Microsoft 365 Defender Gelişmiş Avlanma
Dijital dönüşüm iş hayatında verimlilik ve üretkenliği arttırmanın yanı sıra güvenlik gibi bazı sorumlulukları da karşımıza çıkarmaktadır. Aslında dijitalleşen dünya da güvenlik birbirini tamamlayan kavramlardır. Haliyle sunulan teknolojilerin kullanımının yanı sıra güvenlik çözümleri de önemli noktadır. Teknolojiler incelenirken güvenlik, gizlilik ve regülasyon gereksinimlerini karşılaması gerekir.
Microsoft, kullanıcılara sunduğu teknolojilerde güvenlik ile ilgili uçtan uca deneyim yaşamalarını sağlamayı hedeflemiştir. Bunun ile ilgili birçok teknolojiyi sunmanın yanı sıra yeniliklerle de gelişen ve değişen iş hayatında kullanıcılara birçok çözüm sunar. Microsoft kimlik ve erişim yönetimi, cihaz ve uygulama yönetimi, tehdit koruması, bilgi koruması, güvenlik yönetimi ve gelişmiş uyumluluk çözümleri ile güvenlik kontrolü için gerekli olan saldırıların önlenmesi, tespit edilmesi ve saldırıya cevap verilmesine olanak sağlayan, analizler ve öngörülen sunan siber tehditlere karşı yanıt verilmesi ve mücadele edilmesini sağlar.
Microsoft 365 Defender, gelişmiş saldırılara entegre koruma sağlamak için uç noktalar, kimlikler, e-postalar ve uygulamalar arasında saldırıları algılama, önleme, soruşturma ve yanıtları yerel olarak koordine eden ihlal öncesi ve sonrasında koruma sağlayan Microsoft’un güvenlik paketidir. Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identitiy ve Microsoft Cloud App Security, Microsoft Defender hizmetleri olup, bu hizmetlerin uçtan uca entegrasyonu ile herbir hizmetten alınan tehdit sinyalleri bir araya getirilerek tehdite dair tüm kapsam incelemeleri, etkileri, nereleri etkilediği ve nereleden girdiği gibi birçok bilgiye erişim sağlanır ve saldırının önlenmesi, durdurulması ve etkilenen postala kutuları, uç noktalar ya da kullanıcı kimlik bilgileri ile iyileştirmeler otomatik devreye girer. Microsoft Defender ile ilgili detaylı bilgilere ilgili linkten erişim sağlanır.
Microsoft 365 Defender’daki “Gelişmiş Avlanma” özelliği de 30 güne kadar olan ham verilerin keşfedilmesine olanak sağlayan tehdit avı aracıdır. Kusto Query Language (KQL) dili kullanılarak sorgular yapılır ve tehdit etkinlikleri proaktif olarak bulunur. Microsoft Defender for Endpoint tarafından yönetilen cihazlar, Microsoft 365 tarafından işlenen e-postalar, Microsoft Cloud App Security ve Microsoft Defender for Identity tarafından izlenen bulut uygulamalarının etkinlikleri, kimlik doğrulama etkinlikleri ve etki alanı denetleyici etkinlikleri ile ilgili veriler sorgulanır, verilere esnek erişim sağlanır. Böylelikle bilinen ve potansiyel tehditler için sınıflandırılmamış avlanmalar tespit edilir. Bu yetenekler doğrultusunda, e-posta veya web’e gelen saldırıları farklı noktalardan tehditler hızla avlanır, ayrıcalıklar yükseltilebilir, kimlik bilgilerine erişim sağlanır ve aygıtlarda hareketler edilebilir. “Gelişmiş Avlanma” verileri olay veya etkinlik verileri ve varlık verileri olmak üzere iki türe ayrılır. Olay veya etkinlik verileri, güvenlik olaylarını, uyarıları, sistem olaylarını ve rutin değerlendirmeler ile ilgili tablolarda kullanılır. Gelişmiş avlanma, bu verileri sensörler topladıktan sonra işleyebilir. Varlık verileri kullanıcılar ve cihazlar hakkındaki tablolarda kullanılır. Active Directory ve event loğları gibi statik ve dinamik kaynaklardan gelen verileri toplar.15 dakikada bir buradaki veriler güncelleştirilir. Veriler ilgili Kusto sorguları ile avlanırlar. Yapılan sorgular ile daha sonrasında daha fazla bilgi edinmek ve etkinlikleri ve göstergeleri araştırmak için sorgu sonuçları üzerinde çalışmalar yapılır. Sonuçlar tablo, grafikler olarak görüntülenebilir. Tablolar ve grafikler dışa aktarılabilir, gerekli filtreler ile aranan sonuçlara doğrudan erişim sağlanır. Varlık bilgileri ile detaylı bilgilere de ulaşarak sorgu sonuçları üzerinde çalışmalar yapılabilir.
Sorgu sonuçları ile analizler yapıldıktan sonra cihazlar üzerinde aksiyonlar ya da karantina işlemleri uygulanabilir. Cihazlar üzerinde alınabilecek aksiyon örnekleri saldırı olan cihazların izole edilerek saldırı hareketlerinin önüne geçilebilir, cihazlar üzerinde virüs koruma k için taramalar gerçekleştirilebilir. Aynı zamanda karantina eylemi dosyalara dağıtılır ve böylece eylem ile karşılaşıldığında otomatik olarak karantinaya alınır. Bu ve buna benzer birçok özellik ile kullanıcıların siber tehditleri tespit etmesi, saldırıları analiz etmesi ve saldırıya karşı önlem alınmasına olanak sağlayan “Gelişmiş Avlanma” ile ilgili detaylı bilgilere ilgili linkten erişim sağlanır.
