Aracılığıyla paylaş

Microsoft Defender'de tehdit analizi

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Tehdit analizi, uzman Microsoft güvenlik araştırmacılarının ürün içi tehdit bilgileri çözümüdür. Güvenlik ekiplerinin şu gibi yeni tehditlerle karşı karşıya kalırken verimli kalmasına yardımcı olur:

  • Etkin tehdit aktörleri ve kampanyaları
  • Popüler ve yeni saldırı teknikleri
  • Kritik güvenlik açıkları
  • Yaygın saldırı yüzeyleri
  • Yaygın kötü amaçlı yazılım

Tehdit analizine Microsoft Defender portalın gezinti çubuğunun sol üst kısmından veya kuruluşunuza yönelik en önemli tehditleri gösteren ayrılmış bir pano kartından erişebilirsiniz. Bu kart hem bilinen etki hem de açığa çıkarma açısından geçerlidir.

Tehdit analizi giriş sayfasının ekran görüntüsü

Etkin veya devam eden kampanyalar hakkında görünürlük elde etmek ve tehdit analizi aracılığıyla ne yapacağınızı bilmek, güvenlik operasyonları ekibinizin bilinçli kararlar almasına yardımcı olabilir.

Daha karmaşık saldırganlar ve yaygın olarak ortaya çıkan yeni tehditler sayesinde, hızlı bir şekilde şunları yapabilmek çok önemlidir:

  • Yeni ortaya çıkan tehditleri belirleme ve buna tepki verme
  • Şu anda saldırı altında olup olmadığınız hakkında bilgi edinin
  • Tehditlerin varlıklarınız üzerindeki etkisini değerlendirme
  • Tehditlere karşı dayanıklılığınızı veya tehditlere maruz kalma durumunuzu gözden geçirin
  • Tehditleri durdurmak veya içermek için gerçekleştirebileceğiniz risk azaltma, kurtarma veya önleme eylemlerini belirleme

Her rapor, izlenen bir tehdidin analizini ve bu tehditlere karşı savunma konusunda kapsamlı rehberlik sağlar. Ayrıca ağınızdaki verileri de içerir ve tehdidin etkin olup olmadığını ve geçerli korumalarınız olup olmadığını belirtir.

Gerekli roller ve izinler

Defender portalında Tehdit analizine erişmek için en az bir Microsoft Defender XDR ürünün lisansına sahip olmanız gerekir. Daha fazla bilgi için bkz. Microsoft Defender XDR önkoşulları.

Not

Uç Nokta için Microsoft Defender P1 lisansı bu önkoşul için bir özel durumdur ve Tehdit analizi erişimi vermez.

Microsoft Sentinel SIEM müşterileri yalnızca belirli Tehdit analizi bölümlerine veya sekmelerine erişebilir. Daha fazla bilgi edinin

Tehdit analizine erişmek için aşağıdaki roller ve izinler de gereklidir:

  • Güvenlik verileriyle ilgili temel bilgiler (okuma)—tehdit analizi raporunu, ilgili olayları ve uyarıları ve etkilenen varlıkları görüntülemek için
  • İlgili açığa çıkarma verilerini ve önerilen eylemleri görmek için güvenlik açığı yönetimi (okuma) ve Etkilenme Yönetimi (okuma)

Varsayılan olarak, Defender portalında kullanılabilen hizmetlere erişim Microsoft Entra genel roller kullanılarak toplu olarak yönetilir. Belirli ürün verilerine erişim üzerinde daha fazla esnekliğe ve denetime ihtiyacınız varsa ve henüz merkezi izin yönetimi için Microsoft Defender XDR Birleşik rol tabanlı erişim denetimini (RBAC) kullanmıyorsanız, her hizmet için özel roller oluşturmanızı öneririz. Özel roller oluşturma hakkında daha fazla bilgi edinin

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Desteklenen ürünlerden yalnızca birine sahip olsanız bile tüm tehdit analizi raporlarının görünürlüğüne sahip olursunuz. Ancak, bu ürünün belirli olaylarını, varlıklarını, açığa çıkışını ve tehditle ilişkili önerilen eylemleri görmek için her ürüne ve role ihtiyacınız vardır.

Tehdit analizi panosunu görüntüleme

Tehdit analizi panosu (security.microsoft.com/threatanalytics3) kuruluşunuzla en ilgili raporları vurgular. Aşağıdaki bölümlerde tehditleri özetler:

  • En son tehditler— en son yayımlanan veya güncelleştirilen tehdit raporlarının yanı sıra etkin ve çözümlenmiş uyarı sayısını listeler.
  • Yüksek etkili tehditler— kuruluşunuz üzerinde en yüksek etkiye sahip olan tehditleri listeler. Bu bölümde, en fazla etkin ve çözümlenmiş uyarı sayısına sahip tehditler listelenir.
  • En yüksek maruz kalma tehditleri: Kuruluşunuzun en yüksek maruz kalma süresine sahip olduğu tehditler listelenir. Bir tehdide maruz kalma düzeyiniz iki bilgi parçası kullanılarak hesaplanır: tehditle ilişkili güvenlik açıklarının ne kadar ciddi olduğu ve kuruluşunuzdaki kaç cihazın bu güvenlik açıklarından yararlanabileceği.

Tehdit analizi panosunun ekran görüntüsü,

Bu tehdidin raporunu görüntülemek için panodan bir tehdit seçin. Ayrıca, okumak istediğiniz tehdit analizi raporuyla ilgili bir anahtar sözcükte anahtar için Arama alanını seçebilirsiniz.

Raporları kategoriye göre görüntüleme

Tehdit raporu listesini filtreleyebilir ve en ilgili raporları aşağıdaki seçeneklere göre görüntüleyebilirsiniz:

  • Tehdit etiketleri; belirli bir tehdit kategorisine göre en ilgili raporları görüntülemenize yardımcı olabilir. Örneğin Fidye yazılımı etiketi fidye yazılımıyla ilgili tüm raporları içerir.

    Microsoft Tehdit Bilgileri ekibi, her tehdit raporuna tehdit etiketleri ekler. Şu anda aşağıdaki tehdit etiketleri kullanılabilir:

    • Fidye Yazılımı
    • Kimlik Avı
    • Etkinlik grubu
    • Güvenlik Açığı

  • Kategori— belirli bir rapor türüne göre en uygun raporları görüntülemenize yardımcı olabilir. Örneğin, Aktör kategorisi tüm tehdit aktörü profillerini içerir. Farklı analist rapor türleri hakkında daha fazla bilgi edinin

Bu filtreler, tehdit raporu listesini verimli bir şekilde gözden geçirmenize yardımcı olur. Örneğin fidye yazılımı kategorisiyle ilgili tüm tehdit raporlarını veya güvenlik açıkları içeren tehdit raporlarını görüntüleyebilirsiniz.

Kategoriler, tehdit analizi sayfasının en üstünde gösterilir. Sayaçlar, her kategorinin altındaki kullanılabilir raporların sayısını gösterir.

Tehdit analizi rapor türlerinin ekran görüntüsü.

Panonuza rapor filtresi türleri eklemek için Filtreler'i seçin, listeden seçim yapın ve Ekle'yi seçin.

Tehdit analizi Filtre ekle seçeneğinin ekran görüntüsü.

Listede olmasını istediğiniz rapor türlerini kullanılabilir filtrelere göre ayarlamak için bir filtre türü (örneğin Tehdit etiketleri) seçin, listeden seçim yapın ve Uygula'yı seçin.

Tehdit etiketlerindeki Filtreler listesinin ekran görüntüsü.

Tehdit analizi raporunu görüntüleme

Her tehdit analizi raporu çeşitli bölümlerde bilgi sağlar:

Genel bakış: Tehdidi hızla anlayın, etkisini değerlendirin ve savunmaları gözden geçirin

Genel Bakış bölümünde ayrıntılı analist raporunun önizlemesi sağlanır. Ayrıca, tehdidin kuruluşunuz üzerindeki etkisini ve yanlış yapılandırılmış ve eşleşmeyen cihazlar aracılığıyla açığa çıkarmanızı vurgulayan grafikler de sağlar.

Tehdit analizi raporunun genel bakış bölümünün ekran görüntüsü.

Tehdidi ve taktiklerini, tekniklerini ve yordamlarını anlama

Her rapor, uygun olduğunda veya kullanılabilir olduğunda bir tehditle ilgili aşağıdaki ayrıntıları içerir ve bu da size tehdidin ne olduğuna ve kuruluşunuzu nasıl etkileyebileceklerine hızlı bir bakış sağlar:

  • Diğer adlar— diğer güvenlik satıcıları tarafından tehdit için verilen genel olarak açıklanmış adları listeler
  • Kaynak— tehdidin kaynaklandığı ülkeyi veya bölgeyi gösterir
  • İlgili zeka— tehditle ilgili veya ilgili diğer tehdit analizi raporlarını listeler
  • Hedefler— tehdidin hedeflediği ülkeleri veya bölgeleri ve endüstrileri listeler
  • MITRE saldırı teknikleriMITRE ATT&CK çerçevesine göre tehdidin gözlemlenen taktiklerini, tekniklerini ve yordamlarını (TTP) listeler

Kuruluşunuz üzerindeki etkiyi değerlendirme

Her rapor, bir tehdidin kurumsal etkisi hakkında bilgi sağlamak için tasarlanmış grafikler içerir:

  • İlgili olaylar— aşağıdaki verilerle izlenen tehdidin kuruluşunuz üzerindeki etkisine genel bir bakış sağlar:
    • Etkin uyarı sayısı ve ilişkili oldukları etkin olay sayısı
    • Etkin olayların önem derecesi
  • Zaman içindeki uyarılar— zaman içinde ilgili Etkin ve Çözümlenmiş uyarı sayısını gösterir. Çözümlenen uyarı sayısı, kuruluşunuzun bir tehditle ilişkili uyarılara ne kadar hızlı yanıt verdiğini gösterir. İdeal olan grafikte birkaç gün içinde çözümlenen uyarıların gösterilmesi gerekir.
  • Etkilenen varlıklar— şu anda izlenen tehditle ilişkili en az bir etkin uyarıya sahip olan ayrı varlıkların sayısını gösterir. Tehdit e-postaları alan posta kutuları için uyarılar tetiklenir. Tehdit e-postalarının teslim edilmesine neden olan geçersiz kılmalar için hem kuruluş hem de kullanıcı düzeyinde ilkeleri gözden geçirin.

Güvenlik dayanıklılığını ve duruşu gözden geçirme

Her rapor, kuruluşunuzun belirli bir tehdide karşı ne kadar dayanıklı olduğuna genel bakış sağlayan grafikler içerir:

  • Önerilen eylemlerEylem durumu yüzdesini veya güvenlik duruşunuzu geliştirmek için başardığınız nokta sayısını gösterir. Tehdidi ele almak için önerilen eylemleri gerçekleştirin. Puan dökümünü Kategoriye veya Duruma göre görüntüleyebilirsiniz.
  • Uç noktalara maruz kalma— güvenlik açığı bulunan cihazların sayısını gösterir. Tehdit tarafından yararlanılan güvenlik açıklarını gidermek için güvenlik güncelleştirmeleri veya düzeltme ekleri uygulayın.

Analist raporu: Microsoft güvenlik araştırmacılarından uzman içgörüleri alma

Analist raporu bölümünde, ayrıntılı uzman yazma işlemini okuyabilirsiniz. Çoğu rapor, MITRE ATT&CK çerçevesine eşlenen taktikler ve teknikler, kapsamlı öneri listeleri ve güçlü tehdit avcılığı yönergeleri dahil olmak üzere saldırı zincirlerinin ayrıntılı açıklamalarını sağlar.

Analist raporu hakkında daha fazla bilgi edinin

İlgili olaylar sekmesi izlenen tehditle ilgili tüm olayların listesini sağlar. Olaylar atayabilir veya her olaya bağlı uyarıları yönetebilirsiniz.

Tehdit analizi raporunun ilgili olaylar bölümünün ekran görüntüsü.

Not

Tehditle ilişkili olaylar ve uyarılar Office 365 için Uç Nokta için Microsoft Defender, Kimlik için Microsoft Defender Microsoft Defender gelir, bulut için Microsoft Defender for Cloud Apps ve Microsoft Defender.

Etkilenen varlıklar: Etkilenen cihazların, kullanıcıların, posta kutularının, uygulamaların ve bulut kaynaklarının listesini alma

Etkilenen varlıklar sekmesi, zaman içinde tehdit tarafından etkilenen varlıkları gösterir. Şu görüntüler:

  • Etkin uyarılardan etkilenen varlıklar
  • Çözümlenen uyarılardan etkilenen varlıklar
  • Tüm varlıklar veya etkin ve çözümlenmiş uyarılardan etkilenen toplam varlık sayısı

Varlıklar aşağıdaki kategorilere ayrılır:

  • Aygıtları
  • Kullanıcılar
  • Posta kutu -ları
  • Apps
  • Bulut kaynakları

Tehdit analizi raporunun etkilenen varlıklar bölümünün ekran görüntüsü.

Uç noktalara maruz kalma: Güvenlik güncelleştirmelerinin dağıtım durumunu öğrenme

Uç noktaların açığa çıkarma bölümü, kuruluşunuzun tehdide maruz kalma düzeyini sağlar. Açığa çıkarma düzeyi, tehdidin yararlandığı güvenlik açıklarının ve yanlış yapılandırmaların önem derecesine ve bu zayıflıklara sahip cihazların sayısına göre hesaplanır.

Bu bölüm, eklenen cihazlarda bulunan güvenlik açıkları için desteklenen yazılım güvenlik güncelleştirmelerinin dağıtım durumunu da sağlar. Rapordaki çeşitli bağlantılardan ayrıntılı detaya gitme bilgileri de sağlayan Microsoft Defender Güvenlik Açığı Yönetimi verilerini birleştirir.

Tehdit analizi raporunun Uç noktaların açığa çıkarma bölümü

Önerilen eylemler sekmesinde, tehditlere karşı kurumsal dayanıklılığınızı artırmanıza yardımcı olabilecek belirli eyleme dönüştürülebilir öneriler listesini gözden geçirin. İzlenen azaltmalar listesi, aşağıdakiler gibi desteklenen güvenlik yapılandırmalarını içerir:

  • Bulut tabanlı koruma
  • İstenmeyebilecek uygulama (PUA) koruması
  • Gerçek zamanlı koruma

Güvenlik açığı ayrıntılarını gösteren bir tehdit analizi raporunun Önerilen eylemler bölümü

Göstergeler: Tehdidin arkasındaki belirli altyapıyı ve kanıtı görüntüleme (önizleme)

Göstergeler sekmesi, tehditle ilişkili tüm risk göstergelerinin (ICS) listesini sağlar. Microsoft araştırmacıları tehditle ilgili yeni kanıtlar bulduklarında bu GÇ'leri gerçek zamanlı olarak güncelleştirir. Bu bilgiler, güvenlik operasyonları merkezinize (SOC) ve tehdit bilgileri analistlerinize düzeltme ve proaktif avcılık konusunda yardımcı olur. Liste ayrıca süresi dolan ICS'leri de korur, böylece geçmiş tehditleri araştırabilir ve bunların ortamınızdaki etkilerini anlayabilirsiniz.

Tehdit analizi raporundaki Göstergeler sekmesinin ekran görüntüsü.

Önemli

Göstergeler sekmesindeki bilgilere yalnızca doğrulanmış müşteriler erişebilir. Bu bilgilere erişiminiz yoksa kiracınızı doğrulamanız gerekir. GÇ'lere erişim hakkında daha fazla bilgi edinin

En son raporlar ve tehdit bilgileriyle güncel kalın

Tehdit analizi, ortamınızla ilgili yeni bir rapor veya yeni tehdit bilgileri kullanılabilir olduğunda sizi ve SOC ekibinizin güncel kalmasını sağlamak için çeşitli Microsoft Defender ve Microsoft Security Copilot özelliklerinden yararlanır ve tümleştirir.

Tehdit Bilgileri Brifing Aracısını ayarlama

En son tehdit aktörü etkinliğini ve hem iç hem de dış güvenlik açığına maruz kalmayı temel alan ayrıntılı teknik analizle zamanında ve ilgili tehdit bilgileri raporları almak için Tehdit Bilgileri Brifing Aracısı'nı ayarlayın. Aracı, dakikalar içinde tehdit bilgilerine kritik bağlam eklemek için Microsoft tehdit verileriyle müşteri sinyallerini ilişkilendirerek analist ekiplerinin akıllı zeka toplama ve bağıntı için harcanan günlerini ve saatlerini kaydeder.

Dağıtıldıktan sonra Tehdit Analizi Brifing Aracısı, Tehdit analizi sayfasının üst kısmında bir başlık olarak görünür.

Tehdit analizi sayfasının üst kısmındaki Tehdit Bilgileri Brifing Aracısı başlığının ekran görüntüsü.

Tehdit Bilgileri Brifing Aracısı hakkında daha fazla bilgi edinin

Özel algılama kuralları ayarlayın ve bunları Tehdit analizi raporlarına bağlayın. Bu kurallar tetikleniyorsa ve bir uyarı bir olay oluşturuyorsa, rapor bu olayda gösterilir ve olay diğer Microsoft tanımlı algılamalar gibi İlgili olaylar sekmesinde görünür.

Tehdit analizi seçeneğinin vurgulandığı özel algılama kurulum sayfasının ekran görüntüsü.

Özel algılama kuralları oluşturma ve yönetme hakkında daha fazla bilgi edinin

Rapor güncelleştirmeleri için e-posta bildirimlerini ayarlama

Tehdit analizi raporlarında size güncelleştirmeler gönderen e-posta bildirimlerini ayarlayın. E-posta bildirimleri oluşturmak için Microsoft Defender XDR'da Tehdit analizi güncelleştirmeleri için e-posta bildirimleri alma başlığı altında yer alan adımları izleyin.

Diğer rapor ayrıntıları ve sınırlamaları

Tehdit analizi verilerini gözden geçirirken aşağıdaki faktörleri göz önünde bulundurun:

  • Önerilen eylemler sekmesindeki denetim listesi yalnızca Microsoft Güvenli Puanı'nda izlenen önerileri görüntüler. Güvenli Puan'da izlenmemiş daha fazla önerilen eylem için Analist raporu sekmesine bakın.
  • Önerilen eylemler tam dayanıklılığı garanti etmez ve yalnızca iyileştirmek için gereken en iyi eylemleri yansıtır.
  • Virüsten korumayla ilgili istatistikler Microsoft Defender Virüsten Koruma ayarlarını temel alır.
  • Ana Tehdit analizi sayfasındaki Yanlış yapılandırılmış cihazlar sütunu, tehdidin ilgili önerilen eylemleri açık olmadığında bir tehditten etkilenen cihaz sayısını gösterir. Ancak, Microsoft araştırmacıları önerilen eylemleri bağlamazsa, Yanlış yapılandırılmış cihazlar sütunu Kullanılamıyor durumunu gösterir.
  • Ana Tehdit analizi sayfasındaki Güvenlik açığı bulunan cihazlar sütunu, yazılım çalıştıran ve tehditle bağlantılı güvenlik açıklarından herhangi birine karşı savunmasız olan cihazların sayısını gösterir. Ancak, Microsoft araştırmacıları herhangi bir güvenlik açığını bağlamazsa, Güvenlik açığı olan cihazlar sütunu Kullanılamıyor durumunu gösterir.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.

  • Last updated on