Tehdit Analizi için Microsoft Defender Tehdit İstihbaratını Uygulama

Tehdit Analizi için Microsoft Defender Tehdit İstihbaratını Uygulama

06/01/2025

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine, kuruluşlarının tehdit analizini ve güvenlik duruşunu iyileştirmek için Microsoft Defender Tehdit İstihbaratını (MDTI) uygulama ve kullanma konusunda rehberlik etmeyi amaçlamaktadır. Giderek daha karmaşık hale gelen ve gelişen bir siber tehdit ortamında, güncel, eyleme geçirilebilir tehdit istihbaratına erişim, saldırıları etkili bir şekilde tespit etmek, araştırmak ve bunlara yanıt vermek için kritik öneme sahiptir. MDTI, tehdit istihbaratı verilerinin sağlam bir deposunu sağlayarak güvenlik ekiplerinin rakipleri ve onların taktiklerini daha iyi anlamalarını sağlar [1].

Giriş

Tehdit İstihbaratı (BT), olaya müdahale kararlarını bilgilendirmek için kullanılabilecek, mevcut veya ortaya çıkan bir tehditle ilgili bağlam, mekanizmalar, göstergeler, çıkarımlar ve eyleme geçirilebilir tavsiyeler dahil olmak üzere kanıta dayalı bilgidir. Etkili tehdit istihbaratı olmadan, güvenlik ekipleri dezavantajlı bir şekilde çalışır ve saldırıları öngörmek ve önlemek yerine tepki verir. BT, güvenlik ihlali göstergelerini (IoC'ler) tanımlamaya, saldırganların motivasyonlarını anlamaya ve savunmaları proaktif olarak güçlendirmeye yardımcı olabilir [2].

Microsoft Defender Tehdit İstihbaratı (MDTI), Microsoft'un dünya çapında milyarlarca sinyalden toplanan geniş tehdit istihbaratını birleştiren kapsamlı bir platformdur. Düşmanlara, kötü amaçlı altyapılara ve güvenlik açıklarına ilişkin derinlemesine bilgiler sunarak güvenlik profesyonellerinin öncelik belirleme, olay müdahalesi, tehdit avcılığı ve güvenlik açığı yönetimini kolaylaştırmalarını sağlar. MDTI, diğer Microsoft Defender çözümleri ve Microsoft Sentinel ile entegre olarak daha esnek bir güvenlik ekosistemi için birleşik bir görünüm ve otomasyon yetenekleri sağlar [3].

Bu pratik kılavuz, önkoşulları, tehdit istihbaratı kavramlarını, MDTI portallarının ve API'lerin nasıl kullanılacağını, diğer Microsoft çözümleriyle nasıl entegre edileceğini, tehdit analizinin nasıl gerçekleştirileceğini, güvenlik ihlali göstergelerinin (IoC'ler) nasıl yorumlanacağını ve en iyi uygulamaların nasıl uygulanacağını kapsayacaktır. Okuyucunun bu özellikleri uygulayabilmesi, test edebilmesi ve doğrulayabilmesi için adım adım talimatlar, pratik örnekler ve kısa açıklamalar sağlanacaktır. Ayrıca tehdit istihbaratının bağımsız, profesyonel ve güvenilir bir şekilde kullanılmasını sağlamak için güvenlik ipuçları, uyumluluk kontrolleri ve en iyi uygulamalar tartışılacak.

Microsoft Defender Tehdit İstihbaratı tehdit analizi için neden önemlidir?

  • Kapsamlı Tehdit Görünürlüğü: Çok çeşitli IoC'leri, saldırgan altyapısını ve kötü amaçlı kampanyaları kapsayan, dünyadaki en büyük tehdit istihbaratı veri kümelerinden birine erişim.
  • Derinlik Bağlamı: Tehdit aktörleri, taktikler, teknikler ve prosedürler (TTP'ler) ve ilgili güvenlik açıkları hakkında bilgiler de dahil olmak üzere tehditler hakkında zengin bağlam sağlar.
  • Microsoft Ekosistemi ile Entegrasyon: Microsoft Defender XDR, Microsoft Sentinel ve diğer çözümlerle yerel entegrasyon, koordineli ve otomatik yanıta olanak tanır.
  • Hızlandırılmış Olay Müdahalesi: Güvenlik ekiplerinin olayların temel nedenini hızlı bir şekilde belirlemesine, tehditleri önceliklendirmesine ve etkili karşı önlemleri uygulamasına yardımcı olur.
  • Proaktif Tehdit Avcılığı: Tehdit avcılarının, ortamlarındaki kötü amaçlı etkinlikleri ciddi hasara yol açmadan önce tespit etmelerine olanak tanır.
  • Geliştirilmiş Güvenlik Açığı Yönetimi: Saldırganlar tarafından istismar edilen güvenlik açıklarına ilişkin öngörüler sunarak kuruluşların düzeltmeye öncelik vermesine olanak tanır.

Önkoşullar

Microsoft Defender Tehdit İstihbaratını kullanmak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Microsoft 365 E5 veya Bulut Lisanslaması için Defender: MDTI, bazı Microsoft 365 E5 lisanslarına dahildir ve Bulut için Microsoft Defender'ın bir parçası olarak bulunur veya ayrıca satın alınabilir [4].
  2. Microsoft Defender Portal Erişimi: Microsoft Defender portalına (https://security.microsoft.com) erişim için uygun izinlere sahip bir hesap.
  3. Microsoft Defender Tehdit İstihbaratı Portalı Erişimi: MDTI verilerini keşfetmeye yönelik özel portal (https://ti.defender.microsoft.com).
  4. Temel Bilgio Siber Güvenlik: Tehdit kavramlarına, IoC'lere ve güvenlik operasyonlarına aşinalık.

Adım Adım: Microsoft Defender Tehdit İstihbaratını Uygulama ve Kullanma

MDTI portalını keşfedelim, IoC'leri arayalım ve Microsoft Sentinel ile entegre olalım.

1. Microsoft Defender Tehdit İstihbaratı Portalına Erişim

MDTI portalı, tehdit istihbaratına erişmenin ve keşfetmenin merkezi noktasıdır.

  1. Tarayıcınızı açın ve Microsoft Defender Tehdit İstihbaratı portalına gidin: https://ti.defender.microsoft.com.
  2. Gerekli lisanslara ve izinlere sahip Microsoft hesabınızla oturum açın.

  3. Genellikle en son tehdit haberlerini, araştırma makalelerini ve öne çıkan IoC'leri içeren bir gösterge tablosunun görüntülendiği ana sayfayı keşfedin.

    • Açıklama: Portal, araştırma makaleleri, güvenlik ihlali göstergeleri, altyapı verileri ve daha fazlasını içeren çok sayıda tehdit istihbaratı verisine göz atmak için sezgisel bir arayüz sağlar.

2. Uzlaşma Göstergelerini Araştırmak ve Analiz Etmek (IoC'ler)

Bağlam ve öngörü elde etmek için belirli IoC'leri (IP adresleri, etki alanları, dosya karmaları) arayabilirsiniz.

  1. MDTI portalında bir IoC girmek için üstteki arama çubuğunu kullanın. Örneğin şüpheli bir IP adresini arayın (ör. '192.0.2.1').

  2. Sonuçlar sayfasında IoC hakkında aşağıdakiler dahil ayrıntılı bilgiler görüntülenecektir:

    • İtibar: IoC'nin kötü amaçlı veya şüpheli olduğunun bilinip bilinmediği.
    • İlişkilendirmeler: Bu IoC ile ilişkili diğer IoC'ler, alanlar, karmalar veya sertifikalar.
    • Geçmiş: IoC altyapısında veya davranışında zaman içinde meydana gelen değişiklikler.
    • Araştırma Makaleleri: Bu IoC'den bahseden ve saldırı kampanyaları veya tehdit aktörleri hakkında bağlam sağlayan MDTI makaleleri.

    • Hizmetler ve bağlantı noktaları: Bu IP'de hangi hizmetlerin ve bağlantı noktalarının açık olduğu veya gözlemlendiği.

    • Açıklama: IoC'lerin MDTI'da analiz edilmesi, güvenlik analistlerinin bir tehdidin doğasını, altyapısını ve diğer kötü amaçlı etkinliklerle ilişkisini hızlı bir şekilde anlamalarına olanak tanır. Olayların tetiklenmesi ve soruşturulması sırasında bu çok önemlidir.

3. Araştırma Makalelerini ve Tehdit Aktörlerini İncelemek

MDTI, tehdit aktörleri, onların TTP'leri ve belirli kampanyalar hakkında derinlemesine araştırma makaleleri yayınlamaktadır.

  1. MDTI portalının sol gezinme bölmesinde Araştırma Makaleleri veya Tehdit Aktörleri seçeneğini seçin.
  2. Kuruluşunuz veya sektörünüzle ilgili tehdit bilgilerini bulmak için makalelere göz atın.

  3. Her makale, IoC'ler, TTP'ler, hafifletme önerileri ve diğer kaynaklara bağlantılar dahil olmak üzere ayrıntılı bir analiz sağlar.

    • Açıklama: Bu makaleler, güvenlik ekiplerinin tehdit ortamını anlamalarına ve proaktif savunmalar geliştirmelerine yardımcı olan değerli bir stratejik ve taktiksel istihbarat kaynağıdır.

4. MDTI'yi Microsoft Sentinel ile entegre etme

Microsoft Sentinel ile entegrasyon, MDTI verilerini doğrudan SIEM ve SOAR'ınıza almanıza, diğer güvenlik günlükleriyle ilişkilendirmenize ve yanıtları otomatikleştirmenize olanak tanır.

  1. Azure portalını açın ve Microsoft Sentinel'e gidin.
  2. Sol gezinme bölmesinde Veri Bağlayıcıları'nı seçin.
  3. Arama alanına 'Microsoft Defender Threat Intelligence' yazın.
  4. 'Microsoft Defender Threat Intelligence' veri bağlayıcısını seçin ve 'Bağlayıcı sayfasını aç'ı tıklayın.

  5. 'Bağlan'ı tıklayın.

    • Açıklama: Bu bağlantı, Sentinel'in algılama kurallarında, izleme listelerinde ve otomasyon oyun kitaplarında kullanılabilen MDTI'dan IoC'leri ve diğer tehdit istihbaratı verilerini otomatik olarak almasına olanak tanır.

5. Azure Sentinel Algılama Kurallarında MDTI Verilerini Kullanma

Sentinel'deki MDTI verileriyle, kötü amaçlı etkinlikleri tanımlamak için özel algılama kuralları oluşturabilirsiniz.

  1. Azure Sentinel'de Analytics > Zamanlama Kuralları'na gidin.
  2. "+Oluştur" > "Zamanlanmış sorgu kuralı"nı tıklayın.

  3. Kuralı yapılandırın ve 'Sorgu Mantığı' bölümünde MDTI verilerini kullanabilirsiniz. Örneğin, güvenlik duvarı günlüklerinizdeki herhangi bir IP'nin MDTI tarafından bilinen kötü amaçlı bir IP ile iletişim kurup kurmadığını tespit etmek için: "kusto" let kötü niyetliIP'ler = ThreatIntelligenceIndicator | burada Aktif == doğru ve AğIP != "" | make_list(NetworkIP)'yi ThreatType'a göre özetle;

    Ortak Güvenlik Günlüğü| DestinationIP'nin bulunduğu yer (kötü amaçlıIP'ler) | sayımı () DestinationIP, DeviceVendor, DeviceProduct'a göre özetle '''' * Açıklama: Bu Kusto sorgusu, MDTI tehdit istihbaratı tarafından kötü amaçlı olarak listelenen IP'lerle yapılan iletişimler için güvenlik günlüklerinizde (ör. güvenlik duvarı) arama yapar. Sorguyu diğer IoC türlerini veya günlük kaynaklarını içerecek şekilde hassaslaştırabilirsiniz.

Doğrulama ve Test Etme

MDTI'nin ilgili tehdit istihbaratını sağladığını ve entegrasyonların çalıştığını doğrulamak kritik öneme sahiptir.

1. Azure Sentinel'de Veri Alımının Doğrulanması

  1. Senaryo: MDTI'yi Azure Sentinel'e bağladıktan sonra tehdit istihbaratı verilerinin alındığını doğrulayın.
  2. Beklenen Eylem: MDTI verileri Log Analytics'teki "ThreatIntelligenceIndicator" tablosunda görünmelidir.
  3. Doğrulama:
    • Microsoft Sentinel'de Günlükler'e gidin.
    • ThreatIntelligenceIndicator | 10 al.
    • Verilerin alındığını gösteren sonuçları kontrol edin.

2. IoC Algılamanın MDTI ile Test Edilmesi

Dikkat: Bu testi yalıtılmış bir test ortamında veya uygun yetkilendirme ve denetimle gerçekleştirin.

  1. Senaryo: Kötü amaçlı olduğu bilinen bir IoC kullanın (ör. bilinen bir kötü amaçlı yazılım komut ve kontrol IP'si) ve buna Sentinel tarafından izlenen bir cihazdan (ör. bir test VM'si) erişmeye çalışın.
  2. Beklenen Eylem: Algılama kuralı doğru yapılandırılmışsa Sentinel, kötü amaçlı IoC ile iletişime dayalı olarak bir olay oluşturmalıdır.
  3. Doğrulama:
    • Microsoft Sentinel'de Olaylar'a gidin.
    • Test etkinliğinizle eşleşen yeni bir olayı arayın.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Sürekli BT Tüketimi: Sürekli değişen tehdit ortamını anlamak için araştırma makaleleri ve MDTI tarafından yayınlanan en son tehditler ile güncel kalın.
  • Kapsamlı Entegrasyon: Görünürlüğü ve yanıt verme hızını en üst düzeye çıkarmak için MDTI'yi tüm Microsoft güvenlik çözümlerinizle (Uç Nokta için Defender, Bulut Uygulamaları için Defender, Kimlik için Defender) ve Microsoft Sentinel'le entegre edin.
  • Playbook'larla Otomasyon: Güvenlik duvarında kötü amaçlı IP'leri engellemek veya güvenliği ihlal edilmiş cihazları izole etmek gibi MDTI IoC'ler tarafından tetiklenen olaylara verilen yanıtları otomatikleştirmek için Microsoft Sentinel'deki playbook'ları kullanın.
  • Proaktif Tehdit Avcılığı: Günlüklerinizdeki kötü amaçlı etkinlikleri proaktif olarak aramak için Microsoft Sentinel'deki tehdit avcılığı sorgularınızda MDTI verilerini kullanın.
  • Düzenli Doğrulama: BT tabanlı algılama kurallarınızın beklendiği gibi çalıştığından ve IoC'lerin güncel olduğundan emin olmak için düzenli olarak test edin.
  • IoC'lerin bağlamsallaştırılması: Yalnızca yalıtılmış IoC'lere güvenmeyin. Saldırı kampanyasını, TTP'leri ve IoC'lerin arkasındaki tehdit aktörlerini anlamak için MDTI tarafından sağlanan bağlamı kullanın.

Genel Sorun Giderme

  • MDTI verileri Sentinel'de görünmüyor:
    • Azure Sentinel'de MDTI veri bağlayıcısının etkinleştirildiğini doğrulayın.
    • Microsoft lisansınızın Sentinel ile MDTI entegrasyonunu desteklediğini doğrulayın.
    • İlk veri alımında gecikme olabilir. Birkaç saat bekleyin.
    • Veri bağlayıcıyla ilgili hatalar için Azure denetim günlüklerini kontrol edin.
  • MDTI tabanlı algılama kuralları uyarı oluşturmaz:
    • Kusto sorgunuzun sözdizimini kontrol edin. ThreatIntelligenceIndicator tablosuna doğru şekilde başvurulduğundan emin olun.
    • Test etkinliğinin gerçekten kural kriterlerinize uyduğunu doğrulayın.
    • Analiz kuralı ayarlarını kontrol edin (uyarı eşiği, planlama).
  • MDTI portalındaki IoC'ler güncellenmez:
    • MDTI sürekli olarak güncellenmektedir. Verilerin güncel olmadığını fark ederseniz, bu bir tarayıcı önbellek sorunu veya geçici bir hizmet gecikmesi olabilir.
    • Azure durum sayfasında MDTI hizmet durumunu kontrol edin.
  • MDTI portalına erişim sorunları:
    • Hesabınızın MDTI'ye erişim için doğru lisanslara ve izinlere sahip olduğunu doğrulayın.
    • Tarayıcınızın önbelleğini temizleyin veya ona gizli modda erişmeyi deneyin.

Sonuç

Microsoft Defender Tehdit İstihbaratı, herhangi bir kuruluşun siber savunmasını güçlendirmek için vazgeçilmez bir araçtır. Geniş ve zengin bir erişim sağlayarakTehdit istihbaratının kaynağı olarak güvenlik ekiplerinin reaktif bir duruştan proaktif bir duruşa geçmesini, tehditleri daha hızlı ve doğru bir şekilde tespit edip yanıt vermesini sağlar. MDTI'nin Microsoft Defender ekosistemi ve Microsoft Sentinel ile entegrasyonu, en karmaşık tehditlere karşı koruma sağlayabilen güçlü, birleşik bir güvenlik çözümü oluşturur. Bu pratik kılavuzla güvenlik uzmanları ve BT yöneticileri, Microsoft Defender Tehdit İstihbaratını yapılandırmak, doğrulamak ve yönetmek için iyi bir donanıma sahip olacak ve kuruluşlarının siber saldırılara karşı dayanıklılığını güçlendirecek.

Referanslar:

[1] Microsoft Güvenliği. Microsoft Defender Tehdit İstihbaratı. Şu adreste bulunabilir: https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-threat-intelligence [2] Microsoft Learn. Microsoft Defender Tehdit İstihbaratı (Defender BT) nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender/threat-intelligence/what-is-microsoft-defender-threat-intelligence-defender-ti [3] Microsoft Learn. Microsoft Defender XDR'de tehdit analizi. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-xdr/threat-analytics [4] Microsoft Learn. Microsoft Tehdit İstihbaratı Veri Bağlayıcısını etkinleştirin. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/sentinel/connect-mdti-data-connector [5] Microsoft Learn. Microsoft Defender XDR'nin Microsoft Sentinel ile entegrasyonu. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-365-defender-sentinel-integration [6] Microsoft Learn. Microsoft Defender Tehdit İstihbaratı için Microsoft Graph API'lerini kullanın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/graph/api/resources/security-threatintelligence-overview?view=graph-rest-1.0 [7] Microsoft Learn. Microsoft Defender portalında Microsoft Sentinel. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-sentinel-defender-portal