Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Uyarılar Microsoft Sentinel tarafından gönderildiğinde veya oluşturulduğunda, Sentinel tanıyabilen ve kategorilere varlık olarak sınıflandırabilen veri öğeleri içerir. Microsoft Sentinel belirli bir veri öğesinin ne tür bir varlığı temsil ettiğini anladığında, bu öğe hakkında sormak istediğiniz doğru soruları bilir ve ardından bu öğe hakkındaki içgörüleri tüm veri kaynakları aralığında karşılaştırabilir ve analiz, araştırma, düzeltme, avcılık vb. tüm Sentinel deneyimi boyunca kolayca izleyebilir ve buna başvurabilir. Varlıklara örnek olarak kullanıcı hesapları, konaklar, posta kutuları, IP adresleri, dosyalar, bulut uygulamaları, işlemler ve URL'ler verilebilir.
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
Microsoft Defender portalında varlıklar genellikle iki ana kategoriye ayrılır:
| Varlık kategorisi | Karakterizasyonu | Ana örnekler |
|---|---|---|
| Varlık | ||
| Diğer varlıklar (kanıt) |
Varlık tanımlayıcıları
Microsoft Sentinel çok çeşitli varlık türlerini destekler. Her türün, varlık şemasında alanlar olarak temsil edilen ve tanımlayıcı olarak adlandırılan kendi benzersiz öznitelikleri vardır. Aşağıdaki desteklenen varlıkların tam listesine ve Microsoft Sentinel varlık türleri başvurusundaki varlık şemaları ve tanımlayıcılarının tam kümesine bakın.
Güçlü ve zayıf tanımlayıcılar
Her varlık türü için, söz konusu varlığın belirli örneklerini tanımlayabilen alanlar veya alan kümeleri vardır. Bu alanlar veya alan kümeleri, herhangi bir belirsizlik olmadan bir varlığı benzersiz olarak tanımlayabiliyorsa güçlü tanımlayıcılar olarak veya bazı durumlarda bir varlığı tanımlayabiliyorlarsa zayıf tanımlayıcılar olarak ifade edilebilir, ancak her durumda varlığı benzersiz olarak tanımlayacakları garanti edilmemektedir. Ancak çoğu durumda, güçlü bir tanımlayıcı oluşturmak için zayıf tanımlayıcılardan oluşan bir seçim birleştirilebilir.
Örneğin, kullanıcı hesapları birden çok şekilde hesap varlıkları olarak tanımlanabilir: Microsoft Entra hesabının sayısal tanımlayıcısı (GUID alanı) veya Kullanıcı Asıl Adı (UPN) değeri gibi tek bir tanımlayıcı kullanarak veya alternatif olarak, Name ve NTDomain alanları gibi zayıf tanımlayıcıların birleşimini kullanarak. Farklı veri kaynakları aynı kullanıcıyı farklı yollarla tanımlayabilir. Microsoft Sentinel, tanımlayıcılarına göre aynı varlık olarak tanıyabileceği iki varlıkla karşılaştığında, düzgün ve tutarlı bir şekilde işlenebilmesi için iki varlığı tek bir varlıkta birleştirir.
Bununla birlikte, kaynak sağlayıcılarınızdan biri varlığın yeterince tanımlanmadığı bir uyarı oluşturursa (örneğin, etki alanı adı bağlamı olmayan bir kullanıcı adı gibi tek bir zayıf tanımlayıcı kullanarak) kullanıcı varlığı aynı kullanıcı hesabının diğer örnekleriyle birleştirilemez. Bu diğer örnekler ayrı bir varlık olarak tanımlanır ve bu iki varlık birleştirilmiş yerine ayrı kalır.
Bu riski en aza indirmek için, tüm uyarı sağlayıcılarınızın ürettikleri uyarılardaki varlıkları düzgün bir şekilde tanımladığını doğrulamanız gerekir. Ayrıca, kullanıcı hesabı varlıklarını Microsoft Entra ID ile eşitlemek, kullanıcı hesabı varlıklarını birleştirebilecek birleştirici bir dizin oluşturabilir.
Desteklenen varlıklar
Şu anda Microsoft Sentinel'de aşağıdaki varlık türleri tanımlanmıştır:
- Hesabı
- Ana Bilgisayar
- IP adresi
- URL
- Azure kaynağı
- Bulut uygulaması
- DNS çözümlemesi
- Dosya
- Dosya karması
- Malware
- Işlem
- Kayıt defteri anahtarı
- Kayıt defteri değeri
- Güvenlik grubu
- Posta kutusu
- Posta kümesi
- Posta iletisi
- Posta gönderme
Bu varlıkların tanımlayıcılarını ve diğer ilgili bilgileri varlıklar başvurusunda görüntüleyebilirsiniz.
Varlık eşleme
Microsoft Sentinel bir uyarıdaki bir veri parçasını varlığı tanımlamak olarak nasıl tanır?
Şimdi Microsoft Sentinel'da veri işlemenin nasıl yapıldığına bakalım. Veriler, hizmetten hizmete, aracı tabanlı veya API tabanlı olsun bağlayıcılar aracılığıyla çeşitli kaynaklardan alınmaktadır. Veriler Log Analytics çalışma alanınızdaki tablolarda depolanır. Bu tablolar, tanımladığınız ve etkinleştirdiğiniz zamanlanmış veya gerçek zamanlıya yakın analiz kurallarına göre veya tehdit avlarken avcılık sorgularının bir parçası olarak isteğe bağlı olarak düzenli aralıklarla sorgulanır. Bu analiz kurallarının ve avcılık sorgularının tanımının bir parçası, tablolardaki veri alanlarının Microsoft Sentinel tarafından tanınan varlık türleriyle eşlenmiş olmasıdır. Tanımladığınız eşlemelere göre, Microsoft Sentinel sorgunuz tarafından döndürülen sonuçlardan alanlar alır, bunları her varlık türü için belirttiğiniz tanımlayıcılarla tanır ve bu tanımlayıcılar tarafından tanımlanan varlık türüne uygulanır.
Tüm bunların anlamı ne?
Microsoft Sentinel farklı veri kaynağı türlerinden gelen uyarılardaki varlıkları tanımlayabildiğinde ve özellikle de her veri kaynağında veya başka bir şemada ortak olan güçlü tanımlayıcıları kullanarak bunu yapabiliyorsa, bu uyarıların ve veri kaynaklarının tümü arasında kolayca bağıntı kurabilir. Bu bağıntılar varlıklar üzerinde zengin bir bilgi ve içgörü deposu oluşturmaya yardımcı olur ve güvenlik tehditlerini araştırmak ve yanıtlamak için sağlam bir temel ve bağlam sağlar.
Veri alanlarını varlıklarla eşlemeyi öğrenin.
Hangi tanımlayıcıların bir varlığı güçlü bir şekilde tanımlayacağınızı öğrenin.
Varlık sayfaları
Varlık sayfaları hakkındaki bilgileri artık Microsoft Sentinel'deki Varlık sayfalarında bulabilirsiniz.
Sonraki adımlar
Bu belgede, Microsoft Sentinel varlıklarla çalışma hakkında bilgi edindiyseniz. Uygulama hakkında pratik rehberlik ve elde ettiğiniz içgörüleri kullanmak için aşağıdaki makalelere bakın:
- Microsoft Sentinel varlık davranışı analizini etkinleştirin.
- Güvenlik tehditlerini avla.