Güvenlik olaylarını yönetme

  • 8 dakika

Microsoft Defender XDR, tehditleri araştırmak için etki alanları arası bir tehdit bağıntısı ve amaca dayalı portal sağlar. Olaylar, ağınızda kötü amaçlı bir olay veya etkinlik görüldüğünde oluşturulan ilgili uyarıları temel alır. Bireysel uyarılar, devam eden bir saldırı hakkında değerli ipuçları sağlar. Ancak, saldırılar genellikle bir ihlali gerçekleştirmek için çeşitli vektörler ve teknikler uygular. Tek tek ipuçlarının birlikte pastalanması zor ve zaman alabilir.

Bu kısa video, Microsoft Defender XDR'deki olaylara genel bir bakış sağlar.

Olay, bir saldırının hikayesini oluşturan bağıntılı uyarıların koleksiyonudur. Microsoft Defender XDR, ağdaki farklı cihaz, kullanıcı ve posta kutusu varlıklarında bulunan kötü amaçlı ve şüpheli olayları otomatik olarak toplar. İlgili uyarıların bir olay halinde gruplanması, güvenlik savunucularına bir saldırının kapsamlı bir görünümünü sağlar.

Örneğin, güvenlik savunucuları saldırının nereden başladığını, hangi taktiklerin kullanıldığını ve saldırının ağa ne kadar gittiğini görebilir. Güvenlik savunucuları saldırının kapsamını da görebilir. Kaç cihazın, kullanıcının ve posta kutusunun etkilendiği, etkinin ne kadar ciddi olduğu ve etkilenen varlıklar hakkındaki diğer ayrıntılar gibi.

Etkinleştirilirse, Microsoft Defender XDR otomasyon ve yapay zeka aracılığıyla uyarıları otomatik olarak araştırabilir ve çözebilir. Güvenlik savunucuları, saldırıyı doğrudan olaylar görünümünden çözmek için daha fazla düzeltme adımı da gerçekleştirebilir.

Son 30 güne ait olaylar olay kuyruğunda gösterilir. Burada güvenlik savunucuları, risk düzeyine ve diğer faktörlere göre hangi olaylara öncelik verilmesi gerektiğini görebilir.

Güvenlik savunucuları daha iyi ve daha özelleştirilmiş bir olay yönetimi deneyimi için olayları yeniden adlandırabilir, bunları tek tek analistlere atayabilir, sınıflandırabilir ve olaylara etiketler ekleyebilir.

Olaylara öncelik belirleme

Microsoft Defender XDR bağıntı analizi uygular ve farklı ürünlerden gelen tüm ilgili uyarıları ve araştırmaları tek bir olayda toplar. Microsoft Defender XDR ayrıca, Microsoft Defender XDR'nin tüm varlık ve ürün paketinde sahip olduğu uçtan uca görünürlük göz önünde bulundurulduğunda yalnızca kötü amaçlı olarak tanımlanabilen etkinliklerle ilgili benzersiz uyarılar tetikler. Bu görünüm, güvenlik operasyonları analistinize kuruluş genelindeki karmaşık tehditleri daha iyi anlamalarına ve ele vermelerine yardımcı olan daha geniş bir saldırı hikayesi sunar.

Olaylar kuyruğu cihazlar, kullanıcılar ve posta kutuları arasında bayrak eklenmiş olayların bir koleksiyonunu gösterir. Bilinçli bir siber güvenlik yanıtı kararını önceliklendirmek ve oluşturmak için olayları sıralamanıza yardımcı olur.

Screen shot of the Microsoft Defender XDR Incident Queue.

Varsayılan olarak, Microsoft Defender portalındaki kuyrukta son 30 gün içinde görülen olaylar görüntülenir. En son olay listenin en üstündedir, böylece önce siz görebilirsiniz.

Olay kuyruğu, olayın veya kapsanan varlıkların farklı özelliklerine görünürlük sağlayan özelleştirilebilir sütunları kullanıma sunar. Bu daha derin bilgi katmanı, ilgilenilmesi gereken olayların önceliklendirilmesiyle ilgili bilinçli bir karar vermenize yardımcı olur.

Bir bakışta daha netlik sağlamak için otomatik olay adlandırma, etkilenen uç nokta sayısı, etkilenen kullanıcılar, algılama kaynakları veya kategoriler gibi uyarı özniteliklerine göre olay adları oluşturur. Otomatik adlandırma, olayın kapsamını hızlı bir şekilde anlamanıza olanak tanır.

Kullanılabilir filtreler

Durum

Hangilerinin etkin veya çözümlenmiş olduğunu görmek için durumlarına göre gösterilen olayların listesini sınırlamayı seçebilirsiniz.

Önem Derecesi

Bir olayın önem derecesi, varlıklarınız üzerindeki etkisini gösterir. Önem derecesi ne kadar yüksekse, etki o kadar büyük olur ve genellikle en acil dikkati gerektirir.

Olay ataması

Size atanan uyarıları veya otomasyon tarafından işlenen uyarıları göstermeyi seçebilirsiniz.

Birden çok hizmet kaynağı

Etkinleştirmek için Hayır (varsayılan) veya evet'i seçin.

Hizmet kaynakları

Yalnızca farklı kaynaklardan gelen uyarıları içeren olayları görmek için filtreleyin. Kaynaklar şunlardır: Uç Nokta için Microsoft Defender, Microsoft Bulut Uygulamaları Güvenliği, Kimlik için Microsoft Defender, Office 365 için Microsoft Defender.

Etiketler

Atanan etiketlere göre filtreleyin. Etiket adı yazın alanını seçtiğinizde atanan etiketler görüntülenir.

Birden çok kategori

Yalnızca birden çok kategoriye eşlenmiş olan ve bu nedenle daha fazla hasara neden olabilecek olayları görmeyi seçebilirsiniz.

Kategoriler

Belirli taktiklere, tekniklere veya görülen saldırı bileşenlerine odaklanmak için kategorileri seçin.

Varlıklar

Varlık adına veya kimliğine göre filtreleyin.

Veri duyarlılığı

Bazı saldırılar, hassas veya değerli verileri dışarı çekmek için hedeflemeye odaklanır. Olaya hassas verilerin dahil olup olmadığını görmek için bir filtre uygulayarak hassas bilgilerin gizliliğinin tehlikeye atılıp aşılmadığını hızla belirleyebilirsiniz. Bir risk tespit edilirse bu olaylara verilen yanıtın önceliğini de ayarlayabilirsiniz. Bu filtreleme özelliği yalnızca Microsoft Purview Bilgi Koruması açıksa geçerlidir.

Cihaz grubu

Tanımlanan cihaz gruplarına göre filtreleyin.

İşletim sistemi platformu

Olay kuyruğu görünümünü işletim sistemine göre sınırlayın.

Sınıflandırma

İlgili uyarıların ayarlanan sınıflandırmalarına göre olayları filtreleyin. Değerler doğru uyarılar, yanlış uyarılar veya ayarlanmadı değerlerini içerir.

Otomatik Araştırma durumu

Olayları otomatik araştırmanın durumuna göre filtreleyin.

İlişkili Tehdit

İlişkili tehdit türünü seçin, tehdit bilgilerini girmenize ve önceki arama ölçütlerini getirmenize olanak sağlar.

Olayları önizleme

Portal sayfaları, listeyle ilgili verilerin çoğu için önizleme bilgileri sağlar.

Bu ekran görüntüsünde vurgulanan üç alan daire, büyüktür simgesi ve gerçek bağlantıdır.

Screen shot of Incident Preview information options.

Daire

Daire seçildiğinde, sayfanın sağ tarafında, bilgi sayfasının tamamını açma seçeneğiyle birlikte satır öğesinin önizlemesini içeren bir ayrıntılar penceresi açılır.

Screen shot of Incidents details window.

Büyüktür simgesi

Görüntülenebilen ilgili kayıtlar varsa, büyüktür işareti seçildiğinde geçerli kaydın altındaki kayıtlar görüntülenir.

Screen shot of Related Incident records.

Bağlantı

Bağlantı, satır öğesinin tam sayfasına gider.

Güvenlik olaylarını yönetme

Olayların yönetilmesi, tehditlerin kapsanmasını ve ele alınmasını sağlama açısından kritik öneme sahiptir. Microsoft Defender XDR'de cihazlarda, kullanıcılarda ve posta kutularında olayları yönetme erişiminiz vardır. Olaylar kuyruğundan bir olay seçerek olayları yönetebilirsiniz.

Bir olayın adını düzenleyebilir, çözümleyebilir, sınıflandırmasını ve belirlemesini ayarlayabilirsiniz. Ayrıca olayı kendinize atayabilir, olay etiketleri ve açıklamalar ekleyebilirsiniz.

Uyarıları bir olaydan diğerine taşımak istediğiniz durumlarda, araştırma sırasında Uyarılar sekmesinden de bunu yapabilirsiniz. Uyarılar sekmesini kullanmak, tüm ilgili uyarıları içeren daha büyük veya daha küçük bir olay oluşturmanıza olanak tanır.

Olay adını düzenle

Olaylara, etkilenen uç nokta sayısı, etkilenen kullanıcılar, algılama kaynakları veya kategoriler gibi uyarı özniteliklerine göre otomatik olarak bir ad atanır. Uyarı özniteliklerine göre adlandırma, olayın kapsamını hızlı bir şekilde anlamanıza olanak tanır. Olay adını tercih ettiğiniz adlandırma kuralıyla daha iyi uyumlu olacak şekilde değiştirebilirsiniz.

Olayları atama

Henüz bir olay atanmamışsa, olayı kendinize atamak için Bana ata'yı seçebilirsiniz. Bunu yaptığınızda yalnızca olayın değil, onunla ilişkili tüm uyarıların da sahipliği varsayılır.

Durumu ve sınıflandırmayı ayarlama

Olay durumu

Araştırmanız ilerledikçe durumlarını değiştirerek olayları (Etkin veya Çözüldü olarak) kategorilere ayırabilirsiniz. Bu durum güncelleştirme özelliği, ekibinizin olaylara nasıl yanıt verebileceğini düzenlemenize ve yönetmenize yardımcı olur.

Örneğin, SOC analistiniz günün acil Etkin olaylarını gözden geçirebilir ve bunları araştırma için kendilerine atamaya karar verebilir.

Alternatif olarak, olay düzeltildiyse SOC analistiniz olayı Çözüldü olarak ayarlayabilir. Bir olayı çözmek, olayın parçası olan tüm açık uyarıları otomatik olarak kapatır.

Sınıflandırma ve belirleme

Sınıflandırma ayarlamamayı seçebilir veya bir olayın doğru uyarı mı yoksa yanlış uyarı mı olduğunu belirtmeye karar vekleyebilirsiniz. Bunu yapmak, ekibin desenleri görmesine ve onlardan öğrenmesine yardımcı olur.

Yorum ekleme

Bir olayda yapılan önceki değişiklikleri görmek için açıklamalar ekleyebilir ve olayla ilgili geçmiş olayları görüntüleyebilirsiniz.

Bir uyarıda her değişiklik veya açıklama yapıldığında, bu değişiklik Açıklamalar ve geçmiş bölümüne kaydedilir.

Eklenen açıklamalar bölmede anında görünür.

Olay etiketleri ekleme

Bir olaya, örneğin ortak özelliklere sahip bir olay grubuna bayrak eklemek için özel etiketler ekleyebilirsiniz. Daha sonra belirli bir etiket içeren tüm olaylar için olay kuyruğuna filtreleyebilirsiniz.