Microsoft Defender XDR'de yanıltma özelliğini yapılandırma
Şunlar için geçerlidir:
- Microsoft Defender XDR
Not
Microsoft Defender XDR'daki yerleşik yanıltma özelliği, Uç Nokta için Microsoft Defender eklenen tüm Windows istemcilerini kapsar. İstemcileri uç nokta için Defender'a eklemeyi Uç Nokta için Microsoft Defender ekleme hakkında bilgi edinin.
Microsoft Defender XDR, ortamınızı insan tarafından çalıştırılan yanal hareketi kullanan yüksek etkili saldırılardan korumak için yerleşik aldatma teknolojisine sahiptir. Bu makalede, Microsoft Defender XDR'da yanıltma özelliğinin nasıl yapılandırıldığı açıklanır.
Yanıltma özelliği varsayılan olarak kapalıdır. Açmak için aşağıdaki adımları uygulayın:
- Ayarlar>Uç Noktaları'nı seçin.
- Genel'in altında Gelişmiş özellikler'i seçin.
- Yanıltma özelliklerini arayın ve anahtarı Açık konuma getirin.
Aldatma özelliği etkinleştirildiğinde varsayılan bir kural otomatik olarak oluşturulur ve açılır. Buna göre düzenleyebileceğiniz varsayılan kural, yemlerle tümleştirilmiş olan ve bunları kuruluştaki tüm hedef cihazlara yükleyen yem hesaplarını ve konakları otomatik olarak oluşturur. Aldatma özelliğinin kapsamı kuruluştaki tüm cihazlara ayarlanmış olsa da, yemler yalnızca Windows istemci cihazlarına eklenir.
Not
Microsoft Defender XDR şu anda en fazla on (10) aldatma kuralı oluşturulmasını desteklemektedir.
Bir aldatma kuralı oluşturmak için aşağıdaki adımları uygulayın:
- Ayarlar>Uç Noktaları'na gidin. Kurallar'ın altında Yanıltıcı kurallar'ı seçin.
- Aldatma kuralı ekle'yi seçin.
- Kural oluşturma bölmesinde bir kural adı, açıklama ekleyin ve oluşturulacak yem türlerini seçin. Hem Temel hem de Gelişmiş yem türlerini seçebilirsiniz.
- Kapsam bölümünde yemleri yerleştirmek istediğiniz cihazları belirleyin. Tüm Windows istemci cihazlarında veya belirli etiketlere sahip istemcilerde yemleri yerleştirebilirsiniz. Aldatma özelliği şu anda Windows istemcilerini kapsar.
- Daha sonra aldatma özelliğinin, yem hesaplarını ve konakları otomatik olarak oluşturması birkaç dakika sürer. Yanıltma özelliğinin Active Directory'de Kullanıcı Asıl Adını (UPN) taklit eden yem hesapları oluşturduğunu unutmayın.
- Otomatik olarak oluşturulan yemleri gözden geçirebilir, düzenleyebilir veya silebilirsiniz. Bu bölümde kendi yem hesaplarınızı ve konaklarınızı da ekleyebilirsiniz. Hatalı pozitif algılamaları önlemek için, eklenen konakların/IP adreslerinin kuruluş tarafından kullanılmadığından emin olun.
- Yemler bölümünde yemlerin yerleştirildiği bir yem hesabı adını, ana bilgisayar adını ve IP adresini düzenleyebilirsiniz. IP adresleri eklerken, kuruluşta varsa korumalı alan IP'sini kullanmanızı öneririz. Yaygın olarak kullanılan adresleri kullanmaktan kaçının, örneğin , 127.0.0.1, 10.0.0.1 ve benzeri.
Dikkat
Hatalı pozitif uyarılardan kaçınmak için, yem hesapları ve konakları oluştururken ve düzenlerken benzersiz kullanıcı hesapları ve konak adları oluşturmanızı kesinlikle öneririz. Oluşturulan kullanıcı hesaplarının ve konaklarının her aldatma kuralı için benzersiz olduğundan ve bu hesapların ve konakların kuruluşun dizininde olmadığından emin olun.
- Yemler bölümünde otomatik olarak oluşturulan veya özel yemler kullanıp kullanmayabileceğinizi belirleyin. Yalnızca kendi yeminizi karşıya yüklemek için özel yemleri kullanın altında Yeni yem ekle'yi seçin. Özel yemler herhangi bir dosya türü (.DLL ve .EXE dosyaları hariç) olabilir ve her biri 10 MB ile sınırlıdır. Özel yemler oluştururken ve karşıya yüklerken, yemlerin saldırganlar için çekici olduğundan emin olmak için önceki adımlarda oluşturulan sahte konakları veya sahte kullanıcı hesaplarını içermelerini veya bahsetmelerini öneririz.
- Bir yem adı ve yem ekileceği bir yol sağlayın. Ardından, kapsam bölümünde kapsanan tüm cihazlara ve yemlerin gizli bir dosya olarak ekmesini istiyorsanız, yemleri yerleştirebilirsiniz. Bu kutular işaretsiz bırakılırsa, aldatma özelliği, kapsam dahilindeki rastgele cihazlara işaretsiz olarak yemleri otomatik olarak ekler.
- Özet bölümündeki oluşturulan kuralın ayrıntılarını gözden geçirin. Değiştirmeniz gereken bölümde Düzenle'yi seçerek kural ayrıntılarını düzenleyebilirsiniz. Gözden geçirdikten sonra kaydet'i seçin.
- Yeni kural, başarıyla oluşturulduktan sonra Aldatma kuralları bölmesinde görünür. Kural oluşturma işleminin tamamlanması yaklaşık 12-24 saat sürer. Kural oluşturma ilerleme durumunu izlemek için Durum'a bakın.
- Kapsanan ve ekilen yemler ve yemler dahil olmak üzere etkin kuralların ayrıntılarını denetlemek için kurallar bölmesinde Dışarı Aktar'ı seçin.
Bir aldatma kuralını değiştirmek için aşağıdaki adımları uygulayın:
- Aldatma kuralları bölmesinde değiştireceğiniz kuralı seçin.
- Kural ayrıntıları bölmesinde Düzenle'yi seçin.
- Kuralı kapatmak için düzenleme bölmesinde Kapat'ı seçin.
- Bir aldatma kuralını silmek için düzenleme bölmesinde Sil'i seçin.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.