Microsoft Sentinel nedir?
Microsoft Sentinel, SIEM ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) için akıllı ve kapsamlı bir çözüm sunan ölçeklenebilir, bulutta yerel güvenlik bilgileri ve olay yönetimi (SIEM). Microsoft Sentinel, kuruluşunuz genelinde kuş bakışı bir görünümle siber tehdit algılama, araştırma, yanıt ve proaktif avcılık sağlar.
Microsoft Sentinel ayrıca Log Analytics ve Logic Apps gibi kanıtlanmış Azure hizmetlerini yerel olarak birleştirir ve araştırmanızı ve algılamanızı yapay zeka ile zenginleştirir. Hem Microsoft'un tehdit bilgileri akışını kullanır hem de kendi tehdit bilgilerinizi getirmenizi sağlar.
Giderek daha karmaşık hale gelen saldırıların stresini azaltmak, artan uyarı hacimleri ve uzun çözünürlük süresi çerçeveleri için Microsoft Sentinel'i kullanın. Bu makalede, Microsoft Sentinel'deki temel özellikler vurgulanmaktadır.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Microsoft Sentinel, Azure İzleyici kurcalama yazım denetleme ve değişmezlik uygulamalarını devralır. Azure İzleyici yalnızca ekleme veri platformu olsa da, uyumluluk amacıyla verileri silmeye yönelik hükümler içerir.
Bu hizmet, hizmet sağlayıcılarının müşterilerin temsilci olarak sunduğu abonelikleri ve kaynak gruplarını yönetmek için kendi kiracılarında oturum açmasını sağlayan Azure Lighthouse'ı destekler.
İlk çalıştırma güvenlik içeriğini etkinleştirme
Microsoft Sentinel, verileri alma, izleme, uyarı verme, avlama, araştırma, yanıtlama ve farklı ürün, platform ve hizmetlerle bağlantı kurmanızı sağlayan SIEM çözümlerinde paketlenmiş güvenlik içeriği sağlar.
Daha fazla bilgi için bkz . Microsoft Sentinel içeriği ve çözümleri hakkında.
Büyük ölçekte veri toplama
Hem şirket içinde hem de birden çok bulutta tüm kullanıcılar, cihazlar, uygulamalar ve altyapı genelinde veri toplayın.
Aşağıdaki tabloda veri toplama için Microsoft Sentinel'deki temel özellikler vurgulanmaktadır.
| Yetenek | Açıklama | Kullanmaya başlayın |
|---|---|---|
| İlk çalıştırma veri bağlayıcıları | Birçok bağlayıcı Microsoft Sentinel için SIEM çözümleriyle paketlenir ve gerçek zamanlı tümleştirme sağlar. Bu bağlayıcılar Microsoft kaynaklarını ve Microsoft Entra ID, Azure Etkinliği, Azure Depolama gibi Azure kaynaklarını içerir. Hazır bağlayıcılar, Microsoft dışı çözümler için daha geniş güvenlik ve uygulama ekosistemleri için de kullanılabilir. Veri kaynaklarınızı Microsoft Sentinel'e bağlamak için ortak olay biçimi, Syslog veya REST-API de kullanabilirsiniz. |
Microsoft Sentinel veri bağlayıcıları |
| Özel bağlayıcılar | Microsoft Sentinel, ayrılmış bağlayıcı olmadan bazı kaynaklardan veri alımını destekler. Mevcut bir çözümü kullanarak veri kaynağınızı Microsoft Sentinel'e bağlayamıyorsanız kendi veri kaynağı bağlayıcınızı oluşturun. | Microsoft Sentinel özel bağlayıcıları oluşturmaya yönelik kaynaklar. |
| Veri normalleştirme | Microsoft Sentinel, çeşitli kaynakları tekdüzen, normalleştirilmiş bir görünüme çevirmek için hem sorgu süresini hem de alma süresi normalleştirmesini kullanır. | Normalleştirme ve Gelişmiş Güvenlik Bilgi Modeli (ASIM) |
Tehditleri algılama
Microsoft'un analizlerini ve benzersiz tehdit bilgilerini kullanarak önceden algılanmamış tehditleri algılayın ve hatalı pozitif sonuçları en aza indirin.
Aşağıdaki tabloda tehdit algılama için Microsoft Sentinel'deki temel özellikler vurgulanmaktadır.
| Kapasite | Açıklama | Kullanmaya başlayın |
|---|---|---|
| Analiz | Gürültüyü azaltmanıza ve gözden geçirip araştırmanız gereken uyarı sayısını en aza indirmenize yardımcı olur. Microsoft Sentinel, uyarıları olaylar halinde gruplandırmak için analiz kullanır. Hazır analiz kurallarını olduğu gibi veya kendi kurallarınızı oluşturmak için başlangıç noktası olarak kullanın. Microsoft Sentinel ayrıca ağ davranışınızı eşlemek ve ardından kaynaklarınızdaki anomalileri aramak için kurallar sağlar. Bu analizler, farklı varlıklarla ilgili düşük uygunluk uyarılarını olası yüksek uygunluk güvenlik olaylarına birleştirerek noktaları birbirine bağlar. | Kullanıma hazır özelliklerle tehditleri algılama |
| MITRE ATT&CK kapsamı | Microsoft Sentinel yalnızca tehditleri algılamak ve araştırmanıza yardımcı olmak için değil, aynı zamanda MITRE ATT&CK® çerçevesinin taktik ve tekniklerine göre kuruluşunuzun güvenlik durumunun doğasını ve kapsamını görselleştirmek için alınan verileri analiz eder. | MITRE ATT&CK® çerçevesi tarafından güvenlik kapsamını anlama |
| Tehdit bilgileri | Ortamınızdaki kötü amaçlı etkinlikleri algılamak ve bilinçli yanıt kararları için güvenlik araştırmacılarına bağlam sağlamak için çok sayıda tehdit bilgisi kaynağını Microsoft Sentinel ile tümleştirin. | Microsoft Sentinel'de tehdit bilgileri |
| İzleme Listeleri | Microsoft Sentinel ortamınızdaki olaylarla, sağladığınız bir veri kaynağından (izleme listesi) verileri ilişkilendirin. Örneğin, yüksek değerli varlıkların, sonlandırılan çalışanların veya ortamınızdaki hizmet hesaplarının listesini içeren bir izleme listesi oluşturabilirsiniz. Arama, algılama kuralları, tehdit avcılığı ve yanıt playbook'larınızda izleme listelerini kullanın. | Microsoft Sentinel'de İzleme Listeleri |
| Çalışma Kitapları | Çalışma kitaplarını kullanarak etkileşimli görsel raporlar oluşturun. Microsoft Sentinel, bir veri kaynağına bağlanır bağlanmaz verilerinizle hızlı bir şekilde içgörü elde etmenize olanak sağlayan yerleşik çalışma kitabı şablonlarıyla birlikte gelir. Alternatif olarak, kendi özel çalışma kitaplarınızı da oluşturabilirsiniz. | Toplanan verileri görselleştirme. |
Tehditleri araştırma
Yapay zeka ile tehditleri araştırın ve Microsoft'ta yıllardır yapılan siber güvenlik çalışmalarına dokunarak büyük ölçekte şüpheli etkinlikleri arayın.
Aşağıdaki tabloda tehdit araştırması için Microsoft Sentinel'deki temel özellikler vurgulanmaktadır.
| Özellik | Açıklama | Kullanmaya başlayın |
|---|---|---|
| Olaylar | Microsoft Sentinel derin araştırma araçları, kapsamı anlamanıza ve olası bir güvenlik tehdidinin kök nedenini bulmanıza yardımcı olur. Belirli bir varlıkla ilgili ilginç sorular sormak için etkileşimli grafikte bir varlık seçebilir ve tehdidin kök nedenini bulmak için bu varlığın ve bağlantılarının detayına gidebilirsiniz. | Microsoft Sentinel'de olaylara gitme ve olayları araştırma |
| Avı | Microsoft Sentinel'in MITRE çerçevesini temel alan güçlü tehdit avcılığı arama ve sorgulama araçları, bir uyarı tetiklenmeden önce kuruluşunuzun veri kaynakları genelinde güvenlik tehditlerini proaktif olarak avlamanıza olanak tanır. Tehdit avcılığı sorgunuzu temel alan özel algılama kuralları oluşturun. Ardından bu içgörüleri güvenlik olayı yanıtlayanlarınıza uyarı olarak ortaya çıkar. | Microsoft Sentinel'de tehdit avcılığı |
| Notebooks | Microsoft Sentinel, makine öğrenmesi, görselleştirme ve veri analizi için tam kitaplıklar da dahil olmak üzere Azure Machine Learning çalışma alanlarındaki Jupyter not defterlerini destekler. Microsoft Sentinel verileriyle yapabileceklerinizi kapsamını genişletmek için Microsoft Sentinel'deki not defterlerini kullanın. Örneğin: - Bazı Python makine öğrenmesi özellikleri gibi Microsoft Sentinel'de yerleşik olmayan analizler gerçekleştirin. - Özel zaman çizelgeleri ve işlem ağaçları gibi Microsoft Sentinel'de yerleşik olmayan veri görselleştirmeleri oluşturun. - Şirket içi veri kümesi gibi veri kaynaklarını Microsoft Sentinel dışında tümleştirin. |
Microsoft Sentinel tehdit avcılığı özelliklerine sahip Jupyter not defterleri |
Olaylara hızla müdahale edin
Azure hizmetleri ve mevcut araçlarınızla tümleşen playbook'larla ortak görevlerinizi otomatikleştirin ve güvenlik düzenlemeyi basitleştirin. Microsoft Sentinel'in otomasyonu ve düzenlemesi, yeni teknolojiler ve tehditler ortaya çıktıkçe ölçeklenebilir otomasyon sağlayan yüksek oranda genişletilebilir bir mimari sağlar.
Microsoft Sentinel'deki Playbook'lar, Azure Logic Apps'te oluşturulan iş akışlarını temel alır. Örneğin, ServiceNow bilet sistemini kullanıyorsanız iş akışlarınızı otomatikleştirmek için Azure Logic Apps'i kullanın ve belirli bir uyarı veya olay her oluşturulduğunda ServiceNow'da bir bilet açın.
Aşağıdaki tabloda tehdit yanıtı için Microsoft Sentinel'deki temel özellikler vurgulanmaktadır.
| Özellik | Açıklama | Kullanmaya başlayın |
|---|---|---|
| Otomasyon kuralları | Farklı senaryoları kapsayan küçük bir kural kümesi tanımlayıp koordine ederek Microsoft Sentinel'de olay işleme otomasyonunu merkezi olarak yönetin. | Microsoft Sentinel'de tehdit yanıtlarını otomasyon kurallarıyla otomatikleştirme |
| Çalışma kitapları | Bir düzeltme eylemleri koleksiyonu olan playbook'ları kullanarak tehdit yanıtınızı otomatikleştirin ve düzenleyin. Bir playbook'u isteğe bağlı olarak veya otomasyon kuralı tarafından tetiklendiğinde belirli uyarılara veya olaylara yanıt olarak otomatik olarak çalıştırın. Azure Logic Apps ile playbook'lar oluşturmak için ServiceNow, Jira ve daha fazlası gibi çeşitli hizmetler ve sistemler için sürekli olarak genişleyen bağlayıcı galerisinden seçim yapın. Bu bağlayıcılar, iş akışınıza herhangi bir özel mantık uygulamanıza olanak tanır. |
Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme Tüm Mantıksal Uygulama bağlayıcısı listesi |