Microsoft Sentinel ile avlanma sırasında verileri takip etme

  • Şunlara uygulanır: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel'da yer işaretlerini avlamak, ilgili gördüğünüz sorguları ve sorgu sonuçlarını korumanıza yardımcı olur. Ayrıca, bağlamsal gözlemlerinizi kaydedebilir ve notlar ve etiketler ekleyerek bulgularınıza başvurabilirsiniz. Kolayca işbirliği yapmak için yer işareti ekli veriler sizin ve ekip arkadaşlarınızın kullanımına açılır. Daha fazla bilgi için bkz. Yer İşaretleri.

Not

Yer işaretleri yalnızca Azure portal oluşturulabilir. Microsoft Defender portalında yer işaretleri ekleyemezseniz, önceden oluşturulmuş yer işaretlerini görebilirsiniz.

Önemli

31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.

Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.

Yer işareti ekleme (yalnızca Azure portal)

Sorguları, sonuçları, gözlemlerinizi ve bulguları korumak için bir yer işareti oluşturun.

  1. Tehdit yönetimi'nin altında Avcılık'ı seçin.

  2. Sorgular sekmesinde, avlanma sorgularından birini veya daha fazlasını seçin.

  3. Üst komut çubuğunda Seçili sorguları çalıştır'ı seçin.

  4. Sorgu sonuçlarını görüntüle'yi seçin. Örneğin:

    Microsoft Sentinel avcılığındaki sorgu sonuçlarını görüntüleme ekran görüntüsü.

    Bu eylem sorgu sonuçlarını Günlükler bölmesinde açar.

  5. Günlük sorgusu sonuçları listesinden, ilginç bulduğunuz bilgileri içeren bir veya daha fazla satır seçmek için onay kutularını kullanın.

  6. Azure portal yer işareti ekle'yi seçin:

    Sorguya avcılık yer işareti ekleme ekran görüntüsü.

  7. Sağ taraftaki Yer işareti ekle bölmesinde, isteğe bağlı olarak, öğeyle ilgili ilginç olan şeyleri belirlemenize yardımcı olmak için yer işareti adını güncelleştirin, etiketler ve notlar ekleyin.

  8. Yer işaretleri isteğe bağlı olarak MITRE ATT&CK tekniklerine veya alt tekniklerine eşlenebilir. MITRE ATT&CK eşlemeleri, avcılık sorgularındaki eşlenmiş değerlerden devralınır, ancak bunları el ile de oluşturabilirsiniz. Yer işareti ekle bölmesinin Taktikler & Teknikleri bölümündeki açılan menüden istenen teknikle ilişkili MITRE ATT&CK taktiğini seçin. Menü, tüm MITRE ATT&CK tekniklerini gösterecek şekilde genişler ve bu menüden birden çok teknik ve alt teknik seçebilirsiniz.

    Mitre Saldırısı taktiklerini ve tekniklerini yer işaretleriyle eşlemenin ekran görüntüsü.

  9. Artık daha fazla araştırma için yer işaretli sorgu sonuçlarından genişletilmiş bir varlık kümesi ayıklanabilir. Varlık eşleme bölümünde, varlık türlerini ve tanımlayıcıları seçmek için açılan menüleri kullanın. Ardından ilgili tanımlayıcıyı içeren sorgu sonuçlarında sütunu eşleyin. Örneğin:

    Tehdit avcılığı yer işaretleri için varlık türlerini eşleme ekran görüntüsü.

    Araştırma grafiğindeki yer işaretini görüntülemek için en az bir varlığı eşlemeniz gerekir. Oluşturduğunuz hesap, konak, IP ve URL varlık türlerine yapılan varlık eşlemeleri desteklenir ve geriye dönük uyumluluk sağlanır.

  10. Değişikliklerinizi işlemek için Oluştur'u seçin ve yer işaretini ekleyin. Tüm yer işaretli veriler diğer analistlerle paylaşılır ve işbirliğine dayalı bir araştırma deneyimine yönelik ilk adımdır.

Günlük sorgusu sonuçları, bu bölme Microsoft Sentinel açıldığında yer işaretlerini destekler. Örneğin, gezinti çubuğundan Genel>Günlükler'i seçerseniz araştırma grafında olay bağlantılarını seçin veya olayın tüm ayrıntılarından bir uyarı kimliği seçin. Günlükler bölmesi doğrudan Azure İzleyici gibi başka bir konumdan açıldığında yer işaretleri oluşturamazsınız.

Yer işaretlerini görüntüleme ve güncelleştirme

Yer işareti sekmesinden yer işaretini bulun ve güncelleştirin.

  1. Azure portal Microsoft Sentinel için Tehdit yönetimi'ninaltındaTehdit Avcılığı'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Threat management>Hunting'i seçin.

  2. Yer işaretlerinin listesini görüntülemek için Yer İşaretleri sekmesini seçin.

  3. Belirli bir yer işaretini veya yer işaretlerini bulmak için arama yapın veya filtreleyin.

  4. Sağ bölmede yer işareti ayrıntılarını görüntülemek için tek tek yer işaretlerini seçin.

  5. Değişikliklerinizi gerektiği gibi yapın. Değişiklikleriniz otomatik olarak kaydedilir.

Not

Yer işareti sekmesinde en fazla 1.000 yer işareti görüntüleyebilirsiniz. Yer işareti eklediğiniz verilerin geri kalanını günlüklerinizde görüntüleyebilirsiniz. Daha fazla bilgi edinin

Araştırma grafında yer işaretlerini keşfetme

Etkileşimli bir varlık grafiği diyagramı ve zaman çizelgesi kullanarak bulgularınızı görüntüleyebileceğiniz, araştırabileceğiniz ve görsel olarak iletebileceğiniz araştırma deneyimini başlatarak yer işareti eklediğiniz verileri görselleştirin.

  1. Yer İşaretleri sekmesinde araştırmak istediğiniz yer işaretini veya yer işaretlerini seçin.

  2. Yer işareti ayrıntılarında en az bir varlığın eşlendiğinden emin olun.

  3. Araştırma grafiğinde yer işaretini görüntülemek için Araştır'ı seçin.

Araştırma grafiğini kullanma yönergeleri için bkz. Ayrıntılı inceleme için araştırma grafiğini kullanma.

Yeni veya mevcut bir olaya yer işaretleri ekleme (yalnızca Azure portal)

Tehdit Avcılığı sayfasındaki yer işaretleri sekmesinden bir olaya yer işaretleri ekleyin.

  1. Yer İşaretleri sekmesinde, bir olaya eklemek istediğiniz yer işaretini veya yer işaretlerini seçin.

  2. Komut çubuğundan Olay eylemleri'ni seçin:

    Olaya yer işareti ekleme ekran görüntüsü.

  3. Uygun şekilde Yeni olay oluştur'u veya Mevcut olaya ekle'yi seçin. Sonra:

    • Yeni bir olay için: İsteğe bağlı olarak olayın ayrıntılarını güncelleştirin ve oluştur'u seçin.
    • Var olan bir olaya yer işareti eklemek için: Bir olay seçin ve ardından Ekle'yi seçin.

  4. Olay içindeki yer işaretini görüntülemek için

    1. Microsoft Sentinel>Threat yönetim>Olayları'na gidin.
    2. Yer işaretinizle olayı seçin ve Tüm ayrıntıları görüntüle'yi seçin.
    3. Olay sayfasındaki sol bölmede Yer İşaretleri'ni seçin.

Yer işaretli verileri günlüklerde görüntüleme

Yer işaretli sorguları, sonuçları veya bunların geçmişini görüntüleyin.

  1. Tehdit Avcılığı>Yer İşaretleri sekmesinde yer işaretini seçin.

  2. Ayrıntılar bölmesinden aşağıdaki bağlantıları seçin:

    • Kaynak sorguyugünlükler bölmesinde görüntülemek için kaynak sorguyu görüntüleyin.

    • Güncelleştirmeyi kimin yaptığını, güncelleştirilen değerleri ve güncelleştirmenin gerçekleştiği saati içeren tüm yer işareti meta verilerini görmek için yer işareti günlüklerini görüntüleyin.

  3. Tehdit Avcılığı>Yer İşaretleri sekmesindeki komut çubuğunda Yer İşareti Günlükleri'ni seçerek tüm yer işaretlerinin ham yer işareti verilerini görüntüleyin.

    Yer işareti günlükleri komutunun ekran görüntüsü.

Bu görünüm, ilişkili meta verilerle tüm yer işaretlerinizi gösterir. aradığınız yer işaretinin en son sürümüne göre filtrelemek için Kusto Sorgu Dili (KQL) sorgularını kullanabilirsiniz.

Yer işareti oluşturduğunuz zaman ile Yer İşaretleri sekmesinde görüntülenmesi arasında önemli bir gecikme (dakika cinsinden ölçülür) olabilir.

Yer işaretini silme

Yer işaretinin silinmesi, yer işaretini Yer İşareti sekmesindeki listeden kaldırır. Log Analytics çalışma alanınızın HuntingBookmark tablosu önceki yer işareti girişlerini içermeye devam eder, ancak en son girdi SoftDelete değerini true olarak değiştirerek eski yer işaretlerini filtrelemeyi kolaylaştırır. Yer işaretinin silinmesi, diğer yer işaretleri veya uyarılarla ilişkili araştırma deneyiminden hiçbir varlığı kaldırmaz.

Yer işaretini silmek için aşağıdaki adımları tamamlayın.

  1. Tehdit Avcılığı>Yer İşaretleri sekmesinden silmek istediğiniz yer işaretini veya yer işaretlerini seçin.

  2. Sağ tıklayın ve seçilen yer işaretlerini silme seçeneğini belirleyin.

İlgili içerik

Bu makalede, Microsoft Sentinel'deki yer işaretlerini kullanarak bir avcılık araştırması çalıştırmayı öğrendinsiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

  • Last updated on