Microsoft Sentinel nedir?

  • Makale

Microsoft Sentinel, aşağıdakileri sağlayan ölçeklenebilir, buluta özel bir çözümdür:

  • Güvenlik bilgileri ve olay yönetimi (SIEM)
  • Güvenlik düzenleme, otomasyon ve yanıt (SOAR)

Microsoft Sentinel, kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunar. Microsoft Sentinel ile saldırı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm elde edersiniz.

Microsoft Sentinel, giderek artan karmaşık saldırıların, artan uyarı hacminin ve uzun çözünürlük süresi çerçevelerinin stresini azaltan, kuruluş genelinde kuş bakışı görünümünüzdür.

Not

Microsoft Sentinel, Azure İzleyici kurcalama yazım denetleme ve değişmezlik uygulamalarını devralır. Azure İzleyici yalnızca ekleme veri platformu olsa da, uyumluluk amacıyla verileri silmeye yönelik hükümler içerir.

  • Hem şirket içinde hem de birden çok bulutta tüm kullanıcılar, cihazlar, uygulamalar ve altyapı genelinde bulut ölçeğinde veri toplayın.

  • Microsoft'un analizlerini ve benzersiz tehdit bilgilerini kullanarak önceden algılanmamış tehditleri algılayın ve hatalı pozitif sonuçları en aza indirin.

  • Yapay zeka ile tehditleri araştırın ve Microsoft'ta yıllardır yapılan siber güvenlik çalışmalarına dokunarak büyük ölçekte şüpheli etkinlikleri arayın.

  • Sıkça gerçekleştirilen görevler için yerleşik düzenleme ve otomasyon işlevleri sayesinde olaylara hızla müdahale edin.

Microsoft Sentinel, Log Analytics ve Logic Apps gibi kanıtlanmış Azure hizmetlerini yerel olarak birleştirir. Microsoft Sentinel, araştırmanızı ve algılamanızı yapay zeka ile zenginleştirir. Microsoft'un tehdit bilgileri akışını sağlar ve kendi tehdit bilgilerinizi getirmenizi sağlar.

Not

Bu hizmet, hizmet sağlayıcılarının müşterilerin temsilci olarak sunduğu abonelikleri ve kaynak gruplarını yönetmek için kendi kiracılarında oturum açmasını sağlayan Azure Lighthouse'ı destekler.

Veri bağlayıcılarını kullanarak veri toplama

Microsoft Sentinel'e bağlanmak için öncelikle veri kaynaklarınıza bağlanmanız gerekir.

Microsoft Sentinel, Microsoft çözümleri için kullanıma hazır olan ve gerçek zamanlı tümleştirme sağlayan birçok bağlayıcıyla birlikte gelir. Bu bağlayıcılardan bazıları şunlardır:

  • Microsoft Defender XDR, Bulut için Microsoft Defender, Office 365, IoT için Microsoft Defender ve daha fazlası gibi Microsoft kaynakları.

  • Microsoft Entra Id, Azure Etkinliği, Azure Depolama, Azure Key Vault, Azure Kubernetes hizmeti ve daha fazlası gibi Azure hizmet kaynakları.

Microsoft Sentinel, Microsoft dışı çözümler için daha geniş güvenlik ve uygulama ekosistemlerine yönelik yerleşik bağlayıcılara sahiptir. Veri kaynaklarınızı Microsoft Sentinel'e bağlamak için ortak olay biçimi, Syslog veya REST-API de kullanabilirsiniz.

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

Microsoft Sentinel'de kullanılabilir bağlayıcıların listesini gösteren veri bağlayıcıları sayfasının ekran görüntüsü.

Çalışma kitaplarını kullanarak etkileşimli raporlar oluşturma

Microsoft Sentinel'e ekleme yaptıktan sonra, Azure İzleyici çalışma kitaplarıyla tümleştirmeyi kullanarak verilerinizi izleyin.

Çalışma kitapları Microsoft Sentinel'de Azure İzleyici'den farklı şekilde görüntülenir. Ancak Azure İzleyici'de çalışma kitabı oluşturmayı görmeniz yararlı olabilir. Microsoft Sentinel, verileriniz arasında özel çalışma kitapları oluşturmanıza olanak tanır. Microsoft Sentinel ayrıca, bir veri kaynağına bağlanır bağlanmaz verilerinizle hızlı bir şekilde içgörü elde etmenize olanak sağlayan yerleşik çalışma kitabı şablonlarıyla birlikte gelir.

Microsoft Sentinel'de kullanılabilir çalışma kitaplarının listesini içeren çalışma kitapları sayfasının ekran görüntüsü.

Çalışma kitapları, verileri görselleştirmek için tüm katmanların SOC mühendislerine ve analistlerine yöneliktir.

Çalışma kitapları, Microsoft Sentinel verilerinin üst düzey görünümleri için en iyi şekilde kullanılır ve kodlama bilgisi gerektirmez. Ancak çalışma kitaplarını dış verilerle tümleştiremezsiniz.

Analiz kurallarını kullanarak uyarıları olaylarla ilişkilendirme

Microsoft Sentinel, gürültüyü azaltmanıza ve gözden geçirip araştırmanız gereken uyarı sayısını en aza indirmenize yardımcı olmak için uyarıları olaylarla ilişkilendirmek için analiz kullanır. Olaylar, birlikte araştırabileceğiniz ve çözebileceğiniz eyleme dönüştürülebilir olası bir tehdidi gösteren ilgili uyarı gruplarıdır. Yerleşik bağıntı kurallarını olduğu gibi kullanın veya kendi kurallarınızı oluşturmak için başlangıç noktası olarak kullanın. Microsoft Sentinel ayrıca ağ davranışınızı eşlemek ve ardından kaynaklarınızdaki anomalileri aramak için makine öğrenmesi kuralları sağlar. Bu analizler, farklı varlıklarla ilgili düşük uygunluk uyarılarını olası yüksek uygunluk güvenlik olaylarına birleştirerek noktaları birbirine bağlar.

Microsoft Sentinel'de açık olayların listesini içeren olaylar sayfasının ekran görüntüsü.

Playbook'ları kullanarak ortak görevleri otomatikleştirme ve düzenleme

Azure hizmetleri ve mevcut araçlarınızla tümleşen playbook'larla ortak görevlerinizi otomatikleştirin ve güvenlik düzenlemeyi basitleştirin.

Microsoft Sentinel'in otomasyon ve düzenleme çözümü, yeni teknolojiler ve tehditler ortaya çıktıkçe ölçeklenebilir otomasyon sağlayan yüksek oranda genişletilebilir bir mimari sağlar. Azure Logic Apps ile playbook'lar oluşturmak için, çeşitli hizmetler ve sistemler için yüzlerce bağlayıcı içeren sürekli genişleyen bir galeri arasından seçim yapabilirsiniz. Bu bağlayıcılar iş akışınıza herhangi bir özel mantık uygulamanıza olanak tanır, örneğin:

  • ServiceNow
  • Jira
  • Zendesk
  • HTTP istekleri
  • Microsoft Teams
  • Slack
  • Microsoft Entra Kimlik
  • Uç nokta için Microsoft Defender
  • Microsoft Defender for Cloud Apps

Örneğin, ServiceNow bilet sistemini kullanıyorsanız iş akışlarınızı otomatikleştirmek için Azure Logic Apps'i kullanın ve belirli bir uyarı veya olay her oluşturulduğunda ServiceNow'da bir bilet açın.

Azure Logic Apps'te bir olayın farklı eylemleri tetikleyebildiği örnek otomatik iş akışının ekran görüntüsü.

Playbook'lar, veri alımı, zenginleştirme, araştırma ve düzeltme dahil olmak üzere görevleri otomatikleştirmek ve basitleştirmek için tüm katmanların SOC mühendislerine ve analistlerine yöneliktir.

Playbook'lar tek ve tekrarlanabilir görevlerle en iyi şekilde çalışır ve kodlama bilgisi gerektirmez. Playbook'lar geçici veya karmaşık görev zincirleri ya da kanıt belgeleme ve paylaşma için uygun değildir.

Güvenlik tehditlerinin kapsamını ve kök nedenini araştırma

Microsoft Sentinel derin araştırma araçları, kapsamı anlamanıza ve olası bir güvenlik tehdidinin kök nedenini bulmanıza yardımcı olur. Belirli bir varlıkla ilgili ilginç sorular sormak için etkileşimli grafikte bir varlık seçebilir ve tehdidin kök nedenini bulmak için bu varlığın ve bağlantılarının detayına gidebilirsiniz.

Etkileşimli bir grafikte bir varlığı ve bağlı varlıkları gösteren olay araştırmasının ekran görüntüsü.

Yerleşik sorguları kullanarak güvenlik tehditlerini avlama

Microsoft Sentinel'in , bir uyarı tetiklenmeden önce kuruluşunuzun veri kaynaklarında güvenlik tehditlerini proaktif olarak avlamanızı sağlayan MITRE çerçevesini temel alan güçlü tehdit avcılığı arama ve sorgulama araçlarını kullanın. Tehdit avcılığı sorgunuzu temel alan özel algılama kuralları oluşturun. Ardından bu içgörüleri güvenlik olayı yanıtlayanlarınıza uyarı olarak ortaya çıkar.

Avlanırken, daha sonra ilginç olaylara dönmek için yer işaretleri oluşturun. Bir olayı başkalarıyla paylaşmak için yer işareti kullanın. Ya da olayları diğer bağıntılı olaylarla gruplandırarak araştırma için cazip bir olay oluşturabilirsiniz.

Microsoft Sentinel'de kullanılabilir sorguların listesini gösteren avlanma sayfasının ekran görüntüsü.

Not defterleriyle tehdit avcılığınızı geliştirme

Microsoft Sentinel, makine öğrenmesi, görselleştirme ve veri analizi için tam kitaplıklar da dahil olmak üzere Azure Machine Learning çalışma alanlarındaki Jupyter not defterlerini destekler.

Microsoft Sentinel verileriyle yapabileceklerinizi kapsamını genişletmek için Microsoft Sentinel'deki not defterlerini kullanın. Örneğin:

  • Bazı Python makine öğrenmesi özellikleri gibi Microsoft Sentinel'de yerleşik olmayan analizler gerçekleştirin.
  • Özel zaman çizelgeleri ve işlem ağaçları gibi Microsoft Sentinel'de yerleşik olmayan veri görselleştirmeleri oluşturun.
  • Şirket içi veri kümesi gibi veri kaynaklarını Microsoft Sentinel dışında tümleştirin.

Azure Machine Learning çalışma alanında Sentinel not defterinin ekran görüntüsü.

Not defterleri tehdit avcılarına veya Katman 2-3 analistlerine, olay araştırmacılarına, veri bilimcilerine ve güvenlik araştırmacılarına yöneliktir. Daha yüksek bir öğrenme eğrisi ve kodlama bilgisi gerektirir. Sınırlı otomasyon desteğine sahiptir.

Microsoft Sentinel'deki not defterleri:

  • Hem Microsoft Sentinel hem de dış verilere sorgular
  • Veri zenginleştirme, araştırma, görselleştirme, avcılık, makine öğrenmesi ve büyük veri analizi özellikleri

Not defterleri şunlar için en iyisidir:

  • Yinelenebilir görevlerin daha karmaşık zincirleri
  • Geçici yordam denetimleri
  • Makine öğrenmesi ve özel analiz

Not defterleri, verileri işlemek ve görselleştirmek için zengin Python kitaplıklarını destekler. Bunlar, analiz kanıtlarını belgeleyip paylaşmak için kullanışlıdır.

Topluluktan güvenlik içeriği indirme

Microsoft Sentinel topluluğu, tehdit algılama ve otomasyon için güçlü bir kaynaktır. Microsoft güvenlik analistlerimiz yeni çalışma kitapları, playbook'lar, avlanma sorguları ve daha fazlasını oluşturur ve ekler. Bu içerik öğelerini ortamınızda kullanabilmeniz için topluluğa yayınlar. Microsoft Sentinel için özel çalışma kitapları, tehdit avcılığı sorguları, not defterleri ve playbook'lar oluşturmak için özel topluluk GitHub deposundan örnek içeriği indirin.

Avlanma sorguları, ayrıştırıcılar ve playbook'lar gibi indirilebilir içeriğe sahip Microsoft Sentinel için GitHub deposunun ekran görüntüsü.

Sonraki adımlar

  • Microsoft Sentinel'i kullanmaya başlamak için Microsoft Azure aboneliğiniz olmalıdır. Aboneliğiniz yoksa ücretsiz deneme sürümüne kaydolabilirsiniz.
  • Verilerinizi Microsoft Sentinel'e eklemeyi ve verilerinize ve olası tehditlere ilişkin görünürlük elde etmeyi öğrenin.