Aracılığıyla paylaş

Microsoft Sentinel'de kendi olaylarınızı el ile oluşturma

  • Makale

Önemli

Portalı veya Logic Apps'i kullanarak el ile olay oluşturma işlemi şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

El ile olay oluşturma genel olarak API kullanılarak kullanılabilir.

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Güvenlik bilgileriniz ve olay yönetimi (SIEM) çözümünüz olarak Microsoft Sentinel ile güvenlik operasyonlarınızın tehdit algılama ve yanıt etkinlikleri araştırdığınız ve düzeltdiğiniz olaylara odaklanır. Bu olayların iki ana kaynağı vardır:

  • Algılama mekanizmaları, Microsoft Sentinel'in bağlı veri kaynaklarından aldığı günlükler ve uyarılar üzerinde çalıştığında otomatik olarak oluşturulur.

  • Bunlar doğrudan onları oluşturan diğer bağlı Microsoft güvenlik hizmetlerinden (Microsoft Defender XDR gibi) alınır.

Bununla birlikte, tehdit verileri Microsoft Sentinel'e alınmayan diğer kaynaklardan veya herhangi bir günlüğe kaydedilmeyen olaylardan da gelebilir ve yine de araştırma açılmasını haklı kılabilir. Örneğin, bir çalışan, kuruluşunuzun bilgi varlıklarıyla ilgili şüpheli etkinliklerde bulunan tanınmayan bir kişi fark edebilir. Bu çalışan, etkinliği raporlamak için güvenlik operasyonları merkezini (SOC) arayabilir veya e-postayla gönderebilir.

Microsoft Sentinel, güvenlik analistlerinizin kaynağından veya verilerinden bağımsız olarak her tür olay için el ile olay oluşturmasına olanak tanır, böylece bu olağan dışı tehdit türlerini araştırmayı kaçırmayın.

Yaygın kullanım örnekleri

Bildirilen olay için olay oluşturma

Bu, yukarıdaki giriş bölümünde açıklanan senaryodur.

Dış sistemlerden olaylar dışında olaylar oluşturma

Günlükleri Microsoft Sentinel'e alınmayan sistemlerden olaylara dayalı olaylar oluşturun. Örneğin SMS tabanlı kimlik avı kampanyası, çalışanların kişisel mobil cihazlarını hedeflemek için kuruluşunuzun kurumsal markasını ve temalarını kullanabilir. Böyle bir saldırıyı araştırmak isteyebilirsiniz ve Microsoft Sentinel'de bir olay oluşturarak araştırmanızı yönetebileceğiniz, kanıt toplayıp günlüğe kaydedebileceğiniz ve yanıt ve risk azaltma eylemlerinizi kaydedebileceğiniz bir platforma sahip olabilirsiniz.

Tehdit avcılığı sonuçlarını temel alan olaylar oluşturma

Tehdit avcılığı etkinliklerinin gözlemlenen sonuçlarına göre olaylar oluşturun. Örneğin, belirli bir araştırma bağlamında (veya kendi başınıza) tehdit avcılığı yaparken, kendi ayrı araştırmasını garanti eden tamamen ilgisiz bir tehdidin kanıtıyla karşılaşabilirsiniz.

El ile olay oluşturma

El ile olay oluşturmanın üç yolu vardır:

Microsoft Sentinel'i Microsoft Defender portalında birleşik güvenlik operasyonları platformuna eklendikten sonra, el ile oluşturulan olaylar birleşik platformla eşitlenmez, ancak bunlar Azure portalında Microsoft Sentinel'de ve Logic Apps ile API aracılığıyla yine de görüntülenebilir ve yönetilebilir.

Azure portalını kullanarak olay oluşturma

  1. Microsoft Sentinel'i seçin ve çalışma alanınızı seçin.

  2. Microsoft Sentinel gezinti menüsünden Olaylar'ı seçin.

  3. Olaylar sayfasında, düğme çubuğundan + Olay oluştur (Önizleme) öğesini seçin.

    El ile yeni bir olay oluşturmak için düğmeyi bularak ana olay ekranının ekran görüntüsü.

    Ekranın sağ tarafında Olay oluştur (Önizleme) paneli açılır.

    El ile olay oluşturma panelinin ekran görüntüsü, tüm alanlar boş.

  4. Paneldeki alanları uygun şekilde doldurun.

    • Başlık

      • Olay için seçtiğiniz bir başlık girin. Olay bu başlıkla kuyrukta görünür.
      • Gerekli. Sınırsız uzunlukta serbest metin. Boşluklar kırpılır.

    • Açıklama

      • Olayın kaynağı, dahil olan varlıklar, diğer olaylarla ilişki, bilgilendirilenler vb. gibi ayrıntılar da dahil olmak üzere olayla ilgili açıklayıcı bilgileri girin.
      • isteğe bağlı. 5000 karaktere kadar serbest metin.

    • Önem Derecesi

      • Açılan listeden bir önem derecesi seçin. Microsoft Sentinel tarafından desteklenen tüm önem dereceleri kullanılabilir.
      • Gerekli. Varsayılan olarak "Orta" olur.

    • Statü

      • Açılan listeden bir durum seçin. Microsoft Sentinel tarafından desteklenen tüm durumlar kullanılabilir.
      • Gerekli. Varsayılan olarak "Yeni" olur.
      • "Kapatıldı" durumuna sahip bir olay oluşturabilir ve ardından değişiklik yapmak ve farklı bir durum seçmek için olayı el ile açabilirsiniz. Açılan listeden "kapatıldı" seçeneğinin seçilmesi, sınıflandırma nedeni alanlarını etkinleştirerek olayı kapatmanın bir nedenini seçmeniz ve açıklamalar eklemenize neden olur. Bir olayı kapatmaya yönelik sınıflandırma nedeni alanlarının ekran görüntüsü.

    • Sahip

      • Kiracınızdaki kullanılabilir kullanıcılar veya gruplar arasından seçim yapın. Kullanıcıları ve grupları aramak için bir ad yazmaya başlayın. Öneri listesini görüntülemek için alanı seçin (tıklayın veya dokunun). Olayı kendinize atamak için listenin üst kısmındaki "bana ata" seçeneğini belirleyin.
      • isteğe bağlı.

    • Etiketler

      • Olayları sınıflandırmak ve kuyrukta filtrelemek ve bulmak için etiketleri kullanın.
      • Artı işareti simgesini seçerek, iletişim kutusuna metin girerek ve Tamam'ı seçerek etiketler oluşturun. Otomatik tamamlama, önceki iki hafta içinde çalışma alanı içinde kullanılan etiketleri önerir.
      • isteğe bağlı. Serbest metin.

  5. Panelin alt kısmındaki Oluştur'u seçin. Birkaç saniye sonra olay oluşturulur ve olaylar kuyruğunda görünür.

    Bir olaya "Kapalı" durumu atarsanız, siz de kapalı olayları gösterecek şekilde durum filtresini değiştirene kadar kuyrukta görünmez. Filtre varsayılan olarak yalnızca "Yeni" veya "Etkin" durumuna sahip olayları görüntüleyecek şekilde ayarlanır.

Tüm ayrıntılarını görmek, yer işaretleri eklemek, sahibini ve durumunu değiştirmek ve daha fazlasını yapmak için kuyruktaki olayı seçin.

Bir nedenden dolayı olayı oluşturma gerçeğinden sonra fikrinizi değiştirirseniz, bunu kuyruk kılavuzundan veya olayın içinden silebilirsiniz.

Azure Logic Apps kullanarak olay oluşturma

Olay oluşturmak, Microsoft Sentinel bağlayıcısında ve dolayısıyla Microsoft Sentinel playbook'larında Logic Apps eylemi olarak da kullanılabilir.

Olay oluştur (önizleme) eylemini olay tetikleyicisinin playbook şemasında bulabilirsiniz.

Microsoft Sentinel bağlayıcısında olay mantıksal uygulaması oluşturma eyleminin ekran görüntüsü.

Aşağıda açıklandığı gibi parametreleri sağlamanız gerekir:

  • İlgili açılan listelerden Abonelik, Kaynak grubu ve Çalışma Alanı adınızı seçin.

  • Kalan alanlar için yukarıdaki açıklamalara bakın (Azure portalını kullanarak olay oluşturma bölümünde).

    Microsoft Sentinel bağlayıcısında olay eylemi parametreleri oluşturma ekran görüntüsü.

Microsoft Sentinel, bu yetenekle nasıl çalışabileceğinizi gösteren bazı örnek playbook şablonları sağlar:

  • Microsoft Form ile olay oluşturma
  • Paylaşılan e-posta gelen kutusundan olay oluşturma

Bunları Microsoft Sentinel Otomasyonu sayfasındaki playbook şablonları galerisinde bulabilirsiniz.

Microsoft Sentinel API'sini kullanarak olay oluşturma

Olaylar işlem grubu yalnızca oluşturmanızı değil, aynı zamanda olayları güncelleştirmenize (düzenlemenize), almanıza (almanıza), listelemenize ve silmenize de olanak tanır.

Aşağıdaki uç noktayı kullanarak bir olay oluşturursunuz. Bu istek yapıldıktan sonra, olay portaldaki olay kuyruğunda görünür.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

İstek gövdesinin nasıl görünebileceğine ilişkin bir örnek aşağıda verilmişti:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Notlar

  • El ile oluşturulan olaylar hiçbir varlık veya uyarı içermez. Bu nedenle, mevcut uyarıları olayınızla ilişkilendirene kadar olay sayfasındaki Uyarılar sekmesi boş kalır.

    El ile oluşturulan olaylara doğrudan varlık ekleme şu anda desteklenmediğinden Varlıklar sekmesi de boş kalır. (Bir uyarıyı bu olayla ilişkilendirdiyseniz, uyarıdaki varlıklar olayda görünür.)

  • El ile oluşturulan olaylar da kuyrukta herhangi bir Ürün adı görüntülemez.

  • Olay kuyruğu varsayılan olarak yalnızca "Yeni" veya "Etkin" durumuna sahip olayları görüntüleyecek şekilde filtrelenmiştir. "Kapalı" durumunda bir olay oluşturursanız, siz de kapalı olayları göstermek için durum filtresini değiştirene kadar kuyrukta görünmez.

Sonraki adımlar

Daha fazla bilgi için bkz.