Tehditleri ilk önce algılama

Veri kaynaklarınızı Azure Sentinel bağladıktan sonra şüpheli bir durum oluştuğunda bilgi almak istemeniz gerekir. İşte bu Azure Sentinel tehdit algılama kuralları oluşturmanıza yardımcı olmak için yerleşik şablonlar sağlar.

Kural şablonları Microsoft'un güvenlik uzmanı ve analist ekibi tarafından bilinen tehditler, yaygın saldırı vektörleri ve şüpheli etkinlik yükseltme zincirleri temel alınarak tasarlanmıştır. Bu şablonlardan oluşturulan kurallar, ortamınız genelinde şüpheli görünen tüm etkinlikleri otomatik olarak aratır. Şablonların çoğu, etkinlikleri aramak veya bunları ihtiyaçlarınıza göre filtrelemek için özelleştirilebilir. Bu kurallar tarafından oluşturulan uyarılar, ortamınıza ataydığınız ve araştırdığınız olaylar oluşturacak.

Bu makale, güvenlikle tehditleri algılamayı anlamanıza Azure Sentinel:

  • İlk tehdit algılamalarını kullanma
  • Tehdit yanıtlarını otomatikleştirme

Yerleşik algılamaları görüntüleme

Uygulama içinde tüm analiz kurallarını ve algılamalarını Azure Sentinel Analiz Kuralı > şablonları'ne gidin. Bu sekme tüm Azure Sentinel kurallarını içerir.

Yerleşik algılamaları kullanarak tehditlerle ilgili tehditleri Azure Sentinel

Yerleşik algılamalar şunları içerir:

Kural türü Description
Microsoft güvenliği Microsoft güvenlik şablonları, Azure Sentinel Microsoft güvenlik çözümlerinden oluşturulan uyarılardan otomatik olarak güvenlik olayları oluşturur. Benzer mantıkla yeni kurallar oluşturmak için Şablon olarak Microsoft güvenlik kurallarını kullanabilirsiniz.

Güvenlik kuralları hakkında daha fazla bilgi için bkz. Microsoft güvenlik uyarılarından otomatik olarak olay oluşturma.
Fusion Fusion teknolojisini temel alan Azure Sentinel çok katmanlı saldırı algılama özelliği, birden çok üründe çok sayıda düşük uygunluklu uyarı ve olayla yüksek doğruluk ve eyleme değiştirilebilir olaylar arasında ilişkilendirilebilen ölçeklenebilir makine öğrenmesi algoritmalarını kullanır. Fusion varsayılan olarak etkindir. Mantık gizli olduğundan ve bu nedenle özelleştirilemez olduğundan, bu şablonla yalnızca bir kural oluşturabilirsiniz.

Fusion altyapısı, zamanlanmış analiz kuralları tarafından üretilen uyarıları diğer sistemlerden gelen uyarılarla da ilişkili olarak, sonuç olarak yüksek uygunluklu olaylar üretebilir.
Makine öğrenmesi (ML) davranış analizi ML analiz şablonları özel Microsoft makine öğrenmesi algoritmalarını temel almaktadır, bu nedenle nasıl ve ne zaman çalıştırıldıklarına ait iç mantığı göresiniz.

Mantık gizli olduğundan ve bu nedenle özelleştirilemez olduğundan, bu tür şablonların her biri ile yalnızca bir kural oluşturabilirsiniz.
Anomali Anomali kuralı şablonları, belirli anormal ML algılamak için SOC-ML (makine öğrenmesi) kullanır. Her kuralın, analiz edilir davranışa uygun kendi benzersiz parametreleri ve eşikleri vardır.

Bu kural yapılandırmaları değiştirilemez veya ince ayarlanamasa da, kuralı yineler, yinelenenleri değiştirebilir ve hassas ayarlamalar da sebilirsiniz. Böyle durumlarda, çoğaltmayı Uçuş modunda ve özgün çoğaltmayı aynı anda Üretim modunda çalıştırın. Ardından sonuçları karşılaştırın ve ince ayar yapmak sizin için uygunsa ve ne zaman çoğaltılmışsa Üretim'e geçiş.

Daha fazla bilgi için bkz. Azure Sentinel'daki tehditleri algılamak için SOC-ML anomalilerini kullanma ve Azure Sentinel.
Planlanan Zamanlanmış analiz kuralları, Microsoft güvenlik uzmanları tarafından yazılan yerleşik sorguları temel almaktadır. Sorgu mantığını görebilir ve üzerinde değişiklikler yapabilirsiniz. Zamanlanmış kurallar şablonunu kullanabilir ve sorgu mantığını ve zamanlama ayarlarını özelleştirerek yeni kurallar oluşturabilirsiniz.

Birkaç yeni zamanlanmış analiz kuralı şablonu, Fusion altyapısı ile diğer sistemlerden gelen uyarılarla ilişkili uyarılar oluşturur ve yüksek uygunluklu olaylar üretir. Daha fazla bilgi için bkz. Gelişmiş çok yönlü saldırı algılama.

İpucu: Kural zamanlama seçenekleri kuralı etkinleştirerek saati başlatarak kuralı belirtilen sayıda dakika, saat veya gün boyunca çalıştıracak şekilde yapılandırmayı içerir.

Kuralların yeni olay yığınını zamanında elde etmek için yeni veya düzenlenmiş bir analiz kuralını ne zaman etkinleştirdiğinize dikkat edin. Örneğin, SOC analistleri workday'lerine başladığı zaman ile eşitlenen bir kural çalıştırmak ve ardından kuralları etkinleştirmek istiyor olabilir.

Önemli

  • Fusion kural şablonunda algılamalardan bazıları şu anda ÖNizle özelliğindedir. Hangi algılamaların önizlemede olduğunu görmek için bkz.Azure Sentinel.

  • Anomali kuralı şablonları şu anda ÖNIZLE'dedir.

  • Makine öğrenmesi davranış analizi kural şablonları şu anda ÖNIZLENİMEKTEDIR. ML davranış analizi şablonlarına dayalı kurallar oluşturarak ve etkinleştirerek, Microsoft'a alınan verileri makine öğrenmesi altyapıları ve modelleri tarafından işleme için gereken şekilde Azure Sentinel çalışma alanınız dışındaki coğrafyanın dışına kopyalama izni vereceksiniz.

Beta, önizleme veya başka bir sürümde henüz genel kullanılabilirlik aşamasında olan Azure özellikleri için geçerli olan ek yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Yerleşik analiz kurallarını kullanma

Bu yordam, yerleşik analiz kuralları şablonlarını kullanmayı açıklar.

Yerleşik analiz kurallarını kullanmak için:

  1. Azure Sentinel > Analytics Kuralı şablonları sayfasında bir şablon adı seçin ve ardından ayrıntılar bölmesindeki Kural oluştur düğmesini seçerek bu şablonu temel alan yeni bir etkin > kural oluşturun.

    Her şablonda gerekli veri kaynaklarının bir listesi vardır. Şablonu açsanız, veri kaynakları otomatik olarak kullanılabilirlik için denetlenir. Bir kullanılabilirlik sorunu varsa Kural oluştur düğmesi devre dışı bırakılabilir veya bu etkiye yönelik bir uyarıyla karşılayabilirsiniz.

    Algılama kuralı önizleme paneli

  2. Kural oluştur seçildiğinde, seçilen şablona göre kural oluşturma sihirbazı açılır. Tüm ayrıntılar otomatik olarak doldurulmuş şekildedir ve Zamanlanmış veya Microsoft güvenlik şablonlarıyla mantığı ve diğer kural ayarlarını özel gereksinimlerinize daha iyi uyacak şekilde özelleştirebilirsiniz. Yerleşik şablonu temel alan ek kurallar oluşturmak için bu işlemi tekrarlayın. Kural oluşturma sihirbazının sonundaki adımları tamamladikten sonra, şablonu temel alan bir kural oluşturmayı bitirmiş oluruz. Yeni kurallar Etkin kurallar sekmesinde görünür.

    Kural oluşturma sihirbazında kurallarınızı özelleştirme hakkında daha fazla bilgi için bkz. Tehditleri algılamak için özel analiz kuralları oluşturma.

İpucu

  • Ortamınız için tam güvenlik kapsamı sağlamak amacıyla bağlı veri kaynaklarınız ile ilişkili tüm kuralları etkinleştir olduğunuzdan emin olun. Analiz kurallarını etkinleştirmenin en verimli yolu, doğrudan ilgili kuralları listeleen veri bağlayıcısı sayfasındandır. Daha fazla bilgi için bkz. Bağlan kaynakları.

  • Ayrıca API ve PowerShell Azure Sentinel kurallar da gönderebilirsiniz, ancak bunun için ek çaba gerekir.

    API veya PowerShell kullanırken, kuralları etkinleştirmeden önce kuralları JSON'a aktarmalısınız. API veya PowerShell, her örnekte aynı ayarlarla birden çok Azure Sentinel örneğinde kuralları etkinleştirmeye yardımcı olabilir.

Kuralları ARM şablonuna aktarma

Kurallarınızı kod olarak yönetmek ve dağıtmak Azure Resource Manager (ARM) şablonuna kolayca kuralınızı dışarı aktarabilirsiniz. Ayrıca, kullanıcı arabiriminde görüntülemek ve düzenlemek için şablon dosyalarından kuralları içeri aktarabilirsiniz.

Sonraki adımlar

  • Özel kurallar oluşturmak için mevcut kuralları şablon veya başvuru olarak kullanın. Temel olarak mevcut kuralların kullanımı, gerekli değişiklikleri yapmadan önce mantığın çoğunun yeniden inşa sınanarak yardımcı olur. Daha fazla bilgi için bkz. Tehditleri algılamak için özel analiz kuralları oluşturma.

  • Tehditlere yönelik yanıtlarınızı otomatikleştirme hakkında bilgi edinmek için,Azure Sentinel.