Saldırı yollarını tanımlama ve düzeltme

Defender for Cloud, çoklu bulut ortamınıza özgü olası saldırı yollarını bulmak için özel durum algoritması kullanır. Defender for Cloud, geniş senaryolar yerine gerçek, dışarıdan yönlendirilebilen ve kötüye kullanılabilir tehditlere odaklanır. Algoritma, kuruluşunuzun dışından başlayan ve iş açısından kritik hedeflere ilerleyen saldırı yollarını algılayarak gürültüyü azaltmanıza ve daha hızlı işlem yapmanıza yardımcı olur.

Anında tehdit oluşturan ve ortamınızda en büyük kötüye kullanım potansiyeline sahip olan güvenlik sorunlarını gidermek için saldırı yolu analizini kullanabilirsiniz. Bulut için Defender, saldırganların ortamınızı ihlal etmek için kullanabileceği dışarıdan kullanıma sunulan saldırı yollarının hangi güvenlik sorunlarının bir parçası olduğunu analiz eder. Ayrıca bu sorunları azaltmak için çözmeniz gereken güvenlik önerilerini de vurgular.

Varsayılan olarak saldırı yolları risk düzeyine göre düzenlenir. Risk düzeyi, her kaynağın risk faktörlerini dikkate alan bağlama duyarlı bir risk önceliklendirme altyapısı tarafından belirlenir. Defender for Cloud'un güvenlik önerilerini nasıl önceliklendirdiği hakkında daha fazla bilgi edinin.

Prerequisites

  • Defender Bulut Güvenliği Duruş Yönetimi (CSPM) etkinleştirilmeli ve aracısız tarama etkin olmalıdır.

  • Gerekli roller ve izinler: Güvenlik Okuyucusu, Güvenlik Yöneticisi, Okuyucu, Katkıda Bulunan veya Sahip.

Note

Boş bir Saldırı Yolu sayfası görebilirsiniz; saldırı yolları artık geniş senaryolar yerine gerçek, dışarıdan yönlendirilebilen ve kötüye kullanılabilir tehditlere odaklanıyor. Bu, gürültüyü azaltmaya ve yakın riskleri önceliklendirmeye yardımcı olur.

Kapsayıcılarla ilgili saldırı yollarını görüntülemek için:

Saldırı yollarını belirleme

Ortamınız için en büyük riskleri bulmak ve bunları düzeltmek için Saldırı yolu analizini kullanabilirsiniz.

Saldırı yolu sayfasında tüm saldırı yollarınıza genel bir bakış gösterilir. Ayrıca etkilenen kaynaklarınızı ve etkin saldırı yollarının listesini de görebilirsiniz.

Örnek saldırı yolu giriş sayfasının ekran görüntüsü.

Azure portalında saldırı yollarını belirlemek için:

  1. Azure portalınaoturum açın.

  2. Microsoft Defender for Cloud>Saldırı yol analizi sayfasına gidin.

    Ana ekrandaki saldırı yolu analiz sayfasını gösteren ekran görüntüsü.

  3. Bir saldırı yolu seçin.

  4. Bir düğüm seçin.

    Düğümlerin seçim için nerede bulunduğunu gösteren saldırı yolu ekranına ait bir ekran görüntüsü.

    Note

    Özellikle abonelikler arasında sınırlı izinleriniz varsa tam saldırı yolu ayrıntılarını göremeyebilirsiniz. Bu, hassas verileri korumak için tasarlanmış beklenen bir davranıştır. Tüm ayrıntıları görüntülemek için gerekli izinlere sahip olduğunuzdan emin olun.

  5. İçgörüler düğmesini seçerek, ilgili düğümün içgörülerini görüntüleyin.

    Belirli bir düğüm için içgörüler sekmesinin ekran görüntüsü.

  6. Öneriler seçeneğini belirleyin.

    Ekranda önerilerin nerede seçildiğini gösteren ekran görüntüsü.

  7. Bir öneri seçin.

  8. Öneriyi düzeltin.

Defender portalında saldırı yollarını belirlemek için:

  1. Microsoft Defender portalında oturum açın.

  2. Pozlama Yönetimi>Saldırısı yüzeyi>Saldırı yolları'na gidin. Saldırı yollarınıza genel bir bakış görürsünüz.

    Saldırı yolları deneyimi birden çok görünüm sağlar:

    • Genel bakış sekmesi: Zaman içindeki saldırı yollarını, ilk 5 boğulma noktası, ilk 5 saldırı yolu senaryolarını, en iyi hedefleri ve en üst giriş noktalarını görüntüleme
    • Saldırı yolları listesi: Gelişmiş filtreleme özelliklerine sahip tüm saldırı yollarının dinamik, filtrelenebilir görünümü
    • Tıkanma noktaları: Birden çok saldırı yolunun yakınsadığı ve yüksek riskli tıkanma noktaları olarak işaretlenen düğüm noktalarının listesi

    Defender portalında saldırı yoluna genel bakışı gösteren ekran görüntüsü.

    Note

    Defender portalında saldırı yolu analizi, diğer Microsoft güvenlik çözümleri ve birleşik olay bağıntısıyla gelişmiş tümleştirme sağlayan daha geniş Pozlama Yönetimi özelliklerinin bir parçasıdır.

  3. Saldırı yolları sekmesini seçin.

    Defender portalındaki saldırı yolu sayfasını gösteren ekran görüntüsü.

  4. Belirli saldırı yollarına odaklanmak için Saldırı yolları listesinde gelişmiş filtrelemeyi kullanın:

    • Risk düzeyi: Yüksek, Orta veya Düşük riskli saldırı yollarına göre filtreleme
    • Varlık türü: Belirli kaynak türlerine odaklanma
    • Düzeltme durumu: Çözümlenen, devam eden veya bekleyen saldırı yollarını görüntüleme
    • Zaman çerçevesi: Belirli zaman aralıklarına göre filtreleme (örneğin, son 30 gün)
  5. Saldırı Yolu Haritası'nı görüntülemek için bir saldırı yolu seçin; graf tabanlı bir görünüm vurgulanır:

    • Güvenlik açığı olan düğümler: Güvenlik sorunları olan kaynaklar
    • Giriş noktaları: Saldırıların başlayabildiği dış erişim noktaları
    • Hedef varlıklar: Saldırganların ulaşmaya çalıştığı kritik kaynaklar
    • Boğulma noktaları: Birden çok saldırı yolunun kesiştiği yakınsama noktaları
  6. Ayrıntılı bilgileri araştırmak için bir düğüm seçin:

    Defender portalında düğüm seçimini gösteren saldırı yolu ekranının ekran görüntüsü.

    Note

    Özellikle abonelikler arasında sınırlı izinleriniz varsa tam saldırı yolu ayrıntılarını göremeyebilirsiniz. Bu, hassas verileri korumak için tasarlanmış beklenen bir davranıştır. Tüm ayrıntıları görüntülemek için gerekli izinlere sahip olduğunuzdan emin olun.

  7. Şunları içeren düğüm ayrıntılarını gözden geçirin:

    • MITRE ATT&CK taktikleri ve teknikleri: Saldırı metodolojisini anlama
    • Risk faktörleri: Risklere katkıda bulunan çevresel faktörler
    • İlişkili öneriler: Sorunu azaltmak için güvenlik iyileştirmeleri
  8. İçgörüler düğmesini seçerek, ilgili düğümün içgörülerini görüntüleyin.

  9. Düzeltme durumu izleme ile eyleme dönüştürülebilir yönergeleri görmek için Öneriler'i seçin.

    Defender portalında önerilerin seçileceği yeri gösteren ekran görüntüsü.

  10. Bir öneri seçin.

  11. Öneriyi düzeltin.

    Bir saldırı yolu araştırmanızı tamamladıktan ve ilişkili tüm bulguları ve önerileri gözden geçirdikten sonra, saldırı yolunu düzeltmeye başlayabilirsiniz.

  12. Öneriyi düzeltin.

Bir saldırı yolu çözümlendikten sonra, bir saldırı yolunun listeden kaldırılması 24 saat kadar sürebilir.


Saldırı yollarını düzeltme

Bir saldırı yolu araştırmanızı tamamladıktan ve ilişkili tüm bulguları ve önerileri gözden geçirdikten sonra, saldırı yolunu düzeltmeye başlayabilirsiniz.

Azure portalında bir saldırı yolunu düzeltmek için:

  1. Microsoft Defender for Cloud>Saldırı yol analizi sayfasına gidin.

  2. Bir saldırı yolu seçin.

  3. Düzeltme'yi seçin.

    Düzeltmeyi nerede seçeceğinizi gösteren saldırı yolunun ekran görüntüsü.

  4. Bir öneri seçin.

  5. Öneriyi düzeltin.

Bir saldırı yolu çözümlendikten sonra, bir saldırı yolunun listeden kaldırılması 24 saat kadar sürebilir.

Bir saldırı yolu içindeki tüm önerileri düzeltin

Saldırı yolu analizi, her düğümü ayrı ayrı denetlemek zorunda kalmadan tüm önerileri saldırı yoluna göre görme olanağı sağlar. Her düğümü ayrı ayrı görüntülemek zorunda kalmadan tüm önerileri çözümleyebilirsiniz.

Düzeltme yolu iki tür öneri içerir:

  • Öneriler - Saldırı yolunu azaltan öneriler.
  • Ek öneriler - Sömürü risklerini azaltan ancak saldırı yolunu azaltmayan öneriler.

Azure portalındaki tüm önerileri çözümlemek için:

  1. Azure portalınaoturum açın.

  2. Microsoft Defender for Cloud>Saldırı yol analizi sayfasına gidin.

  3. Bir saldırı yolu seçin.

  4. Düzeltme'yi seçin.

    Saldırı yollarının önerilerin tam listesini görmek için ekranda nerede seçileceği gösteren ekran görüntüsü.

  5. Ek önerileri genişletin.

  6. Bir öneri seçin.

  7. Öneriyi düzeltin.

Bir saldırı yolu çözümlendikten sonra, bir saldırı yolunun listeden kaldırılması 24 saat kadar sürebilir.

Defender portalındaki tüm önerileri çözümlemek için:

  1. Microsoft Defender portalında oturum açın.

  2. Pozlama Yönetimi>Saldırı yolu analizi'ne gidin.

  3. Bir saldırı yolu seçin.

  4. Düzeltme'yi seçin.

    Note

    Defender portalı, düzeltme ilerleme durumunun daha iyi izlenmesini sağlar ve düzeltme etkinliklerini daha geniş güvenlik operasyonları ve olay yönetimi iş akışlarıyla ilişkilendirebilir.

  5. Ek önerileri genişletin.

  6. Bir öneri seçin.

  7. Öneriyi düzeltin.

Bir saldırı yolu çözümlendikten sonra, bir saldırı yolunun listeden kaldırılması 24 saat kadar sürebilir.


Gelişmiş pozlama yönetimi özellikleri

Defender portalı, tümleşik Maruz Kalma Yönetimi çerçevesi aracılığıyla saldırı yolu analizi için ek özellikler sağlar:

  • Birleşik olay bağıntısı: Saldırı yolları, Microsoft güvenlik ekosistemi genelindeki güvenlik olaylarıyla otomatik olarak ilişkilendirilir.
  • Ürünler arası içgörüler: Saldırı yolu verileri Uç Nokta için Microsoft Defender, Microsoft Sentinel ve diğer Microsoft güvenlik çözümlerinin bulgularıyla tümleştirilir.
  • Gelişmiş tehdit bilgileri: Saldırı düzenlerini ve aktör davranışlarını daha iyi anlamak için Microsoft tehdit bilgileri akışlarından geliştirilmiş bağlam.
  • Tümleşik düzeltme iş akışları: Birden çok güvenlik aracında otomatik yanıtları tetikleyebilen kolaylaştırılmış düzeltme işlemleri.
  • Yönetici raporlaması: İş etkisi değerlendirmeleriyle güvenlik liderliği için gelişmiş raporlama özellikleri.

Bu özellikler, güvenlik duruşunuzun daha kapsamlı bir görünümünü sağlar ve saldırı yolu analiziyle tanımlanan olası tehditlere daha etkili yanıt vermenizi sağlar.

Bulut için Defender'da saldırı yolları hakkında daha fazla bilgi edinin.


Sonraki adım