Microsoft Defender XDR'daki ilk olayınıza yanıt verme
Şunlar için geçerlidir:
- Microsoft Defender XDR
Bu kılavuzda, portalı kullanırken günlük olay yanıt görevlerini güvenle gerçekleştirmek için yeni Microsoft Defender XDR kullanıcılarına yönelik Microsoft kaynakları listelenir. Bu kılavuzu kullanmanın amaçlanan sonuçları şunlardır:
- Olaylara ve uyarılara yanıt vermek için Microsoft Defender XDR kullanmayı hızlı bir şekilde öğreneceksiniz.
- Videolar ve öğreticiler aracılığıyla olay araştırma ve düzeltmeye yardımcı olmak için portalın özelliklerini keşfedeceksiniz.
Microsoft Defender XDR tüm varlıklar (cihazlar, kimlikler, posta kutuları, bulut uygulamaları ve daha fazlası) genelinde ilgili tehdit olaylarını görmenizi sağlar. Portal , Defender koruma paketi, Microsoft Sentinel ve diğer tümleşik güvenlik bilgileri ve olay yönetimi (SIEM) çözümlerinden gelen sinyalleri birleştirir. Tek bir cam bölmesindeki tam bağlamla bağıntılı saldırı bilgileri, kuruluşunuzu başarıyla savunmanızı ve korumanızı sağlar.
Bu kılavuz üç ana bölüme sahiptir:
- Olayları anlama: portalda olaylara erişme, olayları önceliklendirme ve yönetme
- Saldırıları analiz etme: Portalın özelliklerini kullanarak belirli saldırıların nasıl araştırılmasına ilişkin bir video ve öğretici koleksiyonu.
- Saldırıları düzeltme: Tehditleri düzeltmek için portalda kullanılabilen otomatik ve el ile gerçekleştirilen eylemleri listeler. Bu bölüm, videoların ve öğreticilerin bağlantılarını içerir.
Olayları anlama
Olay, oluşturulan işlemler, komutlar ve çakışmayan eylemler zinciridir. Olay, şüpheli veya kötü amaçlı etkinliklerin bütünsel bir resmini ve bağlamını sağlar. Tek bir olay, birden çok hizmetten gelen yüzlerce uyarıyı önceliklendirmek yerine size bir saldırının tam bağlamını verir.
İpucu
Ocak 2024'te, Olaylar sayfasını ziyaret ettiğinizde Defender Boxed görüntülenir. Defender Boxed, kuruluşunuzun 2023 süresince imza attığı güvenlik başarılarını, iyileştirmeleri ve yanıt eylemlerini öne çıkarır. Defender Boxed'ı yeniden açmak için Microsoft Defender portalında Olaylar'a gidin ve Defender Boxed'ınızı seçin.
Microsoft Defender XDR, bir olaya yanıt vermek için kullanabileceğiniz birçok özelliğe sahiptir. Giriş sayfasındaki Etkin olaylar kartındaki Tüm olayları görüntüle'yi seçerek veya sol gezinti bölmesindeki Olaylar & uyarılar aracılığıyla olaylarda gezinebilirsiniz.
Şekil 1. Microsoft Defender XDR giriş sayfasındaki etkin olaylar kartı
Microsoft Defender XDR Figure . Olay kuyruğu
Her olay, farklı algılama kaynaklarından otomatik olarak ilişkili uyarılar içerir ve çeşitli uç noktaları, kimlikleri veya bulut uygulamalarını içerebilir.
Olay önceliklendirmesi
Olay öncelik belirlemesi yanıtlayana, güvenlik ekibine ve kuruluşa göre değişir. Olay yanıtı planları ve güvenlik ekiplerinin yönü olay önceliğini zorunlu yapabilir.
Microsoft Defender XDR, olayları önceliklendirmek ve önceliklendirmek için olay önem derecesi, kullanıcı türleri veya tehdit türleri gibi çeşitli göstergelere sahiptir. Bu göstergelerin herhangi bir bileşimini olay kuyruğu filtreleri aracılığıyla kolayca kullanabilirsiniz.
Olay önceliğini belirlemeye örnek olarak, bir olay için aşağıdaki faktörlerin birleştirilmesi gösteriliyor:
- Olayın önem derecesi yüksektir.
- Otomasyon araştırma durumu başarısız oldu.
- İki varlığın son derece gizli veri duyarlılığıyla etiketlendiği etkilenen 5 varlık vardır.
- Olay durumu yeni.
- Olay, araştırma için herhangi bir ekip üyesine atanmadı.
Yukarıdaki bilgileri kullanarak olaya yüksek öncelik atayabilirsiniz. Öncelik belirlendikten sonra olay araştırmanıza başlayabilirsiniz.
Not
Microsoft Defender XDR önem derecesi, araştırma durumları, etkilenen varlıklar ve olay durumları gibi filtreleri otomatik olarak belirler. Bilgiler, kuruluşunuzun tehdit bilgileri akışlarıyla bağlamsal hale getirilmiş ağ etkinliklerine ve uygulanan otomatik düzeltme eylemlerine dayanır.
Olayları yönetin
Olaylar ve uyarılarda temel bilgiler sağlayarak olay yönetimi verimliliğine katkıda bulunabilirsiniz. Her olayı önceliklendirmek ve analiz etmek için aşağıdaki filtrelere bilgi eklediğinizde, diğer yanıtlayıcıların yararlanabileceği olayla ilgili daha fazla bağlam sağlarsınız:
- Olayları ve uyarıları sınıflandırma
- Olayları adlandırma
- Etiket ekleme
- Açıklama sağlama
Bu video aracılığıyla olayları ve uyarıları sınıflandırmayı öğrenin:
Sonraki adımlar
- İlk olayınızı analiz etme
- İlk olayınızı düzeltme
- Microsoft Defender XDR Virtual Ninja Eğitimi'nde tanıtımları ve portalın yeni geliştirmelerini izleyin
Ayrıca bkz.
- Microsoft Defender XDR güvenlik işlemlerinizle tümleştirme
- Olay yanıtı playbook'larını kullanarak yaygın saldırılara yanıt verme
- Microsoft Defender XDR Ninja eğitimi aracılığıyla portalın özelliklerini ve işlevlerini öğrenin
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.