Güvenlik uyarıları ve olaylar

  • Makale

Bu makalede, Bulut için Microsoft Defender güvenlik uyarıları ve bildirimleri açıklanmaktadır.

Güvenlik uyarıları nedir?

Güvenlik uyarıları, Azure, hibrit veya çoklu bulut ortamlarınızda tehditler tanımlandığında Bulut için Defender'ın iş yükü koruma planları tarafından oluşturulan bildirimlerdir.

  • Güvenlik uyarıları, belirli kaynak türleri için Defender planlarını etkinleştirdiğinizde kullanılabilen gelişmiş algılamalar tarafından tetiklenir.
  • Her uyarı, etkilenen kaynakların, sorunların ve düzeltme adımlarının ayrıntılarını sağlar.
  • Bulut için Defender uyarıları sınıflandırır ve önem derecelerine göre önceliklendirir.
  • Uyarıyla ilgili kaynak bu süre içinde silinmiş olsa bile uyarılar portalda 90 gün boyunca görüntülenir. Bunun nedeni, uyarının kuruluşunuzda daha fazla araştırılması gereken olası bir ihlali gösterebilmesidir.
  • Uyarılar CSV biçimine aktarılabilir.
  • Uyarılar doğrudan Microsoft Sentinel, Güvenlik Düzenleme Otomatik Yanıtı (SOAR) veya BT Hizmet Yönetimi (ITSM) çözümü gibi bir Güvenlik Bilgileri ve Olay Yönetimi'ne (SIEM) de aktarılabilir.
  • Bulut için Defender, uyarıları algılanan amaçlarıyla ilişkilendirmek için MITRE Saldırı Matrisi'ni kullanarak güvenlik etki alanı bilgisini resmileştirmeye yardımcı olur.

Uyarılar nasıl sınıflandırılır?

Uyarıların, her uyarıya nasıl katılacaklarını önceliklendirmeye yardımcı olmak için atanmış bir önem düzeyi vardır. Önem derecesi şu temellere dayanır:

  • Belirli tetikleyici
  • Uyarıya yol açan etkinliğin arkasında kötü amaçlı bir amaç olduğuna ilişkin güvenilirlik düzeyi
Önem Derecesi Önerilen yanıt
Yüksek Kaynağınızın tehlikeye girmiş olma olasılığı yüksektir. Hemen araştırmalısın. Bulut için Defender hem kötü amaçlı amada hem de uyarıyı vermek için kullanılan bulgulara yüksek güvene sahiptir. Örneğin, kimlik bilgisi hırsızlığı için kullanılan yaygın bir araç olan Mimikatz gibi bilinen kötü amaçlı bir aracın yürütülmesini algılayan bir uyarı.
Medium Bu büyük olasılıkla şüpheli bir etkinlik kaynağın güvenliğinin aşıldığını gösterebilir. Bulut için Defender'ın analize veya bulmaya olan güveni orta, kötü amaçlı amacın güvenilirliği ise orta ve yüksektir. Bunlar genellikle makine öğrenmesi veya anomali tabanlı algılamalar (örneğin, olağan dışı bir konumdan oturum açma girişimi) olabilir.
Düşük Bu iyi huylu bir pozitif veya engellenmiş bir saldırı olabilir. Bulut için Defender, amacın kötü amaçlı olduğundan ve etkinliğin masum olabileceğinden yeterince emin değildir. Örneğin, günlük temizleme, bir saldırgan izlerini gizlemeye çalıştığında gerçekleşebilecek bir eylemdir, ancak çoğu durumda yöneticiler tarafından gerçekleştirilen rutin bir işlemdir. Bulut için Defender, incelemenizi önerdiğimiz ilginç bir durum olmadığı sürece genellikle saldırıların ne zaman engellendiğini size söylemez.
Bilgilendirici Bir olay genellikle bir dizi uyarıdan oluşur ve bazıları yalnızca bilgilendirme amaçlı olarak görünebilir, ancak diğer uyarılar bağlamında daha yakından bakmayı hak ediyor olabilir.

Güvenlik olayları nedir?

Güvenlik olayı , ilgili uyarıların bir koleksiyonudur.

Olaylar size bir saldırının ve ilgili uyarıların tek bir görünümünü sağlar, böylece bir saldırganın yaptığıiz eylemleri ve etkilenen kaynakları hızla anlayabilirsiniz.

Tehdit kapsamının nefesi arttıkça, en ufak bir tehlikeyi bile algılama ihtiyacı da artar. Güvenlik analistlerinin farklı uyarıları önceliklendirmesi ve gerçek bir saldırıyı belirlemesi zordur. Bulut için Defender, uyarıları ve düşük uygunluk sinyallerini güvenlik olaylarıyla ilişkilendirerek analistlerin bu uyarı yorgunluğuyla başa çıkmasına yardımcı olur.

Bulutta farklı kiracılarda saldırılar gerçekleşebilir. Bulut için Defender, her Azure aboneliğinde bildirilen saldırı dizilerini analiz etmek için yapay zeka algoritmalarını birleştirebilir. Bu teknik, saldırı dizilerini yalnızca birbirleriyle tesadüfen ilişkilendirilme yerine yaygın uyarı desenleri olarak tanımlar.

Bir olayla ilgili bir araştırma sırasında analistler genellikle tehdidin doğası ve nasıl hafifletecekleri hakkında bir karara varmak için ek bağlama ihtiyaç duyar. Örneğin, bir ağ anomalisi algılandığında bile, ağda veya hedeflenen kaynakla ilgili olarak başka neler olduğunu anlamadan, bundan sonra hangi eylemlerin gerçekleştirilmiş olduğunu anlamak zordur. Bir güvenlik olayı yardımcı olmak için yapıtları, ilgili olayları ve bilgileri içerebilir. Güvenlik olayları için sağlanan ek bilgiler, algılanan tehdit türüne ve ortamınızın yapılandırmasına bağlı olarak değişir.

Uyarıları olaylarla ilişkilendirme

Bulut için Defender uyarıları ve bağlamsal sinyalleri olaylarla ilişkilendirmektedir.

  • Bağıntı, kaynaklar arasındaki farklı sinyalleri inceler ve uyarıları analiz etmek için güvenlik bilgisi ile yapay zekayı birleştirir ve yeni saldırı düzenlerini ortaya çıktıklarında keşfeder.
  • Bulut için Defender, bir saldırının her adımı için toplanan bilgileri kullanarak bir saldırının adımları gibi görünen ancak aslında olmayan etkinlikleri de eleyebilir.

İpucu

Olay başvurusunda, olay bağıntısı tarafından oluşturulabilecek güvenlik olayı listesini gözden geçirin.

Bulut için Defender tehditleri nasıl algılar?

Bulut için Defender, gerçek tehditleri algılamak ve hatalı pozitif sonuçları azaltmak için kaynakları izler, tehditlere yönelik verileri toplar ve analiz eder ve genellikle birden çok kaynaktan gelen verileri ilişkilendirer.

Bulut Için Defender Veri toplama ve sunu.

Microsoft girişimleri

Bulut için Microsoft Defender, Microsoft genelinde tehdit ortamındaki değişiklikleri sürekli izleyen güvenlik araştırmalarına ve veri bilimi ekiplerine sahip olmanın avantajlarından faydalanır. Buna aşağıdaki girişimler dahildir:

  • Microsoft güvenlik uzmanları: Microsoft’ta hukuk ve web saldırıcı algılama gibi uzman güvenlik alanlarında çalışan ekiplerle sürekli iletişim.

  • Microsoft güvenlik araştırması: Araştırmacılarımız sürekli tehditleri araştırıyor. Buluttaki ve şirket içindeki küresel varlığımız nedeniyle geniş bir telemetri kümesine erişimimiz vardır. Geniş erişimli ve çeşitli veri kümeleri koleksiyonu, şirket içi tüketici ve kurumsal ürünlerimizin yanı sıra çevrimiçi hizmetler genelinde yeni saldırı düzenlerini ve eğilimlerini keşfetmemizi sağlar. Sonuç olarak, Bulut için Defender, saldırganlar yeni ve giderek karmaşık hale gelen açıklardan yararlandıkça algılama algoritmalarını hızla güncelleştirebilir. Bu yaklaşık hızlı hareket eden bir ortama ayak uydurmanıza yardımcı olmaktadır.

  • Tehdit bilgileri izleme: Tehdit zekası mevcut veya yeni ortaya çıkan tehditler hakkında mekanizmalar, göstergeler, etkiler ve eyleme dönüştürülebilir öneriler içerir. Bu bilgileri güvenlik topluluğu içinde paylaşılır ve Microsoft, iç ve dış kaynaklardan gelen tehdit bilgisi akışlarını sürekli olarak izler.

  • Sinyal paylaşımı: Microsoft'un geniş bulut ve şirket içi hizmetler, sunucular ve istemci uç nokta cihazlarından oluşan portföyündeki güvenlik ekiplerinden alınan içgörüler paylaşılır ve analiz edilir.

  • Algılama ayarı: Gerçek müşteri veri kümelerine göre algoritmalar çalıştırılır ve güvenlik araştırmacıları, sonuçları doğrulamak üzere müşterilerle işbirliği yapar. Doğru ve yanlış pozitifler kullanılarak machine learning algoritmaları iyileştirilir.

Bu birleşik çabalar, anında yararlanabileceğiniz yeni ve geliştirilmiş algılamalarda doruk noktasıdır; yapmanız gereken bir işlem yoktur.

Güvenlik analizi

Bulut için Defender, imza tabanlı yaklaşımların çok ötesinde gelişmiş güvenlik analizi kullanır. Büyük veri ve machine learning teknolojilerindeki sıçramalar, tüm bulut yapısındaki olayları değerlendirmek için kullanılır: elle yaklaşımlar kullanılarak ve saldırıların gelişimi tahmin edilerek belirlenmesi imkansız olan tehditler algılanır. Bu güvenlik analizleri şunlardır:

Tümleşik tehdit bilgileri

Microsoft yoğun miktarda genel tehdit bilgisine sahiptir. Telemetri, Azure, Microsoft 365, Microsoft CRM çevrimiçi, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Dijital Suçlar Birimi (DCU) ve Microsoft Güvenlik Yanıt Merkezi (MSRC) gibi birden çok kaynaktan akar. Araştırmacılar ayrıca büyük bulut hizmeti sağlayıcıları ve diğer üçüncü taraflardan gelen akışlar arasında paylaşılan tehdit bilgileri bilgilerini de alır. Bulut için Microsoft Defender, bu bilgileri sizi bilinen kötü aktörlerden gelen tehditlere karşı uyarmak için kullanabilir.

Davranış analizi

Davranış analizi, verileri analiz eden ve bilinen modeller koleksiyonuyla karşılaştıran bir tekniktir. Ancak, bu modeller basit imzalar değildir. Bunlar büyük veri kümelerine uygulanan karmaşık machine learning algoritmaları aracılığıyla belirlenir. Bunlar, kötü amaçlı davranışların uzman analistler tarafından dikkatlice çözümlenmesiyle de belirlenir. Bulut için Microsoft Defender, sanal makine günlükleri, sanal ağ cihaz günlükleri, doku günlükleri ve diğer kaynakların analizine dayalı olarak güvenliği aşılmış kaynakları belirlemek için davranış analizini kullanabilir.

Anormallik algılama

Bulut için Defender, tehditleri tanımlamak için anomali algılamayı da kullanır. Büyük veri kümelerinden türetilen bilinen desenlere bağlı davranış analizinin aksine, anomali algılama daha "kişiselleştirilmiştir" ve dağıtımlarınıza özgü temellere odaklanır. Dağıtımlarınızın normal etkinliğini belirlemek için machine learning uygulanır ve sonra bir güvenlik olayını gösterebilecek aykırı değer koşullarını tanımlamak üzere kurallar oluşturulur.

Uyarıları dışarı aktarma

Bulut için Defender dışında uyarılarınızı görüntülemek için çeşitli seçenekleriniz vardır:

  • Uyarılar panosundaki CSV raporunu indirme, CSV'ye tek seferlik dışarı aktarma sağlar.
  • Ortam ayarlarından sürekli dışarı aktarma, Log Analytics çalışma alanlarına ve Event Hubs'a güvenlik uyarısı ve öneri akışlarını yapılandırmanıza olanak tanır. Daha fazla bilgi edinin.
  • Microsoft Sentinel bağlayıcısı, güvenlik uyarılarını Bulut için Microsoft Defender'den Microsoft Sentinel'e aktarır. Daha fazla bilgi edinin.

SIEM, SOAR veya BT Hizmet Yönetimi çözümüne akış uyarıları hakkında bilgi edinin ve verileri sürekli olarak dışarı aktarmayı öğrenin.

Sonraki adımlar

Bu makalede, Bulut için Defender'da sağlanan farklı uyarı türleri hakkında bilgi edindik. Daha fazla bilgi için bkz.