İngilizce dilinde oku

Aracılığıyla paylaş


Office 365 için Microsoft Defender'de otomatik araştırma ve yanıt (AIR)

İpucu

Office 365 için Microsoft Defender Plan 2'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

Office 365 için Microsoft Defender, güvenlik operasyonları ekibinize zaman ve çaba kazandırabilecek güçlü otomatik araştırma ve yanıt (AIR) özellikleri içerir. Uyarılar tetiklendiğinde, bu uyarıları gözden geçirmek, önceliklendirmek ve yanıtlamak güvenlik operasyonları ekibinize bağlı olur. Gelen uyarıların hacmine ayak uydurmak zor olabilir. Bu görevlerden bazılarını otomatikleştirmek yardımcı olabilir.

AIR, güvenlik operasyonları ekibinizin daha verimli ve etkili bir şekilde çalışmasını sağlar. AIR özellikleri, günümüzde mevcut olan iyi bilinen tehditlere yanıt olarak otomatik araştırma süreçlerini içerir. Uygun düzeltme eylemleri onay bekler ve güvenlik operasyonları ekibinizin algılanan tehditlere etkili bir şekilde yanıt vermesini sağlar. AIR ile güvenlik operasyonları ekibiniz, tetiklenen önemli uyarıları görmeden daha yüksek öncelikli görevlere odaklanabilir.

Bu makalede şunlar açıklanmaktadır:

Bu makale ayrıca sonraki adımları ve daha fazla bilgi edinmek için kaynakları içerir.

AIR'in genel akışı

Bir uyarı tetikler ve güvenlik playbook'u otomatik bir araştırma başlatır ve bu da bulgular ve önerilen eylemlerle sonuçlanır. Air'in genel akışı aşağıdadır, adım adım:

  1. Otomatik araştırma aşağıdaki yollardan biriyle başlatılır:

  2. Otomatik bir araştırma çalıştırılırken söz konusu e-posta ve bu e-postayla ilgili varlıklar (örneğin, dosyalar, URL'ler ve alıcılar) hakkındaki verileri toplar. Yeni ve ilgili uyarılar tetiklendiğinde araştırmanın kapsamı artabilir.

  3. Otomatik araştırma sırasında ve sonrasında , ayrıntılar ve sonuçlar görüntülenebilir. Sonuçlar, bulunan mevcut tehditleri yanıtlamak ve düzeltmek için gerçekleştirilebilecek önerilen eylemleri içerebilir.

  4. Güvenlik operasyonları ekibiniz araştırma sonuçlarını ve önerilerini inceler ve düzeltme eylemlerini onaylar veya reddeder.

  5. Bekleyen düzeltme eylemleri onaylandığından (veya reddedildiğinde), otomatik araştırma tamamlanmıştır.

Not

Araştırma önerilen eylemlerle sonuçlanmazsa otomatik araştırma kapatılır ve otomatik araştırmanın bir parçası olarak gözden geçirilenlerin ayrıntıları araştırma sayfasında görünmeye devam eder.

Office 365 için Microsoft Defender otomatik olarak hiçbir düzeltme eylemi yapılmaz. Düzeltme eylemleri yalnızca kuruluşunuzun güvenlik ekibi tarafından onaylandığında gerçekleştirilen işlemlerdir. AIR özellikleri, düzeltme eylemlerini belirleyerek ve bilinçli bir karar vermek için gereken ayrıntıları sağlayarak güvenlik operasyonları ekibinize zaman kazandırır.

Her otomatik araştırma sırasında ve sonrasında güvenlik operasyonları ekibiniz şunları yapabilir:

İpucu

Daha ayrıntılı bir genel bakış için bkz. AIR nasıl çalışır?

AIR nasıl elde edersiniz?

Denetim günlüğü açık olduğu sürece (varsayılan olarak açıktır) AIR özellikleri Office 365 için Microsoft Defender Plan 2'ye dahildir.

Ayrıca, kuruluşunuzun uyarı ilkelerini, özellikle de Tehdit yönetimi kategorisindeki varsayılan ilkeleri gözden geçirmeyi unutmayın.

Hangi uyarı ilkeleri otomatik araştırmayı tetikler?

Microsoft 365, Exchange yönetici izinlerinin kötüye kullanımı, kötü amaçlı yazılım etkinliği, olası dış ve iç tehditler ve bilgi idaresi risklerini belirlemeye yardımcı olan birçok yerleşik uyarı ilkesi sağlar. Varsayılan uyarı ilkelerinin bazıları otomatik araştırma tetikleyebilir. Bu uyarılar devre dışı bırakılırsa veya özel uyarılar tarafından değiştirilirse AIR tetiklenmemiştir.

Aşağıdaki tabloda otomatik araştırma tetikleyen uyarılar, Microsoft Defender portalındaki önem dereceleri ve bunların nasıl oluşturulduğu açıklanmaktadır:

Uyarı Önem derecesi Uyarı nasıl oluşturulur?
Kötü amaçlı olabilecek bir URL tıklaması algılandı Yüksek Aşağıdakilerden herhangi biri gerçekleştiğinde bu uyarı oluşturulur:
  • Kuruluşunuzdaki Güvenli Bağlantılar tarafından korunan bir kullanıcı kötü amaçlı bir bağlantıya tıklar
  • URL'ler için karar değişiklikleri Office 365 için Microsoft Defender
  • Kullanıcılar Güvenli Bağlantılar uyarı sayfalarını (kuruluşunuzun Güvenli Bağlantılar ilkesine göre) geçersiz kılar.

Bu uyarıyı tetikleyen olaylar hakkında daha fazla bilgi için bkz. Güvenli Bağlantılar ilkelerini ayarlama.
E-posta iletisi bir kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı olarak bildirilir Alçak Bu uyarı, kuruluşunuzdaki kullanıcılar Microsoft Rapor İletisi veya Rapor Kimlik Avı eklentilerini kullanarak iletileri kimlik avı e-postası olarak bildirdiğinde oluşturulur.
Email kötü amaçlı dosya içeren iletiler teslimden sonra kaldırıldı Bilgi Bu uyarı, kötü amaçlı bir dosya içeren iletiler kuruluşunuzdaki posta kutularına teslim edildiğinde oluşturulur. Bu olay oluşursa, Microsoft sıfır saatlik otomatik temizleme (ZAP) kullanarak virüslü iletileri Exchange Online posta kutularından kaldırır.
Kötü amaçlı yazılım içeren Email iletileri teslimden sonra kaldırılır Bilgi Kötü amaçlı yazılım içeren tüm e-posta iletileri kuruluşunuzdaki posta kutularına teslim edildiğinde bu uyarı oluşturulur. Bu olay oluşursa, Microsoft sıfır saatlik otomatik temizleme (ZAP) kullanarak virüslü iletileri Exchange Online posta kutularından kaldırır.
Teslimden sonra kötü amaçlı URL içeren iletilerin kaldırılmasını Email Bilgi Kötü amaçlı URL içeren iletiler kuruluşunuzdaki posta kutularına teslim edildiğinde bu uyarı oluşturulur. Bu olay oluşursa, Microsoft sıfır saatlik otomatik temizleme (ZAP) kullanarak virüslü iletileri Exchange Online posta kutularından kaldırır.
Kimlik avı URL'lerini içeren Email iletileri teslimden sonra kaldırılır Bilgi Bu uyarı, kimlik avı içeren iletiler kuruluşunuzdaki posta kutularına teslim edildiğinde oluşturulur. Bu olay oluşursa, Microsoft zap kullanarak Exchange Online posta kutularından virüslü iletileri kaldırır.
Şüpheli e-posta gönderme desenleri algılandı Orta Bu uyarı, kuruluşunuzdaki biri şüpheli e-posta gönderdiğinde ve e-posta göndermesi kısıtlanma riskiyle karşılandığında oluşturulur. Uyarı, hesabın gizliliğinin ihlal edilmiş olduğunu ancak kullanıcıyı kısıtlayabilecek kadar ciddi olmadığını gösteren davranışlar için erken uyarıdır.

Nadir olsa da, bu ilke tarafından oluşturulan bir uyarı bir anomali olabilir. Ancak , kullanıcı hesabının gizliliğinin ihlal edilip edilmediğini denetlemek iyi bir fikirdir.

Kullanıcının e-posta göndermesi kısıtlandı Yüksek Kuruluşunuzdaki birinin giden posta göndermesi kısıtlandığında bu uyarı oluşturulur. Bu uyarı genellikle bir e-posta hesabının güvenliği aşıldığında sonuçlanır.

Kısıtlanmış kullanıcılar hakkında daha fazla bilgi için, Kısıtlı varlıklar sayfasında engellenen kullanıcıları kaldırma bölümüne bakın.

Yönetici el ile e-posta araştırmasını tetikledi Bilgi Bu uyarı, bir yönetici Tehdit Gezgini'nden bir e-postanın el ile araştırmasını tetiklediğinde oluşturulur. Bu uyarı, kuruluşunuza araştırmanın başlatıldığını bildirir.
Yönetici kullanıcı güvenliğinin aşılmasına neden olan araştırma Orta Bu uyarı, bir yönetici Tehdit Gezgini'nden bir e-posta göndereni veya alıcısını el ile kullanıcı güvenliğini aşma araştırmasını tetiklediğinde oluşturulur. Bu uyarı, kuruluşunuza kullanıcı güvenliğini aşma araştırmasının başlatıldığını bildirir.

İpucu

Uyarı ilkeleri hakkında daha fazla bilgi edinmek veya varsayılan ayarları düzenlemek için Microsoft Defender portalındaki Uyarı ilkeleri bölümüne bakın.

AIR özelliklerini kullanmak için gerekli izinler

AIR kullanmak için size izinler atanmalıdır. Seçenekleriniz şunlardır:

  • Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (İşbirliği Email &>Office 365 için Defender izinleri Etkin olur. Yalnızca Defender portalını etkiler, PowerShell'i etkilemez:

    • Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin: Güvenlik operatörü/Email gelişmiş düzeltme eylemleri (yönet).
  • Microsoft Defender portalında işbirliği izinlerini Email &:

    • AIR özelliklerini ayarlama: Kuruluş Yönetimi veya Güvenlik Yöneticisi rol gruplarında üyelik.
    • Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin:
      • Kuruluş Yönetimi, Güvenlik Yöneticisi, Güvenlik operatörü, Güvenlik Okuyucusu veya Genel Okuyucu rol gruplarında üyelik. ve
      • Arama ve Temizleme rolünün atandığı bir rol grubu üyeliği. Varsayılan olarak, bu rol Veri Araştırmacısı ve Kuruluş Yönetimi rol gruplarına atanır. Alternatif olarak, Arama ve Temizleme rolünü atamak için özel bir rol grubu da oluşturabilirsiniz.
  • Microsoft Entra izinleri:

    • AIR özelliklerini ayarlamaGenel Yönetici veya Güvenlik Yöneticisi rollerine üyelik.
    • Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin:
      • Genel Yönetici, Güvenlik Yöneticisi, Güvenlik operatörü, Güvenlik Okuyucusu veya Genel Okuyucu rollerine üyelik. ve
      • Arama ve Temizleme rolünün atandığı Email & işbirliği rol grubu üyeliği. Varsayılan olarak, bu rol Veri Araştırmacısı ve Kuruluş Yönetimi rol gruplarına atanır. İsterseniz, Arama ve Temizleme rolünü atamak için özel bir Email & işbirliği rol grubu da oluşturabilirsiniz.

    Microsoft Entra izinleri, kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verir.

Gerekli lisanslar

Office 365 için Microsoft Defender Plan 2 lisansları şu lisanslara atanmalıdır:

  • Güvenlik yöneticileri (genel yöneticiler dahil)
  • Kuruluşunuzun güvenlik operasyonları ekibi (güvenlik okuyucuları ve Arama ve Temizleme rolüne sahip olanlar dahil)
  • Son kullanıcılar

Sonraki adımlar