Microsoft Defender'da olayları yönetme

Makale
08/22/2024
Şunlara uygulanır:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Olay yönetimi, olay iş akışınızda zamanı iyileştirmek ve tehditleri daha hızlı bir şekilde içerip ele almak için olayların adlandırıldığından, atandığından ve etiketlendiğinden emin olmak için kritik öneme sahiptir.

Microsoft Defender portalının (security.microsoft.com) hızlı başlatılmasıyla olaylar & uyarılar > Olaylarından olayları yönetebilirsiniz. İşte bir örnek.

Olaylarınızı yönetmek için kullanabileceğiniz yöntemler şunlardır:

Olay adını düzenleyin.
Önem derecesini atama veya değiştirme.
Olay etiketleri ekleyin.
Olayı bir kullanıcı hesabına atayın.
Bunları çözün.
Sınıflandırmasını belirtin.
Açıklama ekleyin.
Etkinlik denetimini değerlendirin ve Etkinlik günlüğüne açıklamalar ekleyin.
Olay verilerini PDF'ye aktarın.

Olayları bir olayın Olay yönetme bölmesinden yönetebilirsiniz. İşte bir örnek.

Bu bölmeyi aşağıdaki olay yönet bağlantısından görüntüleyebilirsiniz:

Uyarı hikayesi sayfası.
Olay kuyruğundaki bir olayın Özellikler bölmesi.
Bir olayın özet sayfası.
Olay sayfasının sağ üst tarafında bulunan olay yönetme seçeneği.

Uyarıları bir olaydan diğerine taşımak istediğiniz durumlarda, uyarılar sekmesinden de bunu yapabilirsiniz, böylece tüm ilgili uyarıları içeren daha büyük veya daha küçük bir olay oluşturabilirsiniz.

Olay adını düzenleme

Microsoft Defender, etkilenen uç nokta sayısı, etkilenen kullanıcılar, algılama kaynakları veya kategoriler gibi uyarı özniteliklerine göre otomatik olarak bir ad atar. Olay adı, olayın kapsamını hızlı bir şekilde anlamanıza olanak tanır. Örneğin: Birden çok kaynak tarafından bildirilen birden çok uç noktada çok aşamalı olay.

Olay adını, Olayı yönet bölmesindeki Olay adı alanından düzenleyebilirsiniz.

Not

Otomatik olay adlandırma özelliği piyasaya sürülmeden önce var olan olaylar adlarını korur.

Olay önem derecesini atama veya değiştirme

Olayı yönet bölmesindeki Önem Derecesi alanından bir olayın önem derecesini atayabilir veya değiştirebilirsiniz. Bir olayın önem derecesi, kendisiyle ilişkilendirilmiş uyarıların en yüksek önem derecesine göre belirlenir. Bir olayın önem derecesi yüksek, orta, düşük veya bilgilendirici olarak ayarlanabilir.

Olay etiketleri ekleme

Bir olaya, örneğin ortak bir özelliğe sahip bir olay grubuna bayrak eklemek için özel etiketler ekleyebilirsiniz. Daha sonra belirli bir etiket içeren tüm olaylar için olay kuyruğuna filtreleyebilirsiniz.

Daha önce kullanılan ve seçili etiketler listesinden seçim seçeneği yazmaya başladıktan sonra görünür.

Bir olay, belirli renk arka planlarına sahip sistem etiketlerine ve/veya özel etiketlere sahip olabilir. Özel etiketler beyaz arka planı kullanırken sistem etiketleri genellikle kırmızı veya siyah arka plan renkleri kullanır. Sistem etiketleri bir olayda aşağıdakileri tanımlar:

Kimlik bilgisi kimlik avı veya BEC dolandırıcılığı gibi bir saldırı türü
Otomatik araştırma ve yanıt ve otomatik saldırı kesintisi gibi otomatik eylemler
Bir olayı işleyen Defender Uzmanları
Olaya dahil olan kritik varlıklar

İpucu

Microsoft'un Güvenlik Korunma Düzeyi Yönetimi, önceden tanımlanmış sınıflandırmalara göre cihazları, kimlikleri ve bulut kaynaklarını kritik bir varlık olarak otomatik olarak etiketler. Bu kullanıma açık özellik, bir kuruluşun değerli ve en önemli varlıklarının korunmasını sağlar. Ayrıca güvenlik operasyonları ekiplerinin araştırma ve düzeltme önceliklerini belirlemesine de yardımcı olur. Kritik varlık yönetimi hakkında daha fazla bilgi edinin.

Olay atama

Ata kutusunu seçebilir ve bir olay atamak için kullanıcı hesabını belirtebilirsiniz. Bir olayı yeniden atamak için hesap adının yanındaki "x" işaretini seçip Atanan kutusunu seçerek geçerli atama hesabını kaldırın. Bir olayın sahipliğini atamak, kendisiyle ilişkilendirilmiş tüm uyarılara aynı sahipliği atar.

Olay kuyruğuna filtre uygulama yoluyla size atanan olayların listesini alabilirsiniz.

Olay kuyruğundan Filtreler'i seçin.
Olay ataması bölümünde Tümünü seç'i temizleyin. Bana atandı, Başka bir kullanıcıya atandı veya Bir kullanıcı grubuna atandı'yı seçin.
Uygula'yı seçin ve filtreler bölmesini kapatın.

Ardından, size atanan olayların listesini hızla görmek için elde edilen URL'yi tarayıcınıza yer işareti olarak kaydedebilirsiniz.

Bir olayı çözme

Bir olay düzeltilip çözümlendiğinde Durum açılan listesinden Çözüldü'leri seçin. Bir olayı çözümlemek, olayla ilgili tüm bağlantılı ve etkin uyarıları da çözer.

Bir olayın durumunu Çözüldü olarak değiştirdiğinizde, Durum alanının hemen ardından yeni bir alan görüntülenir. Bu alana, olayın neden çözümlendiğini düşündüğünüzi açıklayan bir not girin. Bu not, olayın olay çözümlemesini kaydeden girişe yakın etkinlik günlüğünde görünür.

Olay çözümleme notunun bulunduğu olay yönetimi panelinin ekran görüntüsü.

Hem olay kuyruğu sayfasında hem de çözülen bir olayın olay sayfasında, yan paneldeki Olay ayrıntıları bölümünde olay çözümleme notunu görebilirsiniz.

Bir olayı çözümlemek, olayla ilgili tüm bağlantılı ve etkin uyarıları da çözer. Çözümlenmemiş bir olay Etkin olarak görüntülenir.

Sınıflandırmayı belirtme

Sınıflandırma alanında, olayın aşağıdakilerden biri olup olmadığını belirtirsiniz:

Ayarlanmadı (varsayılan).
Bir tehdit türüyle gerçek pozitif. Gerçek bir tehdidi doğru şekilde gösteren olaylar için bu sınıflandırmayı kullanın. Tehdit türünü belirtmek, güvenlik ekibinizin tehdit desenlerini görmesine ve kuruluşunuzu onlardan korumak için harekete geçilmesine yardımcı olur.
Bir etkinlik türüyle bilgilendirici, beklenen etkinlik. Güvenlik testlerine, kırmızı ekip etkinliğine ve güvenilen uygulamalardan ve kullanıcılardan beklenen olağan dışı davranışlara yönelik olayları sınıflandırmak için bu kategorideki seçenekleri kullanın.
Teknik olarak yanlış veya yanıltıcı olduğundan, tespit ettiğiniz olay türleri için hatalı pozitif değerler yoksayılabilir.

Olayları sınıflandırmak, durumlarını ve türlerini belirtmek, zaman içinde daha iyi algılama belirlemesi sağlamak için Microsoft Defender XDR ayarlanmasına yardımcı olur.

Açıklama ekleme

Açıklama alanıyla bir olaya birden çok açıklama ekleyebilirsiniz. Açıklama alanı metin ve biçimlendirmeyi, bağlantıları ve görüntüleri destekler. Her açıklama 30.000 karakterle sınırlıdır.

Tüm açıklamalar olayın geçmiş olaylarına eklenir. Özet sayfasındaki Açıklamalar ve geçmiş bağlantısından bir olayın açıklamalarını ve geçmişini görebilirsiniz.

Etkinlik günlüğü

Etkinlik günlüğü, olay üzerinde gerçekleştirilen ve Denetimler ve açıklamalar olarak bilinen tüm açıklamaların ve eylemlerin listesini görüntüler. Bir kullanıcı veya sistem tarafından olayda yapılan tüm değişiklikler etkinlik günlüğüne kaydedilir. Etkinlik günlüğü, olay sayfasındaki Etkinlik günlüğü seçeneğinden veya olay yan bölmesinden kullanılabilir.

Günlük içindeki etkinlikleri açıklamalara ve eylemlere göre filtreleyebilirsiniz. İçerik: Denetimler, Açıklamalar'a tıklayın ve ardından etkinlikleri filtrelemek için içerik türünü seçin. İşte bir örnek.

Etkinlik günlüğünde bulunan açıklama kutusunu kullanarak kendi açıklamalarınızı da ekleyebilirsiniz. Açıklama kutusu metin ve biçimlendirmeyi, bağlantıları ve resimleri kabul eder.

Olay verilerini PDF'ye aktarma

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Olay verilerini dışarı aktarma özelliği şu anda güvenlik lisansı için Microsoft Copilot sahip Microsoft Defender XDR ve Microsoft birleşik güvenlik operasyonları merkezi (SOC) platformu müşterileri tarafından kullanılabilir.

Olayı PDF olarak dışarı aktar işlevi aracılığıyla bir olayın verilerini PDF'ye aktarabilir ve PDF biçiminde kaydedebilirsiniz. Bu işlev, güvenlik ekiplerinin herhangi bir zamanda bir olayın ayrıntılarını çevrimdışı olarak gözden geçirmesine olanak tanır.

Dışarı aktarılan olay verileri aşağıdaki bilgileri içerir:

Olay ayrıntılarını içeren bir genel bakış
Saldırı hikayesi grafiği ve tehdit kategorileri
Etkilenen varlıklar, her varlık türü için en fazla 10 varlığı kapsar
En fazla 100 öğeyi kapsayan kanıt listesi
Etkinlik günlüğüne kaydedilen tüm ilgili uyarılar ve etkinlikler dahil olmak üzere destekleyici veriler

Dışarı aktarılan PDF örneğini aşağıda bulabilirsiniz:

Güvenlik için Copilot lisansınız varsa, dışarı aktarılan PDF aşağıdaki ek olay verilerini içerir:

PDF'ye dışarı aktarma işlevi Copilot yan panelinde de kullanılabilir. Olay raporu sonuçları kartının sağ üst köşesindeki Diğer eylemler üç noktasını (...) seçtiğinizde Olayı PDF olarak dışarı aktar'ı seçebilirsiniz.

Olay raporu sonuç kartındaki ek eylemlerin ekran görüntüsü.

PDF oluşturmak için aşağıdaki adımları uygulayın:

Bir olay sayfası açın. Sağ üst köşedeki Diğer eylemler üç noktasını (...) seçin ve Olayı PDF olarak dışarı aktar'ı seçin.
Ardından görüntülenen iletişim kutusunda, PDF'ye eklemek veya hariç tutmak istediğiniz olay bilgilerini onaylayın. Tüm olay bilgileri varsayılan olarak seçilidir. Devam etmek için PDF'yi Dışarı Aktar'ı seçin.
olay başlığının altında indirmenin geçerli durumunu belirten bir durum iletisi görüntülenir. Dışarı aktarma işlemi, olayın karmaşıklığı ve dışarı aktarılacak veri miktarına bağlı olarak birkaç dakika sürebilir.
PDF'nin hazır olduğunu belirten başka bir iletişim kutusu görüntülenir. PDF'yi cihazınıza kaydetmek için iletişim kutusundan İndir'i seçin. Olay başlığının altındaki durum iletisi, indirmenin kullanılabilir olduğunu belirtmek için de güncelleştirilir.

Rapor birkaç dakika boyunca önbelleğe alınır. Aynı olayı kısa bir süre içinde yeniden dışarı aktarmayı denerseniz sistem daha önce oluşturulan PDF'yi sağlar. PDF'nin daha yeni bir sürümünü oluşturmak için önbelleğin süresinin dolması için birkaç dakika bekleyin.

Sonraki adımlar

Yeni olaylar için araştırmanıza başlayın.

Devam eden olaylar için araştırmanıza devam edin.

Çözülen olaylar için olay sonrası gözden geçirme gerçekleştirin.

Ayrıca bkz.