Microsoft Defender'da olayları yönetme
Olay yönetimi, olay iş akışınızda zamanı iyileştirmek ve tehditleri daha hızlı bir şekilde içerip ele almak için olayların adlandırıldığından, atandığından ve etiketlendiğinden emin olmak için kritik öneme sahiptir.
Microsoft Defender portalının (security.microsoft.com) hızlı lansmanı sırasında Olayları araştırma & yanıt > Olayları & uyarı > Olaylarından olaylarınızı yönetin. İşte bir örnek.
Bu makalede, bir olayın yaşam döngüsündeki farklı aşamalarla ilişkili çeşitli olay yönetimi görevlerinin nasıl gerçekleştirebileceğiniz gösterilmektedir.
- Olayı bir sahibine atayın.
- Önem derecesini atama veya değiştirme.
- Olay etiketleri ekleyin.
- Olay durumunu değiştirin.
- Olay adını düzenleyin.
- Etkinlik denetimini değerlendirin ve Etkinlik günlüğüne açıklamalar ekleyin.
- Olay verilerini PDF'ye aktarın.
Bu görevlerin çoğuna bir olayın Olay yönet bölmesinden erişilebilir. Bu bölmeye çeşitli konumlardan ulaşabilirsiniz.
Microsoft Defender portalının hızlı başlatılmasında Olaylar & uyarılar > Olaylar'ı araştırma & yanıtla'ya > tıklayın.
Olay kuyruğundan Olayı yönet bölmesine iki yoldan biriyle erişin:
Bir olayın onay kutusunu seçin ve filtrelerin üstündeki araç çubuğundan Olayları yönet'i seçin. Birden çok onay kutusunu seçerek birçok olayı aynı anda yönetin.
Olay ayrıntıları bölmesinin görünmesi için bir olayın satırını seçin (olay adını seçmeden) ve olay ayrıntıları bölmesinden Olayı yönet'i seçin.
Microsoft Defender portalının hızlı başlatılmasında Olaylar & uyarılar > Olaylar'ı araştırma & yanıtla'ya > tıklayın.
Kuyruktan bir olayın adını seçin. İsterseniz, kuyruktaki bir olayın satırını ve ardından Olay ayrıntıları bölmesinden Olay sayfasını aç'ı seçin.
Olay sayfasında üst panelden Olayı yönet'i seçin.
Olayı yönet seçeneği görünmüyorsa, sağ üst köşedeki üç noktayı seçin ("Olayı yönet" seçeneğinin yanındaki aşağıdaki ekran görüntüsünde görünür) ve görüntülenen menüden seçin.
Aşağıdaki yönetim görevleri olay önceliklendirmesiyle yakından ilişkilidir, ancak bunlar herhangi bir zamanda gerçekleştirilebilir.
- Olayı bir sahibine atayın.
- Önem derecesini atama veya değiştirme.
- Olay etiketleri ekleyin.
- Olay durumunu değiştirin.
Varsayılan olarak, sahipsiz yeni olaylar oluşturulur. İdeal olan, SecOps ekibinizin sahiplere olayları otomatik olarak atamak için mekanizmaları ve yordamları olması gerekir. İlerletme veya hatalı özgün atama durumunda bir olayı yeniden atamanız gerekebilir.
Bir olaya el ile yeni bir sahip atamak için aşağıdaki adımları izleyin:
Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.
Ata kutusunu seçin. Önerilen atananların açılan listesi görüntülenir.
Olayı atamak istediğiniz kullanıcı veya grup hesabını görürseniz seçin.
Aksi takdirde, listenin en üstündeki metin kutusuna istediğiniz kullanıcının veya grubun adını veya hesap kimliğini yazmaya başlayın. Liste dinamik olarak güncelleştirilir ve yazdığınıza göre filtrelenmiştir. İstediğiniz kullanıcıyı veya grubu gördüğünüzde seçin.
Yeni eklediğiniz ödevler de dahil olmak üzere mevcut bir ödevi kaldırmak için hesap adının yanındaki X işaretini seçin. Ardından, başka bir ödev eklemek istiyorsanız Ata kutusunu seçin.
Bir olaya yalnızca bir kullanıcı veya grup hesabı atanabilir.
Kaydet'i seçin.
Bir olayın sahipliğini atamak, kendisiyle ilişkilendirilmiş tüm uyarılara aynı sahipliği atar.
Belirli bir kullanıcı veya gruba atanan olayların listesini görmek için olay kuyruğuna filtreleyin:
Olay kuyruğundan Olay atama filtresini seçin. Önerilen atananların açılan listesi görüntülenir.
Filtreler arasında Olay atamasını görmüyorsanız Filtre ekle'yi seçin, açılan listeden Olay ataması'nı ve ardından Ekle'yi seçin.
Atanan olayları görüntülemek istediğiniz kullanıcı hesabını görüyorsanız hesabı seçin.
Aksi takdirde, listenin en üstündeki metin kutusuna istediğiniz kullanıcının veya grubun adını veya hesap kimliğini yazmaya başlayın. Liste dinamik olarak güncelleştirilir ve yazdığınıza göre filtrelenmiştir. İstediğiniz kullanıcıyı veya grubu gördüğünüzde seçin.
Olayları atamanın aksine, burada listeyi filtrelemek için birden fazla atanan seçebilirsiniz. Filtreye başka bir kullanıcı veya grup hesabı eklemek için metin kutusunu seçin (filtredeki mevcut hesabın yanında) ve önerilen atananların listesi yeniden görüntülenir.
Uygula'yı seçin.
Geçerli filtrelerin uygulandığı olay kuyruğu bağlantısını kaydetmek için olay kuyruğu sayfasındaki araç çubuğundan Listeyi kopyala bağlantısını seçin. Sık kullanılanlarınızda veya masaüstünüzde bir kısayol oluşturun ve bağlantıyı bu kısayola yapıştırın.
Bir olayın önem derecesi, kendisiyle ilişkilendirilmiş uyarıların en yüksek önem derecesine göre belirlenir. Bir olayın önem derecesi yüksek, orta, düşük veya bilgilendirici olarak ayarlanabilir.
Bir olayın önem derecesini el ile atamak veya değiştirmek için aşağıdaki adımları izleyin:
Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.
Olay yönet bölmesindeki Önem Derecesi açılan listesinden uygulamak istediğiniz önem derecesini seçin.
Kaydet'i seçin.
Özel etiketler bir olaya bağlam sağlamak için bilgi ekler. Örneğin, bir etiket bir olay grubunu ortak bir özelliğe sahip olarak etiketleyebilir. Etiketler filtrelemeye yönelik bir ölçüt olduğundan, daha sonra belirli bir etiket içeren tüm olaylar için olay kuyruğuna filtreleyebilirsiniz. Bir olaya etiket uygulamak için:
Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.
Olay etiketleri alanında, uygulamak istediğiniz etiketin adını yazmaya başlayın. Siz yazarken, daha önce kullanılan ve seçili etiketlerin listesi görüntülenir. Listede uygulamak istediğiniz etiketi görürseniz seçin.
Daha önce kullanılmamış bir etiket adı yazdıysanız, listedeki son girdiyi seçin; bu, yazdığınız metin ve ardından "(Yeni oluştur)."
Ardından etiket, Olay etiketleri alanının içinde bir etiket olarak görünür. İstediğiniz gibi daha fazla etiket eklemek için bu adımı yineleyin.
Kaydet'i seçin.
Bir olay, belirli renk arka planlarına sahip sistem etiketlerine ve/veya özel etiketlere sahip olabilir. Özel etiketler beyaz arka planı kullanırken sistem etiketleri genellikle kırmızı veya siyah arka plan renkleri kullanır. Sistem etiketleri bir olayda aşağıdakileri tanımlar:
- Kimlik bilgisi kimlik avı veya BEC dolandırıcılığı gibi bir saldırı türü
- Otomatik araştırma ve yanıt ve otomatik saldırı kesintisi gibi otomatik eylemler
- Bir olayı işleyen Defender Uzmanları
- Olaya dahil olan kritik varlıklar
İpucu
Microsoft'un Güvenlik Korunma Düzeyi Yönetimi, önceden tanımlanmış sınıflandırmalara göre cihazları, kimlikleri ve bulut kaynaklarını kritik bir varlık olarak otomatik olarak etiketler. Bu kullanıma açık özellik, bir kuruluşun değerli ve en önemli varlıklarının korunmasını sağlar. Ayrıca güvenlik operasyonları ekiplerinin araştırma ve düzeltme önceliklerini belirlemesine de yardımcı olur. Kritik varlık yönetimi hakkında daha fazla bilgi edinin.
Olaylar Etkin durumuyla başlar. Bir olay üzerinde çalışırken DurumuSürüyor olarak değiştirin.
Aşağıdaki yönetim görevleri olay araştırması ve çözümüyle yakından ilişkilidir, ancak bunlar herhangi bir zamanda gerçekleştirilebilir.
Bir olay düzeltilip çözümlendiğinde, çözümü kaydetmek için aşağıdaki eylemleri gerçekleştirin:
Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.
Durumu değiştirin. Durum açılan listesinden Çözüldü'leri seçin. Bir olayın durumunu Çözüldü olarak değiştirdiğinizde, Durum alanının hemen ardından yeni bir alan görüntülenir.
Bu alana, olayın neden çözümlendiğini düşündüğünüzi açıklayan bir not girin. Bu not, olayın olay çözümlemesini kaydeden girişe yakın etkinlik günlüğünde görünür.
Çözüm notu, hem olay kuyruğu sayfasındaki hem de çözülen bir olayın olay sayfasındaki Olay ayrıntıları panelinde de görünür.
Kaydet'i seçin.
Bir olayı çözümlemek, olayla ilgili tüm bağlantılı ve etkin uyarıları da çözer. Çözümlenmemiş bir olay Etkin olarak görüntülenir.
Bir olayı çözümlediğinizde veya bir olayın araştırmasının herhangi bir noktasında, olayın nasıl sınıflandırılması gerektiğini fark ettiğinizde Sınıflandırma alanını buna göre ayarlayın.
Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.
Sınıflandırma açılan listesinden uygun değeri seçin:
- Ayarlanmadı (varsayılan).
- Bir tehdit türüyle gerçek pozitif. Gerçek bir tehdidi doğru şekilde gösteren olaylar için bu sınıflandırmayı kullanın. Tehdit türünü belirtmek, güvenlik ekibinizin tehdit desenlerini görmesine ve kuruluşunuzu onlardan korumak için harekete geçilmesine yardımcı olur.
- Bir etkinlik türüyle bilgilendirici, beklenen etkinlik. Güvenlik testlerine, kırmızı ekip etkinliğine ve güvenilen uygulamalardan ve kullanıcılardan beklenen olağan dışı davranışlara yönelik olayları sınıflandırmak için bu kategorideki seçenekleri kullanın.
- Teknik olarak yanlış veya yanıltıcı olduğundan, tespit ettiğiniz olay türleri için hatalı pozitif değerler yoksayılabilir.
Aşağıdaki ekran görüntüsünde bu sınıflandırmaların her biri için kullanılabilir etkinlik ve tehdit türlerine bakın.
Kaydet'i seçin.
Olayları sınıflandırmak, durumlarını ve türlerini belirtmek, zaman içinde daha iyi algılama belirlemesi sağlamak için Microsoft Defender ayarlanmasına yardımcı olur.
Araştırma ve olay sırasında etkinliklerinizi, içgörülerinizi ve sonuçlarınızı kaydetmek için açıklamalar ekleyin.
Olayın etkinlik günlüğünü açın. Olay sayfasından veya olay kuyruğu sayfasındaki olay ayrıntıları panelinden sağ üst köşedeki üç noktayı seçin ve sonuçta elde edilen menüden Etkinlik günlüğü'nü seçin.
Açıklamanızı metin alanına yazın. Açıklama alanı metin ve biçimlendirmeyi, bağlantıları ve görüntüleri destekler. Her açıklama 30.000 karakterle sınırlıdır.
Kaydet'i seçin.
Tüm açıklamalar olayın geçmiş olaylarına eklenir. Özet sayfasındaki Açıklamalar ve geçmiş bağlantısından bir olayın açıklamalarını ve geçmişini görebilirsiniz.
Aşağıdaki yönetim görevleri olay araştırmalarını denetleme ve raporlama ile ilişkilendirilebilir, ancak bunlar herhangi bir zamanda gerçekleştirilebilir.
- Olay adını düzenleyin.
- Etkinlik denetimini değerlendirin ve Etkinlik günlüğüne açıklamalar ekleyin.
- Olay verilerini PDF'ye aktarın.
Microsoft Defender, etkilenen uç nokta sayısı, etkilenen kullanıcılar, algılama kaynakları veya kategoriler gibi uyarı özniteliklerine göre otomatik olarak bir ad atar. Olay adı, olayın kapsamını hızlı bir şekilde anlamanıza olanak tanır. Örneğin: Birden çok kaynak tarafından bildirilen birden çok uç noktada çok aşamalı olay.
Olay adını düzenlemek için aşağıdaki adımları uygulayın:
Olayı yönet bölmesine erişmek için açılış bölümündeki yönergeleri izleyin.
Olayı yönet bölmesindeki Olay adı alanına yeni bir ad yazın.
Kaydet'i seçin.
Not
Otomatik olay adlandırma özelliği piyasaya sürülmeden önce var olan olaylar adlarını korur.
Başka bir olay yeniden adlandırılmış bir olayla birleştirilirse, Defender olaya önceden verdiğiniz özel adın üzerine yazarak yeni bir ad verir.
Olayla ilgili bir postmortem yaparken, olay üzerinde gerçekleştirilen eylemlerin geçmişini ("Denetimler" olarak adlandırılır) ve kaydedilen açıklamaları görmek için olayın Etkinlik günlüğünü görüntüleyin. Bir kullanıcı veya sistem tarafından olayda yapılan tüm değişiklikler etkinlik günlüğüne kaydedilir.
Olayın etkinlik günlüğünü açın. Olay sayfasından veya olay kuyruğu sayfasındaki olay ayrıntıları panelinden sağ üst köşedeki üç noktayı seçin ve sonuçta elde edilen menüden Etkinlik günlüğü'nü seçin.
Günlük içindeki etkinlikleri açıklamalara ve eylemlere göre filtreleyin. İçerik: Denetimler, Açıklamalar'ı ve ardından etkinlikleri filtrelemek için içerik türünü seçin. İşte bir örnek.
Uygula'yı seçin.
Etkinlik günlüğünde bulunan açıklama kutusunu kullanarak kendi açıklamalarınızı da ekleyebilirsiniz . Açıklama kutusu metin ve biçimlendirmeyi, bağlantıları ve resimleri kabul eder.
Önemli
Bu makaledeki bazı bilgiler önceden yayımlanmış ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Olayı PDF olarak dışarı aktar işlevi aracılığıyla bir olayın verilerini PDF'ye aktarabilir ve PDF biçiminde kaydedebilirsiniz. Bu işlev, güvenlik ekiplerinin herhangi bir zamanda bir olayın ayrıntılarını çevrimdışı olarak gözden geçirmesine olanak tanır.
Dışarı aktarılan olay verileri aşağıdaki bilgileri içerir:
- Olay ayrıntılarını içeren bir genel bakış
- Saldırı hikayesi grafiği ve tehdit kategorileri
- Etkilenen varlıklar, her varlık türü için en fazla 10 varlığı kapsar
- En fazla 100 öğeyi kapsayan kanıt listesi
- Etkinlik günlüğüne kaydedilen tüm ilgili uyarılar ve etkinlikler dahil olmak üzere destekleyici veriler
Dışarı aktarılan PDF örneğini aşağıda bulabilirsiniz:
Güvenlik için Copilot lisansınız varsa, dışarı aktarılan PDF aşağıdaki ek olay verilerini içerir:
PDF'ye dışarı aktarma işlevi Copilot yan panelinde de kullanılabilir. Olay raporu sonuçları kartının sağ üst köşesindeki Diğer eylemler üç noktasını (...) seçtiğinizde Olayı PDF olarak dışarı aktar'ı seçebilirsiniz.
PDF oluşturmak için aşağıdaki adımları uygulayın:
Bir olay sayfası açın. Sağ üst köşedeki Diğer eylemler üç noktasını (...) seçin ve Olayı PDF olarak dışarı aktar'ı seçin.
Ardından görüntülenen iletişim kutusunda, PDF'ye eklemek veya hariç tutmak istediğiniz olay bilgilerini onaylayın. Tüm olay bilgileri varsayılan olarak seçilidir. Devam etmek için PDF'yi Dışarı Aktar'ı seçin.
olay başlığının altında indirmenin geçerli durumunu belirten bir durum iletisi görüntülenir. Dışarı aktarma işlemi, olayın karmaşıklığı ve dışarı aktarılacak veri miktarına bağlı olarak birkaç dakika sürebilir.
PDF'nin hazır olduğunu belirten başka bir iletişim kutusu görüntülenir. PDF'yi cihazınıza kaydetmek için iletişim kutusundan İndir'i seçin. Olay başlığının altındaki durum iletisi, indirmenin kullanılabilir olduğunu belirtmek için de güncelleştirilir.
Rapor birkaç dakika boyunca önbelleğe alınır. Aynı olayı kısa bir süre içinde yeniden dışarı aktarmayı denerseniz sistem daha önce oluşturulan PDF'yi sağlar. PDF'nin daha yeni bir sürümünü oluşturmak için önbelleğin süresinin dolması için birkaç dakika bekleyin.
Yeni ve devam eden olaylar için olay araştırmanıza devam edin.
Çözülen olaylar için olay sonrası gözden geçirme gerçekleştirin.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.