Microsoft Sentinel ile arama sırasında verileri izleyin

  • Makale
  • Okumak için 6 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Not

ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri için Bulut özelliği kullanılabilirliği'nin Microsoft Sentinel tablolarına bakın.

Tehdit araması genellikle kötü amaçlı davranış kanıtlarını arayan günlük verilerinin dağlarını gözden geçirmeyi gerektirir. Bu işlem sırasında, araştırmacıya olası hipotezleri doğrulama işleminin bir parçası olarak anımsanması, geri yüklemek ve analiz etmek istedikleri olayları bulur ve bir güvenliğin bir bütün hikayesini anlayın.

Microsoft Sentinel 'de bulunan yer işaretleri, Microsoft Sentinel-logs' da çalıştırdığınız sorguları koruyarak ve ilgili önemli sonuçlarla birlikte, bunu yapmanıza yardımcı olur. Ayrıca not ve etiket ekleyerek bağlamsal gözlemlerinizi kaydedebilir ve bulgularınıza başvurabilirsiniz. Yer işareti eklediğiniz verileri ekip arkadaşlarınız da göreceğinden kolayca işbirliği yapabilirsiniz.

Şimdi, özel arama sorgularınızı MITRE ATT&CK teknikleriyle eşleyerek, MITRE ATT&CK tekniğinin içindeki boşlukları tanımlayabilir ve adresleyerek her türlü sorgu arasında yer bulabilirsiniz.

Önemli

MITRE ATT&CK tekniklerini yer işaretlerine eşleme Şu anda Önizleme aşamasındadır. beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.

Ayrıca, özel sorgularda Microsoft Sentinel Analytics tarafından desteklenen varlık türlerinin ve tanımlayıcıların tam kümesini eşleştirerek, yer işaretleri ile arama yaparken daha fazla varlık türünü inceleyebilirsiniz. Bu, varlık sayfaları, Olaylar ve araştırma grafıkullanılarak sorgu sonuçlarının döndürdüğü varlıkları araştırmak için yer işaretlerini kullanmanıza olanak sağlar. Bir yer işareti, bir arama sorgusunun sonuçlarını yakaladığında, otomatik olarak sorgunun MITRE ATT&CK tekniğini ve varlık eşlemelerini devralır.

Önemli

Genişletilmiş bir varlık türleri kümesi ve tanımlayıcıları yer işaretlerine eşleme, şu anda Önizleme aşamasındadır. beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.

Günlüklerinizi yazarken ele alınması gereken bir şeyi fark ederseniz, kolayca bir yer işareti oluşturabilir ve bunu bir olaya yükseltebilir ya da var olan bir olaya ekleyebilirsiniz. Olaylar hakkında daha fazla bilgi için bkz. Microsoft Sentinel ile olayları araştırma.

Bir hata işareti işareti buldıysanız, ancak bu durum hemen acil olmayan bir yer işareti oluşturabilir ve sonra da yer işareti eklenen verilerinizi herhangi bir zamanda, kitap oluşturma bölmesinin yer işaretleri sekmesinde dilediğiniz zaman yeniden ziyaret edebilirsiniz. Filtreleme ve arama seçeneklerini kullanarak mevcut araştırmanızla ilgili verilere hızlıca ulaşabilirsiniz.

Yer işareti ayrıntılarından Araştır ' i seçerek yer işaretli verilerinizi görselleştirebilirsiniz. Bu, etkileşimli bir varlık grafik diyagramı ve zaman çizelgesi kullanarak bulgularınızı görüntüleyebilmeniz, araştırmanız ve görsel olarak iletişim kurabileceğiniz araştırma deneyimini başlatır.

Alternatif olarak, yer işaretli verilerinizi, Log Analytics çalışma alanınızdaki Huntingbookmark tablosunda doğrudan görüntüleyebilirsiniz. Örnek:

Arama yer işaretleri tablosunun görüntüleme ekran görüntüsü.

Tablodaki yer imlerini görüntüleme, yer işaretlerinin diğer veri kaynaklarıyla filtrelenmesini, özetlemenizi ve birleştirilmesini sağlar ve bu da eş olmayan kanıtları kolayca arayabilir.

Bir yer işareti ekleme

  1. Azure Portal, Microsoft Sentinel > tehdit yönetimi'ne giderek > şüpheli ve anormal davranışlar için sorgular çalıştırın.

  2. Sorgu arama ayrıntılarından birini seçin ve sağ tarafta sorgu ayrıntılarını Çalıştır' ı seçin.

  3. Sorgu sonuçlarını görüntüle' yi seçin. Örnek:

    Microsoft Sentinel arama 'dan sorgu sonuçlarını görüntüleme ekran görüntüsü.

    Bu eylem, sorgu sonuçlarını Günlükler bölmesinde açar.

  4. Günlük sorgusu sonuçları listesinden, ilgi çekici bulduğunuz bilgileri içeren bir veya daha fazla satır seçmek için onay kutularını kullanın.

  5. Yer Işareti Ekle öğesini seçin:

    Sorguya hunme yer işareti ekleme ekranının ekran görüntüsü.

  6. Sağ tarafta, yer Işareti Ekle bölmesindeki isteğe bağlı olarak, yer işareti adını güncelleştirin, Etiketler ekleyin ve öğe hakkında ne ilginç olduğunu belirlemenize yardımcı olması için notları ekleyin.

  7. (Önizleme) Yer işaretleri isteğe bağlı olarak, MITRE ATT&CK teknikleri veya alt tekniklerle eşleştirilebilir. MITRE ATT&CK eşlemeleri, biçimlendirme sorgularında eşlenen değerlerden devralınır, ancak bunları el ile de oluşturabilirsiniz. Yer işareti ekle bölmesinin taktik & teknikleri (Önizleme) bölümündeki açılan menüden istenen teknikle ilişkili Mitre ATT&CK Tactik öğesini seçin. Menü, tüm MITRE ATT&CK tekniklerini gösterecek şekilde genişletilir ve bu menüdeki birden çok tekniği ve alt tekniği seçebilirsiniz.

    Mitre saldırı taclerine ve tekniklerine yer işaretlerine nasıl eşleneceğini gösteren ekran görüntüsü.

  8. (Önizleme) Artık genişletilmiş bir varlık kümesi, daha fazla araştırma için yer işaretli sorgu sonuçlarından ayıklanamaz. Varlık eşleme (Önizleme) bölümünde, varlık türlerini ve tanımlayıcılarıseçmek için açılan listeleri kullanın. Ardından karşılık gelen tanımlayıcıyı içeren sorgu sonuçlarında sütunu eşleyin. Örnek:

    Yer işaretleri için varlık türlerini eşlemek üzere ekran görüntüsü.

    Araştırma grafiğinde yer işaretini görüntülemek için en az bir varlığı eşlemeniz gerekir. Bu önizleme öncesinde oluşturulan hesaba, konağa, IP 'ye ve URL varlık türlerine yönelik varlık eşlemeleri yine de desteklenmeye devam etmeden, geriye dönük uyumluluk korunur.

  9. Değişikliklerinizi uygulamak ve yer işaretini eklemek için Kaydet ' e tıklayın. Tüm yer işaretli veriler diğer analistlerle paylaşılır ve işbirlikçi araştırma deneyimine yönelik bir ilk adımdır.

Not

Günlük sorgusu sonuçları, bu bölme Microsoft Sentinel 'ten her açıldığında yer işaretlerini destekler. Örneğin, gezinti çubuğundan genel > Günlükler ' i seçin, araştırmalar grafiğinde olay bağlantıları ' nı seçin veya bir olayın tüm ayrıntılarından bir uyarı kimliği (Şu anda önizleme aşamasında) seçin. Günlükler bölmesi, doğrudan Azure izleyici 'den farklı konumlardan açıldığında yer işaretleri oluşturamazsınız.

Yer imlerini görüntüleme ve güncelleştirme

  1. Azure Portal, Microsoft Sentinel > tehdit yönetimi'ne gidin > .

  2. Yer işaretleri listesini görüntülemek için yer işaretleri sekmesini seçin.

  3. Belirli bir yer işaretini bulmanıza yardımcı olmak için arama kutusunu veya filtre seçeneklerini kullanın.

  4. Tek yer imlerini seçin ve sağ Ayrıntılar bölmesinde yer işareti ayrıntılarını görüntüleyin.

  5. Değişikliklerinizi gerektiği gibi yapın, bu da otomatik olarak kaydedilir.

Araştırma grafiğinde yer imlerini keşfetme

  1. Azure Portal, Microsoft Sentinel > tehdit yönetimi arama > > yer işaretleri sekmesine gidin ve araştırmak istediğiniz yer işaretlerini veya yer imlerini seçin.

  2. Yer işareti ayrıntılarında, en az bir varlığın eşlendiğinden emin olun.

  3. Araştırma grafiğinde yer işaretini görüntülemek için Araştır ' ı seçin.

Araştırma grafiğini kullanma hakkında yönergeler için bkz. araştırma grafiğini kullanarak derinlemesinebakış.

Yeni veya mevcut bir olaya yer işaretleri ekleme

  1. Azure Portal, Microsoft Sentinel > tehdit yönetimi arama > > yer işaretleri sekmesine gidin ve bir olaya eklemek istediğiniz yer işaretlerini veya yer imlerini seçin.

  2. Komut çubuğundan olay eylemlerini seçin:

    Olaya yer işareti ekleme ekranının ekran görüntüsü.

  3. Yeni olay oluştur ' u seçin veya mevcut olaya uygun şekilde ekleyin. Ardından:

    • Yeni bir olay için: Isteğe bağlı olarak olay ayrıntılarını güncelleştirin ve ardından Oluştur' u seçin.
    • Var olan bir olaya bir yer işareti eklemek için: bir olay seçin ve ardından Ekle' yi seçin.

Olay içindeki yer işaretini görüntülemek için: Microsoft Sentinel > tehdit yönetim > olayları ' na gidin ve yer işaretinizdeki olayı seçin. Tüm ayrıntıları görüntüle' yi seçin ve ardından yer imleri sekmesini seçin.

İpucu

Komut çubuğundaki olay eylemleri seçeneğine alternatif olarak, Yeni olay oluşturma, var olan olaya ekleme ve olaydan kaldırma seçeneklerini belirlemek için bir veya daha fazla yer işareti için bağlam menüsünü (...) kullanabilirsiniz.

Günlüklerde yer işaretli verileri görüntüleme

Yer işareti yapılan sorguları, sonuçları veya onların geçmişini görüntülemek için , yer > işaretleri sekmesinden yer işaretini seçin ve Ayrıntılar bölmesinde sunulan bağlantıları kullanın:

  • Kaynak sorguyu Günlükler bölmesinde görüntülemek için kaynak sorgusunu görüntüleyin .

  • Güncelleştirmeyi kimin yaptığını, güncelleştirilmiş değerleri ve güncelleştirmenin gerçekleştiği saati içeren tüm yer işareti meta verilerini görmek için yer işareti günlüklerini görüntüleyin .

Ayrıca , yer işaretleri sekmesindeki komut çubuğundan yer işareti günlükleri ' ni seçerek tüm yer işaretlerine ait ham yer işareti verilerini görüntüleyebilirsiniz > :

Yer işareti günlükleri komutunun ekran görüntüsü.

Bu görünüm, ilişkili meta verilerle tüm yer işaretlerinizi gösterir. Kusto sorgu dili (KQL) sorgularını, aradığınız belirli yer işaretinin en son sürümüne göre filtrelemek için kullanabilirsiniz.

Not

Bir yer işareti oluşturduğunuz zaman ve yer işaretleri sekmesinde görüntülendiğinde önemli bir gecikme (dakika cinsinden ölçülür) olabilir.

Yer işaretini silme

  1. Azure Portal, Microsoft Sentinel > tehdit yönetimi arama > > yer işaretleri sekmesine gidin ve silmek istediğiniz yer işaretlerini veya yer imlerini seçin.

  2. Seçimlerinizi sağ tıklayın ve seçtiğiniz yer işaretlerinin sayısını silme seçeneğini belirleyin.

Yer işaretini silmek yer işaretini yer işareti sekmesindeki listeden kaldırır. Log Analytics çalışma alanınızın Huntingbookmark tablosu, önceki yer işareti girdilerini içermeye devam edecektir, ancak en son giriş softdelete değerini doğru olarak değiştirecek ve eski yer işaretlerinin filtrelemesine olanak sağlar. Bir yer işaretinin silinmesi, diğer yer işaretleri veya uyarılarla ilişkili araştırma deneyiminden hiçbir varlığı kaldırmaz.

Sonraki adımlar

Bu makalede, Microsoft Sentinel 'de yer işaretleri kullanarak bir araştırma araştırması çalıştırmayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: