Tehdit koruma ilkeleri

  • Makale

Dekont

Bulut için Microsoft Defender Uygulamaları artık Microsoft Defender paketinden gelen sinyalleri ilişkilendiren ve olay düzeyinde algılama, araştırma ve güçlü yanıt özellikleri sağlayan Microsoft 365 Defender. Daha fazla bilgi için bkz. Microsoft 365 Defender'da uygulamalar Bulut için Microsoft Defender.

Bulut için Defender Uygulamaları yüksek riskli kullanım ve bulut güvenliği sorunlarını belirlemenize, anormal kullanıcı davranışlarını algılamanıza ve tasdikli bulut uygulamalarınızdaki tehditleri önlemenize olanak tanır. Kullanıcı ve yönetici etkinlikleriyle ilgili görünürlük elde edin ve şüpheli davranışlar veya riskli olduğunu düşündüğünüz belirli etkinlikler algılandığında otomatik olarak uyarı almak için ilkeler tanımlayın. Tasdikli uygulamalarınızın ihtiyacınız olan tüm güvenlik denetimlerine sahip olduğundan emin olmak ve bunlar üzerinde denetim sahibi olmanıza yardımcı olmak için çok büyük miktarda Microsoft tehdit bilgileri ve güvenlik araştırması verisinden çizim yapın.

Dekont

Bulut için Defender Uygulamaları Kimlik için Microsoft Defender ile tümleştirildiğinde, kimlik için Defender ilkeleri ilkeler sayfasında da görünür. Kimlik için Defender ilkelerinin listesi için bkz . Güvenlik Uyarıları.

Tanıdık olmayan konumlardan kullanıcı etkinliğini algılama ve denetleme

Kuruluşunuzdaki başka hiç kimse tarafından ziyaret edilmeyen tanıdık olmayan konumlardan kullanıcı erişiminin veya etkinliğinin otomatik olarak algılanması.

Ön koşullar

Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

Bu algılama, yeni konumlardan erişim olduğunda sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

Güvenliği aşılmış hesabı imkansız konuma göre algılama (imkansız seyahat)

İki farklı konumdan gelen kullanıcı erişiminin veya etkinliğinin, ikisi arasında geçen süreden daha kısa bir süre içinde otomatik olarak algılanması.

Ön koşullar

Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  1. Bu algılama, imkansız konumlardan erişim olduğunda sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

  2. İsteğe bağlı: Anomali algılama ilkelerini özelleştirebilirsiniz:

    • Algılama kapsamını kullanıcılar ve gruplar açısından özelleştirme

    • Dikkate alınacak oturum açma türlerini seçin

    • Uyarı için duyarlılık tercihinizi ayarlama

  3. Anomali algılama ilkesini oluşturun.

Bir "izinli" çalışandan şüpheli etkinliği algılama

Ücretsiz izinde olan ve hiçbir kuruluş kaynağında etkin olmaması gereken bir kullanıcının kuruluşunuzun bulut kaynaklarına ne zaman eriştiğini algılayın.

Ön koşullar

  • Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

  • Ücretsiz izindeki kullanıcılar için Azure Active Directory'de bir güvenlik grubu oluşturun ve izlemek istediğiniz tüm kullanıcıları ekleyin.

Adımlar

  1. Kullanıcı grupları ekranında Kullanıcı grubu oluştur'u seçin ve ilgili Azure AD grubunu içeri aktarın.

  2. Microsoft 365 Defender portalında, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

  3. Ücretsiz izin kullanıcıları için Kullanıcı grubu, Azure AD'de oluşturduğunuz kullanıcı gruplarının adına eşit filtresini ayarlayın.

  4. İsteğe bağlı: İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir. Kullanıcıyı askıya al'ı seçebilirsiniz.

  5. Dosya ilkesini oluşturun.

Eski tarayıcı işletim sistemi kullanıldığında algılama ve bildirme

Bir kullanıcının kuruluşunuz için uyumluluk veya güvenlik riskleri oluşturabilecek güncel olmayan istemci sürümüne sahip bir tarayıcı kullandığını algılama.

Ön koşullar

Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  1. Microsoft 365 Defender portalında, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

  2. Kullanıcı aracısı etiketi eski tarayıcıyave Eski işletim sistemine eşit filtresini ayarlayın.

  3. İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir. Kullanıcılarınızın uyarı üzerinde işlem yapıp gerekli bileşenleri güncelleştirebilmesi için Tüm uygulamalar'ın altında Kullanıcıya bildir'i seçin.

  4. Etkinlik ilkesini oluşturun.

Riskli IP adreslerinde Yönetici etkinliği algılandığında algılama ve uyarı verme

Riskli BIR IP adresi olarak kabul edilen ve ip adresinden gerçekleştirilen yönetici etkinliklerini algılayın ve daha fazla araştırma için sistem yöneticisine bildirin veya yöneticinin hesabında bir idare eylemi ayarlayın.

Ön koşullar

  • Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

  • Ayarlar dişlisinden IP adresi aralıkları'nı seçin ve + simgesini seçerek iç alt ağlarınız ve bunların çıkış genel IP adresleri için IP adresi aralıkları ekleyin. Kategori'yi İç olarak ayarlayın.

Adımlar

  1. Microsoft 365 Defender portalında, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

  2. Act on değerini Tek etkinlik olarak ayarlayın.

  3. Filtre IP adresini Kategori eşittir Riskli olarak ayarlayın

  4. Filtre Yönetici istrative etkinliğini True olarak ayarlayın

  5. İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir. Tüm uygulamalar'ın altında Kullanıcıya bildir'i seçerek kullanıcılarınızın uyarı üzerinde işlem yapmalarını ve gerekli bileşenleri güncelleştirmelerini sağlayın. Kullanıcının yöneticisini bilgilendirin.

  6. Etkinlik ilkesini oluşturun.

Dış IP adreslerinden hizmet hesabına göre etkinlikleri algılama

İç olmayan IP adreslerinden kaynaklanan hizmet hesabı etkinliklerini algılayın. Bu, şüpheli davranışı veya güvenliği aşılmış bir hesabı gösterebilir.

Ön koşullar

  • Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

  • Ayarlar dişlisinden IP adresi aralıkları'nı seçin ve + simgesini seçerek iç alt ağlarınız ve bunların çıkış genel IP adresleri için IP adresi aralıkları ekleyin. Kategori'yi İç olarak ayarlayın.

  • Ortamınızdaki hizmet hesapları için adlandırma kurallarını standart hale getirmek; örneğin, tüm hesap adlarını "svc" ile başlayacak şekilde ayarlayın.

Adımlar

  1. Microsoft 365 Defender portalında, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

  2. Kullanıcı filtresini Ad olarak ayarlayın ve ardından Şununla başlar'ı seçin ve svc gibi adlandırma kuralınızı girin.

  3. Filtre IP adresiniKategori diğer ve şirkete eşit değil olarak ayarlayın.

  4. İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir.

  5. İlkeyi oluşturun.

Toplu indirmeyi algılama (veri sızdırma)

Belirli bir kullanıcının kısa bir süre içinde çok sayıda dosyaya eriştiğinde veya indirdiğinde algılama.

Ön koşullar

Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  1. Microsoft 365 Defender portalında, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

  2. Filtre IP adreslerini Etiket microsoft Azure'a eşit değil olarak ayarlayın. Bu, etkileşimli olmayan cihaz tabanlı etkinlikleri dışlar.

  3. Etkinlik türleri eşittir filtresini ayarlayın ve ardından tüm ilgili indirme etkinliklerini seçin.

  4. İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir.

  5. İlkeyi oluşturun.

Olası Fidye Yazılımı etkinliğini algılama

Olası Fidye Yazılımı etkinliğinin otomatik olarak algılanması.

Ön koşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  1. Bu algılama, olası bir fidye yazılımı riski algılandığında sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

  2. Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek İdare eylemlerini özelleştirmek mümkündür. Bulut için Defender Uygulamalarının Fidye Yazılımı'nı nasıl tanımlediği hakkında daha fazla bilgi için bkz. Kuruluşunuzu fidye yazılımlarından koruma.

Dekont

Bu, Microsoft 365, Google Workspace, Box ve Dropbox için geçerlidir.

Bulutta kötü amaçlı yazılımları algılama

Microsoft'un Tehdit Bilgileri altyapısıyla Bulut için Defender Uygulamaları tümleştirmesini kullanarak bulut ortamlarınızda kötü amaçlı yazılım içeren dosyaları algılayın.

Ön koşullar

  • Microsoft 365 kötü amaçlı yazılım algılama için, Microsoft 365 P1 için Microsoft Defender için geçerli bir lisansınız olmalıdır.
  • Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  • Bu algılama, kötü amaçlı yazılım içerebilecek bir dosya olduğunda sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

Sahte yönetici devralma algılama

Kötü amaçlı amaçları gösterebilecek yinelenen yönetici etkinliğini algılayın.

Ön koşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  1. Microsoft 365 Defender portalında, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.

  2. Eyleme Geç'i Yinelenen etkinlik olarak ayarlayın, En düşük yinelenen etkinlikleri özelleştirin ve kuruluşunuzun ilkesiyle uyumlu olacak bir Zaman Çerçevesi ayarlayın..

  3. Kullanıcı filtresini Kimden grubu eşittir olarak ayarlayın ve ilgili tüm yönetici grubunu yalnızca Aktör olarak seçin.

  4. Etkinlik türü filtresini parola güncelleştirmeleri, değişiklikler ve sıfırlamalarla ilgili tüm etkinliklere eşit olarak ayarlayın.

  5. İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir.

  6. İlkeyi oluşturun.

Şüpheli gelen kutusu işleme kurallarını algılama

Kullanıcının gelen kutusunda şüpheli bir gelen kutusu kuralı ayarlandıysa, kullanıcı hesabının gizliliğinin ihlal edildiğini ve posta kutusunun kuruluşunuzda istenmeyen posta ve kötü amaçlı yazılım dağıtmak için kullanıldığını gösterebilir.

Ön koşullar

  • E-posta için Microsoft Exchange kullanımı.

Adımlar

  • Bu algılama, şüpheli bir gelen kutusu kural kümesi olduğunda sizi uyarmak için otomatik olarak hazır olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

Sızdırılan kimlik bilgilerini algılama

Siber suçlular meşru kullanıcıların geçerli parolalarını tehlikeye attığında, genellikle bu kimlik bilgilerini paylaşırlar. Bu genellikle bunları koyu web'de herkese açık olarak göndererek veya site yapıştırarak ya da kimlik bilgilerini karaborsada satarak ya da satarak yapılır.

Bulut için Defender Uygulamaları, bu tür kimlik bilgilerini kuruluşunuzda kullanılan kimlik bilgileriyle eşleştirmek için Microsoft'un Tehdit bilgilerini kullanır.

Ön koşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

Bu algılama, olası bir kimlik bilgisi sızıntısı algılandığında sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

Anormal dosya indirmelerini algılama

Kullanıcıların öğrenilen temele göre tek bir oturumda birden çok dosya indirme etkinliği gerçekleştirdiğinde algılama. Bu bir ihlal girişimine işaret edebilir.

Ön koşullar

Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  1. Bu algılama, anormal bir indirme gerçekleştiğinde sizi uyarmak için otomatik olarak kullanıma açık olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

  2. Algılamanın kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.

Kullanıcının anormal dosya paylaşımlarını algılama

Kullanıcıların öğrenilen temele göre tek bir oturumda birden çok dosya paylaşım etkinliği gerçekleştirdiğini algılayın. Bu, ihlal girişimine işaret edebilir.

Ön koşullar

Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  1. Bu algılama, kullanıcılar birden çok dosya paylaşımı gerçekleştirdiğinde sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

  2. Algılamanın kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.

Seyrek ülke/bölgeden anormal etkinlikleri algılama

Yakın zamanda olmayan veya kullanıcı tarafından ya da kuruluşunuzdaki herhangi bir kullanıcı tarafından ziyaret edilmeyen bir konumdaki etkinlikleri algılama.

Ön koşullar

Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  1. Bu algılama, seyrek görülen bir ülkeden/bölgeden anormal bir etkinlik gerçekleştiğinde sizi uyarmak için otomatik olarak kullanıma açık olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

  2. Algılamanın kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.

Dekont

Anormal konumların algılanması için 7 günlük ilk öğrenme süresi gerekir. Öğrenme döneminde Bulut için Defender Uygulamalar yeni konumlar için uyarı oluşturmaz.

Sonlandırılan bir kullanıcı tarafından gerçekleştirilen etkinliği algılama

Artık kuruluşunuzun çalışanı olmayan bir kullanıcının tasdikli bir uygulamada etkinlik gerçekleştirdiğinde algılama. Bu, şirket kaynaklarına hala erişimi olan, sonlandırılan bir çalışanın kötü amaçlı etkinliğini gösterebilir.

Ön koşullar

Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.

Adımlar

  1. Bu algılama, sonlandırılan bir çalışan tarafından bir etkinlik gerçekleştirildiğinde sizi uyarmak için otomatik olarak hazır olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.

  2. Algılamanın kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.

Sonraki adımlar

Kuruluşunuzu korumaya yönelik en iyi yöntemler

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.