Modern SOC ekipleri her gün yüzlerce güvenlik uyarısıyla karşılaşır. Her uyarıyı manuel olarak soruşturmak hem zaman alıcı hem de insan hatasına açıktır. Microsoft Defender for Endpoint'in Automated Investigation and Response (AIR) özelliği, bu sorunu kökten çözer: bir tehdit tespit edildiğinde yapay zeka devreye girer, soruşturmayı otomatik yürütür ve gerekli düzeltme eylemlerini uygular.
AIR Nedir ve Neden Önemlidir?
AIR, Microsoft'un güvenlik analistlerinin soruşturma süreçlerini inceleyerek geliştirdiği bir otomasyon motorudur. Bir analistin manuel olarak yapacağı her adımı — varlık toplama, tehdit analizi, karar verme, düzeltme — otomatik olarak gerçekleştirir.
Otomatik Soruşturma
Bir uyarı tetiklendiğinde AI, ilgili tüm varlıkları (dosyalar, süreçler, ağ bağlantıları) otomatik olarak analiz eder.
Otomatik Düzeltme
Tespit edilen tehditlere karşı dosya karantinası, süreç sonlandırma ve cihaz izolasyonu gibi eylemler otomatik uygulanır.
Hızlı Müdahale
İnsan müdahalesi gerektirmeden saniyeler içinde yanıt vererek saldırı zincirini kırar ve yayılmayı önler.
Şeffaf Raporlama
Her soruşturma adımı kayıt altına alınır; analist tam olarak neyin neden yapıldığını görebilir.
AIR Olmadan vs. AIR ile
Manuel Soruşturma
- Ortalama yanıt süresi: 4-8 saat
- Deneyimli analist gerektirir
- İnsan hatası riski yüksek
- Gece/hafta sonu uyarıları gecikir
AIR ile Otomatik
- Ortalama yanıt süresi: 2-5 dakika
- 7/24 kesintisiz çalışır
- Her adım otomatik belgelenir
- Tutarlı ve önyargısız analiz
AIR Soruşturma Süreci: Adım Adım
Bir uyarı tetiklendiğinden düzeltme eylemine kadar geçen süreçte AIR altı temel adımı otomatik olarak yürütür.
Tetikleme
Bir MDE uyarısı veya analist tarafından manuel başlatma ile soruşturma süreci başlar.
- Yüksek/Orta öncelikli uyarılar otomatik tetikler
- Analist herhangi bir uyarıdan manuel başlatabilir
- Scheduled hunting sorguları da tetikleyebilir
Kapsam Belirleme
AI, uyarıyla ilişkili tüm varlıkları (cihazlar, kullanıcılar, dosyalar, IP'ler) tespit eder.
- İlgili cihazlar ve kullanıcılar listelenir
- Şüpheli dosya ve süreçler belirlenir
- Ağ bağlantıları ve IP adresleri analiz edilir
Veri Toplama
Her varlık için derinlemesine veri toplanır: dosya hash'leri, süreç ağaçları, ağ trafiği.
- Dosya hash'leri VirusTotal ile karşılaştırılır
- Süreç ağacı (process tree) oluşturulur
- Registry değişiklikleri kaydedilir
Tehdit Analizi
Toplanan veriler AI algoritmaları ile analiz edilir; tehdit sınıflandırılır ve güven skoru atanır.
- MITRE ATT&CK teknikleri haritalandırılır
- Güven skoru (High/Medium/Low) atanır
- Benzer geçmiş olaylarla ilişkilendirilir
Karar
Otomasyon seviyesine göre eylemler otomatik uygulanır veya analist onayına sunulur.
- Seviye 5'te otomatik onay
- Düşük seviyelerde Action Center'a gönderilir
- Analist eylemi onaylayabilir veya reddedebilir
Düzeltme
Onaylanan eylemler uygulanır: karantina, izolasyon, süreç sonlandırma vb.
- Zararlı dosyalar karantinaya alınır
- Kötü amaçlı süreçler sonlandırılır
- Gerekirse cihaz ağdan izole edilir
Otomasyon Seviyeleri: Hangisini Seçmeli?
MDE, 1'den 5'e kadar beş farklı otomasyon seviyesi sunar. Seviye ne kadar yüksekse, o kadar az insan müdahalesi gerekir. Doğru seviyeyi seçmek, organizasyonunuzun olgunluk düzeyine ve risk toleransına bağlıdır.
Seviye 1
No automationSoruşturma başlatılır ancak hiçbir düzeltme eylemi otomatik uygulanmaz. Tüm eylemler manuel onay gerektirir.
Avantajlar
- Tam kontrol
- Sıfır false positive riski
Dezavantajlar
- Yavaş yanıt
- Yüksek analist iş yükü
- Saldırı yayılabilir
Seviye 2
Semi - Require approval for core foldersSistem klasörleri (Windows, Program Files) dışındaki düzeltmeler otomatik uygulanır. Kritik klasörler için onay gerekir.
Avantajlar
- Kısmi otomasyon
- Kritik klasörler korumalı
Dezavantajlar
- Karmaşık yapılandırma
- Hala gecikme riski
Seviye 3
Semi - Require approval for non-temp foldersGeçici klasörler dışındaki tüm düzeltmeler onay gerektirir. Temp klasörlerindeki tehditler otomatik temizlenir.
Avantajlar
- Dengeli yaklaşım
- Temp tehditleri hızlı temizlenir
Dezavantajlar
- Çoğu eylem hala manuel
Seviye 4
Semi - Require approval for any remediationSoruşturma tamamen otomatik yapılır ancak her düzeltme eylemi için analist onayı gerekir.
Avantajlar
- Tam soruşturma otomasyonu
- Kontrollü düzeltme
Dezavantajlar
- Düzeltme hala gecikebilir
Seviye 5
Full - Remediate threats automaticallyHem soruşturma hem de düzeltme tamamen otomatiktir. Yüksek güven skorlu tehditler anında temizlenir.
Avantajlar
- En hızlı yanıt
- Minimum analist yükü
- Saldırı zinciri anında kırılır
Dezavantajlar
- Nadiren false positive riski
Cihaz Grubu Bazlı Yapılandırma
Tüm organizasyon için tek bir otomasyon seviyesi kullanmak zorunda değilsiniz. Kritik sunucular için Seviye 3, kullanıcı iş istasyonları için Seviye 5 gibi farklı cihaz gruplarına farklı seviyeler atayabilirsiniz. Bu yaklaşım, hem güvenliği hem de operasyonel esnekliği dengeler.
AIR Düzeltme Eylemleri
AIR, tehdidin türüne ve kapsamına göre farklı kategorilerde düzeltme eylemleri uygulayabilir. Her eylem, geri alınabilirlik prensibiyle tasarlanmıştır.
Dosya İşlemleri
Dosya Karantinası
Zararlı dosyayı güvenli karantina alanına taşır
Dosya Silme
Yüksek güven skorlu tehditleri kalıcı olarak siler
Dosya Engelleme
Belirli hash değerli dosyaların çalışmasını engeller
Süreç İşlemleri
Süreç Sonlandırma
Kötü amaçlı süreçleri anında durdurur
Süreç Engelleme
Belirli uygulamaların başlatılmasını önler
Servis Durdurma
Zararlı Windows servislerini devre dışı bırakır
Cihaz İşlemleri
Cihaz İzolasyonu
Cihazı ağdan keser, sadece MDE iletişimine izin verir
Soruşturma Paketi
Forensic analiz için cihazdan veri toplar
Antivirüs Taraması
Tam sistem taraması başlatır
Kimlik İşlemleri
Kullanıcı Engelleme
Ele geçirilmiş hesabı geçici olarak devre dışı bırakır
Oturum Sonlandırma
Aktif kullanıcı oturumlarını zorla kapatır
Parola Sıfırlama
Kullanıcıya parola sıfırlama bildirimi gönderir
Action Center: Tüm Eylemlerin Merkezi
Action Center, AIR tarafından gerçekleştirilen veya onay bekleyen tüm eylemlerin görüntülendiği ve yönetildiği merkezi paneldir. security.microsoft.com > Action Center yolundan erişilir.
Action Center Sekmeleri
Pending (Bekleyen)
Analist onayı bekleyen eylemler burada listelenir. Her eylem için Approve (Onayla) veya Reject (Reddet) seçeneği sunulur.
History (Geçmiş)
Tamamlanan tüm eylemler burada görüntülenir. Geri alınabilir eylemler için Undo (Geri Al) butonu mevcuttur.
Action Center İzin Gereksinimleri
Action Center'da eylemleri onaylamak veya reddetmek için kullanıcının aşağıdaki rollerden birine sahip olması gerekir:
- Security Administrator: Tüm eylemleri onaylayabilir
- Security Operator: Eylemleri onaylayabilir, politika değiştiremez
- Security Reader: Sadece görüntüleyebilir, onaylayamaz
AIR Yapılandırması: Adım Adım
AIR'ı etkinleştirmek ve otomasyon seviyesini yapılandırmak için Microsoft Defender portalını kullanın.
Portal Üzerinden Yapılandırma
Defender Portalına Gidin
security.microsoft.com adresine gidin ve Settings > Endpoints > Advanced features bölümüne geçin.
Automated Investigation'ı Etkinleştirin
"Automated investigation" seçeneğini On konumuna getirin. Bu, AIR motorunu aktif hale getirir.
Cihaz Gruplarını Yapılandırın
Settings > Endpoints > Device groups bölümünden cihaz gruplarınızı oluşturun veya düzenleyin.
Otomasyon Seviyesini Seçin
Her cihaz grubu için Automation level açılır menüsünden istediğiniz seviyeyi seçin (Full önerilir).
Kaydedin ve Test Edin
Değişiklikleri kaydedin. Bir test cihazında simüle edilmiş bir tehdit oluşturarak AIR'ın çalıştığını doğrulayın.
# MDE Advanced Features durumunu kontrol et
# Not: Bu ayarlar portal üzerinden yapılır, PowerShell sadece doğrulama için kullanılır
# Defender servis durumunu kontrol et
Get-Service -Name "Sense" | Select-Object Name, Status, StartType
# MDE yapılandırma bilgilerini görüntüle
Get-MpComputerStatus | Select-Object \`
AMServiceEnabled, \`
AntispywareEnabled, \`
BehaviorMonitorEnabled, \`
IoavProtectionEnabled, \`
RealTimeProtectionEnabled
# AIR soruşturma geçmişini Event Log'dan çek
Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" |
Where-Object { $_.Id -in @(1001, 1002, 1003) } |
Select-Object TimeCreated, Id, Message |
Sort-Object TimeCreated -Descending |
Select-Object -First 20Advanced Hunting ile AIR Analizi
AIR soruşturmalarını Advanced Hunting üzerinden KQL sorguları ile analiz edebilirsiniz. Bu, hangi tehditlerin ne sıklıkla tetiklendiğini ve AIR'ın etkinliğini ölçmenizi sağlar.
// Son 30 günde AIR tarafından başlatılan soruşturmalar
DeviceEvents
| where Timestamp > ago(30d)
| where ActionType == "AntivirusDetection" or ActionType startswith "Air"
| summarize
ToplamOlay = count(),
EtkilenenCihaz = dcount(DeviceName)
by ActionType
| sort by ToplamOlay desc// AIR tarafından gerçekleştirilen düzeltme eylemlerini listele
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType in (
"AntivirusQuarantineFile",
"AntivirusDeleteFile",
"IsolateDevice",
"KillProcess"
)
| project
Timestamp,
DeviceName,
ActionType,
FileName,
FolderPath,
InitiatingProcessFileName
| sort by Timestamp desc// Karantinaya alınan ve sonradan geri yüklenen dosyalar (potansiyel false positive)
DeviceEvents
| where Timestamp > ago(30d)
| where ActionType == "AntivirusQuarantineFile"
| join kind=leftouter (
DeviceEvents
| where ActionType == "AntivirusQuarantineFileRestored"
| project DeviceName, RestoredFile = FileName, RestoredTime = Timestamp
) on DeviceName
| where isnotempty(RestoredFile)
| project
QuarantineTime = Timestamp,
DeviceName,
FileName,
RestoredTime
| sort by QuarantineTime descSık Sorulan Sorular
Özet ve Sonraki Adımlar
AIR, modern SOC ekiplerinin vazgeçilmez bir aracıdır. Manuel soruşturma saatlerini dakikalara indirerek güvenlik ekiplerinin stratejik tehditlere odaklanmasını sağlar. Başarılı bir AIR dağıtımı için: önce Seviye 3 ile başlayın, Action Center'ı düzenli izleyin, false positive oranlarını ölçün ve olgunlaştıkça Seviye 5'e geçin. Kritik sunucular için ayrı cihaz grupları oluşturmayı unutmayın.