Office 365 için Microsoft Defender'de otomatik araştırma ve yanıt nasıl çalışır?

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Güvenlik uyarıları tetiklendiğinde, bu uyarıları incelemek ve kuruluşunuzu korumak için adımlar atmak güvenlik operasyonları ekibinize bağlı olur. Bazı durumlarda, güvenlik operasyonları ekipleri tetiklenen uyarıların hacminden bunalmış gibi hissedebilir. Office 365 için Microsoft Defender'daki otomatik araştırma ve yanıt (AIR) özellikleri yardımcı olabilir.

AIR, güvenlik operasyonları ekibinizin daha verimli ve etkili bir şekilde çalışmasını sağlar. AIR özellikleri, günümüzde mevcut olan iyi bilinen tehditlere yanıt olarak otomatik araştırma süreçlerini içerir. Uygun düzeltme eylemleri onay bekler ve güvenlik operasyonları ekibinizin algılanan tehditlere yanıt vermesini sağlar.

Bu makalede, AIR'in çeşitli örneklerle nasıl çalıştığı açıklanmaktadır. AIR kullanmaya başlamaya hazır olduğunuzda bkz. Tehditleri otomatik olarak araştırma ve yanıtlama.

Örnek: Kullanıcı tarafından bildirilen kimlik avı iletisi bir araştırma playbook'u başlatır

Kuruluşunuzdaki bir kullanıcının kimlik avı girişimi olduğunu düşündüğü bir e-posta aldığını varsayalım. Bu tür iletileri raporlamak için eğitilen kullanıcı, Microsoft Rapor İletisi veya Rapor Kimlik Avı eklentilerini kullanarak analiz için Microsoft'a gönderir. Gönderim sisteminize de gönderilir ve Gezgin'de Gönderimler görünümünde (eski adıyla Kullanıcı tarafından bildirilen görünüm) görünür. Ayrıca, kullanıcı tarafından bildirilen ileti artık araştırma playbook'unu otomatik olarak başlatan sistem tabanlı bir bilgilendirme uyarısı tetikler.

Kök araştırma aşamasında, e-postanın çeşitli yönleri değerlendirilir. Bu özellikler şunlardır:

  • Ne tür bir tehdit olabileceğine ilişkin bir belirleme;
  • Onu kim gönderdi?
  • E-postanın gönderildiği yer (altyapı gönderme);
  • E-postanın diğer örneklerinin teslim edilip edilmediği;
  • Analistlerimizden bir değerlendirme;
  • E-postanın bilinen kampanyalarla ilişkilendirilmiş olup olmadığı;
  • ve daha fazlasını yapın.

Kök araştırma tamamlandıktan sonra playbook, özgün e-postada ve onunla ilişkili varlıklarda (örneğin, dosyalar, URL'ler ve alıcılar) yapılması önerilen eylemlerin listesini sağlar.

Ardından çeşitli tehdit araştırması ve tehdit avcılığı adımları yürütülür:

  • Benzer e-posta iletileri, e-posta kümesi aramaları aracılığıyla tanımlanır.
  • Sinyal, Uç Nokta için Microsoft Defender gibi diğer platformlarla paylaşılır.
  • Şüpheli e-posta iletilerinde herhangi bir kullanıcının kötü amaçlı bağlantılara tıklayıp tıklamadığına ilişkin bir belirleme yapılır.
  • Exchange Online Protection (EOP) ve Office 365 için Microsoft Defender arasında, kullanıcılar tarafından bildirilen başka benzer iletiler olup olmadığını görmek için bir denetim yapılır.
  • Kullanıcının gizliliğinin tehlikeye atılıp aşılmadığını görmek için bir denetim yapılır. Bu denetim, Office 365, Microsoft Defender for Cloud Apps ve Microsoft Entra ID genelindeki sinyallerden yararlanarak ilgili kullanıcı etkinliği anomalilerini ilişkilendirir.

Tehdit avcılığı aşamasında çeşitli avlanma adımlarına riskler ve tehditler atanır.

Düzeltme, playbook'un son aşamasıdır. Bu aşamada, araştırma ve avcılık aşamalarına göre düzeltme adımları atılır.

Örnek: Güvenlik yöneticisi Tehdit Gezgini'nden bir araştırma tetikler

Bir uyarı tarafından tetiklenen otomatik araştırmalara ek olarak, kuruluşunuzun güvenlik operasyonları ekibi Tehdit Gezgini'ndeki bir görünümden otomatik bir araştırma tetikleyebilir. Bu araştırma bir uyarı da oluşturur, böylece Microsoft Defender XDR olaylar ve dış SIEM araçları bu araştırmanın tetiklendiğini görebilir.

Örneğin, Gezgin'de Kötü Amaçlı Yazılım görünümünü kullandığınızı varsayalım. Grafiğin altındaki sekmeleri kullanarak Email sekmesini seçersiniz. Listeden bir veya daha fazla öğe seçerseniz + Eylemler düğmesi etkinleştirilir.

Seçili iletileri içeren Gezgin

Eylemler menüsünü kullanarak Araştırmayı tetikle'yi seçebilirsiniz.

Seçili iletiler için Eylemler menüsü

Bir uyarı tarafından tetiklenen playbook'lara benzer şekilde, Explorer'daki bir görünümden tetiklenen otomatik araştırmalarda kök araştırma, tehditleri tanımlama ve ilişkilendirme adımları ve bu tehditleri azaltmak için önerilen eylemler bulunur.

Örnek: Güvenlik operasyonları ekibi, Office 365 Yönetim Etkinliği API'sini kullanarak AIR'i SIEM ile tümleştirir

Office 365 için Microsoft Defender'deki AIR özellikleri, güvenlik operasyonları ekiplerinin tehditleri izlemek ve ele almak için kullanabileceği raporlar & ayrıntıları içerir. Ancak AIR özelliklerini diğer çözümlerle de tümleştirebilirsiniz. Örnek olarak güvenlik bilgileri ve olay yönetimi (SIEM) sistemi, servis talebi yönetim sistemi veya özel raporlama çözümü verilebilir. Bu tür tümleştirmeler Office 365 Yönetim Etkinliği API'sini kullanarak yapılabilir.

Örneğin kısa süre önce bir kuruluş, güvenlik operasyonları ekibine AIR tarafından önceden işlenmiş kullanıcı tarafından bildirilen kimlik avı uyarılarını görüntülemesi için bir yol ayarladı. Çözümü, ilgili uyarıları kuruluşun SIEM sunucusu ve olay yönetim sistemiyle tümleştirir. Çözüm, hatalı pozitif sonuçların sayısını büyük ölçüde azaltarak güvenlik operasyonları ekibinin zamanlarını ve çabalarını gerçek tehditlere odaklamalarını sağlar. Bu özel çözüm hakkında daha fazla bilgi edinmek için bkz. Teknoloji Topluluğu blogu: Office 365 için Microsoft Defender ve O365 Yönetim API'siyle SOC'nizin Verimliliğini Artırma.

Sonraki adımlar