Microsoft Defender XDR'deki ilk olayınızı düzeltme
Şunlar için geçerlidir:
- Microsoft Defender XDR
Microsoft Defender XDR, tehditleri kapsamayı ve ortadan kaldırmayı sağlamak için algılama ve analiz özellikleri sağlar. Kapsama, saldırının etkisini azaltmaya yönelik adımlar içerirken, silme işlemi saldırgan etkinliğinin tüm izlemelerinin ağdan kaldırılmasını sağlar.
Microsoft Defender XDR düzeltme otomatikleştirilebilir veya olay yanıtlayıcıları tarafından gerçekleştirilen el ile gerçekleştirilen eylemler aracılığıyla yapılabilir. Cihazlarda, dosyalarda ve kimliklerde düzeltme eylemleri gerçekleştirilebilir.
Otomatik düzeltme
Microsoft Defender XDR, tehdit zekasını ve ağınızdaki sinyalleri kullanarak en yıkıcı saldırılarla mücadele eder. Fidye yazılımı, iş e-posta güvenliğinin aşılması (BEC) ve ortadaki saldırgan (AiTM) kimlik avı, otomatik saldırı kesintisi özelliği aracılığıyla hemen içerilebilen en karmaşık saldırılardan bazılarıdır. Bir saldırı kesintiye uğradıktan sonra, olay yanıtlayıcıları bir saldırıyı devralabilir ve tam olarak araştırabilir ve gerekli düzeltmeyi uygulayabilir.
Otomatik saldırı kesintilerinin olay yanıtında nasıl yardımcı olduğunu öğrenin:
Bu arada, Microsoft Defender XDR otomatik araştırma ve yanıt özellikleri, kötü amaçlı ve şüpheli öğelere otomatik olarak araştırma yapabilir ve düzeltme eylemleri uygulayabilir. Bu özellikler araştırmayı ve çözümü tehditlere göre ölçeklendirir ve olay yanıtlayıcılarını yüksek etkili saldırılara odaklamaları için serbesttir.
Otomatik araştırma ve yanıt özelliklerini yapılandırabilir ve yönetebilirsiniz . İşlem merkezi aracılığıyla tüm geçmiş ve bekleyen eylemleri de görüntüleyebilirsiniz.
Not
Gözden geçirmeden sonra otomatik eylemleri geri alabilirsiniz.
Araştırma görevlerinizden bazılarını hızlandırmak için Power Automate ile uyarıları önceliklendirmeniz gerekir. Ayrıca otomasyon ve playbook'lar kullanılarak otomatik düzeltme oluşturulabilir. Microsoft, aşağıdaki senaryolar için GitHub'da playbook şablonlarına sahiptir:
- Kullanıcı doğrulaması istendikten sonra hassas dosya paylaşımını kaldırma
- Seyrek görülen ülke uyarılarını otomatik olarak önceliklendirme
- Hesabı devre dışı bırakmadan önce yönetici eylemi isteme
- Kötü amaçlı gelen kutusu kurallarını devre dışı bırakma
Playbook'lar, belirli ölçütler tetiklendikten sonra belirli etkinlikleri otomatikleştirmek üzere özel robotik süreç otomasyonu akışları oluşturmak için Power Automate'i kullanır. Kuruluşlar mevcut şablonlardan veya sıfırdan playbook oluşturabilir. Playbook'lar, çözümlenen olaylardan düzeltme eylemleri oluşturmak için olay sonrası gözden geçirme sırasında da oluşturulabilir.
Power Automate'in bu video aracılığıyla olay yanıtınızı otomatikleştirmenize nasıl yardımcı olabileceğini öğrenin:
El ile düzeltme
Güvenlik ekipleri bir saldırıyı yanıtlarken saldırıların daha fazla zarara uğramasını önlemek için portalın el ile düzeltme eylemlerinden yararlanabilir. Bazı eylemler bir tehdidi hemen durdurabilirken, diğerleri daha fazla adli analize yardımcı olabilir. Kuruluşunuzda dağıtılan Defender iş yüklerine bağlı olarak bu eylemleri herhangi bir varlığa uygulayabilirsiniz.
Cihazlardaki eylemler
Cihazı yalıtma - Cihazın ağ bağlantısını keserek etkilenen bir cihazı yalıtın. Cihaz, sürekli izleme için Uç Nokta için Defender hizmetine bağlı kalır.
Uygulama yürütmeyi kısıtla - Yalnızca Microsoft tarafından verilen bir sertifika tarafından imzalanan dosyaların çalıştırılmasına izin veren bir kod bütünlüğü ilkesi uygulayarak uygulamayı kısıtlar.
Virüsten Koruma taraması çalıştır - Bir cihaz için uzaktan Defender Virüsten Koruma taraması başlatır. Tarama, Defender Virüsten Koruma'nın etkin virüsten koruma çözümü olup olmadığına bakılmaksızın diğer virüsten koruma çözümleriyle birlikte çalıştırılabilir.
Araştırma paketini toplama - Araştırma veya yanıt sürecinin bir parçası olarak bir cihazdan araştırma paketi toplayabilirsiniz. Araştırma paketini toplayarak cihazın geçerli durumunu belirleyebilir ve saldırgan tarafından kullanılan araç ve teknikleri daha iyi anlayabilirsiniz.
Otomatik araştırma başlatma - cihazda yeni bir genel amaçlı otomatik araştırma başlatır. Bir araştırma çalışırken, cihazdan oluşturulan diğer tüm uyarılar, araştırma tamamlanana kadar devam eden bir otomatik araştırmaya eklenir. Ayrıca, aynı tehdit diğer cihazlarda görülürse, bu cihazlar araştırmaya eklenir.
Canlı yanıt başlatma - Uzaktan kabuk bağlantısı kullanarak bir cihaza anında erişim sağlar, böylece ayrıntılı araştırma çalışmaları yapabilir ve anında yanıt eylemleri gerçekleştirerek belirlenen tehditleri anında gerçek zamanlı olarak içerebilirsiniz. Canlı yanıt, adli veri toplamanıza, betik çalıştırmanıza, analiz için şüpheli varlıklar göndermenize, tehditleri düzeltmenize ve yeni ortaya çıkan tehditleri proaktif olarak avlamanıza olanak tanıyarak araştırmalarını geliştirmek için tasarlanmıştır.
Defender Uzmanlarına Sorun: Risk altında olabilecek veya zaten güvenliği aşılmış cihazlarla ilgili daha fazla içgörü için bir Microsoft Defender uzmanına danışabilirsiniz. Microsoft Defender uzmanları, zamanında ve doğru bir yanıt için doğrudan portal içinden devreye alabilir. Bu eylem hem cihazlar hem de dosyalar için kullanılabilir.
Cihazlardaki diğer eylemlere aşağıdaki öğretici aracılığıyla ulaşabilirsiniz:
Not
Saldırı hikayesinin içindeki grafikten doğrudan cihazlarda eylem gerçekleştirebilirsiniz.
Dosyalardaki eylemler
- Dosyayı durdurma ve karantinaya alma - çalışan işlemleri durdurmayı, dosyaları quarantining'i ve kayıt defteri anahtarları gibi kalıcı verileri silmeyi içerir.
- Dosyayı engellemek veya dosyaya izin vermek için göstergeler ekleyin . Kötü amaçlı olabilecek dosyaları veya kötü amaçlı yazılım şüphesi olan dosyaları yasaklayarak saldırının daha fazla yayılmasını önler. Bu işlem, dosyanın kuruluşunuzdaki cihazlarda okunmasını, yazılmasını veya yürütülmesini engeller.
- Dosya indirme veya toplama – analistlerin kuruluş tarafından daha fazla analiz için parola korumalı .zip arşiv dosyasındaki bir dosyayı indirmesine olanak tanır.
- Derin analiz : Güvenli, tam olarak izlemeli bir bulut ortamında bir dosya yürütür. Derin analiz sonuçları dosyanın etkinliklerini, gözlemlenen davranışlarını ve bırakılan dosyalar, kayıt defteri değişiklikleri ve IP adresleriyle iletişim gibi ilişkili yapıtları gösterir.
Diğer saldırıları düzeltme
Not
Bu öğreticiler, ortamınızda diğer Defender iş yükleri etkinleştirildiğinde geçerlidir.
Aşağıdaki öğreticiler, varlıkları araştırırken veya belirli tehditlere yanıt verirken uygulayabileceğiniz adımları ve eylemleri numaralandırır:
- Güvenliği aşılmış bir e-posta hesabına Office 365 için Defender aracılığıyla yanıt verme
- Güvenlik Açığı Yönetimi için Defender ile güvenlik açıklarını düzeltme
- Kimlik için Defender aracılığıyla kullanıcı hesapları için düzeltme eylemleri
- Cloud Apps için Defender ile uygulamaları denetlemek için ilke uygulama
Sonraki adımlar
- Saldırı simülasyonu eğitimi aracılığıyla saldırıların benzetimini gerçekleştirme
- Sanal Ninja eğitimi aracılığıyla Microsoft Defender XDR keşfedin
Ayrıca bkz.
- Olayları araştırın
- Microsoft Defender XDR Ninja eğitimi aracılığıyla portalın özelliklerini ve işlevlerini öğrenin
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin