Share via

Microsoft Sentinel'de uçtan uca proaktif tehdit avcılığı gerçekleştirme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Proaktif tehdit avcılığı, güvenlik analistlerinin algılanmayan tehditleri ve kötü amaçlı davranışları aradığı bir süreçtir. Bir hipotez oluşturarak, verilerde arama yaparak ve bu hipotezi doğrulayarak, ne üzerinde işlem yapmak zorunda olduklarını belirlerler. Eylemler arasında yeni algılamalar, yeni tehdit bilgileri oluşturma veya yeni bir olay oluşturma sayılabilir.

Microsoft Sentinel'de uçtan uca avlanma deneyimini kullanarak:

  • Belirli MITRE tekniklerine, kötü amaçlı olabilecek etkinliklere, son tehditlere veya kendi özel hipotezinize göre proaktif olarak avlanır.
  • Kötü amaçlı davranışları araştırmak için güvenlik araştırmacısı tarafından oluşturulan avlanma sorgularını veya özel tehdit avcılığı sorgularını kullanın.
  • Zaman içinde bağlamı korumanızı sağlayan birden çok kalıcı sorgu sekmesi kullanarak avlarınızı gerçekleştirin.
  • Kanıt toplayın, UEBA kaynaklarını araştırın ve belirli yer işaretlerini kullanarak bulgularınıza açıklama ekleyin.
  • İşbirliği yapın ve bulgularınızı yorumlarla belgelenin.
  • Yeni analiz kuralları, yeni olaylar, yeni tehdit göstergeleri ve playbook'ları çalıştırarak sonuçlar üzerinde işlem yapma.
  • Yeni, aktif ve kapalı avlarınızı tek bir yerde takip edin.
  • Doğrulanmış hipotezlere ve somut sonuçlara göre ölçümleri görüntüleyin.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Avlanma özelliğini kullanabilmeniz için size yerleşik bir Microsoft Sentinel rolü veya özel bir Azure RBAC rolü atanması gerekir. Seçenekleriniz şunlardır:

Hipotezinizi tanımlama

Hipotez tanımlamak açık uçlu, esnek bir süreçtir ve doğrulamak istediğiniz herhangi bir fikri içerebilir. Yaygın hipotezler şunlardır:

  • Şüpheli davranış - Bir saldırının gerçekleşip gerçekleşmediğini belirlemek için ortamınızda görünür olabilecek kötü amaçlı etkinlikleri araştırın.
  • Yeni tehdit kampanyası - Yeni bulunan tehdit aktörlerine, tekniklerine veya güvenlik açıklarına göre kötü amaçlı etkinlik türlerini arayın. Bu, güvenlik haberleri makalesinde duyduğunuz bir şey olabilir.
  • Algılama boşlukları - Boşlukları tanımlamak için MITRE ATT&CK haritasını kullanarak algılama kapsamınızı artırın.

Microsoft Sentinel, hipotezinizi araştırmak için doğru avlanma sorguları kümesinde sıfır olarak size esneklik sağlar. Bir av oluşturduğunuzda, bunu önceden seçilmiş avlanma sorguları ile başlatın veya ilerledikçe sorgular ekleyin. En yaygın hipotezleri temel alan önceden seçilmiş sorgular için öneriler aşağıdadır.

Hipotez - Şüpheli davranış

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit Avcılığı'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit Yönetimi>Avcılığı'nı seçin.

  2. Sorgular sekmesini seçin. Kötü amaçlı olabilecek davranışları belirlemek için tüm sorguları çalıştırın.

  3. Tüm sorguları çalıştır'ı seçerek sorguların> yürütülmesini bekleyin. Bu işlem biraz zaman alabilir.

  4. Filtre>ekle'yi seçin Sonuçlar> "!", "YOK", "-" ve "0" değerleri Uygula onay kutularının >seçimini kaldırın3. adımda açıklanan filtreyi gösteren ekran görüntüsü.

  5. En son nelerin değiştiğini görmek için bu sonuçları Sonuçlar Delta sütununa göre sıralayın. Bu sonuçlar, avla ilgili ilk rehberlik sağlar.

Hipotez - Yeni tehdit kampanyası

İçerik hub'ı, belirli saldırıları avlamak için tehdit kampanyası ve etki alanı tabanlı çözümler sunar. Aşağıdaki adımlarda, bu tür çözümlerden birini yüklersiniz.

  1. İçerik Hub'ına gidin.

  2. Log4J Güvenlik Açığı Algılama veya Apache Tomcat gibi bir tehdit kampanyası veya etki alanı tabanlı çözüm yükleyin.

    Log4J ve Apache çözümlerinin seçili olduğu kılavuz görünümünde içerik hub'ını gösteren ekran görüntüsü.

  3. Çözüm yüklendikten sonra Microsoft Sentinel'de Tehdit Avcılığı'na gidin.

  4. Sorgular sekmesini seçin.

  5. Çözüm adına göre arama veya çözümün Kaynak Adına göre filtreleme.

  6. Sorguyu seçin ve Sorguyu çalıştır'ı seçin.

Hipotez - Algılama boşlukları

MITRE ATT&CK haritası, algılama kapsamınızdaki belirli boşlukları belirlemenize yardımcı olur. Yeni algılama mantığı geliştirmek için başlangıç noktası olarak belirli MITRE ATT&CK teknikleri için önceden tanımlanmış avlanma sorgularını kullanın.

  1. MITRE ATT&CK (Önizleme) sayfasına gidin.

  2. Etkin açılan menüsündeki öğelerin seçimini kaldırın.

  3. Hangi tekniklerin bunlarla ilişkili avlanma sorguları olduğunu görmek için Sanal filtrede Tehdit Avcılığı sorguları'nı seçin.

    MiTRE ATT&CK sayfasını gösteren ekran görüntüsünde sanal Avlanma sorguları seçeneği belirlenmiştir.

  4. İstediğiniz teknikle kartı seçin.

  5. Ayrıntılar bölmesinin en altındaki Tehdit Avcılığı sorguları'nın yanındaki Görünüm bağlantısını seçin. Bu bağlantı sizi, seçtiğiniz teknik temelinde Tehdit Avcılığı sayfasındaki Sorgular sekmesinin filtrelenmiş görünümüne götürür.

    Tehdit Avcılığı sorguları görünümü bağlantısıyla MITRE ATT&CK kart görünümünü gösteren ekran görüntüsü.

  6. Bu tekniğin tüm sorgularını seçin.

Av Oluşturma

Av oluşturmanın iki temel yolu vardır.

  1. Sorguları seçtiğiniz bir hipotezle başladıysanız, Yeni av oluştur'un Av eylemleri açılan menüsünü >seçin. Seçtiğiniz tüm sorgular bu yeni av için kopyalanır.

    Seçili sorguları ve yeni av oluştur menü seçeneğinin seçili olduğunu gösteren ekran görüntüsü.

  2. Henüz sorgulara karar vermediyseniz, boş bir av oluşturmak için Avlar (Önizleme) sekmesini >Yeni Av'ı seçin.

    Ekran görüntüsü, önceden seçilmiş sorgular olmadan boş bir av oluşturma menüsünü gösterir.

  3. Av adını ve isteğe bağlı alanları doldurun. Açıklama, hipotezinizi sözlü olarak ifade etmek için iyi bir yerdir. Hipotez açılır menüsü, çalışma hipotezinizin durumunu ayarladığınız yerdir.

  4. Başlamak için Oluştur'u seçin.

    Av adı, açıklaması, sahibi, durumu ve hipotez durumunu içeren av oluşturma sayfasını gösteren ekran görüntüsü.

Av ayrıntılarını görüntüleme

  1. Yeni avınızı görüntülemek için Avlar (Önizleme) sekmesini seçin.

  2. Ayrıntıları görüntülemek ve işlem yapmak için ada göre av bağlantısını seçin.

    Avlanma sekmesindeki yeni avları gösteren ekran görüntüsü.

  3. Ayrıntılar bölmesini Hunt adı, Açıklama, İçerik, Son güncelleştirme zamanı ve Oluşturma zamanı ile görüntüleyin.

  4. Sorgular, Yer İşaretleri ve Varlıklar sekmelerine dikkat edin.

    Av ayrıntılarını gösteren ekran görüntüsü.

Sorgular sekmesi

Sorgular sekmesi, bu avlanmaya özgü avlanma sorgularını içerir. Bu sorgular, çalışma alanı içindeki diğer tüm sorgulardan bağımsız olarak özgünlerin kopyalarıdır. Diğer avlardaki genel tehdit avcılığı sorgularınızı veya sorgularınızı etkilemeden bunları güncelleştirin veya silin.

Avlanmaya sorgu ekleme

  1. Sorgu Eylemleri'nin>avlanmak için sorgu eklemesini seçin
  2. Eklemek istediğiniz sorguları seçin. Sorgular sekmesi sayfasındaki sorgu eylemleri menüsünü gösteren ekran görüntüsü.

Sorgu çalıştırma

  1. Tüm sorguları çalıştır'ı seçin veya belirli sorguları seçin ve Seçili sorguları çalıştır'ı seçin.
  2. Sorgu yürütmeyi istediğiniz zaman iptal etmek için İptal'i seçin.

Sorguları yönetme

  1. Bir sorguya sağ tıklayın ve bağlam menüsünden aşağıdakilerden birini seçin:

    • Çalıştır
    • Düzenleyin
    • Kopyalama
    • Delete
    • Analiz kuralı oluşturma

    Bir avın Sorgular sekmesinde sağ tıklama bağlam menüsü seçeneklerini gösteren ekran görüntüsü.

    Bu seçenekler, yalnızca bu av içinde geçerli olan eylemler dışında, Tehdit Avcılığı sayfasındaki mevcut sorgular tablosu gibi davranır. Analiz kuralı oluşturmayı seçtiğinizde, yeni kural oluşturma işleminde ad, açıklama ve KQL sorgusu önceden doldurulur. İlgili analiz kuralları altında bulunan yeni analiz kuralını görüntülemek için bir bağlantı oluşturulur.

    İlgili analiz kuralıyla avlanma ayrıntılarını gösteren ekran görüntüsü.

Sonuçları görüntüleme

Bu özellik, Log Analytics arama deneyiminde tehdit avcılığı sorgu sonuçlarını görmenizi sağlar. Buradan sonuçlarınızı analiz edin, sorgularınızı geliştirin ve bilgileri kaydetmek ve tek tek satır sonuçlarını daha fazla araştırmak için yer işaretleri oluşturun.

  1. Sonuçları görüntüle düğmesini seçin.
  2. Microsoft Sentinel portalının başka bir bölümüne özetlerseniz, ardından av sayfasından LA günlük arama deneyimine geri dönerseniz, tüm LA sorgu sekmeleriniz kalır.
  3. Tarayıcı sekmesini kapatırsanız bu LA sorgu sekmeleri kaybolur. Sorguları uzun vadede kalıcı hale getirmek istiyorsanız sorguyu kaydetmeniz, yeni bir avlanma sorgusu oluşturmanız veya daha sonra av içinde kullanmak üzere bir açıklamaya kopyalamanız gerekir.

Yer işareti ekleme

İlginç sonuçlar veya önemli veri satırları bulduğunuzda, bir yer işareti oluşturarak bu sonuçları ava ekleyin. Daha fazla bilgi için bkz . Veri araştırmaları için tehdit avcılığı yer işaretlerini kullanma.

  1. İstediğiniz satırı veya satırları seçin.

  2. Sonuçlar tablosunun üst kısmında Yer işareti ekle'yi seçin. İsteğe bağlı alanların doldurulduğu yer işareti ekle bölmesini gösteren ekran görüntüsü.

  3. Yer işaretini adlandırın.

  4. Olay zamanı sütununu ayarlayın.

  5. Varlık tanımlayıcılarını eşleyin.

  6. MITRE taktiklerini ve tekniklerini ayarlayın.

  7. Etiketler ekleyin ve notlar ekleyin.

    Yer işaretleri sonucu oluşturan belirli satır sonuçlarını, KQL sorgusunu ve zaman aralığını korur.

  8. Yer işaretini ava eklemek için Oluştur'u seçin.

Yer işaretlerini görüntüleme

  1. Yer işaretlerinizi görüntülemek için avın yer işareti sekmesine gidin.

    Yer işaretinin tüm ayrıntılarını ve av eylem menüsünün açık olduğunu gösteren ekran görüntüsü.

  2. İstediğiniz yer işaretini seçin ve aşağıdaki eylemleri gerçekleştirin:

    • İlgili UEBA varlık sayfasını görüntülemek için varlık bağlantılarını seçin.
    • Ham sonuçları, etiketleri ve notları görüntüleyin.
    • Kaynak sorguyu Log Analytics'te görmek için Kaynak sorguyu görüntüle'yi seçin.
    • Log Analytics tehdit avcılığı yer işareti tablosunda yer işareti içeriğini görmek için Yer işareti günlüklerini görüntüle'yi seçin.
    • Araştırma grafiğinde yer işaretini ve ilgili varlıkları görüntülemek için Araştır düğmesini seçin.
    • Etiketleri, MITRE taktiklerini ve tekniklerini ve notları güncelleştirmek için Düzenle düğmesini seçin.

Varlıklarla etkileşim kurma

  1. Avınızda bulunan varlıkları görüntülemek, aramak ve filtrelemek için avınızın Varlıklar sekmesine gidin. Bu liste, yer işaretlerindeki varlık listesinden oluşturulur. Varlıklar sekmesi yinelenen girişleri otomatik olarak çözümler.

  2. İlgili UEBA varlık sayfasını ziyaret etmek için varlık adlarını seçin.

  3. TI'ye IP adresi ekleme veya varlık türüne özgü playbook çalıştırma gibi varlık türlerine uygun eylemler yapmak için varlığa sağ tıklayın.

    Varlıklar için bağlam menüsünü gösteren ekran görüntüsü.

Yorum ekleme

Açıklamalar, iş arkadaşlarınızla işbirliği yapmak, notları korumak ve bulguları belgelemek için mükemmel bir yerdir.

  1. seçeneğini belirleyin

  2. Düzenleme kutusuna açıklamanızı yazın ve biçimlendirin.

  3. Bağlamı hızla anlamak için ortak çalışanların bağlantısı olarak bir sorgu sonucu ekleyin.

  4. Açıklamalarınızı uygulamak için Açıklama düğmesini seçin.

    Bağlantı olarak LA sorgusu içeren açıklama düzenleme kutusunu gösteren ekran görüntüsü.

Olay oluşturma

Avlanma sırasında olay oluşturmak için iki seçenek vardır.

1. Seçenek: Yer işaretlerini kullanın.

  1. Bir yer işareti veya yer işareti seçin.

  2. Olay eylemleri düğmesini seçin.

  3. Yeni olay oluştur'u veya Var olan olaya ekle'yi seçin

    Yer işaretleri penceresindeki olay eylemleri menüsünü gösteren ekran görüntüsü.

    • Yeni olay oluştur için kılavuzlu adımları izleyin. Yer işaretleri sekmesi, seçtiğiniz yer işaretleriyle önceden doldurulur.
    • Mevcut olaya ekle için olayı seçin ve Kabul Et düğmesini seçin.

Seçenek 2: Av eylemlerini kullanın.

  1. Av eylemleri menüsünü >Olay oluştur'u seçin ve kılavuzlu adımları izleyin.

    Yer işaretleri penceresindeki av eylemleri menüsünü gösteren ekran görüntüsü.

  2. Yer işareti ekle adımı sırasında, olaya eklemek üzere avdan yer işaretlerini seçmek için Yer işareti ekle eylemini kullanın. Bir olaya atanmamış yer işaretleriyle sınırlısınız.

  3. Olay oluşturulduktan sonra, bu av için İlgili olaylar listesi altında bağlanır.

Durumu güncelleştir

  1. Hipotezinizi doğrulamak veya geçersiz hale getirmek için yeterli kanıt yakaladığınızda, hipotez durumunuzu güncelleştirin.

    Hipotez durumu menü seçimini gösteren ekran görüntüsü.

  2. Analiz kuralları, olaylar oluşturma veya TI'ye risk göstergeleri (ICS) ekleme gibi avla ilişkili tüm eylemler tamamlandığında, avı kapatın.

    Av durumu menü seçimini gösteren ekran görüntüsü.

Bu durum güncelleştirmeleri ana Tehdit Avcılığı sayfasında görünür ve ölçümleri izlemek için kullanılır.

Ölçümleri izleme

Avlanmalar sekmesindeki ölçüm çubuğunu kullanarak avlanma etkinliğinden elde edilen somut sonuçları izleyin. Ölçümler doğrulanmış hipotez sayısını, oluşturulan yeni olayları ve oluşturulan yeni analiz kurallarını gösterir. Hedefleri belirlemek veya avlanma programınızın kilometre taşlarını kutlamak için bu sonuçları kullanın.

Avlanma ölçümlerini gösteren ekran görüntüsü.

Sonraki adımlar

Bu makalede, Microsoft Sentinel'deki avlanma özelliğiyle bir avlanma araştırması çalıştırmayı öğrendiniz.

Daha fazla bilgi için bkz.