Öğretici: Davranış analizi (UEBA) ile şüpheli kullanıcı etkinliğini algılama

Bulut için Microsoft Defender Apps güvenliği aşılmış kullanıcılar, içeriden tehditler, sızdırma, fidye yazılımı ve daha fazlası için saldırı sonlandırma zincirinde sınıfının en iyisi algılamalar sağlar. Kapsamlı çözümümüz anomali, davranış analizi (UEBA) ve kural tabanlı etkinlik algılamaları dahil olmak üzere birden çok algılama yöntemini birleştirerek elde edilir ve kullanıcılarınızın ortamınızdaki uygulamaları nasıl kullandığına ilişkin geniş bir görünüm sağlar.

Peki şüpheli davranışı algılamak neden önemlidir? Bulut ortamınızı değiştirebilen bir kullanıcının etkisi önemli olabilir ve işletmenizi çalıştırma becerinizi doğrudan etkileyebilir. Örneğin, genel web sitenizi veya müşterilere sağladığınız hizmeti çalıştıran sunucular gibi önemli şirket kaynaklarının güvenliği tehlikeye girebilir.

Bulut için Defender Uygulamalar, çeşitli kaynaklardan yakalanan verileri kullanarak kuruluşunuzdaki uygulama ve kullanıcı etkinliklerini ayıklamak için verileri analiz eder ve güvenlik analistlerinize bulut kullanımı hakkında görünürlük sağlar. Toplanan veriler, şüpheli etkinliklerin doğru ve tutarlı bir görünümünü sağlamak için tehdit bilgileri, konum ve diğer birçok ayrıntıyla bağıntılı, standartlaştırılmış ve zenginleştirilmiştir.

Bu nedenle, bu algılamaların avantajlarını tam olarak gerçekleştirmek için önce aşağıdaki kaynakları yapılandırdığınızdan emin olun:

• Etkinlik Günlüğü
  API'ye bağlı uygulamalarınızdaki etkinlikler.
• Bulma günlüğü
  Bulut için Defender Uygulamalarına iletilen güvenlik duvarı ve ara sunucu trafik günlüklerinden ayıklanan etkinlikler. Günlükler bulut uygulaması kataloğuna göre analiz edilir, 90'dan fazla risk faktörüne göre derecelendirilir ve puanlanır.
• Proxy günlüğü
  Koşullu Erişim Uygulama Denetimi uygulamalarınızdaki etkinlikler.

Ardından ilkelerinizi ayarlamak isteyeceksiniz. Aşağıdaki ilkeler, algılama modellerini eğitmeye yardımcı olmak için filtreler, dinamik eşikler (UEBA) ve yaygın hatalı pozitif algılamaları azaltmak için gizlemeler ayarlanarak ince ayar yapılabilir:

• Anomali algılama
• Cloud Discovery anomali algılama
• Kural tabanlı etkinlik algılama

Bu öğreticide, gerçek tehlikeleri belirlemek ve büyük miktarlarda hatalı pozitif algılamaların işlenmesinden kaynaklanan uyarı yorgunluğunu azaltmak için kullanıcı etkinliği algılamalarını ayarlamayı öğreneceksiniz:

• IP adresi aralıklarını yapılandırma
• Anomali algılama ilkelerini ayarlama
• Bulut bulma anomali algılama ilkelerini ayarlama
• Kural tabanlı algılama ilkelerini ayarlama
• Uyarı yapılandırma
• Araştırma ve düzeltme

1. Aşama: IP adresi aralıklarını yapılandırma

Tek tek ilkeleri yapılandırmadan önce, IP aralıklarını her tür şüpheli kullanıcı etkinliği algılama ilkesinde ince ayar yapmak için kullanılabilir olacak şekilde yapılandırmanız önerilir.

IP adresi bilgileri neredeyse tüm araştırmalarda önemli olduğundan, bilinen IP adreslerini yapılandırmak makine öğrenmesi algoritmalarımızın bilinen konumları belirlemesine ve bunları makine öğrenmesi modellerinin bir parçası olarak değerlendirmesine yardımcı olur. Örneğin, VPN'nizin IP adresi aralığını eklemek, modelin bu IP aralığını doğru şekilde sınıflandırmasına ve vpn konumu bu kullanıcının gerçek konumunu temsil etmediğinden bu ip aralığını otomatik olarak imkansız seyahat algılamalarından hariç tutmasına yardımcı olur.

Not: Yapılandırılan IP aralıkları algılamalarla sınırlı değildir ve etkinlik günlüğündeki etkinlikler, koşullu erişim vb. gibi alanlarda Bulut için Defender Uygulamaları genelinde kullanılır. Aralıkları yapılandırırken bunu göz önünde bulundurun. Bu nedenle, örneğin, fiziksel ofis IP adreslerinizi tanımlamak günlüklerin ve uyarıların görüntülenme ve araştırılma şeklini özelleştirmenize olanak tanır.

Kullanıma açık anomali algılama uyarılarını gözden geçirme

Bulut için Defender Uygulamaları, farklı güvenlik senaryolarını tanımlamak için bir dizi anomali algılama uyarısı içerir. Bu algılamalar kutudan çıkar çıkmaz otomatik olarak etkinleştirilir ve ilgili uygulama bağlayıcıları bağlanır bağlanmaz kullanıcı etkinliğinin profilini oluşturmaya ve uyarılar oluşturmaya başlar.

Farklı algılama ilkeleri hakkında bilgi edinerek başlayın, kuruluşunuz için en uygun olduğunu düşündüğünüz en önemli senaryolara öncelik tanıyın ve ilkeleri buna göre ayarlayın.

2. Aşama: Anomali algılama ilkelerini ayarlama

Yaygın güvenlik kullanım örnekleri için önceden yapılandırılmış Bulut için Defender Uygulamalarında çeşitli yerleşik anomali algılama ilkeleri mevcuttur. Aşağıdakiler gibi daha popüler algılamaları öğrenmek için biraz zaman ayırmanız gerekir:

• İmkansız seyahat
  İki konum arasındaki beklenen seyahat süresinden daha kısa bir süre içinde farklı konumlarda aynı kullanıcının etkinlikleri.
• Seyrek kullanılan ülkeden etkinlik
  Kullanıcı tarafından yakın zamanda ziyaret edilmeyen veya hiç ziyaret edilmeyen bir konumdan etkinlik.
• Kötü amaçlı yazılım algılama
  Bulut uygulamalarınızdaki dosyaları tarar ve şüpheli dosyaları Microsoft'un tehdit bilgileri altyapısı aracılığıyla çalıştırarak bunların bilinen kötü amaçlı yazılımlarla ilişkili olup olmadığını belirler.
• Fidye yazılımı etkinliği
  Fidye yazılımı bulaşmış olabilecek buluta dosya yüklemeleri.
• Şüpheli IP adreslerinden etkinlik
  Microsoft Tehdit Bilgileri tarafından riskli olarak tanımlanan bir IP adresinden gelen etkinlik.
• Şüpheli gelen kutusu iletme
  Kullanıcının gelen kutusunda ayarlanan şüpheli gelen kutusu iletme kurallarını algılar.
• Olağan dışı birden çok dosya indirme etkinliği
  Öğrenilen temele göre tek bir oturumda birden çok dosya indirme etkinliğini algılar ve bu da ihlal girişimini gösterebilir.
• Olağan dışı yönetim etkinlikleri
  Tek bir oturumda, öğrenilen temele göre birden çok yönetim etkinliğini algılar ve bu da ihlal girişimini gösterebilir.

Algılamaların tam listesi ve ne yaptıkları için bkz . Anomali algılama ilkeleri.

Not

Anomali algılamalarından bazıları öncelikli olarak sorunlu güvenlik senaryolarını algılamaya odaklanmış olsa da, diğerleri güvenliğin aşıldığını belirtmeyecek anormal kullanıcı davranışlarını belirlemeye ve araştırmaya yardımcı olabilir. Bu tür algılamalar için Microsoft Defender XDR gelişmiş tehdit avcılığı deneyiminde kullanılabilen "davranışlar" adlı başka bir veri türü oluşturduk. Daha fazla bilgi için bkz . Davranışlar.

İlkeler hakkında bilgi edindikten sonra, daha fazla araştırmak isteyebileceğiniz etkinlikleri daha iyi hedeflemek için kuruluşunuzun özel gereksinimlerine göre nasıl ince ayar yapmak istediğinizi göz önünde bulundurmanız gerekir.

1. Belirli kullanıcılara veya gruplara kapsam ilkeleri

   Belirli kullanıcılara yönelik kapsam belirleme ilkeleri, kuruluşunuzla ilgili olmayan uyarılardan kaynaklanan gürültüyü azaltmaya yardımcı olabilir. Her ilke, aşağıdaki örneklerde olduğu gibi belirli kullanıcıları ve grupları dahil etmek veya dışlamak için yapılandırılabilir:

   • Saldırı simülasyonları
     Birçok kuruluş, saldırıların sürekli simülasyonunu yapmak için bir kullanıcı veya grup kullanır. Açıkçası, bu kullanıcıların etkinliklerinden sürekli olarak uyarı almak mantıklı değildir. Bu nedenle, ilkelerinizi bu kullanıcıları veya grupları dışlamak üzere yapılandırabilirsiniz. Bu, makine öğrenmesi modellerinin bu kullanıcıları tanımlamasına ve dinamik eşiklerini buna göre ayarlamasına da yardımcı olur.
   • Hedeflenen algılamalar
     Kuruluşunuz, yönetici veya CXO grubu üyeleri gibi belirli bir VIP kullanıcı grubunu araştırmak isteyebilir. Bu senaryoda, algılamak istediğiniz etkinlikler için bir ilke oluşturabilir ve yalnızca ilgilendiğiniz kullanıcı veya grup kümesini eklemeyi seçebilirsiniz.

2. Anormal oturum açma algılamalarını ayarlama

   Bazı kuruluşlar, birinin bir veya daha fazla kullanıcı hesabını hedeflemeye çalıştığına işaret eden başarısız oturum açma etkinliklerinden kaynaklanan uyarıları görmek ister. Öte yandan, kullanıcı hesaplarına yönelik deneme yanılma saldırıları bulutta her zaman gerçekleşir ve kuruluşların bunları engellemenin bir yolu yoktur. Bu nedenle, büyük kuruluşlar genellikle yalnızca başarılı oturum açma etkinliklerine neden olan şüpheli oturum açma etkinliklerine yönelik uyarılar almaya karar verir, bu nedenle bunlar gerçek güvenlik ihlallerini temsil edebilir.

   Kimlik hırsızlığı önemli bir risk kaynağıdır ve kuruluşunuz için önemli bir tehdit vektörünü oluşturur. İmkansız seyahatimiz, şüpheli IP adreslerinden gelen etkinlik ve seyrek görülen ülke/bölge algılama uyarıları, hesabın ele geçirildiğini gösteren etkinlikleri keşfetmenize yardımcı olur.

3. İmkansız seyahatin duyarlılığını ayarlama İmkansız bir seyahatuyarısı tetiklemeden önce anormal davranışa uygulanan gizleme düzeyini belirleyen duyarlılık kaydırıcısını yapılandırın. Örneğin, yüksek aslına uygunlukla ilgilenen kuruluşlar duyarlılık düzeyini artırmayı göz önünde bulundurmalıdır. Öte yandan, kuruluşunuzun seyahat eden çok sayıda kullanıcısı varsa, bir kullanıcının önceki etkinliklerden öğrenilen ortak konumlarından etkinlikleri engellemek için duyarlılık düzeyini düşürmeyi göz önünde bulundurun. Aşağıdaki duyarlılık düzeyleri arasından seçim yapabilirsiniz:

   • Düşük: Sistem, kiracı ve kullanıcı engellemeleri
   • Orta: Sistem ve kullanıcı engellemeleri
   • Yüksek: Yalnızca sistem gizlemeleri

   Where:

   Gizleme türü	Açıklama
   Sistem	Her zaman gizlenen yerleşik algılamalar.
   Kiracı	Kiracıdaki önceki etkinliği temel alan yaygın etkinlikler. Örneğin, kuruluşunuzda daha önce uyarılan bir ISS'den etkinlikleri gizleme.
   Kullanıcı	Belirli kullanıcının önceki etkinliğine dayalı ortak etkinlikler. Örneğin, kullanıcı tarafından yaygın olarak kullanılan bir konumdan etkinlikleri gizleme.

3. Aşama: Bulut bulma anomali algılama ilkelerini ayarlama

Anomali algılama ilkeleri gibi ince ayar yapabileceğiniz çeşitli yerleşik bulut bulma anomali algılama ilkeleri de vardır. Örneğin, tasdik edilmemiş uygulamalara veri sızdırma ilkesi, veriler tasdiksiz bir uygulamaya sızdığında sizi uyarır ve güvenlik alanındaki Microsoft deneyimine dayalı ayarlarla önceden yapılandırılmış olarak gelir.

Ancak, araştırmak isteyebileceğiniz diğer senaryoları belirlemenize yardımcı olmak için yerleşik ilkelerde ince ayar yapabilir veya kendi ilkelerinizi oluşturabilirsiniz. Bu ilkeler bulut bulma günlüklerini temel aldıklarından, anormal uygulama davranışına ve veri sızdırmaya daha fazla odaklanan farklı ayarlama özelliklerine sahiptir.

1. Kullanım izlemeyi ayarlama
   Anormal davranışları algılamak için temel, kapsam ve etkinlik süresini denetlemek için kullanım filtrelerini ayarlayın. Örneğin, yönetici düzeyindeki çalışanlarla ilgili anormal etkinlikler için uyarılar almak isteyebilirsiniz.

2. Uyarı duyarlılığını ayarlama
   Uyarı yorgunluğunu önlemek için uyarıların duyarlılığını yapılandırın. Duyarlılık kaydırıcısını kullanarak haftada 1.000 kullanıcı başına gönderilen yüksek riskli uyarı sayısını denetleyebilirsiniz. Daha yüksek duyarlılıklar, anomali olarak kabul edilmesi ve daha fazla uyarı oluşturulması için daha az varyans gerektirir. Genel olarak, gizli verilere erişimi olmayan kullanıcılar için düşük duyarlılık ayarlayın.

4. Aşama: Kural tabanlı algılama (etkinlik) ilkelerini ayarlama

Kural tabanlı algılama ilkeleri , anomali algılama ilkelerini kuruluşa özgü gereksinimlerle tamamlama olanağı sağlar. Etkinlik ilkesi şablonlarımızdan birini kullanarak kural tabanlı ilkeler oluşturmanızı (Denetim>Şablonları'na gidin ve Tür filtresini Etkinlik ilkesi olarak ayarlayın) ve bunları ortamınız için normal olmayan davranışları algılayan şekilde yapılandırmanızı öneririz. Örneğin, belirli bir ülkede/bölgede varlığı olmayan bazı kuruluşlar için, söz konusu ülkeden/bölgeden gelen anormal etkinlikleri algılayan ve bunlar hakkında uyarı veren bir ilke oluşturmak mantıklı olabilir. Bu ülkede/bölgede büyük şubeleri olan diğer kişiler için bu ülkeden/bölgeden yapılan etkinlikler normal olur ve bu tür etkinliklerin algılanması mantıklı olmaz.

1. Etkinlik hacmini ayarlama
   Algılama bir uyarı oluşturmadan önce gerekli etkinlik hacmini seçin. Ülke/bölge örneğimizi kullanarak, bir ülkede/bölgede iletişim durumunuz yoksa, tek bir etkinlik bile önemlidir ve uyarıyı garanti eder. Ancak, tek bir oturum açma hatası insan hatası olabilir ve yalnızca kısa bir süre içinde çok sayıda hata olması durumunda ilgi çekici olabilir.
2. Etkinlik filtrelerini ayarlama
   Uyarı vermek istediğiniz etkinlik türünü algılamak için ihtiyacınız olan filtreleri ayarlayın. Örneğin, bir ülkeden/bölgeden etkinliği algılamak için Location parametresini kullanın.
3. Uyarıları ayarlama
   Uyarı yorgunluğunu önlemek için günlük uyarı sınırını ayarlayın.

5. Aşama: Uyarıları yapılandırma

Not

15 Aralık 2022'den bu yana Uyarılar/SMS (kısa mesajlar) kullanım dışı bırakılmıştır. Metin uyarıları almak istiyorsanız, özel uyarı otomasyonu için Microsoft Power Automate'i kullanmalısınız. Daha fazla bilgi için bkz . Özel uyarı otomasyonu için Microsoft Power Automate ile tümleştirme.

İhtiyaçlarınıza en uygun biçimde ve ortamda uyarılar almayı seçebilirsiniz. Günün herhangi bir saatinde anında uyarı almak için bunları e-postayla almayı tercih edebilirsiniz.

Ayrıca, olası bir tehdidin bütünsel bir görünümünü sağlamak için uyarıları kuruluşunuzdaki diğer ürünler tarafından tetiklenen diğer uyarılar bağlamında analiz edebilmeniz de isteyebilirsiniz. Örneğin, bir saldırıyı doğrulayan başka bir azaltıcı kanıt olup olmadığını görmek için bulut tabanlı olaylarla şirket içi olaylar arasında bağıntı yapmak isteyebilirsiniz.

Ayrıca, Microsoft Power Automate ile tümleştirmemizi kullanarak özel uyarı otomasyonu da tetikleyebilirsiniz. Örneğin, bir playbook'u otomatik olarak ServiceNow'da sorun oluşturacak şekilde ayarlayabilir veya bir uyarı tetiklendiğinde özel idare eylemi yürütmek için bir onay e-postası gönderebilirsiniz.

Uyarılarınızı yapılandırmak için aşağıdaki yönergeleri kullanın:

1. E-posta
   Uyarıları e-postayla almak için bu seçeneği belirleyin.
2. SİEM
   Microsoft Sentinel, Microsoft Graph Güvenlik API'si ve diğer genel SIEM'ler gibi çeşitli SIEM tümleştirme seçenekleri vardır. Gereksinimlerinize en uygun tümleştirmeyi seçin.
3. Power Automate otomasyonu
   İstediğiniz otomasyon playbook'larını oluşturun ve ilkenin Power Automate eylemine yönelik uyarısı olarak ayarlayın.

6. Aşama: Araştırma ve düzeltme

Harika, ilkelerinizi ayarladınız ve şüpheli etkinlik uyarıları almaya başladınız. Onlar hakkında ne yapmalısınız? Başlangıç olarak, etkinliği araştırmak için adımlar atmalısınız. Örneğin, bir kullanıcının gizliliğinin ihlal edildiğini gösteren etkinlikleri incelemek isteyebilirsiniz.

Korumanızı iyileştirmek için, kuruluşunuz için riski en aza indirmek için otomatik düzeltme eylemleri ayarlamayı düşünmelisiniz. İlkelerimiz, incelemeye başlamadan önce bile kuruluşunuza yönelik riskin azaltılması için uyarılarla birlikte idare eylemleri uygulamanıza olanak sağlar. Kullanılabilir eylemler, bir kullanıcıyı askıya alma veya istenen kaynağa erişimi engelleme gibi eylemler de dahil olmak üzere ilke türüne göre belirlenir.

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.

Daha fazla bilgi edinin

• Etkileşimli kılavuzumuzu deneyin: Bulut için Microsoft Defender Uygulamaları ile tehditleri algılama ve uyarıları yönetme