MITRE ATT&CK Çerçevesini Kullanarak Defender XDR Üzerinden Saldırı Avı (Threat Hunting) Nasıl Gerçekleştirilir?

Siber güvenlik dünyasında proaktif bir savunma stratejisi benimsemek, saldırganları zarar vermeden önce tespit edebilmenin en kritik yollarından biridir. Modern tehdit ortamında, geleneksel güvenlik önlemleri artık sofistike saldırıları tespit etmekte yetersiz kalıyor. Bu noktada MITRE ATT&CK çerçevesi, saldırganların davranışlarını anlamak ve sistemlerinizdeki olası zafiyet noktalarını öngörmek için güçlü bir yol haritası sunar.

Microsoft Defender XDR ise bu yol haritasını uygulamaya koyabileceğiniz, kurumsal ortamınız genelinde tehditleri bütünleşik bir şekilde görünür kılan kapsamlı bir platform olarak öne çıkıyor. Peki, bu iki güçlü aracı bir araya getirerek tehdit avcılığı süreçlerinizi nasıl daha etkin hale getirebilirsiniz?

Bu yazıda, MITRE ATT&CK matrisinin taktik ve tekniklerini, Microsoft Defender XDR’ın sunduğu derin veri görünürlüğü ve analiz yetenekleriyle nasıl eşleştirebileceğinizi adım adım ele alacağız. Teorik bilgiyi pratik senaryolarla birleştirerek, ortamınızda gizlenmiş gelişmiş kalıcı tehditleri (APT) avlamak için kullanabileceğiniz somut yöntemlere odaklanacağız.

MITRE ATT&CK Nedir?

MITRE ATT&CK Framework, siber tehdit aktörlerinin gerçek dünya senaryolarında kullandığı taktik, teknik ve prosedürlerin (TTP) kapsamlı ve yapılandırılmış bir bilgi tabanı olarak hizmet veren küresel bir referans kaynağıdır. ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), saldırgan davranışlarını stratejik bir perspektifle sınıflandırarak güvenlik ekiplerinin tehditleri niyet ve yöntem bazında analiz etmesine olanak tanır. Bu çerçeve, siber savunma stratejilerinin saldırgan zihniyetiyle uyumlu şekilde geliştirilmesini sağlayarak proaktif güvenlik yaklaşımını destekler.

Her saldırı, MITRE matrisi içinde taktikler (Tactics) ve bunlara bağlı teknikler (Techniques) olarak temsil edilir:

Taktikler: Saldırının “neden” yapıldığını (ör. initial access, privilege escalation, defense evasion)

Teknikler: Saldırının “nasıl” gerçekleştirildiğini (ör. PowerShell execution, DLL injection, credential dumping)

Microsoft Defender XDR, MITRE ATT&CK çerçevesini yerleşik olarak kullanarak, tespit edilen davranışları bu taktik ve tekniklerle eşleştirir.

Microsoft Defender XDR ve MITRE Entegrasyonu

Microsoft Defender XDR, MITRE ATT&CK çerçevesiyle derinlemesine entegre bir yaklaşım sunar. Platformda oluşan her güvenlik uyarısı, ilgili MITRE ATT&CK kategorilerine göre otomatik olarak etiketlenir. Yapılan entegrasyon, siber güvenlik analistlerine olayları hızla bağlamsallaştırma imkanı tanır. Bu sayede analistler, bir olayın:

Hangi taktiğe (ör. Persistence, Lateral Movement),

Hangi tekniğe (ör. T1059 – Command Line Interface, T1027 – Obfuscated Files),

Hangi alt tekniğe (Sub-technique, ör. T1059.001 – PowerShell)ait olduğunu doğrudan görebilirler.

Bu sistematik etiketleme mekanizması, savunma ekiplerinin saldırgan davranışlarını MITRE ATT&CK terminolojisiyle standize edilmiş şekilde analiz etmesine ve kurumsal güvenlik postürünü iyileştirmesine olanak tanır.

Örnek:

Bir uyarı Defender XDR üzerinde “Suspicious PowerShell Command Execution (MITRE: T1059.001)” etiketiyle görünüyorsa, bu davranışın MITRE’a göre “Execution → Command and Scripting Interpreter” taktiğiyle ilişkili olduğu anlaşılır.

Defender XDR’da Threat Hunting’in Temel Mantığı

Threat Hunting, sistemin pasif uyarı üretmesini beklemek yerine analistin aktif biçimde tehdit göstergelerini aramasıdır. Microsoft Defender XDR, bunu Advanced Hunting özelliği aracılığıyla gerçekleştirir. Advanced Hunting, KQL (Kusto Query Language) temelli sorgularla MITRE ATT&CK tekniklerine ait davranışları tespit etmeye yarar. Her KQL sorgusu, belirli bir MITRE tekniğiyle ilişkilendirilebilir.

MITRE Taktikleri ve Defender XDR Tablo Eşleştirmesi

Aşağıda en sık kullanılan MITRE taktiklerinin Defender XDR’daki veri tabloları ile eşleştirmesi yer almaktadır.

MITRE TaktikÖrnek TeknikDefender XDR TablosuHunting YaklaşımıInitial AccessT1566 – PhishingEmailEvents, EmailUrlInfo, EmailAttachmentInfoZararlı URL, kimlik avı eklentisi, domain reputation analiziExecutionT1059 – PowerShell ExecutionDeviceProcessEvents, DeviceNetworkEventsPowerShell argüman analizi, script block loggingPersistenceT1060 – Registry Run KeysDeviceRegistryEventsRun / RunOnce anahtarlarına yapılan kayıtlarPrivilege EscalationT1134 – Access Token ManipulationDeviceProcessEventsSeDebugPrivilege, ImpersonateLoggedOnUser kullanım tespitiDefense EvasionT1027 – ObfuscationDeviceFileEvents, DeviceImageLoadEventsŞüpheli .ps1, .vbs, .dll yüklemeleriCredential AccessT1003 – LSASS DumpingDeviceProcessEventsmimikatz.exe, procdump.exe LSASS erişimleriDiscoveryT1083 – File and Directory DiscoveryDeviceProcessEventsdir, tree, Get-ChildItem komutlarıLateral MovementT1021 – Remote ServicesDeviceNetworkEvents, DeviceLogonEventsPsExec, WMI, RDP bağlantı tespitiCollectionT1119 – Data StagingDeviceFileEvents.zip veya .rar oluşturma aktiviteleriExfiltrationT1041 – Exfiltration Over C2DeviceNetworkEventsŞüpheli portlara veri gönderimiCommand & ControlT1071 – Application Layer ProtocolDeviceNetworkEventsHTTP/S, DNS veya SMB üzerinden anormal trafik

MITRE TaktikDefender XDR TablosuÖrnek KQL Kullanım AlanıInitial AccessEmailEvents, DeviceNetworkEventsPhishing e-postaları, zararlı bağlantılarExecutionDeviceProcessEventsPowerShell, WMI, Rundll32 çalıştırmalarıPersistenceDeviceRegistryEvents, DeviceImageLoadEventsAutorun kayıtları, DLL yüklemeleriPrivilege EscalationDeviceProcessEvents, DeviceRegistryEventsToken manipulation, UAC bypassDefense EvasionDeviceFileEvents, DeviceProcessEventsMaskeleme, imza değiştirme, LOLBAS kullanımıCredential AccessDeviceLogonEvents, DeviceNetworkEventsCredential dumping, NTLM hash erişimii Network bağlantılarıDiscoveryDeviceProcessEventsSysteminfo, net user, net group komutlarıLateral MovementDeviceNetworkEvents, DeviceProcessEventsPsExec, WMI, SMB bağlantılarıCollectionDeviceFileEventsClipboard, local data collectionExfiltrationDeviceNetworkEventsFTP, Cloud Sync, HTTP POST transferleriCommand and ControlDeviceNetworkEvents, AlertEvidenceBeacon, C2 sunucu iletişimiImpactDeviceProcessEvents, DeviceFileEventsRansomware encryption aktiviteleri

Örnek: MITRE ATT&CK’e Dayalı KQL Hunting Sorguları

Teorik bilgiyi pratiğe dökmenin en etkili yolu, somut örneklerle çalışmaktır. Aşağıda, MITRE ATT&CK matrisindeki belirli teknikleri hedef alan hazır KQL sorgularını bulacaksınız. Bu sorgular, Microsoft Defender XDR ortamınızda doğrudan çalıştırabileceğiniz ve olası tehditleri avlamaya başlamak için kullanabileceğiniz şablonlar niteliğindedir.

 T1059.001 – PowerShell Execution (Execution Tactic)

DeviceProcessEvents
| where FileName in~ (“powershell.exe”, “pwsh.exe”)
| where ProcessCommandLine has_any (“-enc”, “IEX”, “DownloadString”, “Invoke-Expression”)
| project Timestamp, DeviceName, InitiatingProcessFileName, ProcessCommandLine, ReportId, DeviceId

Amaç:

Şüpheli PowerShell komutlarını tespit eder (ör. şifrelenmiş komutlar, uzak içerik indirmeleri).Bu teknik MITRE ATT&CK’te “Command and Scripting Interpreter → PowerShell (T1059.001)” olarak sınıflandırılır.

T1027 – Obfuscated Files or Information (Defense Evasion)

DeviceFileEvents
| where FileName matches regex @”(?i)\.vbs|\.js|\.hta”
| where InitiatingProcessFileName in~ (“wscript.exe”, “cscript.exe”, “mshta.exe”)
| extend SuspiciousFile = strcat(FolderPath, “\\”, FileName)
| project Timestamp, DeviceName, SuspiciousFile, InitiatingProcessCommandLine, ReportId, DeviceId

Amaç:

Gizlenmiş (obfuscated) JavaScript veya VBScript dosyalarını tespit eder.MITRE tekniği: T1027 – Obfuscated Files or Information.

T1071.001 – Application Layer Protocol: Web Protocols (C2 Communication)

DeviceNetworkEvents
| where InitiatingProcessFileName in~ (“powershell.exe”, “cmd.exe”, “rundll32.exe”)
| where RemoteUrl has_any (“.ngrok.io”, “.pastebin.com”, “.cdn.discordapp.com”)
| summarize ConnectionCount = count() by DeviceName, RemoteUrl, InitiatingProcessFileName

Amaç:

Kötü amaçlı C2 sunucularına HTTP/HTTPS üzerinden yapılan bağlantıları tespit eder.MITRE tekniği: T1071.001 – Web Protocols.

Defender XDR Üzerinde MITRE Haritalı Görünüm

Defender XDR’ın “Threat Analytics” ve “Incidents” bölümlerinde her uyarı MITRE ATT&CK tekniğiyle etiketlenmiş şekilde gösterilir.

Analistler bu eşleştirmeler sayesinde:

Olayın hangi tekniklerle ilişkili olduğunu,

Hangi cihaz veya kullanıcı üzerinden gerçekleştiğini,

Olayın saldırı zincirindeki yerini (Kill Chain)görebilirler.

Bu görünüm, “taktiksel hunting” yaklaşımının merkezini oluşturur: Her uyarıyı izole bir vaka değil, saldırının bağlamsal bir parçası olarak ele almak.

Hunting Yaklaşımı: MITRE Taktiklerine Göre Strateji

Defender XDR üzerinde MITRE odaklı hunting yaparken şu stratejik sıralama önerilir:

Initial Access: Phishing ve zararlı eklentiler → EmailEvents

Execution: Komut satırı aktiviteleri → DeviceProcessEvents

Persistence: Autorun kayıtları, servis oluşturma → DeviceRegistryEvents

Privilege Escalation: LSASS dump veya token manipulation → DeviceProcessEvents

Defense Evasion: LOLBAS araçları → DeviceImageLoadEvents

Lateral Movement: SMB / RDP / PsExec → DeviceNetworkEvents

Exfiltration & C2: Anormal network transferleri → DeviceNetworkEvents

Her bir av sorgusu, MITRE taktiğiyle ilişkilendirildiğinde Defender XDR üzerindeki “Threat Landscape” görünümü tamamlanır.

Örnek Hunt Sorguları

Tehdit avının pratikteki yansımasını görmek için hazır KQL sorguları en değerli kaynaklardır. Bu bölümde, MITRE ATT&CK tekniklerine karşı geliştirilmiş ve gerçek senaryolarda kullanılabilecek örnek sorguları inceleyeceksiniz. Her sorgu, belirli bir saldırı tekniğini avlamak için tasarlanmış olup ortamınızda doğrudan uygulanabilir niteliktedir.

1. Malicious Office Macro Execution (MITRE T1204, T1137)

DeviceProcessEvents
| where FileName in~ (“winword.exe”, “excel.exe”)
| where ProcessCommandLine has_any (“/m”, “/automation”, “/dde”)
| project Timestamp, DeviceName, AccountName, ProcessCommandLine, InitiatingProcessFileName

Amaç:

Office makro kötüye kullanımını tespit etmek (DDE, AutoOpen, AutoExec vb.) için hazırlanan sorgudur.

2. WMI Lateral Movement (MITRE T1047)

DeviceProcessEvents
| where ProcessCommandLine has “wmic” or ProcessCommandLine has “Invoke-WmiMethod”
| project Timestamp, DeviceName, AccountName, ProcessCommandLine

Amaç:

WMI üzerinden komut çalıştırma ile lateral movement aktivitelerini bulmak için hazırlanan sorgudur.

3. Suspicious Scheduled Task Creation (MITRE T1053.005)

DeviceProcessEvents
| where ProcessCommandLine has “schtasks”
| where ProcessCommandLine has_any (” /create “, “/tn”, “/tr”)
| project Timestamp, DeviceName, AccountName, ProcessCommandLine

Amaç:

Kalıcılık veya görev tetikleme (execution) için oluşturulan zararlı scheduled task’leri oluşturulan sorgu ile tespit etmek için hazırlanan sorgudur.

4. Data Exfiltration – Suspicious ZIP/RAR Activity (MITRE T1560)

DeviceFileEvents
| where FileName matches regex @”(.*\.zip$|.*\.rar$)”
| where InitiatingProcessFileName !in (“explorer.exe”, “7zFM.exe”, “WinRAR.exe”)
| project Timestamp, DeviceName, FileName, FolderPath, InitiatingProcessFileName

Amaç:

Veri sızdırmadan önce sıkıştırma yoluyla hazırlık yapan saldırgan aktivitelerini bulmak için hazırlanan sorgudur.

5. Suspicious RDP Authentication Patterns (MITRE T1021.001)

DeviceLogonEvents
| where LogonType == “RemoteInteractive”
| where AccountDomain != “YOUR_DOMAIN” or AccountName endswith “$” == false
| summarize Attempts = count(), FirstSeen = min(Timestamp), LastSeen = max(Timestamp)
    by DeviceName, AccountName, RemoteIP
| where Attempts > 5

Amaç:

Beklenmeyen kullanıcılar, servis hesapları veya dış IP’lerden gelen şüpheli RDP oturumlarını tespit etmek için hazırlanan sorgudur.

Özet: MITRE ATT&CK’e Göre Defender XDR ile Threat Hunting

Bu makalede, Microsoft Defender XDR üzerinde MITRE ATT&CK çerçevesi kullanılarak nasıl sistematik ve yüksek doğruluklu bir Threat Hunting (Saldırı Avcılığı) süreci yürütülebileceği ele alınmıştır. MITRE ATT&CK’in taktik ve teknik tabanlı yaklaşımı, saldırgan davranışlarını yalnızca IOC merkezli değil, davranışsal (behavioral) ve bağlamsal (context-aware) bir perspektifle incelemeyi mümkün kılar. Defender XDR’ın zengin telemetri kaynakları “endpoint, identity, email, cloud application, network” bu modelle birleştiğinde, güvenlik analistleri gerçek saldırı zincirini uçtan uca analiz edebilir hâle gelir.

Defender XDR’ın Advanced Hunting yetenekleri, Kusto Query Language (KQL) aracılığıyla MITRE tekniklerine birebir karşılık gelen davranışların veri düzeyinde avlanmasını sağlar. Böylece EDR düzeyinde sınırlı kalabilecek aramalar, XDR’ın geniş perspektifi sayesinde farklı veri kaynaklarıyla birleştirilir, korelasyon yapılır ve saldırgan TTP’leri bütüncül bir şekilde ortaya çıkarılır.

Makale boyunca Execution (T1059), Credential Access (T1003), Lateral Movement (T1021), Persistence (T1547) ve Exfiltration (T1560) gibi kritik MITRE teknikleri için gerçek SOC senaryolarında kullanılan örnek KQL sorguları sunulmuştur. Bu sorgular yalnızca anomali tespiti için değil, aynı zamanda kuruma özgü tespit kurallarının (custom detection) geliştirilmesine temel sağlayarak sürekli iyileştirme döngüsünü destekler.

Sonuç olarak, MITRE ATT&CK matrisi ile Defender XDR’ın birleşimi, kurumsal tehdit avcılığı süreçlerinde proaktif, tekrarlanabilir ve yüksek doğruluk oranına sahip bir yaklaşım sunar. Bu model sayesinde analistler, sadece alarmlara tepki veren bir pozisyondan çıkarak, saldırıları daha erken aşamalarda durdurabilecek stratejik bir savunma üstünlüğü elde eder. Bu bütünleşik yaklaşım, modern SOC dönüşümünün en kritik bileşenlerinden biri olup, kurumların siber dayanıklılığını anlamlı ölçüde artırır.

Bir sonraki makale’de görüşmek üzere.