Microsoft Defender XDR'de tehdit analizi

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Tehdit analizi, uzman Microsoft güvenlik araştırmacılarının ürün içi tehdit bilgileri çözümümüzdür. Aşağıdakiler gibi yeni tehditlerle karşı karşıyayken güvenlik ekiplerinin mümkün olduğunca verimli olması için tasarlanmıştır:

  • Etkin tehdit aktörleri ve kampanyaları
  • Popüler ve yeni saldırı teknikleri
  • Kritik güvenlik açıkları
  • Yaygın saldırı yüzeyleri
  • Yaygın kötü amaçlı yazılım

Tehdit analizinin en son tehditleri izlemenize ve durdurmanıza nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için bu kısa videoyu izleyin.

Tehdit analizine Microsoft Defender XDR gezinti çubuğunun sol üst kısmından veya kuruluşunuza yönelik en önemli tehditleri gösteren özel bir pano kartından hem bilinen etki açısından hem de maruz kalmanız açısından erişebilirsiniz.

Tehdit analizi giriş sayfasının ekran görüntüsü

Etkin veya devam eden kampanyalar hakkında görünürlük elde etmek ve tehdit analizi aracılığıyla ne yapacağınızı bilmek, güvenlik operasyonları ekibinizin bilinçli kararlar almasına yardımcı olabilir.

Daha karmaşık saldırganlar ve yaygın olarak ortaya çıkan yeni tehditler sayesinde, hızlı bir şekilde şunları yapabilmek çok önemlidir:

  • Yeni ortaya çıkan tehditleri belirleme ve buna tepki verme
  • Şu anda saldırı altında olup olmadığınız hakkında bilgi edinin
  • Tehditlerin varlıklarınız üzerindeki etkisini değerlendirme
  • Tehditlere karşı dayanıklılığınızı veya tehditlere maruz kalma durumunuzu gözden geçirin
  • Tehditleri durdurmak veya içermek için gerçekleştirebileceğiniz risk azaltma, kurtarma veya önleme eylemlerini belirleme

Her rapor, izlenen bir tehdidin analizini ve bu tehditlere karşı savunma konusunda kapsamlı rehberlik sağlar. Ayrıca ağınızdaki verileri de içerir ve tehdidin etkin olup olmadığını ve geçerli korumalarınız olup olmadığını belirtir.

Tehdit analizi panosunu görüntüleme

Tehdit analizi panosu (security.microsoft.com/threatanalytics3) kuruluşunuzla en ilgili raporları vurgular. Aşağıdaki bölümlerde tehditleri özetler:

  • En son tehditler— en son yayımlanan veya güncelleştirilen tehdit raporlarının yanı sıra etkin ve çözümlenmiş uyarı sayısını listeler.
  • Yüksek etkili tehditler— kuruluşunuz üzerinde en yüksek etkiye sahip olan tehditleri listeler. Bu bölümde, en fazla etkin ve çözümlenmiş uyarı sayısına sahip tehditler listelenir.
  • En yüksek maruz kalma— kuruluşunuzun en yüksek maruz kalma süresine sahip olduğu tehditleri listeler. Bir tehdide maruz kalma düzeyiniz iki bilgi parçası kullanılarak hesaplanır: tehditle ilişkili güvenlik açıklarının ne kadar ciddi olduğu ve kuruluşunuzdaki kaç cihazın bu güvenlik açıklarından yararlanabileceği.

Tehdit analizi panosunun ekran görüntüsü,

Bu tehdidin raporunu görüntülemek için panodan bir tehdit seçin. Okumak istediğiniz tehdit analizi raporuyla ilgili bir anahtar sözcükte anahtar sözcüğün Arama alanını da seçebilirsiniz.

Raporları kategoriye göre görüntüleme

Tehdit raporu listesini filtreleyebilir ve en ilgili raporları belirli bir tehdit türüne veya rapor türüne göre görüntüleyebilirsiniz.

  • Tehdit etiketleri; belirli bir tehdit kategorisine göre en ilgili raporları görüntülemenize yardımcı olabilir. Örneğin Fidye yazılımı etiketi fidye yazılımıyla ilgili tüm raporları içerir.
  • Rapor türleri: Belirli bir rapor türüne göre en uygun raporları görüntülemenize yardımcı olabilir. Örneğin, Araçlar & teknikleri etiketi, araçları ve teknikleri kapsayan tüm raporları içerir.

Farklı etiketler, tehdit raporu listesini verimli bir şekilde gözden geçirmenize ve görünümü belirli bir tehdit etiketine veya rapor türüne göre filtrelemenize yardımcı olan eşdeğer filtrelere sahiptir. Örneğin fidye yazılımı kategorisiyle ilgili tüm tehdit raporlarını veya güvenlik açıkları içeren tehdit raporlarını görüntülemek için.

Microsoft Tehdit Bilgileri ekibi, her tehdit raporuna tehdit etiketleri eklemiştir. Şu anda dört tehdit etiketi kullanılabilir:

  • Fidye Yazılımı
  • Kimlik Avı
  • Güvenlik Açığı
  • Etkinlik grubu

Tehdit etiketleri, tehdit analizi sayfasının en üstünde gösterilir. Her etiketin altında kullanılabilir rapor sayısı için sayaçlar vardır.

Tehdit analizi rapor etiketlerinin ekran görüntüsü.

Listede istediğiniz rapor türlerini ayarlamak için Filtreler'i seçin, listeden seçim yapın ve Uygula'yı seçin.

Filtreler listesinin ekran görüntüsü.

Birden fazla filtre ayarladıysanız tehdit analizi raporları listesi, tehdit etiketleri sütunu seçilerek tehdit etiketine göre de sıralanabilir:

Tehdit etiketleri sütununun ekran görüntüsü.

Tehdit analizi raporunu görüntüleme

Her tehdit analizi raporu çeşitli bölümlerde bilgi sağlar:

Genel bakış: Tehdidi hızla anlayın, etkisini değerlendirin ve savunmaları gözden geçirin

Genel Bakış bölümünde ayrıntılı analist raporunun önizlemesi sağlanır. Ayrıca, tehdidin kuruluşunuz üzerindeki etkisini ve yanlış yapılandırılmış ve eşleşmeyen cihazlar aracılığıyla açığa çıkarmanızı vurgulayan grafikler de sağlar.

Tehdit analizi raporunun genel bakış bölümünün ekran görüntüsü.

Kuruluşunuz üzerindeki etkiyi değerlendirme

Her rapor, bir tehdidin kurumsal etkisi hakkında bilgi sağlamak için tasarlanmış grafikler içerir:

  • İlgili olaylar— aşağıdaki verilerle izlenen tehdidin kuruluşunuz üzerindeki etkisine genel bir bakış sağlar:
    • Etkin uyarı sayısı ve ilişkili oldukları etkin olay sayısı
    • Etkin olayların önem derecesi
  • Zaman içindeki uyarılar— zaman içinde ilgili Etkin ve Çözümlenmiş uyarı sayısını gösterir. Çözümlenen uyarı sayısı, kuruluşunuzun bir tehditle ilişkili uyarılara ne kadar hızlı yanıt verdiğini gösterir. İdeal olan grafikte birkaç gün içinde çözümlenen uyarıların gösterilmesi gerekir.
  • Etkilenen varlıklar— şu anda izlenen tehditle ilişkilendirilmiş en az bir etkin uyarıya sahip olan ayrı cihazların ve e-posta hesaplarının (posta kutuları) sayısını gösterir. Tehdit e-postaları alan posta kutuları için uyarılar tetiklenir. Tehdit e-postalarının teslim edilmesine neden olan geçersiz kılmalar için hem kuruluş hem de kullanıcı düzeyinde ilkeleri gözden geçirin.
  • Engellenen e-posta girişimleri— son yedi güne ait teslimden önce engellenen veya gereksiz posta klasörüne teslim edilen e-posta sayısını gösterir.

Güvenlik dayanıklılığını ve duruşu gözden geçirme

Her rapor, kuruluşunuzun belirli bir tehdide karşı ne kadar dayanıklı olduğuna genel bakış sağlayan grafikler içerir:

  • Güvenli yapılandırma durumu— yanlış yapılandırılmış güvenlik ayarlarına sahip cihaz sayısını gösterir. Tehdidi azaltmaya yardımcı olmak için önerilen güvenlik ayarlarını uygulayın. İzlenen tüm ayarları uygulamış olan cihazlar Güvenli olarak kabul edilir.
  • Güvenlik açığı düzeltme eki uygulama durumu— güvenlik açığı bulunan cihazların sayısını gösterir. Tehdit tarafından yararlanılan güvenlik açıklarını gidermek için güvenlik güncelleştirmeleri veya düzeltme ekleri uygulayın.

Analist raporu: Microsoft güvenlik araştırmacılarından uzman içgörüleri alma

Analist raporu bölümünde, ayrıntılı uzman yazma işlemini okuyun. Çoğu rapor, MITRE ATT&CK çerçevesine eşlenen taktikler ve teknikler, kapsamlı öneri listeleri ve güçlü tehdit avcılığı yönergeleri dahil olmak üzere saldırı zincirlerinin ayrıntılı açıklamalarını sağlar.

Analist raporu hakkında daha fazla bilgi edinin

İlgili olaylar sekmesi izlenen tehditle ilgili tüm olayların listesini sağlar. Olaylar atayabilir veya her olaya bağlı uyarıları yönetebilirsiniz.

Tehdit analizi raporunun ilgili olaylar bölümünün ekran görüntüsü.

Etkilenen varlıklar: Etkilenen cihazların ve posta kutularının listesini alma

Bir varlık etkin ve çözümlenmemiş bir uyarıdan etkileniyorsa etkilenmiş olarak kabul edilir. Etkilenen varlıklar sekmesi aşağıdaki etkilenen varlık türlerini listeler:

  • Etkilenen cihazlar; çözümlenmemiş Uç Nokta için Microsoft Defender uyarıları olan uç noktalar. Bu uyarılar genellikle bilinen tehdit göstergelerini ve etkinliklerini gözlemlerken tetiklenir.
  • Etkilenen posta kutuları: Office 365 için Microsoft Defender uyarılarını tetikleyen e-posta iletilerini alan posta kutuları. Uyarıları tetikleyen iletilerin çoğu genellikle engellenmiş olsa da, kullanıcı veya kuruluş düzeyinde ilkeler filtreleri geçersiz kılabilir.

Tehdit analizi raporunun etkilenen varlıklar bölümünün ekran görüntüsü.

Engellenen e-posta girişimleri: Engellenen veya gereksiz tehdit e-postalarını görüntüleme

Office 365 için Microsoft Defender genellikle kötü amaçlı bağlantılar veya ekler de dahil olmak üzere bilinen tehdit göstergelerine sahip e-postaları engeller. Bazı durumlarda, şüpheli içeriği denetleyecek proaktif filtreleme mekanizmaları bunun yerine gereksiz posta klasörüne tehdit e-postaları gönderir. Her iki durumda da, tehditin cihazda kötü amaçlı yazılım kodu başlatma olasılığı azalır.

Engellenen e-posta denemeleri sekmesi, teslimden önce engellenen veya Office 365 için Microsoft Defender tarafından gereksiz posta klasörüne gönderilen tüm e-postaları listeler.

Tehdit analizi raporunun engellenen e-posta denemeleri bölümünün ekran görüntüsü.

Maruz kalma ve risk azaltmalar: Risk azaltmaların listesini ve cihazlarınızın durumunu gözden geçirin

Açığa Çıkarma & risk azaltmaları bölümünde, tehditlere karşı kurumsal dayanıklılığınızı artırmanıza yardımcı olabilecek eyleme dönüştürülebilir öneriler listesini gözden geçirin. İzlenen azaltmalar listesi şunları içerir:

  • Güvenlik güncelleştirmeleri—eklenen cihazlarda bulunan güvenlik açıkları için desteklenen yazılım güvenlik güncelleştirmelerinin dağıtımı
  • Desteklenen güvenlik yapılandırmaları
    • Bulut tabanlı koruma
    • İstenmeyebilecek uygulama (PUA) koruması
    • Gerçek zamanlı koruma

Bu bölümdeki azaltma bilgileri, rapordaki çeşitli bağlantılardan ayrıntılı detaya gitme bilgileri de sağlayan Microsoft Defender Güvenlik Açığı Yönetimi verilerini içerir.

Güvenli yapılandırma ayrıntılarını gösteren tehdit analizi raporunun risk azaltmalar bölümü

Güvenlik açığı ayrıntılarını gösteren tehdit analizi raporunun risk azaltmalar bölümü

Tehdit analizi raporunun açığa çıkarma & azaltmalar bölümü

Rapor güncelleştirmeleri için e-posta bildirimlerini ayarlama

Tehdit analizi raporlarında size güncelleştirmeler gönderecek e-posta bildirimleri ayarlayabilirsiniz. E-posta bildirimleri oluşturmak için Microsoft Defender XDR'da Tehdit analizi güncelleştirmeleri için e-posta bildirimleri alma başlığı altında yer alan adımları izleyin.

Ek rapor ayrıntıları ve sınırlamaları

Not

Birleşik güvenlik deneyiminin bir parçası olarak tehdit analizi artık yalnızca Uç Nokta için Microsoft Defender için değil, aynı zamanda Office 365 için Microsoft Defender lisans sahipleri için de kullanılabilir.

Microsoft 365 güvenlik portalını (Microsoft Defender XDR) kullanmıyorsanız, rapor ayrıntılarını (Office verileri için Microsoft Defender olmadan) Microsoft Defender Güvenlik Merkezi portalında da görebilirsiniz ( Uç Nokta için Microsoft Defender).

Tehdit analizi raporlarına erişmek için belirli rollere ve izinlere ihtiyacınız vardır. Ayrıntılar için Microsoft Defender XDR için bkz. Rol tabanlı erişim denetiminde özel roller.

  • Uyarıları, olayları veya etkilenen varlık verilerini görüntülemek için, Office için Microsoft Defender veya uyarı verilerini Uç Nokta için Microsoft Defender ya da her ikisini birden görüntüleme izniniz olmalıdır.
  • Engellenen e-posta girişimlerini görüntülemek için Office tehdit avcılığı verilerini Microsoft Defender izinlerinizin olması gerekir.
  • Risk azaltmaları görüntülemek için Uç Nokta için Microsoft Defender'de Defender Güvenlik Açığı Yönetimi verilerine yönelik izinlere sahip olmanız gerekir.

Tehdit analizi verilerine bakarken aşağıdaki faktörleri unutmayın:

  • Grafikler yalnızca izlenen azaltmaları yansıtır. Grafiklerde gösterilmeyen ek risk azaltmaları için rapora genel bakış'a bakın.
  • Risk azaltmalar tam dayanıklılığı garanti etmez. Sağlanan azaltmalar, dayanıklılığı artırmak için gereken mümkün olan en iyi eylemleri yansıtır.
  • Cihazlar hizmete veri iletmediyse "kullanılamaz" olarak sayılır.
  • Virüsten korumayla ilgili istatistikler Microsoft Defender Virüsten Koruma ayarlarını temel alır. Üçüncü taraf virüsten koruma çözümlerine sahip cihazlar "kullanıma sunuldu" olarak görünebilir.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.