Microsoft Sentinel'de araştırma yaparken veya tehdit avcılığı yaparken tehdit aktörlerine yanıt verme

  • Makale

Bu makalede, bir olay araştırması veya tehdit avı sırasında, araştırma veya avdan özetleme veya bağlam değiştirmeden tehdit aktörlerine karşı nasıl yanıt eylemleri gerçekleştirdiğiniz gösterilir. Bunu, yeni varlık tetikleyicisini temel alan playbook'ları kullanarak gerçekleştirirsiniz.

Varlık tetikleyicisi şu anda aşağıdaki varlık türlerini destekler:

Önemli

Varlık tetikleyicisi şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Playbook'ları varlık tetikleyicisiyle çalıştırma

Bir olayı araştırırken belirli bir varlığın (kullanıcı hesabı, konak, IP adresi, dosya vb.) bir tehdidi temsil ettiğini belirlerseniz, isteğe bağlı bir playbook çalıştırarak bu tehdit üzerinde anında düzeltme eylemleri gerçekleştirebilirsiniz. Olaylar bağlamı dışında tehditleri proaktif olarak avlarken şüpheli varlıklarla karşılaşırsanız da benzer şekilde yapabilirsiniz.

  1. Hangi bağlamda karşılaşırsanız karşılaşın varlığı seçin ve playbook'u çalıştırmak için uygun araçları aşağıdaki gibi seçin:

    • Yeni olay ayrıntıları sayfasındaki (şimdi Önizlemede) bir olayın Genel Bakış sekmesindeki Varlıklar pencere öğesinde veya Varlıklar sekmesinde, listeden bir varlık seçin, varlığın yanındaki üç noktayı seçin ve açılır menüden Playbook'u (Önizleme) çalıştır'ı seçin.

      Screenshot of incident details page.

      Screenshot of entities tab on incident details page.

    • Bir olayın Varlıklar sekmesinde, listeden varlığı seçin ve listedeki satırının sonundaki Playbook'u çalıştır (Önizleme) bağlantısını seçin.

      Screenshot of selecting entity from incident details page to run a playbook on it.

    • Araştırma grafiğinden bir varlık seçin ve varlık yan panelinde Playbook'u çalıştır (Önizleme) düğmesini seçin.

      Screenshot of selecting an entity from the investigation graph to run a playbook on it.

    • Varlık davranışı sayfasından bir varlık seçin. Elde edilen varlık sayfasından sol taraftaki panelde Playbook'u çalıştır (Önizleme) düğmesini seçin.

      Screenshot of selecting an entity from the entity behavior page to run a playbook on it.

      Screenshot of the selected entity page to run a playbook on an entity.

  2. Bunların tümü Varlık türü> panelinde playbook'u <çalıştır'ı açar.

    Screenshot of Run playbook on entity panel.

    Bu panellerden herhangi birinde iki sekme görürsünüz: Playbook'lar ve Çalıştırmalar.

  3. Playbook'lar sekmesinde, erişiminiz olan ve bu varlık türü için Microsoft Sentinel Varlık tetikleyicisini kullanan tüm playbook'ların listesini görürsünüz (bu örnekte kullanıcı hesapları). Hemen çalıştırmak istediğiniz playbook için Çalıştır düğmesini seçin.

    Dekont

    Çalıştırmak istediğiniz playbook'u listede görmüyorsanız, Microsoft Sentinel'in bu kaynak grubunda playbook çalıştırma izinleri olmadığı anlamına gelir (daha fazla bilgi edinin). Bu izinleri vermek için ana menüden Ayarlar seçin, Ayarlar sekmesini seçin, Playbook izinleri genişleticisini genişletin ve İzinleri yapılandır'ı seçin. Açılan İzinleri yönet panelinde, çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'yı seçin.

  4. Varlık tetikleyicisi playbook'larınızın etkinliğini Çalıştırmalar sekmesinden denetleyebilirsiniz. Seçtiğiniz varlıkta herhangi bir playbook'un çalıştırıldığı tüm zamanların listesini görürsünüz. Yeni tamamlanan çalıştırmaların bu listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Azure Logic Apps'te tam çalıştırma günlüğü açılır.

Sonraki adımlar

Bu makalede, bir olayı araştırmanın veya tehdit avcılığı yaparken varlıkların tehditlerini düzeltmek için playbook'ları el ile çalıştırmayı öğrendiniz.