Microsoft Sentinel'de tehdit göstergeleriyle çalışma

  • Makale
  • Okumak için 10 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Tehdit zekası (TI) ile Microsoft Sentinel'i aşağıdaki etkinliklerle tümleştirin:

  • Çeşitli TI platformlarına ve akışlarına veri bağlayıcıları sağlayarak tehdit zekası verilerini Microsoft Sentinel'e aktarın.

  • İçe aktarılan tehdit zekalarını Günlükler'de ve Microsoft Sentinel Tehdit Zekası sayfasında görüntüleyebilirsiniz.

  • Tehditleri algıla ve içe aktarılan tehdit zekanızı temel alan yerleşik Analiz kuralı şablonlarını kullanarak güvenlik uyarıları ve olaylar oluşturun.

  • Tehdit Bilgileri çalışma kitabıyla Microsoft Sentinel'de içe aktarılan tehdit zekanız hakkında önemli bilgileri görselleştirin.

Microsoft Sentinel'de tehdit göstergelerinizi görüntüleme

Günlüklerde göstergelerinizi bulma ve görüntüleme

Bu yordamda, microsoft Sentinel Günlükleri alanında, kaynak akışından veya kullanılan bağlayıcıdan bağımsız olarak diğer Microsoft Sentinel olay verileriyle birlikte içe aktarılan tehdit göstergelerinizi nasıl görüntüleyebilirsiniz?

İçe aktarılan tehdit göstergeleri Microsoft Sentinel > ThreatIntelligenceIndicator tablosunda listelenmiştir. Bu tablo, Analiz veya çalışma kitapları gibi Microsoft Sentinel'de başka bir yerde çalıştırılmış olan tehdit analizi sorgularının temelini oluşturuyor.

Tehdit zekası göstergelerinizi Günlükler'de görüntülemek için:

  1. Uygulama Azure portal Microsoft Sentinel hizmetine gidin.

  2. Tehdit bilgileri veri bağlayıcısı kullanarak tehdit göstergelerini içe aktarmış olduğunuz çalışma alanını seçin.

  3. Microsoft Sentinel menüsünün Genel bölümünden Günlükler'i seçin.

  4. ThreatIntelligenceIndicator tablosu Microsoft Sentinel grubunun altında bulunur.

  5. Tablo adının yanındaki Önizleme verileri simgesini (göz) seçin ve bu tablodaki kayıtları gösterecek bir sorgu çalıştırmak için Sorgu düzenleyicisinde gör düğmesini seçin.

Sonuçlarınız, aşağıda gösterilen örnek tehdit göstergesine benzer şekilde sonuç verilmiştir:

Örnek sorgu verileri

Tehdit zekası sayfasında göstergelerinizi bulma ve görüntüleme

Bu yordam, ana Microsoft Sentinel menüsünden erişilebilen Tehdit zekası sayfasında göstergelerinizi görüntülemeyi ve yönetmeyi açıklar. Log Analytics sorgusu yazmadan içe aktarılan tehdit göstergelerinizi sıralamak, filtrelemek ve aramak için Tehdit bilgileri sayfasını kullanın.

Tehdit zekası göstergelerinizi Tehdit zekası sayfasında görüntülemek için:

  1. Uygulama Azure portal Microsoft Sentinel hizmetine gidin.

  2. Bağlayıcıları/playbook'ları kullanarak tehdit göstergelerini aktarmış veya tehdit bilgileri verilerini oluşturduğunuz çalışma alanını seçin.

  3. Sol tarafta tehdit yönetimi bölümünde Tehdit Zekası sayfasını seçin.

  4. Kılavuzdan, daha fazla ayrıntı görüntülemek istediğiniz göstergeyi seçin. Göstergenin ayrıntıları sağda görünür ve güven düzeyleri, etiketler, tehdit türleri ve daha fazlası gibi bilgileri gösterir.

    Microsoft, her göstergeyi ek GeoLocation ve WhoIs verileriyle zenginleştirir ve seçilen göstergenin bulunduğu araştırmalarda daha fazla bağlam sağlar.

    Örnek:

    GeoLocation ve WhoIs verilerini gösteren bir göstergenin yer alan Tehdit bilgileri sayfasının ekran görüntüsü.

Tehdit bilgileri sayfası ayrıca doğrudan Microsoft Sentinel arabiriminde tehdit göstergeleri oluşturmanıza ve en yaygın tehdit bilgileri yönetim görevlerinden ikilerini gerçekleştirmenizi sağlar: gösterge etiketleme ve güvenlik araştırmalarına ilişkin yeni göstergeler oluşturma.

Önemli

GeoLocation ve WhoIs zenginleştirmesi şu anda ÖNizle özelliğindedir. Azure Önizleme Ek Koşulları, beta, önizleme veya henüz genel kullanılabilirlik aşamasında yayımlanmayacak Olan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Yeni gösterge oluşturma

  1. Azure portal Microsoft Sentinel hizmetine gidin.

  2. Tehdit bilgileri veri bağlayıcısı kullanarak tehdit göstergelerini içe aktarmış olduğunuz çalışma alanını seçin.

  3. Microsoft Sentinel menüsünün Tehdit Yönetimi bölümünden Tehdit Zekası'ı seçin.

  4. Sayfanın üst kısmında yer alan menü çubuğundan Yeni ekle düğmesini seçin.

    Yeni tehdit göstergesi ekleme

  5. Gösterge türünü seçin, ardından Yeni gösterge panelinde formu doldurun. Gerekli alanlar kırmızı yıldız (*) ile işaretlenir.

  6. Uygula’yı seçin. Gösterge, gösterge listesine eklenir ve Günlükler'de ThreatIntelligenceIndicator tablosuna da gönderilir.

Etiket tehdidi göstergeleri

Tehdit göstergelerini etiketlemek, bunları birlikte gruplamanın kolay bir yolu ve bu sayede daha kolay bir şekilde bulabilirsiniz. Genellikle, belirli bir olayla ilgili göstergelere veya belirli bir bilinen aktörden veya iyi bilinen saldırı kampanyasından gelen tehditleri temsil edenlere etiket uygulayabilirsiniz. Tehdit göstergelerini tek tek etiketle veya çoklu seçim göstergeleri tek tek etiketle ve aynı anda etiketle. Aşağıda, olay kimliğine sahip birden çok göstergeyi etiketlemeye bir örnek verilmiştir. Etiketleme serbest biçimli olduğu için tehdit göstergesi etiketleri için standart adlandırma kuralları oluşturmanız önerilir. Her göstergeye birden çok etiket uygulayabilirsiniz.

Tehdit göstergelerine etiket uygulama

Tehdit göstergesi tabanlı analizlerle tehditleri algılama

Microsoft Sentinel gibi SIEM çözümlerinden tehdit göstergeleri için en önemli kullanım durumu, tehdit algılama analiz kurallarının güçle karşılanmasıdır. Bu gösterge tabanlı kurallar, veri kaynaklarınıza gelen ham olayları tehdit göstergelerinize göre karşılaştırarak kuruluşta güvenlik tehditlerinin varlığını belirler. Microsoft Sentinel Analytics'te, zamanlanmış olarak çalıştıran ve güvenlik uyarıları oluşturan analiz kuralları oluşturabilirsiniz. Kurallar sorguların yanı sıra kuralın ne sıklıkta çalışması gerektiğini, ne tür sorgu sonuçlarının güvenlik uyarıları ve olaylar oluşturması gerektiğini ve yanıt olarak tetiklenen otomasyonları belirleyen yapılandırmalarla birlikte çalıştırılır.

Her zaman sıfırdan yeni analiz kuralları oluşturabilirsiniz, ancak Microsoft Sentinel, Microsoft güvenlik mühendisleri tarafından oluşturulmuş bir dizi yerleşik kural şablonu sağlar ve bu şablonları olduğu gibi kullanabilir veya ihtiyaçlarınızı karşılayacak şekilde değiştirebilirsiniz. Tehdit göstergelerini kullanan kural şablonlarını" TI haritası ..." ile başlayan şekilde kolayca tanımlayabilirsiniz. Tüm bu kural şablonları benzer şekilde çalışır ve tek fark, hangi tür tehdit göstergelerinin (etki alanı, e-posta, dosya karması, IP adresi veya URL) ve hangi olay türüyle eşleşmesi olduğudur. Her şablonda kuralın çalışması için gereken veri kaynakları listelemektedir. Bu nedenle, microsoft Sentinel'de zaten içe aktarılmış gerekli olaylara sahip olup ola bir bakışta görebilirsiniz. Mevcut bir kural şablonunu düzenledikten ve kaydederek yeni bir kural etkinleştirilmişse varsayılan olarak etkindir.

Güvenlik uyarıları oluşturmak için bir kural yapılandırma

Aşağıda, Microsoft Sentinel'e aktarmış olduğunuz tehdit göstergelerini kullanarak güvenlik uyarıları oluşturmak için bir kuralı etkinleştirme ve yapılandırma örneği verilmiştir. Bu örnek için, TI eşleme IP varlığı adlı kural şablonunu AzureActivity ile kullanın. Bu kural tüm IP adresi türü tehdit göstergeleriyle tüm Azure Etkinliği olaylarınızı eşler. Eşleşme bulunursa, bir uyarı oluşturulur ve güvenlik operasyonları takımınız tarafından araştırma için buna karşılık gelen bir olay oluşturulur. Bu analiz kuralı yalnızca Tehdit Analizi veri bağlayıcılarından birini veya ikisini birden etkinleştirdiyseniz (tehdit göstergelerini içeri aktarma) ve Azure Etkinliği veri bağlayıcısı (Azure abonelik düzeyi olaylarınızı içeri aktarma için) etkinleştirdiyseniz başarıyla çalışır.

  1. Azure portal Microsoft Sentinel hizmetine gidin.

  2. Tehdit Bilgileri veri bağlayıcılarını ve Azure Etkinlik veri bağlayıcısı kullanarak Azure etkinlik verilerini kullanarak tehdit göstergelerini içe aktarmış olduğunu çalışma alanını seçin.

  3. Microsoft Sentinel menüsünün Yapılandırma bölümünden Analiz'i seçin.

  4. Kullanılabilir analiz kuralı şablonları listesini görmek için Kural şablonları sekmesini seçin.

  5. TI eşleme IP varlığı başlıklı kuralı AzureActivity ile eşler ve gerekli tüm veri kaynaklarını aşağıda gösterildiği gibi bağladığınızdan emin olun.

    Gerekli veri kaynakları

  6. IP varlığını AzureActivity kuralıyla eşle TI'yi seçin ve ardından Kural oluştur'u seçerek bir kural yapılandırma sihirbazı açın. Sihirbazda ayarları yapılandırarak Sonraki: Kural mantığını ayarla seçeneğini >.

    Analiz kuralı oluşturma

  7. Sihirbazın kural mantığı bölümü aşağıdaki öğelerle önceden doldurulmuş:

    • Kuralda kullanılacak sorgu.

    • Microsoft Sentinel'e Hesaplar, IP adresleri ve URL'ler gibi varlıkların nasıl tanındığının anlatıldığı varlık eşlemeleri; böylece olaylar ve araştırmalar bu kural tarafından oluşturulan tüm güvenlik uyarılarında verilerle nasıl çalışıldığı anlayacaktır.

    • Bu kuralı çalıştırma zamanlaması.

    • Güvenlik uyarısı oluşturulmadan önce gereken sorgu sonuçlarının sayısı.

    Şablonda varsayılan ayarlar:

    • Saatte bir kez çalıştırın.

    • ThreatIntelligenceIndicator tablosundan gelen IP adresi tehdit göstergelerini AzureActivity tablosundan gelen son bir saatlik olaylarda bulunan herhangi bir IP adresiyle eşler.

    • Sorgu sonuçları sıfırdan büyükse, yani herhangi bir eşleşme bulunursa bir güvenlik uyarısı oluşturun.

    Varsayılan ayarları bırakın veya gereksinimlerinizi karşılayacak şekilde değiştirin ve Olay ayarları sekmesinde olay oluşturma ayarlarını tanımlayabilirsiniz. Daha fazla bilgi için bkz. Tehditleri algılamak için özel analiz kuralları oluşturma. Bitirdikten sonra Otomatik yanıt sekmesini seçin.

  8. Bu analiz kuralından bir güvenlik uyarısı ıldığında tetiklemek için herhangi bir otomasyonu yapılandırma. Microsoft Sentinel'de otomasyon, otomasyon kurallarının ve Azure Logic Apps tarafından desteklenen playbook'ların birleşimi kullanılarak Azure Logic Apps. Daha fazla bilgi edinmek için şu Öğreticiye bakın: Microsoft Sentinel'de otomasyon kurallarıyla playbook'ları kullanma. Tamamlandığında, devam etmek için Sonraki: Gözden geçir > düğmesini seçin.

  9. Kural doğrulamasının başarılı olduğunu gördüğünüzde Oluştur düğmesini seçin ve işlemi tamamlayabilirsiniz.

Etkin kurallarınızı Microsoft Sentinel'in Analiz bölümünün Etkin kurallar sekmesinde bulabilirsiniz. Etkin kuralı buradan düzenleyebilir, etkinleştirebilirsiniz, devre dışı ılabilir, çoğaltılabilir veya silebilirsiniz. Yeni kural etkinleştirmeden hemen sonra çalışır ve bundan sonra tanımlanan zaman çizelgesine göre çalışır.

Varsayılan ayarlara göre, kuralın zamanlaması üzerinde her çalıştırıla, bulunan tüm sonuçlar bir güvenlik uyarısı üretir. Microsoft Sentinel'de güvenlik uyarıları Microsoft Sentinel'in Günlükler bölümünde, Microsoft Sentinel grubunun altındaki SecurityAlert tablosunda sızabilirsiniz.

Microsoft Sentinel'de, analiz kurallarından oluşturulan uyarılar da güvenlik olayları üretir. Bu güvenlik olayları Microsoft Sentinel menüsündeki Tehdit Yönetimi altındaki Olaylar'da bulunabilir. Güvenlik operasyonları ekiplerinin uygun yanıt eylemlerini belirlemek için belirleyecekleri ve araştıracakları olaylardır. Ayrıntılı bilgileri şu öğreticide bulabilirsiniz: Microsoft Sentinel ile olayları araştırma.

Eşleşen analizi kullanarak tehditleri algılama (Genel önizleme)

Önemli

Eşleştirme analizi şu anda ÖNIZLE'dedir. Beta, önizleme veya başka bir sürümde henüz genel kullanılabilirlik aşamasında olan Azure özellikleri için geçerli olan ek yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Microsoft Sentinel'in Microsoft Sentinel'e alınan günlüklerle Microsoft tarafından oluşturulan tehdit bilgileri verileriyle eşleşmesi için yerleşik Microsoft Tehdit Bilgileri Eşleştirme Analizi analiz kuralı şablonunu kullanarak bir kural oluşturun.

Tehdit bilgileri verilerini günlüklerle eşleştirmek, uygun güvenlik önlemleri uygulanarak yüksek uygunluk uyarıları ve olaylar oluşturmanıza yardımcı olur. Eşleşme bulunursa, oluşturulan tüm uyarılar olaylar olarak grup haline gelir.

Uyarılar gözlemlenebilir bir temele göre, 24 saatlik bir zaman çerçevesi üzerinde gruplanabilir. Bu nedenle, örneğin, etki alanıyla eşan 24 saatlik bir süre içinde oluşturulan tüm uyarılar abc.com tek bir olayda gruplandı.

Eşleşen analiz tarafından oluşturulan bir olay üzerinden triyak oluşturma

Bir eşleşme bulduysanız, oluşturulan tüm uyarılar olaylar olarak grup haline gelir.

Microsoft Tehdit Bilgileri Eşleştirme Analizi kuralı tarafından oluşturulan olayları triyak etmek için aşağıdaki adımları kullanın:

  1. Microsoft Tehdit Analizi Eşleştirme Analizi kuralını etkinleştirmiş olduğunuz Microsoft Sentinel çalışma alanında Olaylar'ı seçin ve Microsoft Tehdit Analizi Analizi'ne bakın.

    Bulunan tüm olaylar kılavuzda gösterilir.

  2. Varlıkları ve belirli uyarılar gibi olayla ilgili diğer ayrıntıları görüntülemek için Ayrıntıların tamamını görüntüle'yi seçin.

    Örnek:

    Örnek eşleşmeli analiz ayrıntıları.

Eşleşme bulunursa, gösterge Log Analytics ThreatIntelligenceIndicators'da da yayımlanır ve Tehdit Bilgileri sayfasında görüntülenir. Bu kuraldan yayımlanan tüm göstergeler için kaynak Microsoft Threat Intelligence Analytics olarak tanımlanır.

Örneğin, ThreatIntelligenceIndicators günlüğünde:

ThreatIntelligenceIndicators günlüğünde görüntülenen eşleşen analiz.

Tehdit Zekası sayfasında:

Tehdit Analizi sayfasında görüntülenen eşleşen analiz.

Eşleştirme analizi için desteklenen günlük kaynakları

Microsoft Threat Intelligence Matching Analytics kuralı şu anda aşağıdaki günlük kaynakları için de desteklemiştir:

Günlük kaynağı Description
CEF Eşleştirme, Log Analytics CommonSecurityLog tablosunda alınan tüm CEF günlükleri için yapılır, ancak burada olarak DeviceVendor Cisco listelenir.

Microsoft tarafından oluşturulan tehdit zekasını CEF günlükleri ile eşlemek için CEF günlüğünün alanındaki etki RequestURL alanını eşleyenin.
DNS İstemcilerden DNS hizmetlerine ( ) DNS sorgularını aramakta olan tüm DNS günlükleri için eşleştirme SubType == "LookupQuery" yapılır. DNS sorguları yalnızca IPv4 ( ) ve QueryType=”A” IPv6 sorguları ( ) için QueryType=” AAAA” işlenir.

Microsoft tarafından oluşturulan tehdit zekasını DNS günlükleri ile eşleştirmek için, tüm sütunlar Windows DNS Sunucusu'na göre standarttır ve etki alanları varsayılan olarak Name sütunda yer alır.
Syslog Eşleştirme şu anda yalnızca olduğu Syslog olayları için Facility cron yapılır.

Microsoft tarafından oluşturulan tehdit zekasını Syslog ile eşleştirmek için sütunların el ile eşlemesi gerekmez. Ayrıntılar varsayılan olarak Syslog'un alanına gelir ve kural etki alanını doğrudan SyslogMessage SyslogMessage'dan ayrıştıracak.

Çalışma kitapları tehdit zekanız hakkında içgörüler sağlar

Microsoft Sentinel'de tehdit zekanız hakkında önemli bilgileri görselleştirmek için amaca yönelik bir Microsoft Sentinel çalışma kitabı kullanabilir ve çalışma kitabını iş gereksinimlerinize göre kolayca özelleştirebilirsiniz.

Microsoft Sentinel'de sağlanan tehdit zekası çalışma kitabını ve bunu özelleştirmek için çalışma kitabında düzenleme yapma örneğini burada bulabilirsiniz.

  1. Azure portal Microsoft Sentinel hizmetine gidin.

  2. Tehdit bilgileri veri bağlayıcısı kullanarak tehdit göstergelerini içe aktarmış olduğunuz çalışma alanını seçin.

  3. Microsoft Sentinel menüsünün Tehdit yönetimi bölümünden Çalışma Kitapları'ı seçin.

  4. Threat Intelligence başlıklı çalışma kitabını bulun ve aşağıda gösterildiği gibi ThreatIntelligenceIndicator tablosunda verileriniz olduğunu doğrulayın.

    Verileri doğrulama

  5. Kaydet düğmesini seçin ve çalışma kitabını depolamak için bir Azure konumu seçin. Çalışma kitabını herhangi bir şekilde değiştirmek ve değişikliklerinizi kaydetmek için bu adım gereklidir.

  6. Şimdi Kaydedilen çalışma kitabını görüntüle düğmesini seçerek çalışma kitabını görüntüleme ve düzenleme için açın.

  7. Şimdi şablon tarafından sağlanan varsayılan grafikleri görüyorsanız. Grafiği değiştirmek için sayfanın üst kısmından Düzenle düğmesini seçerek çalışma kitabı için düzenleme moduna girin.

  8. Tehdit türüne göre yeni bir tehdit göstergesi grafiği ekleyin. Sayfanın en altına kaydırın ve Sorgu Ekle'yi seçin.

  9. Log Analytics çalışma alanı Log Query metin kutusuna aşağıdaki metni ekleyin:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. Görselleştirme açılan listesinde Çubuk grafik'i seçin.

  11. Düzenleme bitti düğmesini seçin. Çalışma kitabınız için yeni bir grafik oluşturdunız.

    Çubuk grafik

Çalışma kitapları, Microsoft Sentinel'in tüm yönleriyle ilgili içgörüler sağlayan güçlü etkileşimli panolar sağlar. Çalışma kitaplarıyla çok şey yapabilirsiniz ve sağlanan şablonlar harika bir başlangıç noktasıyken, büyük olasılıkla bu şablonların içinde yer almak ve özelleştirmek ya da verilerinizi benzersiz yollarla görselleştirmek için birçok farklı veri kaynaklarını birleştiren yeni panolar oluşturmak istersiniz. Microsoft Sentinel çalışma kitapları, Azure İzleyici temel alınarak hazırlanmıştır ve daha birçok şablon vardır. Bu makale, çalışma kitaplarını kullanarak etkileşimli raporlar oluşturma hakkında Azure İzleyici yerdir.

Ayrıca, daha fazla şablon indirip Azure İzleyici katkıda bulunabilirsiniz GitHub çalışma kitaplarının bulunduğu zengin bir topluluk da vardır.

Sonraki adımlar

Bu makalede, Microsoft Sentinel genelinde tehdit zekası göstergeleriyle çalışmanın tüm yollarını öğrendiniz. Microsoft Sentinel'de tehdit bilgileri hakkında daha fazla bilgi için aşağıdaki makalelere bakın: