Uç Nokta için Microsoft Defender uyarılarını yönetme

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Uç Nokta için Defender, uyarılar aracılığıyla olası kötü amaçlı olayları, öznitelikleri ve bağlamsal bilgileri size bildirir. Yeni uyarıların özeti görüntülenir ve Uyarılar kuyruğundaki tüm uyarılara erişebilirsiniz.

Uyarılar kuyruğunda bir uyarıyı veya tek bir cihaz için Cihaz sayfasının Uyarılar sekmesini seçerek uyarıları yönetebilirsiniz.

Bu yerlerden herhangi birinde bir uyarı seçildiğinde Uyarı yönetimi bölmesi açılır.

Uyarı yönetimi bölmesi ve Uyarılar kuyruğu

Yeni Uç Nokta için Microsoft Defender uyarı sayfasını kullanmayı öğrenmek için bu videoyu izleyin.

Uyarıdan yeni bir olay oluşturabilir veya mevcut bir olaya bağlanabilirsiniz.

Uyarı atama

Henüz bir uyarı atanmamışsa, uyarıyı kendinize atamak için Bana ata'yı seçebilirsiniz.

Uyarıları gizleme

Uyarıların Microsoft Defender XDR görünmesini engellemeniz gereken senaryolar olabilir. Uç Nokta için Defender, kuruluşunuzdaki bilinen araçlar veya işlemler gibi zararsız olduğu bilinen belirli uyarılar için gizleme kuralları oluşturmanıza olanak tanır.

Gizleme kuralları mevcut bir uyarıdan oluşturulabilir. Gerekirse devre dışı bırakılabilir ve yeniden kullanılabilir.

Bir gizleme kuralı oluşturulduğunda, kuralın oluşturulduğu noktadan itibaren geçerli olur. Kural, kural oluşturulmadan önce kuyrukta bulunan mevcut uyarıları etkilemez. Kural yalnızca kural oluşturulduktan sonra ayarlanan koşulları karşılayan uyarılara uygulanır.

Gizleme kuralı için aralarından seçim yapabileceğiniz iki bağlam vardır:

  • Bu cihazda uyarıyı gizle
  • Kuruluşumda uyarıyı gizleme

Kuralın bağlamı, portala nelerin ortaya çıkarıldığını uyarlamanıza ve portalda yalnızca gerçek güvenlik uyarılarının ortaya çıkarıldığından emin olmanıza olanak tanır.

Gizleme kuralının bağlamını seçmenize yardımcı olması için aşağıdaki tabloda yer alan örnekleri kullanabilirsiniz:

Bağlam Tanım Örnek senaryolar
Bu cihazda uyarıyı gizle Aynı uyarı başlığına sahip ve yalnızca ilgili cihazda bulunan uyarılar gizlenecektir.

Bu cihazdaki diğer tüm uyarılar gizlenmeyecek.

  • Bir güvenlik araştırmacısı, kuruluşunuzdaki diğer cihazlara saldırmak için kullanılan kötü amaçlı bir betiği araştırıyor.
  • Bir geliştirici, ekibi için düzenli olarak PowerShell betikleri oluşturur.
Kuruluşumda uyarıyı gizleme Herhangi bir cihazda aynı uyarı başlığına sahip uyarılar gizlenecektir.
  • İyi huylu bir yönetim aracı kuruluşunuzdaki herkes tarafından kullanılır.

Uyarıyı gizleme ve yeni bir gizleme kuralı oluşturma

Uyarıların ne zaman gizleneceğini veya çözümlendiğini denetlemek için özel kurallar İçerik Oluşturucu. Uyarı başlığını, Risk göstergesini ve koşulları belirterek uyarının ne zaman gizleneceğinin bağlamını denetleyebilirsiniz. Bağlamı belirttikten sonra uyarıdaki eylemi ve kapsamı yapılandırabilirsiniz.

  1. Bastırmak istediğiniz uyarıyı seçin. Bu, Uyarı yönetimi bölmesini getirir.

  2. Bir gizleme kuralı İçerik Oluşturucu seçin.

    Bu öznitelikleri kullanarak bir gizleme koşulu oluşturabilirsiniz. Her koşul arasında bir AND işleci uygulandığı için, gizleme yalnızca tüm koşullar karşılandığında gerçekleşir.

    • DOSYA SHA1
    • Dosya adı - joker karakter desteklenir
    • Klasör yolu - joker karakter desteklenir
    • IP adresi
    • URL - joker karakter desteklenir
    • Komut satırı - joker karakter desteklenir
  3. Tetikleme IOC'sini seçin.

  4. Uyarıdaki eylemi ve kapsamı belirtin.

    Uyarıyı otomatik olarak çözümleyebilir veya portaldan gizleyebilirsiniz. Otomatik olarak çözümlenen uyarılar, uyarı kuyruğunun, uyarı sayfasının ve cihaz zaman çizelgesinin çözümlenen bölümünde görünür ve Uç Nokta için Defender API'lerinde çözümlenmiş olarak görünür.

    Gizli olarak işaretlenen uyarılar, hem cihazın ilişkili uyarılarında hem de panodan sistemin tamamından gizlenir ve Uç Nokta için Defender API'leri arasında akışa alınmaz.

  5. Bir kural adı ve açıklama girin.

  6. Kaydet'e tıklayın.

Gizleme kurallarının listesini görüntüleme

  1. Gezinti bölmesinde Ayarlar>Uç Noktaları>Kuralları>Uyarı gizleme'yi seçin.

  2. Engelleme kuralları listesi, kuruluşunuzdaki kullanıcıların oluşturduğu tüm kuralları gösterir.

Gizleme kurallarını yönetme hakkında daha fazla bilgi için bkz. Gizleme kurallarını yönetme

Uyarının durumunu değiştirme

Araştırmanız ilerledikçe durumlarını değiştirerek uyarıları ( Yeni, Devam Ediyor veya Çözümlendi olarak) kategorilere ayırabilirsiniz. Bu, ekibinizin uyarılara nasıl yanıt vereceğini düzenlemenize ve yönetmenize yardımcı olur.

Örneğin, bir ekip lideri tüm Yeni uyarıları gözden geçirebilir ve bunları daha fazla analiz için Devam Ediyor kuyruğuna atamaya karar verebilir.

Alternatif olarak, ekip lideri uyarının zararsız olduğunu, ilgisiz bir cihazdan (örneğin bir güvenlik yöneticisine ait) geldiğini veya daha önceki bir uyarı aracılığıyla ele alındığını biliyorsa uyarıyı Çözümlenmiş kuyruğuna atayabilir.

Uyarı sınıflandırması

Sınıflandırma ayarlamamayı seçebilir veya bir uyarının gerçek uyarı mı yoksa yanlış uyarı mı olduğunu belirtebilirsiniz. Gerçek pozitif/yanlış pozitif sınıflandırmasını sağlamak önemlidir. Bu sınıflandırma uyarı kalitesini izlemek ve uyarıları daha doğru hale getirmek için kullanılır. "Belirleme" alanı, "gerçek pozitif" sınıflandırma için ek uygunluk tanımlar.

Uyarıları sınıflandırma adımları bu videoya eklenmiştir:

Açıklama ekleme ve uyarı geçmişini görüntüleme

Uyarıda yapılan önceki değişiklikleri görmek için açıklamalar ekleyebilir ve bir uyarıyla ilgili geçmiş olayları görüntüleyebilirsiniz.

Bir uyarıda her değişiklik veya açıklama yapıldığında, bu değişiklik Açıklamalar ve geçmiş bölümüne kaydedilir.

Eklenen açıklamalar bölmede anında görünür.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.