Microsoft Sentinel geçişinizi çalışma kitabıyla izleme

Kuruluşunuzun güvenlik operasyonları merkezi (SOC) artan miktarda veriyi işlediğinden, dağıtım durumunuzu planlamak ve izlemek çok önemlidir. Microsoft Project, Microsoft Excel, Microsoft Teams veya Azure DevOps gibi genel araçları kullanarak geçiş işleminizi izleyebilirsiniz ancak bu araçlar güvenlik bilgilerine ve olay yönetimine (SIEM) özgü değildir. İzlemenize yardımcı olmak için Microsoft Sentinel'de Microsoft Sentinel Dağıtımı ve Geçişi adlı ayrılmış bir çalışma kitabı sağlıyoruz.

Çalışma kitabı şunları oluşturmanıza yardımcı olur:

• Geçiş ilerleme durumunu görselleştirme
• Veri kaynaklarını dağıtma ve izleme
• Analiz kurallarını ve olaylarını dağıtma ve izleme
• Çalışma kitaplarını dağıtma ve kullanma
• Otomasyon dağıtma ve gerçekleştirme
• Kullanıcı ve varlık davranış analizini (U E B A) dağıtma ve özelleştirme

Bu makalede Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabıyla geçişinizi izleme, çalışma kitabını özelleştirme ve yönetme ve veri bağlayıcıları, analizler, olaylar, playbook'lar, otomasyon kuralları, U E B A ve veri yönetimi için çalışma kitabı sekmelerinin nasıl kullanılacağı açıklanır. Microsoft Sentinel'de Azure İzleyici çalışma kitaplarını kullanma hakkında daha fazla bilgi edinin.

Çalışma kitabı içeriğini dağıtma ve çalışma kitabını görüntüleme

Çalışma kitabını almak için önce Microsoft Sentinel'deki İçerik hub'ından tek başına öğeyi yükleyin.

1. Microsoft Sentinel İçerik hub'ında, içeriği İçerik türü = Çalışma Kitapları olarak filtreleyin ve arama çubuğuna geçiş girin.

2. Arama sonuçlarından Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabını ve ardından Yükle'yi seçin. Microsoft Sentinel çalışma kitabını dağıtır ve çalışma kitabını ortamınıza kaydeder.

3. Microsoft Sentinel'de, Tehdit yönetimi'nin altında Çalışma Kitapları Şablonları'nı> seçin.

4. Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabını ve Görünüm şablonunu seçin.

İzleme listesini dağıtma

Sonraki adım, Microsoft Sentinel GitHub deposundan ilgili izleme listesini dağıtmaktır.

1. Microsoft Sentinel GitHub deposundaDeploymentandMigration klasörünü seçin ve Azure'da şablon dağıtımına başlamak için Azure'a Dağıt'ı seçin.
2. Microsoft Sentinel kaynak grubu ve çalışma alanı adını belirtin.
3. Gözden geçir ve oluştur'u seçin.
4. Bilgiler doğrulandıktan sonra Oluştur'u seçin.

İzleme listesini dağıtım ve geçiş eylemleriyle güncelleştirme

Bu adım izleme kurulum işlemi için çok önemlidir. Bu adımı atlarsanız, çalışma kitabı izleme öğelerini yansıtmaz.

İzleme listesini dağıtım ve geçiş eylemleriyle güncelleştirmek için:

1. Azure veya Microsoft Defender portalında Microsoft Sentinel'i ve ardından İzleme Listesi'ni seçin.
2. Dağıtım diğer adıyla izleme listesini seçin.
3. Ardından İzleme listesini düzenle izleme listesi > öğelerini güncelleştir'i seçin.
4. Dağıtım ve geçiş için gereken eylemlerin bilgilerini sağlayın.
5. Kaydet'i seçin.

Artık geçiş izleyicisi çalışma kitabındaki izleme listesini görüntüleyebilirsiniz. İzleme listelerini yönetmeyi öğrenin.

Ayrıca, ekibiniz dağıtım işlemi sırasında görevleri güncelleştirebilir veya tamamlayabilir. Bu değişiklikleri gidermek için, yeni kullanım örneklerini tanımlarken veya yeni gereksinimler ayarlarken mevcut eylemleri güncelleştirin veya yeni eylemler ekleyin. Eylemleri güncelleştirmek veya eklemek için dağıttığınız Dağıtım izleme listesini düzenleyin. İşlemi basitleştirmek için çalışma kitabında Dağıtım İzleme Listesini Düzenle'yi seçerek izleme listesini doğrudan çalışma kitabından açın.

Dağıtım durumunu görme

Dağıtım ilerleme durumunu hızla görüntülemek için Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabında Dağıtım'ı seçin ve ilerleme özeti'ni bulmak için aşağı kaydırın. Bu alanda, aşağıdaki bilgiler de dahil olmak üzere dağıtım durumu görüntülenir:

• Verileri raporlama tabloları
• Verileri bildiren tablo sayısı
• Bildirilen günlük sayısı ve günlük verilerini raporlayan tablolar
• Etkin kuralların sayısı ve dağıtılmamış kurallar karşılaştırması
• Dağıtılan önerilen çalışma kitapları
• Dağıtılan toplam çalışma kitabı sayısı
• Dağıtılan toplam playbook sayısı

Veri bağlayıcılarını dağıtma ve izleme

Dağıtılan kaynakları izlemek ve yeni bağlayıcıları dağıtmak için Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabında Veri Bağlayıcıları > İzleyicisi'ni seçin. İzleyici görünümünde listeler:

• Geçerli alım eğilimleri
• Veri alınan tablolar
• Her tablonun raporlaması için ne kadar veri olduğu
• Azure İzleyici Aracısı (AMA) ile raporlama uç noktaları
• Kaynak grubundaki veri toplama kuralları ve kurallara bağlı cihazlar
• Veri bağlayıcısı sistem durumu (değişiklikler ve hatalar)
• Belirtilen zaman aralığındaki sistem durumu günlükleri

Veri bağlayıcısını yapılandırmak için:

1. Yapılandır görünümünü seçin.
2. Yapılandırmak istediğiniz bağlayıcının adını içeren düğmeyi seçin.
3. Açılan bağlayıcı durum ekranında bağlayıcıyı yapılandırın. İhtiyacınız olan bağlayıcıyı bulamıyorsanız bağlayıcının adını seçerek bağlayıcı galerisini veya çözüm galerisini açın.

Analiz ve olayları dağıtma ve izleme

Veriler çalışma alanında raporlandığında analiz kurallarını yapılandırın ve izleyin. Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabında, dağıtılan tüm kural şablonlarını ve listelerini görüntülemek için Analiz sekmesini seçin. Bu görünüm, şu anda kullanımda olan kuralları ve kuralların olay oluşturma sıklıklarını gösterir.

Daha fazla kapsama ihtiyacınız varsa soldaki tablonun altındaki MITRE kapsamını gözden geçir'i seçin. Geçiş projesinin herhangi bir aşamasında hangi alanların daha fazla kapsam alacağını ve hangi kuralların dağıtılacağını tanımlamak için bu seçeneği kullanın.

Analiz kurallarını dağıttığınızda ve Defender ürün bağlayıcısı uyarıları gönderecek şekilde yapılandırıldığında, Dağıtım > İlerlemenin Özeti altında olay oluşturma ve sıklığını izlemek. Bu alan, SOC'nin durumunu ve en çok dikkat gerektiren uyarıları belirtmek için ürün, başlık ve sınıflandırmaya göre uyarı oluşturmayla ilgili ölçümleri görüntüler. Uyarılar çok fazla birim oluşturuyorsa, mantığı değiştirmek için Analiz sekmesine dönün.

Çalışma kitaplarını dağıtma ve kullanma

Microsoft Sentinel'in gerçekleştirdiği veri alımı ve algılamalarıyla ilgili bilgileri görselleştirmek için , Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabında Çalışma Kitapları'nı seçin. Veri Bağlayıcıları sekmesine benzer şekilde, izleme ve yapılandırma bilgilerini görüntülemek için İzleyici ve Yapılandırma görünümlerini kullanın.

Çalışma Kitapları sekmesinde yapılacak bazı yararlı görevler şunlardır:

• Ortamdaki tüm çalışma kitaplarının listesini ve kaç çalışma kitabının dağıtıldığını görmek için İzle'yi seçin.

• Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabı içinde belirli bir çalışma kitabını görüntülemek için bir çalışma kitabı seçin ve ardından Seçili Çalışma Kitabını Aç'ı seçin.

  

• Çalışma kitaplarını henüz dağıtmıyorsanız, sık kullanılan ve önerilen çalışma kitaplarının listesini görüntülemek için Yapılandır'ı seçin. Çalışma kitabı listelenmiyorsa, ilgili çalışma kitabını dağıtmak için Çalışma Kitabı Galerisine Git'i veya İçerik Hub'ına Git'i seçin.

  

Playbook'ları ve otomasyon kurallarını dağıtma ve izleme

Veri alımını, algılamaları ve görselleştirmeleri yapılandırdığınızda artık otomasyona bakabilirsiniz. Dağıtılan playbook'ları görüntülemek ve şu anda bir otomasyon kuralına bağlı olan playbook'ları görmek için Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabında Otomasyon'u seçin. Otomasyon kuralları varsa, çalışma kitabı her kuralla ilgili olarak aşağıdaki bilgileri vurgular:

• Veri Akışı Adı
• Durum
• Kuralın eylemleri veya eylemleri
• Kuralın değiştirildiği son tarih ve kuralı değiştiren kullanıcı
• Kuralın oluşturulduğu tarih

Çalışma kitabının geçerli bölümünde otomasyonu görüntülemek, dağıtmak ve test etmek için sol alttaki Otomasyon kaynaklarını dağıt'ı seçin.

Microsoft Sentinel SOAR özellikleri hakkında playbook'lar ve otomasyon kuralları için bilgi edinin.

U E B A'yi dağıtma ve izleme

Veri raporlama ve algılamalar varlık düzeyinde gerçekleştiğinden varlık davranışını ve eğilimlerini izlemek çok önemlidir. Microsoft Sentinel'de U E B A özelliğini etkinleştirmek için , Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabında UEBA'yı seçin. Burada varlık sayfaları için varlık zaman çizelgelerini özelleştirebilir ve hangi varlıkla ilgili tabloların verilerle doldurulmuş olduğunu görüntüleyebilirsiniz.

U E B A'yı etkinleştirmek için:

1. Tablo listesinin üzerinde UEBA'yı Etkinleştir'i seçin.
2. U E B A'yı etkinleştirmek için Açık'ı seçin.
3. İçgörü oluşturmak için kullanmak istediğiniz veri kaynaklarını seçin.
4. Uygula'yı seçin.

U E B A'yı etkinleştirdikten sonra Microsoft Sentinel'in U E B A verileri oluşturup oluşturmadığından emin olun.

Zaman çizelgesini özelleştirmek için:

1. Tablo listesinin üstündeki Varlık Zaman Çizelgesini Özelleştir'i seçin.
2. Özel bir öğe oluşturun veya kullanıma hazır şablonlardan birini seçin.
3. Şablonu dağıtmak ve sihirbazı tamamlamak için Oluştur'u seçin.

U E B A hakkında daha fazla bilgi edinin veya zaman çizelgesini özelleştirmeyi öğrenin.

Veri yaşam döngüsünü yapılandırma ve yönetme

Microsoft Sentinel'i dağıtırken veya microsoft sentinel'e geçirirken, gelen günlüklerin kullanımını ve yaşam döngüsünü yönetmek önemlidir. Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabında Veri Yönetimi'ni seçerek tablo saklamayı ve arşivlemeyi görüntüleyin ve yapılandırın.

Şu bilgilerle ilgili bilgileri görüntüleyin:

• Temel günlük alımı için yapılandırılmış tablolar
• Analiz katmanı alımı için yapılandırılmış tablolar
• Arşivlenecek şekilde yapılandırılmış tablolar
• Varsayılan çalışma alanı saklamadaki tablolar

Tablolar için mevcut bekletme ilkesini değiştirmek için:

1. Varsayılan Bekletme Tabloları görünümünü seçin.
2. Değiştirmek istediğiniz tabloyu seçin ve Veri Saklama Süresini Güncelle seçin. Aşağıdaki bilgileri gerektiği gibi düzenleyin:
   • Çalışma alanında geçerli saklama
   • Arşivdeki geçerli saklama
   • Verilerin ortamda yaşadığı toplam gün sayısı
3. Verilerin ortamda bulunması gereken yeni bir toplam gün sayısını ayarlamak için TotalRetention değerini düzenleyin.

ArchiveRetention değeri, TotalRetention değeri InteractiveRetention değerinden çıkarılarak hesaplanır. Çalışma alanı saklamayı ayarlamanız gerekiyorsa, değişiklik yapılandırılmış arşivleri içeren tabloları etkilemez ve veriler kaybolmaz. InteractiveRetention değerini düzenlerseniz ve TotalRetention değeri değişmezse, Azure Log Analytics değişikliği telafi etmek için arşiv saklamayı ayarlar.

Kullanıcı arabiriminde değişiklik yapmayı tercih ediyorsanız ilgili sayfayı açmak için Kullanıcı Arabiriminde Saklamayı Güncelleştir'i seçin.

Veri yaşam döngüsü yönetimi hakkında bilgi edinin.

Geçiş ipuçlarını ve yönergelerini etkinleştirme

Dağıtım ve geçiş işlemine yardımcı olmak için çalışma kitabı, farklı sekmelerin nasıl kullanılacağını açıklayan ipuçları ve ilgili kaynaklara bağlantılar içerir. İpuçları Microsoft Sentinel geçiş belgelerine dayanır ve geçerli SIEM'inizle ilgilidir. İpuçlarını ve yönergeleri etkinleştirmek için , Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabında, sağ üstteki Geçiş İpuçları ve Yönerge'yiEvet olarak ayarlayın.

Sonraki adımlar

Bu makalede, Microsoft Sentinel Dağıtım ve Geçiş çalışma kitabıyla geçişinizi izlemeyi öğrendiniz.

• ArcSight algılama kurallarını taşıma
• Splunk algılama kurallarını taşıma
• QRadar tespit kurallarını aktarma