Aracılığıyla paylaş

Microsoft Sentinel ile olayları araştırma

  • Makale

Önemli

Not edilen özellikler şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Bu makale, Microsoft Sentinel ile ilgili olayları araştırmanıza yardımcı olur. Veri kaynaklarınızı Microsoft Sentinel'e bağladıktan sonra, şüpheli bir şey olduğunda bildirim almak istiyorsunuz. Bunu yapmanızı sağlamak için Microsoft Sentinel, atayabileceğiniz ve araştırabileceğiniz olaylar oluşturan gelişmiş analiz kuralları oluşturmanıza olanak tanır.

Bu makalede aşağıdakiler ele alınmaktadır:

  • Olayları araştırma
  • Araştırma grafiğini kullanma
  • Tehditlere yanıt verme

Bir olay birden çok uyarı içerebilir. Bu, belirli bir araştırma için tüm ilgili kanıtların bir toplamıdır. Olay, Analiz sayfasında oluşturduğunuz analiz kurallarına göre oluşturulur. Önem derecesi ve durum gibi uyarılarla ilgili özellikler olay düzeyinde ayarlanır. Microsoft Sentinel'e ne tür tehditler aradığınızı ve bunları nasıl bulacağınız konusunda bilgi verdikten sonra, olayları araştırarak algılanan tehditleri izleyebilirsiniz.

Önkoşullar

  • Olayı yalnızca analiz kuralınızı ayarlarken varlık eşleme alanlarını kullandıysanız araştırabilirsiniz. Araştırma grafiği için özgün olayınızın varlıkları içermesi gerekir.

  • Olayları ataması gereken bir konuk kullanıcınız varsa, kullanıcıya Microsoft Entra kiracınızda Dizin Okuyucusu rolü atanmalıdır. Normal (konuk olmayan) kullanıcıların bu rolü varsayılan olarak atanmıştır.

Olayları araştırma

  1. Olaylar'ı seçin. Olaylar sayfası, kaç olayınız olduğunu ve bunların yeni, Etkin veya kapalı olup olmadığını bilmenizi sağlar. Her olay için olayın oluştuğu zamanı ve olayın durumunu görebilirsiniz. Önce hangi olayların işleneceğini belirlemek için önem derecesine bakın.

    Screenshot of view of incident severity.

  2. Olayları gerektiği gibi, örneğin durum veya önem derecesine göre filtreleyebilirsiniz. Daha fazla bilgi için bkz . Olay arama.

  3. Araştırma başlatmak için belirli bir olayı seçin. Sağ tarafta olayın önem derecesi, ilgili varlık sayısının özeti, bu olayı tetikleyen ham olaylar, olayın benzersiz kimliği ve eşlenmiş MITRE ATT&CK taktikleri veya teknikleri gibi ayrıntılı bilgileri görebilirsiniz.

  4. Olaydaki uyarılar ve varlıklar hakkında daha fazla ayrıntı görüntülemek için Olay sayfasında Tüm ayrıntıları görüntüle'yi seçin ve olay bilgilerini özetleyen ilgili sekmeleri gözden geçirin.

    Screenshot of view of alert details.

    • Zaman Çizelgesi sekmesinde, saldırgan etkinliğinin zaman çizelgesini yeniden oluşturmanıza yardımcı olabilecek olaydaki uyarıların ve yer işaretlerinin zaman çizelgesini gözden geçirin.

    • Benzer olaylar (Önizleme) sekmesinde, geçerli olaya en çok benzeyen en fazla 20 olaydan oluşan bir koleksiyon görürsünüz. Bu, olayı daha büyük bir bağlamda görüntülemenizi sağlar ve araştırmanızı yönlendirmenize yardımcı olur. Aşağıdaki benzer olaylar hakkında daha fazla bilgi edinin.

    • Uyarılar sekmesinde, bu olaya dahil edilen uyarıları gözden geçirin. Uyarılar hakkındaki tüm ilgili bilgileri ( bunları üreten analiz kuralları, uyarı başına döndürülen sonuç sayısı ve uyarılarda playbook çalıştırma olanağı) görürsünüz. Olayda daha da detaya gitmek için Olay sayısını seçin. Bu, sonuçları oluşturan sorguyu ve uyarıyı tetikleyen olayları Log Analytics'te açar.

    • Yer İşaretleri sekmesinde, sizin veya diğer araştırmacıların bu olaya bağlamış olduğu tüm yer işaretlerini görürsünüz. Yer işaretleri hakkında daha fazla bilgi edinin.

    • Varlıklar sekmesinde, uyarı kuralı tanımının bir parçası olarak eşlediğiniztüm varlıkları görebilirsiniz. Bunlar, kullanıcılar, cihazlar, adresler, dosyalar veya diğer türler olsun, olayda rol oynayan nesnelerdir.

    • Son olarak, Açıklamalar sekmesinde araştırma hakkındaki yorumlarınızı ekleyebilir ve diğer analistler ve araştırmacılar tarafından yapılan yorumları görüntüleyebilirsiniz. Açıklamalar hakkında daha fazla bilgi edinin.

  5. Bir olayı etkin bir şekilde araştırıyorsanız, kapatana kadar olayın durumunu Etkin olarak ayarlamak iyi bir fikirdir.

  6. Olaylar belirli bir kullanıcıya veya gruba atanabilir. Her olay için Sahip alanını ayarlayarak bir sahip atayabilirsiniz. Tüm olaylar atanmamış olarak başlar. Ayrıca, diğer analistlerin araştırmalarınızı ve olayla ilgili endişelerinizi anlayabilmesi için açıklamalar ekleyebilirsiniz.

    Screenshot of assigning incident to user.

    Son seçilen kullanıcılar ve gruplar, resimli açılan listenin en üstünde görünür.

  7. Araştırma haritasını görüntülemek için Araştır'ı seçin.

Ayrıntılı inceleme yapmak için araştırma grafiğini kullanma

Araştırma grafiği, analistlerin her araştırma için doğru soruları sormasını sağlar. Araştırma grafiği, ilgili verileri ilgili herhangi bir varlıkla ilişkilendirerek olası bir güvenlik tehdidinin kapsamını anlamanıza ve kök nedenini belirlemenize yardımcı olur. Grafı seçip farklı genişletme seçenekleri arasından seçim yaparak grafikte sunulan tüm varlıkları daha ayrıntılı inceleyebilir ve araştırabilirsiniz.

Araştırma grafı size aşağıdakileri sağlar:

  • Ham verilerden görsel bağlam: Canlı görsel graf, ham verilerden otomatik olarak ayıklanan varlık ilişkilerini görüntüler. Bu, farklı veri kaynakları arasındaki bağlantıları kolayca görmenizi sağlar.

  • Tam araştırma kapsamı bulma: Bir ihlalin tam kapsamını ortaya çıkarabilmek için yerleşik araştırma sorgularını kullanarak araştırma kapsamınızı genişletin.

  • Yerleşik araştırma adımları: Tehdit karşısında doğru soruları sorduğunuzdan emin olmak için önceden tanımlanmış keşif seçeneklerini kullanın.

Araştırma grafiğini kullanmak için:

  1. Bir olay seçin ve ardından Araştır'ı seçin. Bu sizi araştırma grafiğine götürür. Grafik, uyarıya doğrudan bağlı varlıkların ve her kaynağın daha fazla bağlanıp bağlanmasını gösteren bir harita sağlar.

    View map.

    Önemli

    • Olayı yalnızca analiz kuralınızı ayarlarken varlık eşleme alanlarını kullandıysanız araştırabilirsiniz. Araştırma grafiği için özgün olayınızın varlıkları içermesi gerekir.

    • Microsoft Sentinel şu anda 30 güne kadar olan olayların araştırılma sürecini desteklemektedir.

  2. Varlıklar bölmesini açmak için bir varlık seçin; böylece bu varlıkla ilgili bilgileri gözden geçirebilirsiniz.

    View entities in map

  3. Araştırmanızı derinleştirebilmek için varlık türü başına güvenlik uzmanlarımız ve analistlerimiz tarafından tasarlanan soruların listesini ortaya çıkarmak için her varlığın üzerine gelerek araştırmanızı genişletin. Bu seçeneklere keşif sorguları diyoruz.

    Explore more details

    Örneğin, ilgili uyarıları isteyebilirsiniz. Bir araştırma sorgusu seçerseniz, sonuçta elde edilen yetkilendirmeler grafiğe geri eklenir. Bu örnekte, İlgili uyarılar seçildiğinde grafta aşağıdaki uyarılar döndürüldü:

    Screenshot: view related alerts

    İlgili uyarıların varlığa noktalı çizgilerle bağlı olarak göründüğüne bakın.

  4. Her araştırma sorgusu için, Olaylar'ı> seçerek ham olay sonuçlarını ve Log Analytics'te kullanılan sorguyu açma seçeneğini belirleyebilirsiniz.

  5. Olayı anlamak için grafik size paralel bir zaman çizelgesi sağlar.

    Screenshot: view timeline in map.

  6. Grafikte hangi öğelerin hangi noktada oluştuğuna bakmak için zaman çizelgesinin üzerine gelin.

    Screenshot: use timeline in map to investigate alerts.'

Araştırmanıza odaklanın

Olaylarınıza uyarı ekleyerek veya olaylardan uyarıları kaldırarak araştırmanızın kapsamını nasıl genişletebileceğinizi veya daraltabileceğinizi öğrenin.

Benzer olaylar (önizleme)

Güvenlik operasyonları analisti olarak, bir olayı araştırırken daha geniş bağlamını dikkate almak istersiniz. Örneğin, bunun gibi başka olayların daha önce mi yoksa şimdi mi gerçekleştiğini görmek istersiniz.

  • Aynı daha büyük saldırı stratejisinin parçası olabilecek eşzamanlı olayları belirlemek isteyebilirsiniz.

  • Geçmişteki benzer olayları tanımlamak ve bunları geçerli araştırmanız için başvuru noktası olarak kullanmak isteyebilirsiniz.

  • SoC'nizde daha fazla bağlam sağlayabilecek veya araştırmayı ilerletebileceğiniz kişileri bulmak için geçmiş benzer olayların sahiplerini belirlemek isteyebilirsiniz.

Şimdi önizleme aşamasında olan olay ayrıntıları sayfasındaki benzer olaylar sekmesi, geçerli olaya en çok benzeyen 20 olay daha sunar. Benzerlik, iç Microsoft Sentinel algoritmaları tarafından hesaplanır ve olaylar azalan benzerlik sırasına göre sıralanır ve görüntülenir.

Screenshot of the similar incidents display.

Benzerlik hesaplaması

Benzerliğin belirlendiği üç ölçüt vardır:

Benzer olaylar listesinde bir olayın görünmesinin nedenleri Benzerlik nedeni sütununda görüntülenir. Ortak öğeleri (varlıklar, kural adı veya ayrıntılar) göstermek için bilgi simgesinin üzerine gelin.

Screenshot of pop-up display of similar incident details.

Benzerlik zaman çerçevesi

Olay benzerliği, olaydaki son etkinlikten önceki 14 gün içindeki verilere (olaydaki en son uyarının bitiş zamanı) göre hesaplanır.

Olay ayrıntıları sayfasına her girdiğinizde olay benzerliği yeniden hesaplanır, bu nedenle yeni olaylar oluşturulduysa veya güncelleştirildiyse sonuçlar oturumlar arasında farklılık gösterebilir.

Olaylar hakkında yorum

Güvenlik operasyonları analisti olarak, bir olayı araştırırken hem yönetime doğru raporlama sağlamak hem de iş arkadaşlarınız arasında sorunsuz işbirliği ve işbirliği sağlamak için attığınız adımları ayrıntılı bir şekilde belgelemeniz gerekir. Microsoft Sentinel, bunu başarmanıza yardımcı olmak için size zengin bir yorum ortamı sunar.

Yorumlarla yapabileceğiniz bir diğer önemli şey de olaylarınızı otomatik olarak zenginleştirmektir. Dış kaynaklardan ilgili bilgileri getiren bir olay üzerinde bir playbook çalıştırdığınızda (örneğin, VirusTotal'da kötü amaçlı yazılım olup olmadığını denetlediğinizde), playbook'un dış kaynağın yanıtını ( tanımladığınız diğer bilgilerle birlikte) olayın açıklamalarına yerleştirmesini sağlayabilirsiniz.

Açıklamaların kullanımı kolaydır. Bunlara olay ayrıntıları sayfasındaki Açıklamalar sekmesinden erişebilirsiniz.

Screenshot of viewing and entering comments.

Sık sorulan sorular

Olay açıklamalarını kullanırken dikkate alınması gereken birkaç nokta vardır. Aşağıdaki soru listesi bu noktalara işaret eder.

Hangi tür girişler desteklenir?

  • Metin: Microsoft Sentinel'deki açıklamalar düz metin, temel HTML ve Markdown'da metin girişlerini destekler. Ayrıca, kopyalanan metni, HTML'yi ve Markdown'ı açıklama penceresine yapıştırabilirsiniz.

  • Resimler: Yorumlara resimlere bağlantılar ekleyebilirsiniz ve görüntüler satır içinde görüntülenir, ancak resimler dropbox, OneDrive, Google Drive ve benzeri genel erişime açık bir konumda barındırılmalıdır. Görüntüler doğrudan yorumlara yüklenemez.

Açıklamalarda boyut sınırı var mı?

  • Açıklama başına: Tek bir açıklama en fazla 30.000 karakter içerebilir.

  • Olay başına: Tek bir olay en fazla 100 yorum içerebilir.

    Dekont

    Log Analytics'teki SecurityIncident tablosundaki tek bir olay kaydının boyut sınırı 64 KB'tır. Bu sınır aşılırsa, açıklamalar (en erkenden başlayarak) kesilir ve bu da gelişmiş arama sonuçlarında görünecek açıklamaları etkileyebilir.

    Olaylar veritabanındaki gerçek olay kayıtları etkilenmez.

Açıklamaları kimler düzenleyebilir veya silebilir?

  • Düzenleme: Yalnızca açıklamanın yazarının düzenleme izni vardır.

  • Silme: Yalnızca Microsoft Sentinel Katkıda Bulunanı rolüne sahip kullanıcıların açıklamaları silme izni vardır. Açıklamayı silmek için açıklamanın yazarının bile bu role sahip olması gerekir.

Bir olayı kapatma

Belirli bir olayı çözümledikten sonra (örneğin, araştırmanız sonuca ulaştığında), olayın durumunu Kapalı olarak ayarlamanız gerekir. Bunu yaptığınızda, olayı kapatma nedeniniz belirterek sınıflandırmanız istenir. Bu adım zorunludur. Sınıflandırma seç'e tıklayın ve açılan listeden aşağıdakilerden birini seçin:

  • Doğru Pozitif: Şüpheli etkinlik
  • Zararsız Pozitif: Şüpheli ancak beklenen
  • Hatalı Pozitif: Hatalı uyarı mantığı
  • Hatalı Pozitif: Hatalı veri
  • Belirsiz

Screenshot that highlights the classifications available in the Select classification list.

Hatalı pozitifler ve zararsız pozitifler hakkında daha fazla bilgi için bkz . Microsoft Sentinel'de hatalı pozitifleri işleme.

Uygun sınıflandırmayı seçtikten sonra Açıklama alanına açıklayıcı bir metin ekleyin. Bu, bu olaya geri başvurmanız gerektiğinde yararlı olacaktır. İşiniz bittiğinde Uygula'ya tıkladığınızda olay kapatılır.

{alt-text}

Olayları arama

Belirli bir olayı hızla bulmak için, olaylar kılavuzunun üzerindeki arama kutusuna bir arama dizesi girin ve enter tuşuna basarak gösterilen olay listesini buna göre değiştirin. Olayınız sonuçlara dahil değilse Gelişmiş arama seçeneklerini kullanarak aramanızı daraltmak isteyebilirsiniz.

Arama parametrelerini değiştirmek için Ara düğmesini ve ardından aramanızı çalıştırmak istediğiniz parametreleri seçin.

Örneğin:

Screenshot of the incident search box and button to select basic and/or advanced search options.

Varsayılan olarak, olay aramaları yalnızca Olay Kimliği, Başlık, Etiketler, Sahip ve Ürün adı değerleri arasında çalışır. Arama bölmesinde, listeyi aşağı kaydırarak aranacak bir veya daha fazla parametreyi seçin ve uygula'yı seçerek arama parametrelerini güncelleştirin. Varsayılan olarak ayarla'yı seçerek seçili parametreleri varsayılan seçeneğe sıfırlayın.

Dekont

Sahip alanındaki aramalar hem adları hem de e-posta adreslerini destekler.

Gelişmiş arama seçeneklerinin kullanılması arama davranışını aşağıdaki gibi değiştirir:

Arama davranışı Açıklama
Arama düğmesi rengi Arama düğmesinin rengi, aramada kullanılmakta olan parametre türlerine bağlı olarak değişir.
  • Yalnızca varsayılan parametreler seçili olduğu sürece düğme gri olur.
  • Gelişmiş arama parametreleri gibi farklı parametreler seçildiğinde düğme maviye döner.
Otomatik yenileme Gelişmiş arama parametrelerini kullanmak sonuçlarınızı otomatik olarak yenilemeyi seçmenizi engeller.
Varlık parametreleri Tüm varlık parametreleri gelişmiş aramalar için desteklenir. Herhangi bir varlık parametresinde arama yaparken, arama tüm varlık parametrelerinde çalışır.
Dizeleri arama Sözcük dizesi aramak, arama sorgusundaki tüm sözcükleri içerir. Arama dizeleri büyük/küçük harfe duyarlıdır.
Çalışma alanları arası destek Gelişmiş aramalar çalışma alanları arası görünümlerde desteklenmez.
Görüntülenen arama sonuçlarının sayısı Gelişmiş arama parametrelerini kullanırken, aynı anda yalnızca 50 sonuç gösterilir.

Bahşiş

Aradığınız olayı bulamıyorsanız aramanızı genişletmek için arama parametrelerini kaldırın. Aramanız çok fazla öğeyle sonuçlanırsa sonuçlarınızı daraltmak için daha fazla filtre ekleyin.

Sonraki adımlar

Bu makalede, Microsoft Sentinel kullanarak olayları araştırmaya başlamayı öğrendiniz. Daha fazla bilgi için bkz.