Microsoft Sentinel'de tehdit bilgilerine varlık ekleme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal

Bir araştırma sırasında, bir olayın kapsamını ve doğasını anlamanın önemli bir parçası olarak varlıkları ve bağlamlarını incelersiniz. Bir varlığı olayda kötü amaçlı bir etki alanı adı, URL, dosya veya IP adresi olarak bulduğunuzda, tehdit bilgilerinizde güvenliğin aşılması (IOC) göstergesi olarak etiketlenmeli ve izlenmelidir.

Örneğin, ağınızda bağlantı noktası taramaları gerçekleştiren veya komut ve denetim düğümü olarak çalışan, ağınızdaki çok sayıda düğümden iletim gönderen ve/veya alan bir IP adresi bulursunuz.

Microsoft Sentinel, bu tür varlıkları doğrudan olay araştırmanızın içinden bayrakla işaretlemenize ve tehdit bilgilerinize eklemenize olanak tanır. Eklenen göstergeleri hem Günlükler'dehem de Tehdit Bilgileri'nde görüntüleyebilir ve bunları Microsoft Sentinel çalışma alanınızda kullanabilirsiniz.

Tehdit zekanıza varlık ekleme

Yeni olay ayrıntıları sayfası , araştırma grafiğine ek olarak tehdit bilgilerine varlık eklemenin başka bir yolunu sunar. Her iki yol da aşağıda gösterilmiştir.

Güvenlik olayı ayrıntıları

1. Microsoft Sentinel gezinti menüsünden Olaylar'ı seçin.

2. Araştırılması gereken bir olay seçin. Olay ayrıntıları panelinde Tüm ayrıntıları görüntüle'yi seçerek olay ayrıntıları sayfasını açın.

   

3. Tehdit göstergesi olarak eklemek istediğiniz Varlıklar pencere öğesinden varlığı bulun. (Listeyi bulmanıza yardımcı olması için listeyi filtreleyebilir veya bir arama dizesi girebilirsiniz.)

4. Varlığın sağındaki üç noktayı seçin ve açılır menüden TI'ye ekle'yi seçin.

   Tehdit göstergesi olarak yalnızca aşağıdaki varlık türleri eklenebilir:

   • Etki alanı adı
   • IP adresi (IPv4 ve IPv6)
   • URL
   • Dosya (karma)

   

Araştırma grafı

Araştırma grafiği , bağlantıları ve desenleri sunan ve analistlerinizin doğru soruları sormasını ve müşteri adaylarını takip etmesini sağlayan görsel, sezgisel bir araçtır. Tehdit bilgileri gösterge listelerinize varlık eklemek ve bunları çalışma alanınızda kullanılabilir hale getirmek için bu özelliği kullanabilirsiniz.

1. Microsoft Sentinel gezinti menüsünden Olaylar'ı seçin.

2. Araştırılması gereken bir olay seçin. Olay ayrıntıları panelinde Eylemler düğmesini seçin ve açılır menüden Araştır'ı seçin. Bu işlem araştırma grafiğini açar.

   

3. Tehdit göstergesi olarak eklemek istediğiniz varlığı grafikten seçin. Sağ tarafta bir yan panel açılır. TI'ye ekle'yi seçin.

   Tehdit göstergesi olarak yalnızca aşağıdaki varlık türleri eklenebilir:

   • Etki alanı adı
   • IP adresi (IPv4 ve IPv6)
   • URL
   • Dosya (karma)

   

İki arabirimden hangisini seçerseniz seçin, burada sona erersiniz:

1. Yeni gösterge yan paneli açılır. Aşağıdaki alanlar otomatik olarak doldurulur:

   • Tür

     • Eklediğiniz varlığın temsil ettiği gösterge türü.
       Olası değerlerle açılan menü: ipv4-addr, ipv6-addr, URL, dosya, etki alanı-adı
     • Gerekli; varlık türüne göre otomatik olarak doldurulur.

   • Value

     • Bu alanın adı, seçili gösterge türüne dinamik olarak değişir.
     • Göstergenin kendisi.
     • Gerekli; varlık değeri tarafından otomatik olarak doldurulur.

   • Etiketler

     • Göstergeye ekleyebileceğiniz serbest metin etiketleri.
     • Isteğe bağlı; otomatik olarak olay kimliğiyle doldurulur. Başkalarını ekleyebilirsiniz.

   • Ad

     • Göstergenin adı; gösterge listenizde görüntülenecek olan budur.
     • Isteğe bağlı; otomatik olarak olay adıyla doldurulur.

   • Oluşturan

     • Göstergeyi oluşturan.
     • Isteğe bağlı; otomatik olarak Microsoft Sentinel'de oturum açan kullanıcı tarafından doldurulur.

   Kalan alanları uygun şekilde doldurun.

   • Tehdit türü

     • Göstergeyle temsil edilen tehdit türü.
     • Isteğe bağlı; serbest metin.

   • Açıklama

     • Göstergenin açıklaması.
     • Isteğe bağlı; serbest metin.

   • Iptal

     • Göstergenin durumu iptal edilmiş. Göstergeyi iptal etmek için onay kutusunu işaretle, etkin hale getirmek için onay kutusunun işaretini kaldırın.
     • Isteğe bağlı; Boolean.

   • Güven

     • Verilerin doğruluğundaki güveni yüzdeye göre yansıtan puan.
     • Isteğe bağlı; integer, 1-100

   • Sonlandırma zinciri

     • Göstergenin karşılık gelen Lockheed Martin Siber Sonlandırma Zincirindeki aşamalar.
     • Isteğe bağlı; serbest metin

   • Geçerli kaynak

     • Bu göstergenin geçerli kabul edildiği saat.
     • Gerekli; tarih/saat

   • Geçerlilik tarihi:

     • Bu göstergenin artık geçerli olarak kabul edilmemesi gereken saat.
     • Isteğe bağlı; tarih/saat

   

2. Tüm alanlar sizin memnuniyetiniz için doldurulduğunda Uygula'yı seçin. Sağ üst köşede göstergenizin oluşturulduğunu belirten bir onay iletisi görürsünüz.

3. Varlık, çalışma alanınıza bir tehdit göstergesi olarak eklenir. Bunu Tehdit bilgileri sayfasındaki göstergeler listesinde ve ayrıca Günlükler'deki ThreatIntelligenceIndicators tablosunda bulabilirsiniz.

İlgili içerik

Bu makalede tehdit göstergesi listelerinize varlık eklemeyi öğrendiniz. Daha fazla bilgi için bkz.

• Microsoft Sentinel ile olayları araştırma
• Microsoft Sentinel'de tehdit bilgilerini anlama
• Microsoft Sentinel'de tehdit göstergeleriyle çalışma