İngilizce dilinde oku

Aracılığıyla paylaş


Microsoft Defender'da olayları yönetme

Olay yönetimi, olay iş akışınızda zamanı iyileştirmek ve tehditleri daha hızlı bir şekilde içerip ele almak için olayların adlandırıldığından, atandığından ve etiketlendiğinden emin olmak için kritik öneme sahiptir.

Microsoft Defender portalının (security.microsoft.com) hızlı lansmanı sırasında Olayları araştırma & yanıt > Olayları & uyarı > Olaylarından olaylarınızı yönetin. İşte bir örnek.

Microsoft Defender portalında olay kuyruğu ve hızlı başlatma bölmesini gösteren ekran görüntüsü.

Bu makalede, bir olayın yaşam döngüsündeki farklı aşamalarla ilişkili çeşitli olay yönetimi görevlerinin nasıl gerçekleştirebileceğiniz gösterilmektedir.

Olay önceliklendirmesi:

Olay araştırması ve çözümü:

Olay günlüğü ve raporlama:

Olayı yönet bölmesine erişme

Bu görevlerin çoğuna bir olayın Olay yönet bölmesinden erişilebilir. Bu bölmeye çeşitli konumlardan ulaşabilirsiniz.

Olay kuyruğundan

  1. Microsoft Defender portalının hızlı başlatılmasında Olaylar & uyarılar > Olaylar'ı araştırma & yanıtla'ya > tıklayın.

  2. Olay kuyruğundan Olayı yönet bölmesine iki yoldan biriyle erişin:

    • Bir olayın onay kutusunu seçin ve filtrelerin üstündeki araç çubuğundan Olayları yönet'i seçin. Birden çok onay kutusunu seçerek birçok olayı aynı anda yönetin.

    • Olay ayrıntıları bölmesinin görünmesi için bir olayın satırını seçin (olay adını seçmeden) ve olay ayrıntıları bölmesinden Olayı yönet'i seçin.

      Microsoft Defender portalındaki olay kuyruğundan olayların nasıl yönetileceğini gösteren ekran görüntüsü.

Olay sayfasından

  1. Microsoft Defender portalının hızlı başlatılmasında Olaylar & uyarılar > Olaylar'ı araştırma & yanıtla'ya > tıklayın.

  2. Kuyruktan bir olayın adını seçin. İsterseniz, kuyruktaki bir olayın satırını ve ardından Olay ayrıntıları bölmesinden Olay sayfasını aç'ı seçin.

  3. Olay sayfasında üst panelden Olayı yönet'i seçin.

    Olayı yönet seçeneği görünmüyorsa, sağ üst köşedeki üç noktayı seçin ("Olayı yönet" seçeneğinin yanındaki aşağıdaki ekran görüntüsünde görünür) ve görüntülenen menüden seçin.

    Microsoft Defender portalındaki olay sayfasından bir olayın nasıl yönetileceğini gösteren ekran görüntüsü.

Olay önceliklendirmesi

Aşağıdaki yönetim görevleri olay önceliklendirmesiyle yakından ilişkilidir, ancak bunlar herhangi bir zamanda gerçekleştirilebilir.

Sahibine olay atama

Varsayılan olarak, sahipsiz yeni olaylar oluşturulur. İdeal olan, SecOps ekibinizin sahiplere olayları otomatik olarak atamak için mekanizmaları ve yordamları olması gerekir. İlerletme veya hatalı özgün atama durumunda bir olayı yeniden atamanız gerekebilir.

Sahip atama

Bir olaya el ile yeni bir sahip atamak için aşağıdaki adımları izleyin:

  1. Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.

  2. Ata kutusunu seçin. Önerilen atananların açılan listesi görüntülenir.

  3. Olayı atamak istediğiniz kullanıcı veya grup hesabını görürseniz seçin.

    Aksi takdirde, listenin en üstündeki metin kutusuna istediğiniz kullanıcının veya grubun adını veya hesap kimliğini yazmaya başlayın. Liste dinamik olarak güncelleştirilir ve yazdığınıza göre filtrelenmiştir. İstediğiniz kullanıcıyı veya grubu gördüğünüzde seçin.

  4. Yeni eklediğiniz ödevler de dahil olmak üzere mevcut bir ödevi kaldırmak için hesap adının yanındaki X işaretini seçin. Ardından, başka bir ödev eklemek istiyorsanız Ata kutusunu seçin.

    Bir olaya yalnızca bir kullanıcı veya grup hesabı atanabilir.

  5. Kaydet'i seçin.

Bir olayın sahipliğini atamak, kendisiyle ilişkilendirilmiş tüm uyarılara aynı sahipliği atar.

Microsoft Defender portalındaki Olay yönet bölmesinde sahip atamayı gösteren ekran görüntüsü.

Belirli bir sahipe atanan olayları görüntüleme

Belirli bir kullanıcı veya gruba atanan olayların listesini görmek için olay kuyruğuna filtreleyin:

  1. Olay kuyruğundan Olay atama filtresini seçin. Önerilen atananların açılan listesi görüntülenir.

    Filtreler arasında Olay atamasını görmüyorsanız Filtre ekle'yi seçin, açılan listeden Olay ataması'nı ve ardından Ekle'yi seçin.

  2. Atanan olayları görüntülemek istediğiniz kullanıcı hesabını görüyorsanız hesabı seçin.

    Aksi takdirde, listenin en üstündeki metin kutusuna istediğiniz kullanıcının veya grubun adını veya hesap kimliğini yazmaya başlayın. Liste dinamik olarak güncelleştirilir ve yazdığınıza göre filtrelenmiştir. İstediğiniz kullanıcıyı veya grubu gördüğünüzde seçin.

    Olayları atamanın aksine, burada listeyi filtrelemek için birden fazla atanan seçebilirsiniz. Filtreye başka bir kullanıcı veya grup hesabı eklemek için metin kutusunu seçin (filtredeki mevcut hesabın yanında) ve önerilen atananların listesi yeniden görüntülenir.

  3. Uygula'yı seçin.

    Microsoft Defender portalındaki olay kuyruğu sayfasında sahibine atanan olayların nasıl görüntüleneceğini gösteren ekran görüntüsü.

Geçerli filtrelerin uygulandığı olay kuyruğu bağlantısını kaydetmek için olay kuyruğu sayfasındaki araç çubuğundan Listeyi kopyala bağlantısını seçin. Sık kullanılanlarınızda veya masaüstünüzde bir kısayol oluşturun ve bağlantıyı bu kısayola yapıştırın.

Olay önem derecesini atama veya değiştirme

Bir olayın önem derecesi, kendisiyle ilişkilendirilmiş uyarıların en yüksek önem derecesine göre belirlenir. Bir olayın önem derecesi yüksek, orta, düşük veya bilgilendirici olarak ayarlanabilir.

Bir olayın önem derecesini el ile atamak veya değiştirmek için aşağıdaki adımları izleyin:

  1. Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.

  2. Olay yönet bölmesindeki Önem Derecesi açılan listesinden uygulamak istediğiniz önem derecesini seçin.

  3. Kaydet'i seçin.

Olay etiketleri ekleme

Özel etiketler bir olaya bağlam sağlamak için bilgi ekler. Örneğin, bir etiket bir olay grubunu ortak bir özelliğe sahip olarak etiketleyebilir. Etiketler filtrelemeye yönelik bir ölçüt olduğundan, daha sonra belirli bir etiket içeren tüm olaylar için olay kuyruğuna filtreleyebilirsiniz. Bir olaya etiket uygulamak için:

  1. Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.

  2. Olay etiketleri alanında, uygulamak istediğiniz etiketin adını yazmaya başlayın. Siz yazarken, daha önce kullanılan ve seçili etiketlerin listesi görüntülenir. Listede uygulamak istediğiniz etiketi görürseniz seçin.

    Olayları yönet bölmesinde bir olay etiketinin nasıl oluşturulacağını gösteren ekran görüntüsü.

    Daha önce kullanılmamış bir etiket adı yazdıysanız, listedeki son girdiyi seçin; bu, yazdığınız metin ve ardından "(Yeni oluştur)."

    Olayları yönet bölmesindeki bir olaya uygulanacak etiketin nasıl seçileceğini gösteren ekran görüntüsü.

    Ardından etiket, Olay etiketleri alanının içinde bir etiket olarak görünür. İstediğiniz gibi daha fazla etiket eklemek için bu adımı yineleyin.

    Olay etiketleri alanında seçili etiketin nasıl göründüğünü gösteren ekran görüntüsü.

  3. Kaydet'i seçin.

Bir olay, belirli renk arka planlarına sahip sistem etiketlerine ve/veya özel etiketlere sahip olabilir. Özel etiketler beyaz arka planı kullanırken sistem etiketleri genellikle kırmızı veya siyah arka plan renkleri kullanır. Sistem etiketleri bir olayda aşağıdakileri tanımlar:

  • Kimlik bilgisi kimlik avı veya BEC dolandırıcılığı gibi bir saldırı türü
  • Otomatik araştırma ve yanıt ve otomatik saldırı kesintisi gibi otomatik eylemler
  • Bir olayı işleyen Defender Uzmanları
  • Olaya dahil olan kritik varlıklar

İpucu

Microsoft'un Güvenlik Korunma Düzeyi Yönetimi, önceden tanımlanmış sınıflandırmalara göre cihazları, kimlikleri ve bulut kaynaklarını kritik bir varlık olarak otomatik olarak etiketler. Bu kullanıma açık özellik, bir kuruluşun değerli ve en önemli varlıklarının korunmasını sağlar. Ayrıca güvenlik operasyonları ekiplerinin araştırma ve düzeltme önceliklerini belirlemesine de yardımcı olur. Kritik varlık yönetimi hakkında daha fazla bilgi edinin.

Olay durumunu değiştirme

Olaylar Etkin durumuyla başlar. Bir olay üzerinde çalışırken DurumuSürüyor olarak değiştirin.

Olay araştırması ve çözümü

Aşağıdaki yönetim görevleri olay araştırması ve çözümüyle yakından ilişkilidir, ancak bunlar herhangi bir zamanda gerçekleştirilebilir.

Bir olayı çözme

Bir olay düzeltilip çözümlendiğinde, çözümü kaydetmek için aşağıdaki eylemleri gerçekleştirin:

  1. Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.

  2. Durumu değiştirin. Durum açılan listesinden Çözüldü'leri seçin. Bir olayın durumunu Çözüldü olarak değiştirdiğinizde, Durum alanının hemen ardından yeni bir alan görüntülenir.

  3. Bu alana, olayın neden çözümlendiğini düşündüğünüzi açıklayan bir not girin. Bu not, olayın olay çözümlemesini kaydeden girişe yakın etkinlik günlüğünde görünür.

    Olay çözümleme notunun bulunduğu olay yönetimi panelinin ekran görüntüsü.

    Çözüm notu, hem olay kuyruğu sayfasındaki hem de çözülen bir olayın olay sayfasındaki Olay ayrıntıları panelinde de görünür.

    Olay ayrıntıları panelindeki çözüm notunun görünümünün ekran görüntüsü.

  4. Kaydet'i seçin.

Bir olayı çözümlemek, olayla ilgili tüm bağlantılı ve etkin uyarıları da çözer. Çözümlenmemiş bir olay Etkin olarak görüntülenir.

Olayın sınıflandırmasını belirtme

Bir olayı çözümlediğinizde veya bir olayın araştırmasının herhangi bir noktasında, olayın nasıl sınıflandırılması gerektiğini fark ettiğinizde Sınıflandırma alanını buna göre ayarlayın.

  1. Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.

  2. Sınıflandırma açılan listesinden uygun değeri seçin:

    • Ayarlanmadı (varsayılan).
    • Bir tehdit türüyle gerçek pozitif. Gerçek bir tehdidi doğru şekilde gösteren olaylar için bu sınıflandırmayı kullanın. Tehdit türünü belirtmek, güvenlik ekibinizin tehdit desenlerini görmesine ve kuruluşunuzu onlardan korumak için harekete geçilmesine yardımcı olur.
    • Bir etkinlik türüyle bilgilendirici, beklenen etkinlik. Güvenlik testlerine, kırmızı ekip etkinliğine ve güvenilen uygulamalardan ve kullanıcılardan beklenen olağan dışı davranışlara yönelik olayları sınıflandırmak için bu kategorideki seçenekleri kullanın.
    • Teknik olarak yanlış veya yanıltıcı olduğundan, tespit ettiğiniz olay türleri için hatalı pozitif değerler yoksayılabilir.

    Aşağıdaki ekran görüntüsünde bu sınıflandırmaların her biri için kullanılabilir etkinlik ve tehdit türlerine bakın.

  3. Kaydet'i seçin.

    Olaylar için sınıflandırma seçeneklerini gösteren ekran görüntüsü.

Olayları sınıflandırmak, durumlarını ve türlerini belirtmek, zaman içinde daha iyi algılama belirlemesi sağlamak için Microsoft Defender ayarlanmasına yardımcı olur.

Olaya açıklama ekleme

Araştırma ve olay sırasında etkinliklerinizi, içgörülerinizi ve sonuçlarınızı kaydetmek için açıklamalar ekleyin.

  1. Olayın etkinlik günlüğünü açın. Olay sayfasından veya olay kuyruğu sayfasındaki olay ayrıntıları panelinden sağ üst köşedeki üç noktayı seçin ve sonuçta elde edilen menüden Etkinlik günlüğü'nü seçin.

    Bir olayın etkinlik günlüğüne erişmeyi gösteren ekran görüntüsü.

  2. Açıklamanızı metin alanına yazın. Açıklama alanı metin ve biçimlendirmeyi, bağlantıları ve görüntüleri destekler. Her açıklama 30.000 karakterle sınırlıdır.

    Olaya nasıl açıklama ekleneceğini gösteren ekran görüntüsü.

  3. Kaydet'i seçin.

Tüm açıklamalar olayın geçmiş olaylarına eklenir. Özet sayfasındaki Açıklamalar ve geçmiş bağlantısından bir olayın açıklamalarını ve geçmişini görebilirsiniz.

Olay günlüğü ve raporlama

Aşağıdaki yönetim görevleri olay araştırmalarını denetleme ve raporlama ile ilişkilendirilebilir, ancak bunlar herhangi bir zamanda gerçekleştirilebilir.

Olay adını düzenleme

Microsoft Defender, etkilenen uç nokta sayısı, etkilenen kullanıcılar, algılama kaynakları veya kategoriler gibi uyarı özniteliklerine göre otomatik olarak bir ad atar. Olay adı, olayın kapsamını hızlı bir şekilde anlamanıza olanak tanır. Örneğin: Birden çok kaynak tarafından bildirilen birden çok uç noktada çok aşamalı olay.

Olay adını düzenlemek için aşağıdaki adımları uygulayın:

  1. Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.

  2. Olayı yönet bölmesindeki Olay adı alanına yeni bir ad yazın.

  3. Kaydet'i seçin.

Not

  • Otomatik olay adlandırma özelliği piyasaya sürülmeden önce var olan olaylar adlarını korur.

  • Başka bir olay yeniden adlandırılmış bir olayla birleştirilirse, Defender olaya önceden verdiğiniz özel adın üzerine yazarak yeni bir ad verir.

Bir olayın etkinlik günlüğünü görüntüleme

Olayla ilgili bir postmortem yaparken, olay üzerinde gerçekleştirilen eylemlerin geçmişini ("Denetimler" olarak adlandırılır) ve kaydedilen açıklamaları görmek için olayın Etkinlik günlüğünü görüntüleyin. Bir kullanıcı veya sistem tarafından olayda yapılan tüm değişiklikler etkinlik günlüğüne kaydedilir.

  1. Olayın etkinlik günlüğünü açın. Olay sayfasından veya olay kuyruğu sayfasındaki olay ayrıntıları panelinden sağ üst köşedeki üç noktayı seçin ve sonuçta elde edilen menüden Etkinlik günlüğü'nü seçin.

    Microsoft Defender portalındaki olay sayfasında etkinlik günlüğü seçeneğini vurgulayan ekran görüntüsü.

  2. Günlük içindeki etkinlikleri açıklamalara ve eylemlere göre filtreleyin. İçerik: Denetimler, Açıklamalar'ı ve ardından etkinlikleri filtrelemek için içerik türünü seçin. İşte bir örnek.

    Microsoft Defender portalındaki olay sayfasından etkinlik günlüğü bölmesindeki filtre seçeneklerini vurgulayan ekran görüntüsü.

  3. Uygula'yı seçin.

Etkinlik günlüğünde bulunan açıklama kutusunu kullanarak kendi açıklamalarınızı da ekleyebilirsiniz . Açıklama kutusu metin ve biçimlendirmeyi, bağlantıları ve resimleri kabul eder.

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Olay verilerini PDF'ye aktarma

Olayı PDF olarak dışarı aktar işlevi aracılığıyla bir olayın verilerini PDF'ye aktarabilir ve PDF biçiminde kaydedebilirsiniz. Bu işlev, güvenlik ekiplerinin herhangi bir zamanda bir olayın ayrıntılarını çevrimdışı olarak gözden geçirmesine olanak tanır.

Dışarı aktarılan olay verileri aşağıdaki bilgileri içerir:

Dışarı aktarılan PDF örneğini aşağıda bulabilirsiniz:

Dışarı aktarılan PDF'nin ilk sayfasının ekran görüntüsü.

Güvenlik için Copilot lisansınız varsa, dışarı aktarılan PDF aşağıdaki ek olay verilerini içerir:

PDF'ye dışarı aktarma işlevi Copilot yan panelinde de kullanılabilir. Olay raporu sonuçları kartının sağ üst köşesindeki Diğer eylemler üç noktasını (...) seçtiğinizde Olayı PDF olarak dışarı aktar'ı seçebilirsiniz.

Olay raporu sonuç kartındaki ek eylemlerin ekran görüntüsü.

PDF oluşturmak için aşağıdaki adımları uygulayın:

  1. Bir olay sayfası açın. Sağ üst köşedeki Diğer eylemler üç noktasını (...) seçin ve Olayı PDF olarak dışarı aktar'ı seçin.

    Olay sayfasındaki Diğer eylemler üç noktasını vurgulayan ekran görüntüsü.

  2. Ardından görüntülenen iletişim kutusunda, PDF'ye eklemek veya hariç tutmak istediğiniz olay bilgilerini onaylayın. Tüm olay bilgileri varsayılan olarak seçilidir. Devam etmek için PDF'yi Dışarı Aktar'ı seçin.

    Olayı PDF'ye aktar seçeneğini vurgulayan ekran görüntüsü.

  3. olay başlığının altında indirmenin geçerli durumunu belirten bir durum iletisi görüntülenir. Dışarı aktarma işlemi, olayın karmaşıklığı ve dışarı aktarılacak veri miktarına bağlı olarak birkaç dakika sürebilir.

    İndirmeden önce dışarı aktarma iletisini ve durumunu vurgulayan ekran görüntüsü.

  4. PDF'nin hazır olduğunu belirten başka bir iletişim kutusu görüntülenir. PDF'yi cihazınıza kaydetmek için iletişim kutusundan İndir'i seçin. Olay başlığının altındaki durum iletisi, indirmenin kullanılabilir olduğunu belirtmek için de güncelleştirilir.

    İndirme kullanılabilir olduğunda dışarı aktarma iletisini ve durumunu vurgulayan ekran görüntüsü.

Rapor birkaç dakika boyunca önbelleğe alınır. Aynı olayı kısa bir süre içinde yeniden dışarı aktarmayı denerseniz sistem daha önce oluşturulan PDF'yi sağlar. PDF'nin daha yeni bir sürümünü oluşturmak için önbelleğin süresinin dolması için birkaç dakika bekleyin.

Sonraki adımlar

Yeni ve devam eden olaylar için olay araştırmanıza devam edin.

Çözülen olaylar için olay sonrası gözden geçirme gerçekleştirin.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.