Share via


Microsoft Defender XDR'de yanıltma özelliğini yönetme

Şunlar için geçerlidir:

  • Microsoft Defender XDR
  • Uç Nokta için Microsoft Defender

Önemli

Bu makaledeki bazı bilgiler, ticari olarak yayınlanmadan önce önemli ölçüde değiştirilebilen önceden yayımlanan ürünler/hizmetlerle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Microsoft Defender XDR, yerleşik yanıltma özelliği sayesinde, insan tarafından çalıştırılan yanal hareketin yüksek güvenilirlik algılamalarını sağlayarak saldırıların kuruluşun kritik varlıklarına ulaşmasını önler. İş e-posta güvenliğinin aşılması (BEC), fidye yazılımı, kuruluş ihlalleri ve ulus-devlet saldırıları gibi çeşitli saldırılar genellikle yanal hareket kullanır ve ilk aşamalarda yüksek güvenle algılanması zor olabilir. Defender XDR'in yanıltma teknolojisi, Uç Nokta için Microsoft Defender sinyallerle ilişkili yanıltma sinyallerini temel alan yüksek güvenilirlik algılamaları sağlar.

Yanıltma özelliği otomatik olarak orijinal görünümlü yem hesapları, konaklar ve yemler oluşturur. Oluşturulan sahte varlıklar daha sonra otomatik olarak belirli istemcilere dağıtılır. Bir saldırgan yemlerle veya tuzaklarla etkileşime geçtiğinde, yanıltma özelliği yüksek güvenilirlik uyarıları oluşturur, güvenlik ekibinin araştırmalarına yardımcı olur ve saldırganın yöntemlerini ve stratejilerini gözlemlemesini sağlar. Yanıltma özelliği tarafından tetiklenen tüm uyarılar olaylarla otomatik olarak ilişkilendirilir ve Microsoft Defender XDR tamamen tümleştirilir. Ayrıca, yanıltma teknolojisi Uç Nokta için Defender ile tümleşiktir ve dağıtım gereksinimlerini en aza indirir.

Aldatma özelliğine genel bir bakış için aşağıdaki videoyu watch.

Önkoşullar

Aşağıdaki tabloda, Microsoft Defender XDR'de yanıltma özelliğini etkinleştirme gereksinimleri listelemektedir.

Gereksinim Ayrıntılar
Abonelik gereksinimleri Şu aboneliklerden biri:
- Microsoft 365 E5
- Microsoft Security E5
- Uç Nokta için Microsoft Defender Plan 2
Dağıtım gereksinimleri Gereksinimler:
- Uç Nokta için Defender birincil EDR çözümüdür -
Uç nokta için Defender'da otomatik araştırma ve yanıt özellikleri yapılandırıldı
- Cihazlar Microsoft Entra
birleştirildi veya karma birleştirildi - PowerShell cihazlarda
etkinleştirilir - Yanıltma özelliği, Windows 10 RS5 ve sonraki sürümlerde çalışan istemcileri kapsar.
İzinler Yanıltma özelliklerini yapılandırmak için Microsoft Entra yönetim merkezi veya Microsoft 365 yönetim merkezi aşağıdaki rollerden birine atanmış olmanız gerekir:
- Genel yönetici
- Güvenlik yöneticisi
- Portal sistem ayarlarını yönetme

Aldatma teknolojisi nedir?

Yanıltma teknolojisi, güvenlik ekiplerine yönelik olası bir saldırıyla ilgili anında uyarılar sağlayan ve gerçek zamanlı olarak yanıt vermelerini sağlayan bir güvenlik önlemidir. Yanıltma teknolojisi, ağınıza ait gibi görünen cihazlar, kullanıcılar ve konaklar gibi sahte varlıklar oluşturur.

Yanıltma özelliği tarafından ayarlanan sahte ağ varlıklarıyla etkileşim kuran saldırganlar, güvenlik ekiplerinin olası saldırıların bir kuruluşu tehlikeye atmasını önlemesine ve saldırganların eylemlerini izlemesine yardımcı olabilir ve böylece savunmacılar ortamlarının güvenliğini daha da geliştirebilir.

Microsoft Defender XDR yanıltma özelliği nasıl çalışır?

Microsoft Defender portalındaki yerleşik aldatma özelliği, ortamınızla eşleşen yemler ve yemler oluşturmak için kuralları kullanır. Bu özellik, ağınıza göre uyarlanmış yemler ve yemler önermek için makine öğrenimini uygular. Yemleri ve yemleri el ile oluşturmak için yanıltma özelliğini de kullanabilirsiniz. Bu yemler ve yemler daha sonra ağınıza otomatik olarak dağıtılır ve PowerShell kullanılarak belirttiğiniz cihazlara eklenir.

Yanal hareketi olan ve aldatmanın saldırıyı durdurduğu saldırının ekran görüntüsü

Şekil 1. Yanıltıcı teknoloji, insan tarafından çalıştırılan yanal hareketin yüksek güvenilirlik algılamaları sayesinde, bir saldırgan sahte konaklarla etkileşime geçtiğinde veya tuzak kurduğunda güvenlik ekiplerini uyarır

Yemler , ağınıza ait gibi görünen sahte cihazlar ve hesaplardır. Yemler , belirli cihazlara veya hesaplara yerleştirilen sahte içeriktir ve bir saldırganın ilgisini çekmek için kullanılır. İçerik bir belge, yapılandırma dosyası, önbelleğe alınmış kimlik bilgileri veya saldırganın okuması, çalması veya etkileşim kurabileceği herhangi bir içerik olabilir. Yemler önemli şirket bilgilerini, ayarlarını veya kimlik bilgilerini taklit eder.

Yanıltma özelliğinde iki tür yem vardır:

  • Temel yemler – ekilen belgeler, bağlantı dosyaları ve müşteri ortamıyla hiç veya en az etkileşimi olmayan benzerleri.
  • Gelişmiş yemler – önbelleğe alınmış kimlik bilgileri ve müşteri ortamına yanıt veren veya müşteri ortamıyla etkileşim kuran kesmeler gibi ekli içerik. Örneğin, saldırganlar Active Directory sorgularına yanıt eklenmiş olan ve oturum açmak için kullanılabilecek yem kimlik bilgileriyle etkileşimde bulunabilir.

Not

Yemler yalnızca bir aldatma kuralı kapsamında tanımlanan Windows istemcilerine eklenir. Bununla birlikte, Uç Nokta eklenen istemciler için Defender'da herhangi bir yem konağı veya hesabı kullanmaya çalışmak bir aldatma uyarısı oluşturur. İstemcileri Uç Nokta için Microsoft Defender ekleme hakkında bilgi edinin. Windows Server 2016 ve daha sonra gelecekteki gelişim için yemlerin dikilmesi planlanıyor.

Bir aldatma kuralında yemleri, yemleri ve kapsamı belirtebilirsiniz. Yanıltma kurallarını oluşturma ve değiştirme hakkında daha fazla bilgi edinmek için bkz. Aldatma özelliğini yapılandırma.

Bir saldırgan uç nokta ile eklenen herhangi bir Defender istemcisinde bir yem veya yem kullandığında, yanıltma özelliği, aldatmanın istemcide dağıtılıp dağıtılmadığına bakılmaksızın olası saldırgan etkinliğini gösteren bir uyarı tetikler.

Yanıltma tarafından etkinleştirilen olayları ve uyarıları belirleme

Aldatma algılamayı temel alan uyarılar başlığında yanıltıcıdır . Uyarı başlıklarına bazı örnekler şunlardır:

  • Aldatıcı bir kullanıcı hesabıyla oturum açma girişimi
  • Aldatıcı bir konağa bağlantı girişimi

Uyarı ayrıntıları aşağıdakileri içerir:

  • Deception etiketi
  • Uyarının kaynaklandığı yem cihazı veya kullanıcı hesabı
  • Oturum açma girişimleri veya yanal hareket girişimleri gibi saldırı türü

Etiketi ve girişimi vurgulayan bir aldatma uyarısının ekran görüntüsü

Şekil 2. Yanıltmayla ilgili uyarının ayrıntıları

Sonraki adım

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.