Microsoft Sentinel'de tehdit bilgilerine varlık ekleme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal

Bir araştırma sırasında, bir olayın kapsamını ve doğasını anlamanın önemli bir parçası olarak varlıkları ve bağlamlarını incelersiniz. Bir varlığı olayda kötü amaçlı bir etki alanı adı, URL, dosya veya IP adresi olarak bulduğunuzda, tehdit bilgilerinizde güvenliğin aşılması (IOC) göstergesi olarak etiketlenmeli ve izlenmelidir.

Örneğin, ağınızdaki çok sayıda düğümden iletim göndererek ve/veya alarak ağınız genelinde bağlantı noktası taramaları gerçekleştiren veya komut ve denetim düğümü olarak işlev gören bir IP adresi keşfedebilirsiniz.

Microsoft Sentinel ile bu tür varlıkları olay araştırmanızın içinden bayrakla işaretleyebilir ve tehdit bilgilerinize ekleyebilirsiniz. Eklenen göstergeleri Günlükler ve Tehdit Bilgileri'nde görüntüleyebilir ve bunları Microsoft Sentinel çalışma alanınızda kullanabilirsiniz.

Tehdit zekanıza varlık ekleme

Olay ayrıntıları sayfası ve araştırma grafiği, tehdit bilgilerine varlık eklemenin iki yolunu sunar.

Güvenlik olayı ayrıntıları

1. Microsoft Sentinel menüsünde Tehdit yönetimi bölümünden Olaylar'ı seçin.

2. Araştırılması gereken bir olay seçin. Olay ayrıntıları bölmesinde Tüm ayrıntıları görüntüle'yi seçerek Olay ayrıntıları sayfasını açın.

3. Varlıklar bölmesinde, tehdit göstergesi olarak eklemek istediğiniz varlığı bulun. (Listeyi bulmanıza yardımcı olması için listeyi filtreleyebilir veya bir arama dizesi girebilirsiniz.)

   

4. Varlığın sağındaki üç noktayı seçin ve açılır menüden TI'ye ekle'yi seçin.

   Tehdit göstergesi olarak yalnızca aşağıdaki varlık türlerini ekleyin:

   • Etki alanı adı
   • IP adresi (IPv4 ve IPv6)
   • URL
   • Dosya (karma)

   

Araştırma grafı

Araştırma grafiği , bağlantıları ve desenleri sunan ve analistlerinizin doğru soruları sormasını ve müşteri adaylarını takip etmesini sağlayan görsel, sezgisel bir araçtır. Varlıkları çalışma alanınızda kullanılabilir hale getirerek tehdit bilgileri gösterge listelerinize eklemek için bu özelliği kullanın.

1. Microsoft Sentinel menüsünde Tehdit yönetimi bölümünden Olaylar'ı seçin.

2. Araştırılması gereken bir olay seçin. Olay ayrıntıları bölmesinde Eylemler'i seçin ve araştırma grafiğini açmak için açılır menüden Araştır'ı seçin.

   

3. Tehdit göstergesi olarak eklemek istediğiniz varlığı grafikten seçin. Açılan yan bölmede TI'ye ekle'yi seçin.

   Tehdit göstergesi olarak yalnızca aşağıdaki varlık türlerini ekleyin:

   • Etki alanı adı
   • IP adresi (IPv4 ve IPv6)
   • URL
   • Dosya (karma)

   

İki arabirimden hangisini seçerseniz seçin, burada sona erersiniz.

1. Yeni gösterge yan bölmesi açılır. Aşağıdaki alanlar otomatik olarak doldurulur:

   • Türler

     • Eklediğiniz varlığın temsil ettiği gösterge türü.
       • Olası değerlerle açılan liste: ipv4-addr, ipv6-addr, URL, fileve domain-name.
     • Gerekli. Varlık türüne göre otomatik olarak doldurulur.

   • Value

     • Bu alanın adı, seçili gösterge türüne dinamik olarak değişir.
     • Göstergenin kendisi.
     • Gerekli. Varlık değeri tarafından otomatik olarak doldurulur.

   • Etiketler

     • Göstergeye ekleyebileceğiniz serbest metin etiketleri.
     • isteğe bağlı. Olay kimliği tarafından otomatik olarak doldurulur. Başkalarını ekleyebilirsiniz.

   • Ad

     • Göstergenin adı. Bu ad, gösterge listenizde görünen addır.
     • isteğe bağlı. Olay adıyla otomatik olarak doldurulur.

   • Oluşturan

     • Göstergeyi oluşturan.
     • isteğe bağlı. Microsoft Sentinel'de oturum açan kullanıcı tarafından otomatik olarak doldurulur.

   Kalan alanları uygun şekilde doldurun.

   • Tehdit türleri

     • Göstergeyle temsil edilen tehdit türü.
     • isteğe bağlı. Serbest metin.

   • Açıklama

     • Göstergenin açıklaması.
     • isteğe bağlı. Serbest metin.

   • Iptal

     • Göstergenin durumu iptal edilmiş. Göstergeyi iptal etmek için onay kutusunu seçin. Etkin hale getirmek için onay kutusunu temizleyin.
     • isteğe bağlı. Boole.

   • Güven

     • Verilerin doğruluğundaki güveni yüzdeye göre yansıtan puan.
     • isteğe bağlı. Tamsayı, 1-100.

   • Zincirleri sonlandırma

     • Göstergenin karşılık gelen Lockheed Martin Siber Sonlandırma Zincirindeki aşamalar.
     • isteğe bağlı. Serbest metin.

   • Geçerli kaynak

     • Bu göstergenin geçerli kabul edildiği saat.
     • Gerekli. Tarih/saat.

   • Geçerlilik tarihi:

     • Bu göstergenin artık geçerli olarak kabul edilmemesi gereken saat.
     • isteğe bağlı. Tarih/saat.

   

2. Tüm alanlar sizin memnuniyetiniz için doldurulduğunda Uygula'yı seçin. Göstergenizin oluşturulduğunu onaylamak için sağ üst köşede bir ileti görüntülenir.

3. Varlık, çalışma alanınıza bir tehdit göstergesi olarak eklenir. Bunu Tehdit bilgileri sayfasındaki göstergeler listesinde bulabilirsiniz. Günlükler'deki ThreatIntelligenceIndicators tablosunda da bulabilirsiniz.

İlgili içerik

Bu makalede tehdit göstergesi listelerinize varlık eklemeyi öğrendiniz. Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

• Microsoft Sentinel ile olayları araştırma
• Microsoft Sentinel'de tehdit bilgilerini anlama
• Microsoft Sentinel'de tehdit göstergeleriyle çalışma