Microsoft Sentinel 'de tehdit zekasını anlama

Tehdit zekasına giriş

Cyber Threat Intelligence (CTı), sistemler ve kullanıcılara yönelik bilinen mevcut veya olası tehditleri açıklayan bir bilgi. Bu tür bilgiler, belirli bir tehdit aktörlerini, altyapısını ve tekniklerini ayrıntılarıyla açıklayan, IP adresleri, etki alanları, dosya karmaları ve bilinen siber tehditleri ile ilişkili diğer yapıtlar hakkında birçok formu alır. CTı, kuruluşların olağan dışı etkinliklere önemli bağlam sağlaması için kullanılır, böylece güvenlik personeli kişilerin, bilgilerin ve diğer varlıkların korunması için hızlı bir işlem gerçekleştirebilir. CTı, açık kaynaklı veri akışları, tehdit zekapaylaşma toplulukları, ticari zeka akışları ve bir kuruluştaki güvenlik araştırmalarında toplanan yerel zeka gibi birçok yerden kaynaklıdır.

Microsoft Sentinel gibi bir güvenlik bilgileri ve olay yönetimi (SıEM) çözümü içinde, en yaygın olarak kullanılan CTı biçimi, güvenlik açığı veya ıocs göstergeleri olarak da bilinen tehdit göstergelerdir. Tehdit göstergeleri, kimlik avı, botlar veya kötü amaçlı yazılım gibi bilinen tehdit etkinlikleri ile URL 'Ler, dosya karmaları veya IP adresleri gibi gözlemlenen yapıtları ilişkilendiren veri. Bu tehdit zeka, genellikle bir kuruluştaki olası tehditleri tespit etmek ve bunlara karşı koruma sağlamak amacıyla büyük ölçekte güvenlik ürünlerine uygulanabileceğinden, genellikle politik tehdit bilgileri olarak adlandırılır. Microsoft Sentinel 'de, ortamınızda gözlemlenen kötü amaçlı etkinlikleri algılamaya yardımcı olması için tehdit göstergelerini kullanabilir ve yanıt kararlarını bilgilendirmek için güvenlik araştırmacıya bağlamı sağlayabilirsiniz.

Tehdit zekasını (TI) aşağıdaki etkinliklerle Microsoft Sentinel 'e tümleştirin:

• Çeşitli TI platformları ve akışlara veri bağlayıcıları etkinleştirerek tehdit zekasını Microsoft Sentinel 'e aktarın.

• Günlüklerde ve Microsoft Sentinel 'In tehdit bilgileri dikey penceresinde içeri aktarılan tehdit zekasını görüntüleyin ve yönetin .

• İçeri aktarılan tehdit zekasına dayalı yerleşik analiz kuralı şablonlarını kullanarak tehditleri algılayın ve güvenlik uyarıları ve olaylar oluşturun.

• Tehdit bilgileri çalışma kitabıyla Microsoft Sentinel ' de içeri aktarılan tehdit zekası hakkındaki önemli bilgileri görselleştirin .

Microsoft, içeri aktarılan tüm tehdit bilgileri göstergelerini, diğer gösterge ayrıntıları ile birlikte görünen coğrafi konum ve WHO, verileriile zenginleştirir.

Veri bağlayıcıları ile tehdit zekasını içeri aktarma

Microsoft Sentinel 'deki tüm diğer olay verileri gibi tehdit göstergeleri, veri bağlayıcıları kullanılarak içeri aktarılır. Microsoft Sentinel 'de, özellikle tehdit göstergeleri için tehdit bilgileri-TAXıı ve tümleşik ve seçkin TI akışlarına yönelik tehdit bilgileri platformları için tehdit zekasından oluşan iki veri Bağlayıcısı vardır. Kuruluşunuzun tehdit göstergelerini nerede depolayadığına bağlı olarak, tek başına ya da her iki bağlayıcıyı birlikte kullanabilirsiniz.

Microsoft Sentinel ile sunulan tehdit zekası tümleştirmelerine yönelik bu kataloğa bakın.

Tehdit bilgileri platformu veri Bağlayıcısı ile Microsoft Sentinel 'e tehdit göstergeleri ekleme

birçok kuruluş tehdit bilgileri platformu (tıp) çözümlerini çeşitli kaynaklardan toplamak, platform içindeki verileri seçmek ve ardından ağ aygıtları, EDR/xdr çözümleri veya Microsoft Sentinel gibi çeşitli güvenlik çözümlerine hangi tehdit göstergelerinin uygulanacağını seçmek için kullanır. Kuruluşunuz Tümleşik bır tıp çözümükullanıyorsa, tehdit bilgileri platformları veri Bağlayıcısı , tehdit göstergelerini Microsoft SENTINEL 'e aktarmak için ipucunuzu kullanmanıza olanak sağlar.

tıp veri bağlayıcısı bunu gerçekleştirmek için Microsoft Graph Security tiındicators apı 'siyle birlikte çalıştığından, göstergeleri Microsoft Sentinel 'e (ve Microsoft 365 Defender gibi diğer Microsoft güvenlik çözümlerine) göndermek için tiındicators apı 'siyle iletişim kuran tüm özel tehdit bilgileri platformu tarafından da kullanılabilir.

Microsoft Sentinel ile tümleştirilmiş tıp çözümleri hakkında daha fazla bilgi için bkz. tümleşik tehdit bilgileri platformu ürünleri.

Tehdit göstergelerini TÜMLEŞIK ipucunuzun veya özel tehdit bilgileri platformunuzun Microsoft Sentinel 'e aktarmak için:

1. Azure Active Directory bir uygulama kimliği ve istemci gizli anahtarı edinin

2. Bu bilgileri tıp çözümünüz veya özel uygulamanıza girin

3. Microsoft Sentinel 'de tehdit bilgileri platformu veri bağlayıcısını etkinleştirme

daha fazla bilgi için bkz. threat ıntelligence platformunuzu Microsoft Sentinel 'e Bağlan.

Tehdit bilgileri-TAXıı veri Bağlayıcısı ile Microsoft Sentinel 'e tehdit göstergeleri ekleme

Tehdit zekasını iletilmek üzere en yaygın olarak benimsenen endüstri standardı, STIX veri biçiminin ve TAXıı protokolünün bir birleşimidir. Kuruluşunuz geçerli STIX/TAXıı sürümünü (2,0 veya 2,1) destekleyen çözümlerden tehdit göstergelerini alırsa tehdit bilgilerini Microsoft Sentinel 'e taşımak için tehdit zekataxıı veri bağlayıcısını kullanabilirsiniz. Threat Intelligence-TAXıı Data Connector, Microsoft Sentinel 'deki yerleşik bir TAXıı istemcisinin, TAXıı 2. x sunucularından tehdit zekasını içeri aktarmasını sağlar.

STIX biçimli tehdit göstergelerini BIR TAXıı sunucusundan Microsoft Sentinel 'e aktarmak için:

1. TAXıı Server API kökünü ve koleksiyon KIMLIĞINI edinin

2. Microsoft Sentinel 'de Threat Intelligence-TAXıı veri bağlayıcısını etkinleştirme

daha fazla bilgi için bkz. Microsoft Sentinel to stix/taxıı threat ıntelligence akışları Bağlan.

Tehdit göstergelerini görüntüleyin ve yönetin

Tüm Microsoft Sentinel olay verilerinizin depolandığı günlüklerde, kaynak akıştan veya kullanılan bağlayıcıya bakılmaksızın, başarıyla içeri aktarılmış tehdit göstergelerini ( Microsoft Sentinel grubu ' nun altında), günlüklere göre görüntüleyebilirsiniz. Bu tablo, analiz ve çalışma kitapları gibi diğer Microsoft Sentinel özellikleri tarafından gerçekleştirilen tehdit zeka sorgularının temelini oluşturur.

Sonuçlarınız aşağıda gösterildiği gibi örnek tehdit göstergesine benzer olmalıdır:

Ayrıca, ana Microsoft Sentinel menüsünden erişilebilen yeni tehdit bilgileri dikey penceresinde göstergelerini görüntüleyebilir ve yönetebilirsiniz. Log Analytics bir sorgu yazmadan, içeri aktarılan tehdit göstergelerinizi sıralayabilir, filtreleyebilir ve arayabilirsiniz. Bu özellik ayrıca doğrudan Microsoft Sentinel arabirimi içinde tehdit göstergeleri oluşturmanıza ve en yaygın tehdit zekası yönetim görevlerinin ikisini de gerçekleştirmenize olanak tanır: gösterge etiketleme ve güvenlik araştırmalamasıyla ilgili yeni göstergeler oluşturma.

Tehdit göstergelerini etiketleme, bulmayı kolaylaştırmak için bunları gruplamak için kolay bir yoldur. Genellikle, belirli bir olayla ilgili göstergelere veya belirli bir aktör veya iyi bilinen saldırı kampanyasından tehditleri temsil eden bir etiket uygulayabilirsiniz. Tehdit göstergelerini tek tek veya çoklu seçim göstergelerini etiketleyebilir ve hepsini bir kez etiketlendirebilirsiniz. Aşağıda gösterilen birden çok göstergeyi bir olay KIMLIĞIYLE etiketlemeyle ilgili bir örnek aşağıda verilmiştir. Etiketleme serbest biçimli olduğundan, tehdit göstergesi etiketleri için standart adlandırma kuralları oluşturmak önerilen bir uygulamadır. Her göstergeye birden çok etiket uygulayabilirsiniz.

Tehdit göstergelerini görüntüleme ve yönetme hakkında daha fazla bilgi için bkz. Microsoft Sentinel 'de tehdit göstergeleri Ile çalışma.

Coğrafi kayıtlarınızı görüntüleme (Genel Önizleme)

Microsoft, seçili uzlaşması göstergesinin (ıOC) bulunduğu araştırmalar için daha fazla bağlam sağlayan, ek coğrafi konum ve Whoo verileriyle her bir göstergeyi zenginleştirir.

Microsoft Sentinel 'e aktardığınız her bir uzlaşma göstergesi için tehdit bilgileri bölmesindeki coğrafi konum ve Whoo verilerini görüntüleyebilirsiniz.

Örneğin, bir gösterge için kuruluş veya ülke gibi ayrıntıları bulmak için coğrafi konum verilerini kullanın ve kayıt ve kayıt oluşturma verileri gibi verileri bulmak için bir değer.

Tehdit göstergesi tabanlı analizler ile tehditleri Algıla

Microsoft Sentinel gibi SıEM çözümlerinde tehdit göstergeleri için en önemli kullanım örneği, tehdit algılama için Power Analytics kurallarına yöneliktir. Bu gösterge tabanlı kurallar, kuruluşunuzdaki güvenlik tehditlerini algılamak için veri kaynaklarınızdan gelen ham olayları tehdit göstergelerinizi karşılaştırarak karşılaştırır. Microsoft Sentinel Analytics'te, bir zamanlamaya göre çalışan ve güvenlik uyarıları üreten analiz kuralları oluşturun. Kurallar sorgular tarafından, kuralın ne sıklıkla çalışacağını, ne tür sorgu sonuçlarının güvenlik uyarıları ve olayları ürettiğini ve yanıt olarak tetiklemenin ne zaman yapılacağını belirleyen konfigürasyonlarla birlikte dağıtılır.

Sıfırdan her zaman yeni analiz kuralları oluşturabilirsiniz, Microsoft Sentinel, Microsoft Güvenlik mühendisleri tarafından oluşturulan ve gereksinimlerinizi karşılayacak şekilde kullanabileceğiniz yerleşik bir kural şablonları kümesi sağlar. Tehdit göstergelerini kullanan kural şablonlarını, "TI Map..." ile başlayan tüm bunlar gibi kolay bir şekilde belirleyebilirsiniz. Tüm bu kural şablonları benzer şekilde çalışır; tek fark, tehdit göstergeleri türünün kullanıldığı tek farklılık (etki alanı, e-posta, dosya karması, IP adresi veya URL) ve hangi olay türünün eşleşeceğini gösterir. Her şablon, kuralın çalışması için gereken gerekli veri kaynaklarını listeler. böylece, Microsoft Sentinel 'de gerekli olayları zaten içeri aktardıysanız bir bakışta görebilirsiniz. Var olan bir kural şablonunu düzenleyip kaydettiğinizde veya yeni bir kural oluşturduğunuzda, varsayılan olarak etkindir.

Etkin kuralınızı, Microsoft Sentinel 'in analiz bölümünün etkin kurallar sekmesinde bulabilirsiniz. Etkin kuralı buradan düzenleyebilir, etkinleştirebilir, devre dışı bırakabilir, çoğaltabilir veya silebilirsiniz. Yeni kural etkinleştirme sonrasında hemen çalışır ve bundan sonra tanımlanan zamanlamaya göre çalıştırılır.

Varsayılan ayarlara göre, kural zamanlamasında her çalıştığında bulunan sonuçlar güvenlik uyarısı oluşturur. Microsoft Sentinel 'deki güvenlik uyarıları , Microsoft Sentinel grubu altında bulunan securityalert tablosunda Microsoft Sentinel 'in Günlükler bölümünde görüntülenebilir.

Microsoft Sentinel 'de, analiz kurallarından oluşturulan uyarılar, Microsoft Sentinel menüsünde tehdit yönetimi altındaki olaylarda bulunan güvenlik olayları da oluşturur. Olaylar, uygun yanıt eylemlerini belirlemek için güvenlik işlemleri ekiplerinizin önceliklendirme ve araştırılacağı şeydir. Bu öğreticide ayrıntılı bilgiler bulabilirsiniz : Microsoft Sentinel ile olayları araştırın.

Analiz kurallarınızın tehdit göstergelerini kullanma hakkında daha fazla bilgi için bkz. Microsoft Sentinel 'de tehdit göstergeleri Ile çalışma.

Çalışma kitapları, tehdit zekası hakkında öngörüler sağlar

Çalışma kitapları, Microsoft Sentinel 'in tüm yönlerine yönelik Öngörüler sunan güçlü etkileşimli panolar sağlar ve tehdit zekası özel durum değildir. Tehdit zekası hakkındaki önemli bilgileri görselleştirmek için yerleşik tehdit zekası çalışma kitabını kullanabilir ve çalışma kitabını iş gereksinimlerinize göre kolayca özelleştirebilirsiniz. Birçok farklı veri kaynağını birleştiren yeni panolar da oluşturabilirsiniz, böylece verilerinizi benzersiz yollarla görselleştirebilirsiniz. Microsoft Sentinel çalışma kitapları Azure Izleyici çalışma kitaplarını temel aldığı için, daha fazla sayıda belge mevcuttur ve birçok şablon daha vardır. Başlamak için harika bir yer, Azure izleyici çalışma kitapları ile etkileşimli raporlar oluşturmayayönelik bu makaledir.

ayrıca, ek şablonları indirebileceğiniz ve kendi şablonlarınızın katkıda bulunduğu GitHub Azure izleyici çalışma kitaplarının zengin bir topluluğu vardır.

Tehdit bilgileri çalışma kitabını kullanma ve özelleştirme hakkında daha fazla bilgi için bkz. Microsoft Sentinel 'de tehdit göstergeleri Ile çalışma.

Sonraki adımlar

Bu belgede, tehdit bilgileri dikey penceresi de dahil olmak üzere Microsoft Sentinel 'in tehdit bilgileri özellikleri hakkında bilgi edindiniz. Microsoft Sentinel 'in tehdit bilgileri yeteneklerini kullanma konusunda pratik yönergeler için aşağıdaki makalelere bakın:

• Microsoft Sentinel- stix/taxıı threat ıntelligence akışlarınıBağlan.
• tehdit bilgileri platformunu Microsoft Sentinel 'e Bağlan.
• Bkz. hangi tıp platformları, TAXıı akışları ve zenginler , Microsoft Sentinel ile kolayca tümleştirilebilir.
• Microsoft Sentinel deneyimin tamamında tehdit göstergeleri Ile çalışın .
• Microsoft Sentinel 'de yerleşik veya özel analiz kurallarıyla tehditleri algılayın
• Microsoft Sentinel 'de olayları araştırın .