Tehdit analizi raporları oluşturma

  • 6 dakika

Güvenlik uyarılarını önceliklendirmek ve araştırmak, en yetenekli güvenlik analistleri için bile zaman alabilir. Çoğu kişi için nereden başlayacağını bilmek zordur.

Bulut için Defender, bilgileri farklı güvenlik uyarıları arasında bağlamak için analiz kullanır. Bulut için Defender bu bağlantıları kullanarak, saldırganın eylemlerini ve etkilenen kaynakları anlamanıza yardımcı olmak için bir saldırı kampanyasının ve ilgili uyarıların tek bir görünümünü sağlayabilir.

Olaylar Güvenlik uyarıları sayfasında görünür. İlgili uyarıları görüntülemek ve daha fazla bilgi almak için bir olay seçin.

Bulut için Defender genel bakış sayfasında Güvenlik uyarıları kutucuğunu seçin. Olaylar ve uyarılar listelenir. Güvenlik olaylarının güvenlik uyarıları için farklı bir simgesi olduğuna dikkat edin.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Ayrıntıları görüntülemek için bir olay seçin. Güvenlik olayı sayfasında daha fazla ayrıntı gösterilir.

Screenshot of Defender for Cloud Security Alert Incident details.

Güvenlik olayı sayfasının sol bölmesinde güvenlik olayı hakkında üst düzey bilgiler gösterilir: başlık, önem derecesi, durum, etkinlik süresi, açıklama ve etkilenen kaynak. Etkilenen kaynağın yanında ilgili Azure etiketlerini görebilirsiniz. Uyarıyı araştırırken kaynağın kuruluş bağlamını çıkarsamak için bu etiketleri kullanın.

Sağ bölme, bu olayın bir parçası olarak ilişkili güvenlik uyarılarının bulunduğu Uyarılar sekmesini içerir.

Eylem yap sekmesine geçmek için, sağ bölmenin altındaki sekmeyi veya düğmeyi seçin. Aşağıdakiler gibi başka eylemler yapmak için bu sekmeyi kullanın:

  • Tehdidi azaltma - bu güvenlik olayı için el ile düzeltme adımları sağlar

  • Gelecekteki saldırıları önleme - Saldırı yüzeyini azaltmaya, güvenlik duruşunu artırmaya ve gelecekteki saldırıları önlemeye yardımcı olmak için güvenlik önerileri sağlar

  • Otomatik yanıtı tetikleme - Bu güvenlik olayına yanıt olarak bir Mantıksal Uygulamayı tetikleme seçeneği sağlar

  • Benzer uyarıları gizleme - Uyarı kuruluşunuz için uygun değilse benzer özelliklere sahip gelecek uyarıları gizleme seçeneği sağlar

Olaydaki tehditleri düzeltmek için her uyarıda sağlanan düzeltme adımlarını izleyin.

Tehdit analizi raporları oluşturma

Bulut için Defender tehdit koruması, Azure kaynaklarınızdan, ağınızdan ve bağlı iş ortağı çözümlerinden güvenlik bilgilerini izleyerek çalışır. Tehditleri belirlemek amacıyla bu bilgileri genellikle birden fazla kaynaktan bilgileri ilişkilendirerek analiz eder.

Bulut için Defender bir tehdit tanımladığında, düzeltme önerileri de dahil olmak üzere olayla ilgili ayrıntılı bilgileri içeren bir güvenlik uyarısı tetikler. Bulut için Defender, olay yanıtı ekiplerinin tehditleri araştırmasına ve düzeltmesine yardımcı olmak için algılanan tehditler hakkında bilgi içeren tehdit bilgileri raporları sağlar. Rapor aşağıdaki gibi bilgiler içerir:

  • Saldırganların kimliği veya bağlantıları (bu konuda bilgi varsa)

  • Saldırganların hedefleri

  • Güncel ve geçmiş saldırı kampanyaları (bu konuda bilgi varsa)

  • Saldırganların taktikleri, araçları ve yordamları

  • URL’ler ve dosya karmaları gibi ilgili tehlike göstergeleri (IoC)

  • Azure kaynaklarınızın risk altında olup olmadığını belirlemenize yardımcı olmak için sektörel ve coğrafi yaygınlık bilgisi olan mağdur bilimi

  • Azaltma ve düzeltme bilgileri

Bulut için Defender, saldırılara göre farklılık gösterebilen üç tür tehdit raporuna sahiptir. Raporlar şunlardır:

  • Etkinlik Grubu Raporu: Saldırganlara, hedeflerine ve taktiklerine derinlemesine bakış sağlar.

  • Kampanya Raporu: Belirli saldırı kampanyaların ayrıntılarına odaklanır.

  • Tehdit Özeti Raporu: Yukarıdaki iki raporun tüm maddelerini kapsar.

Bu tür bilgiler, saldırının kaynağını, saldırganın motivasyonlarını ve gelecekte bu sorunu hafifletmek için yapılması gerekenleri anlamak için devam eden bir araştırmanın olduğu olay yanıtı sürecinde yararlıdır.

Tehdit bilgileri raporuna erişmek için

Raporu oluşturmak için:

Bulut için Defender kenar çubuğundan Güvenlik uyarıları sayfasını açın.

Bir uyarı seçin. Uyarı ayrıntıları sayfası açılır ve uyarı hakkında daha fazla ayrıntı görüntülenir. Fidye yazılımı göstergeleri algılanan uyarı ayrıntıları sayfası aşağıdadır.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Raporun bağlantısını seçtiğinizde varsayılan tarayıcınızda bir PDF açılır.