Aracılığıyla paylaş


Microsoft Sentinel'de varlık sayfaları

Olay araştırmasında bir kullanıcı hesabı, konak adı, IP adresi veya Azure kaynağıyla karşılaşırsanız, bu konuda daha fazla bilgi edinmek istediğinize karar vekleyebilirsiniz. Örneğin etkinlik geçmişini, diğer uyarılarda mı yoksa olaylarda mı göründüğünü, beklenmeyen veya karakter dışı bir şey yapıp yapmadığını vb. bilmek isteyebilirsiniz. Kısacası, bu varlıkların ne tür bir tehdidi temsil ettiğini belirlemenize yardımcı olabilecek bilgiler istiyorsunuz ve araştırmanızı buna göre yönlendirin.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Varlık sayfaları

Bu gibi durumlarda, varlığı seçebilirsiniz (tıklanabilir bağlantı olarak görünür) ve bu varlıkla ilgili yararlı bilgilerle dolu bir veri sayfası olan varlık sayfasına yönlendirilirsiniz. Microsoft Sentinel varlık davranışı sayfasında varlıkları doğrudan arayarak bir varlık sayfasına da ulaşabilirsiniz. Varlık sayfalarında bulacağınız bilgi türleri varlık hakkındaki temel bilgileri, bu varlıkla ilgili önemli olayların zaman çizelgesini ve varlığın davranışıyla ilgili içgörüleri içerir.

Daha açık belirtmek gerekirse varlık sayfaları üç bölümden oluşur:

  • Sol taraftaki panelDepolama Kimliği, Azure İzleyici, Azure Etkinliği, Azure Resource Manager, Bulut için Microsoft Defender, CEF/Syslog ve Microsoft Defender XDR (tüm bileşenleriyle birlikte) gibi veri kaynaklarından toplanan varlığın tanımlayıcı bilgilerini içerir.

  • Orta panelde, varlıkla ilgili uyarılar, yer işaretleri, anomaliler ve etkinlikler gibi önemli olayların grafiksel ve metinsel zaman çizelgesi gösterilir. Etkinlikler, Log Analytics'ten önemli olayların toplamalarıdır. Bu etkinlikleri algılayan sorgular Microsoft güvenlik araştırma ekipleri tarafından geliştirilmiştir ve artık seçtiğiniz etkinlikleri algılamak için kendi özel sorgularınızı ekleyebilirsiniz.

  • Sağ taraftaki panel, varlıkla ilgili davranışsal içgörüler sunar. Bu içgörüler Microsoft güvenlik araştırma ekipleri tarafından sürekli olarak geliştirilir. Bunlar çeşitli veri kaynaklarını temel alır ve varlık ve gözlemlenen etkinlikleri için bağlam sağlayarak anormal davranışları ve güvenlik tehditlerini hızla belirlemenize yardımcı olur.

    Kasım 2023 itibarıyla yeni nesil içgörüler, zenginleştirme pencere öğeleri biçiminde ÖNİzLEME aşamasında kullanıma sunulmaya başlandı. Bu yeni içgörüler dış kaynaklardan gelen verileri tümleştirebilir ve güncelleştirmeleri gerçek zamanlı olarak alabilir ve mevcut içgörülerle birlikte görülebilir. Bu yeni pencere öğesinden yararlanmak için pencere öğesi deneyimini etkinleştirmeniz gerekir.

Yeni araştırma deneyimini kullanarak bir olayı araştırıyorsanız, olay ayrıntıları sayfasının hemen içinde varlık sayfasının panelli bir sürümünü görebilirsiniz. Belirli bir olaydaki tüm varlıkların bir listesine sahipsiniz ve bir varlığı seçtiğinizde, olaydaki uyarılarla ilgili belirli bir zaman dilimi içinde yukarıda açıklanan tüm bilgileri gösteren üç "kart" (Bilgi, Zaman Çizelgesi ve Analizler) içeren bir yan panel açılır.

Microsoft Defender portalında birleşik güvenlik operasyonları platformunu kullanıyorsanız, zaman çizelgesi ve içgörü panelleri Defender varlık sayfasının Sentinel olayları sekmesinde görünür.

Zaman çizelgesi

Zaman çizelgesi, varlık sayfasının Microsoft Sentinel'deki davranış analizine katkısının önemli bir parçasıdır. Varlıkla ilgili olaylar hakkında bir hikaye sunarak varlığın belirli bir zaman dilimi içindeki etkinliğini anlamanıza yardımcı olur.

Önceden ayarlanmış çeşitli seçenekler arasından zaman aralığını seçebilir (örneğin, son 24 saat) veya özel tanımlı herhangi bir zaman dilimine ayarlayabilirsiniz. Ayrıca, zaman çizelgesindeki bilgileri belirli olay veya uyarı türleriyle sınırlayan filtreler ayarlayabilirsiniz.

Aşağıdaki öğe türleri zaman çizelgesine eklenir.

  • Uyarılar: Varlığın eşlenmiş varlık olarak tanımlandığı tüm uyarılar. Kuruluşunuz analiz kurallarını kullanarak özel uyarılar oluşturduysa kuralların varlık eşlemesinin düzgün yapıldığından emin olmanız gerektiğini unutmayın.

  • Yer işaretleri: Sayfada gösterilen belirli varlığı içeren tüm yer işaretleri.

  • Anomaliler: Çeşitli veri girişlerinde ve kendi geçmiş etkinliklerine, eşlerine ve kuruluşun bütün olarak sahip olduğu etkinliklere karşı her varlık için oluşturulan dinamik taban çizgilerini temel alan UEBA algılamaları.

  • Etkinlikler: Varlıkla ilgili önemli olayların toplanması. Çok çeşitli etkinlikler otomatik olarak toplanır ve artık kendi seçtiğiniz etkinlikleri ekleyerek bu bölümü özelleştirebilirsiniz.

Azure portalındaki varlık sayfasındaki zaman çizelgesi örneğinin ekran görüntüsü.

Varlık içgörüleri

Varlık içgörüleri, analistlerinizin daha verimli ve etkili bir şekilde araştırmalarına yardımcı olmak için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır. İçgörüler varlık sayfasının bir parçası olarak sunulur ve konaklar ve kullanıcılar hakkında tablosal veriler ve grafikler biçiminde değerli güvenlik bilgileri sağlar. Buradaki bilgilere sahip olmak, Log Analytics'e gitmek zorunda olmadığınız anlamına gelir. İçgörüler oturum açma işlemleri, grup eklemeleri, anormal olaylar ve daha fazlası ile ilgili verileri içerir ve anormal davranışları algılamak için gelişmiş ML algoritmaları içerir.

İçgörüler aşağıdaki veri kaynaklarını temel alır:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Sinyal (Azure İzleyici Aracısı)
  • CommonSecurityLog (Microsoft Sentinel)

Genel olarak ifade etmek gerekirse, varlık sayfasında görüntülenen her varlık içgörüsü, sonuçları daha ayrıntılı inceleyebilmeniz için sizi içgörüye temel alınan sorgunun görüntülendiği bir sayfaya götüren bir bağlantıyla birlikte gelir.

  • Azure portalındaki Microsoft Sentinel'de bağlantı sizi Günlükler sayfasına götürür.
  • Microsoft Defender portalındaki birleşik güvenlik operasyonları platformunda bağlantı sizi Gelişmiş tehdit avcılığı sayfasına götürür.

Varlık sayfalarını kullanma

Varlık sayfaları birden çok kullanım senaryosunun parçası olacak şekilde tasarlanmıştır ve olay yönetiminden, araştırma grafından, yer işaretlerinden veya doğrudan Microsoft Sentinel ana menüsünde varlık davranışı altındaki varlık arama sayfasından erişilebilir.

Kullanım örneklerine karşılık gelen varlık sayfalarına erişebileceğiniz alanların diyagramı.

Varlık sayfası bilgileri, Microsoft Sentinel UEBA başvurusunda ayrıntılı olarak açıklanan BehaviorAnalytics tablosunda depolanır.

Desteklenen varlık sayfaları

Microsoft Sentinel şu anda aşağıdaki varlık sayfalarını sunmaktadır:

  • Kullanıcı hesabı

  • Ana Bilgisayar

  • IP adresi (Önizleme)

    Not

    IP adresi varlık sayfası (şimdi önizlemede) Microsoft Threat Intelligence hizmeti tarafından sağlanan coğrafi konum verilerini içerir. Bu hizmet, Microsoft çözümlerinden ve üçüncü taraf satıcılardan ve iş ortaklarından coğrafi konum verilerini birleştirir. Veriler daha sonra bir güvenlik olayı bağlamında analiz ve araştırma için kullanılabilir. Daha fazla bilgi için bkz . Microsoft Sentinel'deki varlıkları REST API aracılığıyla coğrafi konum verileriyle zenginleştirme (Genel önizleme).

  • Azure kaynağı (Önizleme)

  • IoT cihazı (Önizleme)— şimdilik yalnızca Azure portalında Microsoft Sentinel'de.

Sonraki adımlar

Bu belgede, varlık sayfalarını kullanarak Microsoft Sentinel'deki varlıklar hakkında bilgi almayı öğrendiniz. Varlıklar ve bunları nasıl kullanabileceğiniz hakkında daha fazla bilgi için aşağıdaki makalelere bakın: