Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, bir Microsoft Sentinel çözümünün farklı bileşenleri ve önemli müşteri senaryolarını ele almak için birlikte nasıl çalışabilecekleri ele alınmaktadır.
Sentinel platformu bir veri gölü, grafik, Jupyter not defteri işleri, Model Bağlam Protokolü (MCP) sunucusu ve 300'den fazla Sentinel bağlayıcısından alınan verileri, müşterilerin güvenlik verilerini uygun maliyetli bir şekilde merkezileştirmelerine ve analiz etmelerine yardımcı olur. Bu özelliklere ek olarak Microsoft Security Copilot, müşterilerin ve iş ortaklarının Microsoft Güvenlik Mağazası aracılığıyla yayımlanabilen etkili çözümler oluşturmasını sağlar.
Sentinel SIEM, Algılamalar oluşturmak, kötü amaçlı davranışları araştırmak ve tehditleri düzeltmek için Güvenlik İşlemleri (SOC) ekipleri tarafından kullanılır. Yeni veriler getirmek için Sentinel bağlayıcıları oluşturarak ve analiz kuralları, playbook'lar, avlanma sorguları, ayrıştırıcılar ve çalışma kitapları gibi içerikler oluşturarak iş ortakları SOC ekiplerinin tehditleri tanımlamak ve uygun şekilde yanıt vermek için ihtiyaç duydukları bilgileri almasına yardımcı olabilir. Sentinel SIEM çözümleri Sentinel'in İçerik Hub'ı aracılığıyla yayımlanır.
Veri toplama
İster platform bileşenlerini kullanan bir çözüm oluştururken ister Sentinel SIEM tümleştirmesini hedeflerken senaryonuz için doğru verilere sahip olmak kritik önem taşır.
Sentinel Bağlayıcıları, verileri Sentinel'e getirir ve bu veriler Jupyter not defterleri ve işlemler kullanılarak gölde analiz edilebilir veya analiz kuralları ve avlama sorguları gibi Sentinel SIEM içeriğiyle ele alınabilir.
Bu veriler aşağıdaki türleri içerebilir:
| Type | Açıklama |
|---|---|
| İşlenmemiş veriler | Algılamaları ve tehdit avcılığı işlemlerini destekler. Kötü amaçlı etkinlik işaretlerinin bulunabileceği ham operasyonel verileri analiz edin. Yeni tehditleri ve daha fazlasını tanımlamak üzere Microsoft Sentinel'in yerleşik tehdit avcılığı ve algılama özelliklerini kullanmak için işlenmemiş verileri Microsoft Sentinel'e getirin. Örnekler: Syslog verileri, Syslog üzerinden CEF verileri, uygulama, güvenlik duvarı, kimlik doğrulaması veya erişim günlükleri ve daha fazlası. |
| Güvenlik sonuçları | Bağıntı için uyarı görünürlüğü ve fırsat oluşturur. Uyarılar ve algılamalar, tehditler hakkında önceden yapılmış sonuçlardır. Algılamaları Microsoft Sentinel araştırmalarında görünür olan tüm etkinlikler ve diğer algılamalarla bağlama koymak, analistlere zaman kazandırır ve bir olayın daha eksiksiz bir resmini oluşturarak daha iyi öncelik belirleme ve daha iyi kararlar elde eder. Örnekler: kötü amaçlı yazılımdan koruma uyarıları, şüpheli işlemler, bilinen kötü konaklarla iletişim, engellenen ağ trafiği ve nedeni, şüpheli oturum açma işlemleri, algılanan parola spreyi saldırıları, kimlik avı saldırıları, veri sızdırma olayları ve daha fazlası. |
| Başvuru verileri | Başvuruda bulunan ortamlarla bağlam oluşturarak araştırma çabalarından tasarruf sağlar ve verimliliği artırır. Örnekler: CMDB'ler, yüksek değerli varlık veritabanları, uygulama bağımlılığı veritabanları, IP atama günlükleri, zenginleştirme için tehdit bilgileri koleksiyonları ve daha fazlası. |
| Tehdit bilgileri | Bilinen tehditlerin göstergelerine katkıda bulunarak tehdit algılamayı güçler. Tehdit bilgileri, gelecekteki önleme için tutulan anlık tehditleri veya geçmiş göstergeleri temsil eden geçerli göstergeleri içerebilir. Geçmiş veri kümeleri genellikle büyük olur ve doğrudan Microsoft Sentinel'e aktarmak yerine en iyi şekilde geçici olarak başvurulur. |
Çözümleyiciler
Ayrıştırıcılar, özel verileri üçüncü taraf ürünlerden normalleştirilmiş bir ASIM şemasına dönüştüren KQL işlevleridir. Normalleştirme, SOC analistlerinin yeni şemalarla ilgili ayrıntıları öğrenmek zorunda olmamasını ve bunun yerine zaten aşina oldukları normalleştirilmiş şema üzerinde analiz kuralları ve tehdit avcılığı sorguları oluşturmalarını sağlar. SOC analistleri için daha kolay ekleme sağlamak ve ASIM şeması için yazılmış mevcut güvenlik içeriğinin ürün verileriniz için kullanıma hazır olduğundan emin olmak amacıyla verilerinize yönelik ilgili ASIM şemalarını (bir veya daha fazla) belirlemek üzere Microsoft Sentinel tarafından sağlanan mevcut ASIM şemalarını gözden geçirin. Kullanılabilir ASIM şemaları hakkında daha fazla bilgi için bkz. Gelişmiş Güvenlik Bilgi Modeli (ASIM) şemaları.
Görselleştirme
Microsoft Sentinel'e veri akışının ne kadar iyi olduğunu ve algılamalara ne kadar etkili bir şekilde katkıda bulunduğuna ilişkin grafik görünümler ekleyerek müşterilerin verilerinizi yönetmesine ve anlamasına yardımcı olacak görselleştirmeler ekleyebilirsiniz.
Microsoft Sentinel'e veri akışının ne kadar iyi olduğunu ve algılamalara ne kadar etkili bir şekilde katkıda bulunduğuna ilişkin grafik görünümler ekleyerek müşterilerin verilerinizi yönetmesine ve anlamasına yardımcı olacak görselleştirmeler ekleyebilirsiniz.
İzleme ve algılama
Sentinel'in izleme ve algılama özellikleri, müşterilerin SOC ekiplerinin uzmanlığını ölçeklendirmelerine yardımcı olmak için otomatik algılamalar oluşturur.
Aşağıdaki bölümlerde, çözümünüzde ekleyebileceğiniz izleme ve algılama öğeleri açıklanmaktadır.
Güvenlik Copilot ajanları
Güvenlik Copilot aracıları yinelenen görevleri otomatikleştirir ve el ile iş yüklerini azaltır. Bulut, veri güvenliği ve gizliliği, kimlik ve ağ güvenliği genelinde güvenlik ve BT operasyonlarını geliştirirler. Sentinel için aracılar SIEM veya data lake'i sorgulayabilir ve Microsoft Sentinel verilerini zenginleştirmek için API'leri çağırabilir. Yoğun veri işleme veya analiz için not defteri işlerini kullanabilir ve istediğiniz sayıda eklentiyi kullanabilir.
Jupyter not defteri işleri
Jupyter not defteri işleri, Sentinel Data lake'teki Spark işlerini kullanarak karmaşık veri dönüşümleri gerçekleştirmeye ve makine öğrenmesi modellerini çalıştırmaya yönelik güçlü araçlar sağlar. Güvenlik Copilot ajanları, veri analizi ve özetleme işlemlerini gerçekleştirmenin belirleyici ve verimli bir yolunu sağlamak ve bu işlemleri sürekli olarak yürütebilmek için kullanılabilir. Defter işleri, aracılar, çalışma kitapları, sorgu avlama ve benzeri sonraki bileşenler tarafından kullanılacak analiz katmanına ve veri gölüne özel veri tabloları yazabilir.
Analiz kuralları
Analiz kuralları, doğru ve anlamlı uyarılar oluşturabilen gelişmiş algılamalardır.
Müşterilerinizin Microsoft Sentinel'de sisteminizdeki verilerden yararlanmasına yardımcı olmak için çözümünüzde analiz kuralları ekleyin. Örneğin analiz kuralları, tümleştirmenizin sağladığı verilerde algılanabilir etkinlikler hakkında uzmanlık ve içgörü sağlamaya yardımcı olabilir.
Uyarılar (dikkate değer olaylar), vakalar (inceleme üniteleri) veya otomasyon rehberlerini tetikleyebilirler.
Analiz kurallarını bir çözüme ekleyerek ve Microsoft Sentinel ThreatHunters topluluğu aracılığıyla ekleyebilirsiniz. İş ortağı kaynaklı veriler üzerinde topluluk yaratıcılığını teşvik etmek ve müşterilerin daha güvenilir ve etkili algılamalar gerçekleştirmesine yardımcı olmak için topluluk aracılığıyla katkıda bulunun.
Arama sorguları
Av alma sorguları, SOC analistlerine şu anda zamanlanmış analiz kuralları tarafından algılanmayan yeni anomalileri proaktif olarak tespit etme imkanı tanır. Tehdit avcılığı sorguları, SOC analistlerine Microsoft Sentinel'de zaten mevcut olan verilerden sorunları bulmak için doğru soruları sorma konusunda yol gösterir ve olası tehdit senaryolarını belirlemelerine yardımcı olur. Tehdit avcılığı sorgularını dahil ederek müşterilerin sağladığınız verilerde bilinmeyen tehditleri bulmasına yardımcı olabilirsiniz.
Workbooks
Çalışma kitapları, kullanıcıların güvenlik verilerini görselleştirmesine ve verilerdeki desenleri tanımlamasına yardımcı olan etkileşimli raporlar ve panolar sağlar. Çalışma kitaplarına olan gereksinim, belirli kullanım örneğine bağlıdır. Çözümünüzü tasarlarken, özellikle performansı izleme senaryoları için görsel olarak en iyi şekilde açıklanabilecek senaryoları düşünün.
Araştırma
Sentinel araştırma grafiği, araştırmacılara ihtiyaç duyduklarında ilgili verileri sağlar ve bağlı varlıklar aracılığıyla güvenlik olayları ve uyarıları hakkında görünürlük sağlar. Araştırmacılar araştırma grafını kullanarak ilgili veya ilgili bilgileri bulabilir ve araştırma aşamasında olan tehdide katkıda bulunabilir.
İş ortakları aşağıdakileri sağlayarak araştırma grafiğine katkıda bulunabilir:
- İş ortağı çözümlerinde analiz kuralları aracılığıyla oluşturulan Microsoft Sentinel uyarıları ve olayları.
- İş ortağı tarafından sağlanan veriler için özel keşif sorguları . Özel keşif sorguları, güvenlik araştırmacıları için veriler ve içgörüler arasında zengin keşif ve bağlantı sağlar.
Yanıt
Playbook'lar zengin otomasyona sahip iş akışlarını destekler ve müşteri ortamlarında güvenlikle ilgili görevleri çalıştırır. Bunlar, SOC analistlerinin taktik konularla aşırı yüklenmediğinden ve güvenlik açıklarının daha stratejik ve derin kök nedenlerine odaklanabileceğinden emin olmak için kritik öneme sahiptir. Örneğin, yüksek önem derecesi uyarısı algılanırsa playbook güvenlik ekibine bildirme, etkilenen sistemleri yalıtma ve daha fazla analiz için ilgili günlükleri toplama gibi bir dizi eylemi otomatik olarak başlatabilir.
Örneğin, rehberler aşağıdaki ve benzeri birçok konuda yardımcı olabilir:
- Müşterilerin iş ortağı ürünlerinde güvenlik ilkelerini yapılandırmasına yardımcı olma
- Araştırma kararlarını bilgilendirmek için ek veri toplama
- Microsoft Sentinel olaylarını dış yönetim sistemlerine bağlama
- Uyarı yaşam döngüsü yönetimini iş ortağı çözümleri arasında tümleştirme
Çözümünüzü tasarladığınızda, çözümünüzde tanımlanan analiz kuralları tarafından oluşturulan olayları çözmek için gerçekleştirilebilecek otomatik eylemleri düşünün.
Sentinel SIEM senaryo örnekleri
Aşağıdaki bölümlerde ortak iş ortağı senaryoları ve her senaryo için bir çözüme nelerin dahil edileceğine ilişkin öneriler açıklanmaktadır.
Ürününüz güvenlik araştırmaları için önemli veriler oluşturur
Senaryo: Ürününüz güvenlik araştırmalarını bilgilendirebilecek veriler oluşturur.
Örnek: Bazı günlük verileri sağlayan ürünler arasında güvenlik duvarları, bulut uygulaması güvenlik aracıları, fiziksel erişim sistemleri, Syslog çıkışı, ticari olarak kullanılabilir ve kurumsal olarak oluşturulmuş LOB uygulamaları, sunucular, ağ meta verileri, Syslog veya CEF biçiminde Syslog üzerinden ya da JSON biçiminde REST API üzerinden teslim edilebilir her şey bulunur.
Microsoft Sentinel'de verilerinizi kullanma: Analiz, tehdit avcılığı, araştırma, görselleştirme ve daha fazlasını sağlamak için bir veri bağlayıcısı aracılığıyla ürününüzün verilerini Microsoft Sentinel'e aktarın.
Derlemek gerekenler: Bu senaryo için çözümünüzde aşağıdaki öğeleri ekleyin:
| Type | Eklenecek öğeler |
|---|---|
| Required | - Verileri teslim etmek ve portaldaki diğer özelleştirmeleri bağlamak için bir Microsoft Sentinel veri bağlayıcısı. Örnek veri sorguları |
| Önerilir | -Çalışma kitap -larını - Microsoft Sentinel'de verilerinizi temel alan algılamalar oluşturmak için analiz kuralları |
| Optional | - Avcılara tehdit avcılığı sırasında kullanmak üzere kullanıma sunulan sorgular sağlamak için avcılık sorguları - Tam destekli, tekrarlanabilir bir avlanma deneyimi sunmak için not defterleri |
Ürününüz algılama sağlar
Senaryo: Ürününüz, diğer sistemlerden gelen uyarıları ve olayları tamamlayan algılamalar sağlar
Örnekler: Kötü amaçlı yazılımdan koruma, kurumsal algılama ve yanıt çözümleri, ağ algılama ve yanıt çözümleri, kimlik avı önleme ürünleri, güvenlik açığı tarama, mobil cihaz yönetimi çözümleri, UEBA çözümleri, bilgi koruma hizmetleri vb. gibi posta güvenlik çözümleri.
Verilerinizi Microsoft Sentinel'de kullanma: Algılamalarınızı, uyarılarınızı veya olaylarınızı, müşterilerinizin ortamlarında oluşabilecek diğer uyarı ve olaylarla bağlamda göstermek için Microsoft Sentinel'de kullanılabilir hale getirin. Ayrıca, araştırmalara ek bağlam olarak algılamalarınızı destekleyen günlükleri ve meta verileri teslim etmeyi de göz önünde bulundurun.
Derlemek gerekenler: Bu senaryo için çözümünüzde aşağıdaki öğeleri ekleyin:
| Type | Eklenecek öğeler |
|---|---|
| Required | Verileri teslim etmek ve portaldaki diğer özelleştirmeleri bağlamak için bir Microsoft Sentinel veri bağlayıcısı. |
| Önerilir | Analiz kuralları, araştırmalarda yararlı olan algılamalarınızdan Microsoft Sentinel olayları oluşturmak için |
Ürününüz tehdit bilgileri göstergeleri sağlar
Senaryo: Ürününüz, müşterilerin ortamlarında gerçekleşen güvenlik olayları için bağlam sağlayabilen tehdit bilgileri göstergeleri sağlar
Örnekler: TIP platformları, STIX/TAXII koleksiyonları ve genel veya lisanslı tehdit bilgileri kaynakları. WhoIS, GeoIP veya yeni gözlemlenen etki alanları gibi başvuru verileri.
Microsoft Sentinel'de verilerinizi kullanma: Microsoft algılama platformlarında kullanmak üzere geçerli göstergeleri Microsoft Sentinel'e teslim edin. Uzaktan erişim yoluyla zenginleştirme senaryoları için büyük ölçekli veya geçmiş veri kümelerini kullanın.
Derlemek gerekenler: Bu senaryo için çözümünüzde aşağıdaki öğeleri ekleyin:
| Type | Eklenecek öğeler |
|---|---|
| Geçerli tehdit bilgileri | Göstergeleri Microsoft Sentinel'e göndermek için bir GSAPI veri bağlayıcısı oluşturun. Müşterilerin kullanıma hazır TAXII veri bağlayıcısı ile kullanabileceği bir STIX 2.0 veya 2.1 TAXII Sunucusu sağlayın. |
| Geçmiş göstergeler ve/veya başvuru veri kümeleri | Verilere erişmek için bir mantıksal uygulama bağlayıcısı ve verileri doğru yerlere yönlendiren bir zenginleştirme iş akışı playbook'u sağlayın. |
Ürününüz araştırma için ek bağlam sağlar
Senaryo: Ürününüz, Microsoft Sentinel tabanlı araştırmalara yönelik ek bağlamsal veriler sağlar.
Örnekler: Ek bağlam CMDB'leri, yüksek değerli varlık veritabanları, VIP veritabanları, uygulama bağımlılığı veritabanları, olay yönetim sistemleri, bilet sistemleri
Microsoft Sentinel'de verilerinizi kullanma: Hem uyarıları hem de olayları zenginleştirmek için Verilerinizi Microsoft Sentinel'de kullanın.
Derlemek gerekenler: Bu senaryo için çözümünüzde aşağıdaki öğeleri ekleyin:
- Mantıksal Uygulama bağlayıcısı
- Zenginleştirme iş akışı playbook'u
- Dış olay yaşam döngüsü yönetimi iş akışı (isteğe bağlı)
Ürününüz güvenlik ilkeleri uygulayabilir
Senaryo: Ürününüz Azure İlkesi ve diğer sistemlerde güvenlik ilkeleri uygulayabilir
Örnekler: Güvenlik duvarları, NDR, EDR, MDM, Kimlik çözümleri, Koşullu Erişim çözümleri, fiziksel erişim çözümleri veya engelleme/izin verme veya diğer eyleme dönüştürülebilir güvenlik ilkelerini destekleyen diğer ürünler
Microsoft Sentinel'de verilerinizi kullanma: Microsoft Sentinel eylemleri ve iş akışları, tehditlere yönelik düzeltmeleri ve yanıtları etkinleştirme
Derlemek gerekenler: Bu senaryo için çözümünüzde aşağıdaki öğeleri ekleyin:
- Mantıksal Uygulama bağlayıcısı
- Eylem iş akışı playbook'u
Başlarken başvurular
Tüm Microsoft Sentinel SIEM tümleştirmeleri , Microsoft Sentinel GitHub Deposu ve Katkı Kılavuzu ile başlar.
Microsoft Sentinel çözümünüz üzerinde çalışmaya başlamaya hazır olduğunuzda Microsoft Sentinel Çözümleri Oluşturma Kılavuzu'nda gönderme, paketleme ve yayımlama yönergelerini bulabilirsiniz.
Pazara çıkış
Microsoft, iş ortaklarının Microsoft müşterilerine yaklaşmasına yardımcı olacak programları sunar:
Microsoft İş Ortağı Ağı (MPN)... Microsoft ile iş ortaklığı için birincil program, Microsoft İş Ortağı Ağı'dır. MPN üyeliği, tüm Microsoft Sentinel çözümlerinin yayımlandığı Azure Market bir yayımcı olmak için gereklidir.
Azure Market. Microsoft Sentinel çözümleri, müşterilerin hem Microsoft hem de iş ortağı tarafından sağlanan genel Azure tümleştirmelerini keşfetmeye ve dağıtmaya gittiği Azure Market aracılığıyla sunulur.
Microsoft Sentinel çözümleri, Market'te bulunan birçok teklif türünden biridir. Microsoft Sentinel içerik hub'ına eklenmiş çözüm tekliflerini de bulabilirsiniz
Microsoft Intelligent Security Association (MISA). MISA, Microsoft Güvenlik İş Ortaklarına Microsoft müşterileri ile iş ortağı tarafından oluşturulan tümleştirmeler hakkında farkındalık oluşturma konusunda yardımcı olur ve Microsoft Güvenlik ürün tümleştirmeleri için bulunabilirlik sağlamaya yardımcı olur.
MISA programına katılmak için, katılan bir Microsoft Güvenlik Ürün Ekibinden adaylık gerekir. Aşağıdaki tümleştirmelerden herhangi birini oluşturmak, iş ortaklarını adaylık için uygun görebilir:
- Microsoft Sentinel veri bağlayıcısı ve çalışma kitapları, örnek sorgular ve analiz kuralları gibi ilişkili içerik
- Yayımlanan Logic Apps bağlayıcısı ve Microsoft Sentinel playbook'ları
- Büyük/küçük harf temelinde API tümleştirmeleri
MISA adaylığı incelemesi istemek veya sorularınız için adresine başvurun AzureSentinelPartner@microsoft.com.
Sonraki adımlar
Daha fazla bilgi için bkz.
Veri toplama:
- Veri toplamaya yönelik en iyi yöntemler
- Microsoft Sentinel veri bağlayıcıları
- Microsoft Sentinel veri bağlayıcınızı bulma
- Microsoft Sentinel'de tehdit bilgilerini anlama
Tehdit algılama:
- Microsoft Sentinel'de otomasyon kurallarıyla olay işlemeyi otomatikleştirme
- Microsoft Sentinel ile olayları araştırma
- Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme
Tehdit avcılığı ve not defterleri
- Microsoft Sentinel ile tehditleri avlama
- Microsoft Sentinel'de REST API kullanarak avlanma ve canlı akış sorgularını yönetme
- Güvenlik tehditlerini avlamak için Jupyter not defterlerini kullanma
Görselleştirme: Toplanan verileri görselleştirme.
Araştırma: Microsoft Sentinel ile olayları araştırın.
Yanıt: