Yönetilen algılama ve yanıt

Şunlar için geçerlidir:

Yönetilen algılama ve yanıt yönergeleri için bu kısa videoya göz atın.

XDR için Microsoft Defender Uzmanları, otomasyon ve insan uzmanlığının bir birleşimiyle Microsoft Defender XDR olaylarını önceliklendirir, sizin adınıza önceliklendirir, gürültüyü filtreler, ayrıntılı araştırmalarda bulunur ve güvenlik operasyonları merkezi (SOC) ekiplerinize eyleme dönüştürülebilir yönetilen yanıt sağlar.

Olay güncelleştirmeleri

Uzmanlarımız bir olayı araştırmaya başladıktan sonra olayın Atanan ve Durum alanları sırasıyla Defender Uzmanları ve Devam Ediyor olarak güncelleştirilir.

Uzmanlarımız bir olayla ilgili araştırmalarını sonlandırdığında, uzmanların bulgularına bağlı olarak olayın Sınıflandırma alanı aşağıdakilerden birine güncelleştirilir:

  • Gerçek Pozitif
  • Hatalı Pozitif
  • Bilgilendirici, Beklenen Etkinlik

Her sınıflandırmaya karşılık gelen Belirleme alanı, uzmanlarımızın söz konusu sınıflandırmayı belirlemesine yol açan bulgular hakkında daha fazla içgörü sağlamak için de güncelleştirilir.

Etiketler, Durum, Atanan, Sınıflandırma ve Belirleme alanlarını gösteren Olaylar sayfasının ekran görüntüsü.

Bir olay Hatalı Pozitif veya Bilgilendirici, Beklenen Etkinlik olarak sınıflandırılırsa, olayın Durum alanı Çözümlendi olarak güncelleştirilir. Daha sonra uzmanlarımız bu olayla ilgili çalışmalarını sonlandırıyor ve Atanan alanı Atanmadı olarak güncelleştiriliyor. Uzmanlarımız, bir olayı çözerken araştırmalarından ve sonuçlarıyla ilgili güncelleştirmeleri paylaşabilir. Bu güncelleştirmeler, olayın Yönetilen yanıt açılır panelindeki Araştırma Özeti'nin altına gönderilir.

Aksi takdirde, bir olay Gerçek Pozitif olarak sınıflandırılırsa uzmanlarımız gerçekleştirilmesi gereken yanıt eylemlerini belirler. Eylemlerin gerçekleştirildiği yöntem, XDR için Defender Uzmanları hizmetine verdiğiniz izinlere ve erişim düzeylerine bağlıdır. Uzmanlarımıza izin verme hakkında daha fazla bilgi edinin.

  • XDR için Defender Uzmanlarına önerilen Güvenlik Operatörü erişim izinlerini verdiyseniz uzmanlarımız olayla ilgili gerekli yanıt eylemlerini sizin yerinize gerçekleştirebilir. Araştırma özetiyle birlikte bu eylemler, sizin veya SOC ekibinizin gözden geçirmesi için Microsoft Defender portalınızdaki Yönetilen yanıt açılır panelinde gösterilir. XDR için Defender Uzmanları tarafından tamamlanan tüm eylemler, Tamamlanan eylemler bölümünün altında görünür. Sizin veya SOC ekibinizin tamamlanmasını gerektiren bekleyen eylemler, Bekleyen eylemler bölümünde listelenir. Daha fazla bilgi için Eylemler bölümüne bakın. Uzmanlarımız olayla ilgili tüm gerekli eylemleri gerçekleştirdikten sonra Durum alanı Çözüldü olarak ve Atanan alanı Müşteri olarak güncelleştirilir.

  • XDR için Defender Uzmanlarına varsayılan Güvenlik Okuyucusu erişimi verdiyseniz, gerekli yanıt eylemleri ve Araştırma özeti, sizin veya SOC ekibinizin gerçekleştirmesi için Microsoft Defender portalınızdaki Bekleyen eylemler bölümünün altındaki Olayın Yönetilen yanıt açılır penceresinde gösterilir. Daha fazla bilgi için Eylemler bölümüne bakın. Bu devretmeyi tanımlamak için, olayın Durum alanı Müşteri Eylemi Bekleniyor olarak, Atanan alanı da Müşteri olarak güncelleştirilir.

Eyleminizi gerektiren olay sayısını Microsoft Defender giriş sayfasının üst kısmındaki Defender Uzmanları başlığından kontrol edebilirsiniz.

Microsoft Defender portalında müşteri eylemini bekleyen olay sayısını gösteren Defender Uzmanları kartının ekran görüntüsü.

Microsoft Defender portalınızdaki olay kuyruğuna çeşitli filtre kümeleri kullanarak filtreleyerek Defender Uzmanlarıyla ilgili olayları görüntüleyebilirsiniz. Olay kuyruğu filtreleri ekleme hakkında daha fazla bilgi edinin

  • Uzmanlarımızın şu anda araştırdığı olayları görüntülemek için Olay atama filtresini kullanın ve Defender Uzmanlarına Atanan'ı seçin.

  • Uzmanlarımızın araştırdığı olayları görüntülemek ve bekleyen düzeltme eylemleri üzerinde işlem yapmak üzere ekibinize teslim etmek için Olay atama filtresini kullanarak Müşteri ekibine Atanan'ı seçin.

    Yalnızca Defender Uzmanlarına Atanan etiketine sahip olanları gösterecek şekilde filtrelenen Olaylar kuyruğunun ekran görüntüsü.

  • Uzmanlarımızın araştırıp ekibinize teslim ederek bekleyen düzeltme eylemleri üzerinde işlem yapmalarını sağlamak için Durum filtresini kullanarak Araştıran Müşteri Eylemini Bekliyor'u seçin.

    Yalnızca Bekleyen müşteri eylem etiketine sahip olanları gösterecek şekilde filtrelenen Microsoft Defender portalındaki Olaylar kuyruğunun ekran görüntüsü.

  • Uzmanlarımızın araştırmalarını tamamladıkları (ve doğrudan çözümlenen veya bekleyen düzeltme eylemleri için ekibinize atanan) olayları görüntülemek için Etiketler filtresini kullanarak Defender Uzmanları'nı seçin.

    Yalnızca Defender Uzmanlar etiketini gösterecek şekilde filtrelenmiş Microsoft Defender portalındaki Olaylar kuyruğunun ekran görüntüsü.

Microsoft Defender XDR'de yönetilen yanıtı kullanma

Microsoft Defender portalında, yönetilen yanıtı kullanarak dikkatinizi gerektiren bir olayda Durum alanı Müşteri Eylemi Bekleniyor olarak, Atanan alanı Müşteri olarak ve Olaylar bölmesinin üstündeki bir görev kartı olarak ayarlanmıştır. Belirlenen olay kişileriniz, olayı görüntülemek için Defender portalının bağlantısını içeren ilgili e-posta bildirimini de alır. Bildirim kişileri hakkında daha fazla bilgi edinin. Ayrıca güncelleştirmeler hakkında sizi bilgilendiren bir Teams bildirimi de alırsınız. Teams'i ayarlama hakkında daha fazla bilgi edinin

Uzmanlarımızın araştırma özetini okuyabileceğiniz, uzmanlarımız tarafından tanımlanan bekleyen eylemleri tamamlayabileceğiniz veya sohbet aracılığıyla onlarla etkileşim kurabileceğiniz bir açılır panel açmak için görev kartında veya portal sayfasının üst kısmında (Yönetilen yanıt sekmesi) Yönetilen yanıtı görüntüle'yi seçin.

Araştırma özeti

Araştırma özeti bölümü, uzmanlarımız tarafından analiz edilen olay hakkında size önem derecesi ve hemen ele alınmaması durumunda olası etkisi hakkında görünürlük sağlamak için daha fazla bağlam sağlar. Cihaz zaman çizelgesini, saldırı göstergelerini ve gözlemlenen risk göstergelerini (ICS) ve diğer ayrıntıları içerebilir.

Yönetilen yanıt araştırma özetinin ekran görüntüsü.

Eylemler

Eylemler sekmesinde uzmanlarımız tarafından önerilen yanıt eylemlerini içeren görev kartları görüntülenir.

XDR için Defender Uzmanları şu anda aşağıdaki tek tıklamayla yönetilen yanıt eylemlerini destekler:

Eylem Açıklama
Cihazı yalıtma Bir cihazı yalıtarak bir saldırganın cihazı denetlemesini ve veri sızdırma ve yanal hareket gibi başka etkinlikler gerçekleştirmesini engeller. Yalıtılmış cihaz Uç Nokta için Microsoft Defender'a bağlanmaya devam eder.
Dosyayı karantinaya al İşlemleri çalıştırmayı durdurur, dosyaları karantinaya alır ve kayıt defteri anahtarları gibi kalıcı verileri siler.
Uygulama yürütmeyi kısıtlayın Kötü amaçlı olabilecek programların yürütülmesini kısıtlar ve daha fazla deneme yapılmasını önlemek için cihazı kilitler.
Yalıtımdan serbest bırakma Cihazın yalıtımını geri alır.
Uygulama kısıtlamasını kaldır Yalıtımdan sürümü geri alır.
Kullanıcıyı devre dışı bırakma Bir kimliğin ağa ve farklı uç noktalara erişmesini devre dışı bırakın.

Bu tek tıklamayla gerçekleştirdiği eylemlerin dışında, uzmanlarımızdan el ile gerçekleştirmeniz gereken yönetilen yanıtlar da alabilirsiniz.

Not

Önerilen yönetilen yanıt eylemlerinden herhangi birini gerçekleştirmeden önce, bunların otomatik araştırma ve yanıt yapılandırmalarınız tarafından henüz ele alınmadığından emin olun. Microsoft Defender XDR'de otomatik araştırma ve yanıt özellikleri hakkında daha fazla bilgi edinin.

Yönetilen yanıt eylemlerini görüntülemek ve gerçekleştirmek için:

  1. Eylem kartındaki ok düğmelerini seçerek genişletin ve gerekli eylem hakkında daha fazla bilgi okuyun.

    Cihaz prod sunucusunu yalıtmak için yönetilen yanıt eyleminin ekran görüntüsü.

  2. Tek tıklamayla yanıt eylemleri olan kartlar için gerekli eylemi seçin. Karttaki Eylem durumu , eylemin sonucuna bağlı olarak Devam Ediyor olarak, ardından Başarısız veya Tamamlandı olarak değişir.

    Cihaz prod sunucusunu yalıtmak için devam eden yönetilen yanıt eyleminin ekran görüntüsü.

İpucu

İşlem merkezinde portal içi yanıt eylemlerinin durumunu da izleyebilirsiniz. Bir yanıt eylemi başarısız olursa Cihaz ayrıntılarını görüntüle sayfasından yeniden yapmayı deneyin veya Defender Uzmanları ile sohbet başlatın .

  1. El ile gerçekleştirmeniz gereken gerekli eylemlere sahip kartlar için, bunları gerçekleştirdikten sonra Bu eylemi tamamladım'ı ve ardından görüntülenen onay iletişim kutusunda Evet, yaptım'ı seçin.

    Eylemin tamamlanmasını onaylamak için yönetilen yanıt eyleminin ekran görüntüsü.

  2. Gerekli bir eylemi hemen tamamlamak istemiyorsanız Atla'yı ve ardından görüntülenen onay iletişim kutusunda Evet, bu eylemi atla'yı seçin.

Önemli

Eylem kartlarındaki düğmelerden herhangi birinin gri olduğunu fark ederseniz, eylemi gerçekleştirmek için gerekli izinlere sahip olmadığınızı gösterebilir. Microsoft Defender XDR portalında uygun izinlerle oturum açtığınızdan emin olun. Yönetilen yanıt eylemlerinin çoğu için en azından Güvenlik Operatörü erişimine sahip olmanız gerekir. Uygun izinlerle bile bu sorunla karşılaşmaya devam ediyorsanız Cihaz ayrıntılarını görüntüle'ye gidin ve adımları buradan tamamlayın.

SIEM veya ITSM uygulamanızda Defender Uzmanları araştırmalarına görünürlük elde edin

XDR için Defender Uzmanları olayları araştırıp düzeltme eylemleriyle karşınıza çıktıkçe, güvenlik bilgileri ve olay yönetimi (SIEM) ve BT hizmet yönetimi (ITSM) uygulamalarınızda (kullanıma hazır uygulamalar dahil) olaylarla ilgili çalışmalarını görebilirsiniz.

Microsoft Sentinel

Kullanıma açık Microsoft Defender XDR veri bağlayıcısını açarak Microsoft Sentinel'de olay görünürlüğü elde edebilirsiniz. Daha fazla bilgi edinin.

Bağlayıcıyı açtıktan sonra, Defender Uzmanları tarafından Microsoft Defender XDR'deki Durum, Atanan, Sınıflandırma ve Belirleme alanlarında yapılan güncelleştirmeler Sentinel'deki ilgili Durum, Sahip ve Kapatma Nedeni alanlarında gösterilir.

Not

Microsoft Defender XDR'de Defender Uzmanları tarafından araştırılan olayların durumu genellikle Etkin'den DevamEdiyor'aMüşteri Eylemi bekleniyor'danÇözümlendi'ye geçiş yaparken Sentinel'de YenidenEtkineÇözümlendi yolunu izler. Microsoft Defender XDR Durum Bekleyen Müşteri Eyleminin Sentinel'de eşdeğer bir alanı yok; bunun yerine, Sentinel'deki bir olayda etiket olarak görüntülenir.

Aşağıdaki bölümde, uzmanlarımız tarafından işlenen bir olayın araştırma yolculuğunda ilerlerken Sentinel'de nasıl güncelleştirildiği açıklanmaktadır:

  1. Uzmanlarımız tarafından araştırılan bir olayda DurumEtkin , Sahip ise Defender Uzmanları olarak listelenmiştir.

  2. Uzmanlarımızın Gerçek Pozitif olarak onay verdiği bir olay, Microsoft Defender XDR'de yayınlanan yönetilen bir yanıta ve Müşteri Eylemini BekleyenEtikete ve Sahip'eMüşteri olarak listelenir. Defender portalında sağlanan yönetilen yanıtı kullanarak olay üzerinde işlem yapmanız gerekir.

  3. Uzmanlarımızın Doğru Pozitif olarak onayladığı bir olay ve Defender Uzmanları tarafından gerçekleştirilen tüm düzeltme eylemleri, olayın Durumu Çözüldü olarak güncelleştirildi ve SahipMüşteri olarak listelendi. Defender portalında sağlanan yönetilen yanıtı kullanarak olay üzerinde tamamlanan eylemleri gözden geçirebilirsiniz.

  4. Uzmanlarımız araştırmalarını tamamladıktan ve bir olayı Hatalı Pozitif veya Bilgilendirici, Beklenen Etkinlik olarak kapattıktan sonra olayın DurumuÇözüldü, SahipAtanmadı olarak güncelleştirilir ve kapatma nedeni sağlanır.

    Microsoft Sentinel olaylarının ekran görüntüsü.

Diğer uygulamalar

Microsoft Defender XDR API'sini veya Sentinel'deki bağlayıcıları kullanarak SIEM veya ITSM uygulamanızdaki olaylarla ilgili görünürlük elde edebilirsiniz.

Bağlayıcı yapılandırıldıktan sonra, Defender Uzmanları tarafından bir olayın Durumu, Atandığı, Sınıflandırma ve Belirleme alanları için Microsoft Defender XDR'deki güncelleştirmeler, alan eşlemesinin nasıl uygulandığına bağlı olarak üçüncü taraf SIEM veya ITSM uygulamalarıyla eşitlenebilir. Bunu göstermek için Sentinel'den ServiceNow'a bağlayıcıya göz atabilirsiniz.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.