Microsoft Defender XDR uyarıları araştırma

  • Makale

Not

Microsoft Defender XDR’yi denemek mi istiyorsunuz? Microsoft Defender XDR'yi değerlendirme ve denemehakkında daha fazla bilgi edinin.

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Not

Bu makalede Microsoft Defender XDR'deki güvenlik uyarıları açıklanmaktadır. Ancak, kullanıcılar Microsoft 365'te belirli etkinlikleri gerçekleştirdiğinde kendinize veya diğer yöneticilere e-posta bildirimleri göndermek için etkinlik uyarılarını kullanabilirsiniz. Daha fazla bilgi için bkz. Etkinlik uyarıları oluşturma - Microsoft Purview | Microsoft Docs.

Uyarılar tüm olayların temelini oluşturur ve ortamınızda kötü amaçlı veya şüpheli olayların oluştuğuna işaret eder. Uyarılar genellikle daha geniş kapsamlı bir saldırının parçasıdır ve bir olay hakkında ipuçları sağlar.

Microsoft Defender XDR'de, ilgili uyarılar olayları oluşturmak için bir araya toplanır. Olaylar her zaman bir saldırının daha geniş bağlamını sağlar, ancak daha derin analiz gerektiğinde uyarıları analiz etmek değerli olabilir.

Uyarılar kuyruğu geçerli uyarı kümesini gösterir. uyarılar kuyruğuna Microsoft Defender portalının hızlı başlatıldığı olaylar & uyarılar > uyarılarından ulaşabilirsiniz.

Microsoft Defender portalındaki Uyarılar bölümü

Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender ve Microsoft Defender XDR gibi farklı Microsoft güvenlik çözümlerinden uyarılar burada görünür.

Varsayılan olarak, Microsoft Defender portalındaki uyarılar kuyruğu son 30 güne ait yeni ve devam eden uyarıları görüntüler. En son uyarı listenin en üstündedir, böylece önce siz görebilirsiniz.

Varsayılan uyarılar kuyruğundan Filtre'yi seçerek bir Filtre bölmesi görebilirsiniz. Bu bölmeden uyarıların bir alt kümesini belirtebilirsiniz. İşte bir örnek.

Microsoft Defender portalındaki Filtreler bölümü.

Uyarıları şu ölçütlere göre filtreleyebilirsiniz:

  • Önem derecesi
  • Durum
  • Hizmet kaynakları
  • Varlıklar (etkilenen varlıklar)
  • Otomatik araştırma durumu

Office 365 için Defender uyarıları için gerekli roller

Office 365 için Microsoft Defender uyarılarına erişmek için aşağıdaki rollerden birine sahip olmanız gerekir:

  • Microsoft Entra genel rol için:

    • Genel yönetici
    • Güvenlik yöneticisi
    • Güvenlik İşleci
    • Genel Okuyucu
    • Güvenlik Okuyucusu

  • Office 365 Güvenlik & Uyumluluk Rol Grupları

    • Uyumluluk Yöneticisi
    • Kuruluş Yönetimi

  • Özel bir rol

Uyarıyı analiz etme

Ana uyarı sayfasını görmek için uyarının adını seçin. İşte bir örnek.

Microsoft Defender portalında uyarının ayrıntılarını gösteren ekran görüntüsü

Uyarıyı yönetbölmesinden Ana uyarı sayfasını aç eylemini de seçebilirsiniz.

Bir uyarı sayfası şu bölümlerden oluşur:

  • Bu uyarıyla ilgili olayların ve uyarıların kronolojik sırada zinciri olan uyarı hikayesi
  • Özet ayrıntıları

Uyarı sayfası boyunca, uyarıyı başka bir olaya bağlama gibi kullanılabilir eylemleri görmek için herhangi bir varlığın yanındaki üç noktayı (...) seçebilirsiniz. Kullanılabilir eylemlerin listesi uyarı türüne bağlıdır.

Uyarı kaynakları

Microsoft Defender XDR uyarıları Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender gibi çözümlerden gelebilir Kimlik için Microsoft Defender, Microsoft Defender for Cloud Apps, Microsoft Defender for Cloud Apps için uygulama idare eklentisi Microsoft Entra ID Korumasıve Microsoft Veri Kaybı Önleme. Uyarıda önceden eklenmiş karakterler içeren uyarılar fark edebilirsiniz. Aşağıdaki tabloda uyarının ekli karakterine göre uyarı kaynaklarının eşlemesini anlamanıza yardımcı olacak yönergeler sağlanmaktadır.

Not

  • Önceden eklenen GUID'ler yalnızca birleşik uyarılar kuyruğu, birleşik uyarılar sayfası, birleşik araştırma ve birleştirilmiş olay gibi birleşik deneyimlere özeldir.
  • Ekli karakter uyarının GUID değerini değiştirmez. GUID'de yapılan tek değişiklik, önceden eklenen bileşendir.
Uyarı kaynağı Ekli karakter
Microsoft Defender XDR ra
ta ThreatExperts için
ea DetectionSource = DetectionSource.CustomDetection için
Office 365 için Microsoft Defender fa{GUID}
Örnek: fa123a456b-c789-1d2e-12f1g33h445h6i
Uç Nokta için Microsoft Defender da veya ed özel algılama uyarıları için
Kimlik için Microsoft Defender aa{GUID}
Örnek: aa123a456b-c789-1d2e-12f1g33h445h6i
Bulut Uygulamaları için Microsoft Defender ca{GUID}
Örnek: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Koruması ad
Uygulama İdaresi ma
Microsoft Veri Kaybı Önleme dl

Microsoft Entra IP uyarı hizmetini yapılandırma

  1. Microsoft Defender portalına (security.microsoft.com) gidin, Ayarlar>Microsoft Defender XDR'ı seçin.

  2. Listeden Uyarı hizmeti ayarları'nı seçin ve ardından Microsoft Entra ID Koruması uyarı hizmetinizi yapılandırın.

    Microsoft Defender portalındaki Microsoft Entra ID Koruması uyarıları ayarının ekran görüntüsü.

Varsayılan olarak, yalnızca güvenlik işlem merkezi için en uygun uyarılar etkinleştirilir. Tüm Microsoft Entra IP risk algılamalarını almak istiyorsanız, uyarı hizmeti ayarları bölümünde bunu değiştirebilirsiniz.

Uyarı hizmeti ayarlarına doğrudan Microsoft Defender portalındaki Olaylar sayfasından da erişebilirsiniz.

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Etkilenen varlıkları analiz etme

Gerçekleştirilen eylemler bölümünde posta kutuları, cihazlar ve bu uyarıdan etkilenen kullanıcılar gibi etkilenen varlıkların listesi bulunur.

ayrıca, Microsoft Defender portalında İşlem merkezininGeçmiş sekmesini görüntülemek için İşlem merkezinde görüntüle'yi de seçebilirsiniz.

Uyarı yazısında uyarının rolünü izleme

Uyarı hikayesi, bir işlem ağacı görünümünde uyarıyla ilgili tüm varlıkları veya varlıkları görüntüler. Başlıktaki uyarı, seçtiğiniz uyarının sayfasına ilk kez girdiğinizde odakta olan uyarıdır. Uyarı hikayesindeki varlıklar genişletilebilir ve tıklanabilir. Ek bilgiler sağlar ve uyarı sayfası bağlamında işlem yapmanıza olanak tanıyarak yanıtınızı hızlandırırlar.

Not

Uyarı hikayesi bölümünde birden fazla uyarı bulunabilir ve seçtiğiniz uyarıdan önce veya sonra aynı yürütme ağacıyla ilgili ek uyarılar görüntülenir.

Ayrıntılar sayfasında daha fazla uyarı bilgisi görüntüleyin

Ayrıntılar sayfası, seçili uyarının ayrıntılarını ve bununla ilgili ayrıntıları ve eylemleri gösterir. Uyarı yazısında etkilenen varlıklardan veya varlıklardan herhangi birini seçerseniz, ayrıntılar sayfası seçili nesne için bağlamsal bilgiler ve eylemler sağlayacak şekilde değişir.

İlgilendiğiniz bir varlığı seçtikten sonra ayrıntılar sayfası seçili varlık türüyle ilgili bilgileri, kullanılabilir olduğunda geçmiş bilgileri ve doğrudan uyarı sayfasından bu varlık üzerinde eylem gerçekleştirme seçeneklerini görüntüleyecek şekilde değişir.

Uyarıları yönetin

Uyarıyı yönetmek için uyarı sayfasının özet ayrıntıları bölümünde Uyarıyı yönet'i seçin. Tek bir uyarı için Uyarıyı yönet bölmesinin bir örneği aşağıda verilmiştır.

Microsoft Defender portalındaki Uyarıyı yönet bölümünün ekran görüntüsü

Uyarıyı yönet bölmesi şunları görüntülemenize veya belirtmenize olanak tanır:

  • Uyarı durumu (Yeni, Çözüldü, Sürüyor).
  • Uyarıya atanan kullanıcı hesabı.
  • Uyarının sınıflandırması:
    • Ayarlanmadı (varsayılan).
    • Bir tehdit türüyle gerçek pozitif. Gerçek bir tehdidi doğru şekilde gösteren uyarılar için bu sınıflandırmayı kullanın. Bu tehdit türünü belirterek güvenlik ekibiniz tehdit desenlerini görür ve kuruluşunuzu onlardan korumak için harekete geçebilirsiniz.
    • Bir etkinlik türüyle bilgilendirici, beklenen etkinlik. Teknik olarak doğru olan ancak normal davranışı veya sanal tehdit etkinliğini temsil eden uyarılar için bu seçeneği kullanın. Genellikle bu uyarıları yoksaymak istersiniz ancak gelecekte etkinliklerin gerçek saldırganlar veya kötü amaçlı yazılımlar tarafından tetiklendiği benzer etkinlikler için beklemeniz gerekir. Güvenlik testlerine, kırmızı ekip etkinliğine ve güvenilen uygulama ve kullanıcılardan beklenen olağan dışı davranışlara yönelik uyarıları sınıflandırmak için bu kategorideki seçenekleri kullanın.
    • Kötü amaçlı bir etkinlik olmadığında veya yanlış alarm için bile oluşturulan uyarı türleri için hatalı pozitif. Yanlışlıkla normal olaylar veya etkinlikler olarak tanımlanan uyarıları kötü amaçlı veya şüpheli olarak sınıflandırmak için bu kategorideki seçenekleri kullanın. Gerçek tehditleri yakalamak için de yararlı olabilecek 'Bilgilendirici, beklenen etkinlik' uyarılarından farklı olarak, genellikle bu uyarıları yeniden görmek istemezsiniz. Uyarıları hatalı pozitif olarak sınıflandırmak Microsoft Defender XDR algılama kalitesini artırmaya yardımcı olur.
  • Uyarıyla ilgili bir açıklama.

Not

29 Ağustos 2022'de daha önce desteklenen uyarı belirleme değerleri ('Apt' ve 'SecurityPersonnel') kullanım dışı bırakılacak ve artık API aracılığıyla kullanılamayacak.

Not

Etiketleri kullanarak uyarıları yönetmenin bir yolu. Office 365 için Microsoft Defender etiketleme özelliği artımlı olarak kullanıma sunulmuştur ve şu anda önizleme aşamasındadır.

Şu anda değiştirilen etiket adları yalnızca güncelleştirmeden sonra oluşturulan uyarılara uygulanır. Değişiklik öncesinde oluşturulan uyarılar güncelleştirilmiş etiket adını yansıtmaz.

Belirli bir uyarıya benzer bir uyarı kümesini yönetmek için uyarı sayfasının özet ayrıntıları bölümündeki INSIGHT kutusunda Benzer uyarıları görüntüle'yi seçin.

Microsoft Defender portalında uyarı seçme işleminin ekran görüntüsü

Uyarıları yönet bölmesinden, tüm ilgili uyarıları aynı anda sınıflandırabilirsiniz. İşte bir örnek.

Microsoft Defender portalında ilgili uyarıları yönetme ekran görüntüsü

Benzer uyarılar geçmişte zaten sınıflandırıldıysa, diğer uyarıların nasıl çözüldüğünü öğrenmek için Microsoft Defender XDR önerileri kullanarak zaman kazanabilirsiniz. Özet ayrıntıları bölümünde Öneriler'i seçin.

Uyarı önerileri seçme örneğinin ekran görüntüsü

Öneriler sekmesi araştırma, düzeltme ve önleme için sonraki adım eylemler ve öneriler sağlar. İşte bir örnek.

Uyarı önerileri örneğinin ekran görüntüsü

Uyarı ayarlama

Güvenlik operasyonları merkezi (SOC) analisti olarak en önemli sorunlardan biri, günlük tetiklenen daha fazla uyarı sayısını önceliklendirmektir. Analistin zamanı değerlidir ve yalnızca yüksek önem derecesine ve yüksek öncelikli uyarılara odaklanmak ister. Bu arada analistlerin, el ile gerçekleştirilen bir işlem olma eğiliminde olan düşük öncelikli uyarıları önceliklendirmeleri ve çözmeleri de gerekir.

Uyarı ayarlama, uyarıları önceden ayarlama ve yönetme olanağı sağlar. Bu, uyarı kuyruğunun kolay hale getirilmesini sağlar ve beklenen her kuruluş davranışı gerçekleştiğinde ve kural koşulları karşılandığında uyarıları otomatik olarak gizleyerek veya çözümleyerek önceliklendirme süresinden tasarruf sağlar.

Dosyalar, işlemler, zamanlanmış görevler ve uyarıyı tetikleyen diğer birçok kanıt türü gibi 'kanıt türlerine' dayalı kural koşulları oluşturabilirsiniz. Kuralı oluşturduktan sonra, kuralı seçili uyarıya veya uyarıyı ayarlamak için kural koşullarını karşılayan herhangi bir uyarı türüne uygulayabilirsiniz.

Ayrıca bu özellik, çeşitli Microsoft Defender XDR hizmet kaynaklarından gelen uyarıları da kapsar. Genel önizlemedeki uyarı ayarlama özelliği, uç nokta için Defender, Office 365 için Defender, Kimlik için Defender, Bulut Uygulamaları için Defender, Microsoft Entra ID Koruması (Microsoft Entra IP) gibi iş yüklerinden ve bu kaynaklar platformunuzda ve planınızda kullanılabiliyorsa diğer iş yüklerinden uyarılar almaktır. Daha önce, uyarı ayarlama özelliği yalnızca Uç Nokta için Defender iş yükünden gelen uyarıları yakalardı.

Not

Önceden uyarı engelleme olarak bilinen uyarı ayarlamayı dikkatli bir şekilde kullanmanızı öneririz. Bazı durumlarda, bilinen bir iç iş uygulaması veya güvenlik testleri beklenen bir etkinliği tetikler ve bu uyarıları görmek istemezsiniz. Bu nedenle, bu uyarı türlerini ayarlamak için bir kural oluşturabilirsiniz.

Uyarıları ayarlamak için kural koşulları oluşturma

Microsoft Defender XDR'da uyarıyı ayarlamanın iki yolu vardır. Ayarlar sayfasından bir uyarıyı ayarlamak için:

  1. Ayarlar seçeneğine gidin. Sol bölmede Kurallar'a gidin ve Uyarı ayarlama'yı seçin.

    Microsoft Defender XDR Ayarlar sayfasındaki Uyarı ayarlama seçeneğinin ekran görüntüsü.

    Yeni uyarıyı ayarlamak için Yeni kural ekle'yi seçin. Listeden bir kural seçerek bu görünümdeki mevcut bir kuralı da düzenleyebilirsiniz.

    Uyarı ayarlama sayfasında yeni kurallar ekleme işleminin ekran görüntüsü.

  2. Uyarı ayarlama bölmesinde, Hizmet kaynakları altındaki açılan menüde kuralın geçerli olduğu hizmet kaynaklarını seçebilirsiniz.

    Uyarı ayarlama sayfasındaki hizmet kaynağı açılan menüsünün ekran görüntüsü.

    Not

    Yalnızca kullanıcının izni olan hizmetler gösterilir.

  3. ICS bölümünün altında uyarıyı tetikleyen risk göstergeleri ( ICS ) ekleyin. Belirli bir IOC veya uyarıya eklenen herhangi bir IOC tarafından tetiklendiğinde uyarıyı durdurmak için bir koşul ekleyebilirsiniz.

    GÇC'ler dosyalar, işlemler, zamanlanmış görevler ve uyarıyı tetikleyen diğer kanıt türleri gibi göstergelerdir.

    Uyarı ayarlama sayfasındaki IOC menüsünün ekran görüntüsü.

    Birden çok kural koşulu ayarlamak için VE, OR ve gruplandırma seçeneklerini kullanarak uyarıya neden olan bu birden çok 'kanıt türü' arasında ilişki oluşturun.

    1. Örneğin, uyarıya eklenen herhangi bir IOC tarafından tetiklendiğinde uyarıyı durdurmak için tetikleyici kanıtı Varlık Rolü: Tetikleyici, eşittir ve herhangi birini seçin. Bu 'kanıtın' tüm özellikleri, aşağıdaki ilgili alanlarda yeni bir alt grup olarak otomatik olarak doldurulur.

    Not

    Koşul değerleri büyük/küçük harfe duyarlı değildir.

    1. Gereksiniminize bağlı olarak bu 'kanıtın' özelliklerini düzenleyebilir ve/veya silebilirsiniz (desteklendiğinde joker karakterler kullanarak).

    2. Dosya ve işlemler dışında Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI) betiği, Windows Yönetim Araçları (WMI) olayı ve zamanlanmış görevler, kanıt türleri açılan listesinden seçebileceğiniz yeni eklenen kanıt türlerinden bazılarıdır.

    3. Başka bir IOC eklemek için Filtre ekle'ye tıklayın.

    Not

    Herhangi bir uyarı türünü ayarlamak için kural koşuluna en az bir IOC eklenmesi gerekir.

  4. Eylem bölümünde Uyarıyı gizle veya Uyarıyıçöz'ün uygun eylemini gerçekleştirin.

    Ad, Açıklama girin ve Kaydet'e tıklayın.

    Not

    Uyarı başlığı (Ad), uyarı başlığını belirleyen uyarı türünü (IoaDefinitionId) temel alır. Aynı uyarı türüne sahip iki uyarı farklı bir uyarı başlığına değişebilir.

    Uyarı ayarlama sayfasındaki Eylem menüsünün ekran görüntüsü.

Uyarılar sayfasından bir uyarıyı ayarlamak için:

  1. Olaylar ve uyarılar altındaki Uyarılar sayfasından bir uyarı seçin. Alternatif olarak, Olay sayfasında olay ayrıntılarını gözden geçirirken bir uyarı seçebilirsiniz.

    Uyarı ayrıntıları sayfasının sağ tarafında otomatik olarak açılan Uyarıyı ayarla bölmesi aracılığıyla bir uyarıyı ayarlayabilirsiniz.

    Uyarı sayfasındaki uyarı bölmesini ayarlama'nın ekran görüntüsü.

  2. Uyarı türleri bölümünde uyarının geçerli olduğu koşulları seçin. Kuralı seçili uyarıya uygulamak için Yalnızca bu uyarı türünü seçin.

    Ancak kuralı kural koşullarına uyan herhangi bir uyarı türüne uygulamak için IOC koşullarına göre herhangi bir uyarı türü'nü seçin.

    Uyarı türleri bölümünü vurgulayan Uyarı ayarlama bölmesinin ekran görüntüsü.

  3. Uyarı ayarı Uç Noktaya özgü Defender ise Kapsam bölümünün doldurulması gerekir. Kuralın kuruluştaki tüm cihazlar için mi yoksa belirli bir cihaz için mi geçerli olduğunu seçin.

    Not

    Kuralın tüm kuruluşa uygulanması için yönetici rolü izni gerekir.

    Kapsam bölümünü vurgulayan Uyarı ayarlama bölmesinin ekran görüntüsü.

  4. Belirli bir IOC veya uyarıya eklenen herhangi bir IOC tarafından tetiklendiğinde uyarıyı durdurmak için Koşullar bölümüne koşullar ekleyin. Bu bölümde belirli bir cihazı, birden çok cihazı, cihaz grubunu, kuruluşun tamamını veya kullanıcı tarafından seçebilirsiniz.

    Not

    Kapsam yalnızca Kullanıcı için ayarlandığında Yönetici izniniz olmalıdır. Kapsam, Cihaz, Cihaz gruplarıyla birlikte Kullanıcı için ayarlandığında Yönetici izni gerekli değildir.

    Koşullar bölümünü vurgulayan Uyarı ayarlama bölmesinin ekran görüntüsü.

  5. GÇC'ler bölümünde kuralın uygulandığı GÇC'leri ekleyin. Uyarıya hangi 'kanıt' neden olursa olsun uyarıyı durdurmak için Herhangi bir IOC'yi seçebilirsiniz.

    ICS bölümünü vurgulayan Uyarı ayarlama bölmesinin ekran görüntüsü.

  6. Alternatif olarak, Koşullar bölümünde uyarıyla ilgili tüm kanıt türlerini ve bunların özelliklerini aynı anda eklemek için GÇ'ler bölümünde tüm uyarı 7 ile ilgili GÇ'leri otomatik doldur'u seçebilirsiniz.

    Uyarıyla ilgili tüm GÇ'leri otomatik doldurma işleminin ekran görüntüsü.

  7. Eylem bölümünde Uyarıyı gizle veya Uyarıyıçöz'ün uygun eylemini gerçekleştirin.

    Ad, Açıklama girin ve Kaydet'e tıklayın.

    Uyarıyı ayarla bölmesindeki Eylem bölümünün ekran görüntüsü.

  8. IoC'lerin gelecekte engellenmesini önleyin:

    Uyarı ayarlama kuralını kaydettikten sonra, görüntülenen Başarılı kural oluşturma sayfasında, seçilen GÇ'leri gösterge olarak "izin ver listesine" ekleyebilir ve gelecekte engellenmelerini önleyebilirsiniz.

    Uyarıyla ilgili tüm GÇ'ler listede gösterilir.

    Gizleme koşullarında seçilen GÇ'ler varsayılan olarak seçilir.

    1. Örneğin, izin verilen dosyaları İzin vermek için Kanıt seçin (IOC) bölümüne ekleyebilirsiniz. Varsayılan olarak uyarıyı tetikleyen dosya seçilidir.
    2. Uygulanacak kapsamı seç kapsamına girin. İlgili uyarının varsayılan kapsamı seçilidir.
    3. Kaydet'e tıklayın. Artık dosya izin ver listesinde olduğu için engellenmez.

  9. Yeni uyarı ayarlama işlevi varsayılan olarak kullanılabilir.

    Ancak, Ayarlar > Microsoft Defender XDR Kural > Uyarısı ayarlama'ya gidip Yeni ayarlama kuralları oluşturma etkin iki durumlu düğmesini kapatarak Microsoft Defender >portalında önceki deneyime dönebilirsiniz.

    Not

    Yakında yalnızca yeni uyarı ayarlama deneyimi kullanıma sunulacaktır. Önceki deneyime geri dönemeyeceksiniz.

  10. Mevcut kuralları düzenleyin:

    Microsoft Defender portalında ilgili kuralı seçip Kuralı düzenle'ye tıklayarak kural koşullarını ve yeni veya mevcut kuralların kapsamını istediğiniz zaman ekleyebilir veya değiştirebilirsiniz.

    Mevcut kuralları düzenlemek için Yeni uyarı ayarlama kuralları oluşturma etkin iki durumlu düğmesinin etkinleştirildiğinden emin olun.

Uyarıyı çözme

Bir uyarıyı çözümlemeyi tamamladıktan ve çözümlenebildiğiniz zaman, uyarı veya benzer uyarılar için Uyarıyı yönet bölmesine gidin ve durumu Çözüldü olarak işaretleyin ve ardından bir tehdit türü,Bilgilendirici, etkinlik türüyle beklenen etkinlik veya Hatalı pozitif olarak sınıflandırın.

Uyarıları sınıflandırmak Microsoft Defender XDR algılama kalitesini artırmaya yardımcı olur.

Uyarıları önceliklendirmek için Power Automate'i kullanma

Modern güvenlik operasyonları (SecOps) ekiplerinin etkili bir şekilde çalışması için otomasyon gerekir. SecOps ekipleri, gerçek tehditleri avlamaya ve araştırmaya odaklanmak için Power Automate'i kullanarak uyarı listesini önceliklendirmek ve tehdit olmayanları ortadan kaldırır.

Uyarıları çözümleme ölçütleri

  • Kullanıcının İşyeri Dışında iletisi açık
  • Kullanıcı yüksek riskli olarak etiketlenmemiş

Her ikisi de doğruysa, SecOps uyarıyı geçerli seyahat olarak işaretler ve çözer. Uyarı çözümlendikten sonra Microsoft Teams'de bir bildirim gönderilir.

Power Automate'i Microsoft Defender for Cloud Apps'ye bağlama

Otomasyonu oluşturmak için Power Automate'i Microsoft Defender for Cloud Apps bağlamadan önce bir API belirteci gerekir.

  1. Microsoft Defender açın ve Ayarlar>Cloud Apps>API belirteci'ni seçin ve ardından API belirteçleri sekmesinde Belirteç ekle'yi seçin.

  2. Belirteciniz için bir ad girin ve Oluştur'a tıklayın. Daha sonra ihtiyacınız olacak şekilde belirteci kaydedin.

Otomatik akış oluşturma

Otomasyonun sorunsuz bir iş akışı oluşturmak için verimli bir şekilde nasıl çalıştığını ve Power Automate'i Cloud Apps için Defender'a nasıl bağlayacağınızı öğrenmek için bu kısa videoyu izleyin.

Sonraki adımlar

İşlem içi olaylar için gerektiğinde araştırmanıza devam edin.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.