Güvenlik uyarıları - başvuru kılavuzu
Bu makale, Bulut için Microsoft Defender ve etkinleştirilmiş Microsoft Defender planlarından alabileceğiniz güvenlik uyarılarını listeleyen sayfalara bağlantılar sağlar. Ortamınızda görüntülenen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.
Not
Microsoft Defender Tehdit Analizi ve Uç Nokta için Microsoft Defender tarafından desteklenen son eklenen uyarılardan bazıları belgelenmemiş olabilir.
Bu sayfa ayrıca MITRE ATT&CK matrisinin 9. sürümüyle hizalanmış Bulut için Microsoft Defender sonlandırma zincirini açıklayan bir tablo içerir.
Bu uyarılara nasıl yanıt vereceğinizi öğrenin.
Uyarıları dışarı aktarmayı öğrenin.
Not
Farklı kaynaklardan gelen uyarıların görünmesi farklı zaman alabilir. Örneğin, ağ trafiğinin analizini gerektiren uyarıların görünmesi, sanal makinelerde çalışan şüpheli işlemlerle ilgili uyarılardan daha uzun sürebilir.
Kategoriye göre güvenlik uyarısı sayfaları
- Windows makineleri için uyarılar
- Linux makineleri için uyarılar
- DNS uyarıları
- Azure VM uzantıları için uyarılar
- Azure Uygulaması Hizmeti uyarıları
- Kapsayıcılar için uyarılar - Kubernetes kümeleri
- SQL Veritabanı ve Azure Synapse Analytics için uyarılar
- Açık kaynak ilişkisel veritabanları için uyarılar
- Resource Manager uyarıları
- Azure Depolama için uyarılar
- Azure Cosmos DB uyarıları
- Azure ağ katmanı uyarıları
- Azure Key Vault uyarıları
- Azure DDoS Koruması uyarıları
- API'ler için Defender uyarıları
- Yapay zeka iş yükleri için uyarılar
- Kullanım dışı bırakılan güvenlik uyarıları
MITRE ATT&CK taktikleri
Bir saldırının amacını anlamak, olayı daha kolay araştırmanıza ve raporlamanıza yardımcı olabilir. Bu çabalara yardımcı olmak için, Bulut için Microsoft Defender uyarılar birçok uyarı içeren MITRE taktiklerini içerir.
Keşiften veri sızdırmaya kadar bir siber saldırının ilerlemesini açıklayan adımlar dizisi genellikle "sonlandırma zinciri" olarak adlandırılır.
Bulut için Defender desteklenen sonlandırma zinciri amaçları, MITRE ATT&CK matrisinin 9. sürümünü temel alır ve aşağıdaki tabloda açıklanmıştır.
| Taktik | ATT&CK Sürümü | Açıklama |
|---|---|---|
| PreAttack | PreAttack , kötü amaçlı bir amaç ne olursa olsun belirli bir kaynağa erişme girişimi veya açıklardan yararlanmadan önce bilgi toplamak için hedef sisteme erişim elde etme girişimi başarısız olabilir. Bu adım genellikle hedef sistemi taramak ve bir giriş noktasını tanımlamak için ağ dışından gelen bir girişim olarak algılanır. | |
| İlk Erişim | V7, V9 | İlk Erişim, saldırganın saldırıya uğrayan kaynağa bir ayak dayanağı almayı başardığı aşamadır. Bu aşama, işlem konakları ve kullanıcı hesapları, sertifikalar vb. kaynaklar için geçerlidir. Tehdit aktörleri genellikle bu aşamadan sonra kaynağı denetleyebilecektir. |
| Kalıcılık | V7, V9 | Kalıcılık, bir sistemde tehdit aktörlerine kalıcı bir iletişim durumu sağlayan herhangi bir erişim, eylem veya yapılandırma değişikliğidir. Tehdit aktörlerinin genellikle sistem yeniden başlatmaları, kimlik bilgileri kaybı veya bir uzaktan erişim aracının yeniden başlatılmasını veya yeniden erişim kazanmaları için alternatif bir arka kapı sağlamasını gerektirecek diğer hatalar gibi kesintiler aracılığıyla sistemlere erişimi sürdürmesi gerekir. |
| Ayrıcalık Yükseltme | V7, V9 | Ayrıcalık yükseltme, bir saldırganın bir sistem veya ağ üzerinde daha yüksek düzeyde izin almasına olanak tanıyan eylemlerin sonucudur. Belirli araçların veya eylemlerin çalışması için daha yüksek bir ayrıcalık düzeyi gerekir ve işlem boyunca birçok noktada büyük olasılıkla gereklidir. Belirli sistemlere erişme veya saldırganların hedeflerine ulaşmaları için gerekli olan belirli işlevleri gerçekleştirme izinleri olan kullanıcı hesapları da ayrıcalık yükseltmesi olarak kabul edilebilir. |
| Savunma Kaçamak | V7, V9 | Savunma kaçışı, bir saldırganın algılamadan kaçınmak veya diğer savunmalardan kaçınmak için kullanabileceği tekniklerden oluşur. Bazen bu eylemler, belirli bir savunmayı veya azaltmayı azaltmanın ek avantajı olan diğer kategorilerdeki tekniklerle (veya varyasyonlarıyla) aynıdır. |
| Kimlik Bilgisi Erişimi | V7, V9 | Kimlik bilgisi erişimi, kurumsal bir ortamda kullanılan sistem, etki alanı veya hizmet kimlik bilgilerine erişim veya bu kimlik bilgileri üzerinde denetime neden olan teknikleri temsil eder. Saldırganlar büyük olasılıkla ağ içinde kullanmak üzere kullanıcılardan veya yönetici hesaplarından (yerel sistem yöneticisi veya yönetici erişimi olan etki alanı kullanıcıları) meşru kimlik bilgilerini almayı dener. Bir saldırgan, ağ içinde yeterli erişimle ortamda daha sonra kullanmak üzere hesaplar oluşturabilir. |
| Bulma | V7, V9 | Keşif, saldırganın sistem ve iç ağ hakkında bilgi edinebilmesini sağlayan tekniklerden oluşur. Saldırganlar yeni bir sisteme erişim elde ettiğinde, artık neleri denetlediklerine ve bu sistemden hangi avantajların yetkisiz erişim sırasında geçerli hedeflerine veya genel hedeflerine verdikleri avantajlara yönelmeleri gerekir. İşletim sistemi, bu ödün verme sonrası bilgi toplama aşamasında yardımcı olan birçok yerel araç sağlar. |
| LateralMovement | V7, V9 | Yanal hareket, bir saldırganın bir ağdaki uzak sistemlere erişmesini ve bu sistemleri denetlemesini sağlayan tekniklerden oluşur ve uzak sistemlerde araçların yürütülmesini içermeyebilir. Yanal hareket teknikleri, bir saldırganın uzaktan erişim aracı gibi daha fazla aracı gerekmeden sistemden bilgi toplamasına olanak sağlayabilir. Saldırgan, araçların uzaktan Yürütülmesi, daha fazla sistem için özetleme, belirli bilgilere veya dosyalara erişim, daha fazla kimlik bilgilerine erişim veya bir etkiye neden olmak gibi birçok amaçla yanal hareket kullanabilir. |
| Yürütme | V7, V9 | Yürütme taktiği, yerel veya uzak bir sistemde, istenmeyen bir kişi denetlenen kodun yürütülmesiyle sonuçlanan teknikleri temsil eder. Bu taktik genellikle bir ağdaki uzak sistemlere erişimi genişletmek için yanal hareketle birlikte kullanılır. |
| Koleksiyon | V7, V9 | Koleksiyon, sızdırmadan önce hedef ağdan hassas dosyalar gibi bilgileri tanımlamak ve toplamak için kullanılan tekniklerden oluşur. Bu kategori, bir sistem veya ağdaki saldırganların dışarı sızmak için bilgi arayabileceği konumları da kapsar. |
| Komut ve Denetim | V7, V9 | Komut ve denetim taktiği, saldırganların bir hedef ağ içindeki kontrolleri altındaki sistemlerle nasıl iletişim kursalar onu temsil eder. |
| Sızdırma | V7, V9 | Sızdırma, saldırganın hedef ağdan dosya ve bilgi kaldırmasına neden olan veya yardımcı olan teknikleri ve öznitelikleri ifade eder. Bu kategori, bir sistem veya ağdaki saldırganların dışarı sızmak için bilgi arayabileceği konumları da kapsar. |
| Etki | V7, V9 | Etki olayları öncelikli olarak bir sistemin, hizmetin veya ağın kullanılabilirliğini veya bütünlüğünü doğrudan azaltmaya çalışır; bir iş veya operasyonel süreci etkilemek için verilerin işlenmesini de içerir. Bu genellikle fidye yazılımı, yüz değiştirme, veri işleme ve diğerleri gibi tekniklere başvurur. |
Not
Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.