Microsoft Sentinel ile olayları araştırma

  • Makale
  • Okumak için 5 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Önemli

Not alan özellikler şu anda ÖNIZLİ'dedir. Azure Önizleme Ek Koşulları, beta, önizleme veya henüz genel kullanılabilirlik aşamasında yayımlanmayacak Olan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Bu makale, Microsoft Sentinel ile ilgili olayları araştırmanıza yardımcı olur. Veri kaynaklarınızı Microsoft Sentinel'e bağladıktan sonra şüpheli bir durum olduğunda size bildirilecek. Microsoft Sentinel, bunu yapmak için atadığınız ve araştırdığınız olaylar oluşturan gelişmiş uyarı kuralları oluşturmanıza olanak sağlar.

Bu makale şunları kapsar:

  • Olayları araştırma
  • Araştırma grafiğini kullanma
  • Tehditlere yanıt verme

Bir olay birden çok uyarı içerebilir. Bu, belirli bir araştırma için tüm ilgili kanıtların bir toplamasıdır. Olay, Analiz sayfasında oluşturduğunuz analiz kurallarına göre oluşturulur. Önem derecesi ve durum gibi uyarılarla ilgili özellikler olay düzeyinde ayarlanır. Microsoft Sentinel'e ne tür tehditler aray bilmek ve bunları nasıl bulmak için izin verdikten sonra, olayları araştırarak algılanan tehditleri izleyebilirsiniz.

Önkoşullar

  • Olayı yalnızca analiz kuralınızı ayarlarken varlık eşleme alanlarını kullandıysanız araştırabilirsiniz. Araştırma grafiği için özgün olayınızın varlıkları içermesi gerekir.

  • Olayları ataması gereken bir konuk kullanıcınız varsa, kullanıcıya Azure AD kiracınız içinde Dizin Okuyucusu rolü atanmış olmalıdır. Normal (konuk olmayan) kullanıcılara varsayılan olarak bu rol atanır.

Olayları araştırma

  1. Olaylar'ı seçin. Olaylar sayfası kaç olay olduğunu, kaç tane açık olduğunu, kaç tane devam ediyor olarak ayarlamış olduğunu ve kaç tane kapatılan olduğunu size sağlar. Her olay için, olayın ne zaman olduğunu ve olayın durumunu görebilir. Önce hangi olayları işley karar vermek için önem derecesine bakın.

    Olay önem derecelerini görüntüleme

  2. Olayları gerektiğinde, örneğin durum veya önem derecesine göre filtreleysiniz. Daha fazla bilgi için bkz. Olayları arama.

  3. Araştırmayı başlamak için belirli bir olayı seçin. Sağda, güvenlik olayına ilişkin önem derecesi, dahil olan varlık sayısının özeti, bu olayı tetikleyen ham olaylar ve olayın benzersiz kimliği gibi ayrıntılı bilgileri de görebilir.

  4. Olayda uyarı ve varlıklar hakkında daha fazla ayrıntı görüntülemek için Olay sayfasındaki Tüm ayrıntıları görüntüle'yi seçin ve olay bilgilerini özetleyen ilgili sekmeleri gözden geçirebilirsiniz.

    Uyarı ayrıntılarını görüntüleme

    Örnek:

    • Zaman Çizelgesi sekmesinde, olaydaki uyarıların ve yer işaretlerinin zaman çizelgesini gözden geçirebilirsiniz. Bu, saldırgan etkinliğinin zaman çizelgesini yeniden yapılandırmanıza yardımcı olabilir.
    • Uyarılar sekmesinde uyarının kendisini gözden geçirebilirsiniz. Uyarıyla ilgili tüm ilgili bilgileri ( uyarıyı tetikleyen sorgu, sorgu başına döndürülen sonuç sayısı ve uyarılarda playbook'ları çalıştırma yeteneği) görebilir. Olayda daha da detaya inecek olan Olay sayısını seçin. Bu işlem sonuçları oluşturan sorguyu ve Log Analytics'te uyarıyı tetikleyen olayları açar.
    • Varlıklar sekmesinde, uyarı kuralı tanımının bir parçası olarak eşlene tüm varlıkları görebilirsiniz.

  5. Bir olayı etkin bir şekilde araştırıyorsanız, siz kapatana kadar olayın durumunu Devam Ediyor olarak ayarlamak iyi bir fikirdir.

  6. Olaylar belirli bir kullanıcıya atanabilir. Her olay için, Olay sahibi alanını ayarerek bir sahip atabilirsiniz. Tüm olaylar atanmamış olarak başlar. Ayrıca, diğer analistlerin olayla ilgili neleri araştırıldığını ve endişelerinizi anlayabilecek açıklamalar da eklemeniz de mümkün olur.

    Kullanıcıya olay atama

  7. Araştırma haritasını görüntülemek için Araştır'ı seçin.

Araştırma grafiğini kullanarak derinlemesine inceleme

Araştırma grafiği, analistlerin her araştırma için doğru soruları sormalarını sağlar. Araştırma grafı, ilgili verileri ilgili herhangi bir varlıkla arasında ilişki kullanarak olası bir güvenlik tehdidinin kapsamını anlamanıza ve olası bir güvenlik tehdidinin kök nedenini tanımlamanıza yardımcı olur. Grafikte sunulan herhangi bir varlığı seçerek ve farklı genişletme seçenekleri arasında seçimerek daha derine inebilirsiniz.

Araştırma grafı size şunları sağlar:

  • Ham verilerden görsel bağlam: Canlı görsel graf, ham verilerden otomatik olarak ayıklanan varlık ilişkilerini görüntüler. Bu, farklı veri kaynakları arasındaki bağlantıları kolayca görmenizi sağlar.

  • Tam araştırma kapsamı bulma: Bir ihlalin tam kapsamını ortaya çıkaracak yerleşik araştırma sorgularını kullanarak araştırma kapsamınızı genişletin.

  • Yerleşik araştırma adımları: Tehdit karşısında doğru soruları sorduğunuzdan emin olmak için önceden tanımlanmış araştırma seçeneklerini kullanın.

Araştırma grafiğini kullanmak için:

  1. Bir olay seçin ve ardından Araştır'ı seçin. Bu sizi araştırma grafı iletir. Grafik, uyarıya doğrudan bağlı varlıkların ve daha fazla bağlı olan her kaynağın açıklayıcı bir haritasını sağlar.

    Haritayı görüntüleme.

    Önemli

    • Olayı yalnızca analiz kuralınızı ayarlarken varlık eşleme alanlarını kullandıysanız araştırabilirsiniz. Araştırma grafiği için özgün olayınızın varlıkları içermesi gerekir.

    • Microsoft Sentinel şu anda en fazla 30 günlük olay araştırmalarını destekler.

  2. Varlıkla ilgili bilgileri gözden geçirmek için Varlıklar bölmesini açmak için bir varlık seçin.

    Varlıkları haritada görüntüleme

  3. Araştırmanızı derinden genişletmek için güvenlik uzmanlarımız ve analistlerimiz tarafından varlık türüne göre tasarlanmış soruların listesini ortaya çıkarmak için her varlığın üzerine gelerek araştırmanızı genişletin. Bu seçeneklere araştırma sorguları çağrılır.

    Diğer ayrıntıları keşfedin

    Örneğin, bir bilgisayarda ilgili uyarılar isteğide bulundurabilirsiniz. Bir araştırma sorgusu seçersiniz, sonuçta elde edilen yetkilendirmeler grafiye geri eklenir. Bu örnekte İlgili uyarılar'ı seçerek grafiye aşağıdaki uyarılar döndürüldü:

    İlgili uyarıları görüntüleme

  4. Her keşif sorgusu için, Olaylar'ı seçerek ham olay sonuçlarını ve Log Analytics'te kullanılan sorguyu açma seçeneğini belirleyin. >

  5. Graf, olayı anlamak için size paralel bir zaman çizelgesi sağlar.

    Zaman çizelgesini haritada görüntüleme

  6. Zaman çizelgesinin üzerine gelerek grafikte hangi şeylerin zaman içinde hangi noktada meydana geldiğine bakın.

    Uyarıları araştırmak için haritada zaman çizelgesi kullanma

Bir olayı kapatma

Belirli bir olayı çözdüktan sonra (örneğin araştırmanız sonucuna ulaştığında), olayın durumunu Kapatıldı olarak ayarlayabilirsiniz. Bunu yapmak için kapatma nedeni belirterek olayı sınıflandırmak istenecek. Bu adım zorunludur. Sınıflandırma seç'e tıklayın ve açılan listeden aşağıdakilerden birini seçin:

  • Doğru Pozitif: Şüpheli etkinlik
  • Zararsız Pozitif: Şüpheli ancak beklenen
  • Hatalı Pozitif: Hatalı uyarı mantığı
  • Hatalı Pozitif: Hatalı veri
  • Belirsiz

Sınıflandırma seçin listesinde bulunan sınıflandırmaları vurgulayan ekran görüntüsü.

Hatalı pozitifler ve zararsız pozitifler hakkında daha fazla bilgi için bkz. Microsoft Sentinel'de hatalı pozitifleri işleme.

Uygun sınıflandırmayı seçtikten sonra Açıklama alanına açıklayıcı bir metin ekleyin. Bu, bu olayı yeniden incelemeye ihtiyacınız olması durumunda yararlı olacaktır. Bitiren Uygula'ya tıklayın; olay kapatılır.

{alternatif-metin}

Olayları arama

Belirli bir olayı hızla bulmak için, olaylar kılavuzun üzerindeki arama kutusuna bir arama dizesi girin ve uygun şekilde gösterilen olay listesini değiştirmek için Enter tuşuna basın. Güvenlik olayınız sonuçlara dahil değilse Gelişmiş arama seçeneklerini kullanarak aramanızı daraltmak da iyi olabilir.

Arama parametrelerini değiştirmek için Ara düğmesini seçin ve ardından aramanızı çalıştırmak istediğiniz parametreleri seçin.

Örnek:

Temel ve/veya gelişmiş arama seçeneklerini seçmeye yönelik olay arama kutusunun ve düğmesinin ekran görüntüsü.

Varsayılan olarak, olay aramaları yalnızca Olay Kimliği, Başlık, Etiketler, Sahip ve Ürün adı değerleri arasında çalıştırılmaktadır. Arama bölmesinde, aranacak bir veya daha fazla parametreyi seçmek için listeyi aşağı kaydırın ve Uygula'ya seçerek arama parametrelerini güncelleştirin. Varsayılana ayarla'yı seçerek seçili parametreleri varsayılan seçen sıfırlayın.

Not

Sahip alanında yapılan aramalar hem adları hem de e-posta adreslerini destekler.

Gelişmiş arama seçeneklerinin kullanımı, arama davranışını aşağıdaki gibi değiştirir:

Arama davranışı Açıklama
Arama düğmesi rengi Arama düğmesinin rengi, aramada şu anda kullanılan parametre türlerine bağlı olarak değişir.

- Yalnızca varsayılan parametreler seçili olduğu sürece düğme gri olur.
- Gelişmiş arama parametreleri gibi farklı parametreler seçildiğinde düğme maviye döner.
Otomatik yenileme Gelişmiş arama parametrelerinin kullanımı, sonuçlarınızı otomatik olarak yenilemek için öğesini seçmenizi sağlar.
Varlık parametreleri Gelişmiş aramalar için tüm varlık parametreleri de kullanılabilir. Herhangi bir varlık parametresinde arama, tüm varlık parametrelerinde çalışır.
Dizeleri arama Bir sözcük dizesi aramak, arama sorgusunda yer alan tüm sözcükleri içerir. Arama dizeleri büyük/büyük harfe duyarlıdır.
Çalışma alanları arası destek Gelişmiş aramalar çalışma alanları arası görünümlerde desteklenmez.
Görüntülenen arama sonuçlarının sayısı Gelişmiş arama parametrelerini kullanırken aynı anda yalnızca 50 sonuç gösterilir.

İpucu

Aramakta olduğunu olayı bulamazsanız aramanızı genişletmek için arama parametrelerini kaldırın. Aramanız çok fazla öğeyle sonuçlandısa, sonuçlarınızı daraltmak için daha fazla filtre ekleyin.

Sonraki adımlar

Bu makalede, Microsoft Sentinel kullanarak olayları araştırmaya başlamayı öğrendinsiniz. Daha fazla bilgi için bkz.