Office 365 için Microsoft Defender'de otomatik araştırma ve yanıt (AIR)
İpucu
Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.
Office 365 için Microsoft Defender, güvenlik operasyonları ekibinize zaman ve çaba kazandırabilecek güçlü otomatik araştırma ve yanıt (AIR) özellikleri içerir. Uyarılar tetiklendiğinde, bu uyarıları gözden geçirmek, önceliklendirmek ve yanıtlamak güvenlik operasyonları ekibinize bağlı olur. Gelen uyarıların hacmine ayak uydurmak zor olabilir. Bu görevlerden bazılarını otomatikleştirmek yardımcı olabilir.
AIR, güvenlik operasyonları ekibinizin daha verimli ve etkili bir şekilde çalışmasını sağlar. AIR özellikleri, günümüzde mevcut olan iyi bilinen tehditlere yanıt olarak otomatik araştırma süreçlerini içerir. Uygun düzeltme eylemleri onay bekler ve güvenlik operasyonları ekibinizin algılanan tehditlere etkili bir şekilde yanıt vermesini sağlar. AIR ile güvenlik operasyonları ekibiniz, tetiklenen önemli uyarıları görmeden daha yüksek öncelikli görevlere odaklanabilir.
Bu makalede şunlar açıklanmaktadır:
- AIR'in genel akışı;
- AIR nasıl elde edersiniz; ve
- AIR özelliklerini yapılandırmak veya kullanmak için gerekli izinler .
Bu makale ayrıca sonraki adımları ve daha fazla bilgi edinmek için kaynakları içerir.
AIR'in genel akışı
Bir uyarı tetikler ve güvenlik playbook'u otomatik bir araştırma başlatır ve bu da bulgular ve önerilen eylemlerle sonuçlanır. Air'in genel akışı aşağıdadır, adım adım:
Otomatik araştırma aşağıdaki yollardan biriyle başlatılır:
- Bir uyarı e-postadaki şüpheli bir şey (ileti, ek, URL veya güvenliği aşılmış kullanıcı hesabı gibi) tarafından tetikleniyor . Bir olay oluşturulur ve otomatik bir araştırma başlar; veya
- Güvenlik analisti, Explorer'ı kullanırken otomatik bir araştırma başlatır.
Otomatik bir araştırma çalıştırılırken söz konusu e-posta ve bu e-postayla ilgili varlıklar (örneğin, dosyalar, URL'ler ve alıcılar) hakkındaki verileri toplar. Yeni ve ilgili uyarılar tetiklendiğinde araştırmanın kapsamı artabilir.
Otomatik araştırma sırasında ve sonrasında , ayrıntılar ve sonuçlar görüntülenebilir. Sonuçlar, bulunan mevcut tehditleri yanıtlamak ve düzeltmek için gerçekleştirilebilecek önerilen eylemleri içerebilir.
Güvenlik operasyonları ekibiniz araştırma sonuçlarını ve önerilerini inceler ve düzeltme eylemlerini onaylar veya reddeder.
Bekleyen düzeltme eylemleri onaylandığından (veya reddedildiğinde), otomatik araştırma tamamlanmıştır.
Not
Araştırma önerilen eylemlerle sonuçlanmazsa otomatik araştırma kapatılır ve otomatik araştırmanın bir parçası olarak gözden geçirilenlerin ayrıntıları araştırma sayfasında görünmeye devam eder.
Office 365 için Microsoft Defender otomatik olarak hiçbir düzeltme eylemi yapılmaz. Düzeltme eylemleri yalnızca kuruluşunuzun güvenlik ekibi tarafından onaylandığında gerçekleştirilen işlemlerdir. AIR özellikleri, düzeltme eylemlerini belirleyerek ve bilinçli bir karar vermek için gereken ayrıntıları sağlayarak güvenlik operasyonları ekibinize zaman kazandırır.
Her otomatik araştırma sırasında ve sonrasında güvenlik operasyonları ekibiniz şunları yapabilir:
- Araştırmayla ilgili uyarıyla ilgili ayrıntıları görüntüleme
- Araştırmanın sonuç ayrıntılarını görüntüleme
- Araştırma sonucunda eylemleri gözden geçirme ve onaylama
İpucu
Daha ayrıntılı bir genel bakış için bkz. AIR nasıl çalışır?
AIR nasıl elde edersiniz?
Denetim günlüğü açık olduğu sürece (varsayılan olarak açıktır) AIR özellikleri Office 365 için Microsoft Defender Plan 2'ye dahildir.
Ayrıca, kuruluşunuzun uyarı ilkelerini, özellikle de Tehdit yönetimi kategorisindeki varsayılan ilkeleri gözden geçirmeyi unutmayın.
Hangi uyarı ilkeleri otomatik araştırmayı tetikler?
Microsoft 365, Exchange yönetici izinlerinin kötüye kullanımı, kötü amaçlı yazılım etkinliği, olası dış ve iç tehditler ve bilgi idaresi risklerini belirlemeye yardımcı olan birçok yerleşik uyarı ilkesi sağlar. Varsayılan uyarı ilkelerinin bazıları otomatik araştırma tetikleyebilir. Bu uyarılar devre dışı bırakılırsa veya özel uyarılar tarafından değiştirilirse AIR tetiklenmemiştir.
Aşağıdaki tabloda otomatik araştırma tetikleyen uyarılar, Microsoft Defender portalındaki önem dereceleri ve bunların nasıl oluşturulduğu açıklanmaktadır:
| Uyarı | Önem derecesi | Uyarı nasıl oluşturulur? |
|---|---|---|
| Kötü amaçlı olabilecek bir URL tıklaması algılandı | Yüksek | Aşağıdakilerden herhangi biri gerçekleştiğinde bu uyarı oluşturulur:
Bu uyarıyı tetikleyen olaylar hakkında daha fazla bilgi için bkz. Güvenli Bağlantılar ilkelerini ayarlama. |
| E-posta iletisi bir kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı olarak bildirilir | Alçak | Bu uyarı, kuruluşunuzdaki kullanıcılar Microsoft Rapor İletisi veya Rapor Kimlik Avı eklentilerini kullanarak iletileri kimlik avı e-postası olarak bildirdiğinde oluşturulur. |
| Email kötü amaçlı dosya içeren iletiler teslimden sonra kaldırıldı | Bilgi | Bu uyarı, kötü amaçlı bir dosya içeren iletiler kuruluşunuzdaki posta kutularına teslim edildiğinde oluşturulur. Bu olay oluşursa, Microsoft sıfır saatlik otomatik temizleme (ZAP) kullanarak virüslü iletileri Exchange Online posta kutularından kaldırır. |
| Kötü amaçlı yazılım içeren Email iletileri teslimden sonra kaldırılır | Bilgi | Kötü amaçlı yazılım içeren tüm e-posta iletileri kuruluşunuzdaki posta kutularına teslim edildiğinde bu uyarı oluşturulur. Bu olay oluşursa, Microsoft sıfır saatlik otomatik temizleme (ZAP) kullanarak virüslü iletileri Exchange Online posta kutularından kaldırır. |
| Teslimden sonra kötü amaçlı URL içeren iletilerin kaldırılmasını Email | Bilgi | Kötü amaçlı URL içeren iletiler kuruluşunuzdaki posta kutularına teslim edildiğinde bu uyarı oluşturulur. Bu olay oluşursa, Microsoft sıfır saatlik otomatik temizleme (ZAP) kullanarak virüslü iletileri Exchange Online posta kutularından kaldırır. |
| Kimlik avı URL'lerini içeren Email iletileri teslimden sonra kaldırılır | Bilgi | Bu uyarı, kimlik avı içeren iletiler kuruluşunuzdaki posta kutularına teslim edildiğinde oluşturulur. Bu olay oluşursa, Microsoft zap kullanarak Exchange Online posta kutularından virüslü iletileri kaldırır. |
| Şüpheli e-posta gönderme desenleri algılandı | Orta | Bu uyarı, kuruluşunuzdaki biri şüpheli e-posta gönderdiğinde ve e-posta göndermesi kısıtlanma riskiyle karşılandığında oluşturulur. Uyarı, hesabın gizliliğinin ihlal edilmiş olduğunu ancak kullanıcıyı kısıtlayabilecek kadar ciddi olmadığını gösteren davranışlar için erken uyarıdır. Nadir olsa da, bu ilke tarafından oluşturulan bir uyarı bir anomali olabilir. Ancak , kullanıcı hesabının gizliliğinin ihlal edilip edilmediğini denetlemek iyi bir fikirdir. |
| Kullanıcının e-posta göndermesi kısıtlandı | Yüksek | Kuruluşunuzdaki birinin giden posta göndermesi kısıtlandığında bu uyarı oluşturulur. Bu uyarı genellikle bir e-posta hesabının güvenliği aşıldığında sonuçlanır. Kısıtlanmış kullanıcılar hakkında daha fazla bilgi için, Kısıtlı varlıklar sayfasında engellenen kullanıcıları kaldırma bölümüne bakın. |
| Yönetici el ile e-posta araştırmasını tetikledi | Bilgi | Bu uyarı, bir yönetici Tehdit Gezgini'nden bir e-postanın el ile araştırmasını tetiklediğinde oluşturulur. Bu uyarı, kuruluşunuza araştırmanın başlatıldığını bildirir. |
| Yönetici kullanıcı güvenliğinin aşılmasına neden olan araştırma | Orta | Bu uyarı, bir yönetici Tehdit Gezgini'nden bir e-posta göndereni veya alıcısını el ile kullanıcı güvenliğini aşma araştırmasını tetiklediğinde oluşturulur. Bu uyarı, kuruluşunuza kullanıcı güvenliğini aşma araştırmasının başlatıldığını bildirir. |
İpucu
Uyarı ilkeleri hakkında daha fazla bilgi edinmek veya varsayılan ayarları düzenlemek için Microsoft Defender portalındaki Uyarı ilkeleri bölümüne bakın.
AIR özelliklerini kullanmak için gerekli izinler
AIR kullanmak için size izinler atanmalıdır. Seçenekleriniz şunlardır:
Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (İşbirliği Email &>Office 365 için Defender izinleri Etkin olur
. Yalnızca Defender portalını etkiler, PowerShell'i etkilemez:- Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin: Güvenlik operatörü/Email gelişmiş düzeltme eylemleri (yönet).
Microsoft Defender portalında işbirliği izinlerini Email &:
- AIR özelliklerini ayarlama: Kuruluş Yönetimi veya Güvenlik Yöneticisi rol gruplarında üyelik.
-
Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin:
- Kuruluş Yönetimi, Güvenlik Yöneticisi, Güvenlik operatörü, Güvenlik Okuyucusu veya Genel Okuyucu rol gruplarında üyelik. ve
- Arama ve Temizleme rolünün atandığı bir rol grubu üyeliği. Varsayılan olarak, bu rol Veri Araştırmacısı ve Kuruluş Yönetimi rol gruplarına atanır. Alternatif olarak, Arama ve Temizleme rolünü atamak için özel bir rol grubu da oluşturabilirsiniz.
-
- AIR özelliklerini ayarlamaGenel Yönetici veya Güvenlik Yöneticisi rollerine üyelik.
-
Otomatik bir araştırma başlatın veya Önerilen eylemleri onaylayın veya reddedin:
- Genel Yönetici, Güvenlik Yöneticisi, Güvenlik operatörü, Güvenlik Okuyucusu veya Genel Okuyucu rollerine üyelik. ve
- Arama ve Temizleme rolünün atandığı Email & işbirliği rol grubu üyeliği. Varsayılan olarak, bu rol Veri Araştırmacısı ve Kuruluş Yönetimi rol gruplarına atanır. İsterseniz, Arama ve Temizleme rolünü atamak için özel bir Email & işbirliği rol grubu da oluşturabilirsiniz.
Microsoft Entra izinleri, kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verir.
Gerekli lisanslar
Office 365 için Microsoft Defender Plan 2 lisansları şu lisanslara atanmalıdır:
- Güvenlik yöneticileri (genel yöneticiler dahil)
- Kuruluşunuzun güvenlik operasyonları ekibi (güvenlik okuyucuları ve Arama ve Temizleme rolüne sahip olanlar dahil)
- Son kullanıcılar