Microsoft Defender portalında olayların önceliklerini belirleme
Microsoft Defender portalındaki birleşik güvenlik operasyonları platformu bağıntı analizi uygular ve farklı ürünlerden gelen ilgili uyarıları ve otomatik araştırmaları bir olaya toplar. Microsoft Sentinel ve Defender XDR, tüm ürün paketinde birleşik platformda uçtan uca görünürlük göz önünde bulundurulduğunda yalnızca kötü amaçlı olarak tanımlanabilen etkinliklerde benzersiz uyarılar tetikler. Bu görünüm, güvenlik analistlerinize kuruluşunuz genelindeki karmaşık tehditleri daha iyi anlamalarına ve bunlarla başa çıkmalarına yardımcı olan daha geniş bir saldırı hikayesi sunar.
Önemli
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için, Microsoft Sentinel Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için bkz. Microsoft Defender portalındaki Microsoft Sentinel.
Olay kuyruğu cihazlar, kullanıcılar, posta kutuları ve diğer kaynaklar arasında oluşturulmuş bir olay koleksiyonunu gösterir. Olay önceliklerini belirleme ve olay önceliklendirme olarak bilinen bir bilgili siber güvenlik yanıtı kararı oluşturma amacıyla olayları sıralamanıza yardımcı olur.
Microsoft Defender portalının hızlı başlatılmasıyla Olaylar & uyarılar > Olaylar bölümünden olay kuyruğuna ulaşabilirsiniz. İşte bir örnek.
En son olaylar ve uyarılar'ı seçerek son 24 saat içinde alınan uyarı ve olay sayısının zaman çizelgesi grafiğini gösteren üst bölümün genişletilmesine geçiş yapın.
Bunun altında, Microsoft Defender portalındaki olay kuyruğu son altı ayda görülen olayları görüntüler. Üstteki açılan listeden seçerek farklı bir zaman dilimi seçebilirsiniz. Olaylar, bir olayda yapılan en son otomatik veya el ile yapılan güncelleştirmelere göre düzenlenir. Olayları yapılan en son otomatik veya el ile yapılan güncelleştirmelere göre görüntülemek için olayları son güncelleştirme zamanı sütununa göre düzenleyebilirsiniz.
Olay kuyruğunda, olayın farklı özelliklerine veya etkilenen varlıklara görünürlük sağlayan özelleştirilebilir sütunlar vardır. Bu filtreleme, analiz için olayların önceliklendirilmesiyle ilgili bilinçli bir karar vermenizi sağlar. Tercih ettiğiniz görünüme göre aşağıdaki özelleştirmeleri gerçekleştirmek için Sütunları özelleştir'i seçin:
- Olay kuyruğunda görmek istediğiniz sütunları işaretleyin/işaretini kaldırın.
- Sütunları sürükleyerek sırasını düzenleyin.
Bir bakışta daha fazla görünürlük elde Microsoft Defender XDR, etkilenen uç nokta sayısı, etkilenen kullanıcılar, algılama kaynakları veya kategoriler gibi uyarı özniteliklerine göre olay adlarını otomatik olarak oluşturur. Bu belirli adlandırma, olayın kapsamını hızlı bir şekilde anlamanıza olanak tanır.
Örneğin: Birden çok kaynak tarafından bildirilen birden çok uç noktada çok aşamalı olay.
Birleşik güvenlik operasyonları platformuna Microsoft Sentinel eklediyseniz, Microsoft Sentinel gelen tüm uyarı ve olayların adları büyük olasılıkla değiştirilmiştir (eklemeden önce mi yoksa eklendikten sonra mı oluşturulduklarından bağımsız olarak).
Otomasyon kurallarını tetikleme koşulu olarak olay adını kullanmaktan kaçınmanızı öneririz. Olay adı bir koşulsa ve olay adı değişirse kural tetiklenmez.
Olay kuyruğu, uygulandığında ortamınızdaki tüm mevcut olayların kapsamlı bir taramasını gerçekleştirmenize veya belirli bir senaryoya veya tehdide odaklanmaya karar vermenize olanak tanıyan birden çok filtreleme seçeneği de sunar. Olay kuyruğuna filtre uygulamak, hangi olayın hemen ilgilenilmesi gerektiğini belirlemeye yardımcı olabilir.
Olay listesinin üstündeki Filtreler listesi, geçerli olarak uygulanan filtreleri gösterir.
Varsayılan olay kuyruğundan Filtre ekle açılan listesini seçerek gösterilen olay kümesini sınırlamak için olay kuyruğuna uygulanacak filtreleri belirtebilirsiniz. İşte bir örnek.
Kullanmak istediğiniz filtreleri seçin ve ardından listenin alt kısmındaki Ekle'yi seçerek kullanılabilir duruma getirin.
Artık seçtiğiniz filtreler, mevcut uygulanan filtrelerle birlikte gösterilir. Koşullarını belirtmek için yeni filtreyi seçin. Örneğin, "Hizmet/algılama kaynakları" filtresini seçtiyseniz, listeyi filtreleyen kaynakları seçmek için bu filtreyi seçin.
Filtre bölmesini, olay listesinin üzerindeki Filtreler listesinden herhangi birini seçerek de görebilirsiniz.
Bu tabloda, kullanılabilen filtre adları listelenir.
Filtre adı | Açıklama/Koşullar |
---|---|
Durum | Yeni, Sürüyor veya Çözümlendi'yi seçin. |
Uyarı önem derecesi Olay önem derecesi |
Bir uyarının veya olayın önem derecesi, varlıklarınız üzerindeki etkisini gösterir. Önem derecesi ne kadar yüksekse, etki o kadar büyük olur ve genellikle en acil dikkati gerektirir. Yüksek, Orta, Düşük veya Bilgilendirici'yi seçin. |
Olay ataması | Atanan kullanıcıyı veya kullanıcıları seçin. |
Birden çok hizmet kaynağı | Filtrenin birden fazla hizmet kaynağı için olup olmadığını belirtin. |
Hizmet/algılama kaynakları | Aşağıdakilerden birinden veya birden fazlasından gelen uyarıları içeren olayları belirtin: Bu hizmetlerin çoğu, belirli bir hizmet içindeki diğer algılama kaynakları seçeneklerini ortaya çıkarmak için menüde genişletilebilir. |
Etiketler | Listeden bir veya birden çok etiket adı seçin. |
Birden çok kategori | Filtrenin birden fazla kategori için olup olmadığını belirtin. |
Kategori | Görülen belirli taktiklere, tekniklere veya saldırı bileşenlerine odaklanmak için kategorileri seçin. |
Varlık | Kullanıcı, cihaz, posta kutusu veya uygulama adı gibi bir varlığın adını belirtin. |
Veri duyarlılığı | Bazı saldırılar, hassas veya değerli verileri sızdırmak için hedeflemeye odaklanır. Belirli duyarlılık etiketleri için bir filtre uygulayarak hassas bilgilerin ele geçirilip geçirilmemiş olabileceğini hızla belirleyebilir ve bu olayları ele geçirmeyi önceliklendikleyebilirsiniz. Bu filtre yalnızca Microsoft Purview Bilgi Koruması duyarlılık etiketleri uyguladığınızda bilgileri görüntüler. |
Cihaz grupları | Bir cihaz grubu adı belirtin. |
İşletim sistemi platformu | Cihaz işletim sistemlerini belirtin. |
Sınıflandırma | İlgili uyarıların sınıflandırma kümesini belirtin. |
Otomatik araştırma durumu | Otomatik araştırmanın durumunu belirtin. |
İlişkili tehdit | Adlandırılmış bir tehdit belirtin. |
Uyarı ilkeleri | Bir uyarı ilkesi başlığı belirtin. |
Abonelik kimliklerini uyarın | Abonelik kimliğini temel alan bir uyarı belirtin. |
Varsayılan filtre, Durumu Yeni ve Devam Ediyor olan ve Yüksek, Orta veya Düşük önem derecesine sahip tüm uyarıları ve olayları göstermektir.
Filtreler listesindeki bir filtrenin adında X işaretini seçerek filtreyi hızla kaldırabilirsiniz.
Kaydedilen filtre sorguları Filtre kümesi oluştur'u seçerek olaylar sayfasında filtre kümeleri de oluşturabilirsiniz.> Hiçbir filtre kümesi oluşturulmadıysa , kaydetmek için Kaydet'i seçin.
Not
Microsoft Defender XDR müşteriler artık güvenliği aşılmış bir cihazın IoT için Microsoft Defender tümleştirmesi aracılığıyla kurumsal ağa bağlı işletim teknolojisi (OT) cihazlarıyla iletişim kurduğu uyarılarla olayları filtreleyebilir Uç Nokta için Microsoft Defender. Bu olayları filtrelemek için Hizmet/algılama kaynaklarında Herhangi biri'ni seçin, ardından Ürün adında IoT için Microsoft Defender'yi seçin veya Defender portalında IoT için Microsoft Defender olayları ve uyarıları araştırma konusuna bakın. Ayrıca, siteye özgü uyarıları filtrelemek için cihaz gruplarını da kullanabilirsiniz. IoT için Defender önkoşulları hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'da kurumsal IoT izlemeye başlama.
Olaylar kuyruğunda yararlı bir filtre yapılandırdıktan sonra, tarayıcı sekmesinin URL'sine yer işareti ekleyebilir veya web sayfasına, Word belgesine veya tercih ettiğiniz bir yere bağlantı olarak kaydedebilirsiniz. Yer işareti ekleme, olay kuyruğunun önemli görünümlerine tek tıklamayla erişmenizi sağlar, örneğin:
- Yeni olaylar
- Yüksek önem dereceli olaylar
- Atanmamış olaylar
- Yüksek önem derecesi, atanmamış olaylar
- Bana atanan olaylar
- Bana ve Uç Nokta için Microsoft Defender için atanan olaylar
- Belirli bir etiket veya etikete sahip olaylar
- Belirli bir tehdit kategorisine sahip olaylar
- Belirli bir ilişkili tehdide sahip olaylar
- Belirli bir aktörle ilgili olaylar
Yararlı filtre görünümleri listenizi DERleyip URL olarak depoladıktan sonra, kuyruğunuzdaki olayları hızlı bir şekilde işlemek ve önceliklendirmek ve bunları sonraki atama ve analiz için yönetmek için kullanın.
Olay listesinin üstündeki Ad veya kimlik ara kutusundan, aradığınızı hızla bulmak için olayları çeşitli yollarla arayabilirsiniz.
Olay kimliğini veya olay adını yazarak doğrudan bir olay arayın. Arama sonuçları listesinden bir olay seçtiğinizde, Microsoft Defender portalı olayın özelliklerini içeren ve araştırmanızı başlatabileceğiniz yeni bir sekme açar.
Bir varlığı (kullanıcı, cihaz, posta kutusu, uygulama adı veya bulut kaynağı gibi) adlandırabilir ve bu varlıkla ilgili tüm olayları bulabilirsiniz.
Varsayılan olay listesi, son altı ay içinde gerçekleşen olaylara yöneliktir. Takvim simgesinin yanındaki açılan kutudan şunları seçerek yeni bir zaman aralığı belirtebilirsiniz:
- Bir gün
- Üç gün
- Bir hafta
- 30 gün
- 30 gün
- Altı ay
- Hem tarihleri hem de saatleri belirtebileceğiniz özel bir aralık
Hangi olayın en yüksek önceliğe sahip olduğunu belirledikten sonra seçin ve:
- Etiketler, atama, hatalı pozitif olaylar ve açıklamalar için anında çözüm için olayın özelliklerini yönetin.
- Araştırmalarınızı başlatın.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.