Varlıkları araştırma

Kimlik için Microsoft Defender, Microsoft Defender XDR kullanıcılarına kullanıcıların, bilgisayarların ve cihazların ne zaman şüpheli etkinlikler gerçekleştirdiğini veya gizliliğinin tehlikeye girdiğini gösteren kanıtlar sağlar.

Bu makale, kuruluşunuz için riskleri belirleme, düzeltmeye karar verme ve gelecekte benzer saldırıları önlemenin en iyi yolunu belirleme konusunda öneriler sunar.

Şüpheli kullanıcılar için araştırma adımları

Not

Microsoft Defender XDR'de kullanıcı profillerini görüntüleme hakkında bilgi için Bkz . Microsoft Defender XDR belgeleri.

Bir uyarı veya olay kullanıcının şüpheli veya risk altında olabileceğini gösteriyorsa, aşağıdaki ayrıntılar ve etkinlikler için kullanıcı profilini denetleyin ve araştırın:

  • Kullanıcı kimliği

    • Kullanıcı hassas bir kullanıcı mı (yönetici gibi, izleme listesinde vb.)?
    • Kuruluştaki rolleri nedir?
    • Kuruluş ağacında önemliler mi?
  • Aşağıdakiler gibi şüpheli etkinlikleri araştırın:

    • Kullanıcının Kimlik için Defender'da veya Uç Nokta için Microsoft Defender, Bulut için Microsoft Defender ve/veya Bulut için Microsoft Defender Uygulamaları gibi diğer güvenlik araçlarında başka açık uyarıları var mı?
    • Kullanıcı oturum açmada başarısız oldu mu?
    • Kullanıcı hangi kaynaklara erişmiş?
    • Kullanıcı yüksek değerli kaynaklara erişmiş mi?
    • Kullanıcının erişmiş olduğu kaynaklara erişmesi mi gerekiyordu?
    • Kullanıcı hangi cihazlarda oturum açmıştı?
    • Kullanıcının bu cihazlarda oturum açması mı gerekiyordu?
    • Kullanıcı ile hassas kullanıcı arasında yanal hareket yolu (LMP) var mı?

Hesabın tehlikede olup olmadığını veya şüpheli etkinliklerin kötü amaçlı eylemlere neden olup olmadığını belirlemek için bu soruların yanıtlarını kullanın.

Kimlik bilgilerini aşağıdaki Microsoft Defender XDR alanlarında bulabilirsiniz:

  • Bireysel kimlik ayrıntıları sayfaları
  • Tek tek uyarı veya olay ayrıntıları sayfası
  • Cihaz ayrıntıları sayfaları
  • Gelişmiş tehdit avcılığı sorguları
  • İşlem merkezi sayfası

Örneğin, aşağıdaki görüntüde bir kimlik ayrıntıları sayfasındaki ayrıntılar gösterilir:

Kimlik ayrıntıları sayfasının ekran görüntüsü.

Kimlik ayrıntıları

Belirli bir kimliği araştırdığınızda, kimlik ayrıntıları sayfasında aşağıdaki ayrıntıları görürsünüz:

Kimlik ayrıntıları sayfa alanı Açıklama
Genel Bakış sekmesi Microsoft Entra kimlik risk düzeyi, kullanıcının oturum açtığı cihaz sayısı, kullanıcının ilk ve son görüldüğü zaman, kullanıcının hesapları ve daha önemli bilgiler gibi genel kimlik verileri.

Olaylara ve uyarılara, araştırma öncelik puanına, kuruluş ağacına, varlık etiketlerine ve puanlanmış etkinlik zaman çizelgesine ilişkin grafikleri görüntülemek için Genel Bakış sekmesini kullanın.
Olaylar ve uyarılar Uyarı önem derecesi ve uyarının oluşturulma zamanı gibi ayrıntılar da dahil olmak üzere son 180 güne ait etkin olayları ve kullanıcıyı kapsayan uyarıları listeler.
Kuruluşta gözlemlenen Aşağıdaki alt alanları içerir:
- Cihazlar: Kimliğin son 180 günde en çok ve en az kullanılanlar dahil olmak üzere oturum açtığı cihazlar.
- Konumlar: Kimliğin son 30 gün içinde gözlemlenen konumları.
- Gruplar: Kimlik için gözlemlenen tüm şirket içi gruplar.
- Yanal hareket yolları - şirket içi ortamdan profili oluşturulan tüm yanal hareket yolları.
Kimlik zaman çizelgesi Zaman çizelgesi kullanıcının kimliğinden gözlemlenen etkinlikleri ve uyarıları temsil eder, Kimlik için Microsoft Defender, Bulut için Microsoft Defender Uygulamaları ve Uç Nokta için Microsoft Defender kimlik girdilerini birleştiren.

Bir kullanıcının gerçekleştirdiği veya belirli zaman çerçevelerinde gerçekleştirilen etkinliklere odaklanmak için zaman çizelgesini kullanın. Zaman aralığını başka bir yerleşik değerle veya özel bir aralıkla değiştirmek için varsayılan 30 günü seçin.
Düzeltme eylemleri Hesaplarını devre dışı bırakarak veya parolalarını sıfırlayarak güvenliği aşılmış kullanıcılara yanıt verin. Kullanıcılar üzerinde işlem yaptıktan sonra, Etkinlik ayrıntılarını Microsoft Defender XDR **İşlem merkezinden de kontrol edebilirsiniz.

Daha fazla bilgi için Microsoft Defender XDR belgelerindeki Kullanıcıları araştırma bölümüne bakın.

Şüpheli gruplar için araştırma adımları

Bir uyarı veya olay araştırması bir Active Directory grubuyla ilgiliyse, aşağıdaki ayrıntılar ve etkinlikler için grup varlığını denetleyin:

  • Grup varlığı

    • Grup, Etki Alanı Yönetici gibi hassas bir grup mu?
    • Grup hassas kullanıcılar içeriyor mu?
  • Aşağıdakiler gibi şüpheli etkinlikleri araştırın:

    • Grubun, Kimlik için Defender'da veya Uç Nokta için Microsoft Defender, Bulut için Microsoft Defender ve/veya Bulut için Microsoft Defender Uygulamaları gibi diğer güvenlik araçlarında açık, ilgili başka uyarıları var mı?
    • En son hangi kullanıcılar gruba eklendi veya gruptan kaldırıldı?
    • Grup kısa süre önce sorgulandı mı ve kim tarafından sorgulandı?

Araştırmanıza yardımcı olması için bu soruların yanıtlarını kullanın.

Araştırmak için grup varlığı ayrıntıları bölmesinden Avlanmaya git veya Zaman çizelgesini aç'ı seçin. Grup bilgilerini aşağıdaki Microsoft Defender XDR alanlarında da bulabilirsiniz:

  • Tek tek uyarı veya olay ayrıntıları sayfası
  • Cihaz veya kullanıcı ayrıntıları sayfaları
  • Gelişmiş tehdit avcılığı sorguları

Örneğin, aşağıdaki görüntüde, son 180 güne ait ilgili uyarılar ve etkinlikler de dahil olmak üzere Sunucu İşleçleri etkinlik zaman çizelgesi gösterilmektedir:

Grup Zaman Çizelgesi sekmesinin ekran görüntüsü.

Şüpheli cihazlar için araştırma adımları

Microsoft Defender XDR uyarısı, her şüpheli etkinliğe bağlı tüm cihazları ve kullanıcıları listeler. Cihaz ayrıntıları sayfasını görüntülemek için bir cihaz seçin ve ardından aşağıdaki ayrıntıları ve etkinlikleri araştırın:

  • Şüpheli etkinliğin gerçekleştiği sırada neler oldu?

    • Cihazda hangi kullanıcı oturum açtı?
    • Bu kullanıcı normalde kaynak veya hedef cihazda oturum açar veya bu cihaza erişer mi?
    • Hangi kaynaklara erişildi? Hangi kullanıcılara göre? Kaynaklara erişildiyse, bunlar yüksek değerli kaynaklar mıydı?
    • Kullanıcının bu kaynaklara erişmesi mi gerekiyordu?
    • Cihaza erişen kullanıcı diğer şüpheli etkinlikleri gerçekleştirdi mi?
  • Araştırılması gereken daha şüpheli etkinlikler:

    • Diğer uyarılar Kimlik için Defender'da veya Uç Nokta için Microsoft Defender, Bulut için Microsoft Defender ve/veya Bulut için Microsoft Defender Uygulamaları gibi diğer güvenlik araçlarında bu uyarıyla aynı zamanda mı açıldı?
    • Başarısız oturum açma işlemleri oldu mu?
    • Yeni programlar dağıtıldı mı veya yüklendi mi?

Cihazın tehlikede olup olmadığını veya şüpheli etkinliklerin kötü amaçlı eylemlere neden olup olmadığını belirlemek için bu soruların yanıtlarını kullanın.

Örneğin, aşağıdaki görüntüde bir cihaz ayrıntıları sayfası gösterilmektedir:

Cihaz ayrıntıları sayfasının ekran görüntüsü.

Daha fazla bilgi için Microsoft Defender XDR belgelerindeki Cihazları araştırma bölümüne bakın.

Sonraki adımlar