Microsoft Defender portalında olayların önceliklerini belirleme
Microsoft Defender portalındaki birleşik güvenlik operasyonları platformu bağıntı analizi uygular ve farklı ürünlerden gelen ilgili uyarıları ve otomatik araştırmaları bir olaya toplar. Microsoft Sentinel ve Defender XDR, tüm ürün paketinde birleşik platformda uçtan uca görünürlük göz önünde bulundurularak yalnızca kötü amaçlı olarak tanımlanabilen etkinliklerde benzersiz uyarılar tetikler. Bu görünüm, güvenlik analistlerinize kuruluşunuz genelindeki karmaşık tehditleri daha iyi anlamalarına ve bunlarla başa çıkmalarına yardımcı olan daha geniş bir saldırı hikayesi sunar.
Önemli
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformu için genel önizleme kapsamında sağlanır. Daha fazla bilgi için Microsoft Defender portalında Microsoft Sentinel'e bakın.
Olay kuyruğu
Olay kuyruğu cihazlar, kullanıcılar, posta kutuları ve diğer kaynaklar arasında oluşturulmuş bir olay koleksiyonunu gösterir. Olay önceliklerini belirleme ve olay önceliklendirme olarak bilinen bir bilgili siber güvenlik yanıtı kararı oluşturma amacıyla olayları sıralamanıza yardımcı olur.
İpucu
Ocak 2024'te, Olaylar sayfasını ziyaret ettiğinizde Defender Boxed görüntülenir. Defender Boxed, kuruluşunuzun 2023 süresince imza attığı güvenlik başarılarını, iyileştirmeleri ve yanıt eylemlerini öne çıkarır. Defender Boxed'ı yeniden açmak için Microsoft Defender portalında Olaylar'a gidin ve Defender Boxed'ınızı seçin.
Microsoft Defender portalının hızlı başlatılmasıyla Olaylar & uyarılar > Olaylar bölümünden olay kuyruğuna ulaşabilirsiniz. İşte bir örnek.
En son olaylar ve uyarılar'ı seçerek son 24 saat içinde alınan uyarı ve olay sayısının zaman çizelgesi grafiğini gösteren üst bölümün genişletilmesine geçiş yapın.
Bunun altında, Microsoft Defender portalındaki olay kuyruğu son altı ayda görülen olayları görüntüler. En son olay listenin en üstündedir, böylece önce siz görebilirsiniz. Üstteki açılan listeden seçerek farklı bir zaman dilimi seçebilirsiniz.
Olay kuyruğunda, olayın farklı özelliklerine veya etkilenen varlıklara görünürlük sağlayan özelleştirilebilir sütunlar ( Sütunları özelleştir'i seçin) vardır. Bu filtreleme, analiz için olayların önceliklendirilmesiyle ilgili bilinçli bir karar vermenizi sağlar.
Olay adları
Bir bakışta daha fazla görünürlük elde Microsoft Defender XDR, etkilenen uç nokta sayısı, etkilenen kullanıcılar, algılama kaynakları veya kategoriler gibi uyarı özniteliklerine göre olay adlarını otomatik olarak oluşturur. Bu belirli adlandırma, olayın kapsamını hızlı bir şekilde anlamanıza olanak tanır.
Örneğin: Birden çok kaynak tarafından bildirilen birden çok uç noktada çok aşamalı olay.
Microsoft Sentinel'i birleşik güvenlik operasyonları platformuna eklediyseniz, Microsoft Sentinel'den gelen tüm uyarıların ve olayların adları büyük olasılıkla değiştirilmiştir (eklemeden önce mi yoksa eklemeden sonra mı oluşturulduklarından bağımsız olarak).
Otomasyon kurallarını tetikleme koşulu olarak olay adını kullanmaktan kaçınmanızı öneririz. Olay adı bir koşulsa ve olay adı değişirse kural tetiklenmez.
Filtre
Olay kuyruğu, uygulandığında ortamınızdaki tüm mevcut olayların kapsamlı bir taramasını gerçekleştirmenize veya belirli bir senaryoya veya tehdide odaklanmaya karar vermenize olanak tanıyan birden çok filtreleme seçeneği de sunar. Olay kuyruğuna filtre uygulamak, hangi olayın hemen ilgilenilmesi gerektiğini belirlemeye yardımcı olabilir.
Olay listesinin üstündeki Filtreler listesi, geçerli olarak uygulanan filtreleri gösterir.
Varsayılan olay kuyruğundan Filtre ekle açılan listesini seçerek gösterilen olay kümesini sınırlamak için olay kuyruğuna uygulanacak filtreleri belirtebilirsiniz. İşte bir örnek.
Kullanmak istediğiniz filtreleri seçin ve ardından listenin alt kısmındaki Ekle'yi seçerek kullanılabilir duruma getirin.
Artık seçtiğiniz filtreler, mevcut uygulanan filtrelerle birlikte gösterilir. Koşullarını belirtmek için yeni filtreyi seçin. Örneğin, "Hizmet/algılama kaynakları" filtresini seçtiyseniz, listeyi filtreleyen kaynakları seçmek için bu filtreyi seçin.
Filtre bölmesini, olay listesinin üzerindeki Filtreler listesinden herhangi birini seçerek de görebilirsiniz.
Bu tabloda, kullanılabilen filtre adları listelenir.
Filtre adı | Açıklama/Koşullar |
---|---|
Durum | Yeni, Sürüyor veya Çözümlendi'yi seçin. |
Uyarı önem derecesi Olay önem derecesi |
Bir uyarının veya olayın önem derecesi, varlıklarınız üzerindeki etkisini gösterir. Önem derecesi ne kadar yüksekse, etki o kadar büyük olur ve genellikle en acil dikkati gerektirir. Yüksek, Orta, Düşük veya Bilgilendirici'yi seçin. |
Olay ataması | Atanan kullanıcıyı veya kullanıcıları seçin. |
Birden çok hizmet kaynağı | Filtrenin birden fazla hizmet kaynağı için olup olmadığını belirtin. |
Hizmet/algılama kaynakları | Aşağıdakilerden birinden veya birden fazlasından gelen uyarıları içeren olayları belirtin: Bu hizmetlerin çoğu, belirli bir hizmet içindeki diğer algılama kaynakları seçeneklerini ortaya çıkarmak için menüde genişletilebilir. |
Etiketler | Listeden bir veya birden çok etiket adı seçin. |
Birden çok kategori | Filtrenin birden fazla kategori için olup olmadığını belirtin. |
Kategori | Görülen belirli taktiklere, tekniklere veya saldırı bileşenlerine odaklanmak için kategorileri seçin. |
Varlık | Kullanıcı, cihaz, posta kutusu veya uygulama adı gibi bir varlığın adını belirtin. |
Veri duyarlılığı | Bazı saldırılar, hassas veya değerli verileri sızdırmak için hedeflemeye odaklanır. Belirli duyarlılık etiketleri için bir filtre uygulayarak hassas bilgilerin ele geçirilip geçirilmemiş olabileceğini hızla belirleyebilir ve bu olayları ele geçirmeyi önceliklendikleyebilirsiniz. Bu filtre yalnızca Microsoft Purview Bilgi Koruması duyarlılık etiketleri uyguladığınızda bilgileri görüntüler. |
Cihaz grupları | Bir cihaz grubu adı belirtin. |
İşletim sistemi platformu | Cihaz işletim sistemlerini belirtin. |
Sınıflandırma | İlgili uyarıların sınıflandırma kümesini belirtin. |
Otomatik araştırma durumu | Otomatik araştırmanın durumunu belirtin. |
İlişkili tehdit | Adlandırılmış bir tehdit belirtin. |
Uyarı ilkeleri | Bir uyarı ilkesi başlığı belirtin. |
Varsayılan filtre, Durumu Yeni ve Devam Ediyor olan ve Yüksek, Orta veya Düşük önem derecesine sahip tüm uyarıları ve olayları göstermektir.
Filtreler listesindeki bir filtrenin adında X işaretini seçerek filtreyi hızla kaldırabilirsiniz.
Ayrıca olaylar sayfasında Kayıtlı filtre sorguları > İçerik Oluşturucu filtre kümesi'ni seçerek de filtre kümeleri oluşturabilirsiniz. Hiçbir filtre kümesi oluşturulmadıysa , kaydetmek için Kaydet'i seçin.
Özel filtreleri URL olarak kaydetme
Olaylar kuyruğunda yararlı bir filtre yapılandırdıktan sonra, tarayıcı sekmesinin URL'sine yer işareti ekleyebilir veya web sayfasına, Word belgesine veya tercih ettiğiniz bir yere bağlantı olarak kaydedebilirsiniz. Yer işareti ekleme, olay kuyruğunun önemli görünümlerine tek tıklamayla erişmenizi sağlar, örneğin:
- Yeni olaylar
- Yüksek önem dereceli olaylar
- Atanmamış olaylar
- Yüksek önem derecesi, atanmamış olaylar
- Bana atanan olaylar
- Bana ve Uç Nokta için Microsoft Defender için atanan olaylar
- Belirli bir etiket veya etikete sahip olaylar
- Belirli bir tehdit kategorisine sahip olaylar
- Belirli bir ilişkili tehdide sahip olaylar
- Belirli bir aktörle ilgili olaylar
Yararlı filtre görünümleri listenizi DERleyip URL olarak depoladıktan sonra, kuyruğunuzdaki olayları hızlı bir şekilde işlemek ve önceliklendirmek ve bunları sonraki atama ve analiz için yönetmek için kullanın.
Arama
Olay listesinin üzerindeki ad veya kimlik Arama kutusundan, aradığınızı hızla bulmak için olayları çeşitli yollarla arayabilirsiniz.
Olay adına veya kimliğine göre Arama
Olay kimliğini veya olay adını yazarak doğrudan bir olay için Arama. Arama sonuçları listesinden bir olay seçtiğinizde, Microsoft Defender portalı olayın özelliklerini içeren ve araştırmanızı başlatabileceğiniz yeni bir sekme açar.
Etkilenen varlıklar tarafından Arama
Bir varlığı (kullanıcı, cihaz, posta kutusu, uygulama adı veya bulut kaynağı gibi) adlandırabilir ve bu varlıkla ilgili tüm olayları bulabilirsiniz.
Zaman aralığı belirtme
Varsayılan olay listesi, son altı ay içinde gerçekleşen olaylara yöneliktir. Takvim simgesinin yanındaki açılan kutudan şunları seçerek yeni bir zaman aralığı belirtebilirsiniz:
- Bir gün
- Üç gün
- Bir hafta
- 30 gün
- 30 gün
- Altı ay
- Hem tarihleri hem de saatleri belirtebileceğiniz özel bir aralık
Sonraki adımlar
Hangi olayın en yüksek önceliğe sahip olduğunu belirledikten sonra seçin ve:
- Etiketler, atama, hatalı pozitif olaylar ve açıklamalar için anında çözüm için olayın özelliklerini yönetin.
- Araştırmalarınızı başlatın.
Ayrıca bkz.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin