Öğretici: Azure Sentinel ile olayları araştırma

Önemli

Araştırma grafiği artık Genel Kullanılabilirlik içindedir.

Bu öğretici, olaylarla ilgili araştırma ve Azure Sentinel. Veri kaynaklarınızı Azure Sentinel, şüpheli bir durum olduğunda size bildirilecek. Bunu yapmak için, Azure Sentinel ataydığınız ve araştırdığınız olaylar oluşturan gelişmiş uyarı kuralları oluşturmanıza olanak sağlar.

Bu makale şunları kapsar:

  • Olayları araştırma
  • Araştırma grafiğini kullanma
  • Tehditlere yanıt verme

Bir olay birden çok uyarı içerebilir. Bu, belirli bir araştırma için tüm ilgili kanıtların bir toplamasıdır. Olay, Analiz sayfasında oluşturduğunuz analiz kurallarına göre oluşturulur. Önem derecesi ve durum gibi uyarılarla ilgili özellikler olay düzeyinde ayarlanır. Ne tür Azure Sentinel ne tür tehditler ve bunları nasıl bula bildikten sonra, olayları araştırarak algılanan tehditleri izleyebilirsiniz.

Önkoşullar

  • Olayı yalnızca analiz kuralınızı ayarlarken varlık eşleme alanlarını kullandıysanız araştırabilirsiniz. Araştırma grafiği için özgün olayınızın varlıkları içermesi gerekir.

  • Olayları ataması gereken bir konuk kullanıcınız varsa, kullanıcıya Azure AD kiracınız içinde Dizin Okuyucusu rolü atanmış olmalıdır. Normal (konuk olmayan) kullanıcılara varsayılan olarak bu rol atanır.

Olayları araştırma

  1. Olaylar'ı seçin. Olaylar sayfası kaç olay olduğunu, kaç tane açık olduğunu, kaç tane devam ediyor olarak ayarlamış olduğunu ve kaç tane kapalı olduğunu size sağlar. Her olay için, olayın ne zaman olduğunu ve olayın durumunu görebilir. Önce hangi olayları işley karar vermek için önem derecesine bakın.

    Olay önem derecelerini görüntüleme

  2. Olayları gerektiğinde, örneğin durum veya önem derecesine göre filtreleysiniz.

  3. Araştırmayı başlamak için belirli bir olayı seçin. Sağda, güvenlik olayıyla ilgili olarak önem derecesi, dahil olan varlık sayısının özeti, bu olayı tetikleyen ham olaylar ve olayın benzersiz kimliği gibi ayrıntılı bilgileri de görebilirsiniz.

  4. Olayda uyarı ve varlıklar hakkında daha fazla ayrıntı görüntülemek için Olay sayfasındaki Tüm ayrıntıları görüntüle'yi seçin ve olay bilgilerini özetleyen ilgili sekmeleri gözden geçirebilirsiniz.

    Uyarı ayrıntılarını görüntüleme

    Örneğin:

    • Zaman Çizelgesi sekmesinde, olaydaki uyarıların ve yer işaretlerinin zaman çizelgesini gözden geçirebilirsiniz. Bu, saldırgan etkinliğinin zaman çizelgesini yeniden yapılandırmanıza yardımcı olabilir.
    • Uyarılar sekmesinde uyarının kendisini gözden geçirebilirsiniz. Uyarıyla ilgili tüm ilgili bilgileri ( uyarıyı tetikleyen sorgu, sorgu başına döndürülen sonuç sayısı ve uyarılarda playbook'ları çalıştırma yeteneği) görebilir. Olayda daha da detaya inecek olan Olay sayısını seçin. Bu işlem sonuçları oluşturan sorguyu ve Log Analytics'te uyarıyı tetikleyen olayları açar.
    • Varlıklar sekmesinde, uyarı kuralı tanımının bir parçası olarak eşlene tüm varlıkları görebilirsiniz.
  5. Bir olayı etkin bir şekilde araştırıyorsanız, siz kapatana kadar olayın durumunu Devam Ediyor olarak ayarlamak iyi bir fikirdir.

  6. Olaylar belirli bir kullanıcıya atanabilir. Her olay için, Olay sahibi alanını ayarerek bir sahip atabilirsiniz. Tüm olaylar atanmamış olarak başlar. Ayrıca, diğer analistlerin olayla ilgili neleri araştırıldığını ve endişelerinizi anlayabilecek açıklamalar da eklemeniz de mümkün.

    Kullanıcıya olay atama

  7. Araştırma haritasını görüntülemek için Araştır'ı seçin.

Araştırma grafiğini kullanarak derinlemesine inceleme

Araştırma grafiği, analistlerin her araştırma için doğru soruları sormalarını sağlar. Araştırma grafiği, ilgili verileri ilgili herhangi bir varlıkla arasında ilişki kullanarak olası bir güvenlik tehdidinin kapsamını anlamanıza ve olası bir güvenlik tehdidinin kök nedenini tanımlamanıza yardımcı olur. Grafikte sunulan herhangi bir varlığı seçerek ve farklı genişletme seçenekleri arasında seçimerek daha derine inerek araştırabilirsiniz.

Araştırma grafı size şunları sağlar:

  • Ham verilerden görsel bağlam: Canlı görsel graf, ham verilerden otomatik olarak ayıklanan varlık ilişkilerini görüntüler. Bu, farklı veri kaynakları arasındaki bağlantıları kolayca görmenizi sağlar.

  • Tam araştırma kapsamı bulma: Bir ihlalin tam kapsamını ortaya çıkaracak yerleşik araştırma sorgularını kullanarak araştırma kapsamınızı genişletin.

  • Yerleşik araştırma adımları: Tehdit karşısında doğru soruları sorduğunuzdan emin olmak için önceden tanımlanmış araştırma seçeneklerini kullanın.

Araştırma grafiğini kullanmak için:

  1. Bir olay seçin ve ardından Araştır'ı seçin. Bu sizi araştırma grafı iletir. Grafik, uyarıya doğrudan bağlanan varlıkların ve daha fazla bağlı olan her kaynağın açıklayıcı bir haritasını sağlar.

    Haritayı görüntüleme.

    Önemli

    • Olayı yalnızca analiz kuralınızı ayarlarken varlık eşleme alanlarını kullandıysanız araştırabilirsiniz. Araştırma grafiği için özgün olayınızın varlıkları içermesi gerekir.

    • Azure Sentinel şu anda 30 günlük olay araştırmalarını destekler.

  2. Varlıkla ilgili bilgileri gözden geçirmek için Varlıklar bölmesini açmak için bir varlık seçin.

    Varlıkları haritada görüntüleme

  3. Araştırmanızı derinden genişletmek için güvenlik uzmanlarımız ve analistlerimiz tarafından varlık türüne göre tasarlanmış soruların listesini ortaya çıkarmak için her varlığın üzerine gelerek araştırmanızı genişletin. Bu seçeneklere araştırma sorguları çağrılır.

    Diğer ayrıntıları keşfedin

    Örneğin, bir bilgisayarda ilgili uyarılar isteğide bulundurabilirsiniz. Bir araştırma sorgusu seçersiniz, sonuçta elde edilen yetkilendirmeler grafiye geri eklenir. Bu örnekte İlgili uyarılar'ı seçerek grafiye aşağıdaki uyarılar döndürüldü:

    İlgili uyarıları görüntüleme

  4. Her keşif sorgusu için, Olaylar'ı seçerek ham olay sonuçlarını ve Log Analytics'te kullanılan sorguyu açma seçeneğini belirleyin. >

  5. Graf, olayı anlamak için size paralel bir zaman çizelgesi sağlar.

    Zaman çizelgesini haritada görüntüleme

  6. Zaman çizelgesinin üzerine gelerek grafikte hangi şeylerin zaman içinde olduğunu görebilirsiniz.

    Uyarıları araştırmak için haritada zaman çizelgesi kullanma

Bir olayı kapatma

Belirli bir olayı çözdüktan sonra (örneğin, araştırmanız sonucuna ulaşıldıktan sonra), olayın durumunu Kapatıldı olarak ayarlayabilirsiniz. Bunu yapmak için kapatma nedeni belirterek olayı sınıflandırmak istenecek. Bu adım zorunludur. Sınıflandırma seç'e tıklayın ve açılan listeden aşağıdakilerden birini seçin:

  • Doğru Pozitif: Şüpheli etkinlik
  • Zararsız Pozitif: Şüpheli ancak beklenen
  • Hatalı Pozitif: Hatalı uyarı mantığı
  • Hatalı Pozitif: Hatalı veri
  • Belirsiz

Sınıflandırma seçin listesinde bulunan sınıflandırmaları vurgulayan ekran görüntüsü.

Hatalı pozitifler ve zararsız pozitifler hakkında daha fazla bilgi için bkz. Hatalı pozitifleri Azure Sentinel.

Uygun sınıflandırmayı seçtikten sonra Açıklama alanına açıklayıcı bir metin ekleyin. Bu, bu olayı yeniden incelemeye ihtiyacınız olması durumunda yararlı olacaktır. Bitiren Uygula'ya tıklayın; olay kapatılır.

{alternatif-metin}

Sonraki adımlar

Bu öğreticide, Azure Sentinel kullanarak olayları araştırmaya başlamayı Azure Sentinel. Otomatik playbook'ları kullanarak tehditlere yanıt vermeye yönelik öğreticiye devam edin.

Tehditlere yanıtlarınızı otomatikleştirmek için tehditlere yanıt verin.