Aracılığıyla paylaş

Microsoft Sentinel'de tehdit göstergeleriyle çalışma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Aşağıdaki etkinlikler aracılığıyla tehdit bilgilerini (TI) Microsoft Sentinel ile tümleştirin:

  • Çeşitli TI platformlarına ve akışlarına veri bağlayıcılarını etkinleştirerek tehdit bilgilerini Microsoft Sentinel'e aktarın.

  • İçeri aktarılan tehdit bilgilerini Günlüklerde ve Microsoft Sentinel Tehdit Bilgileri sayfasında görüntüleyin ve yönetin.

  • İçeri aktarılan tehdit bilgilerinize göre yerleşik Analytics kural şablonlarını kullanarak tehditleri algılayın ve güvenlik uyarıları ve olaylar oluşturun.

  • Tehdit Bilgileri çalışma kitabıyla Microsoft Sentinel'de içeri aktarılan tehdit bilgileriyle ilgili önemli bilgileri görselleştirin.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Microsoft Sentinel'de tehdit göstergelerinizi görüntüleme

Tehdit bilgileri sayfasında göstergelerinizi bulma ve görüntüleme

Bu yordam, ana Microsoft Sentinel menüsünden erişilebilen Tehdit bilgileri sayfasında göstergelerinizi görüntülemeyi ve yönetmeyi açıklar. İçeri aktarılan tehdit göstergelerinizi Log Analytics sorgusu yazmadan sıralamak, filtrelemek ve aramak için Tehdit bilgileri sayfasını kullanın.

Tehdit bilgileri göstergelerinizi Tehdit bilgileri sayfasında görüntülemek için:

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit bilgileri'ni seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Tehdit bilgileri'ni seçin.

  2. Kılavuzdan, diğer ayrıntıları görüntülemek istediğiniz göstergeyi seçin. Göstergenin ayrıntıları sağ tarafta görünür ve güvenilirlik düzeyleri, etiketler, tehdit türleri ve daha fazlası gibi bilgileri gösterir.

  3. Microsoft Sentinel bu görünümde göstergelerin yalnızca en güncel sürümünü görüntüler. Göstergelerin nasıl güncelleştirildiğini anlama hakkında daha fazla bilgi için bkz . Tehdit bilgilerini anlama.

  4. IP ve etki alanı adı göstergeleri, ek GeoLocation ve WhoIs verileriyle zenginleştirilerek seçilen göstergenin bulunduğu araştırmalara daha fazla bağlam sağlar.

Örneğin:

Coğrafi Konum ve WhoIs verilerini gösteren bir gösterge içeren Tehdit bilgileri sayfasının ekran görüntüsü.

Önemli

GeoLocation ve WhoIs zenginleştirmesi şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Günlükler'de göstergelerinizi bulma ve görüntüleme

Bu yordamda, kaynak akışından veya kullanılan bağlayıcıdan bağımsız olarak, içeri aktarılan tehdit göstergelerinizin Microsoft Sentinel Günlükleri alanında diğer Microsoft Sentinel olay verileriyle birlikte nasıl görüntülendiği açıklanır.

İçeri aktarılan tehdit göstergeleri, Analiz veya Çalışma Kitapları gibi Microsoft Sentinel'de > başka bir yerde çalıştırılan tehdit bilgileri sorgularının temelini oluşturan Microsoft Sentinel ThreatIntelligenceIndicator tablosunda listelenir.

Tehdit bilgileri göstergelerinizi Günlükler'de görüntülemek için:

  1. Azure portalında Microsoft Sentinel için Genel'in altında Günlükler'i seçin.
    Defender portalında Microsoft Sentinel için Araştırma ve yanıt>Avcılığı Gelişmiş avcılığı'nı> seçin.

  2. ThreatIntelligenceIndicator tablosu Microsoft Sentinel grubunun altında bulunur.

  3. Tablo adının yanındaki Önizleme verileri simgesini (göz) seçin ve bu tablodaki kayıtları gösterecek bir sorgu çalıştırmak için Sorgu düzenleyicisinde görüntüle düğmesini seçin.

    Sonuçlarınız bu ekran görüntüsünde gösterilen örnek tehdit göstergesine benzer olmalıdır:

    Ayrıntıları genişletilmiş örnek ThreatIntelligenceIndicator tablosu sonuçlarını gösteren ekran görüntüsü.

Gösterge oluşturma ve etiketleme

Tehdit bilgileri sayfası ayrıca doğrudan Microsoft Sentinel arabiriminde tehdit göstergeleri oluşturmanıza ve en yaygın tehdit bilgileri yönetim görevlerinden ikisini gerçekleştirmenize olanak tanır: gösterge etiketleme ve güvenlik araştırmalarıyla ilgili yeni göstergeler oluşturma.

Yeni gösterge oluşturma

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit bilgileri'ni seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Tehdit bilgileri'ni seçin.

  2. Sayfanın üst kısmındaki menü çubuğundan Yeni ekle düğmesini seçin.

    Yeni tehdit göstergesi ekleme

  3. Gösterge türünü seçin, ardından Yeni gösterge panelinde formu doldurun. Gerekli alanlar kırmızı yıldız (*) ile işaretlenir.

  4. Uygula’yı seçin. Gösterge göstergeler listesine eklenir ve Günlükler'deki ThreatIntelligenceIndicator tablosuna da gönderilir.

Tehdit göstergelerini etiketleme ve düzenleme

Tehdit göstergelerini etiketlemek, bulmalarını kolaylaştırmak için bunları birlikte gruplandırmak için kolay bir yoldur. Genellikle, belirli bir olayla ilgili bir göstergeye etiketler uygulayabilir veya belirli bir aktörden veya iyi bilinen bir saldırı kampanyasından gelen tehditleri temsil edebilirsiniz. Üzerinde çalışmak istediğiniz göstergeleri aradıktan sonra, bunları tek tek etiketleyin veya çoklu seçim göstergelerini tek seferde bir veya daha fazla etiketle etiketleyin. Etiketleme serbest biçimli olduğundan, tehdit göstergesi etiketleri için standart adlandırma kuralları oluşturmak önerilir.

Tehdit göstergelerine etiket uygulama ekran görüntüsü.

Microsoft Sentinel, doğrudan Microsoft Sentinel'de oluşturulmuş veya TIP ve TAXII sunucuları gibi iş ortağı kaynaklarından gelen göstergeleri düzenlemenize de olanak tanır. Microsoft Sentinel'de oluşturulan göstergeler için tüm alanlar düzenlenebilir. İş ortağı kaynaklarından gelen göstergeler için etiketler, Süre Sonu tarihi, Güvenilirlik ve İptal Edilmiş gibi yalnızca belirli alanlar düzenlenebilir. Her iki durumda da Tehdit Bilgileri sayfası görünümünde göstergenin yalnızca en son sürümünün görüntülendiğini unutmayın. Göstergelerin nasıl güncelleştirildiğini anlama hakkında daha fazla bilgi için bkz . Tehdit bilgilerini anlama.

Çalışma kitapları tehdit zekanız hakkında içgörüler sağlar

Microsoft Sentinel'de tehdit bilgilerinizle ilgili önemli bilgileri görselleştirmek ve çalışma kitabını iş gereksinimlerinize göre özelleştirmek için amaca yönelik olarak oluşturulmuş bir Microsoft Sentinel çalışma kitabı kullanın.

Microsoft Sentinel'de sağlanan tehdit bilgileri çalışma kitabını bulma ve özelleştirmek için çalışma kitabında düzenleme yapma örneği aşağıda verilmiştir.

  1. Azure portalından Microsoft Sentinel hizmetine gidin.

  2. Tehdit bilgileri veri bağlayıcısını kullanarak tehdit göstergelerini içeri aktardığınız çalışma alanını seçin.

  3. Microsoft Sentinel menüsünün Tehdit yönetimi bölümünden Çalışma Kitapları'nı seçin.

  4. Tehdit Bilgileri başlıklı çalışma kitabını bulun ve aşağıda gösterildiği gibi ThreatIntelligenceIndicator tablosunda veri olduğunu doğrulayın.

    Verileri doğrulama

  5. Kaydet düğmesini seçin ve çalışma kitabını depolamak için bir Azure konumu seçin. Çalışma kitabını herhangi bir şekilde değiştirecek ve değişikliklerinizi kaydedecekseniz bu adım gereklidir.

  6. Şimdi kaydedilen çalışma kitabını görüntüle düğmesini seçerek çalışma kitabını görüntülemek ve düzenlemek üzere açın.

  7. Şimdi şablon tarafından sağlanan varsayılan grafikleri görmeniz gerekir. Grafiği değiştirmek için sayfanın üst kısmındaki Düzenle düğmesini seçerek çalışma kitabının düzenleme moduna geçin.

  8. Tehdit türüne göre yeni bir tehdit göstergeleri grafiği ekleyin. Sayfanın en altına kaydırın ve Sorgu Ekle'yi seçin.

  9. Log Analytics çalışma alanı Günlük Sorgusu metin kutusuna aşağıdaki metni ekleyin:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. Görselleştirme açılan listesinde Çubuk grafik'i seçin.

  11. Düzenleme tamamlandı düğmesini seçin. Çalışma kitabınız için yeni bir grafik oluşturdunuz.

    Çubuk grafik

Çalışma kitapları, Microsoft Sentinel'in tüm yönleriyle ilgili içgörüler sağlayan güçlü etkileşimli panolar sağlar. Çalışma kitaplarıyla yapabileceğiniz birçok şey vardır ve sağlanan şablonlar harika bir başlangıç noktası olsa da, büyük olasılıkla bu şablonlara göz atıp bunları özelleştirmek veya verilerinizi benzersiz şekillerde görselleştirmek için birçok farklı veri kaynağını birleştiren yeni panolar oluşturmak isteyeceksiniz. Microsoft Sentinel çalışma kitapları Azure İzleyici çalışma kitaplarını temel alındığından, zaten kapsamlı belgeler ve daha birçok şablon mevcuttur. Başlamak için harika bir yer, Azure İzleyici çalışma kitaplarıyla etkileşimli raporlar oluşturma makalesidir.

GitHub'da daha fazla şablon indirmek ve kendi şablonlarınıza katkıda bulunmak için zengin bir Azure İzleyici çalışma kitabı topluluğu da vardır.

İlgili içerik

Bu makalede, Microsoft Sentinel genelinde tehdit bilgileri göstergeleriyle çalışmanın tüm yollarını öğrendiniz. Microsoft Sentinel'deki tehdit bilgileri hakkında daha fazla bilgi için aşağıdaki makalelere bakın: