Aracılığıyla paylaş

XDR hizmeti için Defender Uzmanlarını kullanmaya başlama

  • Makale

Şunlar için geçerlidir:

XDR için Microsoft Defender Uzmanları için ekleme adımlarını ve hazırlık denetimlerini tamamladıktan sonra uzmanlarımız, sizin adına kapsamlı hizmet gerçekleştirebilmemiz için hizmeti kolaylaştırmak için ortamınızı izlemeye başlayacaktır. Bu aşamada uzmanlarımız gizli tehditleri, risk kaynaklarını ve normal etkinlikleri belirler.

Uzmanlarımız sizin yerinize kapsamlı yanıt çalışmaları yapmaya başladıktan sonra, düzeltme adımları gerektiren olaylar ve kritik olaylarla ilgili hedeflenen öneriler hakkında bildirimler almaya başlayacaksınız. Ayrıca, önemli sorgular ve düzenli iş ve güvenlik duruşu incelemeleri ile ilgili uzmanlarımız veya hizmet teslim yöneticilerinizle (SDM' ler) sohbet edebilir ve sizin adınıza araştırıp çözümlediğimiz olay sayısıyla ilgili gerçek zamanlı raporları görüntüleyebilirsiniz.

Yönetilen algılama ve yanıt

XDR için Defender Uzmanları, otomasyon ve insan uzmanlığının bir birleşimiyle Microsoft Defender XDR olaylarını önceliklendirir, sizin adınıza önceliklendirir, gürültüyü filtreler, ayrıntılı araştırmalarda bulunur ve güvenlik operasyonları merkezi (SOC) ekiplerinize eyleme dönüştürülebilir yönetilen yanıt sağlar.

Olay güncelleştirmeleri

Uzmanlarımız bir olayı araştırmaya başladıktan sonra olayın Atanan ve Durum alanları sırasıyla Defender Uzmanları ve Devam Ediyor olarak güncelleştirilir.

Uzmanlarımız bir olayla ilgili araştırmalarını sonlandırdığında, uzmanların bulgularına bağlı olarak olayın Sınıflandırma alanı aşağıdakilerden birine güncelleştirilir:

  • Gerçek Pozitif
  • Hatalı Pozitif
  • Bilgilendirici, Beklenen Etkinlik

Her sınıflandırmaya karşılık gelen Belirleme alanı, uzmanlarımızın söz konusu sınıflandırmayı belirlemesine yol açan bulgular hakkında daha fazla içgörü sağlamak için de güncelleştirilir.

Etiketler, Durum, Atanan, Sınıflandırma ve Belirleme alanlarını gösteren Olaylar sayfasının ekran görüntüsü.

Bir olay Hatalı Pozitif veya Bilgilendirici, Beklenen Etkinlik olarak sınıflandırılırsa, olayın Durum alanı Çözümlendi olarak güncelleştirilir. Daha sonra uzmanlarımız bu olayla ilgili çalışmalarını sonlandırıyor ve Atanan alanı Atanmadı olarak güncelleştiriliyor. Uzmanlarımız, bir olayı çözerken araştırmalarından ve sonuçlarıyla ilgili güncelleştirmeleri paylaşabilir. Bu güncelleştirmeler, olayın Açıklamalar ve geçmiş açılır panelinde yayınlanır.

Not

Olay açıklamaları tek yönlü gönderilerdir. Defender Uzmanları , Yorumlar ve geçmiş paneline eklediğiniz hiçbir yoruma veya soruya yanıt veremiyor. Uzmanlarımızla nasıl iletişim kuracakları hakkında daha fazla bilgi için bkz. XDR için Microsoft Defender Uzmanları hizmetinde uzmanlarla iletişim kurma.

Aksi takdirde, bir olay Gerçek Pozitif olarak sınıflandırılırsa uzmanlarımız gerçekleştirilmesi gereken yanıt eylemlerini belirler. Eylemlerin gerçekleştirildiği yöntem, XDR için Defender Uzmanları hizmetine verdiğiniz izinlere ve erişim düzeylerine bağlıdır. Uzmanlarımıza izin verme hakkında daha fazla bilgi edinin.

  • XDR için Defender Uzmanlarına önerilen Güvenlik Operatörü erişim izinlerini verdiyseniz uzmanlarımız olayla ilgili gerekli yanıt eylemlerini sizin yerinize gerçekleştirebilir. Araştırma özetiyle birlikte bu eylemler, sizin veya SOC ekibinizin gözden geçirmesi için Microsoft Defender portalınızdaki Yönetilen yanıt açılır panelinde gösterilir. XDR için Defender Uzmanları tarafından tamamlanan tüm eylemler, Tamamlanan eylemler bölümünün altında görünür. Sizin veya SOC ekibinizin tamamlanmasını gerektiren bekleyen eylemler, Bekleyen eylemler bölümünde listelenir. Daha fazla bilgi için Eylemler bölümüne bakın. Uzmanlarımız olayla ilgili tüm gerekli eylemleri gerçekleştirdikten sonra Durum alanı Çözüldü ve Atanan alanı Atanmadı olarak güncelleştirilir.

  • XDR için Defender Uzmanlarına varsayılan Güvenlik Okuyucusu erişimi verdiyseniz, gerekli yanıt eylemleri ve Araştırma özeti, sizin veya SOC ekibinizin gerçekleştirmesi için Microsoft Defender portalınızdaki Bekleyen eylemler bölümünün altındaki Olayın Yönetilen yanıt açılır penceresinde gösterilir. Daha fazla bilgi için Eylemler bölümüne bakın. Bu devretmeyi tanımlamak için, olayın Durum alanı Müşteri Eylemi Bekleniyor olarak, Atanan alanı da Müşteri olarak güncelleştirilir.

Eyleminizi gerektiren olay sayısını Microsoft Defender giriş sayfasının üst kısmındaki Defender Uzmanları başlığından kontrol edebilirsiniz.

Microsoft Defender portalında müşteri eylemini bekleyen olay sayısını gösteren Defender Uzmanları kartının ekran görüntüsü.

Uzmanlarımızın araştırmış olduğu veya şu anda araştırmakta olduğu olayları görüntülemek için Defender Uzmanlar etiketini kullanarak Microsoft Defender portalınızdaki olay kuyruğuna filtre uygulayın.

Yalnızca Defender Uzmanlar etiketine sahip olanları gösterecek şekilde filtrelenen Microsoft Defender portalındaki Olaylar kuyruğunun ekran görüntüsü.

Microsoft Defender XDR'de yönetilen yanıtı kullanma

Microsoft Defender portalında, yönetilen yanıtı kullanarak dikkatinizi gerektiren bir olay, Atanan alanı Müşteri olarak ayarlanmış ve Olaylar bölmesinin üstündeki bir görev kartına sahiptir. Belirlenen olay kişileriniz, olayı görüntülemek için Defender portalının bağlantısını içeren ilgili e-posta bildirimini de alır. Bildirim kişileri hakkında daha fazla bilgi edinin.

Uzmanlarımızın araştırma özetini okuyabileceğiniz, uzmanlarımız tarafından tanımlanan bekleyen eylemleri tamamlayabileceğiniz veya sohbet aracılığıyla onlarla etkileşim kurabileceğiniz bir açılır panel açmak için görev kartında veya portal sayfasının üst kısmında (Yönetilen yanıt sekmesi) Yönetilen yanıtı görüntüle'yi seçin.

Araştırma özeti

Araştırma özeti bölümü, uzmanlarımız tarafından analiz edilen olay hakkında size önem derecesi ve hemen ele alınmaması durumunda olası etkisi hakkında görünürlük sağlamak için daha fazla bağlam sağlar. Cihaz zaman çizelgesini, saldırı göstergelerini ve gözlemlenen risk göstergelerini (ICS) ve diğer ayrıntıları içerebilir.

Yönetilen yanıt araştırma özetinin ekran görüntüsü.

Eylemler

Eylemler sekmesinde uzmanlarımız tarafından önerilen yanıt eylemlerini içeren görev kartları görüntülenir.

XDR için Defender Uzmanları şu anda aşağıdaki tek tıklamayla yönetilen yanıt eylemlerini destekler:

Eylem Açıklama
Cihazı yalıtma Bir cihazı yalıtarak bir saldırganın cihazı denetlemesini ve veri sızdırma ve yanal hareket gibi başka etkinlikler gerçekleştirmesini engeller. Yalıtılmış cihaz Uç Nokta için Microsoft Defender'a bağlanmaya devam eder.
Dosyayı karantinaya al İşlemleri çalıştırmayı durdurur, dosyaları karantinaya alır ve kayıt defteri anahtarları gibi kalıcı verileri siler.
Uygulama yürütmeyi kısıtlayın Kötü amaçlı olabilecek programların yürütülmesini kısıtlar ve daha fazla deneme yapılmasını önlemek için cihazı kilitler.
Yalıtımdan serbest bırakma Cihazın yalıtımını geri alır.
Uygulama kısıtlamasını kaldır Yalıtımdan sürümü geri alır.

Bu tek tıklamayla gerçekleştirdiği eylemlerin dışında, uzmanlarımızdan el ile gerçekleştirmeniz gereken yönetilen yanıtlar da alabilirsiniz.

Not

Önerilen yönetilen yanıt eylemlerinden herhangi birini gerçekleştirmeden önce, bunların otomatik araştırma ve yanıt yapılandırmalarınız tarafından henüz ele alınmadığından emin olun. Microsoft Defender XDR'de otomatik araştırma ve yanıt özellikleri hakkında daha fazla bilgi edinin.

Yönetilen yanıt eylemlerini görüntülemek ve gerçekleştirmek için:

  1. Eylem kartındaki ok düğmelerini seçerek genişletin ve gerekli eylem hakkında daha fazla bilgi okuyun.

    Cihaz prod sunucusunu yalıtmak için yönetilen yanıt eyleminin ekran görüntüsü.

  2. Tek tıklamayla yanıt eylemleri olan kartlar için gerekli eylemi seçin. Karttaki Eylem durumu , eylemin sonucuna bağlı olarak Devam Ediyor olarak, ardından Başarısız veya Tamamlandı olarak değişir.

    Cihaz prod sunucusunu yalıtmak için devam eden yönetilen yanıt eyleminin ekran görüntüsü.

    İpucu

    İşlem merkezinde portal içi yanıt eylemlerinin durumunu da izleyebilirsiniz. Bir yanıt eylemi başarısız olursa Cihaz ayrıntılarını görüntüle sayfasından yeniden yapmayı deneyin veya Defender Uzmanları ile sohbet başlatın .

  3. El ile gerçekleştirmeniz gereken gerekli eylemlere sahip kartlar için, bunları gerçekleştirdikten sonra Bu eylemi tamamladım'ı ve ardından görüntülenen onay iletişim kutusunda Evet, yaptım'ı seçin.

    Eylemin tamamlanmasını onaylamak için yönetilen yanıt eyleminin ekran görüntüsü.

  4. Gerekli bir eylemi hemen tamamlamak istemiyorsanız Atla'yı ve ardından görüntülenen onay iletişim kutusunda Evet, bu eylemi atla'yı seçin.

Önemli

Eylem kartlarındaki düğmelerden herhangi birinin gri olduğunu fark ederseniz, eylemi gerçekleştirmek için gerekli izinlere sahip olmadığınızı gösterebilir. Microsoft Defender XDR portalında uygun izinlerle oturum açtığınızdan emin olun. Yönetilen yanıt eylemlerinin çoğu için en azından Güvenlik Operatörü erişimine sahip olmanız gerekir.

Uygun izinlerle bile bu sorunla karşılaşmaya devam ediyorsanız Cihaz ayrıntılarını görüntüle'ye gidin ve adımları buradan tamamlayın.

SIEM veya ITSM uygulamanızda Defender Uzmanları araştırmalarına görünürlük elde edin

XDR için Defender Uzmanları olayları araştırıp düzeltme eylemleriyle karşınıza çıktıkçe, güvenlik bilgileri ve olay yönetimi (SIEM) ve BT hizmet yönetimi (ITSM) uygulamalarınızda (kullanıma hazır uygulamalar dahil) olaylarla ilgili çalışmalarını görebilirsiniz.

Microsoft Sentinel

Kullanıma açık Microsoft Defender XDR veri bağlayıcısını açarak Microsoft Sentinel'de olay görünürlüğü elde edebilirsiniz. Daha fazla bilgi edinin.

Bağlayıcıyı açtıktan sonra, Defender Uzmanları tarafından Microsoft Defender XDR'deki Durum, Atanan, Sınıflandırma ve Belirleme alanlarında yapılan güncelleştirmeler Sentinel'deki ilgili Durum, Sahip ve Kapatma Nedeni alanlarında gösterilir.

Not

Microsoft Defender XDR'de Defender Uzmanları tarafından araştırılan olayların durumu genellikle Etkin'den DevamEdiyor'aMüşteri Eylemi bekleniyor'danÇözümlendi'ye geçiş yaparken Sentinel'de YenidenEtkineÇözümlendi yolunu izler. Microsoft Defender XDR Durum Bekleyen Müşteri Eyleminin Sentinel'de eşdeğer bir alanı yok; bunun yerine, Sentinel'deki bir olayda etiket olarak görüntülenir.

Aşağıdaki bölümde, uzmanlarımız tarafından işlenen bir olayın araştırma yolculuğunda ilerlerken Sentinel'de nasıl güncelleştirildiği açıklanmaktadır:

  1. Uzmanlarımız tarafından araştırılan bir olayda DurumEtkin , Sahip ise Defender Uzmanları olarak listelenmiştir.
  2. Uzmanlarımızın Gerçek Pozitif olarak onay verdiği bir olay, Microsoft Defender XDR'de yayınlanan yönetilen bir yanıta ve Müşteri Eylemini BekleyenEtikete ve Sahip'eMüşteri olarak listelenir. Sağlanan yönetilen yanıtı kullanarak olay üzerinde işlem yapmanız gerekir.
  3. Uzmanlarımız araştırmalarını tamamladıktan ve bir olayı Hatalı Pozitif veya Bilgilendirici, Beklenen Etkinlik olarak kapattıktan sonra olayın DurumuÇözüldü, SahipAtanmadı olarak güncelleştirilir ve kapatma nedeni sağlanır.

Microsoft Sentinel olaylarının ekran görüntüsü.

Diğer uygulamalar

Microsoft Defender XDR API'sini veya Sentinel'deki bağlayıcıları kullanarak SIEM veya ITSM uygulamanızdaki olaylarla ilgili görünürlük elde edebilirsiniz.

Bağlayıcı yapılandırıldıktan sonra, Defender Uzmanları tarafından bir olayın Durumu, Atandığı, Sınıflandırma ve Belirleme alanları için Microsoft Defender XDR'deki güncelleştirmeler, alan eşlemesinin nasıl uygulandığına bağlı olarak üçüncü taraf SIEM veya ITSM uygulamalarıyla eşitlenebilir. Bunu göstermek için Sentinel'den ServiceNow'a bağlayıcıya göz atabilirsiniz.

XDR için Defender Uzmanları raporlarıyla gerçek zamanlı görünürlük elde edin

XDR için Defender Uzmanları, uzman analistlerimizin sizin adına yaptığı çalışmaların net bir özetini, olay ortamınızla ilgili bilgileri ve belirli olaylarla ilgili ayrıntılı ayrıntıları sağlayan etkileşimli ve isteğe bağlı bir rapor içerir. Hizmet teslim yöneticiniz (SDM), aylık iş gözden geçirmesi sırasında hizmetle ilgili daha fazla bağlam sağlamak için raporu da kullanır.

XDR için Defender Uzmanları raporunun ekran görüntüsü.

Raporun her bölümü, uzmanlarımızın ortamınızda araştırıp çözümledikleri olaylar hakkında gerçek zamanlı olarak daha fazla içgörü sağlamak üzere tasarlanmıştır. Ayrıca önem derecesine, kategoriye göre olaylar hakkında ayrıntılı bilgi almak ve belirli bir dönemde bir olayı araştırmak ve çözmek için geçen süreyi anlamak için Tarih aralığını seçebilirsiniz.

XDR için Defender Uzmanları raporunu anlama

XDR için Defender Uzmanları raporunun en üstteki bölümü, ortamınızda çözümlediğimiz olayların yüzdesini sağlayarak size işlemlerimizde saydamlık sağlar. Bu yüzde, raporda da gösterilen aşağıdaki rakamlardan türetilir:

  • Araştırıldı – Olay kuyruğunuzdan gelen ve kapsamımız içinde önceliklendirdiğimiz, araştırdığımız veya şu anda araştırdığımız etkin tehditlerin ve diğer olayların sayısı.
  • Çözüldü – Kapatılan araştırılan olayların toplam sayısı.
  • Doğrudan çözüldü – Sizin yerinize doğrudan kapatabildiğimiz araştırılan olayların sayısı.
  • Yardımınızla çözümlendi – Bir veya daha fazla yönetilen yanıt görevindeki eyleminiz nedeniyle çözülen araştırılan olayların sayısı.

Olayları çözmek için ortalama süre bölümünde, uzmanlarımız ortamınızdaki olayları araştırmak ve kapatmak için harcadığınız ortalama süreyi ve gerekli yönetilen yanıt eylemlerini gerçekleştirmek için harcadığınız ortalama süreyi dakika cinsinden gösteren bir çubuk grafik görüntülenir.

Önem derecesine göre olaylar, Kategoriye göre olaylar ve Hizmet kaynağına göre olaylar bölümleri, çözümlenen olayları sırasıyla önem derecesine, saldırı tekniğine ve Microsoft güvenlik hizmeti kaynağına göre böler. Bu bölümler, ortamınızda algılanan olası saldırı giriş noktalarını ve tehdit türlerini belirlemenize, etkilerini değerlendirmenize ve bunları azaltmak ve önlemek için stratejiler geliştirmenize olanak tanır. olay kuyruğunun iki bölümden her birinde yaptığınız seçimlere göre filtrelenmiş bir görünümünü elde etmek için Olayları görüntüle'yi seçin.

En çok etkilenen varlıklar bölümü, ortamınızdaki, seçtiğiniz tarih aralığında en fazla sayıda olaya dahil olan kullanıcıları ve cihazları gösterir. Her varlığın dahil olduğu olayların hacmini görebilirsiniz. Söz edilen varlığı içeren olaylara göre olay kuyruğunun filtrelenmiş bir görünümünü almak için bir varlık seçin.

Proaktif yönetilen avcılık

XDR için Defender Uzmanları, Avcılık için Microsoft Defender Uzmanları tarafından sunulan proaktif tehdit avcılığı da içerir. Tehdit Avcılığı için Defender Uzmanları, güçlü bir güvenlik operasyonları merkezine sahip olan ancak Microsoft'un Microsoft Defender verilerini kullanarak tehditleri proaktif olarak avlamalarına yardımcı olmasını isteyen müşteriler için oluşturulmuştur. Bu proaktif tehdit avcılığı hizmeti uç noktaları, Office 365'i, bulut uygulamalarını ve kimliği avlamak için uç noktanın ötesine geçer. Uzmanlarımız buldukları her şeyi araştırır, ardından bağlamsal uyarı bilgilerini düzeltme yönergeleriyle birlikte teslim ederler, böylece hızlı bir şekilde yanıt vekleyebilirsiniz.

İsteğe bağlı olarak gelişmiş tehdit uzmanlığı isteme

Tüm tehdit sorularınıza hızlı ve doğru yanıtlar almak için Doğrudan Microsoft Defender XDR portalında Defender Uzmanlarına Sorun'u seçin. Uzmanlar, kuruluşunuzun karşılaşabileceği karmaşık tehditleri daha iyi anlamak için içgörüler sağlayabilir. Bir uzmana başvurarak:

  • Uyarılar ve olaylar hakkında kök nedenler ve kapsam da dahil olmak üzere ek bilgi toplayın.
  • Şüpheli cihazlara, uyarılara veya olaylara açıklık getirin ve gelişmiş bir saldırganla karşılaşırsanız sonraki adımları izleyin.
  • Etkinlik grupları, kampanyalar veya yeni ortaya çıkan saldırgan teknikleri ile ilgili riskleri ve kullanılabilir korumaları belirleyin.

Not

Defender Uzmanlarına Sorun bir güvenlik olayı yanıt hizmeti değildir. Kuruluşunuzu etkileyen karmaşık tehditlerin daha iyi anlaşılmasını sağlamak için tasarlanmıştır. Acil güvenlik olayı yanıt sorunlarını çözmek için kendi güvenlik olayı yanıt ekibinizle etkileşime geçin. Kendi güvenlik olayı yanıt ekibiniz yoksa ve Microsoft'un yardımını istiyorsanız Premier Services Hub'da bir destek isteği oluşturun.

Defender Uzmanlarına Sorun seçeneği, belirli bir olay veya uyarı hakkında bağlamsal sorular sormanız için olaylar ve uyarılar sayfalarında kullanılabilir:

  • Uyarılar sayfası açılır menüsü:

Microsoft Defender portalındaki Uyarılar sayfası açılır menüsündeki Defender Uzmanlarına Sor menü seçeneğinin ekran görüntüsü.

  • Olaylar sayfası eylemleri menüsü:

Microsoft Defender portalındaki Olaylar sayfası eylemleri menüsündeki Defender Uzmanlarına Sor menü seçeneğinin IScreenshot görüntüsü.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.