Share via

Öğretici: Riskli kullanıcıları araştırma

  • Makale

Güvenlik operasyonları ekipleri genellikle bağlı olmayan birden çok güvenlik çözümü kullanarak kimlik saldırısı yüzeyinin tüm boyutlarında şüpheli veya başka bir şekilde kullanıcı etkinliklerini izlemekle zorlanıyor. Birçok şirket artık ortamlarındaki tehditleri proaktif bir şekilde belirlemek için tehdit avcılığı ekiplerine sahip olsa da, çok büyük miktarda veride ne arayabileceğini bilmek zor olabilir. Bulut için Microsoft Defender Uygulamaları, karmaşık bağıntı kuralları oluşturma gereksinimini ortadan kaldırır ve bulut ve şirket içi ağınıza yayılan saldırıları aramanıza olanak tanır.

Bulut için Microsoft Defender Uygulamalar, kullanıcı kimliğine odaklanmanıza yardımcı olmak için bulutta kullanıcı varlığı davranış analizi (UEBA) sağlar. UEBA, Kimlik için Microsoft Defender ile tümleştirilerek şirket içi ortamınıza genişletilebilir ve bundan sonra Active Directory ile yerel tümleştirmesinden kullanıcı kimliğiyle ilgili bağlam elde edersiniz.

Tetikleyicinizin Bulut için Defender Uygulamalar panosunda gördüğünüz bir uyarı olup olmadığı veya üçüncü taraf bir güvenlik hizmetinden bilgi edinip edinmediğiniz fark etmeksizin, riskli kullanıcılara ayrıntılı bir bakış için araştırmanızı Bulut için Defender Uygulamalar panosundan başlatın.

Bu öğreticide, riskli kullanıcıları araştırmak için Bulut için Defender Uygulamalarını kullanmayı öğreneceksiniz:

Araştırma öncelik puanını anlama

Araştırma önceliği puanı, Bulut için Defender Uygulamalarının kuruluşunuzdaki diğer kullanıcılara göre kullanıcının ne kadar riskli olduğunu size bildirmek için her kullanıcıya verdiği bir puandır. Standart belirlenimci algılamalara gerek kalmadan, kuruluşunuzda hem kötü niyetli insider'ları hem de dışarıdan gelen saldırganları algılayarak ilk olarak hangi kullanıcıların araştırılmasının gerekeceğini belirlemek için araştırma öncelik puanını kullanın.

Her Microsoft Entra kullanıcısı, Kimlik için Defender ve Bulut için Defender Uygulamaları'ndan değerlendirilen verilerden oluşturulan son davranış ve etki temelinde sürekli olarak güncelleştirilen dinamik bir araştırma öncelik puanına sahiptir.

Bulut için Defender Apps, zaman içindeki güvenlik uyarılarını ve anormal etkinlikleri, eş gruplarını, beklenen kullanıcı etkinliğini ve belirli bir kullanıcının iş veya şirket varlıkları üzerindeki etkisini dikkate alan analizlere dayalı olarak her kullanıcı için kullanıcı profilleri oluşturur.

Kullanıcının temeline anormal olan etkinlik değerlendirilir ve puanlanır. Puanlama tamamlandıktan sonra Microsoft'un özel dinamik eş hesaplamaları ve makine öğrenmesi, her kullanıcının araştırma önceliğini hesaplamak için kullanıcı etkinlikleri üzerinde çalıştırılır.

Araştırma öncelik puanına göre filtreleme yaparak, her kullanıcının iş etkisini doğrudan doğrulayarak ve tüm ilgili etkinlikleri araştırarak (ele geçirilip ele geçirilmedikleri, verileri açığa çıkardıkları veya içeriden tehdit olarak davrandıkları) gerçek en riskli kullanıcıların kim olduğunu hemen anlayın.

Bulut için Defender Uygulamaları, riski ölçmek için aşağıdakileri kullanır:

  • Uyarı puanlaması: Uyarı puanı, belirli bir uyarının her kullanıcı üzerindeki olası etkisini temsil eder. Uyarı puanlaması önem derecesini, kullanıcı etkisini, kullanıcılar arasında uyarı popülerliğini ve kuruluştaki tüm varlıkları temel alır.

  • Etkinlik puanı: Etkinlik puanı, kullanıcının ve eşlerinin davranışsal öğrenmesine bağlı olarak belirli bir kullanıcının belirli bir etkinliği gerçekleştirme olasılığını belirler. En anormal olarak tanımlanan etkinlikler en yüksek puanları alır.

Bulut için Defender Uygulamalarının etkinliği nasıl puanladığını açıklayan kanıtı görüntülemek için bir uyarının veya etkinliğin araştırma önceliği puanını seçin.

Not

Ağustos 2024'e kadar Bulut için Microsoft Defender Uygulamalarından Gelen Araştırma öncelik puanı artışı uyarısını aşamalı olarak kaldırıyoruz. Araştırma öncelik puanı ve bu makalede açıklanan yordam bu değişiklikten etkilenmez.

Daha fazla bilgi için bkz . Araştırma önceliği puanı artışı kullanımdan kaldırma zaman çizelgesi.

1. Aşama: Korumak istediğiniz uygulamalara Bağlan

  1. API bağlayıcılarını kullanarak Bulut için Microsoft Defender Uygulamalarına en az bir uygulama Bağlan. Microsoft 365'i bağlayarak başlamanızı öneririz.

  2. Koşullu erişim uygulama denetimi elde etmek için ara sunucuyu kullanarak diğer uygulamaları Bağlan.

2. Aşama: En riskli kullanıcıları belirleme

Bulut için Defender Uygulamalarında en riskli kullanıcılarınızın kim olduğunu belirlemek için:

  1. Microsoft Defender Portalı'nda Varlıklar'ın altında Kimlikler'i seçin. Tabloyu Araştırma önceliğine göre sıralayın. Ardından, bunları araştırmak için kullanıcı sayfalarına birer birer gidin.
    Kullanıcı adının yanında bulunan araştırma öncelik numarası, kullanıcının geçen haftaki tüm riskli etkinliklerinin toplamıdır.

    En iyi kullanıcılar panosunun ekran görüntüsü.

  2. Kullanıcının sağındaki üç noktayı seçin ve Kullanıcı Sayfasını Görüntüle'yi seçin.

    Kullanıcı ayrıntıları sayfasının ekran görüntüsü.

  3. Kullanıcıya genel bir bakış elde etmek için kullanıcı ayrıntıları sayfasındaki bilgileri gözden geçirin ve kullanıcının bu kullanıcı için olağan dışı veya olağan dışı bir zamanda gerçekleştirilen etkinlikleri gerçekleştirdiği noktalar olup olmadığına bakın.

    Kullanıcının kuruluşla karşılaştırıldığında puanı, kuruluşunuzdaki derecelendirmesine göre kullanıcının hangi yüzdebirlik dilimde olduğunu gösterir. Bu puan, kuruluşunuzdaki diğer kullanıcılara göre, araştırmanız gereken kullanıcı listesinde ne kadar yüksek olduğunu gösterir. Bir kullanıcı kuruluşunuzdaki riskli kullanıcıların 90. yüzdebirlik diliminde veya üzerindeyse sayı kırmızıdır.

Kullanıcı ayrıntıları sayfası aşağıdaki soruları yanıtlamanıza yardımcı olur:

Soru Ayrıntılar
Kullanıcı kim? Kullanıcının şirketinizdeki ve departmanındaki rolü de dahil olmak üzere kullanıcı ve sistemin bu kullanıcı hakkında ne bildiği hakkında temel ayrıntıları arayın.

Örneğin, kullanıcı genellikle işinin bir parçası olarak olağan dışı etkinlikler gerçekleştiren bir DevOps mühendisi mi? Yoksa kullanıcı, promosyon için yeni devredilen, küçümsenmiş bir çalışan mı?
Kullanıcı riskli mi? Çalışanın risk puanı nedir ve bunları araştırırken buna değer mi?
Kullanıcı kuruluşunuza ne gibi bir risk sunar? Kullanıcının temsil ettiği risk türünü anlamaya başlamak için kullanıcıyla ilgili her etkinliği ve uyarıyı araştırmak için aşağı kaydırın.

Zaman çizelgesinde, etkinliğin veya uyarının daha ayrıntılı bir şekilde detayına gitmek için her satırı seçin. Puanı etkileyen kanıtı anlayabilmek için etkinliğin yanındaki sayıyı seçin.
Kuruluşunuzdaki diğer varlıklar için risk nedir? Bir saldırganın kuruluşunuzdaki diğer varlıkların denetimini elde etmek için hangi yolları kullanabileceğini anlamak için Yanal hareket yolları sekmesini seçin.

Örneğin, araştırdığınız kullanıcının duyarsız bir hesabı olsa bile, saldırgan ağınızdaki hassas hesapları bulmak ve güvenliğini aşmaya çalışmak için hesaba bağlantıları kullanabilir.

Daha fazla bilgi için bkz . YanAl Hareket Yollarını Kullanma.

Not

Kullanıcı ayrıntıları sayfaları tüm etkinliklerdeki cihazlar, kaynaklar ve hesaplar için bilgi sağlarken, araştırma öncelik puanı son 7 gün içindeki tüm riskli etkinliklerin ve uyarıların toplamını içerir.

Kullanıcı puanını sıfırla

Kullanıcı araştırıldıysa ve herhangi bir risk şüphesi bulunmadıysa veya kullanıcının araştırma öncelik puanını başka bir nedenle sıfırlamak istiyorsanız, aşağıdaki gibi el ile:

  1. Microsoft Defender Portalı'nda Varlıklar'ın altında Kimlikler'i seçin.

  2. Araştırılan kullanıcının sağındaki üç noktayı seçin ve ardından Araştırma öncelik puanını sıfırla'yı seçin. Ayrıca Kullanıcı sayfasını görüntüle'yi ve ardından kullanıcı ayrıntıları sayfasındaki üç noktadan Araştırma öncelik puanını sıfırla'yı seçebilirsiniz.

    Not

    Yalnızca sıfır olmayan araştırma öncelik puanına sahip kullanıcılar sıfırlanabilir.

    Araştırma önceliği puanını sıfırla bağlantısının ekran görüntüsü.

  3. Onay penceresinde Puanı sıfırla'yı seçin.

    Puanı sıfırla düğmesinin ekran görüntüsü.

3. Aşama: Kullanıcıları daha fazla araştırma

Bazı etkinlikler kendi başına alarma neden olmayabilir, ancak diğer etkinliklerle birlikte toplandığında şüpheli bir olayın göstergesi olabilir.

Bir kullanıcıyı araştırırken, gördüğünüz etkinlikler ve uyarılar hakkında aşağıdaki soruları sormak istersiniz:

  • Bu çalışanın bu etkinlikleri gerçekleştirmesi için bir iş gerekçesi var mı? Örneğin, pazarlamadan biri kod tabanına erişiyorsa veya geliştirmeden biri finans veritabanına erişiyorsa, bunun kasıtlı ve gerekçeli bir etkinlik olduğundan emin olmak için çalışanla birlikte izlemeniz gerekir.

  • Bu etkinlik neden başkaları almamışken yüksek puan aldı? Etkinlik günlüğüne gidin ve hangi etkinliklerin şüpheli olduğunu anlamak için Araştırma önceliğiniŞu şekilde ayarlayın.

    Örneğin, belirli bir coğrafi alanda gerçekleşen tüm etkinlikler için Araştırma önceliğine göre filtreleyebilirsiniz. Daha sonra riskli olan, kullanıcının bağlandığı başka etkinlikler olup olmadığını görebilir ve araştırmanıza devam etmek için en son kötü olmayan bulut ve şirket içi etkinlikler gibi diğer detaya gitme işlemlerine kolayca dönebilirsiniz.

4. Aşama: Kuruluşunuzu koruma

Araştırmanız sizi bir kullanıcının gizliliğinin tehlikeye atıldığı sonucuna götürürse, riski azaltmak için aşağıdaki adımları kullanın.

  • Kullanıcıya başvurun– Active Directory'den Bulut için Defender Uygulamaları ile tümleştirilmiş kullanıcı iletişim bilgilerini kullanarak, kullanıcı kimliğini çözümlemek için her uyarı ve etkinlikte detaya gidebilirsiniz. Kullanıcının etkinlikler hakkında bilgi sahibi olduğundan emin olun.

  • Doğrudan Microsoft Defender Portalı'ndaki Kimlikler sayfasında, araştırılan kullanıcının üç noktasını seçin ve kullanıcının yeniden oturum açmasını mı, kullanıcıyı askıya almasını mı yoksa güvenliği aşıldığını onaylamasını mı istediğinizi seçin.

  • Güvenliği aşılmış bir kimlik söz konusu olduğunda, kullanıcıdan parolasını sıfırlamasını isteyebilir ve parolanın uzunluk ve karmaşıklık için en iyi uygulama yönergelerini karşıladığından emin olabilirsiniz.

  • Bir uyarının detayına giderseniz ve etkinliğin uyarı tetiklememesi gerektiğini belirlerseniz, kuruluşunuzu göz önünde bulundurarak uyarı sistemimizde ince ayar yaptığımızdan emin olmak için Etkinlik çekmecesinde Bize geri bildirim gönder bağlantısını seçin.

  • Sorunu düzeltdikten sonra uyarıyı kapatın.

Ayrıca bkz.

Kuruluşunuzu korumaya yönelik en iyi yöntemler

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.