Aracılığıyla paylaş

Günlük operasyonel kılavuz - Microsoft Defender for Cloud Apps

  • Makale

Bu makalede, Defender for Cloud Apps ile gerçekleştirmenizi önerdiğimiz günlük operasyonel etkinlikler listelenmektedir.

Uyarıları ve olayları gözden geçirme

Uyarılar ve olaylar, güvenlik operasyonları (SOC) ekibinizin günlük olarak gözden geçirmesi gereken en önemli öğelerden ikisidir.

  • Microsoft Defender XDR'daki olay kuyruğundan olayları ve uyarıları düzenli olarak önceliklendirme ve yüksek ve orta önem dereceli uyarıları önceliklendirme.

  • SIEM sistemiyle çalışıyorsanız SIEM sisteminiz genellikle önceliklendirme için ilk duraktır. SIEM sistemleri ek günlükler ve SOAR işlevselliği ile daha fazla bağlam sağlar. Ardından bir uyarıyı veya olay zaman çizelgesini daha ayrıntılı anlamak için Microsoft Defender XDR kullanın.

olaylarınızı Microsoft Defender XDR önceliklendirme

Nerede: Microsoft Defender XDR'da Olaylar & uyarıları'nı seçin

Kişilik: SOC analistleri

Olayları önceliklendirme sırasında:

  1. Olay panosunda aşağıdaki öğeler için filtre uygulayın:

    Filtrele Değerler
    Durum Yeni, Devam Ediyor
    Şiddet Yüksek, Orta, Düşük
    Hizmet kaynağı Tüm hizmet kaynaklarının denetlenmiş kalmasını sağlayın. Tüm hizmet kaynağının denetlenmesi, uyarıları diğer Microsoft XDR iş yükleri arasındaki bağıntıyla en uygun şekilde listelemelidir. Özellikle Defender for Cloud Apps gelen öğeleri görüntülemek için Defender for Cloud Apps'ı seçin.

  2. Tüm ayrıntıları gözden geçirmek için her olayı seçin. Olaydaki tüm sekmeleri, etkinlik günlüğünü ve gelişmiş avcılığı gözden geçirin.

    Olayın Kanıt ve yanıt sekmesinde her kanıt öğesini seçin. Araştır seçenekleri menüsünü > ve ardından Etkinlik günlüğü'nü veya Gerektiğinde Avlanmaya git'i seçin.

  3. Olaylarınızı önceliklendirme. Her olay için Olayı yönet'i ve ardından aşağıdaki seçeneklerden birini belirleyin:

    • Gerçek pozitif
    • Hatalı pozitif
    • Bilgilendirici, beklenen etkinlik

    Gerçek uyarılar için güvenlik ekibinizin tehdit desenlerini görmesine ve kuruluşunuzu risklere karşı savunmasına yardımcı olacak tedavi türünü belirtin.

  4. Etkin araştırmanızı başlatmaya hazır olduğunuzda, olayı bir kullanıcıya atayın ve olay durumunu Devam Ediyor olarak güncelleştirin.

  5. Olay düzeltildiğinde, bağlantılı ve ilgili tüm etkin uyarıları çözümlemek için bu sorunu çözün.

Daha fazla bilgi için bkz.:

SIEM sisteminizden olaylarınızı önceliklendirme

Kişilik: SOC analistleri

Önkoşullar: SIEM sistemine bağlı olmanız gerekir ve Microsoft Sentinel ile tümleştirmenizi öneririz. Daha fazla bilgi için bkz.:

Microsoft Defender XDR Microsoft Sentinel ile tümleştirmek, tüm Microsoft Defender XDR olaylarını Microsoft Sentinel akışla aktarmanıza ve her iki portal arasında eşitlenmiş durumda tutmanıza olanak tanır. Microsoft Sentinel'daki Microsoft Defender XDR olaylar tüm ilişkili uyarıları, varlıkları ve ilgili bilgileri içerir ve ön araştırmayı önceliklendirmek ve çalıştırmak için yeterli bağlam sağlar.

Microsoft Sentinel sonra olaylar Microsoft Defender XDR ile eşitlenmiş olarak kalır, böylece araştırmanızda her iki portaldan da özellikleri kullanabilirsiniz.

  • Microsoft Defender XDR için Microsoft Sentinel veri bağlayıcısını yüklerken Microsoft Defender for Cloud Apps seçeneğini eklediğinizden emin olun.
  • Bir olay hub'ına veri göndermek için akış API'sini kullanmayı göz önünde bulundurun; burada olay hub'ı bağlayıcısı olan herhangi bir iş ortağı SIEM aracılığıyla kullanılabilir veya Azure Depolama'ya yerleştirilebilir.

Daha fazla bilgi için bkz.:

Tehdit algılama verilerini gözden geçirme

Nerede: Microsoft Defender XDR Portalı'nda şunları seçin:

  • Olaylar & uyarıları
  • Bulut uygulamaları > İlkeleri İlke > yönetimi > Tehdit Algılama
  • Bulut uygulamaları > Oauth uygulamaları

Kişilik: Güvenlik yöneticileri ve SOC analistleri

Bulut uygulaması tehdit algılama, birçok SOC analistlerinin günlük etkinliklerine odaklandığı ve anormal davranış gösteren yüksek riskli kullanıcıları tanımladığı yerdir.

Defender for Cloud Apps tehdit algılama, Microsoft tehdit bilgileri ve güvenlik araştırma verilerini kullanır. Uyarılar Microsoft Defender XDR kullanılabilir ve düzenli olarak önceliklendirilmelidir.

Güvenlik yöneticileri ve SOC analistleri uyarılarla ilgilendiklerinde, aşağıdaki ana tehdit algılama ilkeleri türlerini işler:

Kişilik: Güvenlik yöneticisi

Önkoşulları işleme dahil olmak üzere kuruluşunuzun ihtiyaç duyduğu tehdit koruma ilkelerini oluşturduğunuzdan emin olun.

Uygulama idaresini gözden geçirme

Nerede: Microsoft Defender XDR Portalı'nda şunları seçin:

  • Olaylar & uyarıları
  • Olaylar & uyarıları / Uygulama idaresi

Kişilik: SOC analistleri

Uygulama idaresi, OAuth uygulamaları üzerinde ayrıntılı görünürlük ve denetim sunar. Uygulama idaresi, şirket içinde ve bulut altyapılarında dağıtılan uygulamalardan yararlanarak ayrıcalık yükseltme, yanal hareket ve veri sızdırma için bir başlangıç noktası oluşturan, giderek daha karmaşık hale gelen kampanyalarla mücadele etmeye yardımcı olur.

Uygulama idaresi, Defender for Cloud Apps ile birlikte sağlanır. Uyarılar Microsoft Defender XDR'da da kullanılabilir ve düzenli olarak önceliklendirilmelidir.

Daha fazla bilgi için bkz.:

Uygulama idaresi genel bakış sayfasını denetleme

Nerede: Microsoft Defender XDR Portalı'nda şunları seçin:

  • Olaylar & uyarıları
  • Bulut uygulamaları Uygulaması > idaresi genel > bakış

Kişilik: SOC analistleri ve Güvenlik yöneticisi

Uygulamalarınızın ve olaylarınızın uyumluluk duruşuyla ilgili hızlı ve günlük bir değerlendirme çalıştırmanızı öneririz. Örneğin, aşağıdaki ayrıntıları denetleyin:

  • Fazla ayrıcalıklı veya yüksek ayrıcalıklı uygulamaların sayısı
  • Onaylanmamış yayımcısı olan uygulamalar
  • Graph API kullanılarak erişilen hizmetler ve kaynaklar için veri kullanımı
  • En yaygın duyarlılık etiketlerine sahip verilere erişen uygulamaların sayısı
  • Microsoft 365 hizmetlerinde duyarlılık etiketleri olan ve olmayan verilere erişen uygulamaların sayısı
  • Uygulama idaresi ile ilgili olaylara genel bakış

Gözden geçirdiğiniz verilere bağlı olarak, yeni yönetim ilkeleri oluşturmak veya uygulama idare ilkelerini ayarlamak isteyebilirsiniz.

Daha fazla bilgi için bkz.:

OAuth uygulama verilerini gözden geçirme

Nerede: Microsoft Defender XDR Portalı'nda şunları seçin:

  • Olaylar & uyarıları
  • Bulut uygulamaları > Uygulama idaresi > Azure AD

İlgili uygulama meta verileri ve kullanım verileriyle birlikte OAuth özellikli uygulamalar listenizi günlük olarak denetlemenizi öneririz. Daha ayrıntılı içgörüleri ve bilgileri görüntülemek için bir uygulama seçin.

Uygulama idaresi, Microsoft Defender XDR kiracınızdaki anormal uygulama davranışını algılamak için makine öğrenmesi tabanlı algılama algoritmalarını kullanır ve görebileceğiniz, araştırabileceğiniz ve çözümleyebileceğiniz uyarılar oluşturur. Bu yerleşik algılama özelliğinin ötesinde, bir dizi varsayılan ilke şablonu kullanabilir veya başka uyarılar oluşturan kendi uygulama ilkelerinizi oluşturabilirsiniz.

Daha fazla bilgi için bkz.:

Uygulama idare ilkeleri oluşturma ve yönetme

Nerede: Microsoft Defender XDR Portalı'nda Bulut uygulamaları Uygulama > idare > İlkeleri'ni seçin

Kişilik: Güvenlik yöneticileri

Düzenli olarak ayrıntılı görünürlük ve denetim için OAuth uygulamalarınızı günlük olarak denetlemenizi öneririz. Makine öğrenmesi algoritmalarını temel alan uyarılar oluşturun ve uygulama idaresi için uygulama ilkeleri oluşturun.

Daha fazla bilgi için bkz.:

Koşullu Erişim uygulama denetimini gözden geçirme

Nerede: Microsoft Defender XDR Portalı'nda şunları seçin:

  • Olaylar & uyarıları
  • Bulut uygulamaları > İlkeleri > İlke Yönetimi > Koşullu Erişim

Koşullu Erişim uygulama denetimini yapılandırmak için Ayarlar > Bulut uygulamaları > Koşullu Erişim Uygulama Denetimi'ni seçin

Kişilik: Güvenlik yöneticisi

Koşullu Erişim uygulama denetimi, erişim ve oturum ilkeleri temelinde kullanıcı uygulaması erişimini ve oturumlarını gerçek zamanlı olarak izlemenizi ve denetlemenizi sağlar.

Oluşturulan uyarılar Microsoft Defender XDR kullanılabilir ve düzenli olarak önceliklendirilmelidir.

Varsayılan olarak, dağıtılan erişim veya oturum ilkeleri yoktur ve bu nedenle kullanılabilir ilgili uyarı yoktur. Erişim ve oturum denetimleriyle çalışmak için herhangi bir web uygulamasını ekleyebilir Microsoft Entra ID uygulamalar otomatik olarak eklenir. Kuruluşunuz için gerektiğinde oturum ve erişim ilkeleri oluşturmanızı öneririz.

Daha fazla bilgi için bkz.:

Kişilik: SOC yöneticisi

Koşullu Erişim uygulama denetimi uyarılarını ve etkinlik günlüğünü günlük olarak gözden geçirmenizi öneririz. Etkinlik günlüklerini kaynağa, erişim denetimine ve oturum denetimine göre filtreleyin.

Daha fazla bilgi için bkz . Uyarıları ve olayları gözden geçirme

Gölge BT gözden geçirme - bulut bulma

Nerede: Microsoft Defender XDR Portalı'nda şunları seçin:

  • Olaylar & uyarıları
  • Bulut uygulamaları > Bulut bulma / Bulut uygulaması kataloğu
  • Bulut uygulamaları > İlkeleri İlke > Yönetimi > Gölge BT

Kişilik: Güvenlik yöneticileri

Bulut uygulamaları için Defender, trafik günlüklerinizi 31.000'den fazla bulut uygulamasından oluşan bulut uygulamaları kataloğuna göre analiz eder. Uygulamalar, bulut kullanımı, Gölge BT ve Gölge BT'nin kuruluşunuzda oluşturduğu riskler hakkında sürekli görünürlük sağlamak için 90'dan fazla risk faktörüne göre derecelendirilir ve puanlanır.

Bulut bulmayla ilgili uyarılar Microsoft Defender XDR kullanılabilir ve düzenli olarak önceliklendirilmelidir.

Risk puanları, kategoriler ve günlük trafik ve indirilen veriler gibi uygulama davranışları gibi belirli koşullara göre yeni bulunan uygulamaları uyarmaya ve etiketlemeye başlamak için uygulama bulma ilkeleri oluşturun.

İpucu

Kurumsal ağınızın veya güvenli ağ geçitlerinizin ötesindeki bulut uygulamalarını keşfetmek ve uç noktalarınıza idare eylemleri uygulamak için Defender for Cloud Apps Uç Nokta için Microsoft Defender ile tümleştirmenizi öneririz.

Daha fazla bilgi için bkz.:

Kişilik: Güvenlik ve Uyumluluk yöneticileri, SOC analistleri

Çok sayıda bulunan uygulamanız olduğunda, bulunan uygulamalarınız hakkında daha fazla bilgi edinmek için filtreleme seçeneklerini kullanmak isteyebilirsiniz.

Daha fazla bilgi için bkz. Microsoft Defender for Cloud Apps'de bulunan uygulama filtreleri ve sorguları.

Bulut bulma panosunu gözden geçirme

Nerede: Microsoft Defender XDR Portalı'nda Cloud apps > Cloud discovery Panosu'nu >seçin.

Kişilik: Güvenlik ve Uyumluluk yöneticileri, SOC analistleri

Bulut bulma panonuzu günlük olarak gözden geçirmenizi öneririz. Bulut bulma panosu, kullanılmakta olan uygulamaların çocuklarına, açık uyarılarınıza ve kuruluşunuzdaki uygulamaların risk düzeylerine bir bakışta genel bakış ile bulut uygulamalarının kuruluşunuzda nasıl kullanıldığı hakkında daha fazla içgörü sağlamak üzere tasarlanmıştır.

Bulut bulma panosunda:

  1. Genel bulut uygulaması kullanımınızı anlamak için sayfanın üst kısmındaki pencere öğelerini kullanın.

  2. İlgi alanınıza bağlı olarak belirli görünümler oluşturmak için pano grafiklerini filtreleyin. Örneğin:

    • Özellikle tasdikli uygulamalar için kuruluşunuzda kullanılan en iyi uygulama kategorilerini anlayın.
    • Bulunan uygulamalarınız için risk puanlarını gözden geçirin.
    • Belirli kategorilerdeki en iyi uygulamalarınızı görmek için görünümleri filtreleyin.
    • Kuruluşunuzdaki bulut uygulamalarının en baskın kullanıcıları olan kullanıcıları belirlemek için en iyi kullanıcıları ve IP adreslerini görüntüleyin.
    • Bulunan uygulamaların coğrafi konuma göre nasıl yayıldığını anlamak için uygulama verilerini dünya haritasında görüntüleyin.

Ortamınızda bulunan uygulamaların listesini gözden geçirdikten sonra, güvenli uygulamaları onaylayarak (Tasdikli uygulamalar), istenmeyen uygulamaları yasaklayarak (tasdiksiz uygulamalar) veya özel etiketler uygulayarak ortamınızın güvenliğini sağlamanızı öneririz.

Ayrıca, ortamınızda bulunmadan önce bulut uygulaması kataloğunda bulunan uygulamaları proaktif olarak gözden geçirmek ve bunlara etiketler uygulamak isteyebilirsiniz. Bu uygulamaları yönetmenize yardımcı olmak için belirli etiketler tarafından tetiklenen ilgili bulut bulma ilkeleri oluşturun.

Daha fazla bilgi için bkz.:

İpucu

Ortam yapılandırmanıza bağlı olarak, sorunsuz ve otomatik engellemeden, hatta Uç Nokta için Microsoft Defender tarafından sağlanan uyarı ve eğitim özelliklerinden yararlanabilirsiniz. Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender Microsoft Defender for Cloud Apps ile tümleştirme.

Bilgi korumayı gözden geçirme

Nerede: Microsoft Defender XDR Portalı'nda şunları seçin:

  • Olaylar & uyarıları
  • Bulut uygulamaları > Dosyaları
  • Bulut uygulamaları > İlkeleri > İlke Yönetimi > Bilgileri koruması

Kişilik: Güvenlik ve Uyumluluk yöneticileri, SOC analistleri

Defender for Cloud Apps dosya ilkeleri ve uyarıları, çok çeşitli otomatik işlemleri zorunlu kılmanıza olanak sağlar. Sürekli uyumluluk taramaları, yasal eBulma görevleri ve genel olarak paylaşılan hassas içerikler için veri kaybı koruması (DLP) dahil olmak üzere bilgi koruması sağlamak için ilkeler oluşturun.

Uyarıları ve olayları önceliklendirmeye ek olarak, SOC ekiplerinizin ek, proaktif eylemler ve sorgular çalıştırmasını öneririz. Bulut uygulamaları > Dosyaları sayfasında aşağıdaki soruları denetleyin:

  • Herkesin bağlantı olmadan erişebilmesi için herkese açık olarak kaç dosya paylaşılır?
  • Giden paylaşımı kullanarak dosyaları hangi iş ortaklarına paylaşacaksınız?
  • Herhangi bir dosyanın hassas adları var mı?
  • Birinin kişisel hesabıyla paylaşılan dosyalardan herhangi biri var mı?

Mevcut dosya ilkelerini ayarlamak veya yeni ilkeler oluşturmak için bu sorguların sonuçlarını kullanın.

Daha fazla bilgi için bkz.:

İlgili içerik

Microsoft Defender for Cloud Apps çalışma kılavuzu