Microsoft Defender XDR'de yanıltma özelliğini yönetme
Önemli
Bu makaledeki bazı bilgiler, ticari olarak yayınlanmadan önce önemli ölçüde değiştirilebilen önceden yayımlanan ürünler/hizmetlerle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Microsoft Defender XDR, yerleşik yanıltma özelliği sayesinde, insan tarafından çalıştırılan yanal hareketin yüksek güvenilirlik algılamalarını sağlayarak saldırıların kuruluşun kritik varlıklarına ulaşmasını önler. İş e-posta güvenliğinin aşılması (BEC), fidye yazılımı, kuruluş ihlalleri ve ulus-devlet saldırıları gibi çeşitli saldırılar genellikle yanal hareket kullanır ve ilk aşamalarda yüksek güvenle algılanması zor olabilir. Defender XDR'in yanıltma teknolojisi, Uç Nokta için Microsoft Defender sinyallerle ilişkili yanıltma sinyallerini temel alan yüksek güvenilirlik algılamaları sağlar.
Yanıltma özelliği otomatik olarak orijinal görünümlü yem hesapları, konaklar ve yemler oluşturur. Oluşturulan sahte varlıklar daha sonra otomatik olarak belirli istemcilere dağıtılır. Bir saldırgan yemlerle veya tuzaklarla etkileşime geçtiğinde, yanıltma özelliği yüksek güvenilirlik uyarıları oluşturur, güvenlik ekibinin araştırmalarına yardımcı olur ve saldırganın yöntemlerini ve stratejilerini gözlemlemesini sağlar. Yanıltma özelliği tarafından tetiklenen tüm uyarılar olaylarla otomatik olarak ilişkilendirilir ve Microsoft Defender XDR tamamen tümleştirilir. Ayrıca, yanıltma teknolojisi Uç Nokta için Defender ile tümleşiktir ve dağıtım gereksinimlerini en aza indirir.
Aldatma özelliğine genel bir bakış için aşağıdaki videoyu watch.
Önkoşullar
Aşağıdaki tabloda, Microsoft Defender XDR'de yanıltma özelliğini etkinleştirme gereksinimleri listelemektedir.
| Gereksinim | Ayrıntılar |
|---|---|
| Abonelik gereksinimleri | Şu aboneliklerden biri: - Microsoft 365 E5 - Microsoft Security E5 - Uç Nokta için Microsoft Defender Plan 2 |
| Dağıtım gereksinimleri | Gereksinimler: - Uç Nokta için Defender birincil EDR çözümüdür - Uç nokta için Defender'da otomatik araştırma ve yanıt özellikleri yapılandırılır - Cihazlar Microsoft Entra birleştirilir veya karma birleştirilir - PowerShell cihazlarda etkinleştirilir (kısıtlanmamış/kısıtlanmamış modda) - Yanıltma özelliği, Windows 10 Önizlemede RS5 ve üzeri |
| İzinler | Yanıltma özelliklerini yapılandırmak için Microsoft Entra yönetim merkezi veya Microsoft 365 yönetim merkezi aşağıdaki rollerden birine atanmış olmanız gerekir: - Genel yönetici - Güvenlik yöneticisi - Portal sistem ayarlarını yönetme |
Not
Microsoft, daha iyi güvenlik için daha az izine sahip rollerin kullanılmasını önerir. Birçok izni olan Genel Yönetici rolü yalnızca başka bir rol uygun olmadığında acil durumlarda kullanılmalıdır.
Aldatma teknolojisi nedir?
Yanıltma teknolojisi, güvenlik ekiplerine yönelik olası bir saldırıyla ilgili anında uyarılar sağlayan ve gerçek zamanlı olarak yanıt vermelerini sağlayan bir güvenlik önlemidir. Yanıltma teknolojisi, ağınıza ait gibi görünen cihazlar, kullanıcılar ve konaklar gibi sahte varlıklar oluşturur.
Yanıltma özelliği tarafından ayarlanan sahte ağ varlıklarıyla etkileşim kuran saldırganlar, güvenlik ekiplerinin olası saldırıların bir kuruluşu tehlikeye atmasını önlemesine ve saldırganların eylemlerini izlemesine yardımcı olabilir ve böylece savunmacılar ortamlarının güvenliğini daha da geliştirebilir.
Microsoft Defender XDR yanıltma özelliği nasıl çalışır?
Microsoft Defender portalındaki yerleşik aldatma özelliği, ortamınızla eşleşen yemler ve yemler oluşturmak için kuralları kullanır. Bu özellik, ağınıza göre uyarlanmış yemler ve yemler önermek için makine öğrenimini uygular. Yemleri ve yemleri el ile oluşturmak için yanıltma özelliğini de kullanabilirsiniz. Bu yemler ve yemler daha sonra ağınıza otomatik olarak dağıtılır ve PowerShell kullanılarak belirttiğiniz cihazlara eklenir.
Yanıltıcı teknoloji, insan tarafından çalıştırılan yanal hareketin yüksek güvenilirlik algılamaları sayesinde, bir saldırgan sahte konaklarla veya tuzaklarla etkileşime geçtiğinde güvenlik ekiplerini uyarır. Aldatma özelliğinin nasıl çalıştığı aşağıda anlatılır:
Yemler , ağınıza ait gibi görünen sahte cihazlar ve hesaplardır. Yemler , belirli cihazlara veya hesaplara yerleştirilen sahte içeriktir ve bir saldırganın ilgisini çekmek için kullanılır. İçerik bir belge, yapılandırma dosyası, önbelleğe alınmış kimlik bilgileri veya saldırganın okuması, çalması veya etkileşim kurabileceği herhangi bir içerik olabilir. Yemler önemli şirket bilgilerini, ayarlarını veya kimlik bilgilerini taklit eder.
Yanıltma özelliğinde iki tür yem vardır:
- Temel yemler – ekilen belgeler, bağlantı dosyaları ve müşteri ortamıyla hiç veya en az etkileşimi olmayan benzerleri.
- Gelişmiş yemler – önbelleğe alınmış kimlik bilgileri ve müşteri ortamına yanıt veren veya müşteri ortamıyla etkileşim kuran kesmeler gibi ekli içerik. Örneğin, saldırganlar Active Directory sorgularına yanıt eklenmiş olan ve oturum açmak için kullanılabilecek yem kimlik bilgileriyle etkileşimde bulunabilir.
Not
Yemler yalnızca bir aldatma kuralı kapsamında tanımlanan Windows istemcilerine eklenir. Bununla birlikte, Uç Nokta eklenen istemciler için Defender'da herhangi bir yem konağı veya hesabı kullanmaya çalışmak bir aldatma uyarısı oluşturur. İstemcileri Uç Nokta için Microsoft Defender ekleme hakkında bilgi edinin. Windows Server 2016 ve daha sonra gelecekteki gelişim için yemlerin dikilmesi planlanıyor.
Bir aldatma kuralında yemleri, yemleri ve kapsamı belirtebilirsiniz. Yanıltma kurallarını oluşturma ve değiştirme hakkında daha fazla bilgi edinmek için bkz. Aldatma özelliğini yapılandırma.
Bir saldırgan uç nokta eklenmiş herhangi bir Defender istemcisinde bir yem kullandığında, yanıltma özelliği, aldatmanın istemcide dağıtılıp dağıtılmadığına bakılmaksızın olası saldırgan etkinliğini gösteren bir uyarı tetikler.
Yanıltma tarafından etkinleştirilen olayları ve uyarıları belirleme
Aldatma algılamayı temel alan uyarılar başlığında yanıltıcıdır . Uyarı başlıklarına bazı örnekler şunlardır:
- Aldatıcı bir kullanıcı hesabıyla oturum açma girişimi
- Aldatıcı bir konağa bağlantı girişimi
Uyarı ayrıntıları aşağıdakileri içerir:
- Deception etiketi
- Uyarının kaynaklandığı yem cihazı veya kullanıcı hesabı
- Oturum açma girişimleri veya yanal hareket girişimleri gibi saldırı türü
Burada yanıltmayla ilgili bir uyarı örneği verilmişti:
Sonraki adım
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.