları önleme - saldırı yüzeyini azaltmaya, güvenlik duruşunu artırmaya ve böylece gelecekteki saldırıları önlemeye yardımcı olmak için güvenlik önerileri sağlar
   • Otomatik yanıtı tetikleme - Bu güvenlik uyarısına yanıt olarak bir mantıksal uygulamayı tetikleme seçeneği sağlar
   • Benzer uyarıları gizleme - Uyarı kuruluşunuz için uygun değilse benzer özelliklere sahip gelecek uyarıları gizleme seçeneği sağlar

   

   Diğer ayrıntılar için, algılanan etkinliğin hatalı pozitif olup olmadığını doğrulamak için kaynak sahibine başvurun. Ayrıca, saldırıya uğrayan kaynak tarafından oluşturulan ham günlükleri araştırabilirsiniz.

Uyarılar listesinde, birden çok uyarıyı aynı anda işleyebilmeniz için onay kutuları bulunur. Örneğin, önceliklendirme amacıyla belirli bir kaynak için tüm bilgilendirme uyarılarını kapatmaya karar vekleyebilirsiniz.

1. Toplu olarak işlemek istediğiniz uyarılara göre filtreleyin.

   Bu örnekte, kaynağın ASC-AKS-CLOUD-TALK önem derecesine Informational sahip uyarılar seçilir.

   

2. İşlenecek uyarıları seçmek için onay kutularını kullanın.

   Bu örnekte tüm uyarılar seçilidir. Durumu değiştir düğmesi artık kullanılabilir.

   

3. İstenen durumu ayarlamak için Durumu değiştir seçeneklerini kullanın.

   

   Geçerli sayfada gösterilen uyarıların durumu seçili değere değiştirildi.

Bir güvenlik uyarısını araştırdıktan sonra, uyarıya Bulut için Microsoft Defender içinden yanıt vekleyebilirsiniz.

Bir güvenlik uyarısını yanıtlamak için:

1. Önerilen yanıtları görmek için Eylem gerçekleştir sekmesini açın.

   

2. Sorunu azaltmak için gereken el ile araştırma adımları için Tehdit azaltma bölümünü gözden geçirin.

3. Kaynaklarınızı sağlamlaştırmak ve gelecekte bu tür saldırıları önlemek için, Gelecek saldırıları önleme bölümündeki güvenlik önerilerini düzeltin.

4. Otomatik yanıt adımlarıyla bir mantıksal uygulamayı tetikleme için Otomatik yanıtı tetikle bölümünü kullanın ve Mantıksal uygulamayı tetikle'yi seçin.

5. Algılanan etkinlik kötü amaçlı değilse Benzer uyarıları gizle bölümünü kullanarak bu türdeki gelecek uyarıları gizleyebilir ve Gizleme kuralı oluştur'u seçebilirsiniz.

6. Bu abonelikte güvenlik uyarılarıyla ilgili e-postaları kimlerin aldığını görüntülemek için E-posta bildirim ayarlarını yapılandır'ı seçin. E-posta ayarlarını yapılandırmak için abonelik sahibine başvurun.

7. Uyarıyla ilgili araştırmayı tamamlayıp uygun şekilde yanıtladığınızda, durumu Kapatıldı olarak değiştirin.

   

   Uyarı, ana uyarılar listesinden kaldırılır. Kapatıldı durumundaki tüm uyarıları görüntülemek için uyarı listesi sayfasındaki filtreyi kullanabilirsiniz.

8. Uyarı hakkında Microsoft'a geri bildirim göndermenizi öneririz:

   1. Uyarıyı Yararlı veya Yararlı Değil olarak işaretleme.
   2. Bir neden seçin ve açıklama ekleyin.

   

   İpucu

   Algoritmalarımızı geliştirmek ve daha iyi güvenlik uyarıları sağlamak için geri bildirimlerinizi gözden geçiriyoruz.

   Farklı uyarı türleri hakkında bilgi edinmek için bkz . Güvenlik uyarıları - başvuru kılavuzu.

   Bulut için Defender'nin uyarıları nasıl oluşturduğuna genel bakış için bkz. Bulut için Microsoft Defender tehditleri algılama ve yanıtlama.

   Aracısız taramanın sonuçlarını gözden geçirme

   Hem aracı tabanlı hem de aracısız tarayıcının sonuçları Güvenlik uyarıları sayfasında görünür.

   

   Not

   Bu uyarılardan biri düzeltildiğinde, sonraki tarama tamamlanana kadar diğer uyarı düzeltilmeyecektir.