Anomali algılama uyarıları nasıl araştırılır?
Bulut için Microsoft Defender Uygulamaları, kötü amaçlı etkinlikler için güvenlik algılamaları ve uyarılar sağlar. Bu kılavuzun amacı, araştırma ve düzeltme görevlerinizde size yardımcı olmak için her uyarı hakkında genel ve pratik bilgiler sağlamaktır. Bu kılavuzda uyarıları tetikleme koşulları hakkında genel bilgiler yer alır. Ancak anomali algılamaları doğası gereği belirsiz olmadığından yalnızca normdan sapan davranışlar olduğunda tetiklendiklerine dikkat etmek önemlidir. Son olarak, bazı uyarılar önizleme aşamasında olabilir, bu nedenle güncelleştirilmiş uyarı durumu için resmi belgeleri düzenli olarak gözden geçirin.
MITRE ATT&CK
Bulut için Defender Uygulamaları uyarıları ile tanıdık MITRE ATT&CK Matrisi arasındaki ilişkiyi açıklamak ve eşlemeyi kolaylaştırmak için uyarıları ilgili MITRE ATT&CK taktiğine göre kategorilere ayırdık. Bu ek başvuru, bir Bulut için Defender Uygulamaları uyarısı tetiklendiğinde kullanımda olabilecek şüpheli saldırı tekniklerinin anlaşılmasını kolaylaştırır.
Bu kılavuz, aşağıdaki kategorilerdeki Bulut için Defender Uygulamaları uyarılarını araştırma ve düzeltme hakkında bilgi sağlar.
Güvenlik uyarısı sınıflandırmaları
Düzgün araştırma sonrasında, tüm Bulut için Defender Uygulamaları uyarıları aşağıdaki etkinlik türlerinden biri olarak sınıflandırılabilir:
- Gerçek pozitif (TP): Doğrulanmış bir kötü amaçlı etkinlikle ilgili uyarı.
- Zararsız gerçek pozitif (B-TP): Sızma testi veya diğer yetkili şüpheli eylemler gibi şüpheli ancak kötü amaçlı olmayan etkinliklerle ilgili bir uyarı.
- Hatalı pozitif (FP): Kötü amaçlı olmayan bir etkinlikle ilgili uyarı.
Genel araştırma adımları
Önerilen eylemi uygulamadan önce olası tehdidi daha net anlamak için herhangi bir uyarı türünü araştırırken aşağıdaki genel yönergeleri kullanmalısınız.
- Kullanıcının araştırma öncelik puanını gözden geçirin ve kuruluşun geri kalanıyla karşılaştırın. Bu, kuruluşunuzdaki hangi kullanıcıların en büyük risk oluşturduğunu belirlemenize yardımcı olur.
- Bir TP tanımlarsanız, etkiyi anlamak için kullanıcının tüm etkinliklerini gözden geçirin.
- Diğer güvenlik ihlal göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etkinin kaynağını ve kapsamını keşfedin. Örneğin, aşağıdaki kullanıcı cihaz bilgilerini gözden geçirin ve bilinen cihaz bilgileriyle karşılaştırın:
- İşletim sistemi ve sürüm
- Tarayıcı ve sürüm
- IP adresi ve konum
İlk erişim uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuza ilk ayak basmaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Anonim IP adresinden etkinlik
Açıklama
Microsoft Tehdit Bilgileri veya kuruluşunuz tarafından anonim proxy IP adresi olarak tanımlanan bir IP adresinden gelen etkinlik. Bu proxy'ler bir cihazın IP adresini gizlemek için kullanılabilir ve kötü amaçlı etkinlikler için kullanılabilir.
TP, B-TP veya FP?
Bu algılama, kuruluştaki kullanıcılar tarafından yaygın olarak kullanılan hatalı etiketli IP adresleri gibi B-TP olaylarını azaltan bir makine öğrenmesi algoritması kullanır.
TP: Etkinliğin anonim veya TOR IP adresinden gerçekleştirildiğini onaylayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
B-TP: Kullanıcının görevleri kapsamında anonim IP adresleri kullandığı biliniyorsa. Örneğin, bir güvenlik analisti kuruluş adına güvenlik veya sızma testleri gerçekleştirdiğinde.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Diğer risk göstergeleri için tüm kullanıcı etkinliklerini ve uyarılarını gözden geçirin. Örneğin, uyarının ardından Sıra dışı dosya indirme (kullanıcı tarafından) veya Şüpheli gelen kutusu iletme uyarısı gibi başka bir şüpheli uyarı geldiyse, bu genellikle bir saldırganın verileri dışarı aktarmaya çalıştığı anlamına gelir.
Seyrek kullanılan ülkeden etkinlik
Kötü amaçlı etkinliği gösterebilecek bir ülkeden/bölgeden etkinlik. Bu ilke ortamınızın profilini oluşturur ve yakın zamanda olmayan veya kuruluştaki herhangi bir kullanıcı tarafından hiç ziyaret edilen bir konumdan etkinlik algılandığında uyarıları tetikler.
İlkenin kapsamı daha fazla bir kullanıcı alt kümesi olarak belirlenmiş olabilir veya uzak konumlara seyahat eden bilinen kullanıcıları dışlayabilir.
Öğrenme dönemi
Anormal konumları algılamak için yeni konumlar için uyarıların tetiklenmeyecek şekilde ilk öğrenme süresi yedi gündür.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem:
- Kullanıcıyı askıya alın, parolasını sıfırlayın ve hesabı güvenli bir şekilde yeniden etkinleştirmek için doğru zamanı belirleyin.
- İsteğe bağlı: Power Automate'i kullanarak, etkinliklerini doğrulamak için seyrek konumlardan ve yöneticilerinden bağlandığını algılayan kullanıcılarla iletişim kurmak için bir playbook oluşturun.
B-TP: Bir kullanıcının bu konumda olduğu biliniyorsa. Örneğin, sık seyahat eden ve şu anda belirtilen konumda olan bir kullanıcı.
Önerilen eylem:
- Uyarıyı kapatın ve kullanıcıyı dışlamak için ilkeyi değiştirin.
- Sık seyahat edenler için bir kullanıcı grubu oluşturun, grubu Bulut için Defender Uygulamalarına aktarın ve kullanıcıları bu uyarının dışında tutun
- İsteğe bağlı: Power Automate'i kullanarak, etkinliklerini doğrulamak için seyrek konumlardan ve yöneticilerinden bağlandığını algılayan kullanıcılarla iletişim kurmak için bir playbook oluşturun.
İhlal kapsamını anlama
- Olası veri indirmeleri gibi hangi kaynağın gizliliğinin tehlikeye girmiş olabileceğini gözden geçirin.
Şüpheli IP adreslerinden etkinlik
Microsoft Tehdit Bilgileri veya kuruluşunuz tarafından riskli olarak tanımlanan bir IP adresinden gelen etkinlik. Bu IP adreslerinin parola spreyi, botnet komutu ve denetimi (C&C) gerçekleştirme gibi kötü amaçlı etkinliklere dahil olduğu belirlendi ve güvenliği aşılmış bir hesabı gösterebilir.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
B-TP: Kullanıcının görevleri kapsamında IP adresini kullandığı biliniyorsa. Örneğin, bir güvenlik analisti kuruluş adına güvenlik veya sızma testleri gerçekleştirdiğinde.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Etkinlik günlüğünü gözden geçirin ve aynı IP adresinden etkinlikleri arayın.
- Olası veri indirmeleri veya yönetim değişiklikleri gibi hangi kaynağın gizliliğinin aşılmış olabileceğini gözden geçirin.
- Bu uyarıları gönüllü olarak tetikleyen güvenlik analistleri için bir grup oluşturun ve bunları ilkenin dışında tutun.
İmkansız Seyahat
İki konum arasındaki beklenen seyahat süresinden daha kısa bir süre içinde farklı konumlarda aynı kullanıcıdan gelen etkinlik. Bu, kimlik bilgisi ihlalini gösterebilir, ancak kullanıcının gerçek konumunun örneğin bir VPN kullanılarak maskelenmiş olması da mümkündür.
Doğruluğu ve uyarıyı yalnızca bir ihlalin güçlü bir göstergesi olduğunda geliştirmek için, Bulut için Defender Uygulamalar kuruluştaki her kullanıcı için bir temel oluşturur ve yalnızca olağan dışı davranış algılandığında uyarır. İmkansız seyahat politikası gereksinimlerinize göre ince ayarlanabilir.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
Bu algılama, seyahatin her iki tarafındaki IP adreslerinin güvenli kabul edilmesi, seyahate güvenilmesi ve İmkansız seyahat algılamasının tetiklenmesi dışında tutulması gibi belirgin B-TP koşullarını yoksayan bir makine öğrenmesi algoritması kullanır. Örneğin, her iki taraf da şirket olarak etiketlenmişse güvenli olarak kabul edilir. Ancak, seyahatin yalnızca bir tarafının IP adresi güvenli olarak kabul edilirse, algılama normal şekilde tetikler.
TP: İmkansız seyahat uyarısında konumun kullanıcı için pek olası olmadığını onaylayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
FP (Algılanmayan kullanıcı seyahati): Kullanıcının uyarıda ayrıntılı olarak belirtilen hedefe yakın zamanda seyahat ettiğini doğrulayabilirseniz. Örneğin, bir kullanıcının uçak modundaki telefonu farklı bir konuma seyahat ederken şirket ağınızdaki Exchange Online gibi hizmetlere bağlı kalırsa. Kullanıcı yeni konuma geldiğinde, telefon Exchange Online'a bağlanarak imkansız seyahat uyarısını tetikler.
Önerilen eylem: Uyarıyı kapatın.
FP (Etiketsiz VPN): IP adresi aralığının tasdikli bir VPN'den geldiğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın ve VPN'in IP adresi aralığını Bulut için Defender Uygulamalar'a ekleyin ve vpn'in IP adresi aralığını etiketlemek için kullanın.
İhlal kapsamını anlama
- Aynı konumda ve IP adresinde benzer etkinlikleri anlamak için etkinlik günlüğünü gözden geçirin.
- Kullanıcının yeni bir konumdan büyük miktarda dosya indirme gibi diğer riskli etkinlikleri gerçekleştirdiğini görürseniz, bu olası bir risk durumunun güçlü bir göstergesi olacaktır.
- Kurumsal VPN'ler ve IP Adresi aralıkları ekleyin.
- Power Automate'i kullanarak bir playbook oluşturun ve kullanıcının meşru bir şekilde seyahat edip etmediğini görmek için kullanıcının yöneticisine başvurun.
- Kurumsal seyahat raporlaması için bilinen bir gezgin veritabanı oluşturmayı göz önünde bulundurun ve bunu çapraz başvuru seyahat etkinliği için kullanın.
Yanıltıcı OAuth uygulama adı
Bu algılama, Latin harflerine benzeyen yabancı harfler gibi karakterler içeren uygulamaları tanımlar. Bu, kötü amaçlı bir uygulamayı bilinen ve güvenilen bir uygulama olarak gizleme girişimini gösterebilir, böylece saldırganlar kullanıcıları kötü amaçlı uygulamalarını indirmeleri için kandırabilir.
TP, B-TP veya FP?
TP: Uygulamanın yanıltıcı bir ada sahip olduğunu onaylayabilirseniz.
Önerilen eylem: Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz.
Uygulamaya erişimi yasaklamak için, Uygulama idaresi sayfasındaki Google veya Salesforce sekmelerinde, yasaklamak istediğiniz uygulamanın görüntülendiği satırda yasaklama simgesini seçin. - Kullanıcılara yükledikleri ve yetkilendirdikleri uygulamanın yasaklandığını bildirmek isteyip istemediğinizi seçebilirsiniz. Bildirim, kullanıcıların uygulamanın devre dışı bırakılacağını ve bağlı uygulamaya erişemeyeceklerini bilmesini sağlar. Onların bilmesini istemiyorsanız, iletişim kutusunda Bu yasaklanan uygulamaya erişim izni veren kullanıcılara bildir'in seçimini kaldırın. - Uygulama kullanıcılarına uygulamalarının kullanımının yasaklanmak üzere olduğunu bildirmeniz önerilir.
FP: Uygulamanın yanıltıcı bir ada sahip olduğunu ancak kuruluşta meşru bir iş kullanımına sahip olduğunu onaylıyorsanız.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Riskli OAuth uygulamalarını araştırma öğreticisini izleyin.
OAuth uygulaması için yanıltıcı yayımcı adı
Bu algılama, Latin harflerine benzeyen yabancı harfler gibi karakterler içeren uygulamaları tanımlar. Bu, kötü amaçlı bir uygulamayı bilinen ve güvenilen bir uygulama olarak gizleme girişimini gösterebilir, böylece saldırganlar kullanıcıları kötü amaçlı uygulamalarını indirmeleri için kandırabilir.
TP, B-TP veya FP?
TP: Uygulamanın yanıltıcı bir yayımcı adına sahip olduğunu onaylayabilirseniz.
Önerilen eylem: Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz.
FP: Uygulamanın yanıltıcı bir yayımcı adına sahip olduğunu ancak yasal bir yayımcı olduğunu onaylayacaksanız.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uygulama idaresi sayfasındaki Google veya Salesforce sekmelerinde uygulamayı seçerek Uygulama çekmecesini açın ve ardından İlgili etkinlik'i seçin. Bu, uygulama tarafından gerçekleştirilen etkinlikler için filtrelenmiş Etkinlik günlüğü sayfasını açar. Bazı uygulamaların, bir kullanıcı tarafından gerçekleştirilen olarak kaydedilmiş etkinlikleri gerçekleştirdiğini unutmayın. Bu etkinlikler, etkinlik günlüğündeki sonuçlardan otomatik olarak filtrelenir. Etkinlik günlüğünü kullanarak daha fazla araştırma yapmak için bkz . Etkinlik günlüğü.
- Bir uygulamanın şüpheli olduğundan şüpheleniyorsanız, uygulamanın adını ve yayımcısını farklı uygulama mağazalarında araştırmanızı öneririz. Uygulama mağazalarını denetlerken aşağıdaki uygulama türlerine odaklanın:
- Düşük sayıda indirmeye sahip uygulamalar.
- Düşük derecelendirmeye veya puana veya kötü yorumlara sahip uygulamalar.
- Şüpheli yayımcı veya web sitesine sahip uygulamalar.
- Yakın zamanda güncelleştirilmedi uygulamalar. Bu, artık desteklenmeyen bir uygulamayı gösterebilir.
- Ilgisiz izinlere sahip uygulamalar. Bu, bir uygulamanın riskli olduğunu gösterebilir.
- Bir uygulamanın şüpheli olduğundan hala şüpheleniyorsanız, uygulama adını, yayımcıyı ve URL'yi çevrimiçi olarak araştırabilirsiniz.
Yürütme uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzda kötü amaçlı kod çalıştırmaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Birden çok depolama silme etkinliği
Kullanıcının, öğrenilen temelle karşılaştırıldığında Azure blobları, AWS S3 demetleri veya Cosmos DB gibi kaynaklardan olağan dışı sayıda bulut depolama alanı veya veritabanı silme işlemi gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Bu, kuruluşunuzun ihlal edilmesine çalışıldığını gösterebilir.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
TP: Silmelerin yetkisiz olduğunu onaylayacaksanız.
Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve tüm cihazları kötü amaçlı tehditlere karşı tarayın. Diğer güvenlik ihlal göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etki kapsamını keşfedin.
FP: Araştırmanızın ardından yöneticinin bu silme etkinliklerini gerçekleştirme yetkisine sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Kullanıcıya başvurun ve etkinliği onaylayın.
- Diğer risk göstergelerini görmek için etkinlik günlüğünü gözden geçirin ve değişikliği kimin yaptığını görün.
- Diğer hizmetlerde yapılan değişiklikler için kullanıcının etkinliklerini gözden geçirin.
Birden çok VM oluşturma etkinliği
Tek bir oturumdaki etkinlikler, kullanıcının öğrenilen temelle karşılaştırıldığında olağan dışı sayıda VM oluşturma eylemi gerçekleştirdiğini gösterir. İhlal edilmiş bir Bulut altyapısında birden çok VM oluşturma işlemi, kuruluşunuzun içinden şifreleme madenciliği işlemlerini çalıştırma girişimini gösterebilir.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
Doğruluğu ve uyarıyı yalnızca bir ihlalin güçlü bir göstergesi olduğunda geliştirmek için, bu algılama kuruluştaki her ortamda bir temel oluşturarak B-TP olaylarını azaltır. Örneğin, yönetici yerleşik temelden daha fazla sanal makine oluşturmuştur ve yalnızca olağan dışı davranış algılandığında uyarır.
TP: Oluşturma etkinliklerinin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve tüm cihazları kötü amaçlı tehditlere karşı tarayın. Diğer güvenlik ihlal göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etki kapsamını keşfedin. Buna ek olarak, kullanıcıyla iletişime geçin, meşru eylemlerini onaylayın ve ardından güvenliği aşılmış vm'leri devre dışı bırakmadığınızdan veya sildiğinizden emin olun.
B-TP: Araştırmanızdan sonra yöneticinin bu oluşturma etkinliklerini gerçekleştirme yetkisine sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin.
- Kullanıcı tarafından oluşturulan veya değiştirilen kaynakları gözden geçirin ve kuruluşunuzun ilkelerine uygun olduğunu doğrulayın.
Bulut bölgesi için şüpheli oluşturma etkinliği (önizleme)
Kullanıcının, öğrenilen temelle karşılaştırıldığında yaygın olmayan bir AWS bölgesinde olağan dışı bir kaynak oluşturma eylemi gerçekleştirdiğini gösteren etkinlikler. Yaygın olmayan bulut bölgelerinde kaynak oluşturma, kuruluşunuzun içinden şifreleme madenciliği işlemleri gibi kötü amaçlı bir etkinlik gerçekleştirme girişimini gösterebilir.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
Doğruluğu ve uyarıyı yalnızca bir ihlalin güçlü bir göstergesi olduğunda geliştirmek için, bu algılama B-TP olaylarını azaltmak için kuruluştaki her ortam için bir temel oluşturur.
TP: Oluşturma etkinliklerinin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve tüm cihazları kötü amaçlı tehditlere karşı tarayın. Diğer güvenlik ihlal göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etki kapsamını keşfedin. Ayrıca, kullanıcıyla iletişime geçin, meşru eylemlerini onaylayın ve ardından güvenliği aşılmış bulut kaynaklarını devre dışı bırakın veya silin.
B-TP: Araştırmanızdan sonra yöneticinin bu oluşturma etkinliklerini gerçekleştirme yetkisine sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin.
- Oluşturulan kaynakları gözden geçirin ve kuruluşunuzun ilkelerine uygun olduklarını doğrulayın.
Kalıcılık uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdaki ayaklarını korumaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Sonlandırılan kullanıcı tarafından gerçekleştirilen etkinlik
Sonlandırılan bir kullanıcı tarafından gerçekleştirilen etkinlik, şirket kaynaklarına hala erişimi olan, sonlandırılan bir çalışanın kötü amaçlı bir etkinlik gerçekleştirmeye çalıştığını gösterebilir. Bulut için Defender Uygulamalar, kuruluştaki kullanıcıların profilini oluşturur ve sonlandırılan bir kullanıcı etkinlik gerçekleştirdiğinde bir uyarı tetikler.
TP, B-TP veya FP?
TP: Sonlandırılan kullanıcının hala belirli şirket kaynaklarına erişimi olduğunu ve etkinlikler gerçekleştirdiğini onaylayabilirseniz.
Önerilen eylem: Kullanıcıyı devre dışı bırakın.
B-TP: Kullanıcının geçici olarak devre dışı bırakıldığını veya silinip yeniden kaydedildiğini saptayabiliyorsanız.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Kullanıcının sonlandırıldığını onaylamak için İk kayıtlarına çapraz başvuruda bulunur.
- Microsoft Entra kullanıcı hesabının varlığını doğrulayın.
Not
Microsoft Entra Bağlan kullanıyorsanız, şirket içi Active Directory nesnesini doğrulayın ve başarılı bir eşitleme döngüsünü onaylayın.
- Sonlandırılan kullanıcının erişimi olan tüm uygulamaları belirleyin ve hesapların yetkisini alın.
- Yetki alma yordamlarını güncelleştirin.
CloudTrail günlüğe kaydetme hizmetinin şüpheli değişikliği
Bir kullanıcının AWS CloudTrail günlük hizmetinde şüpheli değişiklikler gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Bu, kuruluşunuzun ihlal edilmesine çalışıldığını gösterebilir. CloudTrail devre dışı bırakıldığında, işlem değişiklikleri artık günlüğe kaydedilmez. Saldırgan, CloudTrail denetim olayından kaçınırken özelden genele bir S3 demetini değiştirme gibi kötü amaçlı etkinlikler gerçekleştirebilir.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve CloudTrail etkinliğini tersine çevirin.
FP: Kullanıcının CloudTrail hizmetini yasal olarak devre dışı bırakdığını doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Diğer risk göstergelerini görmek için etkinlik günlüğünü gözden geçirin ve CloudTrail hizmetinde kimin değişiklik yaptığını görün.
- İsteğe bağlı: Kullanıcıların ve yöneticilerinin etkinliklerini doğrulamaları için Power Automate kullanarak bir playbook oluşturun.
Şüpheli e-posta silme etkinliği (kullanıcıya göre)
Bir kullanıcının şüpheli e-posta silme işlemleri gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Silme türü, e-posta öğesinin silinmesine ve kullanıcının posta kutusunda kullanılamamasına neden olan "sabit silme" türüdür. Silme işlemi ISS, ülke/bölge ve kullanıcı aracısı gibi yaygın olmayan tercihleri içeren bir bağlantıdan yapıldı. Bu, istenmeyen posta etkinlikleriyle ilgili e-postaları silerek işlemleri maskeleme girişiminde bulunan saldırganlar gibi kuruluşunuzun ihlal girişimini gösterebilir.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
FP: Kullanıcının iletileri silmek için yasal olarak bir kural oluşturduğunu onaylayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
Şüpheli gelen kutusu iletme uyarısı ve ardından İmkansız Seyahat uyarısı gibi diğer risk göstergeleri için tüm kullanıcı etkinliğini gözden geçirin. Şunu arayın:
- Aşağıdaki gibi yeni SMTP iletme kuralları:
- Kötü amaçlı iletme kuralı adlarını denetleyin. Kural adları, "Tüm E-postaları İlet" ve "Otomatik iletme" gibi basit adlardan veya neredeyse görünür olmayan "." gibi yanıltıcı adlardan farklılık gösterebilir. İletim kuralı adları boş bile olabilir ve iletme alıcısı tek bir e-posta hesabı veya listenin tamamı olabilir. Kötü amaçlı kurallar kullanıcı arabiriminden de gizlenebilir. Algılandıktan sonra, posta kutularından gizli kuralları silme hakkında bu yararlı blog gönderisini kullanabilirsiniz.
- Bilinmeyen bir iç veya dış e-posta adresine tanınmayan bir iletme kuralı algılarsanız, gelen kutusu hesabının gizliliğinin tehlikeye girdiğini varsayabilirsiniz.
- "Tümünü sil", "iletileri başka bir klasöre taşı" gibi yeni gelen kutusu kuralları veya "..." gibi belirsiz adlandırma kuralları olanlar.
- Gönderilen e-postalarda artış.
- Aşağıdaki gibi yeni SMTP iletme kuralları:
Şüpheli gelen kutusu işleme kuralı
Bir saldırganın kullanıcının gelen kutusuna erişim elde ettiğini ve şüpheli bir kural oluşturduğunu gösteren etkinlikler. Kullanıcının gelen kutusundan iletileri veya klasörleri silme veya taşıma gibi işleme kuralları, kuruluşunuzdan bilgi sızdırma girişimi olabilir. Benzer şekilde, kullanıcının gördüğü bilgileri işleme veya gelen kutusunu istenmeyen posta, kimlik avı e-postaları veya kötü amaçlı yazılım dağıtmak için kullanma girişimini gösterebilir. Bulut için Defender Uygulamalar ortamınızın profilini oluşturur ve kullanıcının gelen kutusunda şüpheli gelen kutusu işleme kuralları algılandığında uyarıları tetikler. Bu, kullanıcının hesabının gizliliğinin ihlal edilmiş olduğunu gösterebilir.
TP, B-TP veya FP?
TP: Kötü amaçlı bir gelen kutusu kuralı oluşturulduğunu ve hesabın gizliliğinin ihlal edildiğini onaylayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve iletme kuralını kaldırın.
FP: Bir kullanıcının kuralı meşru bir şekilde oluşturduğunu onaylayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Şüpheli gelen kutusu iletme uyarısı ve ardından İmkansız Seyahat uyarısı gibi diğer risk göstergeleri için tüm kullanıcı etkinliğini gözden geçirin. Aramak:
- Yeni SMTP iletme kuralları.
- "Tümünü sil", "iletileri başka bir klasöre taşı" gibi yeni gelen kutusu kuralları veya "..." gibi belirsiz adlandırma kuralları olanlar.
- Eylem için IP adresi ve konum bilgilerini toplayın.
- Güvenliği aşılmış diğer kullanıcıları algılamak için kuralı oluşturmak için kullanılan IP adresinden gerçekleştirilen etkinlikleri gözden geçirin.
Ayrıcalık yükseltme uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzda daha üst düzey izinler almaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Olağan dışı yönetim etkinliği (kullanıcıya göre)
Bir saldırganın bir kullanıcı hesabının gizliliğini tehlikeye attığını ve bu kullanıcı için yaygın olmayan yönetim eylemleri gerçekleştirdiğini gösteren etkinlikler. Örneğin, saldırgan bir kullanıcının güvenlik ayarını değiştirmeyi deneyebilir. Bu, ortak bir kullanıcı için nispeten nadir görülen bir işlemdir. Bulut için Defender Apps, kullanıcının davranışına göre bir temel oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
TP: Etkinliğin geçerli bir yönetici tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
FP: Bir yöneticinin olağan dışı yönetim etkinlikleri hacmini meşru bir şekilde gerçekleştirdiğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Şüpheli gelen kutusu iletme veya İmkansız Seyahat gibi diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin.
- Kalıcılık için kullanılabilecek bir kullanıcı hesabı oluşturma gibi diğer yapılandırma değişikliklerini gözden geçirin.
Kimlik bilgisi erişim uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdan hesap adlarını ve parolaları çalmaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Birden çok başarısız oturum açma girişimi
Başarısız oturum açma girişimleri, bir hesabı ihlal etme girişiminde gösteriliyor olabilir. Ancak başarısız oturum açma işlemleri de normal bir davranış olabilir. Örneğin, bir kullanıcı yanlışlıkla yanlış parola girdiğinde. Doğruluğu ve uyarıyı yalnızca ihlal girişiminin güçlü bir göstergesi olduğunda elde etmek için, Bulut için Defender Uygulamalar kuruluştaki her kullanıcı için bir oturum açma alışkanlıkları temeli oluşturur ve yalnızca olağan dışı davranış algılandığında uyarır.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
Bu ilke, kullanıcının normal oturum açma davranışını öğrenmeye dayanır. Normdan sapma algılandığında bir uyarı tetikler. Algılama aynı davranışın devam ettiğini görmeye başlarsa uyarı yalnızca bir kez oluşturulur.
TP (MFA başarısız olur): MFA'nın düzgün çalıştığını doğrulayabilirseniz, bu deneme yanılma saldırısı girişiminin bir işareti olabilir.
Önerilen eylemler:
- Kullanıcıyı askıya alın, kullanıcıyı tehlikede olarak işaretleyin ve parolasını sıfırlayın.
- Başarısız kimlik doğrulamalarını gerçekleştiren uygulamayı bulun ve yeniden yapılandırın.
- Etkinlik süresi boyunca oturum açmış olan diğer kullanıcıları arayın çünkü bu kullanıcılar da tehlikeye girebilir. Kullanıcıyı askıya alın, kullanıcıyı tehlikede olarak işaretleyin ve parolasını sıfırlayın.
B-TP (MFA başarısız olur): Uyarının MFA ile ilgili bir sorundan kaynaklandığını doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyla iletişim kurmak ve MFA ile ilgili sorunlar yaşanıp yaşamadıklarını denetlemek için Power Automate'i kullanarak bir playbook oluşturun.
B-TP (Yanlış yapılandırılmış uygulama): Yanlış yapılandırılmış bir uygulamanın süresi dolmuş kimlik bilgileriyle bir hizmete birden çok kez bağlanmaya çalıştığından eminseniz.
Önerilen eylem: Uyarıyı kapatın.
B-TP (Parola değiştirildi): Bir kullanıcının kısa süre önce parolasını değiştirdiğini doğrulayabiliyorsanız ancak ağ paylaşımları genelinde kimlik bilgilerini etkilemediyse.
Önerilen eylem: Uyarıyı kapatın.
B-TP (Güvenlik testi): Kuruluş adına güvenlik analistleri tarafından bir güvenlik veya sızma testi yapıldığını doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Uyarının ardından şu uyarılardan biri gelir: İmkansız Seyahat, anonim IP adresinden etkinlik veya Seyrek olmayan ülkeden etkinlik gibi diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin.
- Aşağıdaki kullanıcı cihaz bilgilerini gözden geçirin ve bilinen cihaz bilgileriyle karşılaştırın:
- İşletim sistemi ve sürüm
- Tarayıcı ve sürüm
- IP adresi ve konum
- Kimlik doğrulama girişiminin gerçekleştiği kaynak IP adresini veya konumu belirleyin.
- Kullanıcının kısa süre önce parolasını değiştirip değiştirmediğini belirleyin ve tüm uygulama ve cihazların güncelleştirilmiş parolaya sahip olduğundan emin olun.
OAuth uygulamasına olağan dışı kimlik bilgileri ekleme
Bu algılama, OAuth uygulamasına ayrıcalıklı kimlik bilgilerinin şüpheli eklenmesini tanımlar. Bu, bir saldırganın uygulamanın gizliliğini ihlal ettiğini ve kötü amaçlı etkinlikler için kullandığını gösterebilir.
Öğrenme dönemi
Kuruluşunuzun ortamını öğrenmek için yedi günlük bir süre gerekir ve bu süre boyunca yüksek miktarda uyarı bekleyebilirsiniz.
OAuth uygulaması için olağan dışı ISS
Algılama, uygulama için yaygın olmayan bir ISS'den bulut uygulamanıza bağlanan bir OAuth uygulamasını tanımlar. Bu, bir saldırganın bulut uygulamalarınızda kötü amaçlı etkinlikler gerçekleştirmek için güvenli bir güvenliği aşılmış uygulamayı kullanmaya çalıştığını gösterebilir.
Öğrenme dönemi
Bu algılama için öğrenme süresi 30 gündür.
TP, B-TP veya FP?
TP: Etkinliğin OAuth uygulamasının meşru bir etkinliği olmadığını veya bu ISS'nin meşru OAuth uygulaması tarafından kullanılmadığını doğrulayabilirseniz.
Önerilen eylem: OAuth uygulamasının tüm erişim belirteçlerini iptal edin ve bir saldırganın OAuth erişim belirteçleri oluşturmaya erişimi olup olmadığını araştırın.
FP: Etkinliğin orijinal OAuth uygulaması tarafından meşru bir şekilde yapıldığını onaylayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
OAuth uygulaması tarafından gerçekleştirilen etkinlikleri gözden geçirin.
Bir saldırganın OAuth erişim belirteçleri oluşturmaya erişimi olup olmadığını araştırın.
Toplama uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdan hedefleriyle ilgili verileri toplamaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Birden çok Power BI rapor paylaşma etkinliği
Bir kullanıcının, öğrenilen temelle karşılaştırıldığında Power BI'da olağan dışı sayıda paylaşım raporu etkinliği gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Bu, kuruluşunuzun ihlal edilmesine çalışıldığını gösterebilir.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Power BI'dan paylaşım erişimini kaldırma. Hesabın gizliliğinin ihlal edildiğini doğrulayabilirseniz kullanıcıyı askıya alın, kullanıcıyı tehlikede olarak işaretleyin ve parolasını sıfırlayın.
FP: Kullanıcının bu raporları paylaşmak için bir iş gerekçesi olduğunu onaylayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Kullanıcı tarafından gerçekleştirilen diğer etkinlikleri daha iyi anlamak için etkinlik günlüğünü gözden geçirin. Oturum açtıkları IP adresine ve cihaz ayrıntılarına bakın.
- Raporları şirket içinde ve dışında paylaşma yönergelerini anlamak için Power BI ekibinize veya Information Protection ekibinize başvurun.
Şüpheli Power BI rapor paylaşımı
Kullanıcının raporun meta verilerini analiz etmek için NLP kullanılarak tanımlanan hassas bilgiler içerebilen bir Power BI raporunu paylaştığını gösteren etkinlikler. Rapor bir dış e-posta adresiyle paylaşıldı, web'de yayımlandı veya bir anlık görüntü dışarıdan abone olunan bir e-posta adresine teslim edildi. Bu, kuruluşunuzun ihlal edilmesine çalışıldığını gösterebilir.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Power BI'dan paylaşım erişimini kaldırma. Hesabın gizliliğinin ihlal edildiğini doğrulayabilirseniz kullanıcıyı askıya alın, kullanıcıyı tehlikede olarak işaretleyin ve parolasını sıfırlayın.
FP: Kullanıcının bu raporları paylaşmak için bir iş gerekçesi olduğunu onaylayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Kullanıcı tarafından gerçekleştirilen diğer etkinlikleri daha iyi anlamak için etkinlik günlüğünü gözden geçirin. Oturum açtıkları IP adresine ve cihaz ayrıntılarına bakın.
- Raporları şirket içinde ve dışında paylaşma yönergelerini anlamak için Power BI ekibinize veya Information Protection ekibinize başvurun.
Olağan dışı kimliğine bürünülen etkinlik (kullanıcıya göre)
Bazı yazılımlarda, diğer kullanıcıların diğer kullanıcıların kimliğine bürünmelerine izin verme seçenekleri vardır. Örneğin, e-posta hizmetleri kullanıcıların diğer kullanıcılara kendi adlarına e-posta gönderme yetkisi vermelerini sağlar. Bu etkinlik, saldırganlar tarafından kuruluşunuzla ilgili bilgileri ayıklama amacıyla kimlik avı e-postaları oluşturmak için yaygın olarak kullanılır. Bulut için Defender Uygulamalar, kullanıcının davranışına göre bir temel oluşturur ve olağan dışı bir kimliğe bürünme etkinliği algılandığında bir etkinlik oluşturur.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
FP (Olağan dışı davranış): Kullanıcının olağan dışı etkinlikleri veya yerleşik temelden daha fazla etkinliği meşru bir şekilde gerçekleştirdiğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
FP: Teams gibi uygulamaların kullanıcının kimliğine yasal olarak büründüğünü doğrulayabilirsiniz.
Önerilen eylem: Eylemleri gözden geçirin ve gerekirse uyarıyı kapatın.
İhlal kapsamını anlama
- Güvenlik ihlallerine ilişkin ek göstergeler için tüm kullanıcı etkinliklerini ve uyarılarını gözden geçirin.
- Olası kötü amaçlı etkinlikleri tanımlamak için kimliğe bürünme etkinliklerini gözden geçirin.
- Temsilci erişim yapılandırmasını gözden geçirin.
Sızdırma uyarıları
Bu bölümde kötü amaçlı bir aktörün kuruluşunuzdan veri çalmaya çalışabileceğini belirten uyarılar açıklanmaktadır.
Şüpheli gelen kutusu iletme
Bir saldırganın kullanıcının gelen kutusuna erişim elde ettiğini ve şüpheli bir kural oluşturduğunu gösteren etkinlikler. Tüm e-postaları veya belirli e-postaları başka bir e-posta hesabına iletme gibi düzenleme kuralları, kuruluşunuzdan bilgi sızdırma girişimi olabilir. Bulut için Defender Uygulamalar ortamınızın profilini oluşturur ve kullanıcının gelen kutusunda şüpheli gelen kutusu işleme kuralları algılandığında uyarıları tetikler. Bu, kullanıcının hesabının gizliliğinin ihlal edilmiş olduğunu gösterebilir.
TP, B-TP veya FP?
TP: Kötü amaçlı bir gelen kutusu iletme kuralının oluşturulduğunu ve hesabın gizliliğinin ihlal edildiğini onaylayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve iletme kuralını kaldırın.
FP: Kullanıcının meşru nedenlerle yeni veya kişisel bir dış e-posta hesabına iletme kuralı oluşturduğunu onaylayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
Uyarının ardından İmkansız Seyahat uyarısı gelmesi gibi ek risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin. Şunu arayın:
- Aşağıdaki gibi yeni SMTP iletme kuralları:
- Kötü amaçlı iletme kuralı adlarını denetleyin. Kural adları, "Tüm E-postaları İlet" ve "Otomatik iletme" gibi basit adlardan veya neredeyse görünür olmayan "." gibi yanıltıcı adlardan farklılık gösterebilir. İletim kuralı adları boş bile olabilir ve iletme alıcısı tek bir e-posta hesabı veya listenin tamamı olabilir. Kötü amaçlı kurallar kullanıcı arabiriminden de gizlenebilir. Algılandıktan sonra, posta kutularından gizli kuralları silme hakkında bu yararlı blog gönderisini kullanabilirsiniz.
- Bilinmeyen bir iç veya dış e-posta adresine tanınmayan bir iletme kuralı algılarsanız, gelen kutusu hesabının gizliliğinin tehlikeye girdiğini varsayabilirsiniz.
- "Tümünü sil", "iletileri başka bir klasöre taşı" gibi yeni gelen kutusu kuralları veya "..." gibi belirsiz adlandırma kuralları olanlar.
- Aşağıdaki gibi yeni SMTP iletme kuralları:
Güvenliği aşılmış diğer kullanıcıları algılamak için kuralı oluşturmak için kullanılan IP adresinden gerçekleştirilen etkinlikleri gözden geçirin.
Exchange Online ileti izlemeyi kullanarak iletilen iletilerin listesini gözden geçirin.
Olağan dışı dosya indirme (kullanıcıya göre)
Bir kullanıcının, öğrenilen temele kıyasla bulut depolama platformundan olağan dışı sayıda dosya indirmesi gerçekleştirdiğini gösteren etkinlikler. Bu, kuruluş hakkında bilgi edinme girişimini gösterebilir. Bulut için Defender Apps, kullanıcının davranışına göre bir temel oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
FP (Olağan dışı davranış): Kullanıcının yerleşik temelden daha fazla dosya indirme etkinliği gerçekleştirdiğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
FP (Yazılım eşitleme): OneDrive gibi bir yazılımın uyarıya neden olan bir dış yedeklemeyle eşitlendiğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- İndirme etkinliklerini gözden geçirin ve indirilen dosyaların listesini oluşturun.
- İndirilen dosyaların duyarlılığını kaynak sahibiyle birlikte gözden geçirin ve erişim düzeyini doğrulayın.
Olağan dışı dosya erişimi (kullanıcıya göre)
Kullanıcının, öğrenilen temele kıyasla finansal veri veya ağ verileri içeren dosyalara SharePoint veya OneDrive'da olağan dışı sayıda dosya erişimi gerçekleştirdiğini gösteren etkinlikler. Bu, finansal amaçlarla veya kimlik bilgisi erişimi ve yanal hareket için kuruluş hakkında bilgi edinme girişimini gösterebilir. Bulut için Defender Apps, kullanıcının davranışına göre bir temel oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.
Öğrenme dönemi
Öğrenme dönemi kullanıcının etkinliğine bağlıdır. Genel olarak, çoğu kullanıcı için öğrenme süresi 21 ile 45 gün arasındadır.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
FP (Olağan dışı davranış): Kullanıcının yerleşik temelden daha fazla dosya erişim etkinliği gerçekleştirdiğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Erişim etkinliklerini gözden geçirin ve erişilen dosyaların listesini oluşturun.
- Kaynak sahibiyle erişilen dosyaların duyarlılığını gözden geçirin ve erişim düzeyini doğrulayın.
Olağan dışı dosya paylaşımı etkinliği (kullanıcıya göre)
Bir kullanıcının, öğrenilen temelle karşılaştırıldığında bulut depolama platformundan olağan dışı sayıda dosya paylaşım eylemi gerçekleştirdiğini gösteren etkinlikler. Bu, kuruluş hakkında bilgi edinme girişimini gösterebilir. Bulut için Defender Apps, kullanıcının davranışına göre bir temel oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
FP (Olağan dışı davranış): Kullanıcının yerleşik temelden daha fazla dosya paylaşım etkinliği gerçekleştirdiğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Paylaşım etkinliklerini gözden geçirin ve paylaşılan dosyaların listesini oluşturun.
- Kaynak sahibiyle paylaşılan dosyaların duyarlılığını gözden geçirin ve erişim düzeyini doğrulayın.
- Hassas dosyaların gelecekteki paylaşımını algılamak için benzer belgeler için bir dosya ilkesi oluşturun.
Etki uyarıları
Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdaki sistemlerinizi ve verilerinizi işlemeye, kesintiye uğratmaya veya yok etmeye çalışabileceğini belirten uyarılar açıklanmaktadır.
Birden çok SILME VM etkinliği
Kullanıcının öğrenilen temele kıyasla olağan dışı sayıda VM silme işlemi gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Birden çok VM silme işlemi bir ortamı kesintiye uğratma veya yok etme girişimini gösterebilir. Ancak, VM'lerin silindiği birçok normal senaryo vardır.
TP, B-TP veya FP?
Doğruluğu ve uyarıyı yalnızca bir ihlalin güçlü bir göstergesi olduğunda geliştirmek için, bu algılama B-TP olaylarını azaltmak için kuruluştaki her ortamda bir temel oluşturur ve yalnızca olağan dışı davranış algılandığında uyarır.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP: Silmelerin yetkisiz olduğunu onaylayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve tüm cihazları kötü amaçlı tehditlere karşı tarayın. Diğer güvenlik ihlal göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etki kapsamını keşfedin.
B-TP: Araştırmanızın ardından yöneticinin bu silme etkinliklerini gerçekleştirme yetkisine sahip olduğunu onaylayabilirsiniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Kullanıcıya başvurun ve etkinliği onaylayın.
- Uyarının ardından şu uyarılardan biri geliyor gibi ek risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin: İmkansız Seyahat, Anonim IP adresinden etkinlik veya seyrek kullanılan ülkeden etkinlik.
Fidye yazılımı etkinliği
Fidye yazılımı, bir saldırganın kurbanları cihazlarından kilitlediği veya kurban fidye ödeyene kadar dosyalarına erişmelerini engellediği bir siber saldırıdır. Fidye yazılımı kötü amaçlı bir paylaşılan dosya veya güvenliği aşılmış bir ağ tarafından yayılabilir. Bulut için Defender Apps, fidye yazılımı etkinliğini tanımlamak için güvenlik araştırması uzmanlığı, tehdit bilgileri ve öğrenilen davranış düzenlerini kullanır. Örneğin, yüksek oranda dosya yükleme veya dosya silme işlemleri, fidye yazılımı işlemleri arasında yaygın olan bir şifreleme işlemini temsil edebilir.
Bu algılama, kullanıcının buluta ne zaman eriştiği ve bulutta yaygın olarak yaptıkları gibi kuruluşunuzdaki her kullanıcının normal çalışma desenlerinin bir temelini oluşturur.
Bulut için Defender Uygulamaları otomatik tehdit algılama ilkeleri, bağlandığınız andan itibaren arka planda çalışmaya başlar. Bulut için Defender Uygulamaları, kuruluşumuzda fidye yazılımı etkinliğini yansıtan davranış düzenlerini belirlemek için güvenlik araştırması uzmanlığımızı kullanarak gelişmiş fidye yazılımı saldırılarına karşı kapsamlı bir kapsam sağlar.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
TP: Etkinliğin kullanıcı tarafından gerçekleştirilmediğini onaylayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
FP (Olağan dışı davranış): Kullanıcı, kısa bir süre içinde benzer dosyaların birden çok silme ve karşıya yükleme etkinliğini meşru bir şekilde gerçekleştirmiştir.
Önerilen eylem: Etkinlik günlüğünü gözden geçirdikten ve dosya uzantılarının şüpheli olmadığını onayladıktan sonra uyarıyı kapatın.
FP (Yaygın fidye yazılımı dosya uzantısı): Etkilenen dosyaların uzantılarının bilinen bir fidye yazılımı uzantısıyla eşleştiklerini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıya başvurun ve dosyaların güvenli olduğunu onaylayın ve ardından uyarıyı kapatın.
İhlal kapsamını anlama
- Dosyaların toplu olarak indirilmesi veya toplu silinmesi gibi diğer risk göstergeleri için etkinlik günlüğünü gözden geçirin.
- Uç Nokta için Microsoft Defender kullanıyorsanız, kötü amaçlı dosyaların algılandığını görmek için kullanıcının bilgisayar uyarılarını gözden geçirin.
- Etkinlik günlüğünde kötü amaçlı dosya yükleme ve paylaşma etkinlikleri arayın.
Olağan dışı dosya silme etkinliği (kullanıcıya göre)
Kullanıcının öğrenilen temelle karşılaştırıldığında olağan dışı bir dosya silme etkinliği gerçekleştirdiğini gösteren etkinlikler. Bu fidye yazılımı saldırısını gösterebilir. Örneğin, saldırgan bir kullanıcının dosyalarını şifreleyebilir ve tüm özgün dosyaları silebilir ve yalnızca kurbanı fidye ödemeye zorlamak için kullanılabilecek şifrelenmiş sürümleri bırakabilir. Bulut için Defender Uygulamalar, kullanıcının normal davranışına göre bir taban çizgisi oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.
Öğrenme dönemi
Yeni bir kullanıcının etkinlik deseninin oluşturulması, yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresini gerektirir.
TP, B-TP veya FP?
TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
FP: Kullanıcının yerleşik temelden daha fazla dosya silme etkinliği gerçekleştirdiğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Silme etkinliklerini gözden geçirin ve silinen dosyaların listesini oluşturun. Gerekirse, silinen dosyaları kurtarın.
- İsteğe bağlı olarak, etkinliği doğrulamak üzere kullanıcılara ve yöneticilerine başvurmak için Power Automate kullanarak bir playbook oluşturun.
Araştırma önceliği puanı artışı (önizleme)
Anormal etkinlikler ve uyarıları tetikleyen etkinliklere önem derecesi, kullanıcı etkisi ve kullanıcının davranış analizine göre puan verilir. Analiz, kiracılardaki diğer kullanıcılara göre yapılır.
Belirli bir kullanıcının araştırma öncelik puanında önemli ve anormal bir artış olduğunda uyarı tetiklenir.
Bu uyarı, belirli uyarıları tetiklemesi gerekmeyen ancak kullanıcı için şüpheli bir davranışa sahip olan etkinliklerle karakterize edilen olası ihlallerin algılanması sağlar.
Öğrenme dönemi
Yeni kullanıcının etkinlik desenini oluşturmak için ilk öğrenme süresi yedi gündür ve bu süre boyunca herhangi bir puan artışı için uyarılar tetiklenmez.
TP, B-TP veya FP?
TP: Kullanıcının etkinliklerinin meşru olmadığını doğrulayabilirseniz.
Önerilen eylem: Kullanıcıyı askıya alın, kullanıcıyı riskli olarak işaretleyin ve parolasını sıfırlayın.
B-TP: Kullanıcının normal davranışlardan gerçekten önemli ölçüde saptığını doğrulayabilirsiniz ancak olası bir ihlal yoktur.
FP (Olağan dışı davranış): Kullanıcının olağan dışı etkinlikleri veya yerleşik temelden daha fazla etkinliği meşru bir şekilde gerçekleştirdiğini doğrulayabilirseniz.
Önerilen eylem: Uyarıyı kapatın.
İhlal kapsamını anlama
- Güvenlik ihlallerine ilişkin ek göstergeler için tüm kullanıcı etkinliklerini ve uyarılarını gözden geçirin.
Kullanımdan kaldırma zaman çizelgesi
Ağustos 2024'e kadar Bulut için Microsoft Defender Uygulamalarından gelen Araştırma öncelik puanı artışı uyarısını aşamalı olarak kaldırıyoruz.
Dikkatli analiz ve değerlendirmeden sonra, bu uyarıyla ilişkili hatalı pozitiflerin yüksek oranı nedeniyle bunu kullanımdan kaldırmaya karar verdik. Bu, kuruluşunuzun genel güvenliğine etkili bir şekilde katkıda bulunmadı.
Araştırmalarımız, bu özelliğin önemli bir değer katmadığını ve yüksek kaliteli, güvenilir güvenlik çözümleri sunmaya yönelik stratejik odağımızla uyumlu olmadığını belirtti.
Hizmetlerimizi sürekli iyileştirmeye ve ihtiyaçlarınızı ve beklentilerinizi karşılamalarını sağlamaya kararlıyız.
Bu uyarıyı kullanmaya devam etmek isteyenler için önerilen şablon olarak bunun yerine aşağıdaki gelişmiş tehdit avcılığı sorgusunu kullanmanızı öneririz. Sorguyu gereksinimlerinize göre değiştirin.
let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores