Öğretici: Microsoft Sentinel ile Azure Active Directory B2C verileri için güvenlik analizini yapılandırma

  • Makale

Günlükleri ve denetim bilgilerini Microsoft Sentinel'e yönlendirerek Azure Active Directory B2C (Azure AD B2C) ortamınızın güvenliğini artırın. Ölçeklenebilir Microsoft Sentinel, bulutta yerel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Azure AD B2C için uyarı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için çözümü kullanın.

Daha fazla bilgi edinin:

Azure AD B2C ile Microsoft Sentinel'in diğer kullanımları şunlardır:

  • Analiz ve tehdit bilgileri özellikleriyle önceden algılanmayan tehditleri algılama ve hatalı pozitif sonuçları en aza indirme
  • Yapay zeka (AI) ile tehditleri araştırma
    • Büyük ölçekte şüpheli etkinlikleri arayın ve Microsoft'ta siber güvenlik çalışmalarının yılların deneyiminden yararlanın
  • Ortak görev düzenleme ve otomasyon ile olaylara hızla yanıt verme
  • Kuruluşunuzun güvenlik ve uyumluluk gereksinimlerini karşılama

Bu öğreticide şunların nasıl yapıldığını öğrenirsiniz:

  • Azure AD B2C günlüklerini Log Analytics çalışma alanına aktarma
  • Log Analytics çalışma alanında Microsoft Sentinel'i etkinleştirme
  • Bir olayı tetikleme amacıyla Microsoft Sentinel'de örnek kural oluşturma
  • Otomatik yanıt yapılandırma

Azure İzleyici Log Analytics ile Azure AD B2C'yi yapılandırma

Bir kaynağın günlüklerinin ve ölçümlerinin nereye gönderileceğini tanımlamak için,

  1. tanılama ayarlarını Azure AD B2C kiracınızda Microsoft Entra kimliğinde etkinleştirin.
  2. Azure AD B2C'yi günlükleri Azure İzleyici'ye gönderecek şekilde yapılandırın.

Azure İzleyici ile Azure AD B2C'yi izleme hakkında daha fazla bilgi edinin.

Microsoft Sentinel örneği dağıtma

Azure AD B2C örneğinizi Azure İzleyici'ye günlük gönderecek şekilde yapılandırdıktan sonra Microsoft Sentinel örneğini etkinleştirin.

Önemli

Microsoft Sentinel'i etkinleştirmek için, Microsoft Sentinel çalışma alanının bulunduğu abonelik için Katkıda Bulunan izinlerini alın. Microsoft Sentinel'i kullanmak için, çalışma alanının ait olduğu kaynak grubunda Katkıda Bulunan veya Okuyucu izinlerini kullanın.

  1. Azure Portal’ında oturum açın.

  2. Log Analytics çalışma alanının oluşturulduğu aboneliği seçin.

  3. Microsoft Sentinel'i arayın ve seçin.

    Arama alanına girilen Azure Sentinel'in ve görüntülenen Azure Sentinel seçeneğinin ekran görüntüsü.

  4. Add (Ekle) seçeneğini belirleyin.

  5. Arama çalışma alanları alanında yeni çalışma alanını seçin.

    Azure Sentinel'e eklenecek çalışma alanını seçin altındaki arama çalışma alanları alanının ekran görüntüsü.

  6. Microsoft Sentinel Ekle'yi seçin.

    Not

    Microsoft Sentinel'i birden fazla çalışma alanında çalıştırmak mümkündür ancak veriler tek bir çalışma alanında yalıtılır.
    Bkz. Hızlı Başlangıç: Microsoft Sentinel'i ekleme

Microsoft Sentinel kuralı oluşturma

Microsoft Sentinel'i etkinleştirdikten sonra, Azure AD B2C kiracınızda şüpheli bir durum oluştuğunda bildirim alın.

Ortamınızdaki tehditleri ve anormal davranışları keşfetmek için özel analiz kuralları oluşturabilirsiniz. Bu kurallar belirli olayları veya olay kümelerini arar ve olay eşikleri veya koşulları karşılandığında sizi uyarır. Ardından olaylar araştırma için oluşturulur.

Bkz. Tehditleri algılamak için özel analiz kuralları oluşturma

Not

Microsoft Sentinel,verilerinizi şüpheli etkinlik için arayan tehdit algılama kuralları oluşturmaya yönelik şablonlara sahiptir. Bu öğretici için bir kural oluşturursunuz.

Başarısız zorlamalı erişim için bildirim kuralı

Ortamınıza iki veya daha fazla başarısız, zorlamalı erişim girişimi hakkında bildirim almak için aşağıdaki adımları kullanın. Deneme yanılma saldırısı örnek olarak verilmiştir.

  1. Microsoft Sentinel'de soldaki menüden Analiz'i seçin.

  2. Üst çubukta +Zamanlanmış sorgu kuralı oluştur'u> seçin.

    Analiz altındaki Oluştur seçeneğinin ekran görüntüsü.

  3. Analiz Kuralı sihirbazında Genel'e gidin.

  4. Ad alanına başarısız oturum açma işlemleri için bir ad girin.

  5. Açıklama için, kuralın 60 saniye içinde iki veya daha fazla başarısız oturum açma işlemini bildirdiğini belirtin.

  6. Taktikler için bir kategori seçin. Örneğin , Önceden Ekle'yi seçin.

  7. Önem Derecesi için bir önem düzeyi seçin.

  8. Durum varsayılan olarak Etkin'dir . Kuralı değiştirmek için Etkin kurallar sekmesine gidin.

    Seçenekler ve seçimler içeren Yeni kural oluştur'un ekran görüntüsü.

  9. Kural mantığını ayarla sekmesini seçin.

  10. Kural sorgusu alanına bir sorgu girin. Sorgu örneği, oturum açmaları ile UserPrincipalNamedüzenler.

    Kural mantığını ayarla altındaki Kural sorgusu alanındaki sorgu metninin ekran görüntüsü.

  11. Sorgu zamanlaması'na gidin.

  12. Sorguyu her çalıştır alanına 5 ve Dakika girin.

  13. En son arama verileri için5 ve Dakika girin.

  14. Sorgu sonuçları sayısı olduğunda uyarı oluştur için Büyüktür ve 0'ı seçin.

  15. Olay gruplandırma için Tüm olayları tek bir uyarıda gruplandır'ı seçin.

  16. Uyarı oluşturulduktan sonra sorguyu çalıştırmayı durdur için Kapalı'yı seçin.

  17. İleri: Olay ayarları (Önizleme)'yi seçin.

Sorgu zamanlama seçimlerinin ve seçeneklerinin ekran görüntüsü.

  1. Kural ayarlarını gözden geçirmek için Gözden geçir ve oluştur sekmesine gidin.

  2. Doğrulama başarılı başlığı görüntülendiğinde Oluştur'u seçin.

    Seçili ayarların, Doğrulamanın başarılı olduğunu belirten başlığın ve Oluştur seçeneğinin ekran görüntüsü.

Kuralı ve oluşturduğu olayları görüntüleyin. Yeni oluşturulan zamanlanmış türünde özel kuralınızı, ana sayfadaki Etkin kurallar sekmesinin altındaki tabloda bulabilirsiniz

  1. Analiz ekranına gidin.
  2. Etkin kurallar sekmesini seçin.
  3. Tabloda, Zamanlanmış'ın altında kuralı bulun.

Kuralı düzenleyebilir, etkinleştirebilir, devre dışı bırakabilir veya silebilirsiniz.

Etkinleştir, Devre Dışı Bırak, Sil ve Düzenle seçeneklerini içeren etkin kuralların ekran görüntüsü.

Olayları önceliklendirme, araştırma ve düzeltme

Bir olay birden çok uyarı içerebilir ve bir araştırma için ilgili kanıtların bir toplamıdır. Olay düzeyinde Önem Derecesi ve Durum gibi özellikleri ayarlayabilirsiniz.

Daha fazla bilgi edinin: Microsoft Sentinel ile olayları araştırma.

  1. Olaylar sayfasına gidin.

  2. Bir olay seçin.

  3. Sağ tarafta önem derecesi, varlıklar, olaylar ve olay kimliği gibi ayrıntılı olay bilgileri görüntülenir.

    Olay bilgilerini gösteren ekran görüntüsü.

  4. Olaylar bölmesinde Tüm ayrıntıları görüntüle'yi seçin.

  5. Olayı özetleyen sekmeleri gözden geçirin.

    Olayların listesinin ekran görüntüsü.

  6. Kanıt>Olayları>Log Analytics bağlantısı'na tıklayın.

  7. Sonuçlarda, oturum açmaya çalışan kimlik UserPrincipalName değerine bakın.

    Olay ayrıntılarının ekran görüntüsü.

Otomatik yanıt

Microsoft Sentinel güvenlik düzenleme, otomasyon ve yanıt (SOAR) işlevlerine sahiptir. Analiz kurallarına otomatik eylemler veya playbook ekleme.

SoAR nedir?

Bir olay için Email bildirimi

Bu görev için Microsoft Sentinel GitHub deposundan bir playbook kullanın.

  1. Yapılandırılmış bir playbook'a gidin.
  2. Kuralı düzenleyin.
  3. Otomatik yanıt sekmesinde playbook'u seçin.

Daha fazla bilgi edinin: Olay-Email-Bildirimi

Kural için otomatik yanıt seçeneklerinin ekran görüntüsü.

Kaynaklar

Microsoft Sentinel ve Azure AD B2C hakkında daha fazla bilgi için bkz:

Sonraki adım

Microsoft Sentinel'de hatalı pozitifleri işleme