Microsoft Defender XDR'de otomatik saldırı kesintisi

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Microsoft Defender XDR, etkin fidye yazılımı kampanyalarını veya ortamdaki diğer gelişmiş saldırıları yüksek güvenle tanımlamak için milyonlarca bireysel sinyali ilişkilendirmektedir. Bir saldırı devam ederken, Defender XDR saldırganın otomatik saldırı kesintisi yoluyla kullandığı güvenliği aşılmış varlıkları otomatik olarak içererek saldırıyı kesintiye uğratır.

Otomatik saldırı kesintisi, yanal hareketi erken sınırlar ve ilişkili maliyetlerden üretkenlik kaybına kadar bir saldırının genel etkisini azaltır. Aynı zamanda, güvenlik operasyonları ekiplerini araştırma, düzeltme ve varlıkları yeniden çevrimiçi hale getirme konusunda tam denetime sahiptir.

Bu makale, otomatik saldırı kesintisine genel bir bakış sağlar ve sonraki adımların ve diğer kaynakların bağlantılarını içerir.

Otomatik saldırı kesintisi nasıl çalışır?

Otomatik saldırı kesintisi, devam eden saldırıları içerecek, kuruluşun varlıkları üzerindeki etkisini sınırlayabilecek ve güvenlik ekiplerinin saldırıyı tamamen düzeltmesi için daha fazla zaman sağlayacak şekilde tasarlanmıştır. Saldırı kesintisi, genişletilmiş algılama ve yanıt (XDR) sinyallerimizin tamamını kullanır ve saldırının tamamını olay düzeyinde işlem yapmak üzere dikkate alır. Bu özellik, tek bir güvenlik açığı göstergesine bağlı olarak önleme ve engelleme gibi bilinen koruma yöntemlerine benzemez.

Birçok XDR ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) platformu otomatik yanıt eylemlerinizi oluşturmanıza olanak tanırken, otomatik saldırı kesintisi yerleşiktir ve gelişmiş saldırıların karmaşıklıklarına karşı koymak için Microsoft güvenlik araştırmacılarının ve gelişmiş yapay zeka modellerinin içgörülerini kullanır. Otomatik saldırı kesintisi, güvenliği aşılmış varlıkları belirlemek için farklı kaynaklardan gelen sinyallerin tüm bağlamını dikkate alır.

Otomatik saldırı kesintisi üç temel aşamada çalışır:

  • Uç noktalar, kimlikler, e-posta ve işbirliği araçları ve SaaS uygulamalarından gelen içgörüler aracılığıyla birçok farklı kaynaktan gelen sinyalleri tek bir yüksek güvenilirlik olayıyla ilişkilendirmek için Defender XDR özelliğini kullanır.
  • Saldırgan tarafından denetlenen varlıkları tanımlar ve saldırıyı yaymak için kullanılır.
  • Etkilenen varlıkları yalıtarak ilgili Microsoft Defender ürünleri genelinde saldırıyı gerçek zamanlı olarak içerecek şekilde otomatik olarak yanıt eylemleri gerçekleştirir.

Bu oyun değiştirme özelliği, tehdit aktörünün ilerlemesini erken sınırlar ve bir saldırının genel etkisini, ilişkili maliyetlerden üretkenlik kaybına kadar önemli ölçüde azaltır.

Otomatik işlem yaparken yüksek güvenilirlik sağlama

Otomatik eylem gerçekleştirmenin, bir kuruluş üzerindeki olası etkisi göz önünde bulundurulduğunda bazen güvenlik ekiplerinden tereddütle geldiğini anlıyoruz. Bu nedenle, Defender XDR'daki otomatik saldırı kesintisi özellikleri yüksek kaliteli sinyallere dayanacak şekilde tasarlanmıştır. Ayrıca e-posta, kimlik, uygulamalar, belgeler, cihazlar, ağlar ve dosyalar arasında milyonlarca Defender ürün sinyaliyle Defender XDR olay bağıntısını kullanır. Microsoft'un güvenlik araştırma ekibi tarafından binlerce olayın sürekli araştırılmasının içgörüleri, otomatik saldırı kesintisinin yüksek sinyal-gürültü oranı (SNR) sağlamasını sağlar.

Araştırmalar, yüksek kaliteli ve doğru koruma sağlamak için sinyallerimizi ve saldırı tehdidi ortamını izlemenin ayrılmaz bir parçasıdır.

İpucu

Bu makalede saldırı kesintilerinin nasıl çalıştığı açıklanmaktadır. Bu özellikleri yapılandırmak için bkz. Microsoft Defender XDR'de saldırı kesintisi özelliklerini yapılandırma.

Otomatik yanıt eylemleri

Otomatik saldırı kesintisi, Microsoft tabanlı XDR yanıt eylemlerini kullanır. Bu eylemlere örnek olarak şunlar verilebilir:

  • Cihaz içerir - Uç Nokta için Microsoft Defender özelliğine bağlı olarak, bu eylem söz konusu cihazla gelen/giden iletişimi engellemek için şüpheli bir cihazın otomatik olarak kapsandığı bir eylemdir.

  • Kullanıcıyı devre dışı bırak - Kimlik için Microsoft Defender özelliğine bağlı olarak, bu eylem yanal hareket, kötü amaçlı posta kutusu kullanımı veya kötü amaçlı yazılım yürütme gibi ek zararları önlemek için güvenliği aşılmış bir hesabın otomatik olarak askıya alınmasıdır. Devre dışı bırakma kullanıcı eylemi, kullanıcının ortamınızda nasıl barındırılıyor olduğuna bağlı olarak farklı davranır.

    • Kullanıcı hesabı Active Directory'de barındırıldığında: Kimlik için Defender, Kimlik için Defender aracısını çalıştıran etki alanı denetleyicilerinde devre dışı bırakma kullanıcı eylemini tetikler.
    • Kullanıcı hesabı Active Directory'de barındırıldığında ve Microsoft Entra ID eşitlendiğinde: Kimlik için Defender, eklenen etki alanı denetleyicileri aracılığıyla devre dışı bırakma kullanıcı eylemini tetikler. Saldırı kesintisi, Entra Kimliği ile eşitlenen hesapta kullanıcı hesabını da devre dışı bırakır.
    • Kullanıcı hesabı yalnızca Entra Id (bulut yerel hesabı) içinde barındırıldığında: Saldırı kesintisi, Entra Kimliği eşitlenen hesaptaki kullanıcı hesabını devre dışı bırakır.

Not

Microsoft Entra ID'da kullanıcı hesabının devre dışı bırakılması, Kimlik için Microsoft Defender dağıtımına bağlı değildir.

  • Kullanıcı içerir- Uç Nokta için Microsoft Defender özelliğine bağlı olarak bu yanıt eylemi, Uç Nokta için Defender'ın eklenen cihazlarıyla gelen iletişimle ilgili yanal hareketleri ve uzaktan şifrelemeyi engellemeye yardımcı olmak için şüpheli kimlikleri otomatik olarak içerir.

Daha fazla bilgi için bkz. Microsoft Defender XDR düzeltme eylemleri.

Microsoft Sentinel ile SAP için otomatik yanıt eylemleri

Birleşik güvenlik operasyonları platformunu kullanıyorsanız ve SAP uygulamaları için Microsoft Sentinel çözümünü dağıttıysanız SAP için otomatik saldırı kesintisi de dağıtabilirsiniz.

Örneğin, finansal işlem düzenleme saldırısı durumunda şüpheli SAP kullanıcılarını kilitleyerek SAP'nin güvenliği aşılmış varlıkları içermesi için saldırı kesintisi dağıtın.

Risk azaltıldıktan sonra, Microsoft Defender yöneticiler saldırı kesintisi yanıtı tarafından otomatik olarak kilitlenen kullanıcıların kilidini el ile açabilir. Kullanıcıların kilidini el ile açma özelliği, Microsoft Defender işlem merkezinden ve yalnızca saldırı kesintisi nedeniyle kilitlenen kullanıcılar için kullanılabilir.

SAP için saldırı kesintisini kullanmak için yeni bir veri bağlayıcısı aracısı dağıtın veya aracınızın 90847355 veya üzeri bir sürüm kullandığından emin olun ve ardından gerekli Azure ve SAP rollerini atayın ve uygulayın. Daha fazla bilgi için bkz.:

Azure portal ve SAP sisteminizde saldırı kesintisini yapılandırırken, otomatik saldırı kesintisi yalnızca Microsoft Defender portalındaki birleşik güvenlik operasyonları platformunda görünür.

Ortamınızda bir saldırı kesintisi oluştuğunda belirleme

Defender XDR olay sayfası, saldırı hikayesi aracılığıyla otomatik saldırı kesintisi eylemlerini ve sarı çubukla gösterilen durumu yansıtır (Şekil 1). Olay ayrılmış bir kesinti etiketi gösterir, olay grafiğinde yer alan varlıkların durumunu vurgular ve İşlem Merkezi'ne bir eylem ekler.

Microsoft Defender portalında bir olay seçme Şekil 1. Otomatik saldırı kesintisinin gerçekleştiği sarı çubuğu gösteren olay görünümü

Defender XDR kullanıcı deneyimi artık bu otomatik eylemlerin görünürlüğünü sağlamak için ek görsel ipuçları içerir. Bunları aşağıdaki deneyimlerde bulabilirsiniz:

  1. Olay kuyruğunda:

    • Etkilenen olayların yanında Saldırı Kesintisi başlıklı bir etiket görünür
  2. Olay sayfasında:

    • Saldırı Kesintisi başlıklı bir etiket
    • Sayfanın üst kısmında, gerçekleştirilen otomatik eylemi vurgulayan sarı bir başlık
    • Mevcut varlık durumu, bir varlık üzerinde bir eylem yapılırsa (örneğin, hesap devre dışı bırakılmışsa veya cihaz içerilmişse) olay grafiğinde gösterilir
  3. API aracılığıyla:

    Olayların başlıklarının sonuna otomatik olarak kesintiye uğrama olasılığı yüksek olan bir (saldırı kesintisi) dizesi eklenir. Örneğin:

    Güvenliği aşılmış bir hesaptan başlatılan BEC finansal dolandırıcılık saldırısı (saldırı kesintisi)

Daha fazla bilgi için bkz. Saldırı kesintisi ayrıntılarını ve sonuçlarını görüntüleme.

Sonraki adımlar

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.