Microsoft Sentinel'de tehdit bilgilerine varlık ekleme
Bir araştırma sırasında, bir olayın kapsamını ve doğasını anlamanın önemli bir parçası olarak varlıkları ve bağlamlarını incelersiniz. Bir varlığı olayda kötü amaçlı bir etki alanı adı, URL, dosya veya IP adresi olarak bulduğunuzda, tehdit bilgilerinizde güvenliğin aşılması (IOC) göstergesi olarak etiketlenmeli ve izlenmelidir.
Örneğin, ağınızda bağlantı noktası taramaları gerçekleştiren veya komut ve denetim düğümü olarak çalışan, ağınızdaki çok sayıda düğümden iletim gönderen ve/veya alan bir IP adresi bulursunuz.
Microsoft Sentinel, bu tür varlıkları doğrudan olay araştırmanızın içinden bayrakla işaretlemenize ve tehdit bilgilerinize eklemenize olanak tanır. Eklenen göstergeleri hem Günlükler'dehem de Tehdit Bilgileri'nde görüntüleyebilir ve bunları Microsoft Sentinel çalışma alanınızda kullanabilirsiniz.
Tehdit zekanıza varlık ekleme
Yeni olay ayrıntıları sayfası , araştırma grafiğine ek olarak tehdit bilgilerine varlık eklemenin başka bir yolunu sunar. Her iki yol da aşağıda gösterilmiştir.
Microsoft Sentinel gezinti menüsünden Olaylar'ı seçin.
Araştırılması gereken bir olay seçin. Olay ayrıntıları panelinde Tüm ayrıntıları görüntüle'yi seçerek olay ayrıntıları sayfasını açın.
Tehdit göstergesi olarak eklemek istediğiniz Varlıklar pencere öğesinden varlığı bulun. (Listeyi bulmanıza yardımcı olması için listeyi filtreleyebilir veya bir arama dizesi girebilirsiniz.)
Varlığın sağındaki üç noktayı seçin ve açılır menüden TI'ye ekle'yi seçin.
Tehdit göstergesi olarak yalnızca aşağıdaki varlık türleri eklenebilir:
- Etki alanı adı
- IP adresi (IPv4 ve IPv6)
- URL
- Dosya (karma)
İki arabirimden hangisini seçerseniz seçin, burada sona erersiniz:
Yeni gösterge yan paneli açılır. Aşağıdaki alanlar otomatik olarak doldurulur:
Tür
- Eklediğiniz varlığın temsil ettiği gösterge türü.
Olası değerlerle açılan menü: ipv4-addr, ipv6-addr, URL, dosya, etki alanı-adı - Gerekli; varlık türüne göre otomatik olarak doldurulur.
- Eklediğiniz varlığın temsil ettiği gösterge türü.
Value
- Bu alanın adı, seçili gösterge türüne dinamik olarak değişir.
- Göstergenin kendisi.
- Gerekli; varlık değeri tarafından otomatik olarak doldurulur.
Etiketler
- Göstergeye ekleyebileceğiniz serbest metin etiketleri.
- Isteğe bağlı; otomatik olarak olay kimliğiyle doldurulur. Başkalarını ekleyebilirsiniz.
Ad
- Göstergenin adı; gösterge listenizde görüntülenecek olan budur.
- Isteğe bağlı; otomatik olarak olay adıyla doldurulur.
Oluşturan
- Göstergeyi oluşturan.
- Isteğe bağlı; otomatik olarak Microsoft Sentinel'de oturum açan kullanıcı tarafından doldurulur.
Kalan alanları uygun şekilde doldurun.
Tehdit türü
- Göstergeyle temsil edilen tehdit türü.
- Isteğe bağlı; serbest metin.
Açıklama
- Göstergenin açıklaması.
- Isteğe bağlı; serbest metin.
Iptal
- Göstergenin durumu iptal edilmiş. Göstergeyi iptal etmek için onay kutusunu işaretle, etkin hale getirmek için onay kutusunun işaretini kaldırın.
- Isteğe bağlı; Boolean.
Güven
- Verilerin doğruluğundaki güveni yüzdeye göre yansıtan puan.
- Isteğe bağlı; integer, 1-100
Sonlandırma zinciri
- Göstergenin karşılık gelen Lockheed Martin Siber Sonlandırma Zincirindeki aşamalar.
- Isteğe bağlı; serbest metin
Geçerli kaynak
- Bu göstergenin geçerli kabul edildiği saat.
- Gerekli; tarih/saat
Geçerlilik tarihi:
- Bu göstergenin artık geçerli olarak kabul edilmemesi gereken saat.
- Isteğe bağlı; tarih/saat
Tüm alanlar sizin memnuniyetiniz için doldurulduğunda Uygula'yı seçin. Sağ üst köşede göstergenizin oluşturulduğunu belirten bir onay iletisi görürsünüz.
Varlık, çalışma alanınıza bir tehdit göstergesi olarak eklenir. Bunu Tehdit bilgileri sayfasındaki göstergeler listesinde ve ayrıca Günlükler'deki ThreatIntelligenceIndicators tablosunda bulabilirsiniz.
İlgili içerik
Bu makalede tehdit göstergesi listelerinize varlık eklemeyi öğrendiniz. Daha fazla bilgi için bkz.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin