Microsoft Sentinel'de varlıklar
Uyarılar Microsoft Sentinel'e gönderildiğinde veya Microsoft Sentinel tarafından oluşturulduğunda, Sentinel'in tanıyabileceği ve kategorilere varlık olarak sınıflandırabileceği veri öğeleri içerir. Microsoft Sentinel belirli bir veri öğesinin ne tür bir varlığı temsil ettiğini anladığında, bu öğe hakkında sorulabilecek doğru soruları bilir ve daha sonra bu öğe hakkındaki içgörüleri tüm veri kaynakları genelinde karşılaştırabilir ve analiz, araştırma, düzeltme, tehdit avcılığı vb. tüm Sentinel deneyimi boyunca bu öğeyi kolayca izleyebilir ve buna başvurabilir. Varlıklara örnek olarak kullanıcı hesapları, konaklar, posta kutuları, IP adresleri, dosyalar, bulut uygulamaları, işlemler ve URL'ler verilebilir.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Microsoft Defender portalındaki birleşik güvenlik operasyonları platformunda varlıklar genellikle iki ana kategoriye ayrılır:
Varlık kategorisi | Karakterizasyon | Ana örnekler |
---|---|---|
Varlıklar | ||
Diğer varlıklar (kanıt) |
Varlık tanımlayıcıları
Microsoft Sentinel çok çeşitli varlık türlerini destekler. Her türün, varlık şemasında alanlar olarak temsil edilen ve tanımlayıcı olarak adlandırılan kendi benzersiz öznitelikleri vardır. Aşağıdaki desteklenen varlıkların tam listesine ve Microsoft Sentinel varlık türleri başvurusundaki varlık şemaları ve identifers kümesinin tamamına bakın.
Güçlü ve zayıf tanımlayıcılar
Her varlık türü için, söz konusu varlığın belirli örneklerini tanımlayabilen alanlar veya alan kümeleri vardır. Bu alanlar veya alan kümeleri, herhangi bir belirsizlik olmadan bir varlığı benzersiz olarak tanımlayabiliyorsa güçlü tanımlayıcılar olarak veya bazı durumlarda bir varlığı tanımlayabiliyorsa zayıf tanımlayıcılar olarak ifade edilebilir, ancak her durumda varlığı benzersiz olarak tanımlayacakları garanti edilmemektedir. Ancak çoğu durumda, güçlü bir tanımlayıcı oluşturmak için zayıf tanımlayıcılardan oluşan bir seçim birleştirilebilir.
Örneğin, kullanıcı hesapları birden çok şekilde hesap varlıkları olarak tanımlanabilir: Microsoft Entra hesabının sayısal tanımlayıcısı (GUID alanı) veya Kullanıcı Asıl Adı (UPN) değeri gibi tek bir güçlü tanımlayıcı kullanılarak veya alternatif olarak, Ad ve NTDomain alanları gibi zayıf tanımlayıcıların bir bileşimi kullanılarak. Farklı veri kaynakları aynı kullanıcıyı farklı şekillerde tanımlayabilir. Microsoft Sentinel, tanımlayıcılarına göre aynı varlık olarak tanıyabileceği iki varlıkla karşılaştığında, düzgün ve tutarlı bir şekilde işlenebilmesi için iki varlığı tek bir varlıkta birleştirir.
Bununla birlikte, kaynak sağlayıcılarınızdan biri varlığın yeterince tanımlanmadığı bir uyarı oluşturursa (örneğin, etki alanı adı bağlamı olmayan bir kullanıcı adı gibi tek bir zayıf tanımlayıcı kullanarak) kullanıcı varlığı aynı kullanıcı hesabının diğer örnekleriyle birleştirilemez. Bu diğer örnekler ayrı bir varlık olarak tanımlanır ve bu iki varlık birleştirilmiş yerine ayrı kalır.
Bunun gerçekleşme riskini en aza indirmek için, tüm uyarı sağlayıcılarınızın ürettikleri uyarılardaki varlıkları düzgün bir şekilde tanımladığını doğrulamanız gerekir. Ayrıca, kullanıcı hesabı varlıklarını Microsoft Entra ID ile eşitlemek, kullanıcı hesabı varlıklarını birleştirebilecek birleştirici bir dizin oluşturabilir.
Desteklenen varlıklar
Şu anda Microsoft Sentinel'de aşağıdaki varlık türleri tanımlanmaktadır:
- Firma
- ANABİLGİSAYAR
- IP adresi
- URL
- Azure kaynağı
- Bulut uygulaması
- DNS çözümlemesi
- Dosya
- Dosya karması
- Kötü amaçlı yazılım
- İşlem
- Kayıt defteri anahtarı
- Kayıt defteri değeri
- Güvenlik grubu
- Posta Kutusu
- Posta kümesi
- Posta iletisi
- Gönderim e-postası
Bu varlıkların tanımlayıcılarını ve diğer ilgili bilgileri varlıklar başvurusunda görüntüleyebilirsiniz.
Varlık eşleme
Microsoft Sentinel bir uyarıdaki bir veri parçasını varlığı tanımlamak olarak nasıl tanır?
Şimdi Microsoft Sentinel'de veri işlemenin nasıl yapıldığına bakalım. Veriler, hizmetten hizmete, aracı tabanlı veya API tabanlı olsun bağlayıcılar aracılığıyla çeşitli kaynaklardan alınmaktadır. Veriler Log Analytics çalışma alanınızdaki tablolarda depolanır. Bu tablolar, tanımladığınız ve etkinleştirdiğiniz zamanlanmış veya gerçek zamanlıya yakın analiz kuralları veya tehditleri avladığınızda avlanma sorgularının bir parçası olarak isteğe bağlı olarak düzenli aralıklarla sorgulanır. Bu analiz kurallarının ve tehdit avcılığı sorgularının tanımının bir parçası, tablolardaki veri alanlarının Microsoft Sentinel tarafından tanınan varlık türleriyle eşlenmiş olmasıdır. Tanımladığınız eşlemelere göre, Microsoft Sentinel sorgunuz tarafından döndürülen sonuçlardan alanlar alır, bunları her varlık türü için belirttiğiniz tanımlayıcılarla tanır ve bu tanımlayıcılar tarafından tanımlanan varlık türüne uygular.
Tüm bunların amacı ne?
Microsoft Sentinel farklı veri kaynağı türlerinden gelen uyarılardaki varlıkları tanımlayabildiğinde ve özellikle her veri kaynağında veya başka bir şemada ortak olan güçlü tanımlayıcıları kullanarak bunu yapabiliyorsa, bu uyarıların ve veri kaynaklarının tümü arasında kolayca bağıntı kurabilir. Bu bağıntılar varlıklar hakkında zengin bir bilgi ve içgörü deposu oluşturmaya yardımcı olur ve güvenlik tehditlerini araştırmak ve yanıtlamak için sağlam bir temel ve bağlam sağlar.
Veri alanlarını varlıklarla eşlemeyi öğrenin.
Bir varlığı hangi tanımlayıcıların güçlü bir şekilde tanımlayacağınızı öğrenin.
Varlık sayfaları
Varlık sayfaları hakkındaki bilgileri artık Microsoft Sentinel'deki Varlık sayfalarında bulabilirsiniz.
Sonraki adımlar
Bu belgede, Microsoft Sentinel'deki varlıklarla çalışmayı öğrendiniz. Uygulama hakkında pratik rehberlik ve elde ettiğiniz içgörüleri kullanmak için aşağıdaki makalelere bakın: