Microsoft Defender XDR'de uyarılar, olaylar ve bağıntı

• Şunlara uygulanır:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR uyarılar, çeşitli tehdit algılama etkinliklerinden kaynaklanan bir kaynak koleksiyonundan gelen sinyallerdir. Bu sinyaller ortamınızda kötü amaçlı veya şüpheli olayların oluştuğuna işaret eder. Uyarılar genellikle daha geniş, karmaşık bir saldırı hikayesinin parçası olabilir ve ilgili uyarılar toplanır ve bu saldırı hikayelerini temsil eden olaylar oluşturmak için birbiriyle ilişkilendirilir.

Olaylar , bir saldırının tam resmini sağlar. Microsoft Defender XDR algoritmaları, tüm Microsoft güvenlik ve uyumluluk çözümlerinin yanı sıra bulut için Microsoft Sentinel ve Microsoft Defender aracılığıyla çok sayıda dış çözümden gelen sinyalleri (uyarıları) otomatik olarak ilişkilendirmektedir. Defender XDR, telemetri kaynaklarını sürekli izlemek ve açık olan olaylara daha fazla kanıt eklemek için yapay zekayı kullanarak aynı saldırı hikayesine ait olarak birden çok sinyali tanımlar.

Olaylar, araştırmalarınızı yönetmek ve belgelemeniz için bir platform sağlayan "olay dosyaları" olarak da işlev görür. Bu konuda olayların işlevselliği hakkında daha fazla bilgi için Microsoft Defender portalında olay yanıtı konusuna bakın.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik operasyonları platformunda genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. Microsoft Defender portalındaki Microsoft Sentinel.

Olayların ve uyarıların ana özniteliklerinin ve aralarındaki farkların özeti aşağıdadır:

Olay:

• Güvenlik İşlemleri Merkezi'nin (SOC) çalışmasının ana "ölçü birimidir".
• Bir saldırının daha geniş bağlamını ( saldırı hikayesi) görüntüleyin.
• Tehdidi ve araştırmanın bulgularını araştırmak için gereken tüm bilgilerin "olay dosyalarını" temsil eder.
• Microsoft Defender XDR tarafından en az bir uyarı içerecek şekilde oluşturulur ve çoğu durumda birçok uyarı içerir.
• Otomasyon kurallarını, saldırı kesintisini ve playbook'ları kullanarak tehditlere otomatik yanıt serisini tetikleme.
• Tehditle ilgili tüm etkinlikleri, araştırmasını ve çözümünü kaydedin.

Uyarı:

• Olayı anlamak ve araştırmak için gerekli olan hikayenin tek tek parçalarını temsil edin.
• Defender portalında hem iç hem de dış birçok farklı kaynak tarafından oluşturulur.
• Daha derin analiz gerektiğinde değer katmak için kendi kendine analiz edilebilir.
• Olası tehdit etkisini en aza indirmek için uyarı düzeyinde otomatik araştırma ve yanıtları tetikleyebilir.

Uyarı kaynakları

Microsoft Defender XDR uyarıları birçok kaynak tarafından oluşturulur:

• Microsoft Defender XDR parçası olan çözümler

  • Uç Nokta için Microsoft Defender
  • Office 365 için Microsoft Defender
  • Kimlik için Microsoft Defender
  • Bulut Uygulamaları için Microsoft Defender
  • Microsoft Defender for Cloud Apps için uygulama idare eklentisi
  • Microsoft Entra ID Koruması
  • Microsoft Veri Kaybı Önleme

• Microsoft Defender güvenlik portalıyla tümleştirmeleri olan diğer hizmetler

  • Microsoft Sentinel
  • Uyarılarını Microsoft Sentinel geçiren Microsoft dışı güvenlik çözümleri
  • Bulut için Microsoft Defender

Microsoft Defender XDR kendisi de uyarılar oluşturur. Birleşik güvenlik operasyonları platformuna Microsoft Sentinel eklendiği için, Microsoft Defender XDR bağıntı altyapısı artık Microsoft Sentinel tarafından alınan tüm ham verilere erişebilir. (Bu verileri Gelişmiş tehdit avcılığı tablolarında bulabilirsiniz.) Defender XDR benzersiz bağıntı özellikleri, dijital varlığınızdaki Microsoft dışı tüm çözümler için başka bir veri analizi ve tehdit algılama katmanı sağlar. Bu algılamalar, Microsoft Sentinel analiz kuralları tarafından önceden sağlanan uyarılara ek olarak Defender XDR uyarı oluşturur.

Farklı kaynaklardan gelen uyarılar birlikte görüntülendiğinde, her uyarının kaynağı uyarı kimliğine eklenmiş karakter kümeleriyle gösterilir. Uyarı kaynakları tablosu, uyarı kaynaklarını uyarı kimliği ön ekine eşler.

Olay oluşturma ve uyarı bağıntısı

Uyarılar, önceki bölümde açıklandığı gibi Microsoft Defender güvenlik portalındaki çeşitli algılama mekanizmaları tarafından oluşturulduğunda, Defender XDR bunları aşağıdaki mantığa göre yeni veya mevcut olaylara yerleştirir:

Senaryo	Karar
Uyarı, belirli bir zaman çerçevesindeki tüm uyarı kaynakları arasında yeterince benzersizdir.	Defender XDR yeni bir olay oluşturur ve uyarıyı buna ekler.
Uyarı, belirli bir zaman dilimi içindeki diğer uyarılarla (aynı kaynaktan veya kaynaklar arasında) yeterince ilişkilidir.	Defender XDR uyarıyı mevcut bir olaya ekler.

Microsoft Defender uyarıları tek bir olayda ilişkilendirmek için kullandığı ölçütler, kendi özel iç bağıntı mantığının bir parçasıdır. Bu mantık, yeni olaya uygun bir ad vermekle de sorumludur.

Olay bağıntısı ve birleştirme

Microsoft Defender XDR bağıntı etkinlikleri olaylar oluşturulduğunda durmaz. Defender XDR olaylar arasındaki ve olaylar arasındaki ortak durumları ve ilişkileri algılamaya devam eder. İki veya daha fazla olayın yeterince benzer olduğu belirlendiğinde, Defender XDR olayları tek bir olayda birleştirir.

Defender XDR bu karara nasıl varıyor?

Defender XDR bağıntı altyapısı, veriler ve saldırı davranışı hakkında derin bilgisine bağlı olarak ayrı olaylarda uyarılar arasındaki ortak öğeleri tanıdığında olayları birleştirir. Bu öğelerden bazıları şunlardır:

• Varlıklar— kullanıcılar, cihazlar, posta kutuları ve diğerleri gibi varlıklar
• Yapıtlar—dosyalar, işlemler, e-posta gönderenler ve diğerleri
• Zaman çerçeveleri
• Çok aşamalı saldırılara işaret eden olay dizileri; örneğin, bir kimlik avı e-posta algılamasını yakından izleyen kötü amaçlı bir e-posta tıklama olayı.

Olaylar ne zaman birleştirilmiyor ?

Bağıntı mantığı iki olayın birleştirilmesi gerektiğini gösterse bile, Defender XDR aşağıdaki koşullarda olayları birleştirmez:

• Olaylardan birinde "Kapalı" durumu var. Çözülen olaylar yeniden açılmaz.
• Birleştirme için uygun olan iki olay iki farklı kişiye atanır.
• İki olayın birleştirilmesi, birleştirilmiş olaydaki varlık sayısını olay başına izin verilen en fazla 50 varlığın üzerine çıkar.
• İki olay, kuruluş tarafından tanımlanan farklı cihaz gruplarındaki cihazları içerir.
  (Bu koşul varsayılan olarak etkin değildir; etkinleştirilmesi gerekir.)

Olaylar birleştirildiğinde ne olur?

İki veya daha fazla olay birleştirildiğinde, bunları absorbe etmek için yeni bir olay oluşturulmaz. Bunun yerine, bir olayın içeriği diğer olaya geçirilir ve işlemde bırakılan olay otomatik olarak kapatılır. Bırakılan olay artık Microsoft Defender XDR görünür veya kullanılamaz ve buna yapılan tüm başvurular birleştirilmiş olaya yönlendirilir. Terk edilmiş, kapalı olay Azure portal Microsoft Sentinel erişilebilir durumda kalır. Olayların içeriği aşağıdaki yollarla işlenir:

• Bırakılan olayda yer alan uyarılar bu olaydan kaldırılır ve birleştirilmiş olaya eklenir.
• Bırakılan olaya uygulanan tüm etiketler olaydan kaldırılır ve birleştirilmiş olaya eklenir.
• Redirected Bırakılan olaya bir etiket eklenir.
• Varlıklar (varlıklar vb.) bağlı oldukları uyarıları izler.
• Terk edilen olayın oluşturulmasına dahil olarak kaydedilen analiz kuralları, birleştirilmiş olayda kaydedilen kurallara eklenir.
• Şu anda, bırakılan olaydaki açıklamalar ve etkinlik günlüğü girişleri birleştirilmiş olaya taşınmaz .

Bırakılan olayın yorumlarını ve etkinlik geçmişini görmek için olayı Azure portal Microsoft Sentinel açın. Etkinlik geçmişi, olayın kapatılmasını ve olay birleştirmeyle ilgili uyarıların, etiketlerin ve diğer öğelerin eklenmesini ve kaldırılmasını içerir. Bu etkinlikler kimlik Microsoft Defender XDR - uyarı bağıntısına atfedilir.

El ile bağıntı

Microsoft Defender XDR zaten gelişmiş bağıntı mekanizmaları kullanıyor olsa da, belirli bir uyarının belirli bir olaya ait olup olmadığına farklı karar vermek isteyebilirsiniz. Böyle bir durumda, bir uyarının bir olayla bağlantısını kaldırabilir ve başka bir olaya bağlayabilirsiniz. Her uyarı bir olaya ait olmalıdır, böylece uyarıyı mevcut başka bir olaya veya anında oluşturduğunuz yeni bir olaya bağlayabilirsiniz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.

Sonraki adımlar

Olaylar, araştırma ve yanıt hakkında daha fazla bilgi edinin: Microsoft Defender portalında olay yanıtı

Ayrıca bkz.

• Microsoft Defender XDR'daki olayların gücü
• İç Microsoft Defender XDR: Saldırıları olaylarla ilişkilendirme ve birleştirme