Microsoft 365 Güvenlik Merkezi ile olayları gerçek zamanlı olarak izleme

Microsoft 365 Güvenlik Merkezi ile olayları gerçek zamanlı olarak izleme

03/08/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Microsoft 365 Defender portalını (eski adıyla Microsoft 365 Güvenlik Merkezi) kullanarak gerçek zamanlı güvenlik olaylarını izleme ve yönetme konusunda rehberlik etmeyi amaçlamaktadır. Bu portal, güvenlik operasyonları için merkezi bir platform sağlayarak Defender for Endpoint, Defender for Office 365, Defender for Identity ve Defender for Cloud Apps gibi birden fazla Microsoft güvenlik çözümünün görünürlük ve olay müdahale yeteneklerini birleştirir [1].

Giriş

Sürekli gelişen bir siber tehdit ortamında, güvenlik olaylarını hızlı ve verimli bir şekilde tespit etme, araştırma ve bunlara yanıt verme yeteneği, bir saldırının etkisini en aza indirmek için çok önemlidir. Microsoft 365 Defender portalı, farklı Microsoft ürünlerinden gelen güvenlik uyarılarını tutarlı olaylarla ilişkilendiren bir komuta ve kontrol merkezi görevi görür. Bu, SecOps (Güvenlik Operasyonları) ekiplerinin bir saldırıya bütünsel bir bakış açısı kazanmasını, öldürme zincirini anlamasını ve düzeltici eylemi daha etkili bir şekilde gerçekleştirmesini sağlar [2].

Bu nasıl yapılır kılavuzu, Microsoft 365 Defender portalında nasıl gezinileceğini, olay kuyruğunun nasıl izleneceğini, ilişkili uyarıların nasıl araştırılacağını ve bir olayın yaşam döngüsünün nasıl yönetileceğini kapsayacaktır. Okuyucunun Microsoft 365 ortamındaki güvenlik operasyonlarını optimize edebilmesi ve olay müdahale yeteneklerini geliştirebilmesi için adım adım talimatlar, arayüz kullanım örnekleri ve doğrulama yöntemleri sağlanacaktır.

Olay izleme için neden Microsoft 365 Defender portalı?

  • Birleşik Görünürlük: Birden fazla Defender ürününden (Uç Nokta, Office 365, Identity, Bulut Uygulamaları) gelen güvenlik uyarılarını tek bir kontrol panelinde toplar.
  • Otomatik Korelasyon: Olaylar arasındaki ilgili uyarıları otomatik olarak ilişkilendirerek bir saldırı hakkında daha zengin bağlam sağlar.
  • Kapsamlı Soruşturma: Olayların zaman çizelgesini, saldırı grafiklerini ve etkilenen varlıklar hakkında ayrıntılı bilgileri içeren derinlemesine araştırma araçları sağlar.
  • Koordineli Müdahale: Güvenlik ekiplerinin olaylara otomatik ve manuel eylemlerle merkezi olarak müdahale etmesine olanak tanır.
  • Müdahale Otomasyonu (SOAR): Olaylara müdahale görevlerini otomatikleştirmek için SOAR yetenekleriyle entegre olur ve ortalama müdahale süresini (MTTR) azaltır.

Önkoşullar

Microsoft 365 Defender portalıyla olayları gerçek zamanlı olarak izlemek için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Portala erişim ve algılama yeteneklerini içeren Microsoft 365 Defender ürünlerine (ör. Microsoft 365 E5 Security, Microsoft 365 E5) yönelik uygun lisanslar [3].
  2. Yönetim Erişimi: Microsoft 365 Defender portalında (https://security.microsoft.com) Güvenlik Yöneticisi, Güvenlik Operatörü veya Güvenlik Okuyucusu izinlerine sahip bir hesap.
  3. Active Defender Ürünleri: Defender ürünlerinden en az biri (Endpoint için Defender, Office 365 için Defender, Identity için Defender, Bulut Uygulamaları için Defender) etkin olmalı ve uyarı oluşturacak şekilde yapılandırılmış olmalıdır.
  4. Bağlı Veri Kaynakları: Güvenlik verileri ilgili Defender ürünleri tarafından alınmalı ve izlenmelidir.

Adım Adım: Olayları İzleme ve Yönetme

Olay izleme ve yönetimine yönelik Microsoft 365 Defender portal arayüzünü ve temel işlevlerini inceleyelim.

1. Microsoft 365 Defender Portalına Erişim

  1. Tarayıcınızı açın ve "https://security.microsoft.com" adresine gidin.
  2. Gerekli izinlere sahip bir hesapla oturum açın.

2. Olay Sırasında Gezinme

Olay kuyruğu SecOps ekiplerinin merkezi noktasıdır. Bir saldırının bağlamsal bir görünümünü sağlamak için ilgili uyarıların bir araya toplandığı yer burasıdır.

  1. Sol gezinme bölmesinde Olaylar ve Uyarılar > Olaylar'ı seçin.
  2. Olay kuyruğu, algılanan tüm olayların bir listesini ciddiyet, durum, etkilenen varlıklar ve son etkinlik gibi bilgilerle birlikte görüntüleyecektir.

3. Belirli Bir Olayı Analiz Etmek

Bir olaya tıkladığınızda ilgili tüm uyarıları, cihazları, cihazları içeren ayrıntılı bir görünüme erişebileceksiniz.etkilenen kullanıcılar, kullanıcılar ve dosyalar.

  1. Olay kuyruğunda, ayrıntılar sayfasını açmak için olayın Adını tıklayın.
  2. Olay ayrıntıları sayfası birkaç sekmeden oluşur:
    • Genel Bakış: Olayın ciddiyeti, durumu, sınıflandırması, etkilenen kullanıcılar ve cihazlar dahil olmak üzere bir özetini sağlar.
    • Uyarılar: Bu olayla ilişkili tüm uyarıları listeler. Özel ayrıntılarını görmek için her uyarıya tıklayabilirsiniz.
    • Cihazlar: Olaya karışan tüm cihazları gösterir.
    • Kullanıcılar: Etkilenen veya dahil olan kullanıcıları listeler.
    • Posta Kutuları: Etkilenen posta kutularını gösterir (Office 365 için Defender uyarıları varsa).
    • İncelemeler: Olaya yanıt olarak başlatılan otomatik incelemeleri görüntüler.
    • Kanıt ve yanıt: Toplanan kanıtları (dosyalar, IP'ler, URL'ler) ve önerilen veya gerçekleştirilen yanıt eylemlerini sunar.
    • Grafik: Saldırı zincirinin, uyarılar, varlıklar ve olaylar arasındaki ilişkiyi gösteren görsel bir temsili.

4. Olay Yaşam Döngüsünü Yönetmek

Olay yönetimi atamayı, sınıflandırmayı ve çözümlemeyi içerir.

  1. Olay Ata: Olay ayrıntıları sayfasındaki Genel Bakış bölümünde, olayı belirli bir analiste atayabilirsiniz. Şuraya ata'yı tıklayın ve bir kullanıcı seçin.
  2. Durumu Değiştir: Soruşturma ilerledikçe olayın Durumunu değiştirin (ör. "Yeni", "Devam Ediyor", "Çözüldü").
  3. Olayı Sınıflandırın: Bir olayı çözerken, öğrenme ve raporlama amacıyla onu sınıflandırmanız gerekir. Sınıflandırma'ya tıklayın ve şunu seçin:
    • 'Gerçek Olumlu' (eğer gerçek bir tehdit ise)
    • 'Yanlış Pozitif' (yanlış bir uyarı ise)
    • 'Beklenen etkinlik' (uyarıyı tetikleyen yasal etkinlikse)
    • Çözümü belgelemek için bir Yorum ekleyin.
  4. Yorum Ekle: Araştırma adımlarını, bulguları ve gerçekleştirilen eylemleri kaydetmek için Yorumlar ve Geçmiş bölümünü kullanın.

5. Yanıt Eylemlerini Gerçekleştirme

İncelemeye bağlı olarak yanıt eylemlerini doğrudan portaldan gerçekleştirebilirsiniz.

  1. Olaydaki Cihazlar veya Kullanıcılar sekmesinde etkilenen bir varlığı (ör. cihaz) seçin.
  2. Mevcut eylemler şunları içerir:
    • Cihazı izole et: Tehdidi kontrol altına almak için cihazın ağ bağlantısını keser.
    • Uygulama yürütmeyi kısıtla: Yetkisiz uygulamaların çalışmasını engeller.
    • Antivirüs Taramasını Çalıştır: Cihazın tam taramasını başlatır.
    • İnceleme paketini topla: Cihazdan günlükleri ve adli verileri toplar.
    • Kullanıcıyı devre dışı bırak: Azure AD'de kullanıcı hesabını devre dışı bırakır.
    • Kullanıcı şifresini sıfırla: Kullanıcı şifresinin sıfırlanmasını zorlar.

Doğrulama ve Test Etme

Olay izlemeyi doğrulamak için bir saldırı senaryosunu simüle etmek ve Microsoft 365 Defender portalının bunu doğru şekilde algılayıp ilişkilendirdiğini doğrulamak önemlidir.

1. Bir Saldırıyı Simüle Edin (Örnek: EICAR Testi)

Kötü amaçlı yazılım tespitini simüle etmek için EICAR (Avrupa Bilgisayar Antivirüs Araştırma Enstitüsü) dosyasını kullanın (Makale 1 - Uç Nokta için Defender'da açıklandığı gibi).

  1. Defender for Endpoint'in yerleşik olduğu bir cihazda bir EICAR dosyası (https://www.eicar.org/download/eicar.com.txt) indirmeyi veya oluşturmayı deneyin.
  2. Defender for Endpoint dosyayı algılamalı ve engellemelidir.
  3. Microsoft 365 Defender portalında Olaylar ve uyarılar > Uyarılar'a gidin.
  4. EICAR algılamasıyla ilgili bir uyarı görmelisiniz.
  5. Bu uyarının mevcut bir olayla ilişkilendirilip ilişkilendirilmediğini veya yeni bir olayın oluşturulup oluşturulmadığını doğrulayın.

2. Tepki Süresini ve Korelasyonu Kontrol Edin

Simülasyondan sonra bir uyarının oluşturulması ve bir olayla ilişkilendirilmesi için geçen süreyi gözlemleyin. Bu, gerçek zamanlı izlemenin etkinliğini anlamanıza yardımcı olur.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Tüm Kaynakları Entegre Edin: En eksiksiz görünüm ve en iyi olay korelasyonu için mümkün olduğunca çok sayıda Defender veri kaynağını ve ürününü Microsoft 365 Defender portalına bağlayın.
  • Görev ve Sorumlulukları Tanımlayın: Olayları izlemek, araştırmak ve müdahale etmekten kimin sorumlu olduğunu açıkça belirleyin.
  • Basit Yanıtları Otomatikleştirin: Kaynakları kullanınDüşük önem derecesine sahip uyarı türlerine otomatik olarak yanıt vermek veya yüksek önem derecesine sahip uyarılar hakkında ek bilgi toplamak için otomasyon araçları (başvuru kitapları).
  • Güncel Kalın: Platform sürekli olarak geliştirilirken Microsoft 365 Defender'daki yeni özellikler ve yeteneklerle güncel kalın.
  • Sürekli Eğitim: SecOps ekibinizin en yeni araçlara ve saldırı taktiklerine aşina olması için eğitime yatırım yapın.
  • Simülasyon Egzersizleri: Süreçlerinizin ve araçlarınızın etkinliğini test etmek için düzenli olarak olay simülasyonu egzersizleri yapın.

Genel Sorun Giderme

  • Uyarılar portalda görünmüyor: İlgili Defender ürünlerinin etkin ve doğru şekilde yapılandırıldığını doğrulayın. Veri bağlayıcılarınızın çalıştığından ve günlük gönderdiğinden emin olun. Bireysel Defender ürünlerindeki algılama kuralı ayarlarını kontrol edin.
  • Olaylar arasında ilişkisiz uyarılar: Microsoft 365 Defender otomatik olarak ilişkilendirilir. İlgili uyarılar bir arada gruplandırılmıyorsa günlük alımında gecikme olabilir veya bağlamsal bilgiler (kullanıcı, cihaz, IP) otomatik korelasyon için yeterli olmayabilir. Denetim günlüklerini ve besleme süresini kontrol edin.
  • Portal performans sorunları: Tarayıcınızın önbelleğini temizleyin, farklı bir tarayıcı kullanmayı deneyin veya ağ bağlantınızı kontrol edin. Büyük veri hacimlerinde arayüzün yüklenmesi biraz zaman alabilir.
  • Yanıt eylemleri başarısız: Eylemi gerçekleştirmeye çalışan hesabın izinlerini kontrol edin. Hedef cihazın veya kullanıcının çevrimiçi olduğundan ve Defender hizmetleri tarafından erişilebilir olduğundan emin olun.

Sonuç

Microsoft 365 Defender portalı, etkili bir proaktif ve reaktif güvenlik stratejisi arayan tüm kuruluşlar için vazgeçilmez bir araçtır. Olay izlemeyi merkezileştirerek, birden fazla kaynaktan gelen uyarıları ilişkilendirerek ve kapsamlı araştırma ve yanıt yetenekleri sağlayarak SecOps ekiplerine ortamlarını gerçek zamanlı koruma gücü verir. Bu platformu uygulamak ve etkili bir şekilde kullanmak yalnızca tehdit görünürlüğünü artırmakla kalmaz, aynı zamanda yanıt süresini de önemli ölçüde azaltarak kuruluşun en karmaşık saldırılara karşı siber direncini güçlendirir.

Referanslar:

[1] Microsoft Learn. Microsoft 365 Defender Portalı. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] Microsoft Learn. Microsoft 365 Defender'daki olaylara genel bakış. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] Microsoft Learn. Microsoft 365 Defender lisanslama gereksinimleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide