Microsoft Defender XDR'de tehdit analizi
Şunlar için geçerlidir:
- Microsoft Defender XDR
Önemli
Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Tehdit analizi, uzman Microsoft güvenlik araştırmacılarının ürün içi tehdit bilgileri çözümümüzdür. Aşağıdakiler gibi yeni tehditlerle karşı karşıyayken güvenlik ekiplerinin mümkün olduğunca verimli olması için tasarlanmıştır:
- Etkin tehdit aktörleri ve kampanyaları
- Popüler ve yeni saldırı teknikleri
- Kritik güvenlik açıkları
- Yaygın saldırı yüzeyleri
- Yaygın kötü amaçlı yazılım
Tehdit analizine Microsoft Defender portalın gezinti çubuğunun sol üst kısmından veya kuruluşunuza yönelik en önemli tehditleri hem bilinen etki açısından hem de açığa çıkarmanız açısından gösteren özel bir pano kartından erişebilirsiniz.
Etkin veya devam eden kampanyalar hakkında görünürlük elde etmek ve tehdit analizi aracılığıyla ne yapacağınızı bilmek, güvenlik operasyonları ekibinizin bilinçli kararlar almasına yardımcı olabilir.
Daha karmaşık saldırganlar ve yaygın olarak ortaya çıkan yeni tehditler sayesinde, hızlı bir şekilde şunları yapabilmek çok önemlidir:
- Yeni ortaya çıkan tehditleri belirleme ve buna tepki verme
- Şu anda saldırı altında olup olmadığınız hakkında bilgi edinin
- Tehditlerin varlıklarınız üzerindeki etkisini değerlendirme
- Tehditlere karşı dayanıklılığınızı veya tehditlere maruz kalma durumunuzu gözden geçirin
- Tehditleri durdurmak veya içermek için gerçekleştirebileceğiniz risk azaltma, kurtarma veya önleme eylemlerini belirleme
Her rapor, izlenen bir tehdidin analizini ve bu tehditlere karşı savunma konusunda kapsamlı rehberlik sağlar. Ayrıca ağınızdaki verileri de içerir ve tehdidin etkin olup olmadığını ve geçerli korumalarınız olup olmadığını belirtir.
Defender portalında Tehdit analizine erişmek için aşağıdaki roller ve izinler gereklidir:
- Güvenlik verileriyle ilgili temel bilgiler (okuma)—tehdit analizi raporunu, ilgili olayları ve uyarıları ve etkilenen varlıkları görüntülemek için
- İlgili açığa çıkarma verilerini ve önerilen eylemleri görmek için güvenlik açığı yönetimi (okuma) ve Güvenli Puan (okuma)
Varsayılan olarak, Defender portalında kullanılabilen hizmetlere erişim Microsoft Entra genel roller kullanılarak toplu olarak yönetilir. Belirli ürün verilerine erişim üzerinde daha fazla esnekliğe ve denetime ihtiyacınız varsa ve henüz merkezi izin yönetimi için Microsoft Defender XDR Birleşik rol tabanlı erişim denetimini (RBAC) kullanmıyorsanız, her hizmet için özel roller oluşturmanızı öneririz. Özel roller oluşturma hakkında daha fazla bilgi edinin
Önemli
Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.
Desteklenen ürünlerden yalnızca birine sahip olsanız bile tüm tehdit analizi raporlarının görünürlüğüne sahip olursunuz. Ancak, bu ürünün belirli olaylarını, varlıklarını, açığa çıkışını ve tehditle ilişkili önerilen eylemleri görmek için her ürüne ve role sahip olmanız gerekir.
Tehdit analizi panosu (security.microsoft.com/threatanalytics3) kuruluşunuzla en ilgili raporları vurgular. Aşağıdaki bölümlerde tehditleri özetler:
- En son tehditler— en son yayımlanan veya güncelleştirilen tehdit raporlarının yanı sıra etkin ve çözümlenmiş uyarı sayısını listeler.
- Yüksek etkili tehditler— kuruluşunuz üzerinde en yüksek etkiye sahip olan tehditleri listeler. Bu bölümde, en fazla etkin ve çözümlenmiş uyarı sayısına sahip tehditler listelenir.
- En yüksek maruz kalma tehditleri: Kuruluşunuzun en yüksek maruz kalma süresine sahip olduğu tehditler listelenir. Bir tehdide maruz kalma düzeyiniz iki bilgi parçası kullanılarak hesaplanır: tehditle ilişkili güvenlik açıklarının ne kadar ciddi olduğu ve kuruluşunuzdaki kaç cihazın bu güvenlik açıklarından yararlanabileceği.
Bu tehdidin raporunu görüntülemek için panodan bir tehdit seçin. Ayrıca, okumak istediğiniz tehdit analizi raporuyla ilgili bir anahtar sözcükte anahtar için Arama alanını seçebilirsiniz.
Tehdit raporu listesini filtreleyebilir ve en ilgili raporları belirli bir tehdit türüne veya rapor türüne göre görüntüleyebilirsiniz.
- Tehdit etiketleri; belirli bir tehdit kategorisine göre en ilgili raporları görüntülemenize yardımcı olabilir. Örneğin Fidye yazılımı etiketi fidye yazılımıyla ilgili tüm raporları içerir.
- Rapor türleri: Belirli bir rapor türüne göre en uygun raporları görüntülemenize yardımcı olabilir. Örneğin, Araçlar & teknikleri etiketi, araçları ve teknikleri kapsayan tüm raporları içerir.
Farklı etiketler, tehdit raporu listesini verimli bir şekilde gözden geçirmenize ve görünümü belirli bir tehdit etiketine veya rapor türüne göre filtrelemenize yardımcı olan eşdeğer filtrelere sahiptir. Örneğin fidye yazılımı kategorisiyle ilgili tüm tehdit raporlarını veya güvenlik açıkları içeren tehdit raporlarını görüntülemek için.
Microsoft Tehdit Bilgileri ekibi, her tehdit raporuna tehdit etiketleri ekler. Şu anda aşağıdaki tehdit etiketleri kullanılabilir:
- Fidye Yazılımı
- Haraç
- Kimlik Avı
- Eller klavyede
- Etkinlik grubu
- Güvenlik Açığı
- Saldırı kampanyası
- Araç veya teknik
Tehdit etiketleri, tehdit analizi sayfasının en üstünde gösterilir. Her etiketin altında kullanılabilir rapor sayısı için sayaçlar vardır.
Listede istediğiniz rapor türlerini ayarlamak için Filtreler'i seçin, listeden seçim yapın ve Uygula'yı seçin.
Birden fazla filtre ayarlarsanız tehdit analizi raporları listesi, tehdit etiketleri sütunu seçilerek tehdit etiketine göre de sıralanabilir:
Her tehdit analizi raporu çeşitli bölümlerde bilgi sağlar:
- Genel bakış
- Analist raporu
- İlgili olaylar
- Etkilenen varlıklar
- Uç noktalara maruz kalma
- Önerilen eylemler
Genel Bakış bölümünde ayrıntılı analist raporunun önizlemesi sağlanır. Ayrıca, tehdidin kuruluşunuz üzerindeki etkisini ve yanlış yapılandırılmış ve eşleşmeyen cihazlar aracılığıyla açığa çıkarmanızı vurgulayan grafikler de sağlar.
Her rapor, bir tehdidin kurumsal etkisi hakkında bilgi sağlamak için tasarlanmış grafikler içerir:
-
İlgili olaylar— aşağıdaki verilerle izlenen tehdidin kuruluşunuz üzerindeki etkisine genel bir bakış sağlar:
- Etkin uyarı sayısı ve ilişkili oldukları etkin olay sayısı
- Etkin olayların önem derecesi
- Zaman içindeki uyarılar— zaman içinde ilgili Etkin ve Çözümlenmiş uyarı sayısını gösterir. Çözümlenen uyarı sayısı, kuruluşunuzun bir tehditle ilişkili uyarılara ne kadar hızlı yanıt verdiğini gösterir. İdeal olan grafikte birkaç gün içinde çözümlenen uyarıların gösterilmesi gerekir.
- Etkilenen varlıklar— şu anda izlenen tehditle ilişkili en az bir etkin uyarıya sahip olan ayrı varlıkların sayısını gösterir. Tehdit e-postaları alan posta kutuları için uyarılar tetiklenir. Tehdit e-postalarının teslim edilmesine neden olan geçersiz kılmalar için hem kuruluş hem de kullanıcı düzeyinde ilkeleri gözden geçirin.
Her rapor, kuruluşunuzun belirli bir tehdide karşı ne kadar dayanıklı olduğuna genel bakış sağlayan grafikler içerir:
- Önerilen eylemler— Eylem durumu yüzdesini veya güvenlik duruşunuzu geliştirmek için başardığınız nokta sayısını gösterir. Tehdidi ele almak için önerilen eylemleri gerçekleştirin. Puan dökümünü Kategoriye veya Duruma göre görüntüleyebilirsiniz.
- Uç noktalara maruz kalma— güvenlik açığı bulunan cihazların sayısını gösterir. Tehdit tarafından yararlanılan güvenlik açıklarını gidermek için güvenlik güncelleştirmeleri veya düzeltme ekleri uygulayın.
Analist raporu bölümünde, ayrıntılı uzman yazma işlemini okuyun. Çoğu rapor, MITRE ATT&CK çerçevesine eşlenen taktikler ve teknikler, kapsamlı öneri listeleri ve güçlü tehdit avcılığı yönergeleri dahil olmak üzere saldırı zincirlerinin ayrıntılı açıklamalarını sağlar.
Analist raporu hakkında daha fazla bilgi edinin
İlgili olaylar sekmesi izlenen tehditle ilgili tüm olayların listesini sağlar. Olaylar atayabilir veya her olaya bağlı uyarıları yönetebilirsiniz.
Not
Tehditle ilişkili olaylar ve uyarılar Uç Nokta için Defender, Kimlik için Defender, Office 365 için Defender, Defender for Cloud Apps ve Bulut için Defender'dan kaynaklanmıştır.
Etkilenen varlıklar: Etkilenen cihazların, kullanıcıların, posta kutularının, uygulamaların ve bulut kaynaklarının listesini alma
Etkilenen varlıklar sekmesi, zaman içinde tehdit tarafından etkilenen varlıkları gösterir. Şu görüntüler:
- Etkin uyarılardan etkilenen varlıklar
- Çözümlenen uyarılardan etkilenen varlıklar
- Tüm varlıklar veya etkin ve çözümlenmiş uyarılardan etkilenen toplam varlık sayısı
Varlıklar aşağıdaki kategorilere ayrılır:
- Aygıtları
- Kullanıcılar
- Posta kutu -ları
- Apps
- Bulut kaynakları
Uç noktaların açığa çıkarılması bölümü, kuruluşunuzun tehditle etkilenme düzeyini sağlar. Bu düzey, söz konusu tehdit tarafından yararlanılan güvenlik açıklarının ve yanlış yapılandırmaların önem derecesine ve bu zayıflıklara sahip cihazların sayısına göre hesaplanır.
Bu bölüm, eklenen cihazlarda bulunan güvenlik açıkları için desteklenen yazılım güvenlik güncelleştirmelerinin dağıtım durumunu da sağlar. Rapordaki çeşitli bağlantılardan ayrıntılı detaya gitme bilgileri de sağlayan Microsoft Defender Güvenlik Açığı Yönetimi verilerini birleştirir.
Önerilen eylemler sekmesinde, tehditlere karşı kurumsal dayanıklılığınızı artırmanıza yardımcı olabilecek belirli eyleme dönüştürülebilir öneriler listesini gözden geçirin. İzlenen azaltmalar listesi, aşağıdakiler gibi desteklenen güvenlik yapılandırmalarını içerir:
- Bulut tabanlı koruma
- İstenmeyebilecek uygulama (PUA) koruması
- Gerçek zamanlı koruma
Tehdit analizi raporlarında size güncelleştirmeler gönderecek e-posta bildirimleri ayarlayabilirsiniz. E-posta bildirimleri oluşturmak için Microsoft Defender XDR'da Tehdit analizi güncelleştirmeleri için e-posta bildirimleri alma başlığı altında yer alan adımları izleyin.
Tehdit analizi verilerine bakarken aşağıdaki faktörleri unutmayın:
- Önerilen eylemler sekmesindeki denetim listesi yalnızca Microsoft Güvenli Puanı'nda izlenen önerileri görüntüler. Güvenli Puan'da izlenmemiş daha fazla önerilen eylem için Analist raporu sekmesine bakın.
- Önerilen eylemler tam dayanıklılığı garanti etmez ve yalnızca iyileştirmek için gereken en iyi eylemleri yansıtır.
- Virüsten korumayla ilgili istatistikler Microsoft Defender Virüsten Koruma ayarlarını temel alır.
- Ana Tehdit analizi sayfasındaki Yanlış yapılandırılmış cihazlar sütunu, tehdidin ilgili önerilen eylemleri açık olmadığında bir tehditten etkilenen cihaz sayısını gösterir. Ancak, Microsoft araştırmacıları önerilen eylemleri bağlamazsa, Yanlış yapılandırılmış cihazlar sütunu Kullanılamıyor durumunu gösterir.
- Ana Tehdit analizi sayfasındaki Güvenlik açığı bulunan cihazlar sütunu, yazılım çalıştıran ve tehditle bağlantılı güvenlik açıklarından herhangi birine karşı savunmasız olan cihazların sayısını gösterir. Ancak, Microsoft araştırmacıları herhangi bir güvenlik açığını bağlamazsa, Güvenlik açığı olan cihazlar sütunu Kullanılamıyor durumunu gösterir.
- Gelişmiş avcılık ile tehditleri proaktif olarak bulma
- Analist raporu bölümünü anlama
- Güvenlik zayıflıklarını ve açığa çıkarmaları değerlendirme ve çözme
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.