Microsoft Defender XDR'de olayları araştırma

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Microsoft Defender XDR cihazlarınız, kullanıcılarınız ve posta kutularınızdaki tüm ilgili uyarıları, varlıkları, araştırmaları ve kanıtları bir olay halinde toplayarak bir saldırının tüm kapsamına kapsamlı bir bakış sağlar.

Bir olay içinde ağınızı etkileyen uyarıları analiz eder, ne anlama geldiğini anlar ve etkili bir düzeltme planı oluşturabilmeniz için kanıtları harmanlarsınız.

İlk araştırma

Ayrıntılara girmeden önce, olayın özelliklerine ve saldırı hikayesinin tamamına göz atın.

Onay işareti sütunundan olayı seçerek başlayabilirsiniz. İşte bir örnek.

Microsoft Defender portalında bir olay seçme

Bunu yaptığınızda, olayla ilgili önem derecesi, atandığı kişi ve MITRE ATT&olay için CK™ kategorileri gibi önemli bilgilerin yer aldığı bir özet bölmesi açılır. İşte bir örnek.

Microsoft Defender portalında bir olayın özet ayrıntılarını görüntüleyen bölme.

Buradan Olay sayfasını aç'ı seçebilirsiniz. Bu, tam saldırı hikayesi bilgilerini ve uyarılar, cihazlar, kullanıcılar, araştırmalar ve kanıt sekmelerini bulabileceğiniz olayın ana sayfasını açar.

Olay kuyruğundan olay adını seçerek bir olayın ana sayfasını da açabilirsiniz.

Saldırı hikayesi

Saldırı hikayeleri, saldırının tüm hikayesini aynı sekmede görüntülerken saldırıları hızla gözden geçirmenize, araştırmanıza ve düzeltmenize yardımcı olur. Ayrıca varlık ayrıntılarını gözden geçirmenize ve bir dosyayı silme veya bağlamı kaybetmeden bir cihazı yalıtma gibi düzeltme eylemleri gerçekleştirmenize olanak tanır.

Saldırı hikayesi aşağıdaki videoda kısaca açıklanmıştır.

Saldırı hikayesinin içinde uyarı sayfasını ve olay grafiğini bulabilirsiniz.

Olay uyarısı sayfasında şu bölümler vardır:

  • Uyarı hikayesi:

    • Ne oldu
    • Gerçekleştirilen eylemler
    • İlgili olaylar

  • Sağ bölmedeki uyarı özellikleri (durum, ayrıntılar, açıklama ve diğerleri)

Her uyarının Uyarı hikayesi bölümünde listelenen tüm alt bölümlere sahip olmadığını unutmayın.

Grafikte saldırının tam kapsamı, saldırının zaman içinde ağınız üzerinden nasıl yayıldığı, nereden başladığı ve saldırganın ne kadar ileri gittiği gösterilir. Saldırının parçası olan farklı şüpheli varlıkları kullanıcılar, cihazlar ve posta kutuları gibi ilgili varlıklarına bağlar.

Grafikten şunları yapabilirsiniz:

  • Saldırının kronolojisini anlamak için zaman içinde gerçekleşen uyarıları ve düğümleri grafikte oynatın.

    Saldırı hikayesi grafı sayfasında uyarıların ve düğümlerin oynatıldığını gösteren ekran görüntüsü.

  • Varlık bölmesini açarak varlık ayrıntılarını gözden geçirmenizi ve dosyayı silme veya cihazı yalıtma gibi düzeltme eylemleri üzerinde işlem yapmanızı sağlar.

    Saldırı hikayesi graf sayfasındaki varlık ayrıntılarının gözden geçirilmesini gösteren ekran görüntüsü.

  • İlgili oldukları varlığa göre uyarıları vurgulayın.

  • Bir cihazın, dosyanın, IP adresinin veya URL'nin varlık bilgilerini arayın.

Go hunt seçeneği, bir varlık hakkında ilgili bilgileri bulmak için gelişmiş avcılık özelliğinden yararlanır. Go hunt sorgusu, araştırdığınız varlığı içeren olaylar veya uyarılar için ilgili şema tablolarını denetler. Varlıkla ilgili bilgileri bulmak için seçeneklerden herhangi birini belirleyebilirsiniz:

  • Tüm kullanılabilir sorguları görün– seçeneği araştırdığınız varlık türü için tüm kullanılabilir sorguları döndürür.
  • Tüm Etkinlik – sorgu, bir varlıkla ilişkili tüm etkinlikleri döndürür ve size olayın bağlamının kapsamlı bir görünümünü sağlar.
  • İlgili Uyarılar: Sorgu belirli bir varlığı içeren tüm güvenlik uyarılarını arar ve döndürür ve hiçbir bilgiyi kaçırmamanızı sağlar.

Saldırı hikayesindeki bir cihazda go hunt seçeneğini belirleme

Sonuçta elde edilen günlükler veya uyarılar, bir sonuç ve ardından Olaya bağla seçilerek bir olaya bağlanabilir.

Go hunt sorgu sonuçlarında olay seçeneğinin bağlantısını vurgulama

Özet

Olayın göreli önemini değerlendirmek ve ilişkili uyarılara ve etkilenen varlıklara hızla erişmek için Özet sayfasını kullanın. Özet sayfası, olayla ilgili dikkat çekmeniz gereken en önemli şeylere bir anlık görüntü bakışı sağlar.

Microsoft Defender portalında bir olayın özet bilgilerini gösteren ekran görüntüsü.

Bilgiler bu bölümlerde düzenlenmiştir.

Bölüm Açıklama
Uyarılar ve kategoriler Saldırının sonlandırma zincirine karşı ne kadar gelişmiş olduğunu gösteren görsel ve sayısal bir görünüm. Diğer Microsoft güvenlik ürünlerinde olduğu gibi Microsoft Defender XDR de MITRE ATT&CK™ çerçevesiyle uyumludur. Uyarılar zaman çizelgesi, uyarıların oluştuğu kronolojik sırayı ve her uyarı için durumlarını ve adlarını gösterir.
Kapsam Etkilenen cihazların, kullanıcıların ve posta kutularının sayısını görüntüler ve varlıkları risk düzeyi ve araştırma önceliği sırasına göre listeler.
Kanıt Olaydan etkilenen varlık sayısını görüntüler.
Olay bilgileri Olayın etiketler, durum ve önem derecesi gibi özelliklerini görüntüler.

Uyarılar

Uyarılar sekmesinde, olayla ilgili uyarılar için uyarı kuyruğu ve bunlar hakkında aşağıdakiler gibi diğer bilgileri görüntüleyebilirsiniz:

  • Önem derecesi.
  • Uyarıya katılan varlıklar.
  • Uyarıların kaynağı (Kimlik için Microsoft Defender, Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender, Cloud Apps için Defender ve uygulama idare eklentisi).
  • Bu yüzden birbirlerine bağlandılar.

İşte bir örnek.

Microsoft Defender portalındaki bir olayın Uyarılar bölmesi

Varsayılan olarak uyarılar kronolojik olarak sıralanır ve bu sayede saldırının zaman içinde nasıl ilerlediğini görebilirsiniz. Bir olay içinde bir uyarı seçtiğinizde, Microsoft Defender XDR genel olayın bağlamı için uyarı bilgilerini görüntüler.

Uyarının olaylarını, diğer tetiklenen uyarıların geçerli uyarıya neden olduğunu ve cihazlar, dosyalar, kullanıcılar ve posta kutuları dahil olmak üzere saldırıyla ilgili tüm etkilenen varlıkları ve etkinlikleri görebilirsiniz.

İşte bir örnek.

Microsoft Defender portalındaki bir olay içindeki uyarının ayrıntıları.

Uyarıları araştırmak için uyarı kuyruğu ve uyarı sayfalarını kullanmayı öğrenin.

Varlık

Yeni Varlıklar sekmesiyle tüm varlıklarınızı tek bir yerde kolayca görüntüleyin ve yönetin. Bu birleşik görünüm Cihazlar, Kullanıcılar, Posta Kutuları ve Uygulamalar'ı içerir.

Varlıklar sekmesinde adının yanında toplam varlık sayısı görüntülenir. Varlıklar sekmesi seçilirken, bu kategorideki varlık sayısına sahip farklı kategorilerin listesi gösterilir.

Microsoft Defender portalındaki bir olayın Varlıklar sayfası

Aygıtları

Cihazlar görünümü, olayla ilgili tüm cihazları listeler. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Cihazlar sayfası

Listeden bir cihaz seçildiğinde, seçili cihazı yönetmenizi sağlayan bir çubuk açılır. Etiketleri hızla dışarı aktarabilir, yönetebilir, otomatik araştırma başlatabilir ve daha fazlasını yapabilirsiniz.

Cihazın ayrıntılarını, dizin verilerini, etkin uyarıları ve oturum açmış kullanıcıları görmek için cihazın onay işaretini seçebilirsiniz. Uç Nokta için Defender cihaz envanterinde cihaz ayrıntılarını görmek için cihazın adını seçin. İşte bir örnek.

Microsoft Defender portalındaki Varlıklar sayfasındaki Cihazlar seçenekleri.

Cihaz sayfasından cihaz hakkında tüm uyarıları, zaman çizelgesi ve güvenlik önerileri gibi ek bilgiler toplayabilirsiniz. Örneğin, Zaman Çizelgesi sekmesinden cihaz zaman çizelgesinde gezinebilir ve makinede gözlemlenen tüm olayları ve davranışları, tetiklenen uyarılarla birlikte kronolojik sırayla görüntüleyebilirsiniz. İşte bir örnek

Microsoft Defender portalındaki Cihaz sayfasında bir cihazın ayrıntıları.

İpucu

Bir cihaz sayfasında isteğe bağlı taramalar yapabilirsiniz. Microsoft Defender portalında Uç Noktalar Cihaz envanteri'ni >seçin. Uyarıları olan bir cihaz seçin ve ardından virüsten koruma taraması çalıştırın. Virüsten koruma taramaları gibi eylemler izlenir ve Cihaz envanteri sayfasında görünür. Daha fazla bilgi için bkz. Cihazlarda virüsten koruma taraması Microsoft Defender çalıştırma.

Kullanıcılar

Kullanıcılar görünümü, olayın parçası olduğu veya olayla ilgili olduğu belirlenen tüm kullanıcıları listeler. İşte bir örnek.

Microsoft Defender portalındaki Kullanıcılar sayfası.

Kullanıcı hesabı tehdidinin, açığa çıkarmanın ve iletişim bilgilerinin ayrıntılarını görmek için kullanıcının onay işaretini seçebilirsiniz. Ek kullanıcı hesabı ayrıntılarını görmek için kullanıcı adını seçin.

Kullanıcıları araştırmak için ek kullanıcı bilgilerini görüntülemeyi ve bir olayın kullanıcılarını yönetmeyi öğrenin.

Posta kutu -ları

Posta Kutuları görünümü, olayın parçası olduğu veya olayla ilgili olduğu belirlenen tüm posta kutularını listeler. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Posta Kutuları sayfası.

Etkin uyarıların listesini görmek için posta kutusunun onay işaretini seçebilirsiniz. Office 365 için Defender için Gezgin sayfasında ek posta kutusu ayrıntılarını görmek için posta kutusu adını seçin.

Apps

Uygulamalar görünümü, olayın parçası veya olayla ilgili olduğu belirlenen tüm uygulamaları listeler. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Uygulamalar sayfası.

Etkin uyarıların listesini görmek için bir uygulamanın onay işaretini seçebilirsiniz. Cloud Apps için Defender'ın Gezgin sayfasında ek ayrıntıları görmek için uygulama adını seçin.

Sondajları

Araştırma sekmesi, bu olaydaki uyarılar tarafından tetiklenen tüm otomatik araştırmaları listeler. Otomatik araştırmalar, otomatik araştırmalarınızı Uç Nokta için Defender'da ve Office 365 için Defender çalışacak şekilde nasıl yapılandırdığınıza bağlı olarak düzeltme eylemleri gerçekleştirir veya analistin eylemleri onaylamasını bekler.

Microsoft Defender portalındaki bir olayın Araştırma sayfası

Araştırma ve düzeltme durumu hakkında tam bilgi için ayrıntılar sayfasına gitmek için bir araştırma seçin. Araştırmanın bir parçası olarak onay bekleyen eylemler varsa, Bunlar Bekleyen eylemler geçmişi sekmesinde görünür. Olay düzeltme işleminin bir parçası olarak işlem yapın.

Ayrıca şunları gösteren bir Araştırma grafı sekmesi de vardır:

  • Uyarıların kuruluşunuzdaki etkilenen varlıklarla bağlantısı.
  • Hangi varlıkların hangi uyarılarla ilgili olduğu ve bunların saldırı hikayesinin bir parçası olması.
  • Olayın uyarıları.

Araştırma grafiği, saldırının parçası olan farklı şüpheli varlıkları kullanıcılar, cihazlar ve posta kutuları gibi ilgili varlıklarına bağlayarak saldırının tam kapsamını hızla anlamanıza yardımcı olur.

Daha fazla bilgi için bkz. Microsoft Defender XDR'de otomatik araştırma ve yanıt.

Kanıt ve Yanıt

Kanıt ve Yanıt sekmesi, olaydaki uyarılarda desteklenen tüm olayları ve şüpheli varlıkları gösterir. İşte bir örnek.

Microsoft Defender portalındaki bir olayın Kanıt ve Yanıt sayfası

Microsoft Defender XDR, uyarılardaki tüm olayların desteklenen olaylarını ve şüpheli varlıkları otomatik olarak araştırır ve size önemli e-postalar, dosyalar, işlemler, hizmetler, IP Adresleri ve daha fazlası hakkında bilgi sağlar. Bu, olaydaki olası tehditleri hızla algılamanıza ve engellemenize yardımcı olur.

Analiz edilen varlıkların her biri bir karar (Kötü Amaçlı, Şüpheli, Temiz) ve bir düzeltme durumuyla işaretlenir. Bu, tüm olayın düzeltme durumunu ve sonraki adımları anlamanıza yardımcı olur.

Düzeltme eylemlerini onaylama veya reddetme

Düzeltme durumu Bekleyen onay olan olaylar için, olayın içinden bir düzeltme eylemini onaylayabilir veya reddedebilirsiniz.

  1. Gezinti bölmesinde Olaylar & uyarılar>Olaylar'a gidin.
  2. Otomatik araştırma durumu için Beklemede eylemini filtreleyin (isteğe bağlı).
  3. Özet sayfasını açmak için bir olay adı seçin.
  4. Kanıt ve Yanıt sekmesini seçin.
  5. Açılan bölmeyi açmak için listeden bir öğe seçin.
  6. Bilgileri gözden geçirin ve aşağıdaki adımlardan birini uygulayın:
    • Bekleyen eylemi başlatmak için Bekleyen eylemi onayla seçeneğini belirleyin.
    • Bekleyen eylemin gerçekleştirilmesini önlemek için Bekleyen eylemi reddet seçeneğini belirleyin.

Microsoft Defender portalındaki bir olayın Kanıt ve Yanıt yönetimi bölmesindeki Onayla\Reddet seçeneği.

Sonraki adımlar

Gerektiğinde:

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.