Microsoft Sentinel'de tehdit bilgilerini anlama

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel, çok sayıda kaynaktan tehdit bilgilerini hızla çekebilme özelliğine sahip buluta özel bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümüdür.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Tehdit bilgilerine giriş

Siber tehdit bilgileri (CTI), sistemlere ve kullanıcılara yönelik mevcut veya olası tehditleri açıklayan bilgilerdir. Bu zeka, belirli bir tehdit aktörünün motivasyonlarını, altyapısını ve tekniklerini ayrıntılı olarak gösteren yazılı raporlardan IP adreslerinin, etki alanlarının, dosya karmalarının ve bilinen siber tehditlerle ilişkili diğer yapıtların belirli gözlemlerine kadar birçok form alır. CTI, kuruluşlar tarafından olağan dışı etkinliklere temel bağlam sağlamak için kullanılır, böylece güvenlik personeli kişilerini, bilgilerini ve varlıklarını korumak için hızla harekete geçebilir. CTI açık kaynak veri akışları, tehdit bilgileri paylaşım toplulukları, ticari zeka akışları ve bir kuruluş içindeki güvenlik araştırmaları sırasında toplanan yerel zeka gibi birçok yerden kaynaklanabilir.

Microsoft Sentinel gibi SIEM çözümleri için, CTI'nin en yaygın biçimleri Tehdit Göstergeleridir( Aynı zamanda Risk Göstergeleri (IoC) veya Saldırı Göstergeleri (IoA) olarak da bilinir. Tehdit göstergeleri URL'ler, dosya karmaları veya IP adresleri gibi gözlemlenen yapıtları kimlik avı, botnet veya kötü amaçlı yazılım gibi bilinen tehdit etkinlikleriyle ilişkilendiren verilerdir. Bir kuruluşa yönelik olası tehditleri algılamak ve bunlara karşı koruma sağlamak için büyük ölçekte güvenlik ürünlerine ve otomasyona uygulandığından, bu tehdit zekası biçimi genellikle taktik tehdit bilgileri olarak adlandırılır. Ortamınızda gözlemlenen kötü amaçlı etkinlikleri algılamak ve yanıt kararlarını bilgilendirmek için güvenlik araştırmacılarına bağlam sağlamak için Microsoft Sentinel'deki tehdit göstergelerini kullanın.

Aşağıdaki etkinlikler aracılığıyla tehdit bilgilerini (TI) Microsoft Sentinel ile tümleştirin:

  • Çeşitli TI platformlarına ve akışlarına veri bağlayıcılarını etkinleştirerek tehdit bilgilerini Microsoft Sentinel'e aktarın.

  • İçeri aktarılan tehdit bilgilerini Günlükler'de ve Microsoft Sentinel'in Tehdit Bilgileri dikey penceresinde görüntüleyin ve yönetin.

  • İçeri aktarılan tehdit bilgilerinize göre yerleşik Analytics kural şablonlarını kullanarak tehditleri algılayın ve güvenlik uyarıları ve olaylar oluşturun.

  • Tehdit Bilgileri çalışma kitabıyla Microsoft Sentinel'de içeri aktarılan tehdit bilgileriyle ilgili önemli bilgileri görselleştirin.

Microsoft, diğer gösterge ayrıntılarıyla birlikte görüntülenen GeoLocation ve WhoIs verileriyle tüm içeri aktarılan tehdit bilgileri göstergelerini zenginleştirir.

Tehdit Bilgileri ayrıca Tehdit Avcılığı ve Not Defterleri gibi diğer Microsoft Sentinel deneyimlerinde de kullanışlı bağlam sağlar. Daha fazla bilgi için bkz . Microsoft Sentinel'de Jupyter Not Defterleri ve Öğretici: Microsoft Sentinel'de Jupyter not defterlerini ve MSTICPy'yi kullanmaya başlama.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Veri bağlayıcılarıyla tehdit bilgilerini içeri aktarma

Microsoft Sentinel'deki diğer tüm olay verileri gibi tehdit göstergeleri de veri bağlayıcıları kullanılarak içeri aktarılır. Microsoft Sentinel'de tehdit göstergeleri için özel olarak sağlanan veri bağlayıcıları aşağıda verilmiştir.

  • Microsoft'un tehdit göstergelerini almak için veri bağlayıcısını Microsoft Defender Tehdit Analizi
  • Tehdit Bilgileri - Endüstri standardı STIX/TAXII akışları için TAXII ve
  • Bağlanmak için REST API kullanan tümleşik ve seçilmiş TI akışları için Tehdit Bilgileri karşıya yükleme göstergeleri API'si
  • Threat Intelligence Platform veri bağlayıcısı , REST API kullanarak TI akışlarını da bağlar, ancak kullanımdan kaldırma yolundadır

Kuruluşunuzun tehdit göstergelerini nereden kaynakladığına bağlı olarak, bu veri bağlayıcılarından herhangi birini birlikte kullanın. Bunların üçü de Tehdit Bilgileri çözümünün bir parçası olarak İçerik hub'ında kullanılabilir. Bu çözüm hakkında daha fazla bilgi için bkz. tehdit bilgileri Azure Market girişi.

Ayrıca Bkz. Microsoft Sentinel ile kullanılabilen tehdit bilgileri tümleştirmeleri kataloğu.

Microsoft Defender Tehdit Analizi veri bağlayıcısı ile Microsoft Sentinel'e tehdit göstergeleri ekleme

microsoft Sentinel çalışma alanınıza Microsoft Defender Tehdit Analizi (MDTI) tarafından oluşturulan yüksek aslına uygunluk göstergeleri (IOC) getirin. MDTI veri bağlayıcısı, bu GÇ'leri tek tıklamayla basit bir kurulumla alır. Ardından tehdit bilgilerine göre diğer akışları kullandığınız şekilde izleyin, uyarın ve avlayın.

MDTI veri bağlayıcısı hakkında daha fazla bilgi için bkz . MDTI veri bağlayıcısını etkinleştirme.

Tehdit Bilgileri Karşıya Yükleme Göstergeleri API veri bağlayıcısı ile Microsoft Sentinel'e tehdit göstergeleri ekleme

Birçok kuruluş, çeşitli kaynaklardan gelen tehdit göstergesi akışlarını toplamak için tehdit bilgileri platformu (TIP) çözümlerini kullanır. Toplanan akıştan veriler ağ cihazları, EDR/XDR çözümleri veya Microsoft Sentinel gibi SIEM'ler gibi güvenlik çözümlerine uygulanacak şekilde seçilmiştir. Tehdit Bilgileri Karşıya Yükleme Göstergeleri API'sinin veri bağlayıcısı, tehdit göstergelerini Microsoft Sentinel'e aktarmak için bu çözümleri kullanmanıza olanak tanır.

Karşıya yükleme göstergeleri API içeri aktarma yolunu gösteren diyagram.

Bu veri bağlayıcısı yeni bir API kullanır ve aşağıdaki iyileştirmeleri sunar:

  • Tehdit göstergesi alanları STIX standartlaştırılmış biçimini temel alır.
  • Microsoft Entra uygulaması yalnızca Microsoft Sentinel Katkıda Bulunanı rolü gerektirir.
  • API istek uç noktasının kapsamı çalışma alanı düzeyindedir ve gerekli Microsoft Entra uygulama izinleri çalışma alanı düzeyinde ayrıntılı atamaya izin verir.

Daha fazla bilgi için bkz. Karşıya yükleme göstergeleri API'sini kullanarak tehdit bilgileri platformunuzu Bağlan

Tehdit Analizi Platformları veri bağlayıcısıyla Microsoft Sentinel'e tehdit göstergeleri ekleme

Mevcut karşıya yükleme göstergeleri API'sinin veri bağlayıcısı gibi Tehdit Bilgileri Platformu veri bağlayıcısı da IPUCU veya özel çözümünüzün Microsoft Sentinel'e gösterge göndermesine olanak sağlayan bir API kullanır. Ancak, bu veri bağlayıcısı artık kullanımdan kaldırılan bir yoldadır. Karşıya yükleme göstergeleri API'sinin sunduğu iyileştirmelerden yararlanmak için yeni çözümler öneririz.

TIP veri bağlayıcısı Microsoft Graph Güvenlik tiIndicators API'si ile çalışır. Ayrıca, microsoft Sentinel'e (ve Microsoft Defender XDR gibi diğer Microsoft güvenlik çözümlerine) gösterge göndermek için tiIndicators API'si ile iletişim kuran herhangi bir özel tehdit bilgisi platformu tarafından da kullanılabilir.

Tehdit bilgileri içeri aktarma yolunu gösteren ekran görüntüsü

Microsoft Sentinel ile tümleşik TIP çözümleri hakkında daha fazla bilgi için bkz . Tümleşik tehdit bilgileri platformu ürünleri. Daha fazla bilgi için bkz. Tehdit bilgileri platformunuzu Microsoft Sentinel'e Bağlan.

Tehdit Bilgileri - TAXII veri bağlayıcısı ile Microsoft Sentinel'e tehdit göstergeleri ekleme

Tehdit bilgileri iletimi için en yaygın olarak benimsenen endüstri standardı, STIX veri biçimi ile TAXII protokolünün bir bileşimidir. Kuruluşunuz geçerli STIX/TAXII sürümünü (2.0 veya 2.1) destekleyen çözümlerden tehdit göstergeleri alıyorsa tehdit göstergelerinizi Microsoft Sentinel'e getirmek için Threat Intelligence - TAXII veri bağlayıcısını kullanın. Threat Intelligence - TAXII veri bağlayıcısı, Microsoft Sentinel'de yerleşik bir TAXII istemcisinin TAXII 2.x sunucularından tehdit bilgilerini içeri aktarmasını sağlar.

TAXII içeri aktarma yolu

STIX biçimli tehdit göstergelerini bir TAXII sunucusundan Microsoft Sentinel'e aktarmak için:

  1. TAXII sunucusu API'si Kök ve Koleksiyon Kimliğini alma

  2. Microsoft Sentinel'de Tehdit Bilgileri - TAXII veri bağlayıcısını etkinleştirme

Daha fazla bilgi için bkz. Microsoft Sentinel'den STIX/TAXII tehdit bilgileri akışlarına Bağlan.

Tehdit göstergelerinizi görüntüleme ve yönetme

Tehdit Bilgileri sayfasında göstergelerinizi görüntüleyin ve yönetin. Log Analytics sorgusu yazmadan içeri aktarılan tehdit göstergelerinizi sıralayın, filtreleyin ve arayın. Bu özellik ayrıca doğrudan Microsoft Sentinel arabiriminde tehdit göstergeleri oluşturmanıza ve en yaygın tehdit bilgileri yönetim görevlerinden ikisini gerçekleştirmenize olanak tanır: gösterge etiketleme ve güvenlik araştırmalarıyla ilgili yeni göstergeler oluşturma.

Tehdit göstergelerini etiketlemek, bulmalarını kolaylaştırmak için bunları birlikte gruplandırmak için kolay bir yoldur. Genellikle, belirli bir olayla ilgili göstergelere veya bilinen belirli bir aktör veya iyi bilinen bir saldırı kampanyasının tehditlerini temsil edenlere etiket uygulayabilirsiniz. Tehdit göstergelerini tek tek etiketleyin veya çoklu seçim göstergelerini tek seferde etiketleyin. Burada, olay kimliğiyle birden çok göstergenin etiketlenmesine ilişkin örnek bir ekran görüntüsü verilmiştir. Etiketleme serbest biçimli olduğundan, tehdit göstergesi etiketleri için standart adlandırma kuralları oluşturmak önerilir. Göstergeler birden çok etiket uygulamaya izin verir.

Tehdit göstergelerine etiket uygulama

Göstergelerinizi doğrulayın ve Microsoft Sentinel özellikli log analytics çalışma alanından başarıyla içeri aktarılan tehdit göstergelerinizi görüntüleyin. Microsoft Sentinel şeması altındaki ThreatIntelligenceIndicator tablosu, tüm Microsoft Sentinel tehdit göstergelerinizin depolandığı yerdir. Bu tablo, Analiz ve Çalışma Kitapları gibi diğer Microsoft Sentinel özellikleri tarafından gerçekleştirilen tehdit bilgileri sorgularının temelini oluşturur.

Tehdit göstergeleri için temel sorgunun örnek bir görünümü aşağıda verilmiştir.

ThreatIntelligenceIndicator tablosunun örnek sorgusunu içeren günlükler sayfasını gösteren ekran görüntüsü.

TI göstergeleri, log analytics çalışma alanınızın ThreatIntelligenceIndicator tablosuna salt okunur olarak alınır. Bir gösterge her güncelleştirildiğinde ThreatIntelligenceIndicator tablosunda yeni bir giriş oluşturulur. Ancak Tehdit Bilgileri sayfasında yalnızca en güncel gösterge görüntülenir. Microsoft Sentinel, IndicatorId ve SourceSystem özelliklerine göre göstergelerin yinelenenlerini kaldırıyor ve en yeni TimeGenerated[UTC] göstergesini seçiyor.

IndicatorId özelliği STIX gösterge kimliği kullanılarak oluşturulur. Göstergeler STIX olmayan kaynaklardan içeri aktarıldığında veya oluşturulduğunda GöstergeKimliği, göstergenin Kaynak ve Deseni tarafından oluşturulur.

Tehdit göstergelerinizi görüntüleme ve yönetme hakkında daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit göstergeleriyle çalışma.

Coğrafi Konum ve WhoIs veri zenginleştirmelerinizi görüntüleme (Genel önizleme)

Microsoft, IP ve etki alanı göstergelerini ek GeoLocation ve WhoIs verileriyle zenginleştirerek seçilen risk göstergesinin (IOC) bulunduğu araştırmalara daha fazla bağlam sağlar.

Microsoft Sentinel'e aktarılan tehdit göstergesi türleri için Tehdit Bilgileri bölmesinde GeoLocation ve WhoIs verilerini görüntüleyin.

Örneğin, BIR IP göstergesi için Kuruluş veya Ülke gibi ayrıntıları bulmak için Coğrafi Konum verilerini ve etki alanı göstergesinden Kayıt Şirketi ve Kayıt oluşturma verileri gibi verileri bulmak için WhoIs verilerini kullanın.

Tehdit göstergesi analiziyle tehditleri algılama

Microsoft Sentinel gibi SIEM çözümlerinde tehdit göstergeleri için en önemli kullanım örneği, tehdit algılamaya yönelik power analytics kurallarıdır. Bu gösterge tabanlı kurallar, kuruluşunuzdaki güvenlik tehditlerini algılamak için veri kaynaklarınızdaki ham olayları tehdit göstergelerinizle karşılaştırır. Microsoft Sentinel Analytics'te, bir zamanlamaya göre çalışan analiz kuralları oluşturur ve güvenlik uyarıları oluşturursunuz. Kurallar sorgulara ve kuralın ne sıklıkta çalışması gerektiğini, ne tür sorgu sonuçlarının güvenlik uyarıları ve olayları oluşturması gerektiğini belirleyen yapılandırmalarla birlikte yönlendirilir ve isteğe bağlı olarak otomatik bir yanıt tetikler.

Her zaman sıfırdan yeni analiz kuralları oluşturabilirsiniz ancak Microsoft Sentinel, tehdit göstergelerinizden yararlanmak için Microsoft güvenlik mühendisleri tarafından oluşturulan bir dizi yerleşik kural şablonu sağlar. Bu yerleşik kural şablonları, eşleştirmek istediğiniz tehdit göstergelerinin türünü (etki alanı, e-posta, dosya karması, IP adresi veya URL) ve veri kaynağı olaylarını temel alır. Her şablon, kuralın çalışması için gereken kaynakları listeler. Bu, gerekli olayların Microsoft Sentinel'de zaten içeri aktarılıp aktarılmadığını belirlemeyi kolaylaştırır.

Varsayılan olarak, bu yerleşik kurallar tetiklendiğinde bir uyarı oluşturulur. Microsoft Sentinel'de analiz kurallarından oluşturulan uyarılar, Microsoft Sentinel menüsündeki Tehdit Yönetimi altındaki Olaylar bölümünde bulunabilen güvenlik olayları da oluşturur. Güvenlik operasyonları ekiplerinizin uygun yanıt eylemlerini belirlemek için önceliklendirme yapacağı ve araştıracağı olaylardır. Bu Öğreticide ayrıntılı bilgi bulabilirsiniz: Microsoft Sentinel ile olayları araştırma.

Analiz kurallarınızda tehdit göstergelerini kullanma hakkında daha fazla ayrıntı için bkz . Tehditleri algılamak için tehdit zekasını kullanma.

Microsoft, Microsoft Defender Tehdit Analizi Analytics kuralı aracılığıyla tehdit bilgilerine erişim sağlar. Yüksek uygunluk uyarıları ve olaylar oluşturan bu kuraldan nasıl yararlanacağı hakkında daha fazla bilgi için bkz . Tehditleri algılamak için eşleşen analiz kullanma

MDTI'dan ek bağlam bilgileriyle eşleşen analizler tarafından oluşturulan yüksek uygunluk olayını gösteren ekran görüntüsü.

Çalışma kitapları tehdit zekanız hakkında içgörüler sağlar

Çalışma kitapları, Microsoft Sentinel'in tüm yönleriyle ilgili içgörüler sağlayan güçlü etkileşimli panolar sağlar ve tehdit bilgileri özel bir durum değildir. Tehdit bilgileri hakkındaki önemli bilgileri görselleştirmek ve çalışma kitabını iş gereksinimlerinize göre kolayca özelleştirmek için yerleşik Tehdit Bilgileri çalışma kitabını kullanın. Verilerinizi benzersiz şekillerde görselleştirmek için birçok farklı veri kaynağını birleştiren yeni panolar oluşturun. Microsoft Sentinel çalışma kitapları Azure İzleyici çalışma kitaplarını temel alındığından, zaten kapsamlı belgeler ve daha birçok şablon mevcuttur. Başlamak için harika bir yer, Azure İzleyici çalışma kitaplarıyla etkileşimli raporlar oluşturma makalesidir.

GitHub'da ek şablonlar indirmek ve kendi şablonlarınıza katkıda bulunmak için zengin bir Azure İzleyici çalışma kitabı topluluğu da vardır.

Tehdit Bilgileri çalışma kitabını kullanma ve özelleştirme hakkında daha fazla ayrıntı için bkz . Microsoft Sentinel'de tehdit göstergeleriyle çalışma.

Sonraki adımlar

Bu belgede, Tehdit Bilgileri dikey penceresi de dahil olmak üzere Microsoft Sentinel'in tehdit bilgileri özelliklerini öğrendiniz. Microsoft Sentinel'in tehdit bilgileri özelliklerini kullanma konusunda pratik rehberlik için aşağıdaki makalelere bakın: