Microsoft Defender XDR uyarıları araştırma
Şunlar için geçerlidir:
- Microsoft Defender XDR
Not
Bu makalede Microsoft Defender XDR'deki güvenlik uyarıları açıklanmaktadır. Ancak, kullanıcılar Microsoft 365'te belirli etkinlikleri gerçekleştirdiğinde kendinize veya diğer yöneticilere e-posta bildirimleri göndermek için etkinlik uyarılarını kullanabilirsiniz. Daha fazla bilgi için bkz. İçerik Oluşturucu etkinlik uyarıları - Microsoft Purview | Microsoft Docs.
Uyarılar tüm olayların temelini oluşturur ve ortamınızda kötü amaçlı veya şüpheli olayların oluştuğuna işaret eder. Uyarılar genellikle daha geniş kapsamlı bir saldırının parçasıdır ve bir olay hakkında ipuçları sağlar.
Microsoft Defender XDR'de, ilgili uyarılar olayları oluşturmak için bir araya toplanır. Olaylar her zaman bir saldırının daha geniş bağlamını sağlar, ancak daha derin analiz gerektiğinde uyarıları analiz etmek değerli olabilir.
Uyarılar kuyruğu geçerli uyarı kümesini gösterir. uyarılar kuyruğuna Microsoft Defender portalının hızlı başlatıldığı olaylar & uyarılar > uyarılarından ulaşabilirsiniz.
Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender ve Microsoft Defender XDR gibi farklı Microsoft güvenlik çözümlerinden uyarılar burada görünür.
Varsayılan olarak, Microsoft Defender portalındaki uyarılar kuyruğu son 30 güne ait yeni ve devam eden uyarıları görüntüler. En son uyarı listenin en üstündedir, böylece önce siz görebilirsiniz.
Varsayılan uyarılar kuyruğundan Filtre'yi seçerek bir Filtre bölmesi görebilirsiniz. Bu bölmeden uyarıların bir alt kümesini belirtebilirsiniz. İşte bir örnek.
Uyarıları şu ölçütlere göre filtreleyebilirsiniz:
- Önem derecesi
- Durum
- Hizmet kaynakları
- Varlıklar (etkilenen varlıklar)
- Otomatik araştırma durumu
Office 365 için Defender uyarıları için gerekli roller
Office 365 için Microsoft Defender uyarılarına erişmek için aşağıdaki rollerden birine sahip olmanız gerekir:
Microsoft Entra genel rol için:
- Genel yönetici
- Güvenlik yöneticisi
- Güvenlik İşleci
- Genel Okuyucu
- Güvenlik Okuyucusu
Office 365 Güvenlik & Uyumluluk Rol Grupları
- Uyumluluk Yöneticisi
- Kuruluş Yönetimi
Uyarıyı analiz etme
Ana uyarı sayfasını görmek için uyarının adını seçin. İşte bir örnek.
Uyarıyı yönetbölmesinden Ana uyarı sayfasını aç eylemini de seçebilirsiniz.
Bir uyarı sayfası şu bölümlerden oluşur:
- Bu uyarıyla ilgili olayların ve uyarıların kronolojik sırada zinciri olan uyarı hikayesi
- Özet ayrıntıları
Uyarı sayfası boyunca, uyarıyı başka bir olaya bağlama gibi kullanılabilir eylemleri görmek için herhangi bir varlığın yanındaki üç noktayı (...) seçebilirsiniz. Kullanılabilir eylemlerin listesi uyarı türüne bağlıdır.
Uyarı kaynakları
Microsoft Defender XDR uyarıları Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender gibi çözümlerden gelebilir Kimlik için Microsoft Defender, Microsoft Defender for Cloud Apps, Microsoft Defender for Cloud Apps için uygulama idare eklentisi Microsoft Entra ID Korumasıve Microsoft Veri Kaybı Önleme. Uyarıda önceden eklenmiş karakterler içeren uyarılar fark edebilirsiniz. Aşağıdaki tabloda uyarının ekli karakterine göre uyarı kaynaklarının eşlemesini anlamanıza yardımcı olacak yönergeler sağlanmaktadır.
Not
- Önceden eklenen GUID'ler yalnızca birleşik uyarılar kuyruğu, birleşik uyarılar sayfası, birleşik araştırma ve birleştirilmiş olay gibi birleşik deneyimlere özeldir.
- Ekli karakter uyarının GUID değerini değiştirmez. GUID'de yapılan tek değişiklik, önceden eklenen bileşendir.
Uyarı kaynağı | Ekli karakter |
---|---|
Microsoft Defender XDR | ra ta ThreatExperts içinea DetectionSource = DetectionSource.CustomDetection için |
Office 365 için Microsoft Defender | fa{GUID} Örnek: fa123a456b-c789-1d2e-12f1g33h445h6i |
Uç Nokta için Microsoft Defender | da veya ed özel algılama uyarıları için |
Kimlik için Microsoft Defender | aa{GUID} Örnek: aa123a456b-c789-1d2e-12f1g33h445h6i |
Bulut Uygulamaları için Microsoft Defender | ca{GUID} Örnek: ca123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Entra ID Koruması | ad |
Uygulama İdaresi | ma |
Microsoft Veri Kaybı Önleme | dl |
Microsoft Entra IP uyarı hizmetini yapılandırma
Microsoft Defender portalına (security.microsoft.com) gidin, Ayarlar>Microsoft Defender XDR'ı seçin.
Listeden Uyarı hizmeti ayarları'nı seçin ve ardından Microsoft Entra ID Koruması uyarı hizmetinizi yapılandırın.
Varsayılan olarak, yalnızca güvenlik işlem merkezi için en uygun uyarılar etkinleştirilir. Tüm Microsoft Entra IP risk algılamalarını almak istiyorsanız, uyarı hizmeti ayarları bölümünde bunu değiştirebilirsiniz.
Uyarı hizmeti ayarlarına doğrudan Microsoft Defender portalındaki Olaylar sayfasından da erişebilirsiniz.
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Etkilenen varlıkları analiz etme
Gerçekleştirilen eylemler bölümünde posta kutuları, cihazlar ve bu uyarıdan etkilenen kullanıcılar gibi etkilenen varlıkların listesi bulunur.
ayrıca, Microsoft Defender portalında İşlem merkezininGeçmiş sekmesini görüntülemek için İşlem merkezinde görüntüle'yi de seçebilirsiniz.
Uyarı yazısında uyarının rolünü izleme
Uyarı hikayesi, bir işlem ağacı görünümünde uyarıyla ilgili tüm varlıkları veya varlıkları görüntüler. Başlıktaki uyarı, seçtiğiniz uyarının sayfasına ilk kez girdiğinizde odakta olan uyarıdır. Uyarı hikayesindeki varlıklar genişletilebilir ve tıklanabilir. Ek bilgiler sağlar ve uyarı sayfası bağlamında işlem yapmanıza olanak tanıyarak yanıtınızı hızlandırırlar.
Not
Uyarı hikayesi bölümünde birden fazla uyarı bulunabilir ve seçtiğiniz uyarıdan önce veya sonra aynı yürütme ağacıyla ilgili ek uyarılar görüntülenir.
Ayrıntılar sayfasında daha fazla uyarı bilgisi görüntüleyin
Ayrıntılar sayfası, seçili uyarının ayrıntılarını ve bununla ilgili ayrıntıları ve eylemleri gösterir. Uyarı yazısında etkilenen varlıklardan veya varlıklardan herhangi birini seçerseniz, ayrıntılar sayfası seçili nesne için bağlamsal bilgiler ve eylemler sağlayacak şekilde değişir.
İlgilendiğiniz bir varlığı seçtikten sonra ayrıntılar sayfası seçili varlık türüyle ilgili bilgileri, kullanılabilir olduğunda geçmiş bilgileri ve doğrudan uyarı sayfasından bu varlık üzerinde eylem gerçekleştirme seçeneklerini görüntüleyecek şekilde değişir.
Uyarıları yönetin
Uyarıyı yönetmek için uyarı sayfasının özet ayrıntıları bölümünde Uyarıyı yönet'i seçin. Tek bir uyarı için Uyarıyı yönet bölmesinin bir örneği aşağıda verilmiştır.
Uyarıyı yönet bölmesi şunları görüntülemenize veya belirtmenize olanak tanır:
- Uyarı durumu (Yeni, Çözüldü, Sürüyor).
- Uyarıya atanan kullanıcı hesabı.
- Uyarının sınıflandırması:
- Ayarlanmadı (varsayılan).
- Bir tehdit türüyle gerçek pozitif. Gerçek bir tehdidi doğru şekilde gösteren uyarılar için bu sınıflandırmayı kullanın. Bu tehdit türünü belirterek güvenlik ekibiniz tehdit desenlerini görür ve kuruluşunuzu onlardan korumak için harekete geçebilirsiniz.
- Bir etkinlik türüyle bilgilendirici, beklenen etkinlik. Teknik olarak doğru olan ancak normal davranışı veya sanal tehdit etkinliğini temsil eden uyarılar için bu seçeneği kullanın. Genellikle bu uyarıları yoksaymak istersiniz ancak gelecekte etkinliklerin gerçek saldırganlar veya kötü amaçlı yazılımlar tarafından tetiklendiği benzer etkinlikler için beklemeniz gerekir. Güvenlik testlerine, kırmızı ekip etkinliğine ve güvenilen uygulama ve kullanıcılardan beklenen olağan dışı davranışlara yönelik uyarıları sınıflandırmak için bu kategorideki seçenekleri kullanın.
- Kötü amaçlı bir etkinlik olmadığında veya yanlış alarm için bile oluşturulan uyarı türleri için hatalı pozitif. Yanlışlıkla normal olaylar veya etkinlikler olarak tanımlanan uyarıları kötü amaçlı veya şüpheli olarak sınıflandırmak için bu kategorideki seçenekleri kullanın. Gerçek tehditleri yakalamak için de yararlı olabilecek 'Bilgilendirici, beklenen etkinlik' uyarılarından farklı olarak, genellikle bu uyarıları yeniden görmek istemezsiniz. Uyarıları hatalı pozitif olarak sınıflandırmak Microsoft Defender XDR algılama kalitesini artırmaya yardımcı olur.
- Uyarıyla ilgili bir açıklama.
Not
29 Ağustos 2022'de daha önce desteklenen uyarı belirleme değerleri ('Apt' ve 'SecurityPersonnel') kullanım dışı bırakılacak ve artık API aracılığıyla kullanılamayacak.
Not
Etiketleri kullanarak uyarıları yönetmenin bir yolu. Office 365 için Microsoft Defender etiketleme özelliği artımlı olarak kullanıma sunulmuştur ve şu anda önizleme aşamasındadır.
Şu anda değiştirilen etiket adları yalnızca güncelleştirmeden sonra oluşturulan uyarılara uygulanır. Değişiklik öncesinde oluşturulan uyarılar güncelleştirilmiş etiket adını yansıtmaz.
Belirli bir uyarıya benzer bir uyarı kümesini yönetmek için uyarı sayfasının özet ayrıntıları bölümündeki INSIGHT kutusunda Benzer uyarıları görüntüle'yi seçin.
Uyarıları yönet bölmesinden, tüm ilgili uyarıları aynı anda sınıflandırabilirsiniz. İşte bir örnek.
Benzer uyarılar geçmişte zaten sınıflandırıldıysa, diğer uyarıların nasıl çözüldüğünü öğrenmek için Microsoft Defender XDR önerileri kullanarak zaman kazanabilirsiniz. Özet ayrıntıları bölümünde Öneriler'i seçin.
Öneriler sekmesi araştırma, düzeltme ve önleme için sonraki adım eylemler ve öneriler sağlar. İşte bir örnek.
Uyarı ayarlama
Güvenlik operasyonları merkezi (SOC) analisti olarak en önemli sorunlardan biri, günlük tetiklenen daha fazla uyarı sayısını önceliklendirmektir. Analistin zamanı değerlidir ve yalnızca yüksek önem derecesine ve yüksek öncelikli uyarılara odaklanmak ister. Bu arada analistlerin, el ile gerçekleştirilen bir işlem olma eğiliminde olan düşük öncelikli uyarıları önceliklendirmeleri ve çözmeleri de gerekir.
Uyarı ayarlama, uyarıları önceden ayarlama ve yönetme olanağı sağlar. Bu, uyarı kuyruğunun kolay hale getirilmesini sağlar ve beklenen her kuruluş davranışı gerçekleştiğinde ve kural koşulları karşılandığında uyarıları otomatik olarak gizleyerek veya çözümleyerek önceliklendirme süresinden tasarruf sağlar.
Dosyalar, işlemler, zamanlanmış görevler ve uyarıyı tetikleyen diğer birçok kanıt türü gibi 'kanıt türlerine' dayalı kural koşulları oluşturabilirsiniz. Kuralı oluşturduktan sonra, kuralı seçili uyarıya veya uyarıyı ayarlamak için kural koşullarını karşılayan herhangi bir uyarı türüne uygulayabilirsiniz.
Ayrıca bu özellik, çeşitli Microsoft Defender XDR hizmet kaynaklarından gelen uyarıları da kapsar. Genel önizlemedeki uyarı ayarlama özelliği, uç nokta için Defender, Office 365 için Defender, Kimlik için Defender, Bulut Uygulamaları için Defender, Microsoft Entra ID Koruması (Microsoft Entra IP) gibi iş yüklerinden ve bu kaynaklar platformunuzda ve planınızda kullanılabiliyorsa diğer iş yüklerinden uyarılar almaktır. Daha önce, uyarı ayarlama özelliği yalnızca Uç Nokta için Defender iş yükünden gelen uyarıları yakalardı.
Not
Önceden uyarı engelleme olarak bilinen uyarı ayarlamayı dikkatli bir şekilde kullanmanızı öneririz. Bazı durumlarda, bilinen bir iç iş uygulaması veya güvenlik testleri beklenen bir etkinliği tetikler ve bu uyarıları görmek istemezsiniz. Bu nedenle, bu uyarı türlerini ayarlamak için bir kural oluşturabilirsiniz.
Uyarıları ayarlamak için kural koşullarını İçerik Oluşturucu
Microsoft Defender XDR'da uyarıyı ayarlamanın iki yolu vardır. Ayarlar sayfasından bir uyarıyı ayarlamak için:
Ayarlar seçeneğine gidin. Sol bölmede Kurallar'a gidin ve Uyarı ayarlama'yı seçin.
Yeni uyarıyı ayarlamak için Yeni kural ekle'yi seçin. Listeden bir kural seçerek bu görünümdeki mevcut bir kuralı da düzenleyebilirsiniz.
Uyarı ayarlama bölmesinde, Hizmet kaynakları altındaki açılan menüde kuralın geçerli olduğu hizmet kaynaklarını seçebilirsiniz.
Not
Yalnızca kullanıcının izni olan hizmetler gösterilir.
ICS bölümünün altında uyarıyı tetikleyen risk göstergeleri ( ICS ) ekleyin. Belirli bir IOC veya uyarıya eklenen herhangi bir IOC tarafından tetiklendiğinde uyarıyı durdurmak için bir koşul ekleyebilirsiniz.
GÇC'ler dosyalar, işlemler, zamanlanmış görevler ve uyarıyı tetikleyen diğer kanıt türleri gibi göstergelerdir.
Birden çok kural koşulu ayarlamak için VE, OR ve gruplandırma seçeneklerini kullanarak uyarıya neden olan bu birden çok 'kanıt türü' arasında ilişki oluşturun.
- Örneğin, uyarıya eklenen herhangi bir IOC tarafından tetiklendiğinde uyarıyı durdurmak için tetikleyici kanıtı Varlık Rolü: Tetikleyici, eşittir ve herhangi birini seçin. Bu 'kanıtın' tüm özellikleri, aşağıdaki ilgili alanlarda yeni bir alt grup olarak otomatik olarak doldurulur.
Not
Koşul değerleri büyük/küçük harfe duyarlı değildir.
Gereksiniminize bağlı olarak bu 'kanıtın' özelliklerini düzenleyebilir ve/veya silebilirsiniz (desteklendiğinde joker karakterler kullanarak).
Dosya ve işlemler dışında Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI) betiği, Windows Yönetim Araçları (WMI) olayı ve zamanlanmış görevler, kanıt türleri açılan listesinden seçebileceğiniz yeni eklenen kanıt türlerinden bazılarıdır.
Başka bir IOC eklemek için Filtre ekle'ye tıklayın.
Not
Herhangi bir uyarı türünü ayarlamak için kural koşuluna en az bir IOC eklenmesi gerekir.
Eylem bölümünde Uyarıyı gizle veya Uyarıyıçöz'ün uygun eylemini gerçekleştirin.
Ad, Açıklama girin ve Kaydet'e tıklayın.
Not
Uyarı başlığı (Ad), uyarı başlığını belirleyen uyarı türünü (IoaDefinitionId) temel alır. Aynı uyarı türüne sahip iki uyarı farklı bir uyarı başlığına değişebilir.
Uyarılar sayfasından bir uyarıyı ayarlamak için:
Olaylar ve uyarılar altındaki Uyarılar sayfasından bir uyarı seçin. Alternatif olarak, Olay sayfasında olay ayrıntılarını gözden geçirirken bir uyarı seçebilirsiniz.
Uyarı ayrıntıları sayfasının sağ tarafında otomatik olarak açılan Uyarıyı ayarla bölmesi aracılığıyla bir uyarıyı ayarlayabilirsiniz.
Uyarı türleri bölümünde uyarının geçerli olduğu koşulları seçin. Kuralı seçili uyarıya uygulamak için Yalnızca bu uyarı türünü seçin.
Ancak kuralı kural koşullarına uyan herhangi bir uyarı türüne uygulamak için IOC koşullarına göre herhangi bir uyarı türü'nü seçin.
Uyarı ayarı Uç Noktaya özgü Defender ise Kapsam bölümünün doldurulması gerekir. Kuralın kuruluştaki tüm cihazlar için mi yoksa belirli bir cihaz için mi geçerli olduğunu seçin.
Not
Kuralın tüm kuruluşa uygulanması için yönetici rolü izni gerekir.
Belirli bir IOC veya uyarıya eklenen herhangi bir IOC tarafından tetiklendiğinde uyarıyı durdurmak için Koşullar bölümüne koşullar ekleyin. Bu bölümde belirli bir cihazı, birden çok cihazı, cihaz grubunu, kuruluşun tamamını veya kullanıcı tarafından seçebilirsiniz.
Not
Kapsam yalnızca Kullanıcı için ayarlandığında Yönetici izniniz olmalıdır. Kapsam, Cihaz, Cihaz gruplarıyla birlikte Kullanıcı için ayarlandığında Yönetici izni gerekli değildir.
GÇC'ler bölümünde kuralın uygulandığı GÇC'leri ekleyin. Uyarıya hangi 'kanıt' neden olursa olsun uyarıyı durdurmak için Herhangi bir IOC'yi seçebilirsiniz.
Alternatif olarak, Koşullar bölümünde uyarıyla ilgili tüm kanıt türlerini ve bunların özelliklerini aynı anda eklemek için GÇ'ler bölümünde tüm uyarı 7 ile ilgili GÇ'leri otomatik doldur'u seçebilirsiniz.
Eylem bölümünde Uyarıyı gizle veya Uyarıyıçöz'ün uygun eylemini gerçekleştirin.
Ad, Açıklama girin ve Kaydet'e tıklayın.
IoC'lerin gelecekte engellenmesini önleyin:
Uyarı ayarlama kuralını kaydettikten sonra, görüntülenen Başarılı kural oluşturma sayfasında, seçilen GÇ'leri gösterge olarak "izin ver listesine" ekleyebilir ve gelecekte engellenmelerini önleyebilirsiniz.
Uyarıyla ilgili tüm GÇ'ler listede gösterilir.
Gizleme koşullarında seçilen GÇ'ler varsayılan olarak seçilir.
- Örneğin, izin verilen dosyaları İzin vermek için Kanıt seçin (IOC) bölümüne ekleyebilirsiniz. Varsayılan olarak uyarıyı tetikleyen dosya seçilidir.
- Uygulanacak kapsamı seç kapsamına girin. İlgili uyarının varsayılan kapsamı seçilidir.
- Kaydet'e tıklayın. Artık dosya izin ver listesinde olduğu için engellenmez.
Yeni uyarı ayarlama işlevi varsayılan olarak kullanılabilir.
Ancak, Ayarlar > Microsoft Defender XDR Kural > Uyarısı ayarlama'ya gidip Yeni ayarlama kuralları oluşturma etkin iki durumlu düğmesini kapatarak Microsoft Defender >portalında önceki deneyime dönebilirsiniz.
Not
Yakında yalnızca yeni uyarı ayarlama deneyimi kullanıma sunulacaktır. Önceki deneyime geri dönemeyeceksiniz.
Mevcut kuralları düzenleyin:
Microsoft Defender portalında ilgili kuralı seçip Kuralı düzenle'ye tıklayarak kural koşullarını ve yeni veya mevcut kuralların kapsamını istediğiniz zaman ekleyebilir veya değiştirebilirsiniz.
Mevcut kuralları düzenlemek için Yeni uyarı ayarlama kuralları oluşturma etkin iki durumlu düğmesinin etkinleştirildiğinden emin olun.
Uyarıyı çözme
Bir uyarıyı çözümlemeyi tamamladıktan ve çözümlenebildiğiniz zaman, uyarı veya benzer uyarılar için Uyarıyı yönet bölmesine gidin ve durumu Çözüldü olarak işaretleyin ve ardından bir tehdit türü,Bilgilendirici, etkinlik türüyle beklenen etkinlik veya Hatalı pozitif olarak sınıflandırın.
Uyarıları sınıflandırmak Microsoft Defender XDR algılama kalitesini artırmaya yardımcı olur.
Uyarıları önceliklendirmek için Power Automate'i kullanma
Modern güvenlik operasyonları (SecOps) ekiplerinin etkili bir şekilde çalışması için otomasyon gerekir. SecOps ekipleri, gerçek tehditleri avlamaya ve araştırmaya odaklanmak için Power Automate'i kullanarak uyarı listesini önceliklendirmek ve tehdit olmayanları ortadan kaldırır.
Uyarıları çözümleme ölçütleri
- Kullanıcının İşyeri Dışında iletisi açık
- Kullanıcı yüksek riskli olarak etiketlenmemiş
Her ikisi de doğruysa, SecOps uyarıyı geçerli seyahat olarak işaretler ve çözer. Uyarı çözümlendikten sonra Microsoft Teams'de bir bildirim gönderilir.
Power Automate'i Microsoft Defender for Cloud Apps'ye bağlama
Otomasyonu oluşturmak için Power Automate'i Microsoft Defender for Cloud Apps bağlamadan önce bir API belirteci gerekir.
Microsoft Defender açın ve Ayarlar>Cloud Apps>API belirteci'ni seçin ve ardından API belirteçleri sekmesinde Belirteç ekle'yi seçin.
Belirteciniz için bir ad girin ve Oluştur'a tıklayın. Daha sonra ihtiyacınız olacak şekilde belirteci kaydedin.
Otomatik akış İçerik Oluşturucu
Otomasyonun sorunsuz bir iş akışı oluşturmak için verimli bir şekilde nasıl çalıştığını ve Power Automate'i Cloud Apps için Defender'a nasıl bağlayacağınızı öğrenmek için bu kısa videoyu izleyin.
Sonraki adımlar
İşlem içi olaylar için gerektiğinde araştırmanıza devam edin.
Ayrıca bkz.
- Olaylara genel bakış
- Olayları yönetin
- Olayları araştırın
- Defender'da veri kaybı önleme uyarılarını araştırma
- Microsoft Entra ID Koruması
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin