Tehdit araştırması ve yanıtı

  • Makale

İpucu

Office 365 için Microsoft 365 Defender Plan 2’deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft 365 Defender portalı deneme merkezindeki 90 günlük Office 365 için Defender denemesini kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Şunun için geçerlidir:

Office 365 için Microsoft Defender'deki tehdit araştırma ve yanıt özellikleri, güvenlik analistlerinin ve yöneticilerin kuruluşlarının Microsoft 365 İş kullanıcılarını şu şekilde korumasına yardımcı olur:

  • Siber saldırıları tanımlamayı, izlemeyi ve anlamayı kolaylaştırma.
  • Exchange Online, SharePoint Online, OneDrive İş ve Microsoft Teams'deki tehditlerin hızla ele alınmasına yardımcı olur.
  • Güvenlik operasyonlarının kuruluşlarında siber saldırıları önlemesine yardımcı olmak için içgörüler ve bilgiler sağlama.
  • E-posta tabanlı kritik tehditler için Office 365 otomatik araştırma ve yanıt kullanma.

Tehdit araştırması ve yanıt özellikleri, Microsoft 365 Defender portalında kullanılabilen tehditler ve ilgili yanıt eylemleri hakkında içgörüler sağlar. Bu içgörüler, kuruluşunuzun güvenlik ekibinin kullanıcıları e-posta veya dosya tabanlı saldırılara karşı korumasına yardımcı olabilir. Bu özellikler sinyalleri izlemeye ve kullanıcı etkinliği, kimlik doğrulaması, e-posta, güvenliği aşılmış bilgisayarlar ve güvenlik olayları gibi birden çok kaynaktan veri toplamaya yardımcı olur. İş karar alıcıları ve güvenlik operasyonları ekibiniz, kuruluşunuza yönelik tehditleri anlamak ve yanıtlamak ve fikri mülkiyetinizi korumak için bu bilgileri kullanabilir.

Tehdit araştırması ve yanıt araçlarıyla tanışın

Microsoft 365 Defender portalındaki https://security.microsoft.com tehdit araştırması ve yanıt özellikleri şunlardır:

Explorer

Explorer'ı (ve gerçek zamanlı algılamaları) kullanarak tehditleri analiz edin, zaman içindeki saldırı hacmini görün ve verileri tehdit ailelerine, saldırgan altyapısına ve daha fazlasına göre analiz edin. Explorer (Tehdit Gezgini olarak da adlandırılır), güvenlik analistlerinin araştırma iş akışının başlangıç noktasıdır.

Tehdit gezgini sayfası

Bu raporu konumundaki Microsoft 365 Defender portalında https://security.microsoft.comgörüntülemek ve kullanmak için Email & işbirliği>Gezgini'ne gidin. Veya doğrudan Gezgin sayfasına gitmek için kullanın https://security.microsoft.com/threatexplorer.

Office 365 Tehdit Bilgileri bağlantısı

Bu özellik yalnızca etkin bir Office 365 E5 aboneliğiniz veya Tehdit Bilgileri eklentisi varsa kullanılabilir. Daha fazla bilgi için Office 365 Kurumsal E5 ürün sayfasına bakın.

Bu özelliği açtığınızda, Office 365 posta kutuları ve Windows cihazları arasında kapsamlı bir güvenlik araştırması yürütmek için Office 365 için Microsoft Defender verileri Microsoft 365 Defender birleştirebileceksiniz.

Not

Bu özelliği etkinleştirmek için uygun lisansa sahip olmanız gerekir.

Office 365 Tehdit Bilgileri'nde bağlamsal cihaz tümleştirmesi almak için Güvenlik & Uyumluluğu panosunda Uç Nokta için Defender ayarlarını etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender ile birlikte Office 365 için Microsoft Defender kullanma.

Olaylar

Uçuş güvenlik olaylarının listesini görmek için Olaylar listesini (buna Araştırma olarak da adlandırılır) kullanın. Olaylar, şüpheli e-posta iletileri gibi tehditleri izlemek ve daha fazla araştırma ve düzeltme gerçekleştirmek için kullanılır.

Office 365'deki geçerli Tehdit Olaylarının listesi

konumundaki Microsoft 365 Defender portalında https://security.microsoft.comkuruluşunuz için geçerli olayların listesini görüntülemek için Olay uyarıları Olaylar'a &gidin.> Ya da doğrudan Olaylar sayfasına gitmek için kullanın https://security.microsoft.com/incidents.

Saldırı simülasyonu eğitimi

Kuruluşunuzda gerçekçi siber saldırılar ayarlamak ve çalıştırmak için Saldırı simülasyonu eğitimi kullanın ve gerçek bir siber saldırı işinizi etkilemeden önce savunmasız kişileri belirleyin. Daha fazla bilgi için bkz. Kimlik avı saldırısı simülasyonu.

Bu özelliği adresinden Microsoft 365 Defender portalında https://security.microsoft.comgörüntülemek ve kullanmak için Email & işbirliği>Saldırı simülasyonu eğitimi gidin. Veya doğrudan Saldırı simülasyonu eğitimi sayfasına gitmek için kullanınhttps://security.microsoft.com/attacksimulator?viewid=overview.

Otomatik araştırma ve yanıt

Kuruluşunuzdaki tehditlere karşı risk altındaki içerik, cihaz ve kişilerle bağıntılı zaman ve çabadan tasarruf etmek için otomatik araştırma ve yanıt (AIR) özelliklerini kullanın. AIR işlemleri, belirli uyarılar tetiklendiğinde veya güvenlik operasyonları ekibiniz tarafından başlatıldığında başlayabilir. Daha fazla bilgi edinmek için bkz. Office 365'de otomatik araştırma ve yanıt.

Tehdit bilgileri pencere öğeleri

Office 365 için Microsoft Defender Plan 2 teklifinin bir parçası olarak güvenlik analistleri bilinen bir tehditle ilgili ayrıntıları gözden geçirebilir. Bu, kullanıcıların güvenliğini sağlamak için ek önleyici önlemler/adımlar olup olmadığını belirlemek için yararlıdır.

Son tehditlerle ilgili bilgileri gösteren Güvenlik eğilimleri bölmesi

Bu özellikleri nasıl alacağız?

Microsoft 365 tehdit araştırması ve yanıt özellikleri, Kurumsal E5'e veya belirli aboneliklere eklenti olarak dahil edilen Office 365 için Microsoft Defender Plan 2'ye dahildir. Daha fazla bilgi edinmek için bkz. Plan 1 ve Plan 2 Office 365 için Defender.

Gerekli roller ve izinler

Office 365 için Microsoft Defender rol tabanlı erişim denetimini kullanır. İzinler Azure Active Directory, Microsoft 365 yönetim merkezi veya Microsoft 365 Defender portalındaki belirli roller aracılığıyla atanır.

İpucu

Güvenlik Yöneticisi gibi bazı roller Microsoft 365 Defender portalında atanabilir ancak bunun yerine Microsoft 365 yönetim merkezi veya Azure Active Directory'yi kullanmayı göz önünde bulundurun. Roller, rol grupları ve izinler hakkında bilgi için aşağıdaki kaynaklara bakın:

Etkinlik Roller ve izinler
Microsoft Defender Güvenlik Açığı Yönetimi panosunu kullanma

Son tehditler veya geçerli tehditler hakkındaki bilgileri görüntüleme

 Aşağıdakilerden biri:
  • Genel Yönetici
  • Güvenlik Yöneticisi
  • Güvenlik Okuyucusu

Bu roller Azure Active Directory'de (https://portal.azure.com) veya Microsoft 365 yönetim merkezi (https://admin.microsoft.com ) atanabilir.
Tehditleri analiz etmek için Explorer'ı (ve gerçek zamanlı algılamaları) kullanma Aşağıdakilerden biri:
  • Genel Yönetici
  • Güvenlik Yöneticisi
  • Güvenlik Okuyucusu

Bu roller Azure Active Directory'de (https://portal.azure.com) veya Microsoft 365 yönetim merkezi (https://admin.microsoft.com ) atanabilir.
Olayları Görüntüle (Araştırma olarak da adlandırılır)

Olaya e-posta iletileri ekleme

 Aşağıdakilerden biri:
  • Genel Yönetici
  • Güvenlik Yöneticisi
  • Güvenlik Okuyucusu

Bu roller Azure Active Directory'de (https://portal.azure.com) veya Microsoft 365 yönetim merkezi (https://admin.microsoft.com ) atanabilir.
Bir olayda e-posta eylemlerini tetikleme

Şüpheli e-posta iletilerini bulma ve silme

 Aşağıdakilerden biri:
  • Genel Yönetici
  • Güvenlik Yöneticisi ve Arama ve Temizleme rolü

Genel Yönetici ve Güvenlik Yöneticisi rolleri Azure Active Directory'de (https://portal.azure.com) veya Microsoft 365 yönetim merkezi (https://admin.microsoft.com ) atanabilir.

Arama ve Temizleme rolü, Microsoft 36 Defender portalındaki ( ) Email & işbirliği rollerine atanmalıdır.https://security.microsoft.com
Office 365 için Microsoft Defender Plan 2'yi Uç Nokta için Microsoft Defender ile tümleştirme

Office 365 için Microsoft Defender Plan 2'yi SIEM sunucusuyla tümleştirme

 Azure Active Directory'de (https://portal.azure.com) veya Microsoft 365 yönetim merkezi(https://admin.microsoft.com içinde atanan Genel Yönetici veya Güvenlik Yöneticisi rolü.

--- Artı ---

Ek uygulamalarda (Microsoft Defender Güvenlik Merkezi veya SIEM sunucunuz gibi) atanmış uygun bir rol.

Sonraki adımlar