Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
İpucu
Office 365 Plan 2 için Microsoft Defender'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında Office 365 deneme sürümü için 90 günlük Defender'ı kullanın. Office 365 için deneme Microsoft Defender'nda kaydolabilecek kişiler ve deneme koşulları hakkında bilgi edinin.
Microsoft Defender portalındaki bir olay, bir saldırının tüm hikayesini tanımlayan bağıntılı uyarıların ve ilişkili verilerin bir koleksiyonudur. Office 365 uyarıları, otomatik araştırma ve yanıt (AIR) için Defender ile araştırmaların sonucu yerel olarak tümleştirilir ve Microsoft Defender portalındaki https://security.microsoft.com/incidentsOlaylar sayfasında ilişkilendirilir. Bu sayfayı Olaylar kuyruğu olarak adlandırıyoruz.
Kötü amaçlı veya şüpheli etkinlikler bir varlığı (örneğin, e-posta, kullanıcılar veya posta kutuları) etkilediğinde uyarılar oluşturulur. Uyarılar, devam eden veya tamamlanan saldırılar hakkında değerli içgörüler sağlar. Ancak, devam eden bir saldırı birden çok varlığı etkileyebilir ve bu da farklı kaynaklardan birden çok uyarıya neden olabilir. Bazı yerleşik uyarılar AIR playbook'larını otomatik olarak tetikler. Bu playbook'lar, etkilenen diğer varlıkları veya şüpheli etkinlikleri aramak için bir dizi araştırma adımı uygular.
Microsoft Defender portalında Office 365 uyarıları için Microsoft Defender nasıl yönetileceğini gösteren bu kısa videoyu izleyin.
Office 365 uyarıları, araştırmaları ve verileri için Defender otomatik olarak ilişkilendirilir. Bir ilişki belirlendiğinde sistem, güvenlik ekiplerine saldırının tamamı için görünürlük sağlamak üzere bir olay oluşturur. Olaylar yalnızca statik olayları temsil eder; zaman içinde gerçekleşen saldırı hikayelerini temsil ediyorlar. Saldırı ilerledikçe yeni Office 365 için Defender uyarıları, AIR araştırmaları ve bunların verileri mevcut olaya sürekli olarak eklenir.
SecOps ekiplerinin, konumundaki Olaylar kuyruğundaki https://security.microsoft.com/incidentsOffice 365 için Defender'dan olayları ve uyarıları yönetmesini kesinlikle öneririz. Bu yaklaşımın aşağıdaki avantajları vardır:
Yönetim için birden çok seçenek:
- Önceliği
- Filtreleme
- Sınıflandırma
- Etiket yönetimi
Olayları doğrudan kuyruktan alabilir veya birine atayabilirsiniz. Açıklamalar ve açıklama geçmişi ilerleme durumunu izlemeye yardımcı olabilir.
Saldırı, Microsoft Defender* tarafından korunan diğer iş yüklerini etkiliyorsa, ilgili uyarılar, araştırmalar ve bunların verileri de aynı olayla ilişkilendirilir.
*Uç Nokta için Microsoft Defender, Kimlik için Microsoft Defender ve Microsoft Defender for Cloud Apps.
Mantık sistem tarafından sağlandığından karmaşık bağıntı mantığı gerekli değildir.
Bağıntı mantığı gereksinimlerinizi tam olarak karşılamıyorsa, mevcut olaylara uyarılar ekleyebilir veya yeni olaylar oluşturabilirsiniz.
Office 365 uyarıları, AIR araştırmaları ve araştırmalardan bekleyen eylemler için ilgili Defender olaylara otomatik olarak eklenir.
AIR araştırması tehdit bulmazsa sistem ilgili uyarıları otomatik olarak çözer Bir olaydaki tüm uyarılar çözümlenirse, olay durumu da Çözüldü olarak değişir.
İlgili kanıt ve yanıt eylemleri, olayın Kanıt ve yanıt sekmesinde otomatik olarak toplanır.
Güvenlik ekibi üyeleri doğrudan olaylardan yanıt eylemleri gerçekleştirebilir. Örneğin, posta kutularındaki e-postaları geçici olarak silebilir veya şüpheli Gelen Kutusu kurallarını posta kutularından kaldırabilirler.
Önerilen e-posta eylemleri yalnızca kötü amaçlı bir e-postanın en son teslim konumu bir bulut posta kutusu olduğunda oluşturulur.
Bekleyen e-posta eylemleri en son teslim konumuna göre güncelleştirilir. E-posta el ile gerçekleştirilen bir eylemle zaten düzeltildiyse, durum bunu yansıtır.
Önerilen eylemler yalnızca en kritik tehditler olarak belirlenen e-posta ve e-posta kümeleri için oluşturulur:
- Malware
- Yüksek güvenilirlikli kimlik avı
- Kötü amaçlı URL'ler
- Kötü amaçlı dosyalar
Not
Defender portalı, tek tek kanıt öğelerini listelemek yerine Office 365 için Defender için tek bir kanıt kümesi gösterir.
Microsoft Defender portalındaki Olaylar sayfasındaki olayları yönetme:https://security.microsoft.com/incidents
konumundaki Microsoft Sentinelhttps://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2FsentinelOlaylar sayfasında olayları yönetin:
Yapılması gereken yanıt eylemleri
Güvenlik ekipleri, Office 365 için Defender araçlarını kullanarak e-posta üzerinde çok çeşitli yanıt eylemleri gerçekleştirebilir:
İletileri silebilirsiniz, ancak e-postada aşağıdaki eylemleri de gerçekleştirebilirsiniz:
- Gelen Kutusuna Taşı
- Gereksiz Öğeye Taşı
- Silinmiş Öğelere Taşı
- Geçici silme
- Sabit silme.
Aşağıdaki konumlardan bu eylemleri gerçekleştirebilirsiniz:
- Olay sayfasındakihttps://security.microsoft.com/incidents (önerilen) olayın ayrıntılarından Kanıt ve yanıt sekmesi.
- Tehdit Gezgini konumunda https://security.microsoft.com/threatexplorer.
- konumundaki https://security.microsoft.com/action-center/pendingbirleşik İşlem merkezi.
Bir AIR playbook'unu, Tehdit Gezgini'ndeki Araştırmayı tetikle eylemini kullanarak herhangi bir e-posta iletisinde el ile başlatabilirsiniz.
Tehdit Gezgini'ni veya yönetici gönderimlerini kullanarak hatalı pozitif veya hatalı negatif algılamaları doğrudan Microsoft'a bildirebilirsiniz.
Algılanmayan kötü amaçlı dosyaları, URL'leri veya gönderenleri Kiracı İzin Ver/Engelle Listesi'ni kullanarak engelleyebilirsiniz.
Office 365 için Defender'daki eylemler avcılık deneyimleriyle sorunsuz bir şekilde tümleştirilir ve eylemlerin geçmişi konumundaki birleşik İşlem merkezindekihttps://security.microsoft.com/action-center/historyGeçmiş sekmesinde görünür.
Eylem gerçekleştirmenin en etkili yolu, yerleşik tümleştirmeyi Microsoft Defender XDR Olaylar ile kullanmaktır. Office 365 için Defender'da AIR tarafından önerilen eylemleri Microsoft Defender XDR'daki bir olayın Kanıt ve yanıt sekmesinde onaylayabilirsiniz. Bu eylem gerçekleştirme yöntemi aşağıdaki nedenlerle önerilir:
- Saldırı hikayesinin tamamını araştırırsınız.
- Diğer iş yükleriyle yerleşik bağıntıdan yararlanabilirsiniz: Uç Nokta için Microsoft Defender, Kimlik için Microsoft Defender ve Microsoft Defender for Cloud Apps.
- E-posta üzerinde tek bir yerden işlem gerçekleştirirsiniz.
El ile yapılan araştırma veya avcılık etkinliğinin sonucuna bağlı olarak e-posta üzerinde işlem gerçekleştirirsiniz. Tehdit Gezgini , güvenlik ekibi üyelerinin bulut posta kutularında hala var olabilecek tüm e-posta iletileri üzerinde eylem gerçekleştirmesine olanak tanır. Kuruluşunuzdaki kullanıcılar arasında gönderilen kuruluş içi iletilerde işlem yapabilir. Tehdit Gezgini verileri son 30 gün boyunca kullanılabilir.
Microsoft Defender portalının, Office 365 için Defender gibi çeşitli algılama kaynaklarından gelen uyarıları olaylar halinde nasıl bir araya getirildiği hakkında bilgi edinmek için bu kısa videoyu izleyin.