Azure Sentinel'daki Azure Sentinel

Bu makalede, Azure Sentinel için eklenen son özellikler ve ilgili hizmetlere eklenen ve bu hizmetlerde gelişmiş bir kullanıcı deneyimi Azure Sentinel.

Altı aydan eski öğeleri arıyorsanız, bunları Azure Sentinel'daki yeni öğeler için Arşiv'de bulabilirsiniz. Teslim edilen önceki özellikler hakkında daha fazla bilgi için Teknik Topluluk bloglarımıza bakın.

Önemli

Not alan özellikler şu anda ÖNIZLİ'dedir. Azure Önizleme Ek Koşulları, beta, önizleme veya henüz genel kullanılabilirlik aşamasında yayımlanmayacak Olan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Not

ABD kamu bulutlarında özellik kullanılabilirliği hakkında daha fazla bilgi için bkz. US kamu müşterileri Için bulut özelliği kullanılabilirliğiIçindeki Azure Sentinel tabloları.

İpucu

Microsoft genelindeki tehdit avcılığı ekiplerimiz, takımlarınızı uyarlamak ve kullanmak için kullanabileceği belirli tehdit avcılığı sorguları dahil olmak üzere Azure Sentinel Community'yesorgular, playbook'lar, çalışma kitapları ve not defterleri sağlar.

Katkıda da bulunarak katkıda bulunarak! Azure Sentinel Threat Threat Threats GitHub topluluğunda bize katılın.

Mayıs 2021

Azure Sentinel PowerShell modülü

Günlük Azure Sentinel otomatikleştirmeye yardımcı olan resmi PowerShell modülü GA olarak yayınlandı!

Buradan indirebilirsiniz: PowerShell Galerisi.

Daha fazla bilgi için PowerShell belgelerine bakın: Az.SecurityInsights

Uyarı gruplama iyileştirmeleri

Artık analiz kuralınızı, uyarıları yalnızca belirli bir varlık türüyle eşlene değil, aynı zamanda yapılandırılmış bir varlık için belirli bir uyarı adı, önem derecesi veya diğer özel ayrıntılarla eşlese de tek bir olayda gruplandıracak şekilde yapılandırabilirsiniz.

Analiz kuralı sihirbazının Güvenlik olayları ayarları sekmesinde, uyarı gruplamayı açmak için öğesini seçin ve sonra seçili varlık türleri ve ayrıntıları eşlese Uyarıları tek bir olayda grupla seçeneğini belirleyin.

Ardından varlık türlerinizi ve eşleşmek istediğiniz ilgili ayrıntıları seçin:

Varlık ayrıntılarını eşleştirerek uyarıları grupla.

Daha fazla bilgi için bkz. Uyarı gruplama.

Azure Sentinel çözümleri (Genel önizleme)

Azure Sentinel artık bir veya daha fazla veri bağlayıcısı, çalışma kitabı, analiz kuralı, playbook'lar, avlanma sorguları, ayrıştırıcılar, izleme listeleri ve diğer bileşenlerin birleşimini içeren paketlenmiş içerik çözümleri Azure Sentinel.

Çözümler geliştirilmiş ürün içinde keşfedebilirlik, tek adımlı dağıtım ve uz-4.000 ürün senaryoları sağlar. Daha fazla bilgi için bkz. Çözümlerini bulma Azure Sentinel dağıtma.

SAP çözümü için Sürekli Tehdit İzleme (Genel önizleme)

Azure Sentinel çözümler artık SAP için Sürekli Tehdit İzleme özelliğine sahiptir ve sap sistemlerini iş ve uygulama katmanlarında gelişmiş tehditlere karşı izlemenizi sağlar.

SAP veri bağlayıcısı, SAP sistem ortamının tamamına 14 uygulama günlüğü akışı sağlar ve OSSAP Denetim arabirimi aracılığıyla NetWeaver RFC çağrıları ve dosya depolama verileri aracılığıyla hem Gelişmiş İş Uygulaması Programlama'dan (ABAP) günlükleri toplar. SAP veri bağlayıcısı, Azure Sentinels'e SAP temel altyapısını izleme olanağı ekler.

SAP günlüklerini bir Azure Sentinel için SAP ortamınıza Azure Sentinel SAP veri bağlayıcısı yüklü olması gerekir. SAP veri bağlayıcısı dağıtıldıktan sonra, zengin SAP çözümü güvenlik içeriğini dağıtarak kuruluş SAP ortamı hakkında sorunsuz içgörü elde edin ve ilgili güvenlik işlemi özelliklerini geliştirin.

Daha fazla bilgi için bkz. Öğretici: SAP için Azure Sentinel çözümünü dağıtma (genel önizleme).

Tehdit zekası tümleştirmeleri (Genel önizleme)

Azure Sentinel güvenlik analistlerinin bilinen tehditleri algılama ve önceliklerini belirleme becerisini geliştirmek için tehdit bilgileri akışlarını kullanmanın birkaç farklı yolu vardır.

Artık yeni kullanılabilen tümleştirilmiş tehdit bilgileri platformu (TIP) ürünlerinden birini kullanabilir, STIX ile uyumlu herhangi bir tehdit zekası kaynağından yararlanmak için TAXII sunucularına bağlanabilirsiniz ve Microsoft Graph Security tiIndicators API'siile doğrudan iletişim kuran özel çözümleri kullanabilirsiniz.

Ayrıca, olayları doğrudan araştırma ve yanıt eylemlerine yardımcı olacak TI bilgileriyle zenginleştirmek için playbook'lardan tehdit bilgileri kaynaklarına bağlanabilirsiniz.

Daha fazla bilgi için bkz. Azure Sentinel.

Zamanlanmış uyarılar üzerinden Fusion (Genel önizleme)

Fusion makine öğrenmesi bağıntı altyapısı artık diğer veri kaynaklarından aktarılan uyarılara ek olarak bağıntılarında bir dizi zamanlanmış analiz kuralı tarafından oluşturulan uyarıları kullanarak çok aşamalı saldırıları algılanabilir.

Daha fazla bilgi için bkz. Azure Sentinel'de gelişmiş çok Azure Sentinel.

SOC-ML anomalileri (Genel önizleme)

Azure Sentinel SOC-ML makine öğrenmesi tabanlı anomalileri, algılamadan kaçınabilecek olağan dışı davranışları tanımlayabilir.

SOC-ML, hemen çalışmaya koyabilirsiniz analiz kuralı şablonlarını kullanır. Anomaliler kendi başına kötü amaçlı veya hatta şüpheli davranışları göstermek zorunda değildir, ancak algılamaların, araştırmaların ve tehdit avcılığının uygun olup olmadığını geliştirmek için kullanılabilir.

Daha fazla bilgi için bkz. SoC-ML anomalilerinikullanarak Azure Sentinel.

IP Varlığı sayfası (Genel önizleme)

Azure Sentinel ip adresi varlığını destekliyor ve artık IP varlık bilgilerini yeni IP varlığı sayfasında görüntüleyebilirsiniz.

Kullanıcı ve konak varlık sayfalarında olduğu gibi, IP sayfası da IP hakkında genel bilgiler içerir, IP'nin bir parçası olduğu bulunan etkinliklerin bir listesi ve daha fazlası, güvenlik olayları araştırmanızı geliştirmek için size her geçen gün daha zengin bir bilgi deposu sağlar.

Daha fazla bilgi için bkz. Varlık sayfaları.

Etkinlik özelleştirmesi (Genel önizleme)

Varlık sayfalarından söz etmişken, varlıklarınız için, şimdiye kadar orada görmüş olduğunuz hazır etkinliklerle birlikte ilgili varlık sayfalarında izlenecek ve görüntülenecek yeni özel etkinlikler oluşturabilirsiniz.

Daha fazla bilgi için bkz. Varlık sayfası zaman çizelgeleri üzerinde etkinlikleri özelleştirme.

Avlanma panosu (Genel önizleme)

Avlanma dikey penceresi yenilendi. Yeni pano tüm sorgularınızı veya seçili bir alt kümeyi tek tıklamayla çalıştırmanıza olanak sağlar.

24 saatlik bir süre içinde sonuç sayısına, ani artışlara veya sonuç sayısı değişikliğine bakarak avlanmaya nereden başlayacağını belirleme. Ayrıca sık kullanılanlara, veri kaynağına, MITRE ATT'ye ve CK&teknik, sonuçlar veya sonuç deltası gibi ölçütlere göre de sıralanmış ve filtrelenmiş olabilir. Henüz gerekli veri kaynaklarına bağlı olan sorguları görüntüleme ve bu sorguları etkinleştirme hakkında öneriler alın.

Daha fazla bilgi için bkz. Azure Sentinel.

Azure Sentinel ekibi - Microsoft Teams'de işbirliği yapma (genel önizleme)

Azure Sentinel artık Microsoft Teams ile doğrudan tümleştirmeyi destekleerek kuruluş genelinde ve dış paydaşlarla sorunsuz bir şekilde işbirliğine olanak sağlar.

Doğrudan Azure Sentinel merkezi iletişim ve koordinasyon için kullanmak üzere yeni bir olay ekibi oluşturun.

Olay ekipleri özellikle yüksek önem derecesine sahip ve devam eden olaylar için özel bir konferans köprüsü olarak kullanılır. İletişim ve işbirliği için Microsoft Teams'i zaten kullanan kuruluşlar güvenlik Azure Sentinel doğrudan konuşmalarına ve günlük çalışmalarına getirmek için bu tümleştirmeyi kullanabilir.

Microsoft Teams'de, yeni takımın Olay sayfası sekmesinde her zaman en güncel ve en son veriler Azure Sentinel ekiplerinin en ilgili verilere sahip olmasını sağlar.

Microsoft Teams'de olay sayfası.

Daha fazla bilgi için bkz. Microsoft Teams'de işbirliği yapma (Genel önizleme).

Sıfır Güven (TIC3.0) çalışma kitabı

Yeni Azure Sentinel Sıfır Güven (TIC3.0) çalışma kitabı, Güvenilir İnternet Bağlantıları (TIC) çerçevesine çapraz geçişle Sıfır Güven ilkelerinin otomatik bir görselleştirmesini sağlar.

Uyumluluğun yalnızca yıllık bir gereksinim olmadığını ve kuruluşların zaman içinde yapılandırmaları bir kas gibi izlemesi gerektiğini biliyoruz. Azure Sentinel çalışma Sıfır Güven Azure, Office 365, Teams, Intune, Windows Sanal Masaüstü ve daha birçok farklı Microsoft güvenlik tekliflerini kullanır.

Sıfır Güven çalışma kitabı.

Aşağıdaki Sıfır Güven çalışma kitabı:

  • Uygulamacılar, SecOps Analistleri, Değerlendiriciler, Güvenlik ve Uyumluluk Karar Alma Mekanizmaları, MSSP'ler ve diğer kullanıcıların bulut iş yüklerinin güvenlik duruşu hakkında durumsal farkındalık kazanmalarını sağlar.
  • Gezinti için seçilebilir GUI düğmeleriyle TIC 3.0 güvenlik özellikleriyle hizalanmış 75'in üzerinde denetim kartının özellikleri.
  • Otomasyon, yapay zeka, makine öğrenmesi, sorgu/uyarı oluşturma, görselleştirmeler, uyarlanmış öneriler ve ilgili belge başvuruları aracılığıyla personeli artırmak için tasarlanmıştır.

Daha fazla bilgi için bkz. Öğretici: Verilerinizi görselleştirme ve izleme.

Nisan 2021

Azure İlkesi tabanlı veri bağlayıcıları

Azure İlkesi, günlüklerini belirli bir türün tüm (geçerli ve gelecek) kaynaklarına ortak bir tanılama günlüğü ayarları kümesi uygulama Azure Sentinel.

Azure İlkesi'nin gücünü veri toplama yapılandırması görevine getirmek için çabalarımızı sürdürüyoruz. Şimdi genel önizleme sürümüne Azure İlkesi Azure Depolama hesabı kaynakları için yeni bir Azure İlkesi gelişmiş veri toplayıcısı daha sunacağız.

Ayrıca, Azure Key Vault ve Azure Kubernetes Serviceiçin önizleme sürümü bağlayıcılarımızın ikisi genel kullanılabilirlik (GA) olarak yayınlandı ve Azure SQL Veritabanları bağlayıcımıza katıldı.

Olay zaman çizelgesi (Genel önizleme)

Olay ayrıntıları sayfasındaki ilk sekme, olaydaki uyarıların ve yer işaretlerinin zaman çizelgesini gösteren Zaman Çizelgesi'dir. Bir olayın zaman çizelgesi, olayı daha iyi anlamanıza ve ilgili uyarılar ve yer işaretleri arasında saldırgan etkinliğinin zaman çizelgesini yeniden yapılandırmanıza yardımcı olabilir.

  • Olay bağlamından ayrılmadan ayrıntılarını görmek için zaman çizelgesinde bir öğe seçin
  • Yalnızca uyarıları veya yer işaretlerini ya da belirli bir önem derecesine veya MITRE taktiğine sahip öğeleri göstermek için zaman çizelgesi içeriğini filtrele.
  • Kaydın tamamını görüntülemek için Sistem uyarı kimliği bağlantısını veya Olaylar bağlantısını seçerek Günlükler alanında ilgili olayları görüntüleyebilirsiniz.

Örneğin:

Olay zaman çizelgesi sekmesi

Daha fazla bilgi için bkz. Öğretici: Azure Sentinel.

Mart 2021

Çalışma kitaplarını görünüm modundayken otomatik olarak yenilenecek şekilde ayarlama

Azure Sentinel kullanıcılar artık yeni çalışma kitabı Azure İzleyici çalışma kitabı verilerini görüntüleme oturumu sırasında otomatik olarak yenileme olanağını kullanabilir.

Her çalışma kitabı veya çalışma kitabı şablonunda Aralık seçeneklerinizi görüntülemek için Otomatik yenile'yi seçin. Geçerli görünüm oturumu için kullanmak istediğiniz seçeneği belirleyin ve Uygula'ya tıklayın.

  • Desteklenen yenileme aralıkları 5 dakika ile 1 gün arasında olabilir.

  • Otomatik yenileme varsayılan olarak kapalıdır. Performansı iyileştirmek için, bir çalışma kitabını her kapatsanız otomatik yenileme de devre dışıdır ve arka planda çalışmaz. Çalışma kitabını bir sonraki açnızda otomatik yenilemeyi gerektiğinde yeniden açın.

  • Çalışma kitabını düzenlerken otomatik yenileme duraklatılır ve düzenleme modundan görünüm moduna her geçişte otomatik yenileme aralıkları yeniden başlatılır.

    Yenile düğmesini seçerek çalışma kitabını el ile yenilersanız da aralıklar yeniden başlatılır.

Daha fazla bilgi için bkz. Öğretici: Verilerinizi görselleştirme ve izleme ve Azure İzleyici belgeleri.

Azure Güvenlik Duvarı için yeni algılamalar

Veri analizi için birkaç hazır algılama Azure Güvenlik Duvarı, Azure Sentinel. Bu yeni algılamalar, iç ağ üzerinde makineler algılama kuralı sorgusunda tanımlandığı gibi bilinen IOC'lerle ilişkili İnternet etki alanı adlarını veya IP adreslerini sorgulamaya veya bağlanmaya çalışırsa güvenlik ekiplerinin uyarı aldırmalarına olanak sağlar.

Yeni algılamalar şunlardır:

Azure Güvenlik Duvarları için algılamalar, yerleşik şablon galerisine sürekli olarak eklenir. Kural Şablonları'nın altında, Azure Güvenlik Duvarı için en son algılamaları almak için Veri Kaynakları'Azure Güvenlik Duvarı:

Analiz verimliliği çalışma kitabında yeni algılamalar

Daha fazla bilgi için bkz. Azure Güvenlik Duvarı'de yeni Azure Sentinel.

Otomasyon kuralları ve olayla tetiklenen playbook'lar (Genel önizleme)

Otomasyon kuralları, olay işleme Azure Sentinel otomasyonunu merkezi olarak yönetmenize olanak sağlayan yeni bir kavramdır. Otomasyon kuralları, olaylara playbook'ları atamanın (yalnızca önceki uyarılara değil) yanı sıra, birden çok analiz kuralına yönelik yanıtları aynı anda otomatikleştirmenize, playbook'lara gerek kalmadan olayları otomatik olarak etiketlemenize, atamanızı veya kapatmanızı ve yürütülen eylemlerin sıralamalarını denetlemenize de olanak sağlar. Otomasyon kuralları, güvenlik olaylarında otomasyon Azure Sentinel kolaylaştırır ve olay düzenleme süreçleriniz için karmaşık iş akışlarını basitleştirmenize olanak sağlar.

Otomasyon kurallarının bu eksiksiz açıklamasıyla daha fazla bilgi öğrenin.

Yukarıda belirtildiği gibi playbook'lar artık uyarı tetikleyicisi ile birlikte olay tetikleyicisi ile etkinleştirilebilir. Olay tetikleyicisi, playbook'larınızı çalışmak için daha büyük bir giriş kümesi sağlar (olay tüm uyarı ve varlık verilerini de içerir), yanıt iş akışlarınıza daha da fazla güç ve esneklik sağlar. Olayla tetiklenen playbook'lar otomasyon kurallarından çağrılarak etkinleştirilir.

Playbook'ların gelişmiş özellikleri ve otomasyon kurallarıylabirlikte playbook'ları kullanarak yanıt iş akışı oluşturma hakkında daha fazla bilgi.

Yeni uyarı zenginleştirmeleri: gelişmiş varlık eşlemesi ve özel ayrıntılar (Genel önizleme)

Uyarılarınızı daha kullanılabilir ve daha bilgilendirici hale etmek için iki yeni şekilde zenginleştirin.

Başlangıç olarak varlık eşlemenizi bir sonraki düzeye atabilirsiniz. Artık kullanıcılardan, konaklardan ve IP adreslerinden dosyalara ve işlemlere, posta kutularına, Azure kaynaklarına ve IoT cihazlarına neredeyse 20 varlık türü eşlebilirsiniz. Ayrıca benzersiz kimliklerini güçlendirmek için her varlık için birden çok tanımlayıcı kullanabilirsiniz. Bu, olaylarınız için çok daha zengin bir veri kümesi sağlayarak daha geniş bağıntı ve daha güçlü araştırma sağlar. Uyarılarınız içinde varlıkları eşlemenin yeni yolunu öğrenin.

Varlıklar hakkında daha fazla bilgi okuyun ve kullanılabilir varlıkların ve tanımlayıcılarının tam listesine bakın.

Ham olaylarınızı ayrıntıları ortaya çıkaracak şekilde uyarılarınızı özelleştirerek araştırma ve yanıt özelliklerinizi daha da artırabilirsiniz. Güvenlik tehditlerine yanıt verme ve güvenlik tehditlerini araştırma konusunda daha fazla güç ve esneklik sağlamak için olay içeriği görünürlüğünü olay içeriğine dönüştürebilirsiniz. Uyarılarda özel ayrıntıları ortaya nasıl çıkarabilirsiniz?

Artık çalışma kitaplarını Azure Sentinel, bu çalışma kitaplarını PDF'lere dışarı aktarmanızı ve yerel olarak kaydetmenizi veya paylaşmanızı da sağlar.

Çalışma kitabınızda, İçeriği yazdır seçeneğinin > seçin. Ardından yazıcınızı seçin veya gerektiğinde PDF olarak kaydet'i seçin.

Çalışma kitabınızı yazdırma veya PDF olarak kaydetme.

Daha fazla bilgi için bkz. Öğretici: Verilerinizi görselleştirme ve izleme.

Olay filtreleri ve sıralama tercihleri oturuma kaydedildi (Genel önizleme)

Artık olay filtreleriniz ve sıralamanız, ürünün diğer alanlarına Azure Sentinel oturum boyunca kaydedilir. Hala aynı oturumda olduğunuz sürece, Azure Sentinel'daki Olaylar alanına geri dönerek filtrelerinizi ve bıraktığınız gibi sıralamayı gösterir.

Not

Olay filtreleri ve sıralama, tarayıcıdan ayrılarak veya Azure Sentinel yeniledikten sonra kaydedilemiyor.

Microsoft 365 Defender olay tümleştirmesi (Genel önizleme)

Azure Sentinel Microsoft 365 Defender (M365D) olay tümleştirmesi, tüm M365D olaylarının akışını Azure Sentinel ve her iki portal arasında eşitlenmiş durumda tutmanıza olanak sağlar. M365D'den (eski adı Microsoft Tehdit Koruması veya MTP) gelen olaylar tüm ilişkili uyarıları, varlıkları ve ilgili bilgileri içerir ve bu da size bu bağlamda değerlendirme ve ön araştırma gerçekleştirmeniz için yeterli bağlam Azure Sentinel. Sentinel'de olaylar çift yönlü olarak M365D ile eşitlenen bir şekilde kalır ve bu da olay araştırmanıza her iki portalın avantajlarından da yararlanmanıza olanak sağlar.

Defender ile Azure Sentinel Microsoft 365 birlikte kullanmak her iki dünyanın da en iyilerini sağlar. Bir SIEM'in size tüm bilgi kaynakları kapsamında verdiği içgörüye ek olarak, bir XDR'nin Microsoft 365 kaynaklarınızı korumak için verdiği özelleştirilmiş ve uyarlanmış araştırma gücü derinliğini ve bunların her ikisi de koordine edilmiş ve sorunsuz SOC işlemi için eşitlenmiş olur.

Daha fazla bilgi için bkz. Microsoft 365 Defender ile Azure Sentinel.

Azure İlkesi kullanan yeni Microsoft Azure İlkesi

Azure İlkesi, bir kaynağın özelliklerini zorlamak ve kontrol etmek için ilkeleri kullanmana olanak sağlayan bir Azure hizmetidir. İlkelerin kullanılması, kaynakların, IT idare standartlarınıza uygun kalmasını sağlar.

İlkeler tarafından denetlenebilir kaynakların özellikleri arasında tanılama ve denetim günlüklerinin oluşturulması ve işlenmesi yer almaktadır. Azure Sentinel, Azure İlkesi günlüklerini belirli bir türün tüm (geçerli ve gelecek) kaynaklarına ortak bir tanılama günlüğü ayarları kümesi uygulamana olanak vermek için Azure Sentinel. Bu Azure İlkesi sayesinde artık kaynağa göre tanılama günlükleri ayarları kaynağı ayarlamak zorunda kalmayacaksınız.

Azure İlkesi tabanlı bağlayıcılar artık aşağıdaki Azure hizmetleri için kullanılabilir:

Müşteriler günlükleri belirli örnekler için el ile göndermeye devam eder ve ilke altyapısını kullanmak zorunda değildir.

Şubat 2021

Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) çalışma kitabı

Azure Sentinel CMMC Çalışma Kitabı; Microsoft güvenlik teklifleri, Office 365, Teams, Intune, Windows Sanal Masaüstü ve daha fazlası dahil olmak üzere Microsoft portföyünde CMMC denetimleriyle uyumlu günlük sorgularını görüntülemek için bir mekanizma sağlar.

CMMC çalışma kitabı, güvenlik mimarlarının, mühendislerin, güvenlik operasyonları analistlerinin, yöneticilerin ve BT uzmanlarının bulut iş yüklerinin güvenlik duruşuna yönelik durumsal farkındalık görünürlüğü eldelerine olanak sağlar. Ayrıca ilgili CMMC gereksinimleri ve uygulamalarıyla uyum için Microsoft tekliflerini seçme, tasarlama, dağıtma ve yapılandırma önerileri de vardır.

CMMC'ye uymaya gerek yoksa bile, CMMC çalışma kitabı Güvenlik İşlemleri Merkezleri oluşturma, uyarılar geliştirme, tehditleri görselleştirme ve iş yükleri hakkında durumsal farkındalık sağlama konusunda yardımcı olur.

Azure Sentinel Workbooks alanında CMMC çalışma kitabına erişin. Şablon'ı seçin ve ardından CMMC için arama yazın.

CMMC çalışma kitabı kılavuzunu açıp kapatma

Daha fazla bilgi için bkz.

Üçüncü taraf veri bağlayıcıları

Üçüncü taraf tümleştirme koleksiyonumuz büyümeye devam ediyor ve son iki ay içinde otuz bağlayıcı ekleniyor. Liste şu şekildedir:

Varlık sayfasındaki UEBA içgörüleri (Genel önizleme)

Varlık Azure Sentinel sayfaları, varlıkla ilgili davranış içgörüleri görüntüleyen ve anomalileri ve güvenlik tehditlerini hızla tanımlamaya yardımcı olan bir Öngörüler bölmesi sağlar.

UEBA'yıetkinleştirdiysek ve en az dört günlük bir zaman çerçevesi seçtiydiysek, bu Öngörüler bölmesi artık UEBA içgörüleri için aşağıdaki yeni bölümleri de içerir:

Section Açıklama
UEBA Insights Anormal kullanıcı etkinliklerini özetler:
- Coğrafi konumlar, cihazlar ve ortamlar arasında
- Kullanıcının kendi geçmişiyle karşılaştırıldığında zaman ve sıklık ufukları arasında
- Eşlerin davranışıyla karşılaştırıldığında
- Kuruluşun davranışıyla karşılaştırıldığında
Güvenlik Grubu Üyeliğine Dayalı Kullanıcı Eşleri Azure AD Güvenlik Grupları üyeliğine göre kullanıcının eşlerini listeler ve güvenlik operasyonları ekiplerine benzer izinlere sahip diğer kullanıcıların bir listesini sağlar.
Azure Aboneliğine Kullanıcı Erişim İzinleri Kullanıcının doğrudan veya Azure AD grupları /hizmet sorumluları aracılığıyla erişilebilen Azure aboneliklerine erişim izinlerini gösterir.
Kullanıcıyla İlgili Tehdit Göstergeleri Kullanıcının etkinliklerinde temsil edilen IP adresleriyle ilgili bilinen tehditlerin bir koleksiyonunu listeler. Tehditler tehdit türüne ve ailesine göre listelenir ve Microsoft'un tehdit zekası hizmeti tarafından zenginleştirilmiştir.

Geliştirilmiş olay araması (Genel önizleme)

Olay arama deneyimini Azure Sentinel, belirli bir tehdidi araştırırken olaylar arasında daha hızlı gezinmenize olanak sağlıyoruz.

Azure Sentinel'da olayları ararken artık aşağıdaki olay ayrıntılarıyla arama yapabilirsiniz:

  • ID
  • Başlık
  • Ürün
  • Sahip
  • Etiket

Ocak 2021

Analiz kuralı sihirbazı: Geliştirilmiş sorgu düzenleme deneyimi (Genel önizleme)

Zamanlanmış Azure Sentinel sihirbazı şimdi sorguları yazmak ve düzenlemek için aşağıdaki geliştirmeleri sağlar:

  • Sorguyu görüntülemek için size daha fazla ekran alanı sağlayan genişletilebilir düzenleme penceresi.
  • Sorgu kodunda anahtar sözcük vurgulama.
  • Genişletilmiş otomatik tamamlama desteği.
  • Gerçek zamanlı sorgu doğrulamaları. Sorgunuzla ilgili hatalar artık kaydırma çubuğunda kırmızı bir blok ve Kural mantığını ayarla sekme adının kırmızı noktası olarak görünür. Ayrıca, hatalara sahip bir sorgu kaydedilemiyor.

Daha fazla bilgi için bkz. Öğretici: Tehditleri algılamak için özel analiz kuralları oluşturma.

Az.SecurityInsights PowerShell modülü (Genel önizleme)

Azure Sentinel artık yeni Az.SecurityInsights PowerShell modülünü destekliyor.

Az.SecurityInsights modülü, Azure Sentinel, önem derecesi, sahip gibi olayları değiştirmek için olaylarla etkileşim kurma, olaylara yorum ve etiket ekleme ve yer işaretleri oluşturma gibi yaygın kullanım durumlarını destekler.

CI/CD işlem hattınız için Azure Resource Manager (ARM) şablonlarının kullanılması önerilse de Az.SecurityInsights modülü dağıtım sonrası görevler için kullanışlıdır ve SOC otomasyonu için hedefleniyordur. Örneğin, SOC otomasyonu veri bağlayıcılarını yapılandırma, analiz kuralları oluşturma veya analiz kurallarına otomasyon eylemleri ekleme adımlarını içerebilir.

Kullanılabilir cmdlet'lerin tam listesi ve açıklaması, parametre açıklamaları ve örnekleri de dahil olmak üzere daha fazla bilgi için Az.SecurityInsights PowerShell belgelerine bakın.

SQL veritabanı bağlayıcısı

Azure Sentinel veritabanı Azure SQL veritabanı bağlayıcısı sağlar. Bu bağlayıcı sayesinde veritabanlarınız için denetim ve tanılama günlüklerinin akışını Azure Sentinel ve tüm örnekleriniz için etkinliği sürekli izleyebilirsiniz.

Azure SQL yükseltme, düzeltme eki uygulama, yedekleme ve izleme gibi çoğu veritabanı yönetim işlevlerini kullanıcı müdahalesi olmadan ele alan, tam olarak yönetilen, Hizmet Olarak Platform (PaaS) veritabanı altyapısıdır.

Daha fazla bilgi için bkz. Veritabanı Azure SQL ve denetim günlüklerine bağlanma.

Dynamics 365 bağlayıcısı (Genel önizleme)

Azure Sentinel artık Dynamics 365 için Dynamics 365 uygulama kullanıcınızı, yöneticinizi ve destek etkinlik günlüklerinizi toplamanıza olanak sağlayan bir bağlayıcı Azure Sentinel. Bu verileri, gerçekleştirilen tüm veri işleme eylemlerini denetlemeye ve olası güvenlik ihlallerine karşı analiz etmenize yardımcı olmak için kullanabilirsiniz.

Daha fazla bilgi için bkz. Dynamics 365 etkinlik günlüklerini Azure Sentinel.

Geliştirilmiş olay yorumları

Analistler olaylar üzerinde işbirliği yapmak, işlemleri ve adımları el ile veya bir playbook'un parçası olarak belgelemektedir.

Geliştirilmiş olay açıklama ekleme deneyimimiz, yorumlarınızı biçimlendirmenize ve mevcut yorumları düzenlemenize veya silmenize olanak sağlar.

Daha fazla bilgi için bkz. Microsoft Güvenlik uyarılarından olayları otomatik olarak oluşturma.

Adanmış Log Analytics kümeleri

Azure Sentinel artık dağıtım seçeneği olarak adanmış Log Analytics kümelerini desteklemektedir. Şunu yaparsanız adanmış bir küme dikkate almanız önerilir:

  • Azure Sentinel çalışma alanınıza günde 1 TB 'tan fazla alma
  • Azure kaydınıza birden çok Azure Sentinel çalışma alanı var

Adanmış kümeler, aynı kümede birden fazla çalışma alanınız olduğunda, müşteri tarafından yönetilen anahtarlar, kasa, Çift şifreleme ve daha hızlı çalışma alanı sorguları gibi özellikleri kullanmanıza olanak sağlar.

Daha fazla bilgi için bkz. Azure izleyici günlükleri adanmış kümeler.

Logic Apps tarafından yönetilen kimlikler

Azure Sentinel, artık Azure Sentinel Logic Apps Bağlayıcısı için yönetilen kimlikleri destekler, böylece ek kimlikler oluşturmak yerine Azure Sentinel 'de çalışmak üzere doğrudan belirli bir PlayBook 'a izin vermenizi sağlar.

  • Yönetilen bir kimlik olmadığında Logic Apps Bağlayıcısı, Azure Sentinel 'de çalıştırmak Için Azure Sentinel RBAC rolüne sahip ayrı bir kimlik gerektirir. Ayrı kimlik bir Azure AD kullanıcısı veya Azure AD kayıtlı uygulaması gibi bir hizmet sorumlusu olabilir.

  • Mantıksal uygulamanızda yönetilen kimlik desteğini açmak mantıksal uygulamayı Azure AD 'ye kaydeder ve bır nesne kimliği sağlar. Azure Sentinel çalışma alanınızda bir Azure RBAC rolü ile mantıksal uygulamayı atamak için Azure Sentinel içindeki nesne KIMLIĞINI kullanın.

Daha fazla bilgi için bkz.

Analiz kuralı önizleme grafikleriyle geliştirilmiş kural ayarlama (Genel Önizleme)

Azure Sentinel artık analiz kurallarınızı daha iyi ayarlamanıza yardımcı olur ve bu da doğruluğu artırabilir ve paraziti azaltır.

Kural mantığını ayarla sekmesinde bir analiz kuralını düzenledikten sonra, sağdaki sonuçlar benzetimi alanını bulun.

Azure Sentinel 'in analiz kuralınızın son 50 çalıştırmalarının benzetimini çalıştırmasını sağlamak için geçerli verilerle test ' i seçin. Değerlendirilen Ham olay verileri temelinde kuralın üretilebilecek Ortalama uyarı sayısını göstermek için bir grafik oluşturulur.

Daha fazla bilgi için bkz. kural sorgu mantığını tanımlama ve ayarları yapılandırma.

Aralık 2020

80 yeni yerleşik arama sorguları

Azure Sentinel 'in yerleşik arama sorguları, geçerli algılama kapsamındaki boşlukları azaltmak için SOC analistlerini ve yeni bir yeni arama müşteri adaylarını azaltır.

Azure Sentinel için bu güncelleştirme, MITRE ATT&CK çerçevesi matrisinde kapsam sağlayan yeni bir arama sorguları içerir:

  • Koleksiyon
  • Komut ve denetim
  • Kimlik bilgisi erişimi
  • Bulma
  • Yürütme
  • Sızdırma
  • Etki
  • İlk erişim
  • Kalıcılığı
  • Ayrıcalık Yükseltme

Eklenen arama sorguları, ortamınızda şüpheli etkinlik bulmanıza yardımcı olmak için tasarlanmıştır. Meşru etkinlikler ve potansiyel olarak kötü amaçlı etkinlikler döndürebilirler, ancak bu kişiler, avınız tahmin etmek için yararlı olabilir.

Bu sorguları çalıştırdıktan sonra sonuçlarla emin olursunuz, bunları analiz kurallarına dönüştürmek veya var olan veya yeni olaylara arama sonuçları eklemek isteyebilirsiniz.

Tüm eklenen sorgular, Azure Sentinel arama sayfası aracılığıyla kullanılabilir. Daha fazla bilgi için bkz. Azure Sentinel ile tehditler Için Hunt.

Log Analytics Aracısı geliştirmeleri

Azure Sentinel kullanıcıları aşağıdaki Log Analytics Aracısı geliştirmelerinden faydalanır:

  • CentOS 8, RedHat 8 ve SUSE Linux 15 dahil daha fazla işletim sistemi Için destek.
  • Python 2 ' ye ek olarak Python 3 desteği

Azure Sentinel, Windows güvenlik olayları, syslog olayları, CEF günlükleri ve daha fazlası dahil olmak üzere çalışma alanınıza olay göndermek için Log Analytics aracısını kullanır.

Not

Log Analytics Aracısı bazen OMS Aracısı veya Microsoft Monitoring Agent (MMA) olarak adlandırılır.

Daha fazla bilgi için Log Analytics belgelerine ve Log Analytics Aracısı sürüm notlarınabakın.

Sonraki adımlar