Gelişmiş tehdit avcılığı sorgu sonuçları üzerinde eylem gerçekleştirme

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Güçlü ve kapsamlı eylem seçeneklerini kullanarak tehditleri hızla içerebilir veya gelişmiş tehdit avcılığında bulduğunuz güvenliği aşılmış varlıkları ele alabilirsiniz. Bu seçeneklerle şunları yapabilirsiniz:

  • Cihazlarda çeşitli eylemler gerçekleştirme
  • Dosyaları karantinaya al

Gerekli izinler

Gelişmiş tehdit avcılığı aracılığıyla cihazlarda işlem yapmak için, Uç Nokta için Microsoft Defender cihazlarda düzeltme eylemleri gönderme izinlerine sahip bir role sahip olmanız gerekir.

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Eylem gerçekleştiremiyorsanız, aşağıdaki izni almak için genel yöneticiye başvurun:

Etkin düzeltme eylemleri > Tehdit ve güvenlik açığı yönetimi - Düzeltme işleme

Gelişmiş tehdit avcılığı aracılığıyla e-postalar üzerinde işlem yapmak için, e-postaları aramak ve temizlemek için Office 365 için Microsoft Defender bir role ihtiyacınız vardır.

Cihazlarda çeşitli eylemler gerçekleştirme

Sorgu sonuçlarınızdaki sütun tarafından DeviceId tanımlanan cihazlarda aşağıdaki eylemleri gerçekleştirebilirsiniz:

  • Etkilenen cihazları bulaşma içerecek şekilde yalıtma veya saldırıların yaya olarak hareket etmesini önleme
  • Daha fazla adli bilgi edinmek için araştırma paketi toplama
  • En son güvenlik bilgileri güncelleştirmelerini kullanarak tehditleri bulmak ve kaldırmak için virüsten koruma taraması çalıştırma
  • Cihazdaki ve muhtemelen etkilenen diğer cihazlardaki tehditleri denetlemek ve düzeltmek için otomatik bir araştırma başlatın
  • Uygulama yürütmeyi yalnızca Microsoft tarafından imzalanan yürütülebilir dosyalarla kısıtlayarak kötü amaçlı yazılım veya diğer güvenilmeyen yürütülebilir dosyalar aracılığıyla sonraki tehdit etkinliğini engelleyin

Bu yanıt eylemlerinin Uç Nokta için Microsoft Defender aracılığıyla nasıl gerçekleştirildiğinden daha fazla bilgi edinmek için cihazlardaki yanıt eylemleri hakkında bilgi edinin.

Dosyaları karantinaya al

Dosyalara karantina eylemini dağıtarak, karşılaşıldığında otomatik olarak karantinaya alınabilmesini sağlayabilirsiniz. Bu eylemi seçerken, sorgunuzda hangi dosyaların karantinaya alınabileceğini belirlemek için aşağıdaki sütunlar arasında seçim yapabilirsiniz:

  • SHA1: Çoğu gelişmiş tehdit avcılığı tablosunda, bu sütun kaydedilen eylemden etkilenen dosyanın SHA-1'ine başvurur. Örneğin, bir dosya kopyalanmışsa, etkilenen bu dosya kopyalanan dosya olacaktır.
  • InitiatingProcessSHA1: Çoğu gelişmiş tehdit avcılığı tablosunda, bu sütun kaydedilen eylemi başlatmadan sorumlu dosyayı ifade eder. Örneğin, bir alt işlem başlatıldıysa, bu başlatıcı dosyası üst işlemin bir parçası olacaktır.
  • SHA256: Bu sütun, sütun tarafından tanımlanan dosyanın SHA-256 eşdeğeridir SHA1 .
  • InitiatingProcessSHA256: Bu sütun, sütun tarafından tanımlanan dosyanın SHA-256 eşdeğeridir InitiatingProcessSHA1 .

Karantina eylemlerinin nasıl gerçekleştirildiği ve dosyaların nasıl geri yüklenebileceği hakkında daha fazla bilgi edinmek için dosyalardaki yanıt eylemleri hakkında bilgi edinin.

Not

Dosyaları bulmak ve karantinaya almak için, sorgu sonuçları cihaz tanımlayıcısı olarak değerleri de içermelidir DeviceId .

Açıklanan eylemlerden herhangi birini yapmak için sorgu sonuçlarınızda bir veya daha fazla kayıt seçin ve ardından Eylem gerçekleştir'i seçin. Sihirbaz, tercih ettiğiniz eylemleri seçip gönderme işleminde size yol gösterir.

Microsoft Defender portalında eylem gerçekleştirme seçeneğinin ekran görüntüsü.

E-postalar üzerinde çeşitli eylemler gerçekleştirme

Cihaz odaklı düzeltme adımlarının dışında, sorgu sonuçlarınızdan e-postalar üzerinde bazı eylemler de gerçekleştirebilirsiniz. Üzerinde işlem yapmak istediğiniz kayıtları seçin, Eylem gerçekleştir'i seçin, ardından Eylemleri seç'in altında aşağıdakilerden seçiminizi seçin:

  • Move to mailbox folder - E-posta iletilerini Gereksiz, Gelen Kutusu veya Silinmiş öğeler klasörüne taşımak için bu eylemi seçin

    Karantinaya alınan öğelerden oluşan e-posta sonuçlarını (örneğin, hatalı pozitifler söz konusu olduğunda) Gelen Kutusu seçeneğini belirleyerek taşıyabileceğinizi unutmayın.

    Microsoft Defender portalındaki eylemler bölmesinin altındaki Gelen Kutusu seçeneğinin ekran görüntüsü.

  • Delete email - E-posta iletilerini Silinmiş öğeler klasörüne taşımak (Geçici silme) veya kalıcı olarak silmek için bu eylemi seçin (Sabit silme)

    Geçici silme'nin seçilmesi, gönderen kuruluştaysa iletileri gönderenin Gönderilmiş Öğeler klasöründen otomatik olarak siler.

    Microsoft Defender portalında eylem gerçekleştirme seçeneğinin ekran görüntüsü.

    Gönderenin kopyasının otomatik geçici silinmesi, ve tablolarını EmailEvents kullanarak sonuçlar için kullanılabilir ancak tabloyu kullanmazUrlClickEvents.EmailPostDeliveryEvents Ayrıca sonuç, Eylem gerçekleştirme sihirbazında gösterilecek bu eylem seçeneğinin sütunlarını EmailDirection ve SenderFromAddress sütunlarını içermelidir. Gönderenin kopya temizleme işlemi kuruluş içi e-postalar ve giden e-postalar için geçerlidir ve bu e-posta iletileri için yalnızca gönderenin kopyasının geçici olarak silinmesini sağlar. Gelen iletiler kapsam dışında.

    Başvuru olarak aşağıdaki sorguya bakın:

    EmailEvents
    | where ThreatTypes contains "spam"
    | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
    

İşlem merkezi geçmişinde kolayca izlemek için gerçekleştirilen eylemin kısa bir açıklamasını ve düzeltme adını da sağlayabilirsiniz. İşlem merkezinde bu eylemlere filtre uygulamak için Onay Kimliği'ni de kullanabilirsiniz. Bu kimlik sihirbazın sonunda sağlanır:

varlıklar için eylemleri seçmeyi gösteren eylem gerçekleştirme sihirbazı

Bu e-posta eylemleri özel algılamalar için de geçerlidir.

Gerçekleştirilen eylemleri gözden geçirme

Her eylem, işlem merkezineİşlem merkezi>Geçmişi (security.microsoft.com/action-center/history) altında tek tek kaydedilir. Her eylemin durumunu denetlemek için işlem merkezine gidin.

Not

Bu makaledeki bazı tablolar Uç Nokta için Microsoft Defender'de kullanılamayabilir. Daha fazla veri kaynağı kullanarak tehditleri avlamak için Microsoft Defender XDR açın. Gelişmiş tehdit avcılığı sorgularını Uç Nokta için Microsoft Defender'den geçirme bölümünde yer alan adımları izleyerek gelişmiş avcılık iş akışlarınızı Uç Nokta için Microsoft Defender'den Microsoft Defender XDR taşıyabilirsiniz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.