Microsoft Defender XDR'de olayları araştırma
Şunlar için geçerlidir:
- Microsoft Defender XDR
Microsoft Defender XDR cihazlarınız, kullanıcılarınız ve posta kutularınızdaki tüm ilgili uyarıları, varlıkları, araştırmaları ve kanıtları bir olay halinde toplayarak bir saldırının tüm kapsamına kapsamlı bir bakış sağlar.
Bir olay içinde ağınızı etkileyen uyarıları analiz eder, ne anlama geldiğini anlar ve etkili bir düzeltme planı oluşturabilmeniz için kanıtları harmanlarsınız.
İlk araştırma
Ayrıntılara girmeden önce, olayın özelliklerine ve saldırı hikayesinin tamamına göz atın.
Onay işareti sütunundan olayı seçerek başlayabilirsiniz. İşte bir örnek.
Bunu yaptığınızda, olayla ilgili önem derecesi, atandığı kişi ve MITRE ATT&olay için CK™ kategorileri gibi önemli bilgilerin yer aldığı bir özet bölmesi açılır. İşte bir örnek.
Buradan Olay sayfasını aç'ı seçebilirsiniz. Bu, tam saldırı hikayesi bilgilerini ve uyarılar, cihazlar, kullanıcılar, araştırmalar ve kanıt sekmelerini bulabileceğiniz olayın ana sayfasını açar.
Olay kuyruğundan olay adını seçerek bir olayın ana sayfasını da açabilirsiniz.
Saldırı hikayesi
Saldırı hikayeleri, saldırının tüm hikayesini aynı sekmede görüntülerken saldırıları hızla gözden geçirmenize, araştırmanıza ve düzeltmenize yardımcı olur. Ayrıca varlık ayrıntılarını gözden geçirmenize ve bir dosyayı silme veya bağlamı kaybetmeden bir cihazı yalıtma gibi düzeltme eylemleri gerçekleştirmenize olanak tanır.
Saldırı hikayesi aşağıdaki videoda kısaca açıklanmıştır.
Saldırı hikayesinin içinde uyarı sayfasını ve olay grafiğini bulabilirsiniz.
Olay uyarısı sayfasında şu bölümler vardır:
Uyarı hikayesi:
- Ne oldu
- Gerçekleştirilen eylemler
- İlgili olaylar
Sağ bölmedeki uyarı özellikleri (durum, ayrıntılar, açıklama ve diğerleri)
Her uyarının Uyarı hikayesi bölümünde listelenen tüm alt bölümlere sahip olmadığını unutmayın.
Grafikte saldırının tam kapsamı, saldırının zaman içinde ağınız üzerinden nasıl yayıldığı, nereden başladığı ve saldırganın ne kadar ileri gittiği gösterilir. Saldırının parçası olan farklı şüpheli varlıkları kullanıcılar, cihazlar ve posta kutuları gibi ilgili varlıklarına bağlar.
Grafikten şunları yapabilirsiniz:
Saldırının kronolojisini anlamak için zaman içinde gerçekleşen uyarıları ve düğümleri grafikte oynatın.
Varlık bölmesini açarak varlık ayrıntılarını gözden geçirmenizi ve dosyayı silme veya cihazı yalıtma gibi düzeltme eylemleri üzerinde işlem yapmanızı sağlar.
İlgili oldukları varlığa göre uyarıları vurgulayın.
Bir cihazın, dosyanın, IP adresinin veya URL'nin varlık bilgilerini arayın.
Go hunt seçeneği, bir varlık hakkında ilgili bilgileri bulmak için gelişmiş avcılık özelliğinden yararlanır. Go hunt sorgusu, araştırdığınız varlığı içeren olaylar veya uyarılar için ilgili şema tablolarını denetler. Varlıkla ilgili bilgileri bulmak için seçeneklerden herhangi birini belirleyebilirsiniz:
- Tüm kullanılabilir sorguları görün– seçeneği araştırdığınız varlık türü için tüm kullanılabilir sorguları döndürür.
- Tüm Etkinlik – sorgu, bir varlıkla ilişkili tüm etkinlikleri döndürür ve size olayın bağlamının kapsamlı bir görünümünü sağlar.
- İlgili Uyarılar: Sorgu belirli bir varlığı içeren tüm güvenlik uyarılarını arar ve döndürür ve hiçbir bilgiyi kaçırmamanızı sağlar.
Sonuçta elde edilen günlükler veya uyarılar, bir sonuç ve ardından Olaya bağla seçilerek bir olaya bağlanabilir.
Olay veya ilgili uyarılar ayarladığınız bir analiz kuralının sonucuysa, diğer ilgili sonuçları görmek için Sorguyu çalıştır'ı da seçebilirsiniz.
Özet
Olayın göreli önemini değerlendirmek ve ilişkili uyarılara ve etkilenen varlıklara hızla erişmek için Özet sayfasını kullanın. Özet sayfası, olayla ilgili dikkat çekmeniz gereken en önemli şeylere bir anlık görüntü bakışı sağlar.
Bilgiler bu bölümlerde düzenlenmiştir.
Bölüm | Açıklama |
---|---|
Uyarılar ve kategoriler | Saldırının sonlandırma zincirine karşı ne kadar gelişmiş olduğunu gösteren görsel ve sayısal bir görünüm. Diğer Microsoft güvenlik ürünlerinde olduğu gibi Microsoft Defender XDR de MITRE ATT&CK™ çerçevesiyle uyumludur. Uyarılar zaman çizelgesi, uyarıların oluştuğu kronolojik sırayı ve her uyarı için durumlarını ve adlarını gösterir. |
Kapsam | Etkilenen cihazların, kullanıcıların ve posta kutularının sayısını görüntüler ve varlıkları risk düzeyi ve araştırma önceliği sırasına göre listeler. |
Kanıt | Olaydan etkilenen varlık sayısını görüntüler. |
Olay bilgileri | Olayın etiketler, durum ve önem derecesi gibi özelliklerini görüntüler. |
Uyarılar
Uyarılar sekmesinde, olayla ilgili uyarılar için uyarı kuyruğu ve bunlar hakkında aşağıdakiler gibi diğer bilgileri görüntüleyebilirsiniz:
- Önem derecesi.
- Uyarıya katılan varlıklar.
- Uyarıların kaynağı (Kimlik için Microsoft Defender, Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender, Defender for Cloud Apps, ve uygulama idaresi eklentisi).
- Bu yüzden birbirlerine bağlandılar.
İşte bir örnek.
Varsayılan olarak uyarılar kronolojik olarak sıralanır ve bu sayede saldırının zaman içinde nasıl ilerlediğini görebilirsiniz. Bir olay içinde bir uyarı seçtiğinizde, Microsoft Defender XDR genel olayın bağlamı için uyarı bilgilerini görüntüler.
Uyarının olaylarını, diğer tetiklenen uyarıların geçerli uyarıya neden olduğunu ve cihazlar, dosyalar, kullanıcılar ve posta kutuları dahil olmak üzere saldırıyla ilgili tüm etkilenen varlıkları ve etkinlikleri görebilirsiniz.
İşte bir örnek.
Uyarıları araştırmak için uyarı kuyruğu ve uyarı sayfalarını kullanmayı öğrenin.
Varlık
Yeni Varlıklar sekmesiyle tüm varlıklarınızı tek bir yerde kolayca görüntüleyin ve yönetin. Bu birleşik görünüm Cihazlar, Kullanıcılar, Posta Kutuları ve Uygulamalar'ı içerir.
Varlıklar sekmesinde adının yanında toplam varlık sayısı görüntülenir. Varlıklar sekmesi seçilirken, bu kategorideki varlık sayısına sahip farklı kategorilerin listesi gösterilir.
Aygıtları
Cihazlar görünümü, olayla ilgili tüm cihazları listeler. İşte bir örnek.
Listeden bir cihaz seçildiğinde, seçili cihazı yönetmenizi sağlayan bir çubuk açılır. Etiketleri hızla dışarı aktarabilir, yönetebilir, otomatik araştırma başlatabilir ve daha fazlasını yapabilirsiniz.
Cihazın ayrıntılarını, dizin verilerini, etkin uyarıları ve oturum açmış kullanıcıları görmek için cihazın onay işaretini seçebilirsiniz. Uç Nokta için Defender cihaz envanterinde cihaz ayrıntılarını görmek için cihazın adını seçin. İşte bir örnek.
Cihaz sayfasından cihaz hakkında tüm uyarıları, zaman çizelgesi ve güvenlik önerileri gibi ek bilgiler toplayabilirsiniz. Örneğin, Zaman Çizelgesi sekmesinden cihaz zaman çizelgesinde gezinebilir ve makinede gözlemlenen tüm olayları ve davranışları, tetiklenen uyarılarla birlikte kronolojik sırayla görüntüleyebilirsiniz. İşte bir örnek
İpucu
Bir cihaz sayfasında isteğe bağlı taramalar yapabilirsiniz. Microsoft Defender portalında Uç Noktalar Cihaz envanteri'ni >seçin. Uyarıları olan bir cihaz seçin ve ardından virüsten koruma taraması çalıştırın. Virüsten koruma taramaları gibi eylemler izlenir ve Cihaz envanteri sayfasında görünür. Daha fazla bilgi için bkz. Cihazlarda virüsten koruma taraması Microsoft Defender çalıştırma.
Kullanıcılar
Kullanıcılar görünümü, olayın parçası olduğu veya olayla ilgili olduğu belirlenen tüm kullanıcıları listeler. İşte bir örnek.
Kullanıcı hesabı tehdidinin, açığa çıkarmanın ve iletişim bilgilerinin ayrıntılarını görmek için kullanıcının onay işaretini seçebilirsiniz. Ek kullanıcı hesabı ayrıntılarını görmek için kullanıcı adını seçin.
Kullanıcıları araştırmak için ek kullanıcı bilgilerini görüntülemeyi ve bir olayın kullanıcılarını yönetmeyi öğrenin.
Posta kutu -ları
Posta Kutuları görünümü, olayın parçası olduğu veya olayla ilgili olduğu belirlenen tüm posta kutularını listeler. İşte bir örnek.
Etkin uyarıların listesini görmek için posta kutusunun onay işaretini seçebilirsiniz. Office 365 için Defender için Gezgin sayfasında ek posta kutusu ayrıntılarını görmek için posta kutusu adını seçin.
Apps
Uygulamalar görünümü, olayın parçası veya olayla ilgili olduğu belirlenen tüm uygulamaları listeler. İşte bir örnek.
Etkin uyarıların listesini görmek için bir uygulamanın onay işaretini seçebilirsiniz. Defender for Cloud Apps için Gezgin sayfasında ek ayrıntıları görmek için uygulama adını seçin.
Sondajları
Araştırma sekmesi, bu olaydaki uyarılar tarafından tetiklenen tüm otomatik araştırmaları listeler. Otomatik araştırmalar, otomatik araştırmalarınızı Uç Nokta için Defender'da ve Office 365 için Defender çalışacak şekilde nasıl yapılandırdığınıza bağlı olarak düzeltme eylemleri gerçekleştirir veya analistin eylemleri onaylamasını bekler.
Araştırma ve düzeltme durumu hakkında tam bilgi için ayrıntılar sayfasına gitmek için bir araştırma seçin. Araştırmanın bir parçası olarak onay bekleyen eylemler varsa, Bunlar Bekleyen eylemler geçmişi sekmesinde görünür. Olay düzeltme işleminin bir parçası olarak işlem yapın.
Ayrıca şunları gösteren bir Araştırma grafı sekmesi de vardır:
- Uyarıların kuruluşunuzdaki etkilenen varlıklarla bağlantısı.
- Hangi varlıkların hangi uyarılarla ilgili olduğu ve bunların saldırı hikayesinin bir parçası olması.
- Olayın uyarıları.
Araştırma grafiği, saldırının parçası olan farklı şüpheli varlıkları kullanıcılar, cihazlar ve posta kutuları gibi ilgili varlıklarına bağlayarak saldırının tam kapsamını hızla anlamanıza yardımcı olur.
Daha fazla bilgi için bkz. Microsoft Defender XDR'de otomatik araştırma ve yanıt.
Kanıt ve Yanıt
Kanıt ve Yanıt sekmesi, olaydaki uyarılarda desteklenen tüm olayları ve şüpheli varlıkları gösterir. İşte bir örnek.
Microsoft Defender XDR, uyarılardaki tüm olayların desteklenen olaylarını ve şüpheli varlıkları otomatik olarak araştırır ve size önemli e-postalar, dosyalar, işlemler, hizmetler, IP Adresleri ve daha fazlası hakkında bilgi sağlar. Bu, olaydaki olası tehditleri hızla algılamanıza ve engellemenize yardımcı olur.
Analiz edilen varlıkların her biri bir karar (Kötü Amaçlı, Şüpheli, Temiz) ve bir düzeltme durumuyla işaretlenir. Bu, tüm olayın düzeltme durumunu ve sonraki adımları anlamanıza yardımcı olur.
Düzeltme eylemlerini onaylama veya reddetme
Düzeltme durumu Bekleyen onay olan olaylar için, olayın içinden bir düzeltme eylemini onaylayabilir veya reddedebilirsiniz.
- Gezinti bölmesinde Olaylar & uyarılar>Olaylar'a gidin.
- Otomatik araştırma durumu için Beklemede eylemini filtreleyin (isteğe bağlı).
- Özet sayfasını açmak için bir olay adı seçin.
- Kanıt ve Yanıt sekmesini seçin.
- Açılan bölmeyi açmak için listeden bir öğe seçin.
- Bilgileri gözden geçirin ve aşağıdaki adımlardan birini uygulayın:
- Bekleyen eylemi başlatmak için Bekleyen eylemi onayla seçeneğini belirleyin.
- Bekleyen eylemin gerçekleştirilmesini önlemek için Bekleyen eylemi reddet seçeneğini belirleyin.
Sonraki adımlar
Gerektiğinde:
Ayrıca bkz.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.