Share via

Öğretici: Microsoft Sentinel'de analiz kurallarını kullanarak tehditleri algılama

  • Makale

Güvenlik Bilgileri ve Olay Yönetimi (SIEM) hizmeti olarak Microsoft Sentinel, kuruluşunuza yönelik güvenlik tehditlerini algılamaktan sorumludur. Bunu, tüm sistemlerinizin günlükleri tarafından oluşturulan çok büyük hacimli verileri analiz ederek yapar.

Bu öğreticide, ortamınızda Apache Log4j güvenlik açığının açıklarını aramak için bir şablondan Microsoft Sentinel analiz kuralı ayarlamayı öğreneceksiniz. Kural, günlüklerinizde bulunan kullanıcı hesaplarını ve IP adreslerini izlenebilir varlıklar olarak çerçeveler, kurallar tarafından oluşturulan uyarılarda dikkate değer bilgileri ortaya çıkartır ve uyarıları araştırılacak olaylar olarak paketler.

Bu öğreticiyi tamamladığınızda şunları yapabileceksiniz:

  • Şablondan analiz kuralı oluşturma
  • Kuralın sorgusunu ve ayarlarını özelleştirme
  • Üç uyarı zenginleştirme türünü yapılandırma
  • Kurallarınız için otomatik tehdit yanıtlarını seçme

Önkoşullar

Bu öğreticiyi tamamlamak için şunlar sahip olduğunuzdan emin olun:

  • Azure aboneliği. Henüz bir hesabınız yoksa ücretsiz bir hesap oluşturun.

  • Üzerinde Microsoft Sentinel çözümünün dağıtıldığı ve içine veri alınan bir Log Analytics çalışma alanı.

  • Microsoft Sentinel'in dağıtıldığı Log Analytics çalışma alanında Microsoft Sentinel Katkıda Bulunanı rolü atanmış bir Azure kullanıcısı.

  • Bu kuralda aşağıdaki veri kaynaklarına başvurulur. Bağlayıcıları ne kadar çok dağıttıysanız, kural o kadar etkili olur. En az bir tane olmalı.

    Data source Başvuruda yer alınan Log Analytics tabloları
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure İzleyici (VM Analizler) VM Bağlan ion
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (Güvenlik Duvarı) CommonSecurityLog (PaloAlto)
    Güvenlik Olayları SecurityEvents
    Microsoft Entra ID SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure İzleyici (WireData) WireData
    Azure İzleyici (IIS) W3CIISLog
    Azure Etkinliği AzureActivity
    Amazon Web Hizmetleri AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Azure Güvenlik Duvarı AzureDiagnostics (Azure Güvenlik Duvarı)

Azure portalında ve Microsoft Sentinel'de oturum açın

  1. Azure Portal oturum açın.

  2. Arama çubuğunda Microsoft Sentinel'i arayın ve seçin.

  3. Kullanılabilir Microsoft Sentinel çalışma alanları listesinden çalışma alanınızı arayın ve seçin.

İçerik hub'ından çözüm yükleme

  1. Microsoft Sentinel'de, İçerik yönetimi'nin altındaki sol taraftaki menüde İçerik hub'ı seçin.

  2. Log4j Güvenlik Açığı Algılama çözümünü arayın ve seçin.

  3. Sayfanın üst kısmındaki araç çubuğunda Yükle/Güncelleştir'i seçin.

Şablondan zamanlanmış analiz kuralı oluşturma

  1. Microsoft Sentinel'de, Yapılandırma'nın altındaki sol taraftaki menüde Analiz'i seçin.

  2. Analiz sayfasından Kural şablonları sekmesini seçin.

  3. Kural şablonları listesinin en üstündeki arama alanına log4j yazın.

  4. Filtrelenmiş şablon listesinden Log4j güvenlik açığı açıklarından yararlanma(Log4Shell IP IOC) öğesini seçin. Ayrıntılar bölmesinde Kural oluştur'u seçin.

    Screenshot showing how to search for and locate template and create analytics rule.

    Analiz kuralı sihirbazı açılır.

  5. Genel sekmesindeki Ad alanına Log4j güvenlik açığı açıklarından yararlanma aka Log4Shell IP IOC - Tutorial-1 yazın.

  6. Kalan alanları bu sayfada olduğu gibi bırakın. Bunlar varsayılan değerlerdir, ancak daha sonraki bir aşamada uyarı adına özelleştirme ekleyeceğiz.

    Kuralın hemen çalışmasını istemiyorsanız Devre Dışı'nı seçin; kural Etkin kurallar sekmenize eklenir ve ihtiyacınız olduğunda buradan etkinleştirebilirsiniz.

  7. İleri: Kural mantığını ayarla'yı seçin. Screenshot of the General tab of the Analytics rule wizard.

Kural sorgu mantığını ve ayarların yapılandırmasını gözden geçirme

  • Kural mantığını ayarla sekmesinde, kural sorgusu başlığı altında gösterildiği gibi sorguyu gözden geçirin.

    Bir kerede sorgu metninin daha fazlasını görmek için sorgu penceresinin sağ üst köşesindeki çapraz çift ok simgesini seçerek pencereyi daha büyük bir boyuta genişletin.

    Screenshot of the Set rule logic tab of the Analytics rule wizard.

Uyarıları varlıklar ve diğer ayrıntılarla zenginleştirme

  1. Uyarı zenginleştirme'nin altında Varlık eşleme ayarlarını olduğu gibi tutun. Eşlenmiş üç varlığı not edin.

    Screenshot of existing entity mapping settings.

  2. Özel ayrıntılar bölümünde her oluşumun zaman damgasını uyarıya ekleyelim; böylece detaya gitmek zorunda kalmadan doğrudan uyarı ayrıntılarında görebilirsiniz.

    1. Anahtar alanına zaman damgasıyazın. Bu, uyarıdaki özellik adı olacaktır.
    2. Değer açılan listesinden zaman damgasını seçin.

  3. Uyarı ayrıntıları bölümünde, uyarı adını özelleştirerek her oluşumun zaman damgasının uyarı başlığında görünmesini sağlayın.

    Uyarı adı biçimi alanına {{timestamp}} konumunda Log4j güvenlik açığı açığı açığı olan Log4Shell IP IOC girin.

    Screenshot of custom details and alert details configurations.

Kalan ayarları gözden geçirme

  1. Kural mantığını ayarla sekmesinde kalan ayarları gözden geçirin. Örneğin aralığı değiştirmek isterseniz herhangi bir şeyi değiştirmenize gerek yoktur. Sürekli kapsamı korumak için geri arama döneminin aralıkla eşleştiğinden emin olun.

    • Sorgu zamanlaması:

      • Her 1 saatte bir sorguyu çalıştırın.
      • Son 1 saatlik verileri arama.

    • Uyarı eşiği:

      • Sorgu sonucu sayısı 0'dan büyük olduğunda uyarı oluşturun.

    • Olay gruplandırma:

      • Kural sorgusu sonuçlarının uyarılar halinde nasıl gruplandırılmış olduğunu yapılandırın: Tüm olayları tek bir uyarıda gruplandırma.

    • Bastırma:

      • Uyarı oluşturulduktan sonra sorguyu çalıştırmayı durdur: Kapalı.

    Screenshot of remaining rule logic settings for analytics rule.

  2. İleri: Olay ayarları'nı seçin.

Olay oluşturma ayarlarını gözden geçirin

  1. Olay ayarları sekmesindeki ayarları gözden geçirin. Örneğin, olay oluşturma ve yönetim için farklı bir sisteminiz olmadığı ve bu durumda olay oluşturmayı devre dışı bırakmak isteyeceğiniz sürece hiçbir şeyi değiştirmeniz gerekmez.

    • Olay ayarları:

      • Bu analiz kuralı tarafından tetiklenen uyarılardan olaylar oluşturun: Etkin.

    • Uyarı gruplandırma:

      • Bu analiz kuralı tarafından tetiklenen ilgili uyarıları olaylar halinde gruplandırma: Devre dışı.

    Screenshot of the Incident settings tab of the Analytics rule wizard.

  2. İleri: Otomatik yanıt'ı seçin.

Otomatik yanıtları ayarlama ve kuralı oluşturma

Otomatik yanıt sekmesinde:

  1. Bu analiz kuralı için yeni bir otomasyon kuralı oluşturmak için + Yeni ekle'yi seçin. Bu, Yeni otomasyon kuralı oluşturma sihirbazını açar.

    Screenshot of Automated response tab in Analytics rule wizard.

  2. Otomasyon kuralı adı alanına Log4J güvenlik açığı açıklarından yararlanma algılama - Tutorial-1 girin.

  3. Tetikleyici ve Koşullar bölümlerini olduğu gibi bırakın.

  4. Eylemler'in altında, açılan listeden Etiket ekle'yi seçin.

    1. + Etiket ekle'yi seçin.
    2. Metin kutusuna Log4J exploit yazın ve Tamam'ı seçin.

  5. Kural süre sonu ve Sipariş bölümlerini olduğu gibi bırakın.

  6. Uygula'yı seçin. Yakında otomatik yanıt sekmesindeki listede yeni otomasyon kuralınızı göreceksiniz.

  7. Yeni analiz kuralınızın tüm ayarlarını gözden geçirmek için İleri: Gözden Geçir'i seçin. "Doğrulama başarılı oldu" iletisi görüntülendiğinde Oluştur'u seçin. Yukarıdaki Genel sekmesinde kuralı Devre Dışıolarak ayarlamadığınız sürece, kural hemen çalışır.

    Tam incelemenin görüntülenmesi için aşağıdaki görüntüyü seçin (sorgu metninin çoğu görüntülenebilirlik için kırpıldı).

    Screenshot of the Review and Create tab of the Analytics rule wizard.

Kuralın başarısını doğrulama

  1. Oluşturduğunuz uyarı kurallarının sonuçlarını görüntülemek için Olaylar sayfasına gidin.

  2. Olay listesini analiz kuralınız tarafından oluşturulanlara göre filtrelemek için, Arama çubuğuna oluşturduğunuz analiz kuralının adını (veya adının bir bölümünü) girin.

  3. Başlığı analiz kuralının adıyla eşleşen bir olay açın. Otomasyon kuralında tanımladığınız bayrağın olaya uygulandığına bakın.

Kaynakları temizleme

Bu analiz kuralını kullanmaya devam etmeyecekseniz, aşağıdaki adımlarla oluşturduğunuz analiz ve otomasyon kurallarını silin (veya en azından devre dışı bırakın):

  1. Analiz sayfasında Etkin kurallar sekmesini seçin.

  2. Arama çubuğuna oluşturduğunuz analiz kuralının adını (veya adının bir kısmını) girin.
    (Görünmüyorsa, filtrelerin Tümünü seç.)

  3. Listede kuralınızın yanındaki onay kutusunu işaretleyin ve üst başlıktan Sil'i seçin.
    (Silmek istemiyorsanızBunun yerine devre dışı bırak .)

  4. Otomasyon sayfasında Otomasyon kuralları sekmesini seçin.

  5. Oluşturduğunuz otomasyon kuralının adını (veya adının bir kısmını) Arama çubuğuna girin.
    (Görünmüyorsa, filtrelerin Tümünü seç.)

  6. Listede otomasyon kuralınızın yanındaki onay kutusunu işaretleyin ve üst başlıktan Sil'i seçin.
    (Silmek istemiyorsanızBunun yerine devre dışı bırak .)

Sonraki adımlar

Analiz kurallarını kullanarak yaygın bir güvenlik açığından yararlanmayı nasıl arayacağınızı öğrendiğinize göre, Microsoft Sentinel'de analizle neler yapabileceğiniz hakkında daha fazla bilgi edinin:

  • Zamanlanmış analiz kurallarındaki tüm ayarlar ve yapılandırmalar hakkında bilgi edinin.

  • Özellikle, burada gördüğünüz farklı uyarı zenginleştirme türleri hakkında daha fazla bilgi edinin:

  • Microsoft Sentinel'deki diğer analiz kuralları ve işlevleri hakkında bilgi edinin.

  • Kusto Sorgu Dili'de (KQL) sorgu yazma hakkında daha fazla bilgi edinin. KQL kavramları ve sorguları hakkında daha fazla bilgi edinin ve bu kullanışlı hızlı başvuru kılavuzuna bakın.