Gelişmiş avcılığı keşfedin
Gelişmiş tehdit avcılığı, 30 güne kadar ham verileri keşfetmenizi sağlayan sorgu tabanlı bir tehdit avcılığı aracıdır. Tehdit göstergelerini ve varlıkları bulmak için ağınızdaki olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avcılık sağlar.
Özel algılama kuralları oluşturmak için aynı tehdit avcılığı sorgularını kullanabilirsiniz. Bu kurallar, şüpheli ihlal etkinliğini, yanlış yapılandırılmış makineleri ve diğer bulguları denetlemek ve yanıtlamak için otomatik olarak çalışır. Gelişmiş tehdit avcılığı özelliği, aşağıdakilerden daha geniş bir veri kümesini denetleen sorguları destekler:
Uç nokta için Microsoft Defender
Office 365 için Microsoft Defender
Microsoft Defender for Cloud Apps
Kimlik için Microsoft Defender
Gelişmiş avcılığı kullanmak için Microsoft Defender XDR'yi açın.
Veri tazeliği ve güncelleştirme sıklığı
Gelişmiş tehdit avcılığı verileri, her biri farklı şekilde birleştirilmiş iki ayrı türe kategorilere ayırılabilir.
Olay veya etkinlik verileri; uyarılar, güvenlik olayları, sistem olayları ve rutin değerlendirmeler hakkındaki tabloları doldurur. Gelişmiş tehdit avcılığı, bu verileri toplayan algılayıcılar tarafından başarıyla ilgili bulut hizmetlerine iletildikten hemen sonra alır. Örneğin, Uç Nokta için Microsoft Defender ve Kimlik için Microsoft Defender kullanılabilir hale geldikten hemen sonra iş istasyonlarındaki veya etki alanı denetleyicilerindeki iyi durumdaki algılayıcılardan olay verilerini sorgulayabilirsiniz.
Varlık verileri; tabloları kullanıcılar ve cihazlar hakkındaki bilgilerle doldurur. Bu veriler hem nispeten statik veri kaynaklarından hem de Active Directory girdileri ve olay günlükleri gibi dinamik kaynaklardan gelir. Yeni veriler sağlamak için, tablolar her 15 dakikada bir yeni bilgilerle güncelleştirilir ve tam olarak doldurulmamış olabilecek satırlar eklenir. Her 24 saatte bir veriler, her varlıkla ilgili en son ve en kapsamlı veri kümesini içeren bir kayıt eklemek için bir araya gelir.
Time zone
Gelişmiş avcılıkta saat bilgileri UTC bölgesindedir.
Veri şeması
Gelişmiş tehdit avcılığı şeması, olay bilgilerini veya cihazlar, uyarılar, kimlikler ve diğer varlık türleri hakkında bilgi sağlayan birden çok tablodan oluşur. Birden çok tabloya yayılan sorguları etkili bir şekilde oluşturmak için gelişmiş tehdit avcılığı şemasındaki tabloları ve sütunları anlamanız gerekir.
Şema bilgilerini alma
Sorgu oluştururken, şemadaki her tablo hakkında hızla aşağıdaki bilgileri almak için yerleşik şema başvurularını kullanın:
Tablo açıklaması: tabloda yer alan verilerin türü ve bu verilerin kaynağı.
Sütunlar— tablodaki tüm sütunlar.
Eylem türleri— tablonun desteklediği olay türlerini temsil eden ActionType sütunundaki olası değerler. Bu bilgiler yalnızca olay bilgilerini içeren tablolar için sağlanır.
Örnek sorgu; tablonun nasıl kullanılabilmesini sağlayan örnek sorgular.
Şema başvurusuna erişme
Şema başvurusuna hızla erişmek için şema gösteriminde tablo adının yanındaki Başvuruyu görüntüle eylemini seçin. Tablo aramak için Şema başvurusu'nu da seçebilirsiniz.
Şema tablolarını öğrenme
Aşağıdaki başvuru şemadaki tüm tabloları listeler. Her tablo adı, o tablonun sütun adlarını açıklayan bir sayfaya bağlanır. Tablo ve sütun adları, gelişmiş tehdit avcılığı ekranındaki şema gösteriminin bir parçası olarak güvenlik merkezinde de listelenir.
Tablo adı | Açıklama |
---|---|
AlertEvidence | Uyarılarla ilişkili dosyalar, IP adresleri, URL'ler, kullanıcılar veya cihazlar |
AlertInfo | Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender, Microsoft Bulut Uygulamaları Güvenliği ve Kimlik için Microsoft Defender uyarıları, önem derecesi bilgileri ve tehdit kategorisi dahil |
CloudAppEvents | Office 365'teki hesaplar ve nesneler ile diğer bulut uygulamaları ve hizmetleriyle ilgili olaylar |
DeviceEvents | Windows Defender Virüsten Koruma ve açıklardan yararlanma koruması gibi güvenlik denetimleri tarafından tetiklenen olaylar da dahil olmak üzere birden çok olay türü |
DeviceFileCertificateInfo | Uç noktalarda sertifika doğrulama olaylarından alınan imzalı dosyaların sertifika bilgileri |
DeviceFileEvents | Dosya oluşturma, değiştirme ve diğer dosya sistemi olayları |
DeviceImageLoadEvents | DLL yükleme olayları |
Deviceınfo | İşletim sistemi bilgileri de dahil olmak üzere makine bilgileri |
DeviceLogonEvents | Cihazlarda oturum açma işlemleri ve diğer kimlik doğrulama olayları |
DeviceNetworkEvents | Ağ bağlantısı ve ilgili olaylar |
DeviceNetworkInfo | Fiziksel bağdaştırıcılar, IP ve MAC adreslerinin yanı sıra bağlı ağlar ve etki alanları da dahil olmak üzere cihazların ağ özellikleri |
DeviceProcessEvents | İşlem oluşturma ve ilgili olaylar |
DeviceRegistryEvents | Kayıt defteri girdilerini oluşturma ve değiştirme |
DeviceTvmSecureConfigurationAssessment | Cihazlardaki çeşitli güvenlik yapılandırmalarının durumunu gösteren Tehdit ve Güvenlik Açığı Yönetimi değerlendirme olayları |
DeviceTvmSecureConfigurationAssessmentKB | Tehdit ve Güvenlik Açığı Yönetimi tarafından cihazları değerlendirmek için kullanılan çeşitli güvenlik yapılandırmalarının bilgi bankası; çeşitli standartlara ve karşılaştırmalara eşlemeler içerir |
DeviceTvmSoftwareInventory | Sürüm bilgileri ve destek sonu durumu dahil olmak üzere cihazlarda yüklü yazılımların envanteri |
DeviceTvmSoftwareVulnerabilities | Cihazlarda bulunan yazılım güvenlik açıkları ve her güvenlik açığını gideren kullanılabilir güvenlik güncelleştirmelerinin listesi |
DeviceTvmSoftwareVulnerabilitiesKB | Açıklardan yararlanma kodunun genel kullanıma açık olup olmadığı da dahil olmak üzere genel olarak açıklanmış güvenlik açıklarına ilişkin bilgi bankası |
EmailAttachmentInfo | E-postalara eklenen dosyalar hakkında bilgi |
EmailEvents | E-posta teslimi ve engelleme olayları da dahil olmak üzere Microsoft 365 e-posta olayları |
EmailPostDeliveryEvents | Microsoft 365 e-postaları alıcı posta kutusuna teslim ettikten sonra teslim sonrasında gerçekleşen güvenlik olayları |
EmailUrlInfo | E-postalardaki URL'ler hakkında bilgi |
IdentityDirectoryEvents | Active Directory (AD) çalıştıran bir şirket içi etki alanı denetleyicisini içeren olaylar. Bu tablo, etki alanı denetleyicisinde kimlikle ilgili olaylar ve sistem olayları aralığını kapsar. |
IdentityInfo | Microsoft Entra Id dahil olmak üzere çeşitli kaynaklardan gelen hesap bilgileri |
IdentityLogonEvents | Active Directory ve Microsoft çevrimiçi hizmetler kimlik doğrulama olayları |
IdentityQueryEvents | Kullanıcılar, gruplar, cihazlar ve etki alanları gibi Active Directory nesneleri için sorgular |
Özel algılamalar
Özel algılamalarla, şüpheli ihlal etkinliği ve yanlış yapılandırılmış uç noktalar dahil olmak üzere çeşitli olayları ve sistem durumlarını proaktif olarak izleyebilir ve yanıtlayabilirsiniz. Bu, uyarıları ve yanıt eylemlerini otomatik olarak tetikleyen özelleştirilebilir algılama kurallarıyla mümkün hale gelir.
Özel algılamalar, ağınızdan çok çeşitli olay ve sistem bilgilerini kapsayan güçlü, esnek bir sorgu dili sağlayan gelişmiş tehdit avcılığı ile çalışır. Bunları düzenli aralıklarla çalışacak şekilde ayarlayabilir, uyarılar oluşturabilir ve eşleşme olduğunda yanıt eylemleri gerçekleştirebilirsiniz.
Özel algılamalar şu bilgileri sağlar:
Gelişmiş tehdit avcılığı sorgularından oluşturulan kural tabanlı algılamalar için uyarılar
Dosyalara ve cihazlara uygulanan otomatik yanıt eylemleri
Algılama kuralları oluşturma
Algılama kuralları oluşturmak için:
1. Sorguyu hazırlayın.
Microsoft Defender Güvenlik Merkezi Gelişmiş tehdit avcılığı'na gidin ve var olan bir sorguyu seçin veya yeni bir sorgu oluşturun. Yeni bir sorgu kullanırken, hataları tanımlamak ve olası sonuçları anlamak için sorguyu çalıştırın.
Önemli
Hizmetin çok fazla uyarı döndürmesini önlemek için, her kural her çalıştırıldığında yalnızca 100 uyarı oluşturmakla sınırlıdır. Kural oluşturmadan önce, normal, günlük etkinlik uyarılarını önlemek için sorgunuzu düzenleyin.
Özel algılama kuralında sorgu kullanmak için sorgunun aşağıdaki sütunları döndürmesi gerekir:
Zaman damgası
DeviceId
ReportId
Sonuçları özelleştirmek veya toplamak için proje veya özet işleci kullanmayanlar gibi basit sorgular genellikle bu ortak sütunları döndürür.
Daha karmaşık sorguların bu sütunları döndürmesini sağlamanın çeşitli yolları vardır. Örneğin, DeviceId'ye göre toplamayı ve sayma işlemini tercih ederseniz, bunları her cihazla ilgili en son olaydan alarak Timestamp ve ReportId döndürebilirsiniz.
Aşağıdaki örnek sorgu, virüsten koruma algılamaları olan benzersiz cihazların (DeviceId) sayısını sayar ve bunu yalnızca beşten fazla algılaması olan cihazları bulmak için kullanır. En son Timestamp ve karşılık gelen ReportId değerini döndürmek için arg_max işleviyle summarize işlecini kullanır.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Yeni bir kural oluşturun ve uyarı ayrıntılarını sağlayın.
Sorgu düzenleyicisindeki sorguyla Algılama kuralı oluştur'u seçin ve aşağıdaki uyarı ayrıntılarını belirtin:
Algılama adı— algılama kuralının adı
Sıklık— sorguyu çalıştırma ve eylem gerçekleştirme aralığı. Aşağıdaki ek yönergelere bakın
Uyarı başlığı— kural tarafından tetiklenen uyarılarla görüntülenen başlık
Önem derecesi: Kural tarafından tanımlanan bileşenin veya etkinliğin olası riski.
Kategori— varsa tehdit bileşeni veya etkinliği türü.
MITRE ATT&CK teknikleri; kural tarafından MITRE ATT&CK çerçevesinde belgelendiği şekilde tanımlanan bir veya daha fazla saldırı tekniği. Bu bölüm kötü amaçlı yazılım, fidye yazılımı, şüpheli etkinlik ve istenmeyen yazılım gibi belirli uyarı kategorilerinde kullanılamaz
Açıklama— kural tarafından tanımlanan bileşen veya etkinlik hakkında daha fazla bilgi
Önerilen eylemler: Yanıtlayanların uyarıya yanıt olarak gerçekleştirebileceği ek eylemler
3. Kural sıklığı
Yeni bir özel algılama kuralı kaydedildiğinde hemen çalıştırılır ve son 30 günlük verilerin eşleşmelerini denetler. Kural daha sonra, seçtiğiniz sıklık temelinde sabit aralıklarla ve geri arama sürelerinde yeniden çalışır:
Her 24 saatte bir— 24 saatte bir çalışır ve son 30 güne ait verileri denetler
Her 12 saatte bir— 12 saatte bir çalışır ve son 48 saatteki verileri denetler
Her 3 saatte bir— 3 saatte bir çalışır ve son 12 saatteki verileri denetler
Saatte bir— son 4 saatteki verileri denetleerek saatlik olarak çalışır
Sürekli (NRT)—sürekli çalışır ve gerçek zamanlıya yakın (NRT) olarak toplanan ve işlenen olaylardaki verileri denetler
Algılamaları ne kadar yakından izlemek istediğinizle eşleşen sıklığı seçin ve kuruluşunuzun uyarılara yanıt verme kapasitesini göz önünde bulundurun.
Not
Özel algılamayı Sürekli (NRT) sıklıkta çalışacak şekilde ayarlamak, kuruluşunuzun tehditleri daha hızlı tanımlama becerisini artırmanıza olanak tanır.
4. Etkilenen varlıkları seçin.
Sorgu sonuçlarınızda, etkilenen veya etkilenen ana varlığı bulmayı beklediğiniz sütunları belirleyin. Örneğin, bir sorgu hem cihaz hem de kullanıcı kimlikleri döndürebilir. Bu sütunlardan hangisinin en çok etkilenen varlığı temsil ettiği belirlenerek hizmet ilgili uyarıları toplamaya, olayları ilişkilendirmeye ve hedef yanıt eylemlerini toplamaya yardımcı olur.
Her varlık türü için yalnızca bir sütun seçebilirsiniz. Sorgunuz tarafından döndürülmedi sütunlar seçilemiyor.
5. Eylemleri belirtin.
Özel algılama kuralınız, sorgu tarafından döndürülen dosyalar veya cihazlarda otomatik olarak eylemler gerçekleştirebilir.
Cihazlardaki eylemler
Bu eylemler, sorgu sonuçlarının DeviceId sütunundaki cihazlara uygulanır:
Cihazı yalıtma: Tam ağ yalıtımı uygulayarak uç nokta için Defender hizmeti dışında cihazın herhangi bir uygulama veya hizmete bağlanmasını engeller.
Araştırma paketi toplama— ZIP dosyasında cihaz bilgilerini toplar.
Virüsten koruma taraması çalıştırma—cihazda tam Microsoft Defender Virüsten Koruma taraması gerçekleştirir
Araştırma başlatma—cihazda otomatik bir araştırma başlatır
Dosyalardaki eylemler
Bu eylemler sorgu sonuçlarının SHA1 veya InitiatingProcessSHA1 sütunundaki dosyalara uygulanır:
İzin Ver/Engelle— dosyayı otomatik olarak özel gösterge listenize ekler, böylece her zaman çalışmasına izin verilir veya çalıştırılması engellenir. Bu eylemin kapsamını yalnızca seçili cihaz gruplarında gerçekleştirilecek şekilde ayarlayabilirsiniz. Bu kapsam kuralın kapsamından bağımsızdır.
Karantina dosyası— dosyayı geçerli konumundan siler ve bir kopyasını karantinaya alır
6. Kural kapsamını ayarlayın.
Kuralın kapsamına hangi cihazların ekleneceğini belirtmek için kapsamı ayarlayın:
Tüm cihazlar
Belirli cihaz grupları
Yalnızca kapsamdaki cihazlardan veriler sorgulanır. Ayrıca, eylemler yalnızca bu cihazlarda gerçekleştirilecektir.
7. Kuralı gözden geçirin ve açın.
Kuralı gözden geçirdikten sonra, kaydetmek için Oluştur'u seçin. Özel algılama kuralı hemen çalışır. Eşleşmeleri denetlemek, uyarılar oluşturmak ve yanıt eylemleri yapmak için yapılandırılmış sıklık temelinde yeniden çalışır.