Anomali algılama uyarılarını araştırma

Microsoft Defender for Cloud Apps, kötü amaçlı etkinlikler için güvenlik algılamaları ve uyarılar sağlar. Bu kılavuzun amacı, araştırma ve düzeltme görevlerinize yardımcı olmak için size her uyarı hakkında genel ve pratik bilgiler sağlamaktır. Bu kılavuzda uyarıları tetikleme koşulları hakkında genel bilgiler yer alır. Ancak anomali algılamaları doğası gereği belirsiz olduğundan, bunların yalnızca normdan sapan davranışlar olduğunda tetiklendiğini unutmayın. Son olarak, bazı uyarılar önizleme aşamasında olabilir, bu nedenle güncelleştirilmiş uyarı durumu için resmi belgeleri düzenli olarak gözden geçirin.

MITRE ATT&CK

Defender for Cloud Apps uyarıları ile tanıdık MITRE ATT&CK Matrisi arasındaki ilişkiyi açıklamayı ve eşlemeyi kolaylaştırmak için uyarıları ilgili MITRE ATT&CK taktiğine göre kategorilere ayırdık. Bu ek başvuru, bir Defender for Cloud Apps uyarısı tetiklendiğinde kullanımda olabilecek şüpheli saldırı tekniğinin anlaşılmasını kolaylaştırır.

Bu kılavuz, aşağıdaki kategorilerdeki Defender for Cloud Apps uyarılarını araştırma ve düzeltme hakkında bilgi sağlar.

Güvenlik uyarısı sınıflandırmaları

Doğru araştırmanın ardından tüm Defender for Cloud Apps uyarıları aşağıdaki etkinlik türlerinden biri olarak sınıflandırılabilir:

• Gerçek pozitif (TP): Doğrulanmış kötü amaçlı etkinlikle ilgili bir uyarı.
• Zararsız gerçek pozitif (B-TP): Sızma testi veya başka bir yetkili şüpheli eylem gibi şüpheli ancak kötü amaçlı olmayan etkinliklerle ilgili bir uyarı.
• Hatalı pozitif (FP): Kötü amaçlı olmayan bir etkinlikle ilgili bir uyarı.

Genel araştırma adımları

Önerilen eylemi uygulamadan önce olası tehdidi daha net anlamak için herhangi bir uyarı türünü araştırırken aşağıdaki genel yönergeleri kullanmalısınız.

• Bir TP tanımlarsanız, etkiyi anlamak için kullanıcının tüm etkinliklerini gözden geçirin.
• Diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etkinin kaynağını ve kapsamını keşfedin. Örneğin, aşağıdaki kullanıcı cihazı bilgilerini gözden geçirin ve bilinen cihaz bilgileriyle karşılaştırın:
  • İşletim sistemi ve sürüm
  • Tarayıcı ve sürüm
  • IP adresi ve konumu

İlk erişim uyarıları

Bu bölümde, kötü amaçlı bir aktörün kuruluşunuza ilk ayak basmaya çalışabileceğini belirten uyarılar açıklanmaktadır.

Anonim IP adresinden etkinlik

Açıklama

Microsoft Tehdit Bilgileri veya kuruluşunuz tarafından anonim proxy IP adresi olarak tanımlanan bir IP adresinden gelen etkinlik. Bu proxy'ler bir cihazın IP adresini gizlemek için kullanılabilir ve kötü amaçlı etkinlikler için kullanılabilir.

TP, B-TP veya FP?

Bu algılama, kuruluştaki kullanıcılar tarafından yaygın olarak kullanılan yanlış etiketli IP adresleri gibi B-TP olaylarını azaltan bir makine öğrenmesi algoritması kullanır.

1. TP: Etkinliğin anonim veya TOR IP adresinden gerçekleştirildiğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. B-TP: Kullanıcının görevleri kapsamında anonim IP adresleri kullandığı biliniyorsa. Örneğin, bir güvenlik analisti kuruluş adına güvenlik veya sızma testleri gerçekleştirdiğinde.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

• Diğer risk göstergeleri için tüm kullanıcı etkinliğini ve uyarılarını gözden geçirin. Örneğin, uyarının ardından Olağan dışı dosya indirme (kullanıcı tarafından) veya Şüpheli gelen kutusu iletme uyarısı gibi başka bir şüpheli uyarı geldiyse, bu genellikle bir saldırganın verileri sızdırmaya çalıştığı anlamına gelir.

Seyrek görülen ülkeden etkinlik

Kötü amaçlı etkinliği gösterebilecek bir ülkeden/bölgeden etkinlik. Bu ilke ortamınızın profilini oluşturur ve etkinlik yakın zamanda olmayan veya kuruluştaki herhangi bir kullanıcı tarafından hiç ziyaret edilen bir konumdan algılandığında uyarıları tetikler.

İlkenin kapsamı, kullanıcıların bir alt kümesi olarak daha kapsamlı olabilir veya uzak konumlara seyahat etmekle bilinen kullanıcıları dışlayabilir.

Öğrenme dönemi

Anormal konumların algılanması için yeni konumlar için uyarıların tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem:

   1. Kullanıcıyı askıya alın, parolasını sıfırlayın ve hesabı güvenli bir şekilde yeniden etkinleştirmek için doğru zamanı belirleyin.
   2. İsteğe bağlı: Etkinliklerini doğrulamak için sık kullanılmayan konumlardan ve yöneticilerine bağlandıkları algılanan kullanıcılarla iletişim kurmak için Power Automate'i kullanarak bir playbook oluşturun.

2. B-TP: Bir kullanıcının bu konumda olduğu biliniyorsa. Örneğin, sık seyahat eden ve şu anda belirtilen konumda bulunan bir kullanıcı.

   Önerilen eylem:

   1. Uyarıyı kapatın ve kullanıcıyı dışlamak için ilkeyi değiştirin.
   2. Sık seyahat edenler için bir kullanıcı grubu oluşturun, grubu Defender for Cloud Apps içeri aktarın ve kullanıcıları bu uyarının dışında tutun
   3. İsteğe bağlı: Etkinliklerini doğrulamak için sık kullanılmayan konumlardan ve yöneticilerine bağlandıkları algılanan kullanıcılarla iletişim kurmak için Power Automate'i kullanarak bir playbook oluşturun.

İhlal kapsamını anlama

• Olası veri indirmeleri gibi hangi kaynağın gizliliğinin tehlikeye girmiş olabileceğini gözden geçirin.

Şüpheli IP adreslerinden etkinlik

Microsoft Tehdit Bilgileri veya kuruluşunuz tarafından riskli olarak tanımlanan bir IP adresinden gelen etkinlik. Bu IP adreslerinin parola spreyi, botnet komutu ve denetimi (C&C) gerçekleştirme gibi kötü amaçlı etkinliklere dahil olduğu belirlendi ve güvenliği aşılmış bir hesabı gösterebilir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. B-TP: Kullanıcının görevleri kapsamında IP adresini kullandığı biliniyorsa. Örneğin, bir güvenlik analisti kuruluş adına güvenlik veya sızma testleri gerçekleştirdiğinde.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Etkinlik günlüğünü gözden geçirin ve aynı IP adresinden etkinlikleri arayın.
2. Olası veri indirmeleri veya yönetim değişiklikleri gibi hangi kaynağın tehlikeye girmiş olabileceğini gözden geçirin.
3. Bu uyarıları gönüllü olarak tetikleyen ve ilkenin dışında tutan güvenlik analistleri için bir grup oluşturun.

İmkansız Seyahat

İki konum arasındaki beklenen seyahat süresinden daha kısa bir süre içinde farklı konumlarda aynı kullanıcının etkinliği. Bu, kimlik bilgisi ihlalini gösterebilir, ancak kullanıcının gerçek konumunun örneğin bir VPN kullanılarak maskelenmiş olması da mümkündür.

Doğruluğu ve uyarıyı yalnızca bir ihlalin güçlü bir göstergesi olduğunda geliştirmek için, Defender for Cloud Apps kuruluştaki her kullanıcı için bir temel oluşturur ve yalnızca olağan dışı davranış algılandığında uyarır. İmkansız seyahat politikası gereksinimlerinize göre ince ayar yapılabilir.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

Bu algılama, yolculuğun her iki tarafındaki IP adreslerinin güvenli kabul edilmesi, seyahatin güvenilir olması ve İmkansız seyahat algılamasını tetiklemenin dışında tutulması gibi belirgin B-TP koşullarını yoksayan bir makine öğrenmesi algoritması kullanır. Örneğin, her iki taraf da şirket olarak etiketlenmişse güvenli olarak kabul edilir. Ancak, seyahatin yalnızca bir tarafının IP adresi güvenli olarak kabul edilirse, algılama normal şekilde tetiklanır.

1. TP: İmkansız seyahat uyarısında konumun kullanıcı için pek olası olmadığını onaylayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP (Algılanmayan kullanıcı seyahati): Kullanıcının uyarıda ayrıntılı olarak belirtilen hedefe yakın zamanda seyahat ettiğini onaylayabilirseniz. Örneğin, bir kullanıcının uçak modundaki telefonu farklı bir konuma seyahat ederken şirket ağınızdaki Exchange Online gibi hizmetlere bağlı kalırsa. Kullanıcı yeni konuma ulaştığında, telefon Exchange Online bağlanarak imkansız seyahat uyarısını tetikler.

   Önerilen eylem: Uyarıyı kapatın.

3. FP (Etiketsiz VPN): IP adresi aralığının tasdikli bir VPN'den geldiğini doğrulayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın ve VPN'in IP adres aralığını Defender for Cloud Apps ekleyin ve vpn'in IP adres aralığını etiketlemek için kullanın.

İhlal kapsamını anlama

1. Aynı konumdaki ve IP adresindeki benzer etkinlikleri anlamak için etkinlik günlüğünü gözden geçirin.
2. Kullanıcının yeni bir konumdan büyük miktarda dosya indirme gibi diğer riskli etkinlikleri gerçekleştirdiğini görürseniz, bu olası bir güvenliğin aşıldığının güçlü bir göstergesi olacaktır.
3. Kurumsal VPN'ler ve IP Adresi aralıkları ekleyin.
4. Power Automate'i kullanarak bir playbook oluşturun ve kullanıcının meşru bir şekilde seyahat edip etmediğini görmek için kullanıcının yöneticisine başvurun.
5. Kurumsal seyahat raporlaması için bilinen bir gezgin veritabanı oluşturmayı göz önünde bulundurun ve seyahat etkinliğine çapraz başvuru yapmak için bu veritabanını kullanın.

Yanıltıcı OAuth uygulama adı

Bu algılama, Latin harflerine benzeyen yabancı harfler gibi karakterleri olan uygulamaları tanımlar. Bu, saldırganların kullanıcıları kötü amaçlı uygulamalarını indirmeleri için kandırması için kötü amaçlı bir uygulamayı bilinen ve güvenilen bir uygulama olarak gizleme girişimini gösterebilir.

TP, B-TP veya FP?

1. TP: Uygulamanın yanıltıcı bir ada sahip olduğunu onaylayabilirseniz.

   Önerilen eylem: Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz.

Uygulamaya erişimi yasaklamak için, Uygulama idaresi sayfasındaki Google veya Salesforce sekmelerinde, yasaklamak istediğiniz uygulamanın görüntülendiği satırda yasaklama simgesini seçin. - Kullanıcılara yükledikleri ve yetkilendirdikleri uygulamanın yasaklandığını bildirmek isteyip istemediğinizi seçebilirsiniz. Bildirim, kullanıcılara uygulamanın devre dışı bırakılacağını ve bağlı uygulamaya erişimlerinin olmadığını bildirir. Onların bilmesini istemiyorsanız, iletişim kutusunda Bu yasaklanmış uygulamaya erişim izni veren kullanıcılara bildir'in seçimini kaldırın. - Uygulama kullanıcılarına uygulamalarının kullanımı yasaklanmak üzere olduğunu bildirmeniz önerilir.

1. FP: Uygulamanın yanıltıcı bir ada sahip olduğunu ancak kuruluşta meşru bir iş kullanımına sahip olduğunu onaylayacaksanız.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

• Riskli OAuth uygulamalarını araştırma öğreticisini izleyin.

OAuth uygulaması için yanlış yayımcı adı

Bu algılama, Latin harflerine benzeyen yabancı harfler gibi karakterleri olan uygulamaları tanımlar. Bu, saldırganların kullanıcıları kötü amaçlı uygulamalarını indirmeleri için kandırması için kötü amaçlı bir uygulamayı bilinen ve güvenilen bir uygulama olarak gizleme girişimini gösterebilir.

TP, B-TP veya FP?

1. TP: Uygulamanın yanıltıcı bir yayımcı adına sahip olduğunu onaylayabilirseniz.

   Önerilen eylem: Bu uygulama tarafından istenen izin düzeyini ve hangi kullanıcıların erişim izni verdiğini gözden geçirin. Araştırmanıza bağlı olarak bu uygulamaya erişimi yasaklayabilirsiniz.

2. FP: Uygulamanın yanıltıcı bir yayımcı adına sahip olduğunu ancak yasal bir yayımcı olduğunu onaylayacaksanız.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Uygulama idaresi sayfasındaki Google veya Salesforce sekmelerinde uygulamayı seçerek Uygulama çekmecesini açın ve ardından İlgili etkinlik'i seçin. Bu, uygulama tarafından gerçekleştirilen etkinlikler için filtrelenmiş Etkinlik günlüğü sayfasını açar. Bazı uygulamaların, bir kullanıcı tarafından gerçekleştirilen olarak kaydedilmiş etkinlikleri gerçekleştirdiğini unutmayın. Bu etkinlikler, etkinlik günlüğündeki sonuçlardan otomatik olarak filtrelenir. Etkinlik günlüğünü kullanarak daha fazla araştırma için bkz . Etkinlik günlüğü.
2. Bir uygulamanın şüpheli olduğundan şüpheleniyorsanız farklı uygulama mağazalarında uygulamanın adını ve yayımcısını araştırmanızı öneririz. Uygulama mağazalarını denetlerken aşağıdaki uygulama türlerine odaklanın:
   • Düşük sayıda indirmeye sahip uygulamalar.
   • Düşük derecelendirmeye veya puana veya kötü yorumlara sahip uygulamalar.
   • Şüpheli bir yayımcıya veya web sitesine sahip uygulamalar.
   • Yakın zamanda güncelleştirilmedi uygulamalar. Bu, artık desteklenmeyen bir uygulamayı gösterebilir.
   • Ilgisiz izinlere sahip uygulamalar. Bu, bir uygulamanın riskli olduğunu gösterebilir.
3. Yine de bir uygulamanın şüpheli olduğundan şüpheleniyorsanız, uygulama adını, yayımcıyı ve URL'yi çevrimiçi olarak araştırabilirsiniz.

Yürütme uyarıları

Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzda kötü amaçlı kod çalıştırmaya çalışabileceğini belirten uyarılar açıklanmaktadır.

Birden çok depolama silme etkinliği

Kullanıcının, öğrenilen temelle karşılaştırıldığında Azure blobları, AWS S3 demetleri veya Cosmos DB gibi kaynaklardan olağan dışı sayıda bulut depolama alanı veya veritabanı silme işlemi gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Bu, kuruluşunuzun ihlal girişimini gösterebilir.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

1. TP: Silmelerin yetkisiz olduğunu onaylayacaksanız.

   Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve tüm cihazları kötü amaçlı tehditlere karşı tarayın. Diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etki kapsamını keşfedin.

2. FP: Araştırmanızdan sonra yöneticinin bu silme etkinliklerini gerçekleştirme yetkisine sahip olduğunu onaylayabilirsiniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Kullanıcıya başvurun ve etkinliği onaylayın.
2. Diğer risk göstergeleri için etkinlik günlüğünü gözden geçirin ve değişikliği kimin yaptığını görün.
3. Diğer hizmetlerde yapılan değişiklikler için kullanıcının etkinliklerini gözden geçirin.

Birden çok VM oluşturma etkinliği

Kullanıcının öğrenilen temelle karşılaştırıldığında olağan dışı sayıda VM oluşturma eylemi gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. İhlal edilmiş bir Bulut altyapısında birden çok VM oluşturma işlemi, kuruluşunuzun içinden şifreleme madenciliği işlemlerini çalıştırma girişimini gösterebilir.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

Doğruluğu ve uyarıyı yalnızca güçlü bir ihlal göstergesi olduğunda geliştirmek için bu algılama, kuruluştaki her ortamda bir temel oluşturarak bir yöneticinin yerleşik temelden daha fazla VM oluşturması ve yalnızca olağan dışı davranış algılandığında uyarı oluşturması gibi B-TP olaylarını azaltır.

• TP: Oluşturma etkinliklerinin meşru bir kullanıcı tarafından gerçekleştirilmediğini onaylayabilirseniz.

  Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve tüm cihazları kötü amaçlı tehditlere karşı tarayın. Diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etki kapsamını keşfedin. Ayrıca, kullanıcıyla iletişime geçin, meşru eylemlerini onaylayın ve güvenliği aşılmış vm'leri devre dışı bırakmayı veya silmeyi unutmayın.

• B-TP: Araştırmanızdan sonra yöneticinin bu oluşturma etkinliklerini gerçekleştirme yetkisine sahip olduğunu onaylayabilirsiniz.

  Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin.
2. Kullanıcı tarafından oluşturulan veya değiştirilen kaynakları gözden geçirin ve kuruluşunuzun ilkelerine uygun olduğunu doğrulayın.

Bulut bölgesi için şüpheli oluşturma etkinliği (önizleme)

Kullanıcının, öğrenilen temelle karşılaştırıldığında nadir bir AWS bölgesinde olağan dışı bir kaynak oluşturma eylemi gerçekleştirdiğini gösteren etkinlikler. Yaygın olmayan bulut bölgelerinde kaynak oluşturma, kuruluşunuzun içinden şifreleme madenciliği işlemleri gibi kötü amaçlı bir etkinlik gerçekleştirme girişimine işaret edebilir.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

Doğruluğu ve uyarıyı yalnızca güçlü bir ihlal göstergesi olduğunda geliştirmek için bu algılama, B-TP olaylarını azaltmak için kuruluştaki her ortam için bir temel oluşturur.

• TP: Oluşturma etkinliklerinin meşru bir kullanıcı tarafından gerçekleştirilmediğini onaylayabilirseniz.

  Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve tüm cihazları kötü amaçlı tehditlere karşı tarayın. Diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etki kapsamını keşfedin. Ayrıca, kullanıcıyla iletişime geçin, meşru eylemlerini onaylayın ve güvenliği aşılmış bulut kaynaklarını devre dışı bırakma veya silme işlemlerini gerçekleştirdiğinizden emin olun.

• B-TP: Araştırmanızdan sonra yöneticinin bu oluşturma etkinliklerini gerçekleştirme yetkisine sahip olduğunu onaylayabilirsiniz.

  Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin.
2. Oluşturulan kaynakları gözden geçirin ve kuruluşunuzun ilkeleriyle uyumlu olduğunu doğrulayın.

Kalıcılık uyarıları

Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdaki korumasını sürdürmeye çalışabileceğini belirten uyarılar açıklanmaktadır.

Sonlandırılan kullanıcı tarafından gerçekleştirilen etkinlik

Sonlandırılan bir kullanıcı tarafından gerçekleştirilen etkinlik, şirket kaynaklarına hala erişimi olan, sonlandırılan bir çalışanın kötü amaçlı bir etkinlik gerçekleştirmeye çalıştığını gösterebilir. Defender for Cloud Apps kuruluştaki kullanıcıların profilini oluşturur ve sonlandırılan bir kullanıcı bir etkinlik gerçekleştirdiğinde bir uyarı tetikler.

TP, B-TP veya FP?

1. TP: Sonlandırılan kullanıcının hala belirli şirket kaynaklarına erişimi olduğunu ve etkinlikler gerçekleştirdiğini onaylayabilirseniz.

   Önerilen eylem: Kullanıcıyı devre dışı bırakın.

2. B-TP: Kullanıcının geçici olarak devre dışı bırakıldığını veya silinip yeniden kaydedildiğini saptayabiliyorsanız.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Kullanıcının sonlandırıldığını onaylamak için İk kayıtlarına çapraz başvuruda bulunur.
2. Microsoft Entra kullanıcı hesabının varlığını doğrulayın.

   Not

   Microsoft Entra Connect kullanıyorsanız, şirket içi Active Directory nesnesini doğrulayın ve başarılı bir eşitleme döngüsünü onaylayın.

3. Sonlandırılan kullanıcının erişimi olan tüm uygulamaları belirleyin ve hesapların yetkisini alın.
4. Yetki alma yordamlarını güncelleştirin.

CloudTrail günlük hizmetinin şüpheli değişikliği

Bir kullanıcının AWS CloudTrail günlük hizmetinde şüpheli değişiklikler gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Bu, kuruluşunuzun ihlal girişimini gösterebilir. CloudTrail devre dışı bırakıldığında, işlem değişiklikleri artık günlüğe kaydedilmiyor. Saldırgan, CloudTrail denetim olayından kaçınırken özelden genele bir S3 demeti değiştirme gibi kötü amaçlı etkinlikler gerçekleştirebilir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve CloudTrail etkinliğini tersine çevirin.

2. FP: Kullanıcının CloudTrail hizmetini yasal olarak devre dışı bırakdığını onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Diğer risk göstergeleri için etkinlik günlüğünü gözden geçirin ve CloudTrail hizmetinde kimin değişiklik yaptığını görün.
2. İsteğe bağlı: Etkinliklerini doğrulamak için kullanıcılara ve yöneticilerine başvurmak için Power Automate kullanarak bir playbook oluşturun.

Şüpheli e-posta silme etkinliği (kullanıcıya göre)

Bir kullanıcının şüpheli e-posta silme işlemleri gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Silme türü, e-posta öğesinin silinmesini ve kullanıcının posta kutusunda kullanılamaması durumunu sağlayan "sabit silme" türüdür. Silme işlemi ISS, ülke/bölge ve kullanıcı aracısı gibi yaygın olmayan tercihleri içeren bir bağlantıdan yapıldı. Bu, istenmeyen posta etkinlikleriyle ilgili e-postaları silerek işlemleri maskelemeye çalışan saldırganlar gibi kuruluşunuzun ihlal girişimini gösterebilir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP: Kullanıcının iletileri silmek için yasal olarak bir kural oluşturduğunu onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

• Şüpheli gelen kutusu iletme uyarısı ve ardından İmkansız Seyahat uyarısı gibi diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin. Aramak:

  1. Aşağıdaki gibi yeni SMTP iletme kuralları:
     • Kötü amaçlı iletme kuralı adlarını denetleyin. Kural adları, "Tüm E-postaları İlet" ve "Otomatik İlet" gibi basit adlardan veya neredeyse görünür olmayan "" gibi yanıltıcı adlardan farklılık gösterebilir. İletme kuralı adları boş bile olabilir ve iletme alıcısı tek bir e-posta hesabı veya listenin tamamı olabilir. Kötü amaçlı kurallar kullanıcı arabiriminden de gizlenebilir. Algılandıktan sonra, posta kutularından gizli kuralları silme hakkında bu yararlı blog gönderisini kullanabilirsiniz.
     • Bilinmeyen bir iç veya dış e-posta adresine tanınmayan bir iletme kuralı algılarsanız, gelen kutusu hesabının gizliliğinin tehlikeye girdiğini varsayabilirsiniz.
  2. "Tümünü sil", "iletileri başka bir klasöre taşı" gibi yeni gelen kutusu kuralları veya "..." gibi belirsiz adlandırma kuralları olanlar.
  3. Gönderilen e-postalarda artış.

Şüpheli gelen kutusu işleme kuralı

Bir saldırganın kullanıcının gelen kutusuna erişim sağladığını ve şüpheli bir kural oluşturduğunu gösteren etkinlikler. Kullanıcının gelen kutusundan iletileri veya klasörleri silme veya taşıma gibi işleme kuralları, kuruluşunuzdan bilgi sızdırma girişimi olabilir. Benzer şekilde, kullanıcının gördüğü bilgileri işleme girişimini veya istenmeyen postaları, kimlik avı e-postalarını veya kötü amaçlı yazılımları dağıtmak için gelen kutusunu kullanma girişimini gösterebilir. Defender for Cloud Apps ortamınızın profilini oluşturur ve kullanıcının gelen kutusunda şüpheli gelen kutusu işleme kuralları algılandığında uyarıları tetikler. Bu, kullanıcının hesabının gizliliğinin ihlal edilmiş olduğunu gösterebilir.

TP, B-TP veya FP?

1. TP: Kötü amaçlı bir gelen kutusu kuralı oluşturulduğunu ve hesabın gizliliğinin ihlal edildiğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve iletme kuralını kaldırın.

2. FP: Bir kullanıcının kuralı meşru bir şekilde oluşturduğunu onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Şüpheli gelen kutusu iletme uyarısı ve ardından İmkansız Seyahat uyarısı gibi diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin. Aramak:
   • Yeni SMTP iletme kuralları.
   • "Tümünü sil", "iletileri başka bir klasöre taşı" gibi yeni gelen kutusu kuralları veya "..." gibi belirsiz adlandırma kuralları olanlar.
2. Eylem için IP adresi ve konum bilgilerini toplayın.
3. Güvenliği aşılmış diğer kullanıcıları algılamak için kuralı oluşturmak için kullanılan IP adresinden gerçekleştirilen etkinlikleri gözden geçirin.

Ayrıcalık yükseltme uyarıları

Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzda daha üst düzey izinler almaya çalışabileceğini belirten uyarılar açıklanmaktadır.

Olağan dışı yönetim etkinliği (kullanıcıya göre)

Bir saldırganın bir kullanıcı hesabının gizliliğini tehlikeye attığını ve bu kullanıcı için yaygın olmayan yönetim eylemleri gerçekleştirdiğini gösteren etkinlikler. Örneğin, bir saldırgan, ortak bir kullanıcı için nispeten nadir olan bir işlem olan bir kullanıcı için güvenlik ayarını değiştirmeyi deneyebilir. Defender for Cloud Apps kullanıcının davranışına göre bir temel oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

1. TP: Etkinliğin geçerli bir yönetici tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP: Bir yöneticinin olağan dışı yönetim etkinlikleri hacmini meşru bir şekilde gerçekleştirdiğini onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Şüpheli gelen kutusu iletme veya İmkansız Seyahat gibi diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin.
2. Kalıcılık için kullanılabilecek bir kullanıcı hesabı oluşturma gibi diğer yapılandırma değişikliklerini gözden geçirin.

Kimlik bilgisi erişim uyarıları

Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdan hesap adlarını ve parolaları çalmaya çalışabileceğini belirten uyarılar açıklanmaktadır.

Birden çok başarısız oturum açma girişimi

Başarısız oturum açma girişimleri, hesabı ihlal etme girişimini gösterebilir. Ancak başarısız oturum açma işlemleri de normal bir davranış olabilir. Örneğin, bir kullanıcı yanlışlıkla yanlış parola girdiğinde. Doğruluğu ve uyarıyı yalnızca ihlal girişiminin güçlü bir göstergesi olduğunda elde etmek için Defender for Cloud Apps kuruluştaki her kullanıcı için bir oturum açma alışkanlıkları temeli oluşturur ve yalnızca olağan dışı davranış algılandığında uyarır.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

Bu ilke, kullanıcının normal oturum açma davranışını öğrenmeye dayanır. Normdan sapma algılandığında bir uyarı tetikler. Algılama aynı davranışın devam ettiğini görmeye başlarsa, uyarı yalnızca bir kez tetikler.

1. TP (MFA başarısız olur): MFA'nın doğru çalıştığını doğrulayabilirseniz, bu deneme yanılma saldırısı girişiminin işareti olabilir.

   Önerilen eylemler:

   1. Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.
   2. Başarısız kimlik doğrulamalarını gerçekleştiren uygulamayı bulun ve yeniden yapılandırın.
   3. Etkinliğin olduğu zamanlarda oturum açmış olan diğer kullanıcıları arayın çünkü bu kullanıcılar da tehlikeye girebilir. Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. B-TP (MFA başarısız olur): Uyarının MFA ile ilgili bir sorundan kaynaklandığını doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyla iletişim kurmak ve MFA ile ilgili sorunlar yaşanıp yaşamadıklarını denetlemek için Power Automate'i kullanarak bir playbook oluşturun.

3. B-TP (Yanlış yapılandırılmış uygulama): Hatalı yapılandırılmış bir uygulamanın süresi dolmuş kimlik bilgileriyle bir hizmete birden çok kez bağlanmaya çalışıldığını onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

4. B-TP (Parola değiştirildi): Bir kullanıcının kısa süre önce parolasını değiştirdiğini doğrulayabiliyorsanız ancak ağ paylaşımlarındaki kimlik bilgilerini etkilemediyse.

   Önerilen eylem: Uyarıyı kapatın.

5. B-TP (Güvenlik testi): Kuruluş adına güvenlik analistleri tarafından bir güvenlik veya sızma testi gerçekleştirildiğini doğrulayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Uyarının ardından şu uyarılardan biri gelir: İmkansız Seyahat, anonim IP adresinden etkinlik veya Seyrek olmayan ülkeden etkinlik gibi diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin.
2. Aşağıdaki kullanıcı cihaz bilgilerini gözden geçirin ve bilinen cihaz bilgileriyle karşılaştırın:
   • İşletim sistemi ve sürüm
   • Tarayıcı ve sürüm
   • IP adresi ve konumu
3. Kimlik doğrulama girişiminin gerçekleştiği kaynak IP adresini veya konumu belirleyin.
4. Kullanıcının kısa süre önce parolasını değiştirip değiştirmediğini belirleyin ve tüm uygulama ve cihazların güncelleştirilmiş parolaya sahip olduğundan emin olun.

OAuth uygulamasına olağan dışı kimlik bilgileri ekleme

Bu algılama, OAuth uygulamasına ayrıcalıklı kimlik bilgilerinin şüpheli eklenmesini tanımlar. Bu, bir saldırganın uygulamanın güvenliğini ihlal ettiğini ve kötü amaçlı etkinlikler için kullandığını gösterebilir.

Öğrenme dönemi

Kuruluşunuzun ortamını öğrenmek için yedi günlük bir süre gerekir ve bu süre boyunca yüksek miktarda uyarı bekleyebilirsiniz.

OAuth uygulaması için olağan dışı ISS

Algılama, uygulama için yaygın olmayan bir ISS'den bulut uygulamanıza bağlanan bir OAuth uygulamasını tanımlar. Bu, bir saldırganın bulut uygulamalarınızda kötü amaçlı etkinlikler gerçekleştirmek için güvenli bir güvenliği aşılmış uygulamayı kullanmaya çalıştığını gösterebilir.

Öğrenme dönemi

Bu algılama için öğrenme süresi 30 gündür.

TP, B-TP veya FP?

1. TP: Etkinliğin OAuth uygulamasının meşru bir etkinliği olmadığını veya bu ISS'nin geçerli OAuth uygulaması tarafından kullanılmadığını doğrulayabilirseniz.

   Önerilen eylem: OAuth uygulamasının tüm erişim belirteçlerini iptal edin ve bir saldırganın OAuth erişim belirteçleri oluşturmaya erişimi olup olmadığını araştırın.

2. FP: Etkinliğin orijinal OAuth uygulaması tarafından meşru bir şekilde yapıldığını onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. OAuth uygulaması tarafından gerçekleştirilen etkinlikleri gözden geçirin.

2. Bir saldırganın OAuth erişim belirteçleri oluşturmaya erişimi olup olmadığını araştırın.

Koleksiyon uyarıları

Bu bölümde, kötü amaçlı bir aktörün amacına yönelik verileri kuruluşunuzdan toplamaya çalışabileceğini belirten uyarılar açıklanmaktadır.

Birden çok Power BI rapor paylaşma etkinliği

Kullanıcının, öğrenilen temelle karşılaştırıldığında Power BI'da olağan dışı sayıda paylaşım raporu etkinliği gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Bu, kuruluşunuzun ihlal girişimini gösterebilir.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Power BI'dan paylaşım erişimini kaldırma. Hesabın gizliliğinin ihlal edildiğini doğrulayabilirseniz kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP: Kullanıcının bu raporları paylaşmak için bir iş gerekçesi olduğunu onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Kullanıcı tarafından gerçekleştirilen diğer etkinlikleri daha iyi anlamak için etkinlik günlüğünü gözden geçirin. Oturum açtıkları IP adresine ve cihaz ayrıntılarına bakın.
2. Raporları şirket içinde ve dışında paylaşma yönergelerini anlamak için Power BI ekibinize veya Information Protection ekibinize başvurun.

Şüpheli Power BI rapor paylaşımı

Kullanıcının raporun meta verilerini analiz etmek için NLP kullanılarak tanımlanan hassas bilgileri içerebilecek bir Power BI raporu paylaştığını gösteren etkinlikler. Rapor bir dış e-posta adresiyle paylaşıldı, web'de yayımlandı veya bir anlık görüntü dışarıdan abone olunan bir e-posta adresine teslim edildi. Bu, kuruluşunuzun ihlal girişimini gösterebilir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Power BI'dan paylaşım erişimini kaldırma. Hesabın gizliliğinin ihlal edildiğini doğrulayabilirseniz kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP: Kullanıcının bu raporları paylaşmak için bir iş gerekçesi olduğunu onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Kullanıcı tarafından gerçekleştirilen diğer etkinlikleri daha iyi anlamak için etkinlik günlüğünü gözden geçirin. Oturum açtıkları IP adresine ve cihaz ayrıntılarına bakın.
2. Raporları şirket içinde ve dışında paylaşma yönergelerini anlamak için Power BI ekibinize veya Information Protection ekibinize başvurun.

Olağan dışı kimliğine bürünülen etkinlik (kullanıcıya göre)

Bazı yazılımlarda, diğer kullanıcıların diğer kullanıcıların kimliğine bürünmelerine izin verme seçenekleri vardır. Örneğin, e-posta hizmetleri kullanıcıların diğer kullanıcılara kendi adlarına e-posta gönderme yetkisi vermelerini sağlar. Bu etkinlik, saldırganlar tarafından kuruluşunuzla ilgili bilgileri ayıklama amacıyla kimlik avı e-postaları oluşturmak için yaygın olarak kullanılır. Defender for Cloud Apps, kullanıcının davranışına göre bir temel oluşturur ve olağan dışı bir kimliğe bürünme etkinliği algılandığında bir etkinlik oluşturur.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP (Olağan dışı davranış): Kullanıcının olağan dışı etkinlikleri veya yerleşik temelden daha fazla etkinliği meşru bir şekilde gerçekleştirdiğini doğrulayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

3. FP: Teams gibi uygulamaların kullanıcının kimliğine uygun şekilde büründüğünü onaylayabilirseniz.

   Önerilen eylem: Eylemleri gözden geçirin ve gerekirse uyarıyı kapatın.

İhlal kapsamını anlama

1. Güvenliğin aşılmasına ilişkin ek göstergeler için tüm kullanıcı etkinliğini ve uyarılarını gözden geçirin.
2. Olası kötü amaçlı etkinlikleri tanımlamak için kimliğe bürünme etkinliklerini gözden geçirin.
3. Temsilcili erişim yapılandırmasını gözden geçirin.

Sızdırma uyarıları

Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdan veri çalmaya çalışabileceğini belirten uyarılar açıklanmaktadır.

Şüpheli gelen kutusu iletme

Bir saldırganın kullanıcının gelen kutusuna erişim sağladığını ve şüpheli bir kural oluşturduğunu gösteren etkinlikler. Tüm e-postaları veya belirli e-postaları başka bir e-posta hesabına iletme gibi işleme kuralları, kuruluşunuzdan bilgi sızdırma girişimi olabilir. Defender for Cloud Apps ortamınızın profilini oluşturur ve kullanıcının gelen kutusunda şüpheli gelen kutusu işleme kuralları algılandığında uyarıları tetikler. Bu, kullanıcının hesabının gizliliğinin ihlal edilmiş olduğunu gösterebilir.

TP, B-TP veya FP?

1. TP: Kötü amaçlı bir gelen kutusu iletme kuralının oluşturulduğunu ve hesabın gizliliğinin ihlal edildiğini onaylayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve iletme kuralını kaldırın.

2. FP: Kullanıcının meşru nedenlerle yeni veya kişisel bir dış e-posta hesabına iletme kuralı oluşturduğunu onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Uyarının ardından İmkansız Seyahat uyarısının gelmesi gibi ek risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin. Aramak:

   1. Aşağıdaki gibi yeni SMTP iletme kuralları:
      • Kötü amaçlı iletme kuralı adlarını denetleyin. Kural adları, "Tüm E-postaları İlet" ve "Otomatik İlet" gibi basit adlardan veya neredeyse görünür olmayan "" gibi yanıltıcı adlardan farklılık gösterebilir. İletme kuralı adları boş bile olabilir ve iletme alıcısı tek bir e-posta hesabı veya listenin tamamı olabilir. Kötü amaçlı kurallar kullanıcı arabiriminden de gizlenebilir. Algılandıktan sonra, posta kutularından gizli kuralları silme hakkında bu yararlı blog gönderisini kullanabilirsiniz.
      • Bilinmeyen bir iç veya dış e-posta adresine tanınmayan bir iletme kuralı algılarsanız, gelen kutusu hesabının gizliliğinin tehlikeye girdiğini varsayabilirsiniz.
   2. "Tümünü sil", "iletileri başka bir klasöre taşı" gibi yeni gelen kutusu kuralları veya "..." gibi belirsiz adlandırma kuralları olanlar.

2. Güvenliği aşılmış diğer kullanıcıları algılamak için kuralı oluşturmak için kullanılan IP adresinden gerçekleştirilen etkinlikleri gözden geçirin.

3. Exchange Online ileti izlemeyi kullanarak iletilen iletilerin listesini gözden geçirin.

Olağan dışı dosya indirme (kullanıcıya göre)

Bir kullanıcının, öğrenilen temelle karşılaştırıldığında bulut depolama platformundan olağan dışı sayıda dosya indirme işlemi gerçekleştirdiğini gösteren etkinlikler. Bu, kuruluş hakkında bilgi edinme girişimini gösterebilir. Defender for Cloud Apps kullanıcının davranışına göre bir temel oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP (Olağan dışı davranış): Kullanıcının yerleşik temelden daha fazla dosya indirme etkinliğini meşru bir şekilde gerçekleştirdiğini onaylayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

3. FP (Yazılım eşitleme): OneDrive gibi bir yazılımın uyarıya neden olan bir dış yedeklemeyle eşitlendiğini doğrulayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. İndirme etkinliklerini gözden geçirin ve indirilen dosyaların listesini oluşturun.
2. İndirilen dosyaların duyarlılığını kaynak sahibiyle gözden geçirin ve erişim düzeyini doğrulayın.

Olağan dışı dosya erişimi (kullanıcıya göre)

Kullanıcının SharePoint veya OneDrive'da finansal veriler veya ağ verileri içeren dosyalara, öğrenilen temelle karşılaştırıldığında olağan dışı sayıda dosya erişimi gerçekleştirdiğini gösteren etkinlikler. Bu, finansal amaçlarla veya kimlik bilgileri erişimi ve yanal hareket için kuruluş hakkında bilgi edinme girişimini gösterebilir. Defender for Cloud Apps kullanıcının davranışına göre bir temel oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.

Öğrenme dönemi

Öğrenme dönemi kullanıcının etkinliğine bağlıdır. Genel olarak, çoğu kullanıcı için öğrenme süresi 21 ila 45 gündür.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP (Olağan dışı davranış): Kullanıcının yerleşik temelden daha fazla dosya erişim etkinliği gerçekleştirdiğini doğrulayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Erişim etkinliklerini gözden geçirin ve erişilen dosyaların listesini oluşturun.
2. Kaynak sahibiyle erişilen dosyaların duyarlılığını gözden geçirin ve erişim düzeyini doğrulayın.

Olağan dışı dosya paylaşımı etkinliği (kullanıcıya göre)

Bir kullanıcının, öğrenilen temelle karşılaştırıldığında bulut depolama platformundan olağan dışı sayıda dosya paylaşım eylemi gerçekleştirdiğini gösteren etkinlikler. Bu, kuruluş hakkında bilgi edinme girişimini gösterebilir. Defender for Cloud Apps kullanıcının davranışına göre bir temel oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP (Olağan dışı davranış): Kullanıcının yerleşik temelden daha fazla dosya paylaşım etkinliği gerçekleştirdiğini doğrulayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Paylaşım etkinliklerini gözden geçirin ve paylaşılan dosyaların listesini oluşturun.
2. Kaynak sahibiyle paylaşılan dosyaların duyarlılığını gözden geçirin ve erişim düzeyini doğrulayın.
3. Hassas dosyaların gelecekteki paylaşımını algılamak için benzer belgeler için bir dosya ilkesi oluşturun.

Etki uyarıları

Bu bölümde, kötü amaçlı bir aktörün kuruluşunuzdaki sistemlerinizi ve verilerinizi işlemeye, kesintiye uğratmaya veya yok etmeye çalışabileceğini belirten uyarılar açıklanmaktadır.

Birden çok SILME VM etkinliği

Kullanıcının öğrenilen temelle karşılaştırıldığında olağan dışı sayıda VM silme işlemi gerçekleştirdiğini gösteren tek bir oturumdaki etkinlikler. Birden çok VM silme işlemi bir ortamı kesintiye uğratma veya yok etme girişimini gösterebilir. Ancak, VM'lerin silindiği birçok normal senaryo vardır.

TP, B-TP veya FP?

Doğruluğu ve uyarıyı yalnızca güçlü bir ihlal göstergesi olduğunda geliştirmek için, bu algılama B-TP olaylarını azaltmak ve yalnızca olağan dışı davranış algılandığında uyarı vermek için kuruluştaki her ortamda bir temel oluşturur.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

• TP: Silmelerin yetkisiz olduğunu onaylayabilirseniz.

  Önerilen eylem: Kullanıcıyı askıya alın, parolasını sıfırlayın ve tüm cihazları kötü amaçlı tehditlere karşı tarayın. Diğer risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin ve etki kapsamını keşfedin.

• B-TP: Araştırmanızdan sonra yöneticinin bu silme etkinliklerini gerçekleştirme yetkisine sahip olduğunu onaylayabilirsiniz.

  Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Kullanıcıya başvurun ve etkinliği onaylayın.
2. Uyarının ardından şu uyarılardan biri gelir: İmkansız Seyahat, anonim IP adresinden etkinlik veya Seyrek olmayan ülkeden etkinlik gibi ek risk göstergeleri için tüm kullanıcı etkinliklerini gözden geçirin.

Fidye yazılımı etkinliği

Fidye yazılımı, bir saldırganın kurbanları cihazlarından kilitlediği veya kurban fidye ödeyene kadar dosyalarına erişmelerini engellediği bir siber saldırıdır. Fidye yazılımı kötü amaçlı bir paylaşılan dosya veya güvenliği aşılmış bir ağ tarafından yayılabilir. Defender for Cloud Apps fidye yazılımı etkinliğini tanımlamak için güvenlik araştırma uzmanlığını, tehdit bilgilerini ve öğrenilen davranış düzenlerini kullanır. Örneğin, yüksek oranda dosya karşıya yükleme veya dosya silme işlemleri, fidye yazılımı işlemleri arasında yaygın olarak kullanılan bir şifreleme işlemini temsil edebilir.

Bu algılama, kuruluşunuzdaki her kullanıcının buluta ne zaman eriştiği ve bulutta yaygın olarak yaptıkları gibi normal çalışma desenlerinin bir temelini oluşturur.

Defender for Cloud Apps otomatik tehdit algılama ilkeleri, bağlandığınız andan itibaren arka planda çalışmaya başlar. Kuruluşumuzda fidye yazılımı etkinliğini yansıtan davranış düzenlerini belirlemek için güvenlik araştırması uzmanlığımızı kullanarak Defender for Cloud Apps karmaşık fidye yazılımı saldırılarına karşı kapsamlı bir kapsam sağlar.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

1. TP: Etkinliğin kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP (Olağan dışı davranış): Kullanıcı kısa bir süre içinde benzer dosyaların birden çok silme ve karşıya yükleme etkinliğini meşru bir şekilde gerçekleştirmiştir.

   Önerilen eylem: Etkinlik günlüğünü gözden geçirdikten ve dosya uzantılarının şüpheli olmadığını onayladıktan sonra uyarıyı kapatın.

3. FP (Yaygın fidye yazılımı dosya uzantısı): Etkilenen dosyaların uzantılarının bilinen bir fidye yazılımı uzantısıyla eşleştiklerini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyla iletişime geçin ve dosyaların güvenli olduğunu onaylayın ve ardından uyarıyı kapatın.

İhlal kapsamını anlama

1. Dosyaların toplu indirme veya toplu silme gibi diğer risk göstergeleri için etkinlik günlüğünü gözden geçirin.
2. Uç Nokta için Microsoft Defender kullanıyorsanız, kötü amaçlı dosyaların algılandığını görmek için kullanıcının bilgisayar uyarılarını gözden geçirin.
3. Etkinlik günlüğünde kötü amaçlı dosya yükleme ve paylaşma etkinlikleri arayın.

Olağan dışı dosya silme etkinliği (kullanıcıya göre)

Kullanıcının öğrenilen temelle karşılaştırıldığında olağan dışı bir dosya silme etkinliği gerçekleştirdiğini gösteren etkinlikler. Bu fidye yazılımı saldırısını gösterebilir. Örneğin, bir saldırgan bir kullanıcının dosyalarını şifreleyebilir ve tüm orijinalleri silebilir ve yalnızca kurbanı fidye ödemeye zorlamak için kullanılabilecek şifrelenmiş sürümleri bırakabilir. Defender for Cloud Apps kullanıcının normal davranışına göre bir temel oluşturur ve olağan dışı davranış algılandığında bir uyarı tetikler.

Öğrenme dönemi

Yeni bir kullanıcının etkinlik desenini oluşturmak için, uyarıların yeni konumlar için tetiklenmediği yedi günlük ilk öğrenme süresi gerekir.

TP, B-TP veya FP?

1. TP: Etkinliğin meşru bir kullanıcı tarafından gerçekleştirilmediğini doğrulayabilirseniz.

   Önerilen eylem: Kullanıcıyı askıya alın, güvenliği aşılmış olarak işaretleyin ve parolasını sıfırlayın.

2. FP: Kullanıcının yerleşik temelden daha fazla dosya silme etkinliği gerçekleştirdiğini doğrulayabilirseniz.

   Önerilen eylem: Uyarıyı kapatın.

İhlal kapsamını anlama

1. Silme etkinliklerini gözden geçirin ve silinen dosyaların listesini oluşturun. Gerekirse, silinen dosyaları kurtarın.
2. İsteğe bağlı olarak, etkinliği doğrulamak üzere kullanıcılara ve yöneticilerine başvurmak için Power Automate kullanarak bir playbook oluşturun.

Araştırma öncelik puanı artışı (eski)

Kasım 2024'te Microsoft Defender for Cloud Apps için riskli kullanıcıları araştır desteği kullanımdan kaldırıldı. Bu özellik kuruluşunuzda kullanıldıysa ve gerekliyse, Entra risk puanı özelliğini kullanmanızı öneririz. Ek bilgi için lütfen aşağıdaki kaynakları kullanın:

• Risk Microsoft Entra ID Koruması araştırma - Microsoft Entra ID Koruması | Microsoft Learn

• risk tabanlı erişim ilkelerini Microsoft Entra ID Koruması - Microsoft Entra ID Koruması | Microsoft Learn

Ayrıca bkz.