Microsoft Sentinel'de olaylara gitme ve olayları araştırma

Microsoft Sentinel, güvenlik olaylarını araştırmanız için eksiksiz, tam özellikli bir olay yönetimi platformu sunar. Olay ayrıntıları sayfası, araştırmanızı çalıştırıp tüm ilgili bilgileri ve tüm ilgili araçları ve görevleri tek bir ekranda topladığınız merkezi konumunuzdur.

Bu makale, olay ayrıntıları sayfasında bulunan tüm panelleri ve seçenekleri inceleyerek olaylarınızı daha hızlı, etkili ve verimli bir şekilde incelemenize ve ortalama çözüm sürenizi (MTTR) azaltmanıza yardımcı olur.

Olay araştırmasının önceki sürümüne ilişkin yönergelere bakın.

Olaylar, belirli araştırmalara ilişkin tüm ilgili kanıtların bir toplamasını içeren dava dosyalarınızdır. Her olay, analiz kuralları tarafından oluşturulan veya kendi uyarılarını üreten üçüncü taraf güvenlik ürünlerinden içeri aktarılan kanıt parçalarına (uyarılar) göre oluşturulur (veya eklenir). Olaylar, uyarıların içerdiği varlıkların yanı sıra önem derecesi, durum ve MITRE ATT&CK taktikleri ve teknikleri gibi uyarıların özelliklerini devralır.

Önkoşullar

• Olayları araştırmak için Microsoft Sentinel Yanıtlayıcısı rol ataması gereklidir.

  Microsoft Sentinel'deki roller hakkında daha fazla bilgi edinin.

• Olayları ataması gereken bir konuk kullanıcınız varsa, kullanıcıya Microsoft Entra kiracınızda Dizin Okuyucusu rolü atanmalıdır. Normal (konuk olmayan) kullanıcıların bu rolü varsayılan olarak atanmıştır.

Olaylara gitme ve olayları önceliklendirme

Olaylar sayfası

1. Microsoft Sentinel gezinti menüsündeki Tehdit yönetimi'nin altında Olaylar'ı seçin.

   Olaylar sayfası, tüm açık olaylarınızla ilgili temel bilgiler sağlar.

   • Ekranın üst kısmında, yeni veya etkin olsun, açık olay sayısı ve önem derecesine göre açık olayların sayısı bulunur. Ayrıca, belirli bir olayın dışında gerçekleştirebileceğiniz eylemlerin (bir bütün olarak kılavuzda veya seçilen birden çok olayda) yer alan başlığına da sahipsiniz.

   • Orta bölmede olay kılavuzuna, listenin en üstündeki filtreleme denetimlerine göre filtrelenmiş bir olay listesine ve belirli olayları bulmak için bir arama çubuğuna sahip olursunuz.

   • Sağ tarafta, olayla ilgili belirli eylemleri gerçekleştirmeye yönelik düğmelerin yanı sıra merkezi listede vurgulanan olayla ilgili önemli bilgileri gösteren bir ayrıntılar bölmeniz vardır.

   

2. Güvenlik operasyonları ekibinizin yeni olaylarda temel önceliklendirme gerçekleştirmek ve bunları uygun personele atamak için otomasyon kuralları olabilir.

   Bu durumda, listeyi size veya ekibinize atanan olaylarla sınırlandırmak için olay listesini Sahip'e göre filtreleyin. Bu filtrelenmiş küme kişisel iş yükünüzü temsil eder.

   Aksi takdirde, temel önceliklendirmeyi kendiniz gerçekleştirebilirsiniz. Olay listesini durum, önem derecesi veya ürün adı gibi kullanılabilir filtreleme ölçütlerine göre filtreleyerek başlayabilirsiniz. Daha fazla bilgi için bkz . Olay arama.

3. Belirli bir olayı önceliklendirmek ve olayın tüm ayrıntılar sayfasını girmek zorunda kalmadan doğrudan Olaylar sayfasındaki ayrıntılar bölmesinden bu olayla ilgili bazı eylemleri hemen gerçekleştirin.

   • Microsoft Defender XDR'de Microsoft Defender XDR olaylarını araştırma: Defender portalında paralel olaya özet olarak dönmek için Microsoft Defender XDR'de Araştır bağlantısını izleyin. Microsoft Defender XDR'de olayda yaptığınız tüm değişiklikler Microsoft Sentinel'deki aynı olayla eşitlenir.

   • Atanan görevlerin listesini açın: Görevlerin atandığı olaylar tamamlanan ve toplam görevlerin sayısını ve tam ayrıntıları görüntüle bağlantısını görüntüler. Bu olayın görev listesini görmek için Olay görevleri panelini açmak için bağlantıyı izleyin.

   • Sahip açılan listesinden öğesini seçerek bir kullanıcıya veya gruba olayın sahipliğini atayın.

     

     Son seçilen kullanıcılar ve gruplar, resimli açılan listenin en üstünde görünür.

   • Durum açılan listesinden seçim yaparak olayın durumunu güncelleştirin (örneğin, Yeni'den Etkin veya Kapalı'ya). Bir olayı kapatırken bir neden belirtmeniz gerekir. Yönergeler için aşağıya bakın.

   • Önem Derecesi açılan listesinden seçim yaparak olayın önem derecesini değiştirin.

   • Olaylarınızı kategorilere ayırmak için etiketler ekleyin. Etiketlerin nereye ekleneceğini görmek için ayrıntılar bölmesinin en altına kadar kaydırmanız gerekebilir.

   • Eylemlerinizi, fikirlerinizi, sorularınızı ve daha fazlasını günlüğe kaydetmek için açıklamalar ekleyin. Açıklamaların nereye ekleneceğini görmek için ayrıntılar bölmesinin en altına kadar kaydırmanız gerekebilir.

4. Ayrıntılar bölmesindeki bilgiler daha fazla düzeltme veya azaltma eylemini istemeye yeterliyse, aşağıdakilerden birini yapmak için ayrıntılar bölmesinin altındaki Eylemler düğmesini seçin:

   • Araştırma: Hem bu olay içinde hem de diğer olaylar arasında uyarılar, varlıklar ve etkinlikler arasındaki ilişkileri keşfetmek için grafik araştırma aracını kullanın.

   • Playbook'u çalıştırma (Önizleme): SOC mühendislerinizin kullanıma sunabileceği belirli zenginleştirme, işbirliği veya yanıt eylemlerini almak için bu olayla ilgili bir playbook çalıştırın.

   • Otomasyon kuralı oluşturma: Gelecekte iş yükünüzü azaltmak veya gereksinimlerde geçici bir değişikliği (sızma testi gibi) hesaba katmak için gelecekte yalnızca bunun gibi olaylarda (aynı analiz kuralı tarafından oluşturulan) çalışacak bir otomasyon kuralı oluşturun.

   • Ekip oluşturma (Önizleme): Microsoft Teams'de olayı işleme konusunda departmanlar genelinde diğer kişilerle veya ekiplerle işbirliği yapmak için bir ekip oluşturun.

   

5. Olay hakkında daha fazla bilgi gerekiyorsa, olaydaki uyarılar ve varlıklar, benzer olayların listesi ve seçilen en iyi içgörüler de dahil olmak üzere olayın ayrıntılarını tamamen açıp görmek için Ayrıntılar bölmesinden Tüm ayrıntıları görüntüle'yi seçin.

Tipik bir araştırma yolunu izlemek, burada göreceğiniz tüm bilgiler ve gerçekleştirebileceğiniz tüm eylemler hakkında bilgi edinmek için bu makalenin sonraki bölümlerine bakın.

Olayınızı derinlemesine araştırma

Microsoft Sentinel, olayları daha hızlı ve verimli bir şekilde araştırmanız, düzeltmeniz ve çözmeniz için eksiksiz, tam özellikli bir olay araştırması ve olay yönetimi deneyimi sunar. İşte yeni olay ayrıntıları sayfası:

Zemini düzgün bir şekilde hazırlama

Bir olayı araştırmak için ayarlarken iş akışınızı yönlendirmek için ihtiyacınız olan şeyleri bir araya toplayın. Olay sayfasının üst kısmındaki düğme çubuğunda başlığın hemen altında aşağıdaki araçları bulabilirsiniz.

1. Bu olay için atanan görevleri görmek veya kendi görevlerinizi eklemek için Görevler'i seçin.

   SOC'nizde işlem standardını geliştirmek için olay görevlerini kullanma hakkında daha fazla bilgi edinin.

2. Etkinlik günlüğü'nü seçerek bu olay üzerinde otomasyon kurallarıyla(örneğin) ve yapılan tüm yorumlara göre daha önce herhangi bir eylem gerçekleştirilip gerçekleştirilmediğini görebilirsiniz. Buraya kendi yorumlarınızı da ekleyebilirsiniz. Aşağıdaki etkinlik günlüğü hakkında daha fazla bilgi edinin.

3. Olay sayfasının içinde tam, boş bir Log analytics sorgu penceresi açmak için istediğiniz zaman Günlükler'i seçin. Olaydan çıkmadan ilgili veya değil bir sorgu oluşturup çalıştırın. Bu nedenle, bir düşüncenin peşinden gitmek için ani bir ilhamla karşı karşıya olduğunuzda akışınızı bölme konusunda endişelenmeyin. Günlükler sizin için orada.

   Aşağıdaki Günlükler hakkında daha fazla bilgi edinin.

Ayrıca Genel Bakış ve Varlıklar sekmelerinin karşısındaki Olay eylemleri düğmesini de görürsünüz. Burada, Yukarıda açıklanan eylemlerin aynısını Olaylar kılavuzu sayfasındaki ayrıntılar bölmesindeki Eylemler düğmesinden de kullanabilirsiniz. Burada eksik olan tek şey, sol taraftaki ayrıntılar panelinde bulunan Araştır'dır.

Olay eylemleri düğmesinin altındaki kullanılabilir eylemleri özetlemek için:

• Playbook'u çalıştırma: SOC mühendislerinizin kullanıma sunabileceği belirli zenginleştirme, işbirliği veya yanıt eylemlerini almak için bu olayla ilgili bir playbook çalıştırın.

• Otomasyon kuralı oluşturma: Gelecekte iş yükünüzü azaltmak veya gereksinimlerde geçici bir değişikliği (sızma testi gibi) hesaba katmak için gelecekte yalnızca bunun gibi olaylarda (aynı analiz kuralı tarafından oluşturulan) çalışacak bir otomasyon kuralı oluşturun.

• Ekip oluşturma (Önizleme): Microsoft Teams'de olayı işleme konusunda departmanlar genelinde diğer kişilerle veya ekiplerle işbirliği yapmak için bir ekip oluşturun. Bu olay için zaten bir ekip oluşturulduysa, bu menü öğesi Ekipleri Aç olarak görüntülenir.

Olay ayrıntıları sayfasında resmin tamamını alma

Olay ayrıntıları sayfasının sol tarafındaki panel, kılavuzun sağındaki Olaylar sayfasında gördüğünüz olay ayrıntıları bilgilerini içerir ve bu bilgiler önceki sürümden neredeyse hiç değişmemiştir. Sayfanın geri kalanında hangi sekme gösterilirse gösteriliyor olsun, bu panel her zaman görüntülenir. Buradan, olayın temel bilgilerini görebilir ve aşağıdaki yollarla detaya gidebilirsiniz:

• Olay sayfasında Günlükler panelini açmak için Olaylar, Uyarılar veya Yer İşaretleri'ni seçin. Günlükler paneli, seçtiğiniz üç sorgunun sorgusuyla birlikte görüntülenir ve olaydan uzaklaşmadan sorgu sonuçlarını ayrıntılı bir şekilde gözden geçirebilirsiniz. Günlükler hakkında daha fazla bilgi edinin.

• Varlıklar sekmesinde görüntülemek için Varlıklar altındaki girdilerden herhangi birini seçin. (Burada yalnızca olaydaki ilk dört varlık gösterilir. Tümünü görüntüle'yi seçerek veya Genel Bakış sekmesindeki Varlıklar pencere öğesinde veya Varlıklar sekmesinde kalanlara bakın.) Varlıklar sekmesinde neler yapabileceğinizi öğrenin.

  

Olayı, olayın tüm öğeleri arasındaki ilişkileri diyagramlayan grafik araştırma aracında açmak için Araştır'ı da seçebilirsiniz.

Bu panel, Sahip açılan listesinin yanındaki küçük, sola işaret eden çift ok seçilerek ekranın sol kenar boşluğuna daraltılabilir. Ancak bu simge durumuna küçültülmüş durumda bile sahip, durum ve önem derecesini değiştirebilirsiniz.

Olay ayrıntıları sayfasının geri kalanı Genel Bakış ve Varlıklar olmak üzere iki sekmeye ayrılır.

Genel Bakış sekmesi, her biri araştırmanızın temel bir amacını temsil eden aşağıdaki pencere öğelerini içerir.

• Olay zaman çizelgesi pencere öğesi, saldırgan etkinliğinin zaman çizelgesini yeniden oluşturmanıza yardımcı olabilecek olaydaki uyarıların ve yer işaretlerinin zaman çizelgesini gösterir. Tüm ayrıntılarını görmek için tek bir öğeyi seçerek detaya gitmenizi sağlayabilirsiniz.

  Aşağıdaki Olay zaman çizelgesi pencere öğesi hakkında daha fazla bilgi edinin.

• Benzer olaylar pencere öğesinde, geçerli olaya en çok benzeyen en fazla 20 olaydan oluşan bir koleksiyon görürsünüz. Bu, olayı daha büyük bir bağlamda görüntülemenizi sağlar ve araştırmanızı yönlendirmenize yardımcı olur.

  Aşağıdaki Benzer olaylar pencere öğesi hakkında daha fazla bilgi edinin.

• Varlıklar pencere öğesi, uyarılarda tanımlanan tüm varlıkları gösterir. Bunlar, kullanıcılar, cihazlar, adresler, dosyalar veya diğer türler olsun, olayda rol oynayan nesnelerdir. Tüm ayrıntılarını görmek için bir varlık seçin (Varlıklar sekmesinde görüntülenir; aşağıya bakın).

  Aşağıdaki Varlıklar pencere öğesi hakkında daha fazla bilgi edinin.

• Son olarak, En iyi içgörüler pencere öğesinde, microsoft güvenlik araştırmacıları tarafından tanımlanan ve bir kaynak koleksiyonundan alınan verilere göre olaydaki tüm varlıklar hakkında değerli ve bağlamsal güvenlik bilgileri sağlayan bir sorgu sonuçları koleksiyonu göreceksiniz.

  Aşağıdaki En iyi içgörüler pencere öğesi hakkında daha fazla bilgi edinin.

Varlıklar sekmesi, olaydaki varlıkların tam listesini gösterir (yukarıdaki Varlıklar pencere öğesindekilerle aynıdır). Pencere öğesinde bir varlık seçtiğinizde, tam varlık sayfasında gördüğünüz gibi (ancak olaya uygun zaman çerçevesiyle sınırlı) varlığın tam dosya türünü (tanımlayıcı bilgileri, etkinliğin zaman çizelgesini (olayın içinde ve dışında) ve varlık hakkındaki tüm içgörü kümesini görmek için buraya yönlendirilirsiniz.

Olay zaman çizelgesi

Olay zaman çizelgesi pencere öğesi, saldırgan etkinliğinin zaman çizelgesini yeniden oluşturmanıza yardımcı olabilecek olaydaki uyarıların ve yer işaretlerinin zaman çizelgesini gösterir.

Takip etmek istediğiniz öğeyi bulmanıza yardımcı olmak için uyarı ve yer işaretleri listesinde arama yapabilir veya listeyi önem derecesine, taktiklere veya içerik türüne (uyarı veya yer işareti) göre filtreleyebilirsiniz.

Zaman çizelgesinin ilk görüntüsü, uyarı veya yer işareti olsun, içindeki her öğeyle ilgili birkaç önemli şeyi hemen bildirir:

• Uyarının veya yer işaretinin oluşturulma tarihi ve saati.
• Simgenin üzerine gelindiğinde bir simge ve Araç İpucu ile gösterilen öğe, uyarı veya yer işareti türü .
• Uyarının veya yer işaretinin adı , öğenin ilk satırında kalın yazı tipinde.
• Uyarının önem derecesi, sol kenar boyunca bir renk bandıyla ve uyarının üç bölümden oluşan "alt başlığının" başında sözcük biçiminde gösterilir.
• Alt başlığın ikinci bölümünde uyarı sağlayıcısı. Yer işaretleri için, yer işaretini oluşturan.
• Alt başlığın üçüncü bölümünde simgeler ve Araç İpuçları ile gösterilen uyarıyla ilişkili MITRE ATT&CK taktikleri.

Simgenin veya metin öğesinin tam metnini içeren bir Araç İpucu görmek için herhangi bir simgenin veya tamamlanmamış metin öğesinin üzerine gelin. Bu Araç İpuçları pencere öğesinin sınırlı genişliği nedeniyle görüntülenen metin kesildiğinde kullanışlı olur. Bu ekran görüntüsündeki örne bakın:

Tüm ayrıntılarını görmek için tek bir uyarı veya yer işareti seçin.

• Uyarı ayrıntıları uyarının önem derecesini ve durumunu, onu oluşturan analiz kurallarını, uyarıyı üreten ürünü, uyarıda belirtilen varlıkları, ilişkili MITRE ATT&CK taktiklerini ve tekniklerini ve iç Sistem uyarı kimliğini içerir.

  Uyarıda daha da detaya gitmek, Günlükler panelini açıp sonuçları oluşturan sorguyu ve uyarıyı tetikleyen olayları görüntülemek için Sistem uyarı kimliği bağlantısını seçin.

• Yer işareti ayrıntıları uyarı ayrıntılarıyla tam olarak aynı değildir; bunlar varlıklar, MITRE ATT&CK taktikleri ve teknikleri ile yer işareti kimliğini içerirken, ham sonucu ve yer işareti oluşturucu bilgilerini de içerir.

  Yer işareti günlüklerini görüntüle bağlantısını seçerek Günlükler panelini açın ve yer işareti olarak kaydedilen sonuçları oluşturan sorguyu görüntüleyin.

  

Olay zaman çizelgesi pencere öğesinden uyarılarda ve yer işaretlerinde aşağıdaki eylemleri de gerçekleştirebilirsiniz:

• Bir tehdidi azaltmak için anında işlem yapmak için uyarı üzerinde bir playbook çalıştırın. Bazen araştırmaya devam etmeden önce bir tehdidi engellemeniz veya yalıtmanız gerekir. Uyarılarda playbook çalıştırma hakkında daha fazla bilgi edinin.

• Bir olaydan uyarıyı kaldırma. Olaylar oluşturulduktan sonra ilgili olmaması için yargılarsanız olaylara eklenen uyarıları kaldırabilirsiniz. Olaylardan uyarıları kaldırma hakkında daha fazla bilgi edinin.

• Bir olaydan yer işaretini kaldırın veya yer işaretinde düzenlenebilen (gösterilmeyen) alanları düzenleyin.

  

Benzer olaylar

Güvenlik operasyonları analisti olarak, bir olayı araştırırken daha geniş bağlamını dikkate almak istersiniz. Örneğin, bunun gibi başka olayların daha önce mi yoksa şimdi mi gerçekleştiğini görmek istersiniz.

• Aynı daha büyük saldırı stratejisinin parçası olabilecek eşzamanlı olayları belirlemek isteyebilirsiniz.

• Geçmişteki benzer olayları tanımlamak ve bunları geçerli araştırmanız için başvuru noktası olarak kullanmak isteyebilirsiniz.

• SoC'nizde daha fazla bağlam sağlayabilecek veya araştırmayı ilerletebileceğiniz kişileri bulmak için geçmiş benzer olayların sahiplerini belirlemek isteyebilirsiniz.

Olay ayrıntıları sayfasındaki benzer olaylar pencere öğesi, geçerli olaya en çok benzeyen 20 olay daha sunar. Benzerlik, iç Microsoft Sentinel algoritmaları tarafından hesaplanır ve olaylar azalan benzerlik sırasına göre sıralanır ve görüntülenir.

Olay zaman çizelgesi pencere öğesinde olduğu gibi, tam metni göstermek için sütun genişliği nedeniyle tamamlanmamış olarak görüntülenen herhangi bir metnin üzerine gelebilirsiniz.

Benzerliğin belirlendiği üç ölçüt vardır:

• Benzer varlıklar: Her ikisi de aynı varlıkları içerdiğinde bir olay başka bir olaya benzer olarak kabul edilir. İki olayın ne kadar çok varlığı varsa, o kadar benzer oldukları kabul edilir.

• Benzer kural: Her ikisi de aynı analiz kuralı tarafından oluşturulduysa, bir olay başka bir olaya benzer olarak kabul edilir.

• Benzer uyarı ayrıntıları: Olay, aynı başlığı, ürün adını ve/veya özel ayrıntıları paylaşıyorsa başka bir olaya benzer olarak kabul edilir.

Benzer olaylar listesinde bir olayın görünmesinin nedenleri Benzerlik nedeni sütununda görüntülenir. Ortak öğeleri (varlıklar, kural adı veya ayrıntılar) göstermek için bilgi simgesinin üzerine gelin.

Olay benzerliği, olaydaki son etkinlikten önceki 14 gün içindeki verilere (olaydaki en son uyarının bitiş zamanı) göre hesaplanır.

Olay ayrıntıları sayfasına her girdiğinizde olay benzerliği yeniden hesaplanır, bu nedenle yeni olaylar oluşturulduysa veya güncelleştirildiyse sonuçlar oturumlar arasında farklılık gösterebilir.

Olayınızla ilgili en iyi içgörüleri edinin

Microsoft Sentinel'in güvenlik uzmanları, olayınızdaki varlıklarla ilgili büyük soruları otomatik olarak soran sorgular oluşturmş. En iyi yanıtları Olay ayrıntıları sayfasının sağ tarafında görünen En iyi içgörüler pencere öğesinde görebilirsiniz. Bu pencere öğesi, hem makine öğrenmesi analizine hem de güvenlik uzmanlarından oluşan üst düzey ekiplerin seçkisine dayalı bir içgörü koleksiyonu gösterir.

Bunlar, varlık sayfalarında görünen içgörülerin bazılarıdır ve özellikle tehdit kapsamını hızla değerlendirmenize ve anlamanıza yardımcı olmak için seçilmiştir. Aynı nedenle, olaydaki tüm varlıklara ilişkin içgörüler, neler olduğuna ilişkin daha eksiksiz bir resim sunmak için birlikte sunulur.

Şu anda seçili olan en iyi içgörüler şunlardır (liste değiştirilebilir):

1. Hesaba göre eylemler.
2. Hesapta eylemler.
3. UEBA içgörüleri.
4. Kullanıcıyla ilgili tehdit göstergeleri.
5. İzleme listesi içgörüleri (Önizleme).
6. Anormal derecede yüksek sayıda güvenlik olayı.
7. Windows oturum açma etkinliği.
8. IP adresi uzak bağlantıları.
9. TI eşleşmesi ile IP adresi uzak bağlantıları.

Bu içgörülerin her birinde (şimdilik izleme listeleriyle ilgili olanlar hariç) güvenlik olayı sayfasında açılan Günlükler panelinde temel sorguyu açmak için seçebileceğiniz bir bağlantı vardır. Ardından sorgunun sonuçlarında detaya gidebilirsiniz.

En iyi içgörüler pencere öğesinin zaman çerçevesi, olaydaki en erken uyarıdan 24 saat öncesine ve en son uyarının zamanına kadardır.

Olayın varlıklarını keşfetme

Varlıklar pencere öğesi, olaydaki uyarılarda tanımlanan tüm varlıkları gösterir. Bunlar, kullanıcılar, cihazlar, adresler, dosyalar veya diğer türler olsun, olayda rol oynayan nesnelerdir.

Bir varlığı bulmanıza yardımcı olması için varlıklar pencere öğesindeki varlık listesinde arama yapabilir veya listeyi varlık türüne göre filtreleyebilirsiniz.

Belirli bir varlığın bilinen bir risk göstergesi olduğunu zaten biliyorsanız varlığı tehdit bilgilerinize eklemek için varlığın satırındaki üç noktayı seçin ve TI'ye Ekle'yi seçin. (Bu seçenek desteklenen varlık türleri için kullanılabilir.)

Belirli bir varlık için otomatik yanıt dizisi tetiklemeyi istiyorsanız üç noktayı seçin ve Playbook'u çalıştır (Önizleme)'yi seçin. (Bu seçenek desteklenen varlık türleri için kullanılabilir.)

Tüm ayrıntılarını görmek için bir varlık seçin. Bir varlık seçtiğinizde, Genel Bakış sekmesinden olay ayrıntıları sayfasının başka bir bölümü olan Varlıklar sekmesine geçersiniz.

Varlıklar sekmesi

Varlıklar sekmesi, olaydaki tüm varlıkların listesini gösterir.

Varlıklar pencere öğesi gibi, bu liste de varlık türüne göre aranabilir ve filtrelenebilir. Bir listeye uygulanan aramalar ve filtreler diğerine uygulanmaz.

Bu varlığın bilgilerinin sağ taraftaki bir yan panelde görüntülenmesi için listeden bir satır seçin.

Varlık adı bağlantı olarak görünüyorsa varlığın adını seçtiğinizde olay araştırma sayfasının dışındaki tam varlık sayfasına yönlendirilirsiniz. Olaydan çıkmadan yalnızca yan paneli görüntülemek için, varlığın göründüğü listeden satırı seçin, ancak adını seçmeyin.

Burada, genel bakış sayfasındaki pencere öğesinden gerçekleştirebileceğiniz eylemlerin aynısını gerçekleştirebilirsiniz. Bir playbook çalıştırmak veya varlığı tehdit bilgilerinize eklemek için varlığın satırındaki üç noktayı seçin.

Yan panelin alt kısmındaki Tüm ayrıntıları görüntüle'nin yanındaki düğmeyi seçerek de bu eylemleri gerçekleştirebilirsiniz. Düğmede TI'ye Ekle, Playbook'u Çalıştır (Önizleme) veya Varlık eylemleri okunur; bu durumda diğer iki seçenekle birlikte bir menü görüntülenir.

Tüm ayrıntıları görüntüle düğmesinin kendisi sizi varlığın tam varlık sayfasına yönlendirir.

Yan panelde üç kart bulunur:

• Bilgiler , varlık hakkındaki bilgileri tanımlamayı içerir. Örneğin, bir kullanıcı hesabı varlığı için bu, kullanıcı adı, etki alanı adı, güvenlik tanımlayıcısı (SID), kuruluş bilgileri, güvenlik bilgileri ve daha fazlası gibi şeyler ve coğrafi konum gibi bir IP adresi için olabilir.

• Zaman çizelgesi , varlığın görüntülendiği günlüklerden toplanan uyarıların, yer işaretlerinin ve anomalilerin listesini ve varlığın gerçekleştirdiği etkinlikleri içerir. Bu varlığı içeren tüm uyarılar, uyarıların bu olaya ait olup olmadığına bakılmaksızın bu listede yer alır.

  Olayın parçası olmayan uyarılar farklı şekilde görüntülenir: kalkan simgesi gri görünür, önem derecesi renk bandı düz çizgi yerine noktalı bir çizgi olur ve uyarı satırının sağ tarafında artı işareti bulunan bir düğme olur.

  

  Uyarıyı bu olaya eklemek için artı işaretini seçin. Uyarı olaya eklendiğinde, uyarının diğer tüm varlıkları da (olayın parçası olmayan) eklenir. Artık ilgili uyarılar için bu varlıkların zaman çizelgelerine bakarak araştırmanızı daha da genişletebilirsiniz.

  Bu zaman çizelgesi, önceki yedi gün içindeki uyarılar ve etkinliklerle sınırlıdır. Daha geriye gitmek için, zaman çerçevesi özelleştirilebilir olan tam varlık sayfasındaki zaman çizelgesine dönün.

• Analizler, Microsoft güvenlik araştırmacıları tarafından tanımlanan ve bir kaynak koleksiyonundan alınan verilere göre varlıklar hakkında değerli ve bağlamsal güvenlik bilgileri sağlayan sorguların sonuçlarını içerir. Bu içgörüler, En iyi içgörüler pencere öğesinden gelenleri ve daha fazlasını içerir; bunlar tam varlık sayfasında görünenlerle aynıdır, ancak sınırlı bir zaman dilimindedir: olaydaki en erken uyarıdan 24 saat önce başlar ve en son uyarının zamanıyla biter.

  İçgörülerin çoğu, seçildiğinde içgörü oluşturan sorguyu ve sonuçları görüntüleyen Günlükler panelini açan bağlantılar içerir.

Araştırmanıza odaklanın

Olaylarınıza uyarı ekleyerek veya olaylardan uyarıları kaldırarak araştırmanızın kapsamını nasıl genişletebileceğinizi veya daraltabileceğinizi öğrenin.

Günlükler'de verilerinizi daha ayrıntılı bir şekilde inceleme

Araştırma deneyiminin hemen her yerinden, araştırma bağlamında Günlükler panelinde temel alınan sorguyu açacak bir bağlantı seçebilirsiniz. Bu bağlantılardan birinden Günlükler paneline geldiyseniz, ilgili sorgu sorgu penceresinde görünür ve sorgu otomatik olarak çalıştırılır ve incelemeniz için uygun sonuçları oluşturur.

Ayrıca, araştırma yaparken denemek istediğiniz bir sorguyu düşündüğünüzde bağlam içinde kalırken olay ayrıntıları sayfasının içindeki boş günlükler panelini de çağırabilirsiniz. Bunu yapmak için sayfanın üst kısmındaki Günlükler'i seçin.

Ancak, sonuçlarını kaydetmek istediğiniz bir sorgu çalıştırdıysanız Günlükler panelinde olursunuz:

1. Sonuçlar arasından kaydetmek istediğiniz satırın yanındaki onay kutusunu işaretleyin. Tüm sonuçları kaydetmek için sütunun üstündeki onay kutusunu işaretleyin.

2. İşaretli sonuçları yer işareti olarak kaydedin. Bunu yapmak için iki seçeneğiniz vardır:

   • Bir yer işareti oluşturmak ve bunu açık olaya eklemek için Geçerli olaya yer işareti ekle'yi seçin. İşlemi tamamlamak için yer işareti yönergelerini izleyin. Tamamlandıktan sonra yer işareti olay zaman çizelgesinde görünür.

   • Herhangi bir olaya eklemeden yer işareti oluşturmak için Yer işareti ekle'yi seçin. İşlemi tamamlamak için yer işareti yönergelerini izleyin. Bu yer işaretini, tehdit avcılığı sayfasında, Yer İşaretleri sekmesinin altında oluşturduğunuz diğer yer işaretleriyle birlikte bulabilirsiniz. Buradan bu olaya veya başka bir olaya ekleyebilirsiniz.

3. Yer işaretini oluşturduktan sonra (veya seçmemeyi seçerseniz), Günlükler panelini kapatmak için Bitti'yi seçin.

Olayları denetleme ve açıklama ekleme

Bir olayı araştırırken, hem yönetime doğru raporlama sağlamak hem de iş arkadaşlarınız arasında sorunsuz işbirliği ve işbirliği sağlamak için attığınız adımları ayrıntılı bir şekilde belgelemeniz gerekir. Ayrıca, otomatik işlemler de dahil olmak üzere başkaları tarafından olay üzerinde yapılan tüm eylemlerin kayıtlarını net bir şekilde görmek istersiniz. Microsoft Sentinel, bunu başarmanıza yardımcı olmak için size zengin bir denetim ve yorum ortamı olan Etkinlik günlüğünü verir.

Ayrıca olaylarınızı yorumlarla otomatik olarak zenginleştirebilirsiniz. Örneğin, dış kaynaklardan ilgili bilgileri getiren bir olay üzerinde bir playbook çalıştırdığınızda (örneğin, VirusTotal'da bir dosyayı kötü amaçlı yazılımlara karşı denetlediğinizde), playbook'un, tanımladığınız diğer bilgilerle birlikte dış kaynağın yanıtını olayın açıklamalarına yerleştirmesini sağlayabilirsiniz.

Etkinlik günlüğü, açıkken bile otomatik olarak yenilenir, böylece değişiklikleri her zaman gerçek zamanlı olarak görebilirsiniz. Etkinlik günlüğü açıkken yapılan değişiklikler de size bildirilir.

Etkinliklerin ve açıklamaların günlüğünü görüntülemek veya kendi açıklamalarınızı eklemek için:

1. Olay ayrıntıları sayfasının üst kısmındaki Etkinlik günlüğü'nü seçin.
2. Günlüğü yalnızca etkinlikleri veya yalnızca açıklamaları gösterecek şekilde filtrelemek için günlüğün üst kısmındaki filtre denetimini seçin.
3. Açıklama eklemek istiyorsanız, olay etkinliği günlük panelinin altındaki zengin metin düzenleyicisine bunu girin.
4. Açıklamayı göndermek için Açıklama'ya tıklayın. Şimdi açıklamanızı günlüğün en üstünde görürsünüz.

Açıklamalar için dikkat edilmesi gerekenler

Aşağıda, olay açıklamalarını kullanırken dikkate alınması gereken birkaç nokta vardır.

Desteklenen giriş:

• Metin: Microsoft Sentinel'deki açıklamalar düz metin, temel HTML ve Markdown'da metin girişlerini destekler. Ayrıca, kopyalanan metni, HTML'yi ve Markdown'ı açıklama penceresine yapıştırabilirsiniz.

• Bağlantılar: Bağlantılar HTML bağlantı etiketleri biçiminde olmalı ve parametresine target="_blank"sahip olmalıdır. Örnek:

  <a href="https://www.url.com" target="_blank">link text</a>
  

  Not

  Olaylarda açıklama oluşturan playbook'larınız varsa, açıklama biçimindeki bir değişiklik nedeniyle bu açıklamalardaki bağlantıların da artık bu şablona uygun olması gerekir.

• Resimler: Yorumlara resimlere bağlantılar ekleyebilirsiniz ve görüntüler satır içinde görüntülenir, ancak resimler dropbox, OneDrive, Google Drive ve benzeri genel erişime açık bir konumda barındırılmalıdır. Görüntüler doğrudan yorumlara yüklenemez.

Boyut sınırı:

• Açıklama başına: Tek bir açıklama en fazla 30.000 karakter içerebilir.

• Olay başına: Tek bir olay en fazla 100 yorum içerebilir.

  Not

  Log Analytics'teki SecurityIncident tablosundaki tek bir olay kaydının boyut sınırı 64 KB'tır. Bu sınır aşılırsa, açıklamalar (en erkenden başlayarak) kesilir ve bu da gelişmiş arama sonuçlarında görünecek açıklamaları etkileyebilir.

  Olaylar veritabanındaki gerçek olay kayıtları etkilenmez.

Kimler düzenleyebilir veya silebilir:

• Düzenleme: Yalnızca açıklamanın yazarının düzenleme izni vardır.

• Silme: Yalnızca Microsoft Sentinel Katkıda Bulunanı rolüne sahip kullanıcıların açıklamaları silme izni vardır. Açıklamayı silmek için açıklamanın yazarının bile bu role sahip olması gerekir.

Araştırma grafiğini kullanarak olayları görsel olarak araştırma

Araştırmanızda uyarıların, varlıkların ve aralarındaki bağlantıların görsel, grafiksel bir gösterimini tercih ediyorsanız, yukarıda açıklanan birçok şeyi klasik araştırma grafıyla da gerçekleştirebilirsiniz. Grafın dezavantajı, bağlamları çok daha fazla değiştirmek zorunda olmanızdır.

Araştırma grafı size aşağıdakileri sağlar:

• Ham verilerden görsel bağlam: Canlı görsel graf, ham verilerden otomatik olarak ayıklanan varlık ilişkilerini görüntüler. Bu, farklı veri kaynakları arasındaki bağlantıları kolayca görmenizi sağlar.

• Tam araştırma kapsamı bulma: Bir ihlalin tam kapsamını ortaya çıkarabilmek için yerleşik araştırma sorgularını kullanarak araştırma kapsamınızı genişletin.

• Yerleşik araştırma adımları: Tehdit karşısında doğru soruları sorduğunuzdan emin olmak için önceden tanımlanmış keşif seçeneklerini kullanın.

Araştırma grafiğini kullanmak için:

1. Bir olay seçin ve ardından Araştır'ı seçin. Bu sizi araştırma grafiğine götürür. Grafik, uyarıya doğrudan bağlı varlıkların ve her kaynağın daha fazla bağlanıp bağlanmasını gösteren bir harita sağlar.

   

   Önemli

   • Olayı yalnızca oluşturan analiz kuralı veya yer işareti varlık eşlemeleri içeriyorsa araştırabilirsiniz. Araştırma grafiği için özgün olayınızın varlıkları içermesi gerekir.

   • Araştırma grafiği şu anda 30 güne kadar olan olayların incelenmesini desteklemektedir.

2. Varlıklar bölmesini açmak için bir varlık seçin; böylece bu varlıkla ilgili bilgileri gözden geçirebilirsiniz.

   

3. Araştırmanızı derinleştirebilmek için varlık türü başına güvenlik uzmanlarımız ve analistlerimiz tarafından tasarlanan soruların listesini ortaya çıkarmak için her varlığın üzerine gelerek araştırmanızı genişletin. Bu seçeneklere keşif sorguları diyoruz.

   

   Örneğin, ilgili uyarıları isteyebilirsiniz. Bir araştırma sorgusu seçerseniz, sonuçta elde edilen yetkilendirmeler grafiğe geri eklenir. Bu örnekte, İlgili uyarılar seçildiğinde grafta aşağıdaki uyarılar döndürüldü:

   

   İlgili uyarıların varlığa noktalı çizgilerle bağlı olarak göründüğüne bakın.

4. Her araştırma sorgusu için, Olaylar'ı> seçerek ham olay sonuçlarını ve Log Analytics'te kullanılan sorguyu açma seçeneğini belirleyebilirsiniz.

5. Olayı anlamak için grafik size paralel bir zaman çizelgesi sağlar.

   

6. Grafikte hangi öğelerin hangi noktada oluştuğuna bakmak için zaman çizelgesinin üzerine gelin.

   

Bir olayı kapatma

Belirli bir olayı çözümledikten sonra (örneğin, araştırmanız sonuca ulaştığında), olayın durumunu Kapalı olarak ayarlamanız gerekir. Bunu yaptığınızda, olayı kapatma nedeniniz belirterek sınıflandırmanız istenir. Bu adım zorunludur. Sınıflandırma seç'e tıklayın ve açılan listeden aşağıdakilerden birini seçin:

• Gerçek Pozitif – şüpheli etkinlik
• Zararsız Pozitif – şüpheli ama beklenen
• Hatalı Pozitif – yanlış uyarı mantığı
• Hatalı Pozitif – yanlış veriler
• Belirsiz

Hatalı pozitifler ve zararsız pozitifler hakkında daha fazla bilgi için bkz . Microsoft Sentinel'de hatalı pozitifleri işleme.

Uygun sınıflandırmayı seçtikten sonra Açıklama alanına açıklayıcı bir metin ekleyin. Bu, bu olaya geri başvurmanız gerektiğinde yararlı olacaktır. İşiniz bittiğinde Uygula'ya tıkladığınızda olay kapatılır.

Olayları arama

Belirli bir olayı hızla bulmak için, olaylar kılavuzunun üzerindeki arama kutusuna bir arama dizesi girin ve enter tuşuna basarak gösterilen olay listesini buna göre değiştirin. Olayınız sonuçlara dahil değilse Gelişmiş arama seçeneklerini kullanarak aramanızı daraltmak isteyebilirsiniz.

Arama parametrelerini değiştirmek için Ara düğmesini ve ardından aramanızı çalıştırmak istediğiniz parametreleri seçin.

Örneğin:

Varsayılan olarak, olay aramaları yalnızca Olay Kimliği, Başlık, Etiketler, Sahip ve Ürün adı değerleri arasında çalışır. Arama bölmesinde, listeyi aşağı kaydırarak aranacak bir veya daha fazla parametreyi seçin ve uygula'yı seçerek arama parametrelerini güncelleştirin. Varsayılan olarak ayarla'yı seçerek seçili parametreleri varsayılan seçeneğe sıfırlayın.

Not

Sahip alanındaki aramalar hem adları hem de e-posta adreslerini destekler.

Gelişmiş arama seçeneklerinin kullanılması arama davranışını aşağıdaki gibi değiştirir:

Arama davranışı	Açıklama
Arama düğmesi rengi	Arama düğmesinin rengi, aramada kullanılmakta olan parametre türlerine bağlı olarak değişir. Yalnızca varsayılan parametreler seçili olduğu sürece düğme gri olur. Gelişmiş arama parametreleri gibi farklı parametreler seçildiğinde düğme maviye döner.
Otomatik yenileme	Gelişmiş arama parametrelerini kullanmak sonuçlarınızı otomatik olarak yenilemeyi seçmenizi engeller.
Varlık parametreleri	Tüm varlık parametreleri gelişmiş aramalar için desteklenir. Herhangi bir varlık parametresinde arama yaparken, arama tüm varlık parametrelerinde çalışır.
Dizeleri arama	Sözcük dizesi aramak, arama sorgusundaki tüm sözcükleri içerir. Arama dizeleri büyük/küçük harfe duyarlıdır.
Çalışma alanları arası destek	Gelişmiş aramalar çalışma alanları arası görünümlerde desteklenmez.
Görüntülenen arama sonuçlarının sayısı	Gelişmiş arama parametrelerini kullanırken, aynı anda yalnızca 50 sonuç gösterilir.

İpucu

Aradığınız olayı bulamıyorsanız aramanızı genişletmek için arama parametrelerini kaldırın. Aramanız çok fazla öğeyle sonuçlanırsa sonuçlarınızı daraltmak için daha fazla filtre ekleyin.

Sonraki adımlar

Bu makalede, Microsoft Sentinel kullanarak olayları araştırmaya başlamayı öğrendiniz. Daha fazla bilgi için bkz.

• Microsoft Sentinel'de olayları kapsamlı bir şekilde araştırma
• Öğretici: Microsoft Sentinel'de playbook'ları otomasyon kurallarıyla kullanma
• UEBA verileriyle olayları araştırma