Microsoft Sentinel'de araştırma yaparken veya tehdit avcılığı yaparken tehdit aktörlerine yanıt verme
Bu makalede, bir olay araştırması veya tehdit avı sırasında, araştırma veya avdan özetleme veya bağlam değiştirmeden tehdit aktörlerine karşı nasıl yanıt eylemleri gerçekleştirdiğiniz gösterilir. Bunu, yeni varlık tetikleyicisini temel alan playbook'ları kullanarak gerçekleştirirsiniz.
Varlık tetikleyicisi şu anda aşağıdaki varlık türlerini destekler:
Önemli
Varlık tetikleyicisi şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Playbook'ları varlık tetikleyicisiyle çalıştırma
Bir olayı araştırırken belirli bir varlığın (kullanıcı hesabı, konak, IP adresi, dosya vb.) bir tehdidi temsil ettiğini belirlerseniz, isteğe bağlı bir playbook çalıştırarak bu tehdit üzerinde anında düzeltme eylemleri gerçekleştirebilirsiniz. Olaylar bağlamı dışında tehditleri proaktif olarak avlarken şüpheli varlıklarla karşılaşırsanız da benzer şekilde yapabilirsiniz.
Hangi bağlamda karşılaşırsanız karşılaşın varlığı seçin ve playbook'u çalıştırmak için uygun araçları aşağıdaki gibi seçin:
Yeni olay ayrıntıları sayfasındaki (şimdi Önizlemede) bir olayın Genel Bakış sekmesindeki Varlıklar pencere öğesinde veya Varlıklar sekmesinde, listeden bir varlık seçin, varlığın yanındaki üç noktayı seçin ve açılır menüden Playbook'u (Önizleme) çalıştır'ı seçin.
Bir olayın Varlıklar sekmesinde, listeden varlığı seçin ve listedeki satırının sonundaki Playbook'u çalıştır (Önizleme) bağlantısını seçin.
Araştırma grafiğinden bir varlık seçin ve varlık yan panelinde Playbook'u çalıştır (Önizleme) düğmesini seçin.
Varlık davranışı sayfasından bir varlık seçin. Elde edilen varlık sayfasından sol taraftaki panelde Playbook'u çalıştır (Önizleme) düğmesini seçin.
Bunların tümü Varlık türü> panelinde playbook'u <çalıştır'ı açar.
Bu panellerden herhangi birinde iki sekme görürsünüz: Playbook'lar ve Çalıştırmalar.
Playbook'lar sekmesinde, erişiminiz olan ve bu varlık türü için Microsoft Sentinel Varlık tetikleyicisini kullanan tüm playbook'ların listesini görürsünüz (bu örnekte kullanıcı hesapları). Hemen çalıştırmak istediğiniz playbook için Çalıştır düğmesini seçin.
Çalıştırmak istediğiniz playbook'u listede görmüyorsanız, Bu, Microsoft Sentinel'in bu kaynak grubunda playbook çalıştırma izinlerine sahip olmadığı anlamına gelir.
Bu izinleri vermek için Ayarlar Ayarlar Playbook izinlerini yapılandırma izinlerini> seçin > . > İzinleri yönet panelinde, çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'yı seçin.
Daha fazla bilgi için bkz . Microsoft Sentinel'in playbook'ları çalıştırması için gereken ek izinler.
Varlık tetikleyicisi playbook'larınızın etkinliğini Çalıştırmalar sekmesinden denetleyebilirsiniz. Seçtiğiniz varlıkta herhangi bir playbook'un çalıştırıldığı tüm zamanların listesini görürsünüz. Yeni tamamlanan çalıştırmaların bu listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Azure Logic Apps'te tam çalıştırma günlüğü açılır.
Sonraki adımlar
Bu makalede, bir olayı araştırmanın veya tehdit avcılığı yaparken varlıkların tehditlerini düzeltmek için playbook'ları el ile çalıştırmayı öğrendiniz.
- Microsoft Sentinel'de olayları araştırma hakkında daha fazla bilgi edinin.
- Microsoft Sentinel kullanarak tehditleri proaktif olarak nasıl avlayacağınızı öğrenin.
- Microsoft Sentinel'deki varlıklar hakkında daha fazla bilgi edinin.
- Microsoft Sentinel'de playbook'lar hakkında daha fazla bilgi edinin.