Share via

Analiz kurallarında tehdit göstergelerini kullanma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Analiz kurallarınızı tehdit göstergelerinizle güçlendirerek tümleştirdiğiniz tehdit bilgilerine göre otomatik olarak uyarılar oluşturun.

Önkoşullar

  • Tehdit göstergeleri. Bunlar tehdit bilgileri akışlarından, tehdit bilgileri platformlarından, düz bir dosyadan toplu içeri aktarmadan veya el ile girişten olabilir.

  • Veri kaynakları. Veri bağlayıcılarınızdaki olaylar Sentinel çalışma alanınıza akıyor olmalıdır.

  • "TI haritası..." biçiminde bir analiz kuralı bu, sahip olduğunuz tehdit göstergelerini, alınan olaylarla eşleyebilir.

Güvenlik uyarıları oluşturmak için kural yapılandırma

Aşağıda, Microsoft Sentinel'e aktardığınız tehdit göstergelerini kullanarak güvenlik uyarıları oluşturmak için bir kuralı etkinleştirme ve yapılandırma örneği verilmiştir. Bu örnekte, TI eşleme IP varlığı adlı kural şablonunu AzureActivity ile eşleyin. Bu kural tüm IP adresi türündeki tehdit göstergelerini tüm Azure Etkinliği etkinliklerinizle eşleştirecektir. Bir eşleşme bulunduğunda, güvenlik operasyonları ekibiniz tarafından araştırılması için ilgili olayla birlikte bir uyarı oluşturulur. Bu belirli analiz kuralı, Azure Etkinlik veri bağlayıcısını (Azure abonelik düzeyi olaylarınızı içeri aktarmak için) ve Tehdit Bilgileri veri bağlayıcılarından birini veya her ikisini (tehdit göstergelerini içeri aktarmak için) gerektirir. Bu kural, içeri aktarılan göstergelerden veya el ile oluşturulan göstergelerden de tetiklenir.

  1. Azure portalından Microsoft Sentinel hizmetine gidin.

  2. Tehdit Bilgileri veri bağlayıcılarını ve Azure Etkinlik veri bağlayıcısını kullanarak Azure etkinlik verilerini kullanarak tehdit göstergelerini içeri aktardığınız çalışma alanını seçin.

  3. Microsoft Sentinel menüsünün Yapılandırma bölümünden Analiz'i seçin.

  4. Kullanılabilir analiz kuralı şablonlarının listesini görmek için Kural şablonları sekmesini seçin.

  5. TI eşleme IP varlığı başlıklı kuralı AzureActivity ile eşleyin ve aşağıda gösterildiği gibi tüm gerekli veri kaynaklarını bağladığınızdan emin olun.

    TI eşleme IP varlığı için gerekli veri kaynaklarının AzureActivity analiz kuralına ekran görüntüsü.

  6. TI eşleme IP varlığını AzureActivity kuralına eşleyin ve ardından Kural oluştur'u seçerek kural yapılandırma sihirbazını açın. Sihirbazdaki ayarları yapılandırın ve ardından İleri: Kural mantığını >ayarla'yı seçin.

    Analiz kuralı yapılandırma sihirbazı oluşturma işleminin ekran görüntüsü.

  7. Sihirbazın kural mantığı bölümü aşağıdaki öğelerle önceden doldurulmuş:

    • Kuralda kullanılacak sorgu.

    • Microsoft Sentinel'e Hesaplar, IP adresleri ve URL'ler gibi varlıkların nasıl tanındığını ve olayların ve araştırmaların bu kural tarafından oluşturulan güvenlik uyarılarındaki verilerle nasıl çalışıldığını anlamasını sağlayan varlık eşlemeleri.

    • Bu kuralı çalıştırmak için zamanlama.

    • Güvenlik uyarısı oluşturulmadan önce gereken sorgu sonuçlarının sayısı.

    Şablondaki varsayılan ayarlar şunlardır:

    • Saatte bir çalıştır.

    • ThreatIntelligenceIndicator tablosundaki ip adresi tehdit göstergelerini AzureActivity tablosundaki son bir saatlik olaylarda bulunan herhangi bir IP adresiyle eşleştirin.

    • Sorgu sonuçları sıfırdan büyükse bir güvenlik uyarısı oluşturun; başka bir deyişle herhangi bir eşleşme bulunursa.

    • Kural etkindir.

    Varsayılan ayarları bırakabilir veya gereksinimlerinizi karşılayacak şekilde değiştirebilir ve Olay ayarları sekmesinde olay oluşturma ayarlarını tanımlayabilirsiniz. Daha fazla bilgi için bkz. Tehditleri algılamak için özel analiz kuralları oluşturma. İşiniz bittiğinde Otomatik yanıt sekmesini seçin.

  8. Bu analiz kuralından bir güvenlik uyarısı oluşturulduğunda tetiklemek istediğiniz tüm otomasyonları yapılandırın. Microsoft Sentinel'de otomasyon, Azure Logic Apps tarafından desteklenen otomasyon kuralları ve playbook'ların bileşimleri kullanılarak gerçekleştirilir. Daha fazla bilgi edinmek için şu Öğreticiye bakın: Microsoft Sentinel'de playbook'ları otomasyon kurallarıyla kullanma. İşiniz bittiğinde devam etmek için İleri: Gözden Geçir > düğmesini seçin.

  9. Kural doğrulamasının geçtiğini belirten iletiyi gördüğünüzde Oluştur düğmesini seçin ve işiniz bitti demektir.

Kurallarınızı gözden geçirin

Etkinleştirilen kurallarınızı Microsoft Sentinel'in Analytics bölümünün Etkin kurallar sekmesinde bulabilirsiniz. Etkin kuralı buradan düzenleyin, etkinleştirin, devre dışı bırakın, çoğaltın veya silin. Yeni kural etkinleştirme sonrasında hemen çalışır ve ardından tanımlanan zamanlamaya göre çalışır.

Varsayılan ayarlara göre, kural zamanlamaya göre her çalıştığında bulunan tüm sonuçlar bir güvenlik uyarısı oluşturur. Microsoft Sentinel'deki güvenlik uyarıları Microsoft Sentinel'in Günlükler bölümünde, Microsoft Sentinel grubunun altındaki SecurityAlert tablosunda görüntülenebilir.

Microsoft Sentinel'de analiz kurallarından oluşturulan uyarılar, Microsoft Sentinel menüsündeki Tehdit Yönetimi altındaki Olaylar bölümünde bulunabilen güvenlik olayları da oluşturur. Güvenlik operasyonları ekiplerinizin uygun yanıt eylemlerini belirlemek için önceliklendirme yapacağı ve araştıracağı olaylardır. Bu Öğreticide ayrıntılı bilgi bulabilirsiniz: Microsoft Sentinel ile olayları araştırma.

Not

Analiz kuralları aramaları 14 günden fazla kısıtladığından, Microsoft Sentinel her 12 günde bir göstergeleri yeniler ve analiz kuralları aracılığıyla eşleştirme amacıyla kullanılabilir olduklarından emin olur.

İlgili içerik

Bu makalede tehditleri algılamak için tehdit bilgileri göstergelerini kullanmayı öğrendiniz. Microsoft Sentinel'deki tehdit bilgileri hakkında daha fazla bilgi için aşağıdaki makalelere bakın: