Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Defender for Cloud Apps güvenliği aşılmış kullanıcılar, insider tehditleri, veri sızdırma ve fidye yazılımı etkinliği için algılamalar içerir. Hizmet, bağlı uygulamalardaki kullanıcı etkinliğini analiz etmek için anomali algılama, kullanıcı ve varlık davranış analizi (UEBA) ve kural tabanlı etkinlik algılamaları kullanır.
Bulut ortamında yetkisiz veya beklenmeyen değişiklikler güvenlik ve operasyonel risklere neden olabilir. Örneğin, genel web sitenizi veya müşterilere sağladığınız hizmeti çalıştıran sunucular gibi önemli kurumsal kaynaklarda yapılan değişiklikler tehlikeye girebilir.
Defender for Cloud Apps, kuruluşunuzdaki uygulama ve kullanıcı etkinliklerini tanımlamak için çeşitli kaynaklardan verileri yakalar ve analiz eder. Bu analiz, güvenlik analistlerinize bulut kullanımı hakkında görünürlük sağlar. Toplanan veriler, şüpheli etkinliklerin doğru ve tutarlı bir görünümünü sağlamak için birbiriyle ilişkilendirilir, standartlaştırılır ve tehdit bilgileri ve konum ayrıntılarıyla zenginleştirilir.
Algılamaları ayarlamadan önce aşağıdaki veri kaynaklarını yapılandırın:
| Kaynak | Açıklama |
|---|---|
| Etkinlik günlüğü | API'ye bağlı uygulamalarınızdaki etkinlikler. |
| Bulma günlüğü | Güvenlik duvarından ve ara sunucu trafik günlüğünden ayıklanan ve Defender for Cloud Apps ilettiğiniz etkinlikler. Günlükler bulut uygulaması kataloğuna göre analiz edilir, derecelendirilir ve 90'dan fazla risk faktörüne göre puanlanır. |
| Ara sunucu günlüğü | Koşullu erişim uygulama denetim uygulamalarınızdaki etkinlikler. |
Algılama modellerini eğitmek için filtreler ve dinamik eşikler (UEBA) ayarlayarak aşağıdaki ilkelerde ince ayarlamalar yapın. Yaygın hatalı pozitif algılamaları azaltmak için gizlemeleri de ayarlayabilirsiniz:
- Anomali algılama
- Bulut bulma anomalisi algılama
- Kural tabanlı etkinlik algılama
Gerçek tehlikeleri belirlemek ve büyük hacimlerde hatalı pozitif algılamalardan kaynaklanan gereksiz uyarıları azaltmak için kullanıcı etkinliği algılamalarını ayarlamayı öğrenin:
1. Aşama: IP adresi aralıklarını yapılandırma
- Her tür şüpheli kullanıcı etkinliği algılama ilkesinde ince ayar yapmak için IP aralıkları ayarlayın.
Bilinen IP adreslerinin ayarlanması , makine öğrenmesi algoritmalarının bilinen konumları belirlemesine ve bunları makine öğrenmesi modellerinin bir parçası olarak değerlendirmesine yardımcı olur. Örneğin, VPN'nizin IP adresi aralığını eklemek modelin bu IP aralığını doğru şekilde sınıflandırmasına ve vpn konumu söz konusu kullanıcının gerçek konumunu temsil etmediğinden bunu otomatik olarak imkansız seyahat algılamalarının dışında tutmasına yardımcı olur.
Not
Defender for Cloud Apps yalnızca algılamalar için değil, hizmet genelinde IP aralıkları kullanır. IP aralıkları etkinlik günlüğünde, Koşullu Erişim'de ve daha birçok işlemde kullanılır. Örneğin, fiziksel ofis IP adreslerinizi tanımlamak, günlükleri ve uyarıları görüntüleme ve araştırma yönteminizi özelleştirmenize olanak tanır.
Anomali algılama uyarılarını gözden geçirme
Defender for Cloud Apps, farklı güvenlik senaryolarını tanımlamak için bir dizi anomali algılama uyarısı içerir. Kullanıcı etkinliğinin profilini oluşturmaya başlar ve ilgili uygulama bağlayıcılarını bağlar bağlamaz uyarılar oluşturur.
Farklı algılama ilkeleri hakkında bilgi sahibi olarak işe başlayın. Kuruluşunuz için en uygun olduğunu düşündüğünüz en önemli senaryoların önceliklerini belirleyin ve ilkeleri buna göre ayarlayın.
2. Aşama: Anomali algılama ilkelerini ayarlama
Defender for Cloud Apps, yaygın güvenlik kullanım örnekleri için önceden yapılandırılmış çeşitli yerleşik anomali algılama ilkeleri içerir. Popüler algılamalar şunlardır:
| Algılama | Açıklama |
|---|---|
| İmkansız seyahat | İki konum arasındaki beklenen seyahat süresinden daha kısa bir süre içinde farklı konumlarda aynı kullanıcının etkinlikleri. |
| Seyrek görülen ülkeden etkinlik | Kullanıcı tarafından yakın zamanda ziyaret edilen veya hiç ziyaret edilen bir konumdan etkinlik. |
| Kötü amaçlı yazılım algılama | Bulut uygulamalarınızdaki dosyaları tarar ve bilinen kötü amaçlı yazılımlarla ilişkili olup olmadıklarını denetlemek için Microsoft'un tehdit bilgileri altyapısı aracılığıyla şüpheli dosyaları çalıştırır. |
| Fidye yazılımı etkinliği | Buluta fidye yazılımı bulaşmış olabilecek dosya yüklemeleri. |
| Şüpheli IP adreslerinden etkinlik | Microsoft Tehdit Bilgileri'nin riskli olarak tanımlamış olduğu bir IP adresinden gelen etkinlik. |
| Şüpheli gelen kutusu iletme | Kullanıcının gelen kutusunda ayarlanan şüpheli gelen kutusu iletme kurallarını algılar. |
| Olağan dışı birden çok dosya indirme etkinliği | Öğrenilen temele göre tek bir oturumda birden çok dosya indirme etkinliğini algılar ve bu da ihlal girişimini gösterebilir. |
| Olağan dışı yönetim etkinlikleri | Öğrenilen temele göre tek bir oturumda birden çok yönetim etkinliğini algılar ve bu da ihlal girişimini gösterebilir. |
Not
Bazı anomali algılamaları sorunlu güvenlik senaryolarını algılamaya odaklanırken, bazıları da güvenliğin aşıldığını belirtmeyecek anormal kullanıcı davranışlarını belirlemeye ve araştırmaya yardımcı olur. Bu tür algılamalar için, Microsoft Defender XDR gelişmiş tehdit avcılığı deneyiminde kullanılabilen Davranışlar'ı kullanabilirsiniz.
Belirli kullanıcılara veya gruplara kapsam ilkeleri
Belirli kullanıcılara yönelik kapsam belirleme ilkeleri, kuruluşunuzla ilgili olmayan uyarılardan kaynaklanan gürültüyü azaltmaya yardımcı olabilir. Her ilkeyi, aşağıdaki örneklerde olduğu gibi belirli kullanıcıları ve grupları dahil etmek veya dışlamak için yapılandırabilirsiniz:
-
Saldırı simülasyonları
Birçok kuruluş, saldırıların sürekli benzetimini yapmak için bir kullanıcı veya grup kullanır. Bu kullanıcıların etkinliklerinden sürekli uyarı almak gereksiz gürültüye neden olur. İlkelerinizi bu kullanıcıları veya grupları dışlamak için ayarlayın. Bu eylem, makine öğrenmesi modellerinin bu kullanıcıları tanımlamasına ve dinamik eşiklerini ayarlamasına yardımcı olur. -
Hedeflenen algılamalar
Yönetici veya Baş Deneyim Yöneticisi (CXO) grubu üyeleri gibi belirli bir VIP kullanıcı grubunu araştırmak isteyebilirsiniz. Bu durumda, algılamak istediğiniz etkinlikler için bir ilke oluşturun ve yalnızca ilgilendiğiniz kullanıcı veya grup kümesini eklemeyi seçin.
-
Saldırı simülasyonları
Anormal oturum açma algılamalarını ayarlama
Başarısız oturum açma etkinliklerinden kaynaklanan uyarılar, birinin bir veya daha fazla kullanıcı hesabını hedeflemeye çalıştığına işaret edebilir.
Güvenliği aşılmış kimlik bilgileri, hesap devralma ve yetkisiz etkinliğin yaygın bir nedenidir. İmkansız seyahat, şüpheli IP adreslerinden gelen etkinlik ve seyrek görülen ülke veya bölge algılama uyarıları, bir hesabın risk altında olduğunu gösteren etkinlikleri keşfetmenize yardımcı olur.
İmkânsız seyahatin duyarlılığını ayarlama İmkansız bir seyahat uyarısı tetiklemeden önce anormal davranışa uygulanan gizlemelerin düzeyini belirleyen duyarlılık kaydırıcısını yapılandırın. Yüksek uygunlukla ilgilenen kuruluşlar duyarlılık düzeyini artırmayı göz önünde bulundurmalıdır. Kuruluşunuzda seyahat eden çok sayıda kullanıcı varsa, bir kullanıcının önceki etkinliklerden öğrenilen ortak konumlarından etkinlikleri engellemek için duyarlılık düzeyini düşürmeyi göz önünde bulundurun. Aşağıdaki duyarlılık düzeyleri arasından seçim yapabilirsiniz:
- Düşük: Sistem, kiracı ve kullanıcı engellemeleri
- Orta: Sistem ve kullanıcı engellemeleri
- Yüksek: Yalnızca sistem engellemeleri
Konum:
Gizleme türü Açıklama Sistem Her zaman gizlenen yerleşik algılamalar. Kiracı Kiracıdaki önceki etkinliği temel alan ortak etkinlikler. Örneğin, kuruluşunuzda daha önce uyarılan bir ISS'den etkinlikleri gizleme. Kullanıcı Belirli bir kullanıcının önceki etkinliğine dayalı ortak etkinlikler. Örneğin, kullanıcı tarafından yaygın olarak kullanılan bir konumdan etkinlikleri gizleme.
3. Aşama: Bulut bulma anomali algılama ilkelerini ayarlama
Araştırılmaya değer diğer senaryoları belirlemek için çeşitli yerleşik bulut bulma anomali algılama ilkelerine ince ayar yapabilir veya kendi ilkelerinizi oluşturabilirsiniz. Bu ilkeler, anormal uygulama davranışına ve veri sızdırmaya odaklanan ayarlama özellikleriyle bulut bulma günlüklerini kullanır.
Kullanım izlemeyi ayarlama
Kapsamı denetlemek için kullanım filtrelerini ve anormal davranışları algılamak için etkinlik süresini ayarlayın. Örneğin, yönetici düzeyinde çalışanlardan anormal etkinlikler için uyarılar alın.
Uyarı duyarlılığını ayarlama
Gereksiz uyarıları azaltmak için uyarıların duyarlılığını ayarlayın. Haftada 1.000 kullanıcı başına gönderilen yüksek riskli uyarı sayısını denetlemek için duyarlılık kaydırıcısını kullanın. Daha yüksek hassasiyetler, anomali olarak değerlendirilmek ve daha fazla uyarı oluşturmak için daha az varyans gerektirir. Genel olarak, gizli verilere erişimi olmayan kullanıcılar için düşük duyarlılık ayarlayın.
4. Aşama: Kural tabanlı algılama (etkinlik) ilkelerini ayarlama
Kural tabanlı algılama ilkeleri , anomali algılama ilkelerini kuruluşa özgü gereksinimlerle tamamlar. Etkinlik ilkesi şablonlarından birini kullanarak kural tabanlı ilkeler oluşturun.
Kuruluşunuzun belirli bir ülke veya bölgede varlığı yoksa, bu konumdaki anormal etkinlikleri algılayan bir ilke oluşturun. Bu ülkede veya bölgede büyük şubeleri olan kuruluşlar için bu tür etkinlikler normaldir ve bu tür etkinlikleri algılamak mantıklı değildir.
- İlke İlkesi>şablonları'na gidin ve Tür filtresini Etkinlik ilkesi olarak ayarlayın. Ortamınız için normal olmayan davranışları algılamak için etkinlik filtreleri ayarlayın.
-
Etkinlik ses düzeyini ayarlama
Algılama bir uyarı oluşturmadan önce gerekli etkinlik hacmini seçin. Kuruluşunuzun bir ülkede veya bölgede varlığı yoksa, tek bir etkinlik bile önemlidir ve bir uyarıyı garanti eder. Tek bir oturum açma hatası insan hatası olabilir ve yalnızca kısa bir süre içinde çok sayıda hata olması ilgi çekici olabilir. -
Etkinlik filtrelerini ayarlama
Uyarı vermek istediğiniz etkinlik türünü algılamak için ihtiyacınız olan filtreleri ayarlayın. Örneğin, bir ülke veya bölgeden etkinliği algılamak için Location parametresini kullanın. -
Uyarıları ayarlama
Gereksiz uyarıları azaltmak için günlük uyarı sınırını ayarlayın.
5. Aşama: Uyarıları yapılandırma
Not
Microsoft, Uyarılar/SMS (kısa mesaj) özelliğini 15 Aralık 2022'de kullanım dışı bırakılmıştır. Metin uyarıları almak istiyorsanız özel uyarı otomasyonu için Microsoft Power Automate kullanın. Daha fazla bilgi için bkz. Özel uyarı otomasyonu için Microsoft Power Automate ile tümleştirme.
Günün herhangi bir saatinde anında uyarı almak için bunları e-postayla almayı seçin.
Ayrıca, uyarıları kuruluşunuzdaki diğer ürünler tarafından tetiklenen diğer uyarılar bağlamında analiz etmek de isteyebilirsiniz. Bu analiz, olası bir tehdidin bütünsel bir görünümünü sağlar. Örneğin, bir saldırıyı doğrulayan başka bir azaltıcı kanıt olup olmadığını görmek için bulut tabanlı ve şirket içi olaylar arasında bağıntı yapmak isteyebilirsiniz.
Özel uyarı otomasyonunu tetikleme amacıyla Microsoft Power Automate kullanabilirsiniz. Bir uyarı tetiklendiğinde şunları yapabilirsiniz:
- Playbook'u ayarlama
- ServiceNow'de sorun oluşturma
- Uyarı tetiklendiğinde özel idare eylemi çalıştırmak için onay e-postası gönderme
Uyarılarınızı yapılandırmak için aşağıdaki yönergeleri kullanın:
-
E-posta
Uyarıları e-postayla almak için bu seçeneği belirleyin. -
SİEM
Microsoft Sentinel, Microsoft Graph Güvenlik API'si ve diğer genel SIEM'ler gibi çeşitli SIEM tümleştirme seçenekleri vardır. Gereksinimlerinize en uygun tümleştirmeyi seçin. -
Power Automate otomasyonu
İstediğiniz otomasyon playbook'larını oluşturun ve ilkenin Power Automate eylemi uyarısı olarak ayarlayın.
6. Aşama: Araştırma ve düzeltme
Korumanızı iyileştirmek için, kuruluşunuz için riski en aza indirmek için otomatik düzeltme eylemleri ayarlayın. İlkeler, siz araştırmaya başlamadan önce bile kuruluşunuza yönelik riskin azaltılması için uyarılarla idare eylemlerini uygulamanıza olanak sağlar. İlke türü, kullanıcıyı duraklatma veya istenen kaynağa erişimi engelleme gibi eylemler de dahil olmak üzere kullanılabilir eylemleri belirler.