Tehdit analizini analiz etme

  • 3 dakika

Tehdit analizi, uzman Microsoft güvenlik araştırmacılarının bir tehdit bilgileri çözümüdür. Aşağıdakiler gibi yeni tehditlerle karşı karşıyayken güvenlik ekiplerinin mümkün olan en verimli şekilde çalışmasını sağlamak için tasarlanmıştır:

  • Etkin tehdit aktörleri ve kampanyaları
  • Popüler ve yeni saldırı teknikleri
  • Kritik güvenlik açıkları
  • Yaygın saldırı yüzeyleri
  • Yaygın kötü amaçlı yazılım

Tehdit analizine, Tehdit bilgileri'ni genişleterek Microsoft Defender güvenlik portalının gezinti menüsünün sol üst kısmından veya kuruluşunuza yönelik tehditleri hem etki açısından hem de maruz kalma açısından gösteren özel bir Tehdit analizi pano kartından erişebilirsiniz.

Tehdit analizi panosunun ekran görüntüsü.

Yüksek etki tehditleri en büyük zarar verme potansiyeline sahipken, varlıklarınızın en savunmasız olduğu tehditler yüksek maruz kalma tehditleridir. Etkin veya devam eden kampanyalar hakkında görünürlük elde etmek ve tehdit analizi aracılığıyla ne yapacağınızı bilmek, güvenlik operasyonları ekibinizin bilinçli kararlar almasına yardımcı olabilir.

Daha gelişmiş saldırganlar ve yeni tehditlerin sık ve yaygın olarak ortaya çıkmasıyla, şunları hızla yapabilmek kritik önem taşır:

  • Yeni ortaya çıkan tehditleri belirleme ve bunlara tepki verme
  • Şu anda saldırı altında olup olmadığını öğrenin
  • Tehdidin varlıklarınıza etkisini değerlendirme
  • Tehditlere karşı dayanıklılığınızı veya tehditlere maruz kalmanızı gözden geçirin
  • Tehditleri durdurmak veya içermek için gerçekleştirebileceğiniz risk azaltma, kurtarma veya önleme eylemlerini tanımlama

Her rapor, izlenen bir tehdidin analizini ve bu tehditlere karşı savunma konusunda kapsamlı rehberlik sağlar. Ayrıca ağınızdaki verileri de içerir ve tehdidin etkin olup olmadığını ve geçerli korumalarınız olup olmadığını belirtir.

Tehdit analizi panosunu görüntüleme

Tehdit analizi panosu, kuruluşunuzla en ilgili raporları vurgular. Tehditleri aşağıdaki bölümlerde özetler:

  • En son tehditler— etkin ve çözümlenmiş uyarı sayısıyla birlikte en son yayımlanan veya güncelleştirilen tehdit raporlarını listeler.
  • Yüksek etkili tehditler— kuruluşunuz üzerinde en yüksek etkiye sahip tehditleri listeler. Bu bölümde, en fazla etkin ve çözümlenmiş uyarı sayısına sahip tehditler listelenir.
  • En yüksek maruz kalma; en yüksek maruz kalma düzeyine sahip tehditleri listeler. bir tehdidin maruz kalma düzeyi iki bilgi parçası kullanılarak hesaplanır: tehditle ilişkili güvenlik açıklarının ne kadar ciddi olduğu ve kuruluşunuzdaki kaç cihazın bu güvenlik açıklarından yararlanabileceği.

Panodan bir tehdit seçildiğinde bu tehditle ilgili rapor görüntülenir.

Tehdit analizi raporunu görüntüleyin. Her tehdit analizi raporu birkaç bölümde bilgi sağlar:

  • Genel bakış
  • Çözümleyici raporu
  • İlgili olaylar
  • Etkilenen varlıklar
  • Engellenen e-posta girişimleri
  • Maruz kalma ve azaltmalar

Genel bakış: Tehdidi hızla anlayın, etkisini değerlendirin ve savunmaları gözden geçirin

Genel Bakış bölümünde ayrıntılı analist raporunun önizlemesi sağlanır. Ayrıca, tehdidin kuruluşunuz üzerindeki etkisini ve yanlış yapılandırılmış ve eşleşmeyen cihazlar aracılığıyla açığa çıkarmanızı vurgulayan grafikler de sağlar.

Kuruluşunuz üzerindeki etkiyi değerlendirme

Her rapor, bir tehdidin kurumsal etkisi hakkında bilgi sağlamak için tasarlanmış grafikler içerir:

  • İlgili olaylar—etkin uyarı sayısı ve ilişkili oldukları etkin olay sayısı ve etkin olayların önem derecesi ile izlenen tehdidin kuruluşunuz üzerindeki etkisine genel bir bakış sağlar
  • Zaman içindeki uyarılar; zaman içindeki ilgili Etkin ve Çözümlenmiş uyarı sayısını gösterir. Çözümlenen uyarı sayısı, kuruluşunuzun bir tehditle ilişkili uyarılara ne kadar hızlı yanıt verdiğini gösterir. İdeal olan grafikte birkaç gün içinde çözümlenen uyarıların gösterilmesi gerekir.
  • Etkilenen varlıklar— şu anda izlenen tehditle ilişkilendirilmiş en az bir etkin uyarıya sahip olan ayrı cihazların ve e-posta hesaplarının (posta kutuları) sayısını gösterir. Tehdit e-postaları alan posta kutuları için uyarılar tetiklenir. Tehdit e-postalarının teslim edilmesine neden olan geçersiz kılmalar için hem kuruluş hem de kullanıcı düzeyinde ilkeleri gözden geçirin.
  • Engellenen e-posta girişimleri— son yedi güne ait teslimden önce engellenen veya gereksiz posta klasörüne teslim edilen e-posta sayısını gösterir.

Güvenlik dayanıklılığını ve duruşu gözden geçirme

Her rapor, kuruluşunuzun belirli bir tehdide karşı ne kadar dayanıklı olduğuna ilişkin bir genel bakış sağlayan grafikler içerir:

  • Güvenli yapılandırma durumu— yanlış yapılandırılmış güvenlik ayarlarına sahip cihaz sayısını gösterir. Tehdidin azaltılmasına yardımcı olması için önerilen güvenlik ayarlarını uygulayın. Cihazlar, izlenen tüm ayarları uyguladıysa Güvenli olarak kabul edilir.
  • Güvenlik açığı düzeltme eki uygulama durumu— güvenlik açığı bulunan cihazların sayısını gösterir. Tehdit tarafından yararlanılan güvenlik açıklarını gidermek için güvenlik güncelleştirmeleri veya düzeltme ekleri uygulayın.

Tehdit etiketleri başına raporları görüntüleme

Tehdit raporu listesini filtreleyebilir ve belirli bir tehdit etiketine (kategori) veya rapor türüne göre en uygun raporları görüntüleyebilirsiniz.

  • Tehdit etiketleri; belirli bir tehdit kategorisine göre en ilgili raporları görüntülemenize yardımcı olabilir. Örneğin, fidye yazılımıyla ilgili tüm raporlar.
  • Rapor türleri: Belirli bir rapor türüne göre en uygun raporları görüntülemenize yardımcı olabilir. Örneğin, araçları ve teknikleri kapsayan tüm raporlar.
  • Filtreler: Tehdit raporu listesini verimli bir şekilde gözden geçirmenize ve görünümü belirli bir tehdit etiketine veya rapor türüne göre filtrelemenize yardımcı olur. Örneğin fidye yazılımı kategorisiyle ilgili tüm tehdit raporlarını veya güvenlik açıklarını kapsayan tehdit raporlarını gözden geçirin.

Nasıl çalışır?

Microsoft Tehdit Bilgileri ekibi, her tehdit raporuna tehdit etiketleri ekledi:

Dört tehdit etiketi kullanıma sunuldu:

  • Fidye yazılımı
  • Kimlik avı
  • Güvenlik açığı
  • Etkinlik grubu

Tehdit etiketleri, tehdit analizi sayfasının en üstünde gösterilir. Her etiketin altında kullanılabilir rapor sayısı için sayaçlar vardır.

Analist raporu: Microsoft güvenlik araştırmacılarından uzman içgörüleri alma

Analist raporu bölümünde ayrıntılı uzman yazısını okuyun. Çoğu rapor, MITRE ATT&CK çerçevesine eşlenen taktikler ve teknikler, kapsamlı öneri listeleri ve güçlü tehdit avcılığı yönergeleri dahil olmak üzere saldırı zincirlerinin ayrıntılı açıklamalarını sağlar.

İlgili olaylar sekmesi izlenen tehditle ilgili tüm olayların listesini sağlar. Olaylar atayabilir veya her olaya bağlı uyarıları yönetebilirsiniz.

Etkilenen varlıklar: Etkilenen cihazların ve posta kutularının listesini alma

Etkin ve çözümlenmemiş bir uyarıdan etkilenen bir varlık etkilenmiş olarak kabul edilir. Etkilenen varlıklar sekmesi aşağıdaki etkilenen varlık türlerini listeler:

  • Etkilenen cihazlar; çözümlenmemiş Uç Nokta için Microsoft Defender uyarıları olan uç noktalar. Bu uyarılar genellikle bilinen tehdit göstergelerini ve etkinliklerini gözlemlerken tetiklenir.

  • Etkilenen posta kutuları: Office 365 için Microsoft Defender uyarılarını tetikleyen e-posta iletileri almış posta kutuları. Uyarıları tetikleyen iletilerin çoğu genellikle engellenmiş olsa da, kullanıcı veya kuruluş düzeyinde ilkeler filtreleri geçersiz kılabilir.

Engellenen e-posta girişimleri: Engellenen veya gereksiz tehdit e-postalarını görüntüleme

Office 365 için Microsoft Defender genellikle kötü amaçlı bağlantılar veya ekler de dahil olmak üzere bilinen tehdit göstergelerine sahip e-postaları engeller. Bazı durumlarda, şüpheli içeriği denetleen proaktif filtreleme mekanizmaları bunun yerine gereksiz posta klasörüne tehdit e-postaları gönderir. Her iki durumda da, tehditin cihazda kötü amaçlı yazılım kodu başlatma olasılığı azalır.

Engellenen e-posta girişimleri sekmesi, teslimden önce engellenen veya Office için Microsoft Defender tarafından gereksiz posta klasörüne gönderilen tüm e-postaları listeler.

Maruz kalma ve azaltmalar: Risk azaltmaların listesini ve cihazlarınızın durumunu gözden geçirin

Pozlama ve risk azaltmalar bölümünde, tehditlere karşı kurumsal dayanıklılığınızı artırmanıza yardımcı olabilecek belirli eyleme dönüştürülebilir önerilerin listesini gözden geçirin. İzlenen azaltmalar listesi şunları içerir:

  • Güvenlik güncelleştirmeleri— eklenen cihazlarda bulunan güvenlik açıkları için desteklenen yazılım güvenlik güncelleştirmelerinin dağıtımı
  • Desteklenen güvenlik yapılandırmaları
    • Bulut tabanlı koruma
    • İstenmeyebilecek uygulama (PUA) koruması
    • Gerçek zamanlı koruma

Bu bölümdeki azaltma bilgileri, rapordaki çeşitli bağlantılardan ayrıntılı detaya gitme bilgileri de sağlayan Tehdit ve Güvenlik Açığı Yönetimi verilerini içerir.

Rapor güncelleştirmeleri için e-posta bildirimlerini ayarlama

Tehdit analizi raporlarında size güncelleştirmeler gönderen e-posta bildirimleri ayarlayabilirsiniz.

Tehdit analizi raporlarına yönelik e-posta bildirimlerini ayarlamak için aşağıdaki adımları uygulayın:

  1. Microsoft Defender XDR kenar çubuğunda Ayarlar'ı seçin. Ayarlar listesinden Microsoft Defender XDR'yi seçin.

  2. E-posta bildirimleri > Tehdit analizi'ni seçin ve + Bildirim kuralı oluştur düğmesini seçin. Açılır öğe görüntülenir.

  3. Açılır listede listelenen adımları izleyin. İlk olarak, yeni kuralınıza bir ad verin. Açıklama alanı isteğe bağlıdır, ancak bir ad gereklidir. Açıklama alanının altındaki onay kutusunu kullanarak kuralı açıp kapatabilirsiniz.

    Not

    Yeni bildirim kuralının ad ve açıklama alanları yalnızca İngilizce harfleri ve sayıları kabul edin. Boşluk, kısa çizgi, alt çizgi veya diğer noktalama işaretlerini kabul etmemektedir.

  4. Hangi tür raporlar hakkında bildirim almak istediğinizi seçin. Yeni yayımlanan veya güncelleştirilen tüm raporlar veya yalnızca belirli bir etiket veya türe sahip olan raporlar hakkında güncelleştirilecek raporlar arasında seçim yapabilirsiniz.

  5. Bildirim e-postalarını almak için en az bir alıcı ekleyin. Bu ekranı, test e-postası göndererek bildirimlerin nasıl alınacağını denetlemek için de kullanabilirsiniz.

  1. Yeni kuralınızı gözden geçirin. Değiştirmek istediğiniz bir şey varsa, her alt bölümün sonundaki Düzenle düğmesini seçin. Gözden geçirme işleminiz tamamlandıktan sonra Kural oluştur düğmesini seçin.

Yeni kuralınız başarıyla oluşturuldu. İşlemi tamamlamak ve açılır öğeyi kapatmak için Bitti düğmesini seçin. Yeni kuralınız artık Tehdit analizi e-posta bildirimleri listesinde görünür.