Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Sentinel, güvenlik olaylarını araştırmak ve yönetmek için eksiksiz, tam özellikli bir olay yönetimi platformu sunar. Olaylar, güvenlik tehdidinin tek tek kanıt parçaları (uyarılar), şüpheliler ve taraflar (varlıklar), güvenlik uzmanları ve yapay zeka/makine öğrenmesi modelleri tarafından toplanan ve seçilen içgörüler veya araştırma sırasında yapılan tüm eylemlerin yorumları ve günlükleri olsun, güvenlik tehdidinin eksiksiz ve sürekli güncelleştirilmiş kronolojisini içeren dosyalar için Microsoft Sentinel'in adıdır.
Microsoft Sentinel'deki olay araştırma deneyimi, araştırmanız için ihtiyacınız olan her şeyi tek bir yerde sunmak üzere tasarlanmış bir deneyim olan Olaylar sayfasıyla başlar. Bu deneyimin temel amacı, SOC'nizin verimliliğini ve verimliliğini artırarak ortalama çözüm süresini (MTTR) azaltmaktır.
Bu makalede, Microsoft Sentinel'in Azure portalındaki olay araştırması ve olay yönetimi özellikleri ve özellikleri açıklanır. Bu makalede tipik bir olay araştırmasının aşamalarında size yardımcı olacak tüm ekranlar ve araçlar sunulur.
Önkoşullar
Olayları araştırmak için Microsoft Sentinel Yanıtlayıcısı rol ataması gereklidir.
Microsoft Sentinel'deki roller hakkında daha fazla bilgi edinin.
Olayları ataması gereken bir konuk kullanıcınız varsa, kullanıcıya Microsoft Entra kiracınızda Dizin Okuyucusu rolü atanmalıdır. Normal (bitişik olmayan) kullanıcıların bu rolü varsayılan olarak ataması gerekir.
SOC'nizin vadesini artırın
Microsoft Sentinel olayları, süreçlerinizi standartlaştırıp olay yönetiminizi denetleyerek Güvenlik İşlemlerinizin (SecOps) olgunluk düzeyini artırmanıza yardımcı olacak araçlar sağlar.
İşlemlerinizi standartlaştırma
Olay görevleri , analistlerin tekdüzen bir bakım standardı sağlamak ve önemli adımların kaçırılmasını önlemek için izlemeleri gereken iş akışı görevleri listesidir:
SOC yöneticileri ve mühendisleri bu görev listelerini geliştirebilir ve uygun şekilde veya pano genelinde farklı olay gruplarına otomatik olarak uygulanmasını sağlayabilir.
SOC analistleri her olay içinde atanan görevlere erişebilir ve tamamlandıklarında işaretleyebilir.
Analistler, kendi kendine anımsatıcı olarak veya olay üzerinde işbirliği yapabilen diğer analistlerin yararına (örneğin, vardiya değişikliği veya yükseltme nedeniyle) açık olaylarına el ile görev ekleyebilir.
Daha fazla bilgi için bkz. Azure portalında Microsoft Sentinel'de olayları yönetmek için görevleri kullanma.
Olay yönetiminizi denetleme
Olay etkinlik günlüğü , ister insanlar ister otomatikleştirilmiş işlemler tarafından başlatılan bir olay üzerinde yapılan eylemleri izler ve bunları olayla ilgili tüm açıklamalarla birlikte görüntüler.
Buraya kendi yorumlarınızı da ekleyebilirsiniz. Daha fazla bilgi için bkz . Azure portalında Microsoft Sentinel olaylarını derinlemesine araştırma.
Etkili ve verimli bir şekilde araştırma
Öncelikle: Bir analist olarak, yanıtlamak istediğiniz en temel soru, bu olayın neden dikkatimi çektiğidir? Bir olayın ayrıntılar sayfasına girildiğinde bu soru yanıtlanır: Ekranın tam ortasında Olay zaman çizelgesi pencere öğesini görürsünüz.
Güvenlik olaylarını olay zaman çizelgesini kullanarak etkili ve verimli bir şekilde araştırmak, benzer olaylardan ders almak, en iyi içgörüleri incelemek, varlıkları görüntülemek ve günlükleri keşfetmek için Microsoft Sentinel olaylarını kullanın.
Olay zaman çizelgeleri
Olay zaman çizelgesi, araştırmayla ilgili tüm günlüğe kaydedilen olayları, bunların gerçekleştiği sırayla temsil eden tüm uyarıların günlüğüdür. Zaman çizelgesi ayrıca yer işaretlerini, avlanma sırasında toplanan kanıtın anlık görüntülerini gösterir ve olaya eklenir.
Takip etmek istediğiniz öğeyi bulmanıza yardımcı olmak için uyarı ve yer işaretleri listesinde arama yapın veya listeyi önem derecesine, taktiklere veya içerik türüne (uyarı veya yer işareti) göre filtreleyin. Zaman çizelgesinin ilk görüntüsü, uyarı veya yer işareti olsun, içindeki her öğeyle ilgili birkaç önemli şeyi hemen bildirir:
- Uyarının veya yer işaretinin oluşturulduğu tarih ve saat.
- İkonun üzerine gelindiğinde bir simge ve Araç İpucu ile gösterilen öğe türü, uyarı veya yer işareti.
- Uyarının veya yer işaretinin adı , öğenin ilk satırında kalın yazı tipinde.
- Uyarının önem derecesi , sol kenar boyunca bir renk bandıyla ve uyarının üç bölümden oluşan "alt başlığının" başında sözcük biçiminde gösterilir.
- Alt başlığın ikinci bölümünde uyarı sağlayıcısı. Yer işaretleri için, yer işaretini oluşturan.
- Alt başlığın üçüncü bölümünde simgeler ve ipuçları ile gösterilen ve uyarıyla ilişkili olan MITRE ATT&CK taktikleri.
Daha fazla bilgi için bkz. Saldırı hikayesinin zaman çizelgesini yeniden yapılandırma.
Benzer olayların listeleri
Olayda şimdiye kadar gördüğünüz herhangi bir şey tanıdık geliyorsa, iyi bir nedeni olabilir. Microsoft Sentinel, açık olan olaylara en çok benzeyen olayları göstererek bir adım önde kalır.
Benzer olaylar pencere öğesi, son güncelleştirilen tarih ve saat, son sahip, son durum (kapalı olmaları durumunda, kapatılma nedenleri dahil) ve benzerlik nedeni de dahil olmak üzere benzer olduğu kabul edilen olaylarla ilgili en ilgili bilgileri gösterir.
Bu, araştırmanıza çeşitli yollarla fayda sağlayabilir:
- Daha büyük bir saldırı stratejisinin parçası olabilecek eşzamanlı olayları tespit edin.
- Benzer olayları geçerli araştırmanız için başvuru noktaları olarak kullanın; bunların nasıl ele alındığını görün.
- Bilgilerinden yararlanmak için geçmiş benzer olayların sahiplerini belirleyin.
Örneğin, bunun gibi başka olayların daha önce olup olmadığını veya şimdi olup olmadığını görmek istiyorsunuz.
- Aynı daha büyük saldırı stratejisinin parçası olabilecek eşzamanlı olayları belirlemek isteyebilirsiniz.
- Geçmişteki benzer olayları tanımlamak ve bunları geçerli araştırmanız için başvuru noktası olarak kullanmak isteyebilirsiniz.
- SoC'nizde daha fazla bağlam sağlayabilecek veya araştırmayı ilerletebileceğiniz kişileri bulmak için geçmiş benzer olayların sahiplerini belirlemek isteyebilirsiniz.
Pencere öğesi size en benzer 20 olayı gösterir. Microsoft Sentinel varlıklar, kaynak analiz kuralı ve uyarı ayrıntıları gibi yaygın öğelere göre hangi olayların benzer olduğunu karar verir. Bu pencere öğesinden, geçerli olayla bağlantıyı olduğu gibi tutarken doğrudan bu olayların tüm ayrıntılar sayfalarına atlayabilirsiniz.
Benzerlik aşağıdaki ölçütlere göre belirlenir:
| Ölçütler | Açıklama |
|---|---|
| Benzer varlıklar | Her ikisi de aynı varlıkları içerdiğinde bir olay başka bir olaya benzer olarak kabul edilir. İki olayın ne kadar çok varlığı varsa, o kadar benzer oldukları kabul edilir. |
| Benzer kural | Her ikisi de aynı analiz kuralı tarafından oluşturulduysa, bir olay başka bir olaya benzer olarak kabul edilir. |
| Benzer uyarı ayrıntıları | Olay, aynı başlığı, ürün adını ve/veya [özel ayrıntılar(surface-custom-details-in-alerts.md) paylaşıyorsa başka bir olaya benzer olarak kabul edilir. |
Olay benzerliği, olaydaki son etkinlikten önceki 14 gün içindeki verilere (olaydaki en son uyarının bitiş zamanı) göre hesaplanır. Olay benzerliği, olay ayrıntıları sayfasına her girdiğinizde de yeniden hesaplanır, bu nedenle yeni olaylar oluşturulduysa veya güncelleştirildiyse sonuçlar oturumlar arasında farklılık gösterebilir.
Daha fazla bilgi için bkz. Ortamınızdaki benzer olayları denetleme.
En iyi olay içgörüleri
Ardından, gerçekleşen (veya hala devam eden) ve bağlamı daha iyi anlayarak Microsoft Sentinel'in sizin için daha önce hangi ilginç bilgileri bulduğunu merak edersiniz.
Microsoft Sentinel, olayınızdaki varlıklarla ilgili büyük soruları otomatik olarak sorar ve olay ayrıntıları sayfasının sağ tarafında görünen En iyi içgörüler pencere öğesinde en iyi yanıtları gösterir. Bu pencere öğesi, hem makine öğrenmesi analizine hem de güvenlik uzmanlarından oluşan üst düzey ekiplerin seçkisine dayalı bir içgörü koleksiyonu gösterir.
Bunlar , varlık sayfalarında görünen içgörülerin özel olarak seçilmiş bir alt kümesidir, ancak bu bağlamda, olaydaki tüm varlıklara yönelik içgörüler birlikte sunulur ve size neler olduğuna ilişkin daha eksiksiz bir resim sunulur. İçgörü kümesinin tamamı Varlıklar sekmesinde, her varlık için ayrı ayrı görüntülenir; aşağıya bakın.
En iyi içgörüler pencere öğesi, varlıkla ilgili davranışlarıyla ilgili soruları eşleriyle ve kendi geçmişiyle, izleme listelerinde veya tehdit bilgilerindeki varlığıyla veya bununla ilgili diğer olağan dışı durumlarla karşılaştırıldığında yanıtlar.
Bu içgörülerin çoğu daha fazla bilgi için bağlantılar içerir. Bu bağlantılar, günlükler panelini bağlam içinde açar ve burada bu içgörü için kaynak sorguyu ve sonuçlarını görürsünüz.
İlgili varlıkların listesi
Artık bağlam ve bazı temel soruları yanıtladığınıza göre, bu hikayedeki önemli oyuncular hakkında daha fazla derinlik elde etmek isteyeceksiniz.
Kullanıcı adları, konak adları, IP adresleri, dosya adları ve diğer varlık türleri araştırmanızda "ilgi çekici kişiler" olabilir. Microsoft Sentinel bunları sizin için bulur ve zaman çizelgesinin yanı sıra Varlıklar pencere öğesinde ön ve orta olarak görüntüler.
Aynı olay sayfasındakiVarlıklar sekmesinde yer alan bu varlığın listesine gitmek için bu pencere öğesinden bir varlık seçin. Bu sayfa, olaydaki tüm varlıkların bir listesini içerir.
Aşağıdaki ayrıntılar da dahil olmak üzere varlık sayfasına dayalı bilgiler içeren bir yan panel açmak için listeden bir varlık seçin:
Bilgi , varlık hakkında temel bilgiler içerir. Kullanıcı hesabı varlığı için bu, kullanıcı adı, etki alanı adı, güvenlik tanımlayıcısı (SID), kuruluş bilgileri, güvenlik bilgileri ve daha fazlası olabilir.
Zaman çizelgesi , varlığın göründüğü günlüklerden toplanan bu varlığı ve varlığın yaptığı etkinlikleri öne çıkartan uyarıların listesini içerir.
İçgörüler, varlığın davranışının diğer benzer varlıklar ve kendi geçmişiyle karşılaştırılmasına, izleme listelerinde veya tehdit istihbaratındaki varlığına ya da bununla ilgili herhangi bir olağandışı duruma dair sorulara yanıtlar içerir.
Bu yanıtlar, Microsoft güvenlik araştırmacıları tarafından tanımlanan ve bir kaynak koleksiyonundan alınan verilere dayanarak varlıklar hakkında değerli ve bağlamsal güvenlik bilgileri sağlayan sorguların sonuçlarıdır.
Varlık türüne bağlı olarak, bu yan panelden aşağıdakiler de dahil olmak üzere bir dizi başka eylem gerçekleştirebilirsiniz:
Daha uzun bir zaman aralığı boyunca daha fazla ayrıntı almak için varlığın tam varlık sayfasına özetleyin veya bu varlığın ortalandığı grafik araştırma aracını başlatın.
Belirli bir yanıt veya düzeltme eylemi gerçekleştirmek için (Önizleme'de) bir playbook çalıştırın.
Varlığı bir risk göstergesi (IOC) olarak sınıflandırın ve Tehdit bilgileri listenize ekleyin.
Bu eylemlerin her biri şu anda başkaları için değil belirli varlık türleri için desteklenmektedir. Aşağıdaki tabloda her varlık türü için hangi eylemlerin desteklendiği gösterilmektedir:
| Kullanılabilir eylemler ▶ Varlık türleri ▼ |
Tüm ayrıntıları görüntüleyin (varlık sayfasında) |
TI'ye ekle * | Playbook'u çalıştırma * (Önizleme) |
|---|---|---|---|
| Kullanıcı hesabı | ✔ | ✔ | |
| Ev sahibi | ✔ | ✔ | |
| IP adresi | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| Etki alanı adı | ✔ | ✔ | |
| Dosya (karma) | ✔ | ✔ | |
| Azure kaynağı | ✔ | ||
| IoT cihazı | ✔ |
* TI'ye Ekle veya Playbook'u Çalıştır eylemlerinin kullanılabildiği varlıklar için, bu eylemleri doğrudan Genel Bakış sekmesindekiVarlıklar pencere öğesinden gerçekleştirebilir ve olay sayfasından hiç ayrılmayabilirsiniz.
Olay günlükleri
Tam olarak ne olduğunu öğrenmek için ayrıntılara inmek için olay günlüklerini keşfedin.
Olaydaki neredeyse tüm alanlardan tek tek uyarıların, varlıkların, içgörülerin ve olaydaki diğer öğelerin detayına gidebilir ve özgün sorguyu ve sonuçlarını görüntüleyebilirsiniz.
Bu sonuçlar, olay ayrıntıları sayfasının panel uzantısı olarak gösterilen Günlükler (log analytics) ekranında görüntülenir, böylece araştırma bağlamından ayrılmazsınız.
Olaylarla düzenlenmiş kayıtlar
Saydamlık, sorumluluk ve süreklilik açısından, ister otomatik süreçler ister kişiler tarafından olsun olayla ilgili yapılan tüm eylemlerin kaydını isteyeceksiniz. Olay etkinlik günlüğü size bu etkinliklerin tümünü gösterir. Ayrıca, yapılan açıklamaları görebilir ve kendi yorumunuzu ekleyebilirsiniz.
Etkinlik günlüğü, açıkken bile sürekli otomatik olarak yenilenir, böylece değişikliklerini gerçek zamanlı olarak görebilirsiniz.
İlgili içerik
Bu belgede, Azure portalındaki Microsoft Sentinel olay araştırma deneyiminin tek bir bağlamda araştırma gerçekleştirmenize nasıl yardımcı olduğunu öğrendiniz. Olayları yönetme ve araştırma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Microsoft Sentinel'de varlık sayfaları aracılığıyla varlıkları araştırın.
- Microsoft Sentinel'de olayları yönetmek için görevleri kullanma
- Otomasyon kurallarıyla Microsoft Sentinel'de olay işlemeyi otomatikleştirin.
- Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizi (UEBA) ile gelişmiş tehditleri belirleme
- Güvenlik tehditlerini avla.
Sonraki adım
Azure portalında Microsoft Sentinel olaylarında gezinme, önceliklendirme ve yönetme