Kullanıma hazır özelliklerle tehditleri algılama
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Veri kaynaklarınızı Microsoft Sentinel 'e bağladıktan sonra, şüpheli bir sorun oluştuğunda bildirim almak isteyeceksiniz. Microsoft Sentinel, tehdit algılama kuralları oluşturmanıza yardımcı olacak yerleşik, yerleşik şablonlar sağlar.
Kural şablonları, Microsoft 'un, bilinen tehditler, yaygın saldırı vektörleri ve şüpheli etkinlik yükseltme zincirlerine göre güvenlik uzmanı ve analistlerinin ekibi tarafından tasarlanmıştır. Bu şablonlardan oluşturulan kurallar, şüpheli görünen herhangi bir etkinlik için ortamınızda otomatik olarak arama yapar. Şablonların birçoğu, etkinlikleri aramak veya gereksinimlerinize göre onları filtrelemek için özelleştirilebilir. Bu kurallar tarafından oluşturulan uyarılar, ortamınızda atayabileceğiniz ve araştırabilmeniz için olaylar oluşturur.
Bu makale, Microsoft Sentinel ile tehditleri nasıl algılayacağınızı anlamanıza yardımcı olur:
- Kullanıma hazır tehdit algılamalarını kullanma
- Tehdit yanıtlarını otomatikleştirin
Yerleşik algılamaları görüntüleme
Microsoft Sentinel 'deki tüm analiz kurallarını ve algılamaları görüntülemek için analiz > kuralı şablonları' na gidin. Bu sekme, tüm Microsoft Sentinel yerleşik kurallarını içerir.
Yerleşik algılamalar şunlardır:
| Kural türü | Description |
|---|---|
| Microsoft Güvenlik | Microsoft güvenlik şablonları, diğer Microsoft Güvenlik çözümlerinde oluşturulan uyarılardan gerçek zamanlı olarak Microsoft Sentinel olaylarını otomatik olarak oluşturur. Benzer mantığa sahip yeni kurallar oluşturmak için Microsoft güvenlik kurallarını şablon olarak kullanabilirsiniz. Güvenlik kuralları hakkında daha fazla bilgi için bkz. Microsoft Güvenlik uyarılarından olayları otomatik olarak oluşturma. |
| 'Yu (önizlemede bazı algılamalar) |
Microsoft Sentinel, birden çok ürüne ait çok sayıda düşük kaliteli uyarı ve olayı Yüksek uygunluğa sahip ve eyleme dönüştürülebilir olaylar halinde ilişkilendirerek gelişmiş çoklu aşama saldırıları algılamak için, ölçeklenebilir makine öğrenimi algoritmalarıyla Fusion bağıntı altyapısını kullanır. Fusion varsayılan olarak etkindir. Logic Hidden ve bu nedenle özelleştirilebilir olmadığından, bu şablonla yalnızca bir kural oluşturabilirsiniz. Fusion altyapısı Ayrıca, zamanlanan analiz kuralları tarafından üretilen uyarıları diğer sistemlerden farklı sistemlerindekilerle ilişkilendirebilir ve sonuç olarak yüksek uygunlukta olaylar üretir. |
| Machine learning (ML) davranış analizi | ML davranış analizi şablonları, özel Microsoft machine learning algoritmalarını temel alır. bu nedenle, nasıl çalıştıkları ve ne zaman çalıştıkları hakkında iç mantığı göremezsiniz. Logic Hidden ve bu nedenle özelleştirilebilir olmadığından, bu türden her şablonla yalnızca bir kural oluşturabilirsiniz. |
| Anomali (Önizleme) |
anomali kural şablonları, belirli anormal davranış türlerini algılamak için SOC-ML (machine learning) kullanır. Her kuralın, çözümlenmekte olan davranışa uygun kendi benzersiz parametreleri ve eşikleri vardır. Bu kural yapılandırmalarının değiştirilmesi veya ince ayar yapma sırasında, kuralı çoğaltabilir, değiştirebilir ve yinelenen ayar yapabilirsiniz. Bu gibi durumlarda, yinelenen değeri Fışıklandırma modunda ve orijinalde aynı anda Üretim modunda çalıştırın. Ardından sonuçları karşılaştırın ve hassas ayarlama işlemi sizin için olduğunda yinelemeyi üretime geçirin. daha fazla bilgi için bkz. microsoft sentinel 'de tehditleri algılamak ve microsoft sentinel 'de anomali algılama analytics kuralları ile çalışmak için SOC-ML anomali kullanma . |
| Zamanladığınız | Zamanlanan analiz kuralları, Microsoft güvenlik uzmanları tarafından yazılan yerleşik sorguları temel alır. Sorgu mantığını görebilir ve üzerinde değişiklik yapabilirsiniz. Zamanlanan kurallar şablonunu kullanabilir ve yeni kurallar oluşturmak için Sorgu mantığı ve zamanlama ayarlarını özelleştirebilirsiniz. Birkaç yeni zamanlanmış analiz kuralı şablonu, Fusion altyapısı tarafından, diğer sistemlerden gelen uyarılarla bağıntılı ve yüksek uygunlukta olaylar üreten uyarılar oluşturur. Daha fazla bilgi için bkz. Gelişmiş çok aşamalı saldırı algılama. İpucu: kural zamanlama seçenekleri, kuralı etkinleştirdiğinizde başlangıç saati ile her bir belirtilen dakika, saat veya gün boyunca çalıştırılacak kuralı yapılandırmayı içerir. Kuralların zaman içinde yeni olay yığınını aldığından emin olmak için yeni veya düzenlenmiş bir analiz kuralını etkinleştirdiğinizde, en az bir şekilde değişiklik yapmanızı öneririz. Örneğin, SOC analistlerinizin Workday 'i başlayacağı zaman eşitlenmiş bir kural çalıştırmak ve kuralları etkinleştirmek isteyebilirsiniz. |
| Neredeyse gerçek zamanlı (NRT) (Önizleme) |
NRT kuralları, her dakikada bir kez çalışacak şekilde tasarlanan sınırlı sayıda Zamanlanmış kurallar kümesidir ve size mümkün olduğunca kısa sürede bilgi sağlayabilirsiniz. Bunlar çoğunlukla zamanlanmış kurallara benzer ve benzer şekilde yapılandırılır, bazı sınırlamalar vardır. Daha fazla bilgi için bkz. Microsoft Sentinel 'de neredeyse gerçek zamanlı (NRT) analiz kuralları ile tehditleri hızlıca algılayın. |
Önemli
Yukarıda belirtilen kural şablonları, Fusion algılama şablonlarının bazıları olduğu gibi şu anda Önizleme aşamasındadır (hangilerinin hangilerinin olduğunu görmek Için bkz. Microsoft Sentinel 'de gelişmiş çok aşamalı saldırı algılama ). beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.
ML davranış analizi şablonlarına dayalı herhangi bir kural oluşturup etkinleştirerek, microsoft Sentinel çalışma alanınızın coğrafi verileri, makine öğrenimi motorları ve modelleri tarafından işlenmek üzere gerektiği şekilde kopyalamak için microsoft 'a izin verirsiniz .
Yerleşik analiz kurallarını kullanın
Bu yordamda, yerleşik analiz kuralları şablonlarının nasıl kullanılacağı açıklanmaktadır.
Yerleşik analiz kurallarını kullanmak için:
Microsoft Sentinel > Analytics > kural şablonları sayfasında, bir şablon adı seçin ve ardından Ayrıntılar bölmesinde kural oluştur düğmesini seçerek bu şablonu temel alan yeni bir etkin kural oluşturun.
Her şablonda gerekli veri kaynakları listesi bulunur. Şablonu açtığınızda, veri kaynakları otomatik olarak kullanılabilirlik için denetlenir. Bir kullanılabilirlik sorunu varsa, kural oluştur düğmesi devre dışı bırakılabilir veya bu etkiye bir uyarı görebilirsiniz.
Kural oluştur seçeneği belirlendiğinde, seçili şablona bağlı olarak kural oluşturma Sihirbazı açılır. Tüm ayrıntılar, yeniden doldurulur ve zamanlanan veya Microsoft Güvenlik şablonlarıyla, mantığın ve diğer kural ayarlarının özel gereksinimlerinize daha uygun olması için özelleştirebilirsiniz. Bu işlemi, yerleşik şablonu temel alan ek kurallar oluşturmak için yineleyebilirsiniz. Kural oluşturma sihirbazındaki adımları sona erdikten sonra, şablonu temel alan bir kural oluşturmayı bitirirsiniz. Yeni kurallar, etkin kurallar sekmesinde görünür.
Kural oluşturma Sihirbazı 'nda kurallarınızı özelleştirme hakkında daha fazla bilgi için bkz. tehditleri algılamak için özel analiz kuralları oluşturma.
İpucu
Ortamınız için tam güvenlik kapsamı sağlamak üzere bağlı veri kaynaklarınızla ilişkili tüm kuralları etkinleştirdiğinizden emin olun. Analiz kurallarını etkinleştirmenin en verimli yolu, tüm ilgili kuralları listeleyen veri bağlayıcı sayfasından doğrudan olur. daha fazla bilgi için bkz. Bağlan veri kaynakları.
Ayrıca, API ve PowerShellaracılığıyla kuralları Microsoft Sentinel 'e gönderebilirsiniz, ancak bunu yapmak ek çaba gerektirir.
API veya PowerShell kullanırken, kuralları etkinleştirmeden önce kuralları JSON 'a aktarmanız gerekir. Her örnekteki aynı ayarlarla Microsoft Sentinel 'in birden çok örneğinde kurallar etkinleştirilirken API veya PowerShell yararlı olabilir.
Kuralları ARM şablonuna dışarı aktarma
Kurallarınızı kod olarak yönetmek ve dağıtmak istiyorsanız, kuralınızı Azure Resource Manager (ARM) şablonuna kolayca dışarı aktarabilirsiniz . Ayrıca, kuralları Kullanıcı arabiriminde görüntülemek ve düzenlemek için şablon dosyalarından içeri aktarabilirsiniz.
Sonraki adımlar
Özel kurallar oluşturmak için, mevcut kuralları şablon veya başvuru olarak kullanın. Var olan kuralların temel olarak kullanılması, gerekli herhangi bir değişikliği yapmadan önce mantığın çoğunu oluşturmaya yardımcı olur. Daha fazla bilgi için bkz. tehditleri algılamak için özel analiz kuralları oluşturma.
Tehditlere yönelik yanıtlarınızı otomatik hale getirmeyi öğrenmek için Microsoft Sentinel 'de otomatik tehdit yanıtlarını ayarlayın.