Tehdit koruma ilkeleri
Bulut için Defender Uygulamaları yüksek riskli kullanım ve bulut güvenliği sorunlarını belirlemenize, anormal kullanıcı davranışlarını algılamanıza ve tasdikli bulut uygulamalarınızdaki tehditleri önlemenize olanak tanır. Kullanıcı ve yönetici etkinlikleriyle ilgili görünürlük elde edin ve şüpheli davranışlar veya riskli olduğunu düşündüğünüz belirli etkinlikler algılandığında otomatik olarak uyarı almak için ilkeler tanımlayın. Tasdikli uygulamalarınızın ihtiyacınız olan tüm güvenlik denetimlerine sahip olduğundan emin olmak ve bunlar üzerinde denetim sahibi olmanıza yardımcı olmak için çok büyük miktarda Microsoft tehdit bilgileri ve güvenlik araştırması verisinden çizim yapın.
Not
Bulut için Defender Uygulamaları Kimlik için Microsoft Defender ile tümleştirildiğinde, kimlik için Defender ilkeleri ilkeler sayfasında da görünür. Kimlik için Defender ilkelerinin listesi için bkz . Güvenlik Uyarıları.
Tanıdık olmayan konumlardan kullanıcı etkinliğini algılama ve denetleme
Kuruluşunuzdaki başka hiç kimse tarafından ziyaret edilmeyen tanıdık olmayan konumlardan kullanıcı erişiminin veya etkinliğinin otomatik olarak algılanması.
Önkoşullar
Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Bu algılama, yeni konumlardan erişim olduğunda sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
Güvenliği aşılmış hesabı imkansız konuma göre algılama (imkansız seyahat)
İki farklı konumdan gelen kullanıcı erişiminin veya etkinliğinin, ikisi arasında geçen süreden daha kısa bir süre içinde otomatik olarak algılanması.
Önkoşullar
Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Bu algılama, imkansız konumlardan erişim olduğunda sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
İsteğe bağlı: Anomali algılama ilkelerini özelleştirebilirsiniz:
Algılama kapsamını kullanıcılar ve gruplar açısından özelleştirme
Dikkate alınacak oturum açma türlerini seçin
Uyarı için duyarlılık tercihinizi ayarlama
Anomali algılama ilkesini oluşturun.
Bir "izinli" çalışandan şüpheli etkinliği algılama
Ücretsiz izinde olan ve hiçbir kuruluş kaynağında etkin olmaması gereken bir kullanıcının kuruluşunuzun bulut kaynaklarına ne zaman eriştiğini algılayın.
Önkoşullar
Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.
Ücretsiz izindeki kullanıcılar için Microsoft Entra Id'de bir güvenlik grubu oluşturun ve izlemek istediğiniz tüm kullanıcıları ekleyin.
Adımlar
Kullanıcı grupları ekranında Kullanıcı grubu oluştur'u seçin ve ilgili Microsoft Entra grubunu içeri aktarın.
Microsoft Defender Portalı'nda, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.
Ücretsiz izin kullanıcıları için Kullanıcı grubu, Microsoft Entra Id'de oluşturduğunuz kullanıcı gruplarının adına eşit filtresini ayarlayın.
İsteğe bağlı: İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir. Kullanıcıyı askıya al'ı seçebilirsiniz.
Dosya ilkesini oluşturun.
Eski tarayıcı işletim sistemi kullanıldığında algılama ve bildirme
Bir kullanıcının kuruluşunuz için uyumluluk veya güvenlik riskleri oluşturabilecek güncel olmayan istemci sürümüne sahip bir tarayıcı kullandığını algılama.
Önkoşullar
Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Microsoft Defender Portalı'nda, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.
Kullanıcı aracısı etiketi eski tarayıcıyave Eski işletim sistemine eşit filtresini ayarlayın.
İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir. Kullanıcılarınızın uyarı üzerinde işlem yapıp gerekli bileşenleri güncelleştirebilmesi için Tüm uygulamalar'ın altında Kullanıcıya bildir'i seçin.
Etkinlik ilkesini oluşturun.
Riskli IP adreslerinde Yönetici etkinliği algılandığında algılama ve uyarı verme
Riskli BIR IP adresi olarak kabul edilen ve ip adresinden gerçekleştirilen yönetici etkinliklerini algılayın ve daha fazla araştırma için sistem yöneticisine bildirin veya yöneticinin hesabında bir idare eylemi ayarlayın.
Önkoşullar
Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.
Ayarlar dişlisinden IP adresi aralıkları'nı seçin ve + simgesini seçerek iç alt ağlarınız ve bunların çıkış genel IP adresleri için IP adresi aralıkları ekleyin. Kategori'yi İç olarak ayarlayın.
Adımlar
Microsoft Defender Portalı'nda, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.
Act on değerini Tek etkinlik olarak ayarlayın.
Filtre IP adresini Kategori eşittir Riskli olarak ayarlayın
Filtre Yönetici istrative etkinliğini True olarak ayarlayın
İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir. Tüm uygulamalar'ın altında Kullanıcıya bildir'i seçerek kullanıcılarınızın uyarı üzerinde işlem yapmalarını ve gerekli bileşenleri güncelleştirmelerini sağlayın. Kullanıcının yöneticisini bilgilendirin.
Etkinlik ilkesini oluşturun.
Dış IP adreslerinden hizmet hesabına göre etkinlikleri algılama
İç olmayan IP adreslerinden kaynaklanan hizmet hesabı etkinliklerini algılayın. Bu, şüpheli davranışı veya güvenliği aşılmış bir hesabı gösterebilir.
Önkoşullar
Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.
Ayarlar dişlisinden IP adresi aralıkları'nı seçin ve + simgesini seçerek iç alt ağlarınız ve bunların çıkış genel IP adresleri için IP adresi aralıkları ekleyin. Kategori'yi İç olarak ayarlayın.
Ortamınızdaki hizmet hesapları için adlandırma kurallarını standart hale getirmek; örneğin, tüm hesap adlarını "svc" ile başlayacak şekilde ayarlayın.
Adımlar
Microsoft Defender Portalı'nda, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.
Kullanıcı filtresini Ad olarak ayarlayın ve ardından Şununla başlar'ı seçin ve svc gibi adlandırma kuralınızı girin.
Filtre IP adresiniKategori diğer ve şirkete eşit değil olarak ayarlayın.
İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir.
İlkeyi oluşturun.
Toplu indirmeyi algılama (veri sızdırma)
Belirli bir kullanıcının kısa bir süre içinde çok sayıda dosyaya eriştiğinde veya indirdiğinde algılama.
Önkoşullar
Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Microsoft Defender Portalı'nda, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.
Filtre IP adreslerini Etiket microsoft Azure'a eşit değil olarak ayarlayın. Bu, etkileşimli olmayan cihaz tabanlı etkinlikleri dışlar.
Etkinlik türleri eşittir filtresini ayarlayın ve ardından tüm ilgili indirme etkinliklerini seçin.
İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir.
İlkeyi oluşturun.
Olası Fidye Yazılımı etkinliğini algılama
Olası Fidye Yazılımı etkinliğinin otomatik olarak algılanması.
Önkoşullar
Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Bu algılama, olası bir fidye yazılımı riski algılandığında sizi uyaracak şekilde otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek İdare eylemlerini özelleştirmek mümkündür. Bulut için Defender Uygulamalarının Fidye Yazılımı'nı nasıl tanımlediği hakkında daha fazla bilgi için bkz. Kuruluşunuzu fidye yazılımlarından koruma.
Not
Bu, Microsoft 365, Google Workspace, Box ve Dropbox için geçerlidir.
Bulutta kötü amaçlı yazılımları algılama
Microsoft'un Tehdit Bilgileri altyapısıyla Bulut için Defender Uygulamaları tümleştirmesini kullanarak bulut ortamlarınızda kötü amaçlı yazılım içeren dosyaları algılayın.
Önkoşullar
- Microsoft 365 kötü amaçlı yazılım algılama için, Microsoft 365 P1 için Microsoft Defender için geçerli bir lisansınız olmalıdır.
- Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
- Bu algılama, kötü amaçlı yazılım içerebilecek bir dosya olduğunda sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
Sahte yönetici devralma algılama
Kötü amaçlı amaçları gösterebilecek yinelenen yönetici etkinliğini algılayın.
Önkoşullar
Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Microsoft Defender Portalı'nda, Cloud Apps'in altında İlkeler ->İlke yönetimi'ne gidin. Yeni bir Etkinlik ilkesi oluşturun.
Eyleme Geç'i Yinelenen etkinlik olarak ayarlayın, En düşük yinelenen etkinlikleri özelleştirin ve kuruluşunuzun ilkesiyle uyumlu olacak bir Zaman Çerçevesi ayarlayın..
Kullanıcı filtresini Kimden grubu eşittir olarak ayarlayın ve ilgili tüm yönetici grubunu yalnızca Aktör olarak seçin.
Etkinlik türü filtresini parola güncelleştirmeleri, değişiklikler ve sıfırlamalarla ilgili tüm etkinliklere eşit olarak ayarlayın.
İhlal algılandığında dosyalarda gerçekleştirilecek İdare eylemlerini ayarlayın. Kullanılabilir idare eylemleri hizmetler arasında farklılık gösterir.
İlkeyi oluşturun.
Şüpheli gelen kutusu işleme kurallarını algılama
Kullanıcının gelen kutusunda şüpheli bir gelen kutusu kuralı ayarlandıysa, kullanıcı hesabının gizliliğinin ihlal edildiğini ve posta kutusunun kuruluşunuzda istenmeyen posta ve kötü amaçlı yazılım dağıtmak için kullanıldığını gösterebilir.
Önkoşullar
- E-posta için Microsoft Exchange kullanımı.
Adımlar
- Bu algılama, şüpheli bir gelen kutusu kural kümesi olduğunda sizi uyarmak için otomatik olarak kullanıma hazır olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
Sızdırılan kimlik bilgilerini algılama
Siber suçlular meşru kullanıcıların geçerli parolalarını tehlikeye attığında, genellikle bu kimlik bilgilerini paylaşırlar. Bu genellikle bunları koyu web'de herkese açık olarak göndererek veya site yapıştırarak ya da kimlik bilgilerini karaborsada satarak ya da satarak yapılır.
Bulut için Defender Uygulamaları, bu tür kimlik bilgilerini kuruluşunuzda kullanılan kimlik bilgileriyle eşleştirmek için Microsoft'un Tehdit bilgilerini kullanır.
Önkoşullar
Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Bu algılama, olası bir kimlik bilgisi sızıntısı algılandığında sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
Anormal dosya indirmelerini algılama
Kullanıcıların öğrenilen temele göre tek bir oturumda birden çok dosya indirme etkinliği gerçekleştirdiğinde algılama. Bu bir ihlal girişimine işaret edebilir.
Önkoşullar
Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Bu algılama, anormal bir indirme gerçekleştiğinde sizi uyarmak için otomatik olarak kullanıma açık olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.
Kullanıcının anormal dosya paylaşımlarını algılama
Kullanıcıların öğrenilen temele göre tek bir oturumda birden çok dosya paylaşım etkinliği gerçekleştirdiğini algılayın. Bu, ihlal girişimine işaret edebilir.
Önkoşullar
Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Bu algılama, kullanıcılar birden çok dosya paylaşımı gerçekleştirdiğinde sizi uyarmak için otomatik olarak kullanıma alınmış olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.
Seyrek ülke/bölgeden anormal etkinlikleri algılama
Yakın zamanda olmayan veya kullanıcı tarafından ya da kuruluşunuzdaki herhangi bir kullanıcı tarafından ziyaret edilen bir konumdan etkinlikleri algılama.
Önkoşullar
Uygulama bağlayıcıları kullanılarak veya oturum denetimleriyle Koşullu Erişim uygulama denetimi kullanılarak yerleşik olarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Bu algılama, seyrek görülen bir ülkeden/bölgeden anormal bir etkinlik gerçekleştiğinde sizi uyarmak için otomatik olarak kullanıma açık olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.
Not
Anormal konumların algılanması için 7 günlük ilk öğrenme süresi gerekir. Öğrenme döneminde Bulut için Defender Uygulamalar yeni konumlar için uyarı oluşturmaz.
Sonlandırılan bir kullanıcı tarafından gerçekleştirilen etkinliği algılama
Artık kuruluşunuzun çalışanı olmayan bir kullanıcının tasdikli bir uygulamada etkinlik gerçekleştirdiğinde algılama. Bu, şirket kaynaklarına hala erişimi olan, sonlandırılan bir çalışanın kötü amaçlı etkinliğini gösterebilir.
Önkoşullar
Uygulama bağlayıcıları kullanılarak bağlı en az bir uygulamanız olmalıdır.
Adımlar
Bu algılama, sonlandırılan bir çalışan tarafından bir etkinlik gerçekleştirildiğinde sizi uyarmak için otomatik olarak hazır olarak yapılandırılır. Bu ilkeyi yapılandırmak için herhangi bir işlem yapmanız gerekmez. Daha fazla bilgi için bkz . Anomali algılama ilkeleri.
Algılama kapsamını yapılandırmak ve bir uyarı tetiklendiğinde gerçekleştirilecek eylemi özelleştirmek mümkündür.
Sonraki adımlar
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin