Microsoft'un birleşik SecOps platformunda tehdit algılama
Siber güvenlik tehditleri, mevcut teknoloji alanında akla geliyor. İhlallerin sürekli belirtimi ve güvenlik operasyon merkezlerine sağlanan sinyallerin bolluğu ile çok fazla gürültü oluşur. Microsoft'un birleşik SecOps platformu eyleme dönüştürülebilir tehditleri gürültüden ayırır. Microsoft'un birleşik SecOps platformundaki her hizmet, sunduğu çözümün karmaşıklığıyla eşleşecek şekilde kendi hassas ayarlı algılamalarını ekler ve hepsini tek bir panoda bir araya getirir.
Microsoft'un Microsoft Defender portalındaki birleşik SecOps platformu, algılamaları bulut için Microsoft Defender XDR, Microsoft Sentinel ve Microsoft Defender uyarı ve olay biçiminde bir araya getirmektedir.
Microsoft Defender portalında tehdit algılama
Güvenlik ekiplerinin hatalı pozitif sonuçları ortadan kaldırmak için odak ve netliğe ihtiyacı vardır. Microsoft Defender portalı, desteklenen tüm Microsoft güvenlik ve uyumluluk çözümlerinden gelen uyarıları ve olayları ilişkilendirip birleştirir ve bulut için Microsoft Sentinel ve Microsoft Defender aracılığıyla dış çözümlerden tehdit algılamayı birleştirir. Bu sinyallerin bağıntı ve birleştirmesi zengin bağlam ve önceliklendirme getirir. Örneğin, Bir Saldırgan-In-The-Middle (AiTM) kimlik avı saldırısı, birden çok kaynağa dağılmış tehdit bulmacasının parçalarına sahip olabilir. Defender portalı, bu parçaları bir araya getirerek bir saldırı hikayesi oluştururken, tehdidi düzeltmek için saldırı kesintisi ve rehberli yanıt sağlar.
Aşağıdaki görüntüde, eksiksiz bir AiTM saldırı hikayesi için bireysel algılama kaynakları da dahil olmak üzere birden çok hizmetten gelen sinyalleri ilişkilendiren olaylar panosu gösterilmektedir.
Desteklenen her Microsoft güvenlik ürünü, Defender portalında akış yapmak için daha fazla sinyal açar. Bu sinyallerin nasıl bir araya getirildiği ve önceliklendirildiği hakkında daha fazla bilgi için bkz. Microsoft Defender portalında olaylar ve uyarılar.
Microsoft Defender XDR tehdit algılama
Defender XDR, ek bir veri analizi ve tehdit algılama katmanı sağlayan benzersiz bir bağıntı özelliğine sahiptir. Aşağıdaki tabloda, desteklenen güvenlik hizmetlerinin çözümünün karakteriyle eşleşen tehditleri algılamak için nasıl ayarlendiğine ilişkin örnekler verilmiştir.
| Defender XDR hizmeti | Tehdit algılama uzmanlığı |
|---|---|
| Uç Nokta için Microsoft Defender | Microsoft Defender virüsten koruma, mobil cihazlar, masaüstleri ve daha fazlası gibi uç noktalarda davranış tabanlı ve buluşsal analizlerle polimorfik kötü amaçlı yazılımları algılar. |
| Office 365 için Microsoft Defender | E-posta, Teams ve OneDrive'da kimlik avı, kötü amaçlı yazılım, silahlanmış bağlantılar ve daha fazlasını algılar. |
| Kimlik için Microsoft Defender | Hem şirket içi hem de bulut kimliklerinde ayrıcalık yükseltme, yanal hareket, bulma, savunmadan kaçınma, kalıcılık ve daha fazlasını algılar. |
| Bulut Uygulamaları için Microsoft Defender | Bulut uygulamaları genelinde kullanıcı ve varlık davranış analizi (UEBA) aracılığıyla şüpheli etkinlikleri algılar. |
| Microsoft Defender Güvenlik Açığı Yönetimi | Araştırma için anlamlı bağlam sağlayan cihazlardaki güvenlik açıklarını algılar. |
| Microsoft Entra ID Koruması | İmkansız seyahat, doğrulanmış tehdit aktörü IP'leri, sızdırılan kimlik bilgileri, parola spreyleri ve daha fazlası gibi oturum açma işlemleriyle ilişkili riskleri algılar. |
| Microsoft Veri Kaybı Önleme | Microsoft 365 hizmetleri, Office uygulamaları, uç noktaları ve daha fazlası genelinde hassas bilgilerin fazla paylaşımı ve sızdırmasıyla ilişkili riskleri ve davranışları algılar. |
Daha fazla bilgi için bkz. Microsoft Defender XDR nedir?
Microsoft Sentinel tehdit algılama
Defender portalına bağlı Microsoft Sentinel çok sayıda Microsoft ve Microsoft dışı kaynaktan veri toplamaya olanak tanır, ancak burada durmaz. Microsoft Sentinel'ın tehdit yönetimi özellikleriyle ortamınıza yönelik tehditleri algılamak ve düzenlemek için gereken araçları elde edebilirsiniz.
| Tehdit yönetimi özelliği | Algılama özelliği | Daha fazla bilgi için |
|---|---|---|
| MITRE ATT&CK kapsamı | Tehdit algılama kapsamınızı düzenleyin ve boşlukları anlayın. | MITRE ATT&CK® çerçevesinin güvenlik kapsamını anlama |
| Analiz | Kurallar, uyarılar ve olaylar oluşturmak için verilerinizi sürekli olarak inceler ve bu sinyalleri Defender portalında tümleştirir. | Tehditleri kullanıma açık olarak algılama |
| İzleme Listeleri | Algılamaların kalitesini ve öncelik belirlemesini geliştirmek için ortamınızda anlamlı ilişkiler oluşturun. | Microsoft Sentinel'da izleme listeleri |
| Çalışma kitap -larını | Özellikle veri toplamanızın durumunu izlemek ve doğru tehdit algılamayı engelleyen boşlukları anlamak için görsel içgörülerle tehditleri algılayın. | Çalışma kitaplarıyla verilerinizi görselleştirme |
| Özet kuralları | Düşük güvenlikli değer verilerindeki tehdidi algılamak için gürültülü, yüksek hacimli günlükleri iyileştirir. | Ağ verileriyle yapılan tehdit bilgileri eşleşmeleriyle ilgili uyarılar oluşturma |
Daha fazla bilgi için bkz. Microsoft Sentinel Microsoft Defender portalına bağlama.
Bulut tehdit algılama için Microsoft Defender
Bulut için Defender, gelişmiş güvenlik analiziyle bulutlarınızın varlıklarını sürekli izleyerek uyarı ve olay oluşturmak için tehdit algılama sağlar. Bu sinyaller, bağıntı ve önem derecesi sınıflandırması için doğrudan Defender portalına entegre edilir. Bulut için Defender'da etkinleştirilen her plan, Defender portalına akışı yapılan algılama sinyallerine eklenir. Daha fazla bilgi için bkz. Microsoft Defender XDR uyarılar ve olaylar.
Bulut için Defender, çok çeşitli iş yüklerindeki tehditleri algılar. Aşağıdaki tabloda algı verdiği tehditlerden bazıları verilmiştir. Belirli uyarılar hakkında daha fazla bilgi için bkz . Güvenlik uyarıları başvuru listesi.
| Bulut için Defender planı | Tehdit algılama uzmanlığı |
|---|---|
| Sunucular için Defender | Kötü amaçlı yazılımdan koruma hatalarına, dosyasız saldırılara, şifreleme madenciliği ve fidye yazılımı saldırılarına, deneme yanılma saldırılarına ve çok daha fazlasına bağlı olarak Linux ve Windows için tehditleri algılar. |
| Depolama için Defender | Kimlik avı içeriğini ve kötü amaçlı yazılım dağıtımlarını, şüpheli erişimi ve bulmayı, olağan dışı veri ayıklamayı ve daha fazlasını algılar. |
| Kapsayıcılar için Defender | Riskli maruz kalma, kötü amaçlı veya kripto madenciliği etkinliği, web kabuğu etkinliği, özel simülasyonlar ve daha fazlası için denetim düzleminde ve iş yükü çalışma zamanındaki tehditleri algılar. |
| Veritabanları için Defender | SQL ekleme, fuzzing, olağan dışı erişim, deneme yanılma girişimleri ve daha fazlasını algılar. |
| API'ler için Defender | Trafikteki şüpheli ani artışları, kötü amaçlı IP'lerden erişimi, API uç noktalarının bulma ve numaralandırma tekniklerini ve daha fazlasını algılar. |
| Yapay zeka tehdit koruması | Jailbreak girişimleri, hassas verilerin açığa çıkarma, bozuk yapay zeka ve daha fazlası için üretken yapay zeka uygulamaları genelindeki tehditleri algılar. |
Daha fazla bilgi için bkz . Güvenlik uyarıları ve olayları.