Tehdit Algılama ve Yanıtı (TDR) nedir?
Tehdit algılama ve yanıt ile siber güvenlik risklerini proaktif bir şekilde belirleyip azaltarak kuruluşunuzun varlıklarını korumayı öğrenin.
Tehdit algılama ve yanıtı (TDR) tanımı
Tehdit algılama ve yanıt, bir kuruluşun dijital varlıklarına yönelik siber tehditleri belirlemeye ve bunları mümkün olan en kısa sürede azaltmaya yönelik adımların atıldığı bir siber güvenlik sürecidir.
Tehdit algılama ve yanıtı nasıl çalışır?
Siber tehditlerin ve diğer güvenlik sorunlarının çözümü için birçok kuruluş bir Güvenlik işlemleri merkezi (SOC) kurar. Bu merkez, bir kuruluşun siber güvenlik duruşunu geliştirmekten ve tehditleri önlemek, algılamak ve bunlara yanıt vermekten sorumludur. SOC, devam eden siber saldırıları izlemenin ve bunlara yanıt vermenin yanı sıra, ortaya çıkan siber tehditleri ve kurumsal güvenlik açıklarını belirlemek için proaktif bir çalışma da yapar. Şirket içinde veya dış kaynaklı olan SOC ekiplerinin çoğu haftanın yedi günü, günün her saatinde çalışır.
SOC teşebbüs edilen, başarılı veya devam eden bir ihlali ortaya çıkarmak için tehdit analizini ve teknolojiyi kullanır. Bir siber tehdit tanımlandığında güvenlik ekibi, sorunu ortadan kaldırmak veya azaltmak için tehdit algılama ve yanıt araçlarını kullanır.
Tehdit algılama ve yanıt genellikle aşağıdaki aşamaları içerir:
- Algılama. Uç noktaları, kimlikleri, ağları, uygulamaları ve bulutları izlemek için kullanılan güvenlik araçları, riskleri ve olası ihlalleri gidermeye yardımcı olur. Güvenlik uzmanları, algılamadan kaçan karmaşık siber tehditleri ortaya çıkarmak için siber tehdit avcılığı tekniklerini de kullanabilir.
- Araştırma. Bir risk belirlendikten sonra SOC, siber girişimin gerçek olduğunu doğrulamak, bunun nasıl olduğunu belirlemek ve etkilenen şirket varlıklarını değerlendirmek için yapay zeka ve diğer araçları kullanır.
- Kapsama. Siber saldırının yayılmasını durdurmak için siber güvenlik ekipleri ve otomatik araçlar, etkilenen cihazları, kimlikleri ve ağları kuruluşun geri kalan varlıklarından yalıtır.
- Ortadan Kaldırma. Ekipler, kötü aktörü tamamen ortamdan çıkarma hedefiyle bir güvenlik olayına neden olan kök nedeni ortadan kaldırır. Ayrıca, kuruluşu benzer bir siber saldırı riskiyle karşı karşıya getirebilecek güvenlik açıklarını da azaltır.
- Kurtarma. Ekipler siber güvenlik açığı veya güvenlik açığının ortadan kaldırıldığından emin olduktan sonra yalıtılmış sistemleri yeniden çevrimiçi duruma getirir.
- Rapor. Güvenlik ekipleri, olayın önem derecesine bağlı olarak ne olduğunu ve nasıl çözümlendiğini belgeleyerek liderleri, yöneticileri ve/veya yönetim kurulunu bilgilendirir.
- Risk azaltma. Benzer bir ihlalin tekrar yaşanmasını önlemek ve gelecekte yanıtı iyileştirmek için ekipler olayı araştırıp ortamda ve süreçlerde yapılan değişiklikleri tespit eder.
Tehdit algılama nedir?
Kuruluşların bulut ayak izini genişletmesi, daha fazla cihazı internete bağlaması ve hibrit bir çalışma ortamına geçmesi nedeniyle siber tehditleri belirlemek giderek daha zor bir hale geldi. Kötü aktörler, bu genişleyen yüzey alanından ve güvenlik araçlarının parçalanmasından aşağıdaki taktik türleriyle faydalanır:
- Kimlik avı kampanyaları. Kötü aktörlerin bir şirkete sızmasının en yaygın yollarından biri, çalışanları kötü amaçlı kod indirmeleri veya kimlik bilgilerini sağlamaları için kandırmaya yönelik e-postalar göndermektir.
- Kötü amaçlı yazılım. Birçok siber saldırgan bilgisayarlara ve sistemlere zarar vermek veya hassas bilgiler toplamak için tasarlanmış yazılımlar dağıtır.
- Fidye yazılımı. Bir tür kötü amaçlı yazılım olan fidye yazılımı saldırganları, kritik sistemleri ve verileri rehin tutar ve fidye ödenene kadar özel verileri açığa çıkarmakla veya bitcoin madenciliği yapmak için bulut kaynaklarını çalmakla tehdit eder. Son zamanlarda, bir grup siber saldırganın bir kuruluşun tüm ağına erişim sağladığı, insan tarafından işletilen fidye yazılımları, güvenlik ekipleri için giderek büyüyen bir sorun haline geldi.
- Dağıtılmış hizmet engelleme (DDoS) saldırısı. Kötü aktörler bir dizi bot kullanarak bir web sitesine veya hizmete yoğun trafik sağlayarak kesintiye uğratır.
- İç tehdit. Siber tehditlerin tümü kuruluşun dışından gelmez. Ayrıca hassas verilere erişimi olan güvenilir kişilerin yanlışlıkla veya kötü niyetli olarak kuruluşa zarar verme riski de vardır.
- Kimlik tabanlı saldırılar. Çoğu ihlal, siber saldırganların kullanıcı kimlik bilgilerini çalması veya tahmin etmesi ve bunları bir kuruluşun sistemlerine ve verilerine erişim elde etmek için kullandığı risk altındaki kimlikleri içerir.
- Nesnelerin İnterneti (IoT) saldırıları. IoT cihazları da, özellikle modern cihazların yerleşik güvenlik denetimlerine sahip olmayan eski cihazlar, siber saldırılara karşı savunmasızdır.
- Tedarik zinciri saldırıları. Bazen kötü bir aktör, üçüncü taraf satıcı tarafından sağlanan yazılım veya donanıma müdahale ederek bir kuruluşu hedefler.
- Kod ekleme. Siber suçlular, kaynak kodun dış verileri işleme biçimindeki güvenlik açıklarını kötüye kullanarak bir uygulamaya kötü amaçlı kodlar ekler.
Tehditleri algılama
Kuruluşlar, artan siber güvenlik saldırılarının önüne geçmek için güvenlik gereksinimlerini tanımlamak, güvenlik açıklarını ve riskleri belirlemek ve iyileştirmeyi önceliklendirmek için tehdit modellemeyi kullanır. SOC, kuramsal senaryoları kullanarak siber suçlar hakkında bilgi edinerek kuruluşun güvenlik olaylarını önleme veya azaltma becerisini geliştirmeyi dener. MITRE ATT&CK® altyapısı, yaygın siber saldırı tekniklerini ve taktiklerini anlamak için kullanışlı bir modeldir.
Çok katmanlı bir savunma, ortamın sürekli gerçek zamanlı izlenmesini sağlayan ve olası güvenlik sorunlarını ortaya çıkaran araçlar gerektirir. Çözümlerin de örtüşmesi gerekir, böylece bir algılama yöntemi risk altında olduğunda, ikinci yöntem sorunu algılayıp güvenlik ekibine bildirir. Siber tehdit algılama çözümleri, tehditleri belirlemek için aşağıdakiler de dahil olmak üzere çeşitli yöntemler kullanır:
- İmza tabanlı algılama. Birçok güvenlik çözümü, belirli bir kötü amaçlı yazılım türüyle ilişkili benzersiz imzaları belirlemek için yazılımı ve trafiği tarar.
- Davranış tabanlı algılama. Güvenlik çözümleri, yeni ve ortaya çıkan siber tehditleri yakalamanıza yardımcı olmak için siber saldırılarda yaygın olan eylem ve davranışları da arar.
- Anomali tabanlı algılama. Yapay zeka ve analiz, ekiplerin; kullanıcıların, cihazların ve yazılımların tipik davranışlarını anlamasına yardımcı olur. Böylece, siber saldırıyı işaret edebilecek olağan dışı bir şeyi tespit eder.
Yazılım kritik öneme sahip olsa da, siber tehdit algılamada insanlar da aynı derece önemli bir rol oynar. Analistler, sistem tarafından oluşturulan uyarıları önceliklendirme ve araştırmanın yanı sıra siber tehdit avcılığı tekniklerini kullanarak güvenlik ihlali göstergelerini proaktif olarak arar veya olası bir tehdit gösteren taktikler, teknikler ve prosedürler arar. Bu yaklaşımlar SOC'nin karmaşık ve algılanması zor saldırıları hızlıca ortaya çıkarmasına ve durdurmasına yardımcı olur
Tehdit yanıtı nedir?
Güvenilir bir siber tehdit belirlendikten sonra tehdit yanıtı, SOC'nin bunu kontrol altına almak ve ortadan kaldırmak, kurtarmak ve benzer bir saldırının yeniden gerçekleşme olasılığını azaltmak için gerçekleştirdiği tüm eylemleri içerir. Pek çok şirket, organize olmanın ve hızlı hareket etmenin kritik önem taşıdığı potansiyel bir ihlal sırasında onlara rehberlik edecek bir olay yanıtı geliştirir. İyi bir olay yanıtı planı, belirli tehdit türleri, roller ve sorumluluklar için adım adım yönergeler içeren bir akış planı ve bir iletişim planı içerir.
Tehdit algılama ve yanıt bileşenleri
Kapsamlı algılama ve yanıt
Kapsamlı algılama ve yanıt (XDR) ürünleri, SOC'lerin siber tehdit yaşam döngüsünün tamamını engelleme, algılama ve yanıtlamasını basitleştirmeye yardımcı olur. Bu çözümler uç noktaları, bulut uygulamalarını, e-postayı ve kimlikleri izler. XDR çözümü bir siber tehdit algılarsa, güvenlik ekiplerini uyarır ve SOC'nin tanımladığı temellere göre belirli olaylara otomatik olarak yanıt verir.
Kimlik tehdit analizi ve yanıt
Kötü aktörler genellikle çalışanları hedeflediğinden, bir kuruluşun kimliğine yönelik tehditleri belirlemek ve bu tehditlere yanıt vermek için araçları ve süreçleri uygulamaya koymak önemlidir. Bu çözümler genellikle temel kullanıcı davranışını tanımlamak ve olası bir tehdidi temsil eden anomalileri ortaya çıkarmak için kullanıcı ve varlık davranışı analizini (UEBA) kullanır.
Güvenlik bilgileri ve olay yönetimi
Dijital ortamın tamamında görünürlük elde etmek, tehdit ortamını anlamanın birinci adımıdır. SoC ekiplerinin çoğu uç noktalar, bulutlar, e-postalar, uygulamalar ve kimlikler arasında verileri toplayan ve ilişkilendiren güvenlik bilgileri ve olay yönetimi (SIEM) çözümlerini kullanır. Bu çözümler, günlükleri ve uyarıları ilişkilendirerek olası siber tehditleri tespit etmek için algılama kurallarını ve akış planlarını kullanır. Modern SIEM'ler ayrıca siber tehditleri daha etkili bir şekilde ortaya çıkarmak için yapay zekayı kullanır ve yeni ve gelişen siber tehditleri belirleyebilmek için dış tehdit analizi akışlarını da içerir.
Tehdit analizi
Siber tehdit ortamının kapsamlı bir görünümünü elde etmek için SOC'ler uç noktalar, e-posta, bulut uygulamaları ve dış tehdit analizi kaynakları gibi çeşitli kaynaklardan gelen verileri sentezleyen ve analiz eden araçlar kullanır. Bu verilerden elde edilen içgörüler, güvenlik ekiplerinin siber saldırıya hazırlanmalarına, etkin siber tehditleri algılamalarına, devam eden güvenlik olaylarını araştırmalarına ve etkili bir şekilde yanıt vermelerine yardımcı olur.
Uç nokta algılama ve yanıt verme
Uç Nokta algılama ve yanıt (EDR) çözümleri yalnızca bilgisayarlar, sunucular, mobil cihazlar, IoT gibi uç noktalara odaklanan XDR çözümlerinin önceki bir sürümüdür. XDR çözümlerinde olduğu gibi, olası bir saldırı keşfedildiğinde bu çözümler bir uyarı oluşturur ve iyi anlaşılan bazı saldırılara otomatik olarak yanıt verir. EDR çözümleri yalnızca uç noktalara odaklandığından çoğu kuruluş XDR çözümlerine geçiş yapmaktadır.
Güvenlik açığı yönetimi
Güvenlik açığı yönetimi bilgisayar sistemlerini, ağları ve kurumsal uygulamaları güvenlik zayıflıkları açısından koruyan sürekli, proaktif ve genellikle otomatikleştirilmiş bir süreçtir. Güvenlik açığı yönetimi çözümleri güvenlik açıklarını önem derecesine ve risk düzeyine göre değerlendirir ve SOC'nin sorunları düzeltmek için kullandığı raporlamayı sağlar.
Güvenlik düzenleme, otomasyon ve yanıt
Güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümleri, iç ve dış verileri ve araçları tek bir merkezi yerde bir araya getirerek siber tehdit algılamasını ve yanıtını basitleştirmeye yardımcı olur. Ayrıca önceden tanımlanmış kurallara göre siber tehdit yanıtlarını otomatik hale getirir.
Yönetilen algılama ve yanıt verme
Tüm kuruluşlar siber tehditleri etkili bir şekilde algılayıp bunları yanıtlayacak gerekli kaynaklara sahip değildir. Yönetilen algılama ve yanıt vermeYönetilen algılama ve yanıt hizmetleri, bu kuruluşların güvenlik ekiplerini tehditleri avlamak ve uygun şekilde yanıt vermek için gereken araçlar ve kişilerle genişletmelerine yardımcı olur.
Tehdit algılama ve yanıtın önemli avantajları
Erken tehdit algılama
Siber tehditleri tam bir ihlale dönüşmeden durdurmak, bir olayın etkisini önemli ölçüde azaltmanın önemli bir yoludur. Modern tehdit algılama ve yanıt araçları ve özel bir ekiple SOC'ler, tehditlerin daha kolay ortadan kaldırılabileceği erken dönemde ortaya çıkarılma olasılığını artırır.
Yasal düzenlemelere uyumluluk
Ülkeler ve bölgeler, kuruluşların sağlam veri güvenliği önlemleri almasını ve güvenlik olaylarına yanıt vermek için ayrıntılı bir süreç oluşturmasını gerektiren katı gizlilik yasalarını çıkartmaya devam ediyor. Bu kurallara uymayan şirketler, ağır cezalarla karşı karşıya kalır. Tehdit algılama ve yanıt programı, kuruluşların bu yasaların gerekliliklerini yerine getirmesine yardımcı olur.
Daha az bekleme süresi
En zarar verici siber saldırılar, genellikle siber saldırganların dijital ortamda algılanmadan en çok zaman geçirdiği olaylardan kaynaklanır. Algılanmadan geçirilen sürenin veya bekleme süresinin azaltılması, hasarı sınırlandırma açısından kritik öneme sahiptir. Tehdit avcılığı gibi tehdit algılama ve yanıt süreçleri SOC'lerin bu kötü aktörleri hızlıca yakalamasına ve etkisini sınırlamasına yardımcı olur.
İyileştirilmiş görünürlük
SIEM ve XDR gibi tehdit algılama ve yanıt araçları, güvenlik operasyonları ekiplerine ortamları üzerinde daha fazla görünürlük kazandırmaya yardımcı olur; böylece tehditleri hızlı bir şekilde tanımlamakla kalmaz, aynı zamanda ele alınması gereken, güncel olmayan yazılımlar gibi olası güvenlik açıklarını da ortaya çıkarırlar.
Hassas verilerin korunması
Birçok kuruluş için veriler en önemli varlıklardan biridir. Doğru tehdit algılama ve yanıt araçları ve prosedürleri, güvenlik ekiplerinin hassas verilere erişmeden önce kötü aktörleri yakalamalarına yardımcı olur ve bu bilgilerin halka açık hale gelme veya karanlık ağda satılma olasılığını azaltır.
Proaktif güvenlik duruşu
Tehdit algılama ve yanıt aynı zamanda ortaya çıkan tehditlere ve kötü aktörlerin bir şirketin dijital ortamına nasıl erişim sağlayabileceğine karşı bir ışık tutar. Bu bilgilerle SOC'ler kuruluşu güçlendirebilir ve gelecekteki saldırıları önleyebilir.
Maliyet tasarrufu
Başarılı bir siber saldırı; fidyeler, mevzuat ücretleri veya kurtarma çabalarına harcanan para açısından bir kuruluş için çok pahalıya mal olabilir. Ayrıca üretkenlik ve satış kaybına da yol açabilir. Kuruluşlar, tehditleri hızla algılayıp bir siber saldırıya ilk aşamada yanıt vererek güvenlik olaylarının maliyetlerini azaltabilir.
Saygınlık yönetimi
Yüksek profilli veri ihlali bir şirket veya kamu kuruluşunun saygınlığına çok fazla zarar verebilir. İnsanlar, kişisel bilgileri koruma konusunda iyi bir iş çıkarmadığını düşündükleri kurumlara olan güvenlerini kaybeder. Tehdit algılama ve yanıt, önemli bir olayın oluşma ihtimalini azaltmaya yardımcı olabilir ve müşterilere, vatandaşlara ve diğer paydaşlara kişisel bilgilerin korunduğuna dair güvence verebilir.
Tehdit analizi ve yanıtı en iyi deneyimler
Tehdit algılama ve yanıt konusunda etkili olan kuruluşlar, ekiplerin birlikte çalışmasına ve yaklaşımlarını geliştirmesine yardımcı olan uygulamalarla etkileşim kurar ve siber saldırıların azalmasını ve daha az maliyetli olmasını sağlar.
Düzenli eğitimler yapma
Bir organizasyonu güvence altına alma konusunda en büyük sorumluluk SOC ekibine ait olsa da, şirketteki herkesin bir rolü vardır. Güvenlik olaylarının çoğu, bir çalışanın kimlik avı saldırısına kanması veya onaylanmamış bir cihaz kullanması ile başlar. Düzenli eğitim, iş gücünün olası tehditlere karşı hazırlıklı olmasına yardımcı olur, böylece güvenlik ekibine bildirimde bulunabilirler. İyi bir eğitim programı, güvenlik uzmanlarının en son araçlar, ilkeler ve tehdit yanıtı prosedürleri konusunda güncel kalmasını da sağlar.
Bir olay yanıt planı geliştirme
Güvenlik olayı insanların yalnızca durumu ele alıp düzeltmeleri için değil, aynı zamanda ilgili paydaşlara doğru güncellemeler sağlamaları için hızlı hareket etmelerini gerektiren, genel anlamda stresli bir olaydır. Olay yanıtı planı uygun bir biçimde kontrol altına alma, ortadan kaldırma ve kurtarma adımlarını tanımlayarak varsayımların bir kısmını ortadan kaldırır. Ayrıca, çalışanların ve diğer paydaşların neler olduğunu bildiklerinden ve kuruluşun ilgili düzenlemelere uyduğundan emin olmak isteyen insan kaynakları, kurumsal iletişim ve halkla iletişim sorumluları, avukatlar ve üst düzey liderlere rehberlik sağlar.
Güçlü işbirliğine olanak tanır
Yeni ortaya çıkan tehditlerden haberdar olmak ve etkili bir yanıtı koordine etmek, güvenlik ekibi üyeleri arasında iyi bir işbirliği ve iletişim gerektirir. Bireylerin, ekipteki diğer kişilerin tehditleri nasıl değerlendirdiğini, notları karşılaştırmayı ve olası sorunlar üzerinde birlikte çalışmayı anlaması gerekir. İşbirliği, tehditlerin algılanması veya yanıt verilmesinde yardımcı olabilecek şirket içindeki diğer departmanlara da genişletebilir.
Yapay Zeka Dağıtımı
Siber güvenlik için yapay zekaSiber güvenlik için yapay zeka , kuruluş genelindeki verileri sentezleyerek ekiplerin zamana odaklanmasına ve olayları hızlı bir şekilde çözmelerine yardımcı olacak içgörüler sunar. Modern SIEM ve XDR çözümleri, tek tek uyarıları olaylarla ilişkilendirmek için yapay zekayı kullanarak kuruluşların siber tehditleri daha hızlı algılamalarında yardımcı olur. Microsoft Defender XDR gibi bazı çözümler, devam eden siber saldırıları otomatik olarak engellemek için yapay zeka kullanır. Microsoft Güvenlik Copilot’uMicrosoft Security Copilotgibi çözümlerde bulunan üretken yapay zeka, SOC ekiplerinin olayları hızlı bir şekilde araştırmasına ve yanıtlamasına yardımcı olur.
Sürekli olarak geliştirme
Her gizlilik olayı bir öğrenme fırsatı sağlar. Bir güvenlik olayı çözümlendikten sonra, süreçleri güncellemek ve güvenlik açıklarını azaltmak amacıyla, neyin iyi gittiğini neyin gitmediğini değerlendirmek iyi bir uygulamadır. XDR gibi araçlar, olay sonrası güvenlik duruşu geliştirmesini yanıt işleminin bir parçası haline getirerek yardımcı olur.
Tehdit analizi ve yanıt çözümleri
Tehdit algılama ve yanıt, tüm kuruluşların zarar vermeden önce siber tehditleri bulmalarına ve gidermelerine yardımcı olması için kullanabileceği kritik bir işlevdir. Microsoft Security, güvenlik ekiplerinin siber tehditleri izlemesine, algılamasına ve yanıtlamasına yardımcı olmak için çeşitli tehdit koruma çözümleri sunar. Microsoft Defender Uzmanları, sınırlı kaynaklara sahip kuruluşlar için mevcut personeli ve araçları artırmaya yönelik yönetilen hizmetler sağlar.
Microsoft Güvenlik hakkında daha fazla bilgi edinin
Birleşik güvenlik operasyonları platformu
Birleşik bir algılama, araştırma ve yanıt deneyimiyle tüm dijital varlıklarınızı siber tehditlere karşı koruyun.
Microsoft Defender XDR
Olay düzeyinde görünürlük ve otomatik saldırı engelleme ile yanıtlarınızı hızlandırın.
Microsoft Sentinel
Akıllı güvenlik analizi ile bütün kuruluşunuzdaki siber tehditleri görüp durdurun.
XDR için Microsoft Defender Uzmanları
Yönetilen bir XDR hizmetiyle saldırganları durdurma ve gelecekteki güvenlik ihlallerini önleme konusunda yardım alın.
Microsoft Defender Güvenlik Açığı Yönetimi
Güvenlik açığı değerlendirmesi, riske dayalı önceliklendirme ve iyileştirme ile siber tehditleri azaltın.
İş için Microsoft Defender
Küçük veya orta ölçekli işletmenizi kötü amaçlı yazılım ve fidye yazılımı gibi siber saldırılardan koruyun.
Sık sorulan sorular
-
Gelişmiş tehdit algılama, güvenlik uzmanlarının gelişmiş kalıcı tehditleri ortaya çıkarmak için kullanabileceği teknikleri ve araçları içerir. Bunlar, uzun bir süre boyunca algılanmayacak şekilde tasarlanmış karmaşık tehditlerdir. Bu tehditler genellikle daha ciddidir ve casusluk veya veri hırsızlığını içerebilir.
-
Tehdit algılamanın birincil yöntemleri, güvenlik ihlali veya beklenenden sapan davranış göstergelerini bulmak için ortamdaki etkinliği analiz eden SIEM veya XDR gibi güvenlik çözümleridir. İnsanlar olası tehditleri önceliklendirmek ve yanıtlamak için bu araçlarla çalışır. Ayrıca XDR ve SIEM de kullanarak algılamadan kaçabilecek olan karmaşık saldırganları avlar.
-
Tehdit algılama; bir cihazın, yazılımın, ağın veya kimliğin tehlikeye girdiğini gösteren etkinlik de dahil olmak üzere olası güvenlik risklerini ortaya çıkarma işlemidir. Olay yanıtı, güvenlik ekibinin ve otomatik araçların siber bir siber saldırıyı kontrol altına almak ve ortadan kaldırmak için gerçekleştirdiği adımları içerir.
-
Tehdit algılama ve yanıtı süreci şunları içerir:
- Algılama. Uç noktaları, kimlikleri, ağları, uygulamaları ve bulutları izlemek için kullanılan güvenlik araçları, riskleri ve olası ihlalleri gidermeye yardımcı olur. Güvenlik uzmanları, ortaya çıkan karmaşık siber tehditleri açığa çıkarmak için siber tehdit avcılığı tekniklerini de kullanabilir.
- Araştırma. Bir risk belirlendikten sonra insanlar, siber girişimin gerçek olduğunu doğrulamak, bunun nasıl olduğunu belirlemek ve etkilenen şirket varlıklarını değerlendirmek için yapay zeka ve diğer araçları kullanır.
- Kapsama. Siber saldırının yayılmasını durdurmak için siber güvenlik ekipleri etkilenen cihazları, kimlikleri ve ağları kuruluşun geri kalan varlıklarından yalıtır.
- Ortadan Kaldırma. Ekipler, saldırganı tamamen ortamdan çıkarmak ve kuruluşu benzer bir siber saldırı riski altında bırakacak güvenlik açıklarını azaltmak hedefiyle bir güvenlik olayına ilişkin kök nedeni ortadan kaldırır.
- Kurtarma. Ekipler siber güvenlik açığı veya güvenlik açığının ortadan kaldırıldığından emin olduktan sonra yalıtılmış sistemleri yeniden çevrimiçi duruma getirir.
- Rapor. Güvenlik ekipleri, olayın önem derecesine bağlı olarak ne olduğunu ve nasıl çözümlendiğini belgeleyerek liderleri, yöneticileri ve/veya yönetim kurulunu bilgilendirir.
- Risk azaltma. Benzer bir ihlalin tekrar yaşanmasını önlemek ve gelecekte yanıtı iyileştirmek için ekipler olayı araştırıp ortamda ve süreçlerde yapılan değişiklikleri tespit eder.
-
TDR, bir kuruluşa yönelik siber güvenlik tehditlerini tanımlama ve bu tehditleri gerçek bir zarar vermeden önce azaltmaya yönelik adımlar atma süreci olan tehdit algılama ve yanıtı anlamına gelir. EDR, bir kuruluşun uç noktalarını olası siber saldırılara karşı izleyen, bu saldırıları güvenlik ekibine bildiren ve belirli siber saldırı türlerine otomatik olarak yanıt veren bir yazılım ürünleri kategorisi olan uç nokta algılama ve yanıtı anlamına gelir.
Microsoft 365’i takip edin