Microsoft Defender XDR'de yanıltma özelliğini yönetme
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender
Önemli
Bu makaledeki bazı bilgiler, ticari olarak yayınlanmadan önce önemli ölçüde değiştirilebilen önceden yayımlanan ürünler/hizmetlerle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Microsoft Defender XDR, yerleşik yanıltma özelliği sayesinde insan tarafından çalıştırılan yanal hareketin yüksek güvenilirlik algılamalarını sağlayarak saldırıların kuruluşun kritik varlıklarına ulaşmasını önler. İş e-posta güvenliğinin aşılması (BEC), fidye yazılımı, kuruluş ihlalleri ve ulus-devlet saldırıları gibi çeşitli saldırılar genellikle yanal hareket kullanır ve ilk aşamalarda yüksek güvenle algılanması zor olabilir. Defender XDR'nin yanıltma teknolojisi, Uç Nokta için Microsoft Defender sinyalleriyle ilişkili yanıltma sinyallerini temel alan yüksek güvenilirlik algılamaları sağlar.
Yanıltma özelliği otomatik olarak orijinal görünümlü yem hesapları, konaklar ve yemler oluşturur. Oluşturulan sahte varlıklar daha sonra otomatik olarak belirli istemcilere dağıtılır. Bir saldırgan yemlerle veya tuzaklarla etkileşime geçtiğinde, yanıltma özelliği yüksek güvenilirlik uyarıları oluşturur, güvenlik ekibinin araştırmalarına yardımcı olur ve saldırganın yöntemlerini ve stratejilerini gözlemlemesini sağlar. Yanıltma özelliği tarafından tetiklenen tüm uyarılar olaylarla otomatik olarak ilişkilendirilir ve Microsoft Defender XDR ile tamamen tümleştirilir. Ayrıca, yanıltma teknolojisi Uç Nokta için Defender ile tümleşiktir ve dağıtım gereksinimlerini en aza indirir.
Aldatma özelliğine genel bir bakış için aşağıdaki videoyu izleyin.
Önkoşullar
Aşağıdaki tabloda, Microsoft Defender XDR'de yanıltma özelliğini etkinleştirme gereksinimleri listelanmaktadır.
Gereksinim | Ayrıntılar |
---|---|
Abonelik gereksinimleri | Şu aboneliklerden biri: - Microsoft 365 E5 - Microsoft Security E5 - Uç Nokta için Microsoft Defender Plan 2 |
Dağıtım gereksinimleri | Gereksinimler: - Uç Nokta için Defender birincil EDR çözümüdür Uç nokta için Defender'da otomatik araştırma ve yanıt özellikleri yapılandırıldı - Cihazlar Microsoft Entra'ya katılmış veya karma olarak katılmış - PowerShell cihazlarda etkindir - Yanıltma özelliği Windows 10 RS5 ve üzeri sürümlerde çalışan istemcileri kapsar. - |
İzinler | Yanıltma özelliklerini yapılandırmak için Microsoft Entra yönetim merkezinde veya Microsoft 365 yönetim merkezinde aşağıdaki rollerden birine atanmış olmanız gerekir: - Genel yönetici - Güvenlik yöneticisi - Portal sistem ayarlarını yönetme |
Not
Microsoft, daha iyi güvenlik için daha az izine sahip rollerin kullanılmasını önerir. Birçok izni olan Genel Yönetici rolü yalnızca başka bir rol uygun olmadığında acil durumlarda kullanılmalıdır.
Aldatma teknolojisi nedir?
Yanıltma teknolojisi, güvenlik ekiplerine yönelik olası bir saldırıyla ilgili anında uyarılar sağlayan ve gerçek zamanlı olarak yanıt vermelerini sağlayan bir güvenlik önlemidir. Yanıltma teknolojisi, ağınıza ait gibi görünen cihazlar, kullanıcılar ve konaklar gibi sahte varlıklar oluşturur.
Yanıltma özelliği tarafından ayarlanan sahte ağ varlıklarıyla etkileşim kuran saldırganlar, güvenlik ekiplerinin olası saldırıların bir kuruluşu tehlikeye atmasını önlemesine ve saldırganların eylemlerini izlemesine yardımcı olabilir ve böylece savunmacılar ortamlarının güvenliğini daha da geliştirebilir.
Microsoft Defender XDR yanıltma özelliği nasıl çalışır?
Microsoft Defender portalındaki yerleşik yanıltma özelliği, ortamınızla eşleşen yemler ve yemler oluşturmak için kuralları kullanır. Bu özellik, ağınıza göre uyarlanmış yemler ve yemler önermek için makine öğrenimini uygular. Yemleri ve yemleri el ile oluşturmak için yanıltma özelliğini de kullanabilirsiniz. Bu yemler ve yemler daha sonra ağınıza otomatik olarak dağıtılır ve PowerShell kullanılarak belirttiğiniz cihazlara eklenir.
Şekil 1. Yanıltıcı teknoloji, insan tarafından çalıştırılan yanal hareketin yüksek güvenilirlik algılamaları sayesinde, bir saldırgan sahte konaklarla etkileşime geçtiğinde veya tuzak kurduğunda güvenlik ekiplerini uyarır
Yemler , ağınıza ait gibi görünen sahte cihazlar ve hesaplardır. Yemler , belirli cihazlara veya hesaplara yerleştirilen sahte içeriktir ve bir saldırganın ilgisini çekmek için kullanılır. İçerik bir belge, yapılandırma dosyası, önbelleğe alınmış kimlik bilgileri veya saldırganın okuması, çalması veya etkileşim kurabileceği herhangi bir içerik olabilir. Yemler önemli şirket bilgilerini, ayarlarını veya kimlik bilgilerini taklit eder.
Yanıltma özelliğinde iki tür yem vardır:
- Temel yemler – ekilen belgeler, bağlantı dosyaları ve müşteri ortamıyla hiç veya en az etkileşimi olmayan benzerleri.
- Gelişmiş yemler – önbelleğe alınmış kimlik bilgileri ve müşteri ortamına yanıt veren veya müşteri ortamıyla etkileşim kuran kesmeler gibi ekli içerik. Örneğin, saldırganlar Active Directory sorgularına yanıt eklenmiş olan ve oturum açmak için kullanılabilecek yem kimlik bilgileriyle etkileşimde bulunabilir.
Not
Yemler yalnızca bir aldatma kuralı kapsamında tanımlanan Windows istemcilerine eklenir. Bununla birlikte, Uç Nokta eklenen istemciler için Defender'da herhangi bir yem konağı veya hesabı kullanmaya çalışmak bir aldatma uyarısı oluşturur. Uç Nokta için Microsoft Defender'a istemci eklemeyi öğrenin. Windows Server 2016 ve sonraki sürümlerde yemleri dikmek, gelecekteki geliştirmeler için planlanıyor.
Bir aldatma kuralında yemleri, yemleri ve kapsamı belirtebilirsiniz. Yanıltma kurallarını oluşturma ve değiştirme hakkında daha fazla bilgi edinmek için bkz. Aldatma özelliğini yapılandırma.
Bir saldırgan uç nokta ile eklenen herhangi bir Defender istemcisinde bir yem veya yem kullandığında, yanıltma özelliği, aldatmanın istemcide dağıtılıp dağıtılmadığına bakılmaksızın olası saldırgan etkinliğini gösteren bir uyarı tetikler.
Yanıltma tarafından etkinleştirilen olayları ve uyarıları belirleme
Aldatma algılamayı temel alan uyarılar başlığında yanıltıcıdır . Uyarı başlıklarına bazı örnekler şunlardır:
- Aldatıcı bir kullanıcı hesabıyla oturum açma girişimi
- Aldatıcı bir konağa bağlantı girişimi
Uyarı ayrıntıları aşağıdakileri içerir:
- Deception etiketi
- Uyarının kaynaklandığı yem cihazı veya kullanıcı hesabı
- Oturum açma girişimleri veya yanal hareket girişimleri gibi saldırı türü
Şekil 2. Yanıltmayla ilgili uyarının ayrıntıları
Sonraki adım
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.