Tehdit analizi aracılığıyla yeni ortaya çıkan tehditleri izleme ve yanıtlama

  • Makale

Şunlar için geçerlidir:

Önemli

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Tehdit analizi, uzman Microsoft güvenlik araştırmacılarının ürün içi tehdit bilgileri çözümümüzdür. Aşağıdakiler gibi yeni tehditlerle karşı karşıyayken güvenlik ekiplerinin mümkün olduğunca verimli olması için tasarlanmıştır:

  • Etkin tehdit aktörleri ve kampanyaları
  • Popüler ve yeni saldırı teknikleri
  • Kritik güvenlik açıkları
  • Yaygın saldırı yüzeyleri
  • Yaygın kötü amaçlı yazılım

Tehdit analizine Microsoft Defender portalının gezinti çubuğunun sol üst kısmından veya kuruluşunuza yönelik en önemli tehditleri hem bilinen etki açısından hem de açığa çıkarmanız açısından gösteren özel bir pano kartından erişebilirsiniz.

Tehdit analizi giriş sayfasının ekran görüntüsü

Etkin veya devam eden kampanyalar hakkında görünürlük elde etmek ve tehdit analizi aracılığıyla ne yapacağınızı bilmek, güvenlik operasyonları ekibinizin bilinçli kararlar almasına yardımcı olabilir.

Daha karmaşık saldırganlar ve yaygın olarak ortaya çıkan yeni tehditler sayesinde, hızlı bir şekilde şunları yapabilmek çok önemlidir:

  • Yeni ortaya çıkan tehditleri belirleme ve buna tepki verme
  • Şu anda saldırı altında olup olmadığınız hakkında bilgi edinin
  • Tehditlerin varlıklarınız üzerindeki etkisini değerlendirme
  • Tehditlere karşı dayanıklılığınızı veya tehditlere maruz kalma durumunuzu gözden geçirin
  • Tehditleri durdurmak veya içermek için gerçekleştirebileceğiniz risk azaltma, kurtarma veya önleme eylemlerini belirleme

Her rapor, izlenen bir tehdidin analizini ve bu tehditlere karşı savunma konusunda kapsamlı rehberlik sağlar. Ayrıca ağınızdaki verileri de içerir ve tehdidin etkin olup olmadığını ve geçerli korumalarınız olup olmadığını belirtir.

Gerekli roller ve izinler

Aşağıdaki tabloda tehdit analizine erişmek için gereken roller ve izinler özetlenmiştir. Tabloda tanımlanan roller, tek tek portallardaki özel rollere başvurur ve benzer şekilde adlandırılmış olsa bile Microsoft Entra Id'deki genel rollere bağlı değildir.

Microsoft Defender XDR için aşağıdaki rollerden biri gereklidir Uç Nokta için Microsoft Defender için aşağıdaki rollerden biri gereklidir Office 365 için Microsoft Defender için aşağıdaki rollerden biri gereklidir Cloud Apps için Microsoft Defender ve Kimlik için Microsoft Defender için aşağıdaki rollerden biri gereklidir Bulut için Microsoft Defender için aşağıdaki rollerden biri gereklidir
Tehdit analizi Uyarılar ve olay verileri:
  • Veri görüntüleme- güvenlik işlemleri
Defender Güvenlik Açığı Yönetimi azaltmaları:
  • Verileri görüntüleme - Tehdit ve güvenlik açığı yönetimi
 Uyarılar ve olay verileri:
  • Uyarıları yalnızca görüntüleme yönetimi
  • Uyarıları yönetin
  • Kuruluş yapılandırması
  • Denetim günlükleri
  • Yalnızca görüntüleme denetim günlükleri
  • Güvenlik gözetmeni
  • Güvenlik yöneticisi
  • Yalnızca görüntüleme alıcıları
Engellenen e-posta girişimleri:
  • Güvenlik gözetmeni
  • Güvenlik yöneticisi
  • Yalnızca görüntüleme alıcıları
  • Genel yönetici
  • Güvenlik yöneticisi
  • Uyumluluk yöneticisi
  • Güvenlik operatörü
  • Güvenlik gözetmeni
  • Genel yönetici
  • Güvenlik yöneticisi

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Ürünlerden yalnızca birine ve önceki tabloda açıklanan ilgili rollerine sahip olsanız bile tüm tehdit analizi raporlarının görünürlüğüne sahip olursunuz. Ancak, bu ürünün belirli olaylarını, varlıklarını, açığa çıkışını ve tehditle ilişkili önerilen eylemleri görmek için her ürüne ve rollere sahip olmanız gerekir.

Daha fazla bilgi edinin:

Tehdit analizi panosunu görüntüleme

Tehdit analizi panosu (security.microsoft.com/threatanalytics3) kuruluşunuzla en ilgili raporları vurgular. Aşağıdaki bölümlerde tehditleri özetler:

  • En son tehditler— en son yayımlanan veya güncelleştirilen tehdit raporlarının yanı sıra etkin ve çözümlenmiş uyarı sayısını listeler.
  • Yüksek etkili tehditler— kuruluşunuz üzerinde en yüksek etkiye sahip olan tehditleri listeler. Bu bölümde, en fazla etkin ve çözümlenmiş uyarı sayısına sahip tehditler listelenir.
  • En yüksek maruz kalma tehditleri: Kuruluşunuzun en yüksek maruz kalma süresine sahip olduğu tehditler listelenir. Bir tehdide maruz kalma düzeyiniz iki bilgi parçası kullanılarak hesaplanır: tehditle ilişkili güvenlik açıklarının ne kadar ciddi olduğu ve kuruluşunuzdaki kaç cihazın bu güvenlik açıklarından yararlanabileceği.

Tehdit analizi panosu

Bu tehdidin raporunu görüntülemek için panodan bir tehdit seçin. Ayrıca, okumak istediğiniz tehdit analizi raporuyla ilgili bir anahtar sözcükte anahtar için Arama alanını seçebilirsiniz.

Raporları kategoriye göre görüntüleme

Tehdit raporu listesini filtreleyebilir ve en ilgili raporları belirli bir tehdit türüne veya rapor türüne göre görüntüleyebilirsiniz.

  • Tehdit etiketleri; belirli bir tehdit kategorisine göre en ilgili raporları görüntülemenize yardımcı olabilir. Örneğin Fidye yazılımı etiketi fidye yazılımıyla ilgili tüm raporları içerir.
  • Rapor türleri: Belirli bir rapor türüne göre en uygun raporları görüntülemenize yardımcı olabilir. Örneğin, Araçlar & teknikleri etiketi, araçları ve teknikleri kapsayan tüm raporları içerir.

Farklı etiketler, tehdit raporu listesini verimli bir şekilde gözden geçirmenize ve görünümü belirli bir tehdit etiketine veya rapor türüne göre filtrelemenize yardımcı olan eşdeğer filtrelere sahiptir. Örneğin fidye yazılımı kategorisiyle ilgili tüm tehdit raporlarını veya güvenlik açıkları içeren tehdit raporlarını görüntülemek için.

Microsoft Tehdit Bilgileri ekibi, her tehdit raporuna tehdit etiketleri ekler. Şu anda aşağıdaki tehdit etiketleri kullanılabilir:

  • Fidye Yazılımı
  • Haraç
  • Kimlik Avı
  • Eller klavyede
  • Etkinlik grubu
  • Güvenlik Açığı
  • Saldırı kampanyası
  • Araç veya teknik

Tehdit etiketleri, tehdit analizi sayfasının en üstünde gösterilir. Her etiketin altında kullanılabilir rapor sayısı için sayaçlar vardır.

Tehdit analizi rapor etiketlerinin ekran görüntüsü.

Listede istediğiniz rapor türlerini ayarlamak için Filtreler'i seçin, listeden seçim yapın ve Uygula'yı seçin.

Filtreler listesinin ekran görüntüsü.

Birden fazla filtre ayarlarsanız tehdit analizi raporları listesi, tehdit etiketleri sütunu seçilerek tehdit etiketine göre de sıralanabilir:

Tehdit etiketleri sütununun ekran görüntüsü.

Tehdit analizi raporunu görüntüleme

Her tehdit analizi raporu çeşitli bölümlerde bilgi sağlar:

Genel bakış: Tehdidi hızla anlayın, etkisini değerlendirin ve savunmaları gözden geçirin

Genel Bakış bölümünde ayrıntılı analist raporunun önizlemesi sağlanır. Ayrıca, tehdidin kuruluşunuz üzerindeki etkisini ve yanlış yapılandırılmış ve eşleşmeyen cihazlar aracılığıyla açığa çıkarmanızı vurgulayan grafikler de sağlar.

Tehdit analizi raporunun Genel Bakış bölümü Tehdit analizi raporunun Genel Bakış bölümü

Kuruluşunuz üzerindeki etkiyi değerlendirme

Her rapor, bir tehdidin kurumsal etkisi hakkında bilgi sağlamak için tasarlanmış grafikler içerir:

  • İlgili olaylar— aşağıdaki verilerle izlenen tehdidin kuruluşunuz üzerindeki etkisine genel bir bakış sağlar:
    • Etkin uyarı sayısı ve ilişkili oldukları etkin olay sayısı
    • Etkin olayların önem derecesi
  • Zaman içindeki uyarılar— zaman içinde ilgili Etkin ve Çözümlenmiş uyarı sayısını gösterir. Çözümlenen uyarı sayısı, kuruluşunuzun bir tehditle ilişkili uyarılara ne kadar hızlı yanıt verdiğini gösterir. İdeal olan grafikte birkaç gün içinde çözümlenen uyarıların gösterilmesi gerekir.
  • Etkilenen varlıklar— şu anda izlenen tehditle ilişkili en az bir etkin uyarıya sahip olan ayrı varlıkların sayısını gösterir. Tehdit e-postaları alan posta kutuları için uyarılar tetiklenir. Tehdit e-postalarının teslim edilmesine neden olan geçersiz kılmalar için hem kuruluş hem de kullanıcı düzeyinde ilkeleri gözden geçirin.

Güvenlik dayanıklılığını ve duruşu gözden geçirme

Her rapor, kuruluşunuzun belirli bir tehdide karşı ne kadar dayanıklı olduğuna genel bakış sağlayan grafikler içerir:

  • Önerilen eylemlerEylem durumu yüzdesini veya güvenlik duruşunuzu geliştirmek için başardığınız nokta sayısını gösterir. Tehdidi ele almak için önerilen eylemleri gerçekleştirin. Puan dökümünü Kategoriye veya Duruma göre görüntüleyebilirsiniz.
  • Uç noktalara maruz kalma— güvenlik açığı bulunan cihazların sayısını gösterir. Tehdit tarafından yararlanılan güvenlik açıklarını gidermek için güvenlik güncelleştirmeleri veya düzeltme ekleri uygulayın.

Analist raporu: Microsoft güvenlik araştırmacılarından uzman içgörüleri alma

Analist raporu bölümünde, ayrıntılı uzman yazma işlemini okuyun. Çoğu rapor, MITRE ATT&CK çerçevesine eşlenen taktikler ve teknikler, kapsamlı öneri listeleri ve güçlü tehdit avcılığı yönergeleri dahil olmak üzere saldırı zincirlerinin ayrıntılı açıklamalarını sağlar.

Analist raporu hakkında daha fazla bilgi edinin

İlgili olaylar sekmesi izlenen tehditle ilgili tüm olayların listesini sağlar. Olaylar atayabilir veya her olaya bağlı uyarıları yönetebilirsiniz.

Tehdit analizi raporunun ilgili olaylar bölümünün ekran görüntüsü.

Not

Tehditle ilişkili olaylar ve uyarılar Uç Nokta için Defender, Kimlik için Defender, Office 365 için Defender, Bulut Uygulamaları için Defender ve Bulut için Defender'dan alınır.

Etkilenen varlıklar: Etkilenen cihazların, kullanıcıların, posta kutularının, uygulamaların ve bulut kaynaklarının listesini alma

Etkilenen varlıklar sekmesi, zaman içinde tehdit tarafından etkilenen varlıkları gösterir. Şu görüntüler:

  • Etkin uyarılardan etkilenen varlıklar
  • Çözümlenen uyarılardan etkilenen varlıklar
  • Tüm varlıklar veya etkin ve çözümlenmiş uyarılardan etkilenen toplam varlık sayısı

Varlıklar aşağıdaki kategorilere ayrılır:

  • Aygıtları
  • Kullanıcılar
  • Posta kutu -ları
  • Apps
  • Bulut kaynakları

Tehdit analizi raporunun etkilenen varlıklar bölümünün ekran görüntüsü.

Uç noktalara maruz kalma: Güvenlik güncelleştirmelerinin dağıtım durumunu öğrenme

Uç noktaların açığa çıkarılması bölümü, kuruluşunuzun tehditle etkilenme düzeyini sağlar. Bu düzey, söz konusu tehdit tarafından yararlanılan güvenlik açıklarının ve yanlış yapılandırmaların önem derecesine ve bu zayıflıklara sahip cihazların sayısına göre hesaplanır.

Bu bölüm, eklenen cihazlarda bulunan güvenlik açıkları için desteklenen yazılım güvenlik güncelleştirmelerinin dağıtım durumunu da sağlar. Rapordaki çeşitli bağlantılardan ayrıntılı detaya gitme bilgileri de sağlayan Microsoft Defender Güvenlik Açığı Yönetimi verilerini içerir.

Bir tehdit analizi raporunun uç noktalarının açığa çıkarma durumu

Önerilen eylemler sekmesinde, tehditlere karşı kurumsal dayanıklılığınızı artırmanıza yardımcı olabilecek belirli eyleme dönüştürülebilir öneriler listesini gözden geçirin. İzlenen azaltmalar listesi, aşağıdakiler gibi desteklenen güvenlik yapılandırmalarını içerir:

  • Bulut tabanlı koruma
  • İstenmeyebilecek uygulama (PUA) koruması
  • Gerçek zamanlı koruma

Güvenlik açığı ayrıntılarını gösteren bir tehdit analizi raporunun Önerilen eylemler bölümü

Rapor güncelleştirmeleri için e-posta bildirimlerini ayarlama

Tehdit analizi raporlarında size güncelleştirmeler gönderecek e-posta bildirimleri ayarlayabilirsiniz. E-posta bildirimleri oluşturmak için Microsoft Defender XDR'de Tehdit analizi güncelleştirmeleri için e-posta bildirimleri alma başlığı altında yer alan adımları izleyin.

Diğer rapor ayrıntıları ve sınırlamaları

Tehdit analizi verilerine bakarken aşağıdaki faktörleri unutmayın:

  • Önerilen eylemler sekmesindeki denetim listesi yalnızca Microsoft Güvenli Puanı'nda izlenen önerileri görüntüler. Güvenli Puan'da izlenmemiş daha fazla önerilen eylem için Analist raporu sekmesine bakın.
  • Önerilen eylemler tam dayanıklılığı garanti etmez ve yalnızca iyileştirmek için gereken en iyi eylemleri yansıtır.
  • Virüsten korumayla ilgili istatistikler Microsoft Defender Virüsten Koruma ayarlarını temel alır.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.