Aracılığıyla paylaş


Microsoft Sentinel'de araştırma yaparken veya tehdit avcılığı yaparken tehdit aktörlerine yanıt verme

Bu makalede, bir olay araştırması veya tehdit avı sırasında, araştırma veya avdan özetleme veya bağlam değiştirmeden tehdit aktörlerine karşı nasıl yanıt eylemleri gerçekleştirdiğiniz gösterilir. Bunu, yeni varlık tetikleyicisini temel alan playbook'ları kullanarak gerçekleştirirsiniz.

Varlık tetikleyicisi şu anda aşağıdaki varlık türlerini destekler:

Playbook'ları varlık tetikleyicisiyle çalıştırma

Bir olayı araştırırken belirli bir varlığın (kullanıcı hesabı, konak, IP adresi, dosya vb.) bir tehdidi temsil ettiğini belirlerseniz, isteğe bağlı bir playbook çalıştırarak bu tehdit üzerinde anında düzeltme eylemleri gerçekleştirebilirsiniz. Olaylar bağlamı dışında tehditleri proaktif olarak avlarken şüpheli varlıklarla karşılaşırsanız da benzer şekilde yapabilirsiniz.

  1. Hangi bağlamda karşılaşırsanız karşılaşın varlığı seçin ve playbook'u çalıştırmak için uygun araçları aşağıdaki gibi seçin:

    • Yeni olay ayrıntıları sayfasındaki (şimdi Önizlemede) bir olayın Genel Bakış sekmesindeki Varlıklar pencere öğesinde veya Varlıklar sekmesinde, listeden bir varlık seçin, varlığın yanındaki üç noktayı seçin ve açılır menüden Playbook'u (Önizleme) çalıştır'ı seçin.

      Olay ayrıntıları sayfasının ekran görüntüsü.

      Olay ayrıntıları sayfasındaki varlıklar sekmesinin ekran görüntüsü.

    • Bir olayın Varlıklar sekmesinde, listeden varlığı seçin ve listedeki satırının sonundaki Playbook'u çalıştır (Önizleme) bağlantısını seçin.

      Olay ayrıntıları sayfasından bir playbook çalıştırmak için varlık seçme işleminin ekran görüntüsü.

    • Araştırma grafiğinden bir varlık seçin ve varlık yan panelinde Playbook'u çalıştır (Önizleme) düğmesini seçin.

      Araştırma grafiğinden bir playbook çalıştırmak için varlığı seçme işleminin ekran görüntüsü.

    • Varlık davranışı sayfasından bir varlık seçin. Elde edilen varlık sayfasından sol taraftaki panelde Playbook'u çalıştır (Önizleme) düğmesini seçin.

      Varlık davranışı sayfasından bir playbook çalıştırmak için varlık seçme işleminin ekran görüntüsü.

      Bir varlıkta playbook çalıştırmak için seçilen varlık sayfasının ekran görüntüsü.

  2. Bunların tümü Varlık türü> panelinde playbook'u <çalıştır'ı açar.

    Varlık panelinde playbook'u çalıştır'ın ekran görüntüsü.

    Bu panellerden herhangi birinde iki sekme görürsünüz: Playbook'lar ve Çalıştırmalar.

  3. Playbook'lar sekmesinde, erişiminiz olan ve bu varlık türü için Microsoft Sentinel Varlık tetikleyicisini kullanan tüm playbook'ların listesini görürsünüz (bu örnekte kullanıcı hesapları). Hemen çalıştırmak istediğiniz playbook için Çalıştır düğmesini seçin.

    Çalıştırmak istediğiniz playbook'u listede görmüyorsanız, Bu, Microsoft Sentinel'in bu kaynak grubunda playbook çalıştırma izinlerine sahip olmadığı anlamına gelir.

    Bu izinleri vermek için Ayarlar Ayarlar Playbook izinlerini yapılandırma izinlerini> seçin > . > İzinleri yönet panelinde, çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'yı seçin.

    Daha fazla bilgi için bkz . Microsoft Sentinel'in playbook'ları çalıştırması için gereken ek izinler.

  4. Varlık tetikleyicisi playbook'larınızın etkinliğini Çalıştırmalar sekmesinden denetleyebilirsiniz. Seçtiğiniz varlıkta herhangi bir playbook'un çalıştırıldığı tüm zamanların listesini görürsünüz. Yeni tamamlanan çalıştırmaların bu listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Azure Logic Apps'te tam çalıştırma günlüğü açılır.

Sonraki adımlar

Bu makalede, bir olayı araştırmanın veya tehdit avcılığı yaparken varlıkların tehditlerini düzeltmek için playbook'ları el ile çalıştırmayı öğrendiniz.