Güvenlik uyarılarını yönetme ve yanıtlama

  • Nasıl yapılır

Bulut için Defender, Azure, hibrit ve çoklu kaynaklar, ağınız ve güvenlik duvarı ve uç nokta koruma çözümleri gibi bağlı aracı çözümlerinden günlük verilerini toplar, çözümler ve tümleştirir. Bulut için Defender, gerçek tehditleri algılamak ve hatalı pozitif sonuçları azaltmak için günlük verilerini kullanır. Sorunu hızlıca araştırmanız için gerekli bilgiler ve saldırıyı düzeltme hakkındaki önerilerin yanında öncelikli güvenlik uyarıları listesi Cloud için Defender’da gösterilir.

Bu makalede, Bulut için Defender uyarılarını görüntüleme ve işleme ve kaynaklarınızı koruma adımları anlatılmaktadır.

Güvenlik uyarılarını önceliklendirirken, önce daha yüksek önem derecesine sahip uyarıları ele alarak uyarı önem derecesine göre önceliklendirmeniz gerekir. Uyarıların nasıl sınıflandırılmış olduğu hakkında daha fazla bilgi edinin.

İpucu

Bulut için Microsoft Defender Microsoft Sentinel dahil olmak üzere SIEM çözümlerine bağlanabilir ve istediğiniz araçtan gelen uyarıları kullanabilirsiniz. SIEM, SOAR veya BT Hizmet Yönetimi çözümüne uyarı akışı yapmayı öğrenin.

Önkoşullar

Önkoşullar ve gereksinimler için bkz. Bulut için Defender için destek matrisleri.

Güvenlik uyarılarınızı yönetme

Şu adımları izleyin:

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender> Güvenlik uyarıları'na gidin.

    Bulut için Microsoft Defender genel bakış sayfasındaki güvenlik uyarıları sayfasını gösteren ekran görüntüsü.

  3. (İsteğe bağlı) Uyarı listesini ilgili filtrelerden herhangi biriyle filtreleyin. Filtre ekle seçeneğiyle ek filtreler ekleyebilirsiniz.

    Uyarılar görünümüne filtre eklemeyi gösteren ekran görüntüsü.

    Liste, seçilen filtrelere göre güncelleştirilir. Örneğin, sistemdeki olası bir ihlali araştırdığınız için son 24 saat içinde oluşan güvenlik uyarılarını ele almak isteyebilirsiniz.

Güvenlik uyarısını araştırma

Her uyarı, araştırmanızda size yardımcı olan uyarıyla ilgili bilgiler içerir.

Güvenlik uyarısını araştırmak için:

  1. Bir uyarı seçin. Yan bölme açılır ve uyarının ve etkilenen tüm kaynakların açıklaması gösterilir.

    Güvenlik uyarısının üst düzey ayrıntılar görünümünün ekran görüntüsü.

  2. Güvenlik uyarısı hakkındaki üst düzey bilgileri gözden geçirin.

    • Uyarı önem derecesi, durum ve etkinlik süresi
    • Algılanan kesin etkinliği açıklayan açıklama
    • Etkilenen kaynaklar
    • MITRE ATT&CK matrisinde etkinliğin sonlandırma zinciri amacı (varsa)

  3. Tüm ayrıntıları görüntüle'yi seçin.

    Sağ bölme, sorunu araştırmanıza yardımcı olmak için uyarının diğer ayrıntılarını içeren Uyarı ayrıntıları sekmesini içerir: IP adresleri, dosyalar, işlemler ve daha fazlası.

    Uyarının tüm ayrıntılar sayfasını gösteren ekran görüntüsü.

    Ayrıca sağ bölmede Eylem yap sekmesi yer alır. Güvenlik uyarısıyla ilgili daha fazla işlem yapmak için bu sekmeyi kullanın. Şunlar gibi eylemler:

    • Kaynak bağlamını inceleme - sizi kaynağın güvenlik uyarısını destekleyen etkinlik günlüklerine gönderir
    • Tehdidi azaltma - Bu güvenlik uyarısı için el ile düzeltme adımları sağlar
    • Gelecekteki saldırıları önleme - saldırı yüzeyini azaltmaya, güvenlik duruşunu artırmaya ve böylece gelecekteki saldırıları önlemeye yardımcı olmak için güvenlik önerileri sağlar
    • Otomatik yanıtı tetikleme - Bu güvenlik uyarısına yanıt olarak bir mantıksal uygulamayı tetikleme seçeneği sağlar
    • Benzer uyarıları gizleme - Uyarı kuruluşunuz için uygun değilse benzer özelliklere sahip gelecek uyarıları gizleme seçeneği sağlar

    Eylem gerçekleştir sekmesinde sağlanan seçenekleri gösteren ekran görüntüsü.

    Diğer ayrıntılar için, algılanan etkinliğin hatalı pozitif olup olmadığını doğrulamak için kaynak sahibine başvurun. Ayrıca, saldırıya uğrayan kaynak tarafından oluşturulan ham günlükleri araştırabilirsiniz.

Aynı anda birden çok güvenlik uyarısının durumunu değiştirme

Uyarılar listesinde, birden çok uyarıyı aynı anda işleyebilmeniz için onay kutuları bulunur. Örneğin, önceliklendirme amacıyla belirli bir kaynak için tüm bilgilendirme uyarılarını kapatmaya karar vekleyebilirsiniz.

  1. Toplu olarak işlemek istediğiniz uyarılara göre filtreleyin.

    Bu örnekte, kaynağın ASC-AKS-CLOUD-TALK önem derecesine Informational sahip uyarılar seçilir.

    İlgili uyarıları göstermek için uyarıları filtrelemeyi gösteren ekran görüntüsü.

  2. İşlenecek uyarıları seçmek için onay kutularını kullanın.

    Bu örnekte tüm uyarılar seçilidir. Durumu değiştir düğmesi artık kullanılabilir.

    Toplu olarak işlenmek üzere tüm uyarıları seçme işleminin ekran görüntüsü.

  3. İstenen durumu ayarlamak için Durumu değiştir seçeneklerini kullanın.

    Güvenlik uyarıları durum sekmesinin ekran görüntüsü.

    Geçerli sayfada gösterilen uyarıların durumu seçili değere değiştirildi.

Güvenlik uyarısını yanıtlama

Bir güvenlik uyarısını araştırdıktan sonra, uyarıya Bulut için Microsoft Defender içinden yanıt vekleyebilirsiniz.

Bir güvenlik uyarısını yanıtlamak için:

  1. Önerilen yanıtları görmek için Eylem gerçekleştir sekmesini açın.

    Güvenlik uyarıları eyleme geç sekmesinin ekran görüntüsü.

  2. Sorunu azaltmak için gereken el ile araştırma adımları için Tehdit azaltma bölümünü gözden geçirin.

  3. Kaynaklarınızı sağlamlaştırmak ve gelecekte bu tür saldırıları önlemek için, Gelecek saldırıları önleme bölümündeki güvenlik önerilerini düzeltin.

  4. Otomatik yanıt adımlarıyla bir mantıksal uygulamayı tetikleme için Otomatik yanıtı tetikle bölümünü kullanın ve Mantıksal uygulamayı tetikle'yi seçin.

  5. Algılanan etkinlik kötü amaçlı değilse Benzer uyarıları gizle bölümünü kullanarak bu türdeki gelecek uyarıları gizleyebilir ve Gizleme kuralı oluştur'u seçebilirsiniz.

  6. Bu abonelikte güvenlik uyarılarıyla ilgili e-postaları kimlerin aldığını görüntülemek için E-posta bildirim ayarlarını yapılandır'ı seçin. E-posta ayarlarını yapılandırmak için abonelik sahibine başvurun.

  7. Uyarıyla ilgili araştırmayı tamamlayıp uygun şekilde yanıtladığınızda, durumu Kapatıldı olarak değiştirin.

    Uyarının durum açılan menüsünün ekran görüntüsü.

    Uyarı, ana uyarılar listesinden kaldırılır. Kapatıldı durumundaki tüm uyarıları görüntülemek için uyarı listesi sayfasındaki filtreyi kullanabilirsiniz.

  8. Uyarı hakkında Microsoft'a geri bildirim göndermenizi öneririz:

    1. Uyarıyı Yararlı veya Yararlı Değil olarak işaretleme.
    2. Bir neden seçin ve açıklama ekleyin.

    Uyarının yararlılığını seçmenize olanak tanıyan Microsoft'a geri bildirim sağlama penceresinin ekran görüntüsü.

    İpucu

    Algoritmalarımızı geliştirmek ve daha iyi güvenlik uyarıları sağlamak için geri bildirimlerinizi gözden geçiriyoruz.

    Farklı uyarı türleri hakkında bilgi edinmek için bkz . Güvenlik uyarıları - başvuru kılavuzu.

    Bulut için Defender'nin uyarıları nasıl oluşturduğuna genel bakış için bkz. Bulut için Microsoft Defender tehditleri algılama ve yanıtlama.

    Aracısız taramanın sonuçlarını gözden geçirme

    Hem aracı tabanlı hem de aracısız tarayıcının sonuçları Güvenlik uyarıları sayfasında görünür.

    Hem aracı tabanlı hem de aracısız tarama sonuçlarını gösteren güvenlik uyarıları sayfasının ekran görüntüsü.

    Not

    Bu uyarılardan biri düzeltildiğinde, sonraki tarama tamamlanana kadar diğer uyarı düzeltilmeyecektir.

İlgili içerik