Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bir olay araştırmasında bir kullanıcı hesabı, ana bilgisayar adı, IP adresi veya Azure kaynağıyla karşı karşıya geldiğinizde, bu konuda daha fazla bilgi edinmek istediğinize karar vekleyebilirsiniz. Örneğin etkinlik geçmişini, diğer uyarılarda veya olaylarda görünerek görünmediğini, beklenmeyen veya karakter dışı bir işlem yapılıp yapılmadığını vb. bilmek isteyebilirsiniz. Kısacası, bu varlıkların ne tür bir tehdidi temsil ettiğini belirlemenize yardımcı olabilecek bilgiler istiyorsunuz ve buna göre araştırmanıza yol gösteriyorsunuz.
Bu makalede, Azure portal Microsoft Sentinel varlık sayfaları açıklanmaktadır. Defender portalındaki varlık sayfaları hakkında bilgi için bkz:
- Microsoft Defender'deki kullanıcı varlığı sayfası
- Microsoft Defender'de cihaz varlığı sayfası
- Microsoft Defender'da IP adresi varlık sayfası
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
Varlık sayfaları
Bu gibi durumlarda varlığı seçebilirsiniz (tıklanabilir bağlantı olarak görünür) ve varlıkla ilgili yararlı bilgilerle dolu bir veri sayfası olan varlık sayfasına yönlendirilirsiniz. Ayrıca, Microsoft Sentinel varlık davranışı sayfasında doğrudan varlıkları arayarak bir varlık sayfasına da ulaşabilirsiniz. Varlık sayfalarında bulacağınız bilgi türleri arasında varlıkla ilgili temel bilgiler, bu varlıkla ilgili önemli olayların zaman çizelgesi ve varlığın davranışıyla ilgili içgörüler bulunur.
Daha belirgin olarak, varlık sayfaları üç bölümden oluşur:
Sol taraftaki panelde Microsoft Entra ID, Azure İzleyici, Azure Etkinliği, Azure Resource Manager, Bulut için Microsoft Defender, CEF/Syslog ve Microsoft Defender XDR (tüm bileşenleriyle).
Orta panelde, varlıkla ilgili uyarılar, yer işaretleri, anomaliler ve etkinlikler gibi önemli olayların grafiksel ve metinsel zaman çizelgesi gösterilir. Etkinlikler, Log Analytics'ten önemli olayların toplamalarıdır. Bu etkinlikleri algılayan sorgular Microsoft güvenlik araştırma ekipleri tarafından geliştirilmiştir ve artık seçtiğiniz etkinlikleri algılamak için kendi özel sorgularınızı ekleyebilirsiniz .
Sağ taraftaki panel varlıkla ilgili davranışsal içgörüler sunar. Bu içgörüler Microsoft güvenlik araştırma ekipleri tarafından sürekli olarak geliştirilir. Çeşitli veri kaynaklarını temel alır ve varlık ve gözlemlenen etkinlikleri için bağlam sağlayarak anormal davranışları ve güvenlik tehditlerini hızla belirlemenize yardımcı olur.
Yeni araştırma deneyimini kullanarak bir olayı araştırıyorsanız, olay ayrıntıları sayfasının hemen içinde varlık sayfasının panelize bir sürümünü görebilirsiniz. Belirli bir olaydaki tüm varlıkların bir listesine sahipsiniz ve bir varlığı seçtiğinizde, olaydaki uyarılarla ilgili belirli bir zaman dilimi içinde yukarıda açıklanan tüm bilgileri gösteren üç "kart" (Bilgi, Zaman Çizelgesi ve İçgörüler) içeren bir yan panel açılır.
Defender portalında Microsoft Sentinel kullanıyorsanız zaman çizelgesi ve içgörü panelleri Defender varlık sayfasının Sentinel olayları sekmesinde görünür.
Zaman çizelgesi
Zaman çizelgesi, varlık sayfasının Microsoft Sentinel davranış analizine katkısının önemli bir parçasıdır. Varlıkla ilgili olaylar hakkında bir hikaye sunarak varlığın belirli bir zaman dilimi içindeki etkinliğini anlamanıza yardımcı olur.
Önceden ayarlanmış çeşitli seçenekler arasından (örneğin, son 24 saat) zaman aralığını seçebilir veya özel tanımlı herhangi bir zaman dilimine ayarlayabilirsiniz. Ayrıca, zaman çizelgesindeki bilgileri belirli olay veya uyarı türleriyle sınırlayan filtreler ayarlayabilirsiniz.
Aşağıdaki öğe türleri zaman çizelgesine dahil edilir.
Uyarılar: Varlığın eşlenmiş varlık olarak tanımlandığı tüm uyarılar. Kuruluşunuz analiz kurallarını kullanarak özel uyarılar oluşturduysa kuralların varlık eşlemesinin düzgün yapıldığından emin olmanız gerektiğini unutmayın.
Yer işaretleri: Sayfada gösterilen belirli varlığı içeren tüm yer işaretleri.
Anomaliler: Çeşitli veri girişlerinde ve kendi geçmiş etkinliklerine, eşlerinin ve kuruluşun bütün olarak sahip olduğu etkinliklere karşı her varlık için oluşturulan dinamik temelleri temel alan UEBA algılamaları.
Etkinlikler: Varlıkla ilgili önemli olayların toplanması. Çok çeşitli etkinlikler otomatik olarak toplanır ve artık kendi seçtiğiniz etkinlikleri ekleyerek bu bölümü özelleştirebilirsiniz .
Varlık içgörüleri
Varlık içgörüleri, analistlerinizin daha verimli ve etkili bir şekilde araştırmalarına yardımcı olmak için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır. İçgörüler varlık sayfasının bir parçası olarak sunulur ve konaklar ve kullanıcılar hakkında tablosal veriler ve grafikler biçiminde değerli güvenlik bilgileri sağlar. Buradaki bilgilere sahip olmak, Log Analytics'e gitmek zorunda olmadığınız anlamına gelir. İçgörüler oturum açma işlemleri, grup eklemeleri, anormal olaylar ve daha fazlası ile ilgili verileri içerir ve anormal davranışları algılamak için gelişmiş ML algoritmaları içerir.
İçgörüler aşağıdaki veri kaynaklarını temel alır:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (UEBA Microsoft Sentinel)
- Sinyal (Azure İzleyici Aracısı)
- CommonSecurityLog (Microsoft Sentinel)
Genel olarak, varlık sayfasında görüntülenen her varlık içgörüsüne, içgörüye bağlı sorgunun görüntülendiği bir sayfaya ve sonuçları daha ayrıntılı inceleyebilmenize yönelik bir bağlantı eşlik eder.
- Azure portal Microsoft Sentinel bağlantı sizi Günlükler sayfasına götürür.
- Microsoft Defender portalında bağlantı sizi Gelişmiş avcılık sayfasına götürür.
Varlık sayfalarını kullanma
Varlık sayfaları birden çok kullanım senaryosunun parçası olacak şekilde tasarlanmıştır ve olay yönetimi, araştırma grafı, yer işaretlerinden veya Microsoft Sentinel ana menüsünde varlık davranışı altındaki varlık arama sayfasından erişilebilir.
Varlık sayfası bilgileri, Microsoft Sentinel UEBA başvurusunda ayrıntılı olarak açıklanan BehaviorAnalytics tablosunda depolanır.
Desteklenen varlık sayfaları
Microsoft Sentinel şu anda aşağıdaki varlık sayfalarını sunmaktadır:
Kullanıcı hesabı
Ana Bilgisayar
IP adresi (Önizleme)
Not
IP adresi varlık sayfası (önizleme aşamasındadır) Microsoft Tehdit Bilgileri hizmeti tarafından sağlanan coğrafi konum verilerini içerir. Bu hizmet, Microsoft çözümlerinden ve üçüncü taraf satıcılardan ve iş ortaklarından coğrafi konum verilerini birleştirir. Veriler daha sonra bir güvenlik olayı bağlamında analiz ve araştırma için kullanılabilir. Daha fazla bilgi için bkz. REST API aracılığıyla coğrafi konum verileriyle Microsoft Sentinel varlıklarını zenginleştirme (Genel önizleme).
Azure kaynağı (Önizleme)
IoT cihazı (Önizleme)— şimdilik yalnızca Azure portal Microsoft Sentinel.
Sonraki adımlar
Bu belgede varlık sayfalarını kullanarak Microsoft Sentinel varlıklar hakkında bilgi edinme hakkında bilgi edindiyseniz. Varlıklar ve bunları nasıl kullanabileceğiniz hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Microsoft Sentinel'deki varlıklar hakkında bilgi edinin.
- Varlık sayfası zaman çizelgelerindeki etkinlikleri özelleştirin.
- Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizi (UEBA) ile gelişmiş tehditleri belirleme
- Microsoft Sentinel varlık davranışı analizini etkinleştirin.
- Güvenlik tehditlerini avla.