Microsoft Sentinel için en iyi yöntemler
Bu en iyi yöntemler koleksiyonu, daha fazla bilgi için diğer makalelerin bağlantıları da dahil olmak üzere Microsoft Sentinel'i dağıtırken, yönetirken ve kullanırken kullanmak için rehberlik sağlar.
Önemli
Microsoft Sentinel'i dağıtmadan önce dağıtım öncesi etkinlikleri ve önkoşulları gözden geçirin ve tamamlayın.
En iyi yöntem başvuruları
Microsoft Sentinel belgelerinde makalelerimizin her yerine dağılmış en iyi yöntem kılavuzu bulunur. Bu makalede sağlanan içeriğe ek olarak, daha fazla bilgi için aşağıdakilere bakın:
kullanıcıları Yönetici:
- Microsoft Sentinel'i dağıtmak için dağıtım öncesi etkinlikler ve önkoşullar
- Microsoft Sentinel çalışma alanı mimarisi en iyi yöntemleri
- Microsoft Sentinel çalışma alanı mimarinizi tasarlama
- Microsoft Sentinel örnek çalışma alanı tasarımları
- Veri toplamaya yönelik en iyi yöntemler
- Microsoft Sentinel maliyetleri ve faturalaması
- Microsoft Sentinel'e izinler
- Microsoft Sentinel'de MSSP fikri mülkiyetini koruma
- Microsoft Sentinel’de tehdit bilgileri tümleştirmesi
- Microsoft Sentinel içeriği ve çözümleri
- Microsoft Sentinel sorgularını ve etkinliklerini denetleme
Analistler:
- Önerilen playbook'lar
- Microsoft Sentinel'de hatalı pozitifleri işleme
- Microsoft Sentinel ile tehditleri avlama
- Yaygın olarak kullanılan Microsoft Sentinel çalışma kitapları
- Kullanıma hazır özelliklerle tehditleri algılama
- Tehditleri algılamak için özel analitik kuralları oluşturma
- Güvenlik tehditlerini avlamak için Jupyter Notebook kullanma
Daha fazla bilgi için videomuza da bakın: Başarı için SecOps Mimarisi Oluşturma: Microsoft Sentinel Dağıtımı için En İyi Yöntemler
Gerçekleştirilecek normal SOC etkinlikleri
Güvenlikle ilgili en iyi yöntemlerin devamını sağlamak için aşağıdaki Microsoft Sentinel etkinliklerini düzenli olarak zamanlayın:
Günlük görevler
Olayları önceliklendirme ve araştırma. Şu anda yapılandırılmış analiz kuralları tarafından oluşturulan yeni olayları denetlemek ve yeni olayları araştırmaya başlamak için Microsoft Sentinel Olayları sayfasını gözden geçirin. Daha fazla bilgi için bkz . Öğretici: Microsoft Sentinel ile olayları araştırma.
Tehdit avcılığı sorgularını ve yer işaretlerini keşfedin. Tüm yerleşik sorguların sonuçlarını keşfedin ve mevcut tehdit avcılığı sorgularını ve yer işaretlerini güncelleştirin. El ile yeni olaylar oluşturun veya varsa eski olayları güncelleştirin. Daha fazla bilgi için bkz.
Analiz kuralları. Hem yeni yayımlanan hem de yakın zamanda bağlanan veri bağlayıcılarından yeni kullanılabilir kurallar dahil olmak üzere yeni analiz kurallarını gözden geçirin ve uygun şekilde etkinleştirin.
Veri bağlayıcıları. Verilerin aktığından emin olmak için her veri bağlayıcısından alınan son günlüğün durumunu, tarihini ve saatini gözden geçirin. Yeni bağlayıcıları denetleyin ve ayarlanan sınırların aşılmadığından emin olmak için alımı gözden geçirin. Daha fazla bilgi için bkz . Veri toplama en iyi yöntemleri ve Veri kaynaklarını bağlama.
Log Analytics Aracısı. Sunucuların ve iş istasyonlarının çalışma alanına etkin bir şekilde bağlandığını doğrulayın ve başarısız bağlantıların sorunlarını giderin ve düzeltin. Daha fazla bilgi için bkz . Log Analytics Aracısı'ne genel bakış.
Playbook hataları. Playbook çalıştırma durumlarını doğrulayın ve tüm hataları giderin. Daha fazla bilgi için bkz . Öğretici: Microsoft Sentinel'de playbook'ları otomasyon kurallarıyla kullanma.
Haftalık görevler
Çözümlerin veya tek başına içeriğin içerik incelemesi. İçerik hub'ından yüklü çözümleriniz veya tek başına içeriğiniz için tüm içerik güncelleştirmelerini alın. Analiz kuralları, çalışma kitapları, avlanma sorguları veya playbook'lar gibi ortamınız için değerli olabilecek yeni çözümleri veya tek başına içeriği gözden geçirin.
Microsoft Sentinel denetimi. Analiz kuralları, yer işaretleri vb. gibi kaynakları kimin güncelleştirdiğini veya sildiğine bakmak için Microsoft Sentinel etkinliğini gözden geçirin. Daha fazla bilgi için bkz. Microsoft Sentinel sorgularını ve etkinliklerini denetleme.
Aylık görevler
Kullanıcı erişimini gözden geçirin. Kullanıcılarınızın izinlerini gözden geçirin ve etkin olmayan kullanıcıları denetleyin. Daha fazla bilgi için bkz. Microsoft Sentinel'de İzinler.
Log Analytics çalışma alanı incelemesi. Log Analytics çalışma alanı veri saklama ilkesinin kuruluşunuzun ilkesiyle uyumlu olmaya devam ettiğini gözden geçirin. Daha fazla bilgi için bkz. Veri saklama ilkesi ve Uzun süreli günlük saklama için Azure Veri Gezgini tümleştirme.
Microsoft güvenlik hizmetleriyle tümleştirme
Microsoft Sentinel, çalışma alanınıza veri gönderen bileşenler tarafından güçlendirilir ve diğer Microsoft hizmetleriyle tümleştirmeler sayesinde daha güçlü hale getirilmiştir. Microsoft Defender for Cloud Apps, Microsoft Defender تېرمىنال قوغدىغۇچ ve Microsoft Defender پەرقلىگۈچ قوغدىغۇچ gibi ürünlere alınan tüm günlükler bu hizmetlerin algılamalar oluşturmasına izin verir ve bu algılamaları Microsoft Sentinel'e sağlar. Günlükler, olaylar ve olaylar için daha ayrıntılı bir resim sağlamak üzere doğrudan Microsoft Sentinel'e de aktarılabilir.
Örneğin, aşağıdaki görüntüde Microsoft Sentinel'in ortamınız için kapsam sağlamak üzere diğer Microsoft hizmetlerinden ve çok bulutlu ve iş ortağı platformlarından verileri nasıl aldği gösterilmektedir:
Microsoft Sentinel, diğer kaynaklardan gelen uyarıları ve günlükleri almaktan daha fazlası:
- Makine öğrenmesi ile alınan bilgileri kullanarak daha iyi olay bağıntısı, uyarı toplama, anomali algılama ve daha fazlasını sağlar.
- Çalışma kitapları aracılığıyla hem yönetici görevleri hem de araştırmalarda kullanılan eğilimleri, ilgili bilgileri ve önemli verileri gösteren etkileşimli görseller oluşturur ve sunar.
- Uyarılar üzerinde işlem yapmak, bilgi toplamak, öğeler üzerinde eylemler gerçekleştirmek ve çeşitli platformlara bildirim göndermek için playbook'ları çalıştırır.
- SOC ekipleri için temel hizmetler sağlamak üzere ServiceNow ve Jira gibi iş ortağı platformlarıyla tümleştirilir.
- Araştırma için değerli veriler getirmek üzere tehdit bilgileri platformlarındanzenginleştirme akışlarını alır ve getirir.
Olayları yönetme ve yanıtlama
Aşağıdaki görüntüde, bir olay yönetimi ve yanıt sürecinde önerilen adımlar gösterilmektedir.
Aşağıdaki bölümlerde, süreç boyunca olay yönetimi ve yanıt için Microsoft Sentinel özelliklerinin nasıl kullanılacağına ilişkin üst düzey açıklamalar sağlanmaktadır. Daha fazla bilgi için bkz . Öğretici: Microsoft Sentinel ile olayları araştırma.
Olaylar sayfasını ve Araştırma grafiğini kullanma
Yeni olaylar için önceliklendirme işlemlerini Microsoft Sentinel'deki Microsoft Sentinel Olayları sayfasından ve Araştırma grafiğinden başlatın.
Hesaplar, URL'ler, IP adresi, konak adları, etkinlikler, zaman çizelgesi ve daha fazlası gibi önemli varlıkları keşfedin. Elinizde hatalı pozitif sonuç olup olmadığını anlamak için bu verileri kullanın. Bu durumda olayı doğrudan kapatabilirsiniz.
Oluşturulan tüm olaylar, önceliklendirme ve erken araştırma için merkezi konum olarak hizmet veren Olaylar sayfasında görüntülenir. Olaylar sayfasında başlık, önem derecesi ve ilgili uyarılar, günlükler ve ilgi çekici varlıklar listelenir. Olaylar ayrıca toplanan günlüklere ve olayla ilgili tüm araçlara hızlı bir atlama sağlar.
Olaylar sayfası, kullanıcıların bir saldırının tüm kapsamını göstermek için bir uyarıyı keşfetmesini ve derinlemesine incelemesini sağlayan etkileşimli bir araç olan Araştırma grafı ile birlikte çalışır. Kullanıcılar daha sonra olayların zaman çizelgesini oluşturabilir ve bir tehdit zincirinin kapsamını keşfedebilir.
Olayın gerçek bir pozitif olduğunu fark ederseniz günlükleri , varlıkları araştırmak ve tehdit zincirini keşfetmek için doğrudan Olaylar sayfasından işlem yapın. Tehdidi tanımlayıp bir eylem planı oluşturduktan sonra araştırmaya devam etmek için Microsoft Sentinel'deki diğer araçları ve diğer Microsoft güvenlik hizmetlerini kullanın.
Çalışma kitaplarıyla olayları işleme
Microsoft Sentinel çalışma kitapları, bilgileri ve eğilimleri görselleştirmeye ve görüntülemeye ek olarak değerli araştırma araçlarıdır.
Örneğin, belirli olayları ilişkili varlıklar ve uyarılarla birlikte araştırmak için Araştırma İçgörüleri çalışma kitabını kullanın. Bu çalışma kitabı, ilgili günlükleri, eylemleri ve uyarıları göstererek varlıkları daha ayrıntılı incelemenizi sağlar.
Tehdit avcılığı ile olayları işleme
Kök nedenleri araştırıp ararken yerleşik tehdit avcılığı sorguları çalıştırın ve güvenlik ihlallerine ilişkin göstergelerin sonuçlarını denetleyin.
Bir araştırma sırasında veya tehdidi düzeltmek ve ortadan kaldırmaya yönelik adımlar attıktan sonra, devam eden kötü amaçlı olaylar olup olmadığını veya kötü amaçlı olayların devam edip etmediğini gerçek zamanlı olarak izlemek için canlı akışı kullanın.
Varlık davranışıyla olayları işleme
Microsoft Sentinel'deki varlık davranışı, kullanıcıların hesapları ve konak adlarını araştırma gibi belirli varlıklar için eylemleri ve uyarıları gözden geçirmesine ve araştırmasına olanak tanır. Daha fazla bilgi için bkz.
- Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizini (UEBA) Etkinleştirme
- UEBA verileriyle olayları araştırma
- Microsoft Sentinel UEBA zenginleştirmeleri başvurusu
İzleme listeleri ve tehdit bilgileriyle olayları işleme
Tehdit zekası tabanlı algılamaları en üst düzeye çıkarmak için tehdit bilgileri veri bağlayıcılarını kullanarak güvenlik ihlal göstergelerini alındığından emin olun:
- Fusion ve TI Map uyarıları için gereken veri kaynaklarını bağlama
- TAXII ve TIP platformlarından göstergeleri alma
Tehdit avcılığı, günlükleri araştırma veya daha fazla olay oluşturma sırasında analiz kurallarında risk göstergelerini kullanın.
Alınan verilerden ve zenginleştirme verileri gibi dış kaynaklardan verileri birleştiren bir izleme listesi kullanın. Örneğin, kuruluşunuz tarafından kullanılan veya son sonlandırılan çalışanlar tarafından kullanılan IP adresi aralıklarının listelerini oluşturun. Algılama, tehdit avcılığı ve araştırma sırasında kullanmak üzere izleme listelerine kötü amaçlı IP adresleri ekleme gibi zenginleştirme verilerini toplamak için playbook'larla izleme listelerini kullanın.
Olay sırasında, araştırma verilerini içeren izleme listelerini kullanın ve sonra hassas verilerin görünümde kalmamasını sağlamak için araştırmanız tamamlandığında bunları silin.
Sonraki adımlar
Microsoft Sentinel'i kullanmaya başlamak için bkz: