Microsoft Sentinel ile tehdit avcılığı sırasında verileri takip etme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tehdit avcılığı genellikle kötü amaçlı davranış kanıtı aramak için günlük verilerinin dağlarını gözden geçirmeyi gerektirir. Bu süreçte araştırmacılar, olası hipotezleri doğrulamanın ve bir uzlaşmanın tam hikayesini anlamanın bir parçası olarak hatırlamak, yeniden ziyaret etmek ve analiz etmek istedikleri olayları bulur.

Microsoft Sentinel'de tehdit avcılığı yer işaretleri, Microsoft Sentinel - Günlükler'de çalıştırdığınız sorguları ve ilgili gördüğünüz sorgu sonuçlarını koruyarak size yardımcı olur. Ayrıca not ve etiket ekleyerek bağlamsal gözlemlerinizi kaydedebilir ve bulgularınıza başvurabilirsiniz. Yer işareti eklediğiniz verileri ekip arkadaşlarınız da göreceğinden kolayca işbirliği yapabilirsiniz.

Artık özel tehdit avcılığı sorgularınızı MITRE ATT&CK teknikleriyle eşleyerek tüm tehdit avcılığı sorgularında MITRE ATT&CK tekniği kapsamındaki boşlukları belirleyebilir ve giderebilirsiniz.

Özel sorgularınızda Microsoft Sentinel Analytics tarafından desteklenen varlık türlerinin ve tanımlayıcıların tam kümesini eşleyerek yer işaretleriyle tehdit avcılığı yaparken daha fazla varlık türünü araştırın. Varlık sayfalarını, olayları ve araştırma grafiğini kullanarak tehdit avcılığı sorgusu sonuçlarında döndürülen varlıkları keşfetmek için yer işaretlerini kullanın. Yer işareti bir tehdit avcılığı sorgusundan sonuçları yakalarsa, sorgunun MITRE ATT&CK tekniğini ve varlık eşlemelerini otomatik olarak devralır.

Günlüklerinizde avlanırken acilen ele alınması gereken bir şey bulursanız, kolayca bir yer işareti oluşturabilir ve bunu bir olaya yükseltebilir veya mevcut bir olaya ekleyebilirsiniz. Olaylar hakkında daha fazla bilgi için bkz . Microsoft Sentinel ile olayları araştırma.

Yer işareti eklemeye değer bir şey bulduysanız ancak bu hemen acil değilse, bir yer işareti oluşturabilir ve ardından tehdit avcılığı bölmesinin Yer İşaretleri sekmesinde yer işareti eklediğiniz verileri istediğiniz zaman yeniden ziyaret edebilirsiniz. Filtreleme ve arama seçeneklerini kullanarak mevcut araştırmanızla ilgili verilere hızlıca ulaşabilirsiniz.

Yer işareti ayrıntılarından Araştır'ı seçerek yer işareti eklediğiniz verileri görselleştirebilirsiniz. Bu, etkileşimli bir varlık grafiği diyagramı ve zaman çizelgesi kullanarak bulgularınızı görüntüleyebileceğiniz, araştırabileceğiniz ve görsel olarak iletebileceğiniz araştırma deneyimini başlatır.

Alternatif olarak, yer işareti eklenen verilerinizi doğrudan Log Analytics çalışma alanınızdaki HuntingBookmark tablosunda görüntüleyebilirsiniz. Örneğin:

Tehdit avcılığı yer işaretleri tablosunu görüntüleme ekran görüntüsü.

Tablodaki yer işaretlerini görüntülemek, yer işareti uygulanmış verileri diğer veri kaynaklarıyla filtrelemenize, özetlemenize ve birleştirmenize olanak sağlayarak doğrulama kanıtı aramanızı kolaylaştırır.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Yer işareti ekleme

Sorguları, sonuçları, gözlemlerinizi ve bulgularınızı korumak için bir yer işareti oluşturun.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit Avcılığı'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit Yönetimi>Avcılığı'nı seçin.

  2. Tehdit avcılığı sorgularından birini seçin.

  3. Tehdit avcılığı sorgusu ayrıntılarında Sorgu Çalıştır'ı seçin.

  4. Sorgu sonuçlarını görüntüle'yi seçin. Örneğin:

    Microsoft Sentinel avcılığından gelen sorgu sonuçlarını görüntüleme ekran görüntüsü.

    Bu eylem sorgu sonuçlarını Günlükler bölmesinde açar.

  5. Günlük sorgusu sonuçları listesinden, ilginç bulduğunuz bilgileri içeren bir veya daha fazla satır seçmek için onay kutularını kullanın.

  6. Yer işareti ekle'yi seçin:

    Sorgulamaya avlanma yer işareti ekleme ekran görüntüsü.

  7. Sağ taraftaki Yer işareti ekle bölmesinde, isteğe bağlı olarak, öğeyle ilgili ilginç olan şeyleri belirlemenize yardımcı olmak için yer işareti adını güncelleştirin, etiketler ve notlar ekleyin.

  8. Yer işaretleri isteğe bağlı olarak MITRE ATT&CK tekniklerine veya alt tekniklerine eşlenebilir. MITRE ATT&CK eşlemeleri, avlanma sorgularındaki eşlenmiş değerlerden devralınır, ancak bunları el ile de oluşturabilirsiniz. Yer işareti ekle bölmesinin Taktikler ve Teknikler bölümündeki açılan menüden istenen teknikle ilişkili MITRE ATT&CK taktiğini seçin. Menü, tüm MITRE ATT&CK tekniklerini gösterecek şekilde genişler ve bu menüden birden çok teknik ve alt teknik seçebilirsiniz.

    Mitre Saldırısı taktiklerini ve tekniklerini yer işaretleriyle eşlemenin ekran görüntüsü.

  9. Artık daha fazla araştırma için yer işaretli sorgu sonuçlarından genişletilmiş bir varlık kümesi ayıklanabilir. Varlık eşleme bölümünde, varlık türlerini ve tanımlayıcılarını seçmek için açılan menüleri kullanın. Ardından ilgili tanımlayıcıyı içeren sorgu sonuçlarındaki sütunu eşleyin. Örneğin:

    Tehdit avcılığı yer işaretlerine yönelik varlık türlerini eşlemek için ekran görüntüsü.

    Araştırma grafiğindeki yer işaretini görüntülemek için en az bir varlığı eşlemeniz gerekir. Oluşturduğunuz hesap, konak, IP ve URL varlık türlerine yapılan varlık eşlemeleri desteklenir ve geriye dönük uyumluluk sağlanır.

  10. Değişikliklerinizi kaydetmek ve yer işaretini eklemek için Kaydet'i seçin. Tüm yer işaretli veriler diğer analistlerle paylaşılır ve işbirliğine dayalı bir araştırma deneyimine yönelik ilk adımdır.

Günlük sorgusu sonuçları, bu bölme Microsoft Sentinel'den açıldığında yer işaretlerini destekler. Örneğin, gezinti çubuğundan Genel>Günlükler'i, araştırma grafiğinde olay bağlantılarını seçin veya bir olayın tüm ayrıntılarından bir uyarı kimliği seçin. Günlükler bölmesi doğrudan Azure İzleyici gibi diğer konumlardan açıldığında yer işaretleri oluşturamazsınız.

Yer işaretlerini görüntüleme ve güncelleştirme

Yer işareti sekmesinde yer işaretini bulun ve güncelleştirin.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit Avcılığı'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit Yönetimi>Avcılığı'nı seçin.

  2. Yer işaretlerinin listesini görüntülemek için Yer İşaretleri sekmesini seçin.

  3. Belirli bir yer işaretini veya yer işaretlerini bulmak için arama yapın veya filtreleyin.

  4. Sağ bölmede yer işareti ayrıntılarını görüntülemek için tek tek yer işaretlerini seçin.

  5. Değişikliklerinizi gerektiği gibi yapın. Değişiklikleriniz otomatik olarak kaydedilir.

Araştırma grafında yer işaretlerini keşfetme

Etkileşimli bir varlık grafiği diyagramı ve zaman çizelgesi kullanarak bulgularınızı görüntüleyebileceğiniz, araştırabileceğiniz ve görsel olarak iletebileceğiniz araştırma deneyimini başlatarak yer işareti eklediğiniz verileri görselleştirin.

  1. Yer İşaretleri sekmesinde araştırmak istediğiniz yer işaretini veya yer işaretlerini seçin.

  2. Yer işareti ayrıntılarında en az bir varlığın eşlendiğinden emin olun.

  3. Araştırma grafiğinde yer işaretini görüntülemek için Araştır'ı seçin.

Araştırma grafını kullanma yönergeleri için bkz . Ayrıntılı inceleme yapmak için araştırma grafını kullanma.

Yeni veya mevcut bir olaya yer işaretleri ekleme

Tehdit Avcılığı sayfasındaki yer işaretleri sekmesinden bir olaya yer işaretleri ekleyin.

  1. Yer İşaretleri sekmesinde, bir olaya eklemek istediğiniz yer işaretini veya yer işaretlerini seçin.

  2. Komut çubuğundan Olay eylemleri'ni seçin:

    Olaya yer işaretleri ekleme ekran görüntüsü.

  3. Uygun şekilde Yeni olay oluştur veya Mevcut olaya ekle'yi seçin. Ardından:

    • Yeni bir olay için: İsteğe bağlı olarak olayın ayrıntılarını güncelleştirin ve oluştur'u seçin.
    • Var olan bir olaya yer işareti eklemek için: Bir olay seçin ve ardından Ekle'yi seçin.

Komut çubuğundaki Olay eylemleri seçeneğine alternatif olarak, bir veya daha fazla yer işareti için bağlam menüsünü (...) kullanarak Yeni olay oluştur, Var olan olaya ekle ve Olaydan kaldır seçeneklerini belirleyebilirsiniz.

Olay içindeki yer işaretini görüntülemek için: Microsoft Sentinel>Tehdit yönetimi>Olayları'na gidin ve yer işaretinizle birlikte olayı seçin. Tüm ayrıntıları görüntüle'yi ve ardından Yer İşaretleri sekmesini seçin.

Günlüklerde yer işaretli verileri görüntüleme

Yer işaretli sorguları, sonuçları veya bunların geçmişini görüntüleyin.

  1. Tehdit Avcılığı>Yer İşaretleri sekmesinden yer işaretini seçin.

  2. Ayrıntılar bölmesinde sağlanan bağlantıları seçin:

    • Günlükler bölmesinde kaynak sorguyu görüntülemek için kaynak sorguyu görüntüleyin.

    • Güncelleştirmeyi kimin yaptığını, güncelleştirilmiş değerleri ve güncelleştirmenin gerçekleştiği saati içeren tüm yer işareti meta verilerini görmek için yer işareti günlüklerini görüntüleyin.

  3. Tehdit Avcılığı>Yer İşaretleri sekmesindeki komut çubuğunda Yer İşaretleri Günlükleri'ni seçerek tüm yer işaretleri için ham yer işareti verilerini görüntüleyin:

    Yer işareti günlükleri komutunun ekran görüntüsü.

Bu görünüm, ilişkili meta verilerle tüm yer işaretlerinizi gösterir. aradığınız yer işaretinin en son sürümüne göre filtrelemek için Kusto Sorgu Dili (KQL) sorgularını kullanabilirsiniz.

Yer işareti oluşturduğunuz süre ile Yer İşaretleri sekmesinde görüntülenmesi arasında önemli bir gecikme (dakika cinsinden ölçülür) olabilir.

Yer işaretini silme

Yer işaretinin silinmesi, yer işaretini Yer İşareti sekmesindeki listeden kaldırır. Log Analytics çalışma alanınızın HuntingBookmark tablosu önceki yer işareti girdilerini içermeye devam eder, ancak en son girdi SoftDelete değerini true olarak değiştirerek eski yer işaretlerini filtrelemeyi kolaylaştırır. Yer işaretinin silinmesi, diğer yer işaretleriyle veya uyarılarla ilişkili araştırma deneyiminden hiçbir varlığı kaldırmaz.

Yer işaretini silmek için aşağıdaki adımları tamamlayın.

  1. Tehdit Avcılığı>Yer İşaretleri sekmesinden silmek istediğiniz yer işaretini veya yer işaretlerini seçin.

  2. Sağ tıklayın ve seçilen yer işaretlerini silme seçeneğini belirleyin.

İlgili içerik

Bu makalede, Microsoft Sentinel'de yer işaretlerini kullanarak bir tehdit avcılığı araştırması çalıştırmayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: