Microsoft Sentinel beceri geliştirme eğitimi
Bu makale, Microsoft Sentinel'i geliştirmenize yardımcı olmak için düzey 400 eğitiminde size yol gösterir. Eğitim, ilgili ürün belgelerini, blog gönderilerini ve diğer kaynakları sunan 21 kendi hızındaki modülden oluşur.
Burada listelenen modüller, Güvenlik İşlem Merkezi'nin (SOC) yaşam döngüsünü izleyen beş bölüme ayrılmıştır:
- Modül 0: Diğer öğrenme ve destek seçenekleri
- Modül 1: Microsoft Sentinel'i kullanmaya başlama
- Modül 2: Microsoft Sentinel nasıl kullanılır?
Bölüm 2: Mimari oluşturma ve dağıtma
- Modül 3: Çalışma alanı ve kiracı mimarisi
- Modül 4: Veri toplama
- Modül 5: Günlük yönetimi
- Modül 6: Zenginleştirme: Tehdit bilgileri, izleme listeleri ve daha fazlası
- Modül 7: Günlük dönüşümü
- Modül 8: Geçiş
- Modül 9: Gelişmiş SIEM bilgi modeli ve normalleştirme
- Modül 10: Kusto Sorgu Dili
- Modül 11: Analiz
- Modül 12: SOAR Uygulama
- Modül 13: Çalışma kitapları, raporlama ve görselleştirme
- Modül 14: Not Defterleri
- Modül 15: Kullanım örnekleri ve çözümleri
- Modül 16: SoC analistlerinin hayatı, olay yönetimi ve araştırmasında bir gün
- Modül 17: Avcılık
- Modül 18: Kullanıcı ve Varlık Davranış Analizi (UEBA)
- Modül 19: Microsoft Sentinel'in durumunu izleme
- Modül 20: Microsoft Sentinel API'lerini kullanarak genişletme ve tümleştirme
- Modül 21: Kendi makine öğrenmenizi oluşturma
Bölüm 1: Genel Bakış
Modül 0: Diğer öğrenme ve destek seçenekleri
Bu beceri geliştirme eğitimi, Microsoft Sentinel Ninja eğitimini temel alan bir düzey 400 eğitimidir. Bu kadar derine inmek istemiyorsanız veya çözmeniz gereken belirli bir sorununuz varsa, diğer kaynaklar daha uygun olabilir:
- Beceri geliştirme eğitimi kapsamlı olsa da, doğal olarak bir betiği izlemesi gerekir ve her konuyu genişletemez. Her makale hakkında bilgi için başvuruda bulunan belgelere bakın.
- Artık, Microsoft Sentinel'i kapsayan yeni SC-200: Microsoft Güvenlik İşlemleri Analisti sertifikasına sahip olabilirsiniz. Microsoft Güvenlik paketinin daha geniş ve üst düzey bir görünümü için SC-900: Microsoft Güvenliği, Uyumluluk ve Kimlik TemelLeri veya AZ-500: Microsoft Azure Güvenlik Teknolojileri konusunu da göz önünde bulundurmanız gerekebilir.
- Microsoft Sentinel'de zaten yetenekliyseniz, yenilikleri takip edin veya gelecek sürümlere daha önceki bir görünüm için Microsoft Cloud Security Özel Topluluk programına katılın.
- Bizimle paylaşmak istediğiniz bir özellik fikriniz var mı? Microsoft Sentinel kullanıcı sesi sayfasından bize bildirin.
- Premier müşteri misiniz? Yerinde veya uzak, dört günlük Microsoft Sentinel Temel Bilgiler Atölyesi'ni isteyebilirsiniz. Daha fazla ayrıntı için Müşteri Başarısı Hesap Yöneticinize başvurun.
- Belirli bir sorununuz mu var? Microsoft Sentinel Teknoloji Topluluğu'nda sorun (veya başkalarına yanıt verin). İsterseniz sorunuzu veya sorununuzu adresinden bize MicrosoftSentinel@microsoft.come-postayla gönderebilirsiniz.
Modül 1: Microsoft Sentinel'i kullanmaya başlama
Microsoft Sentinel ölçeklenebilir, bulutta yerel, güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıtı (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde güvenlik analizi ve tehdit bilgileri sunar. Uyarı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sağlar. Daha fazla bilgi için bkz . Microsoft Sentinel nedir?.
Microsoft Sentinel'in teknik özelliklerine genel bir bakış elde etmek istiyorsanız en son Ignite sunusu iyi bir başlangıç noktasıdır. Microsoft Sentinel Için Hızlı Başlangıç Kılavuzu'nu da yararlı bulabilirsiniz (site kaydı gereklidir).
Bu Microsoft Sentinel web seminerinde daha ayrıntılı bir genel bakış bulabilirsiniz: YouTube, MP4 veya sunu.
Son olarak, kendiniz denemek ister misiniz? Microsoft Sentinel All-In-One Hızlandırıcısı (blog, YouTube, MP4 veya sunu) kullanmaya başlamak için kolay bir yol sunar. Kullanmaya başlamayı öğrenmek için ekleme belgelerini gözden geçirin veya Insight'ın Microsoft Sentinel kurulum ve yapılandırma videosunu görüntüleyin.
Diğer kullanıcılardan öğrenin
Binlerce kuruluş ve hizmet sağlayıcısı Microsoft Sentinel kullanıyor. Güvenlik ürünlerinde her zamanki gibi çoğu kuruluş bu konuda genel kullanıma açık değildir. Yine de şunlara sahip olan birkaç kişi vardır:
- Genel müşteri kullanım örneklerini bulun.
- ASOS Güvenlik Operasyonları Yöneticisi Stuart Gregg, Microsoft Sentinel deneyiminden avlanmaya odaklanan çok daha ayrıntılı bir blog gönderisi yayınladı.
Analistlerden öğrenin
- Azure Sentinel, Forrester Wave'de Strateji'de en üst sırada yer alan Lider yerleştirmeyi başarıyor
- Microsoft, Microsoft Sentinel için SIEM için 2021 Gartner Magic Quadrant'ta Vizyoner olarak adlandırılmıştır
Modül 2: Microsoft Sentinel nasıl kullanılır?
Birçok kuruluş, birincil SIEM olarak Microsoft Sentinel kullanır. Bu kurstaki modüllerin çoğu bu kullanım örneğini kapsar. Bu modülde Microsoft Sentinel'i kullanmanın birkaç ek yolunu sunuyoruz.
Microsoft Güvenlik yığınının bir parçası olarak
Windows, Azure ve Office gibi Microsoft iş yüklerinizi korumak için Microsoft Sentinel, Bulut için Microsoft Defender ve Microsoft Defender XDR'yi birlikte kullanın:
- Microsoft Sentinel ve Microsoft Defender XDR'yi birleştiren kapsamlı SIEM+XDR çözümümüz hakkında daha fazla bilgi edinin.
- Güvenlik işlemleriniz için Microsoft şemasını anlamak için Azure Güvenlik pusulasını (şimdi Microsoft Güvenlik en iyi yöntemleri) okuyun.
- Bu tür bir kurulumun WebShell saldırısını algılamaya ve yanıtlamaya nasıl yardımcı olduğunu okuyun ve izleyin: blog veya video tanıtımı.
- "OT ve IOT saldırı algılama, araştırma ve yanıt" web seminerini görüntüleyin.
Çoklu bulut iş yüklerinizi izlemek için
Bulut (hala) yenidir ve genellikle şirket içi iş yükleri kadar kapsamlı olarak izlenmez. Microsoft Sentinel'in bulutlarınız genelindeki bulut izleme açığını kapatmanıza nasıl yardımcı olabileceğini öğrenmek için bu sunuyu okuyun.
Mevcut SIEM'nizle yan yana
Geçiş dönemi veya daha uzun bir dönem için bulut iş yükleriniz için Microsoft Sentinel kullanıyorsanız, mevcut SIEM'inizle birlikte Microsoft Sentinel kullanıyor olabilirsiniz. Her ikisini de Şimdi Hizmet Gibi bir bilet sistemiyle kullanıyor olabilirsiniz.
Başka bir SIEM'den Microsoft Sentinel'e geçiş hakkında daha fazla bilgi için geçiş web seminerini görüntüleyin: YouTube, MP4 veya sunu.
Yan yana dağıtım için üç yaygın senaryo vardır:
SOC'nizde bilet oluşturma sistemi varsa en iyi yöntem, her iki SIEM sisteminden de Şimdi Hizmet Hizmeti gibi bir bilet sistemine uyarılar veya olaylar göndermektir. ServiceNow ile Microsoft Sentinel olay çift yönlü eşitlemesini kullanma veya Microsoft Sentinel'den üçüncü taraf SIEM'lere destekleyici olaylarla zenginleştirilmiş uyarılar gönderme örnekleri verilebilir.
En azından başlangıçta, birçok kullanıcı Microsoft Sentinel'den şirket içi SIEM'lerine uyarı gönderir. Nasıl yapılacağını öğrenmek için bkz . Microsoft Sentinel'den üçüncü taraf SIEM'lere destekleyici olaylarla zenginleştirilmiş uyarılar gönderme.
Zaman içinde, Microsoft Sentinel daha fazla iş yükünü kapsadığı için normalde yönünü tersine çevirir ve şirket içi SIEM'inizden Microsoft Sentinel'e uyarılar gönderirsiniz. Yapmak için:
- Splunk için bkz . Splunk'tan Microsoft Sentinel'e veri ve önemli olaylar gönderme.
- QRadar için bkz . Microsoft Sentinel'e QRadar suçlarını gönderme.
- ArcSight için bkz . Ortak Olay Biçimi (CEF) iletme.
Ayrıca, Graph Güvenlik API'sini kullanarak microsoft Sentinel'den üçüncü taraf SIEM'nize veya bilet oluşturma sisteminize uyarı gönderebilirsiniz. Bu yaklaşım daha basittir, ancak diğer verilerin gönderilmesini etkinleştirmez.
MSSP'ler için
Kurulum maliyetini ortadan kaldırdığı ve konum açısından belirsiz olduğu için Microsoft Sentinel, SIEM'yi hizmet olarak sağlamak için popüler bir seçimdir. Microsoft Sentinel kullanan MISA (Microsoft Intelligent Security Association) üyesi tarafından yönetilen güvenlik hizmeti sağlayıcılarının (MSSP) listesini bulun. Diğer birçok MSSP, özellikle bölgesel ve daha küçük olanlar Microsoft Sentinel'i kullanır ancak MISA üyesi değildir.
Yolculuğunuza MSSP olarak başlamak için MSSP'ler için Microsoft Sentinel Teknik Playbook'larını okuyun. Bulut mimarisini ve çok kiracılı desteği kapsayan bir sonraki modülde MSSP desteği hakkında daha fazla bilgi yer alır.
Bölüm 2: Mimari oluşturma ve dağıtma
"Bölüm 1: Genel Bakış" birkaç dakika içinde Microsoft Sentinel'i kullanmaya başlamanın yollarını sunsa da, bir üretim dağıtımına başlamadan önce bir plan oluşturmak önemlidir.
Bu bölümde, çözümünüzün mimarisini oluştururken göz önünde bulundurmanız gereken alanlarda size yol gösterilir ve tasarımınızı nasıl uygulayabileceğinize ilişkin yönergeler sağlanır:
- Çalışma alanı ve kiracı mimarisi
- Veri toplama
- Günlük yönetimi
- Tehdit bilgileri alma
Modül 3: Çalışma alanı ve kiracı mimarisi
Microsoft Sentinel örneğine çalışma alanı adı verilir. Çalışma alanı, Log Analytics çalışma alanıyla aynıdır ve tüm Log Analytics özelliklerini destekler. Microsoft Sentinel'i Log Analytics çalışma alanının üzerine SIEM özellikleri ekleyen bir çözüm olarak düşünebilirsiniz.
Birden çok çalışma alanı genellikle gereklidir ve tek bir Microsoft Sentinel sistemi olarak birlikte hareket edebilir. Özel bir kullanım örneği, Microsoft Sentinel kullanarak (örneğin, bir MSSP (Yönetilen Güvenlik Hizmeti Sağlayıcısı) veya büyük bir kuruluştaki Genel SOC tarafından hizmet sağlamaktır.
Birden çok çalışma alanını tek bir Microsoft Sentinel sistemi olarak kullanma hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme veya web seminerini görüntüleme: YouTube, MP4 veya sunu.
Birden çok çalışma alanı kullanırken aşağıdakileri göz önünde bulundurun:
- Birden çok çalışma alanı kullanmak için önemli bir sürücü, veri yerleşimidir. Daha fazla bilgi için bkz . Microsoft Sentinel veri yerleşimi.
- Microsoft Sentinel'i dağıtmak ve içeriği birden çok çalışma alanında verimli bir şekilde yönetmek için, sürekli tümleştirme/sürekli teslim (CI/CD) teknolojisini kullanarak Microsoft Sentinel'i kod olarak yönetebilirsiniz. Microsoft Sentinel için önerilen en iyi yöntemlerden biri sürekli dağıtımı etkinleştirmektir. Daha fazla bilgi için bkz . Microsoft Sentinel depolarıyla yerel olarak sürekli dağıtımı etkinleştirme.
- Birden çok çalışma alanını BIR MSSP olarak yönetirken, Microsoft Sentinel'de MSSP fikri mülkiyetini korumak isteyebilirsiniz.
MSSP'ler için Microsoft Sentinel Teknik Playbook'u bu konuların çoğu için ayrıntılı yönergeler sağlar ve yalnızca MSSP'ler için değil, büyük kuruluşlar için yararlıdır.
Modül 4: Veri toplama
SIEM'in temeli telemetri verilerini toplamaktır: olaylar, uyarılar ve tehdit bilgileri, güvenlik açığı verileri ve varlık bilgileri gibi bağlamsal zenginleştirme bilgileri. Başvuruda bulunmak için kaynakların listesi aşağıdadır:
- Microsoft Sentinel veri bağlayıcılarını okuyun.
- Desteklenen ve kullanıma sunulan tüm veri bağlayıcılarını görmek için Microsoft Sentinel veri bağlayıcınızı bulma bölümüne gidin. Genel dağıtım yordamlarının bağlantılarını ve belirli bağlayıcılar için gereken ek adımları bulun.
- Veri toplama senaryoları: Logstash/CEF/WEF gibi toplama yöntemleri hakkında bilgi edinin. Diğer yaygın senaryolar tablolara yönelik izin kısıtlaması, günlük filtreleme, Amazon Web Services (AWS) veya Google Cloud Platform (GCP), Microsoft 365 ham günlüklerinden günlükleri toplama vb.dir. Tümü "Veri Toplama Senaryoları" web seminerinde bulunabilir: YouTube, MP4 veya sunu.
Her bağlayıcı için gördüğünüz ilk bilgi parçası, veri alımı yöntemidir. Görüntülenen yöntem, veri kaynaklarınızı Microsoft Sentinel'e bağlamak için ihtiyacınız olan bilgilerin çoğunu içeren aşağıdaki genel dağıtım yordamlarından birine bağlantı içerir:
Veri alma yöntemi | İlişkili makale |
---|---|
Azure hizmet-hizmet tümleştirmesi | Azure, Windows, Microsoft ve Amazon hizmetlerine Bağlan |
Syslog üzerinde Ortak Olay Biçimi (CEF) | Azure İzleyici Aracısı ile Syslog ve CEF iletilerini Microsoft Sentinel'e alma |
Microsoft Sentinel Veri Toplayıcı API'si | Veri almak için veri kaynağınızı Microsoft Sentinel Veri Toplayıcı API'sine Bağlan |
Azure İşlevleri ve REST API | Microsoft Sentinel'i veri kaynağınıza bağlamak için Azure İşlevleri kullanma |
Syslog | Azure İzleyici Aracısı ile Syslog ve CEF iletilerini Microsoft Sentinel'e alma |
Özel günlükler | Log Analytics aracısı ile Microsoft Sentinel'e özel günlük biçimlerinde veri toplama |
Kaynağınız kullanılamıyorsa özel bir bağlayıcı oluşturabilirsiniz. Özel bağlayıcılar alım API'sini kullanır ve bu nedenle doğrudan kaynaklara benzer. En sık kodsuz seçenek sunan Azure Logic Apps'i veya Azure İşlevleri kullanarak özel bağlayıcılar uygularsınız.
Modül 5: Günlük yönetimi
Microsoft Sentinel'i yapılandırırken göz önünde bulundurmanız gereken ilk mimari kararı, kaç çalışma alanı ve hangilerinin kullanılacağıdır. Dikkate alınması gereken diğer önemli günlük yönetimi mimari kararları şunlardır:
- Verilerin nerede ve ne kadar süreyle tutulacağı.
- Verilere erişimi en iyi şekilde yönetme ve güvenli bir şekilde sağlama.
Microsoft Sentinel'de verileri alma, arşivle, arama ve geri yükleme
Başlamak için "Günlük yaşam döngünüzü alma, arşivleme, arama ve geri yükleme için yeni yöntemlerle yönetme" web seminerini görüntüleyin.
Bu özellik paketi şunları içerir:
- Temel alım katmanı: Azure İzleyici Günlükleri için günlükleri daha düşük maliyetle almanızı sağlayan yeni bir fiyatlandırma katmanı. Bu veriler yalnızca sekiz gün boyunca çalışma alanında tutulur.
- Arşiv katmanı: Azure İzleyici Günlükleri saklama özelliğini iki yıldan yedi yıla genişletti. Bu yeni katmanla verileri yedi yıla kadar düşük maliyetli arşivlenmiş durumda tutabilirsiniz.
- Arama işleri: Tüm ilgili günlükleri bulmak ve döndürmek için sınırlı KQL çalıştıran görevleri arayın. Bu işler analiz katmanı, temel katman ve arşivlenmiş veriler arasında veri arar.
- Veri geri yükleme: Verileri geri yükleme tablosu aracılığıyla çalışma alanına geri yükleyebilmeniz için bir veri tablosu ve zaman aralığı seçmenize olanak tanıyan yeni bir özellik.
Bu yeni özellikler hakkında daha fazla bilgi için bkz . Microsoft Sentinel'de verileri alma, arşivle, arama ve geri yükleme.
Microsoft Sentinel platformu dışındaki alternatif bekletme seçenekleri
Verileri iki yıldan uzun süre saklamak veya saklama maliyetini azaltmak istiyorsanız Microsoft Sentinel günlüklerinin uzun süreli saklaması için Azure Veri Gezgini kullanmayı göz önünde bulundurun. Web semineri slaytlarına, web semineri kaydına veya bloga bakın.
Daha ayrıntılı bilgi mi istiyorsunuz? "ADX desteği, daha fazla varlık türü ve güncelleştirilmiş MITRE tümleştirmesi ile tehdit avcılığının kapsamını ve kapsamını geliştirme" web seminerini görüntüleyin.
Başka bir uzun süreli saklama çözümünü tercih ediyorsanız bkz. Microsoft Sentinel / Log Analytics çalışma alanından Azure Depolama ve Event Hubs'a aktarma veya Azure Logic Apps kullanarak günlükleri uzun vadeli depolamaya taşıma. Logic Apps kullanmanın avantajı, geçmiş verileri dışarı aktarabilmesidir.
Son olarak, tablo düzeyinde bekletme ayarlarını kullanarak ayrıntılı saklama süreleri ayarlayabilirsiniz. Daha fazla bilgi için bkz . Azure İzleyici Günlüklerinde veri saklama ve arşiv ilkelerini yapılandırma (Önizleme).
Günlük güvenliği
Birden çok ekibin tek bir çalışma alanı kullanmasını sağlamak için kaynak rol tabanlı erişim denetimini (RBAC) veya tablo düzeyinde RBAC'yi kullanın.
Gerekirse, çalışma alanlarınızdaki müşteri içeriğini silin.
Uyarı çalışma kitaplarını ve sorgularını kullanarak çalışma alanı sorgularını ve Microsoft Sentinel kullanımını denetlemeyi öğrenin.
Günlüklerin özel ağınızdan hiç ayrılmadığından emin olmak için özel bağlantıları kullanın.
Ayrılmış küme
Tahmini veri alımınız günde yaklaşık 500 GB veya daha fazlaysa ayrılmış bir çalışma alanı kümesi kullanın. Ayrılmış bir kümeyle Microsoft Sentinel verileriniz için kaynakların güvenliğini sağlayabilir ve bu sayede büyük veri kümeleri için daha iyi sorgu performansı sağlayabilirsiniz.
Modül 6: Zenginleştirme: Tehdit bilgileri, izleme listeleri ve daha fazlası
SIEM'in önemli işlevlerinden biri, olay buharı için algılama, uyarı önceliklendirme ve olay araştırması sağlayan bağlamsal bilgileri uygulamaktır. Bağlamsal bilgiler tehdit bilgileri, IP zekası, konak ve kullanıcı bilgileri ve izleme listeleri gibi bilgileri içerir.
Microsoft Sentinel, tehdit bilgilerini içeri aktarmak, yönetmek ve kullanmak için kapsamlı araçlar sağlar. Microsoft Sentinel, diğer bağlamsal bilgi türleri için izleme listeleri ve diğer alternatif çözümler sağlar.
Tehdit bilgileri
Tehdit bilgileri, bir SIEM'in önemli yapı taşlarıdır. "Microsoft Sentinel'de Tehdit Zekasının Gücünü Keşfedin" web seminerini görüntüleyin.
Microsoft Sentinel'de TAXII (Güvenilir Otomatik Gösterge Bilgileri Değişimi) sunucularından veya Microsoft Graph Güvenlik API'sinden yerleşik bağlayıcıları kullanarak tehdit bilgilerini tümleştirebilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit bilgileri tümleştirmesi. Tehdit bilgilerini içeri aktarma hakkında daha fazla bilgi için Bkz . Modül 4: Veri toplama bölümleri.
İçeri aktarıldıktan sonra tehdit bilgileri Microsoft Sentinel genelinde kapsamlı olarak kullanılır. Aşağıdaki özellikler tehdit bilgilerini kullanmaya odaklanır:
Microsoft Sentinel'in yeni Tehdit Bilgileri alanındaki Günlükler'de içeri aktarılan tehdit bilgilerini görüntüleyin ve yönetin.
Tehdit bilgileri çalışma kitabını kullanarak Microsoft Sentinel'de tehdit bilgilerinizle ilgili önemli bilgileri görselleştirin.
"RiskIQ Threat Intelligence ile Microsoft Sentinel ÖncelikLendirme Çalışmalarınızı Otomatikleştirin" web seminerini görüntüleyin: YouTube veya sunu.
Zamanı kısa mı? Ignite oturumunu görüntüleyin (28 dakika).
Daha ayrıntılı bilgi mi istiyorsunuz? "Tehdit bilgilerine derinlemesine bakış" web seminerini görüntüleyin: YouTube, MP4 veya sunu.
İzleme listeleri ve diğer arama mekanizmaları
Microsoft Sentinel, her tür bağlamsal bilgiyi içeri aktarmak ve yönetmek için izleme listeleri sağlar. İzleme listelerini kullanarak veri tablolarını CSV biçiminde karşıya yükleyebilir ve KQL sorgularınızda kullanabilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel'de izleme listelerini kullanma veya "Uyarıları yönetmek, uyarı yorgunluğunu azaltmak ve SOC verimliliğini artırmak için izleme listelerini kullanma" web seminerini görüntüleyin: YouTube veya sunu.
Aşağıdaki senaryolarda size yardımcı olması için izleme listelerini kullanın:
Tehditleri araştırın ve olaylara hızla yanıt verin: CSV dosyalarından IP adreslerini, dosya karmalarını ve diğer verileri hızla içeri aktarın. Verileri içeri aktardıktan sonra uyarı kuralları, tehdit avcılığı, çalışma kitapları, not defterleri ve genel sorgulardaki birleşimler ve filtreler için izleme listesi ad-değer çiftlerini kullanın.
İş verilerini izleme listesi olarak içeri aktarma: Örneğin, ayrıcalıklı sistem erişimi olan veya sonlandırılan çalışanların listesini içeri aktarın. Ardından, bu kullanıcıların ağda oturum açmasını algılamak veya engellemek için izin verilenler ve engelleme listeleri oluşturmak için izleme listesini kullanın.
Uyarı yorgunluğunu azaltma: Normalde uyarıyı tetikleyebilecek görevleri gerçekleştiren yetkili IP adreslerinden kullanıcılar gibi bir kullanıcı grubundan gelen uyarıları engellemek için izin verilenler listesi oluşturun. Zararsız olayların uyarı haline gelmesini önleyin.
Olay verilerini zenginleştirme: Olay verilerinizi dış veri kaynaklarından türetilen ad-değer birleşimleriyle zenginleştirmek için izleme listelerini kullanın.
İzleme listelerine ek olarak, bağlam bilgilerini yönetmek ve sorgulamak için KQL dış veri işlecini, özel günlükleri ve KQL işlevlerini kullanabilirsiniz. Dört yöntemin her birinin avantajları ve dezavantajları vardır ve aralarındaki karşılaştırmalar hakkında daha fazla bilgiyi "Microsoft Sentinel'de arama uygulama" blog gönderisinde okuyabilirsiniz. Her yöntem farklı olsa da, sorgularınızda elde edilen bilgilerin kullanılması benzerdir ve bunlar arasında kolayca geçiş yapmanızı sağlar.
Analiz kurallarının dışında izleme listelerini kullanma hakkında fikirler için bkz . Microsoft Sentinel araştırmaları sırasında verimliliği artırmak için izleme listelerini kullanma.
"Uyarıları yönetmek, uyarı yorgunluğunu azaltmak ve SOC verimliliğini artırmak için izleme listelerini kullanın" web seminerini görüntüleyin: YouTube veya sunu.
Modül 7: Günlük dönüşümü
Microsoft Sentinel, veri alımı ve dönüşümü için iki yeni özelliği destekler. Log Analytics tarafından sağlanan bu özellikler, çalışma alanınızda depolanmadan önce bile verileriniz üzerinde işlem gerçekleştirmektedir. Özellikler şunlardır:
Günlük alımı API'si: Herhangi bir veri kaynağından Log Analytics çalışma alanınıza özel biçimli günlükler göndermek ve ardından bu günlükleri belirli standart tablolarda veya oluşturduğunuz özel biçimlendirilmiş tablolarda depolamak için kullanın. Doğrudan API çağrılarını kullanarak bu günlüklerin gerçek alımını gerçekleştirebilirsiniz. Bu iş akışlarını tanımlamak ve yapılandırmak için Azure İzleyici veri toplama kurallarını kullanabilirsiniz.
Standart günlükler için çalışma alanı veri dönüştürmeleri: İlgisiz verileri filtrelemek, verilerinizi zenginleştirmek veya etiketlemek ya da hassas veya kişisel bilgileri gizlemek için veri toplama kurallarını kullanır. Veri dönüştürmeyi alma zamanında aşağıdaki yerleşik veri bağlayıcısı türleri için yapılandırabilirsiniz:
- Azure İzleyici aracısı (AMA) tabanlı veri bağlayıcıları (yeni Azure İzleyici aracısını temel alır)
- Microsoft monitoring agent (MMA) tabanlı veri bağlayıcıları (eski Azure İzleyici Günlükleri Aracısı temelinde)
- Tanılama ayarlarını kullanan veri bağlayıcıları
- Hizmet-hizmet veri bağlayıcıları
Daha fazla bilgi için bkz.
- Microsoft Sentinel'de veri alımı sırasında verileri dönüştürme veya özelleştirme
- Microsoft Sentinel veri bağlayıcınızı bulma
Modül 8: Geçiş
Çoğu durumda (çoğu durumda değilse) zaten bir SIEM'niz vardır ve Microsoft Sentinel'e geçiş yapmanız gerekir. SIEM uygulamanızı yeniden gözden geçirmek için iyi bir zaman olsa da, geçerli uygulamanızda önceden oluşturmuş olduğunuz bazı varlıkları kullanmak mantıklıdır. "Algılama kurallarını dönüştürmek için en iyi yöntemler" (Splunk, QRadar ve ArcSight'tan Azure Microsoft Sentinel'e) web seminerini görüntüleyin: YouTube, MP4, sunu veya blog.
Aşağıdaki kaynaklarla da ilgilenebilirsiniz:
Modül 9: Gelişmiş SIEM bilgi modeli ve normalleştirme
Çeşitli veri türleri ve tablolarla birlikte çalışmak bir zorluk oluşturabilir. Yazarken ve benzersiz bir analiz kuralları, çalışma kitapları ve tehdit avcılığı sorguları kümesi kullanırken bu veri türlerini ve şemaları tanımanız gerekir. Araştırma ve tehdit avcılığı için gerekli olan veri türleri arasında bağıntı da karmaşık olabilir.
Gelişmiş SIEM bilgi modeli (ASIM), çeşitli kaynakları tekdüzen ve normalleştirilmiş görünümlerde işlemek için sorunsuz bir deneyim sağlar. ASIM, Açık Kaynak Güvenlik Olayları Meta Verileri (OSSEM) ortak bilgi modeliyle uyumlu hale getirir ve satıcıdan bağımsız, sektör genelinde normalleştirmeyi teşvik eder. "Gelişmiş SIEM bilgi modeli (ASIM): Artık Microsoft Sentinel'de yerleşiktir" web seminerini görüntüleyin: YouTube veya sunu.
Geçerli uygulama, KQL işlevlerini kullanan sorgu süresi normalleştirmesini temel alır:
- Normalleştirilmiş şemalar , birlikte çalışması ve birleştirilmiş özellikler oluşturması kolay standart tahmin edilebilir olay türleri kümelerini kapsar. Şema, hangi alanların bir olayı, normalleştirilmiş sütun adlandırma kuralını ve alan değerleri için standart biçimi temsil etmesi gerektiğini tanımlar.
Ayrıştırıcılar mevcut verileri normalleştirilmiş şemalarla eşler. Ayrıştırıcıları KQL işlevlerini kullanarak uygularsınız. "ASIM'i genişletme ve yönetme: Ayrıştırıcı geliştirme, test etme ve dağıtma" web seminerini görüntüleyin: YouTube veya sunu.
Normalleştirilmiş her şemanın içeriği analiz kurallarını, çalışma kitaplarını ve tehdit avcılığı sorgularını içerir. Bu içerik, kaynağa özgü içerik oluşturmaya gerek kalmadan normalleştirilmiş veriler üzerinde çalışır.
ASIM kullanmak aşağıdaki avantajları sağlar:
Kaynaklar arası algılama: Normalleştirilmiş analiz kuralları şirket içindeki ve buluttaki kaynaklar arasında çalışır. Kurallar deneme yanılma gibi saldırıları veya Okta, AWS ve Azure gibi sistemler arasında imkansız seyahatleri algılar.
Kaynak belirsiz içeriğe izin verir: ASIM kullanarak yerleşik ve özel içeriği kapsayan içerik, içerik oluşturulduktan sonra eklenmiş olsa bile ASIM'i destekleyen herhangi bir kaynağa otomatik olarak genişletir. Örneğin, işlem olay analizi Uç Nokta için Microsoft Defender, Windows Olayları ve Sysmon dahil olmak üzere müşterinin verileri getirmek için kullanabileceği tüm kaynakları destekler. Yayınlandığında Linux ve WEF için Sysmon eklemeye hazırız.
Yerleşik analizde özel kaynaklarınız için destek
Kullanım kolaylığı: ASIM öğrenen analistler, alan adları her zaman aynı olduğundan sorgu yazmayı çok daha kolay bulur.
ASIM hakkında daha fazla bilgi edinin
Şu kaynaklardan yararlanın:
"Azure Sentinel'de normalleştirmeyi anlama" genel bakış web seminerini görüntüleyin: YouTube veya sunu.
"Microsoft Sentinel ayrıştırıcıları ve normalleştirilmiş içeriği normalleştirmeye derinlemesine bakış" web seminerini görüntüleyin: YouTube, MP3 veya sunu.
"Turboşarj ASIM: Normalleştirmenin performansa etki etmekten çok yardımcı olduğundan emin olun" web seminerini görüntüleyin: YouTube, MP4 veya sunu.
ASIM belgelerini okuyun.
ASIM dağıtma
GitHub'daki ayrıştırıcılar klasöründeki "ASIM*" ile başlayarak klasörlerdeki ayrıştırıcıları dağıtın.
ASIM kullanan analiz kurallarını etkinleştirin. Bazılarını bulmak için şablon galerisinde normal ifadesini arayın. Listenin tamamını almak için bu GitHub aramasını kullanın.
ASIM kullanma
Günlük ekranında KQL kullanırken ASIM sorgularını kullanın.
ASIM kullanarak kendi analiz kurallarınızı yazın veya mevcut kuralları dönüştürün.
AsIM uyumlu hale getirmek ve yerleşik analizde yer almak için özel kaynaklarınız için ayrıştırıcılar yazın.
Bölüm 3: İçerik oluşturma
Microsoft Sentinel içeriği nedir?
Microsoft Sentinel güvenliğinin değeri, yerleşik özelliklerini ve özel özellikler oluşturup yerleşik özellikleri özelleştirme yeteneğinizi bir arada sunar. Yerleşik özellikler arasında Kullanıcı ve Varlık Davranış Analizi (UEBA), makine öğrenmesi veya hazır analiz kuralları vardır. Özelleştirilmiş özellikler genellikle "içerik" olarak adlandırılır ve analiz kurallarını, tehdit avcılığı sorgularını, çalışma kitaplarını, playbook'ları vb. içerir.
Bu bölümde, bu tür içerik oluşturmayı veya yerleşik içeriği gereksinimlerinize göre değiştirmeyi öğrenmenize yardımcı olan modülleri gruplandırdık. Azure Microsoft Sentinel'in lingua franca'sı KQL ile başlıyoruz. Aşağıdaki modüllerde kurallar, playbook'lar ve çalışma kitapları gibi içerik yapı taşları ele alınacaktır. Bunlar, tehdit algılama, tehdit avcılığı veya idare gibi belirli güvenlik hedeflerine yönelik farklı türlerdeki öğeleri kapsayan kullanım örneklerini tartışarak tamamlar.
Modül 10: Kusto Sorgu Dili
Microsoft Sentinel özelliklerinin çoğu Kusto Sorgu Dili (KQL) kullanır. Günlüklerinizde arama yaparken, kurallar yazarken, tehdit avcılığı sorguları oluştururken veya çalışma kitapları tasarlarken KQL kullanırsınız.
Kuralları yazmayla ilgili sonraki bölümde, KQL'in SIEM kuralları bağlamında nasıl kullanılacağı açıklanmaktadır.
Microsoft Sentinel KQL öğrenmek için önerilen yolculuk
Pluralsight KQL kursu: Size temel bilgileri verir
KQL'yi Öğrenmeli: İlk analiz kuralınızı oluşturmanın temellerini gösteren 20 bölümlü bir KQL serisi (değerlendirme ve sertifika içerir)
Microsoft Sentinel KQL Laboratuvarı: Microsoft Sentinel için neye ihtiyacınız olduğuna odaklanarak KQL'yi öğreten etkileşimli bir laboratuvar:
- Öğrenme modülü (SC-200 bölüm 4)
- Sunu veya laboratuvar URL'si
- Not defterindeki sorguları test etmenizi sağlayan Jupyter not defterleri sürümü
- Web semineri öğrenme: YouTube veya MP4
- Laboratuvar çözümleri web seminerini gözden geçirme: YouTube veya MP4
"Azure Microsoft Sentinel KQL sorgu performansını iyileştirme" web semineri: YouTube, MP4 veya sunu
"Microsoft Sentinel için KQL çerçevesi: KQL meraklısı olmanıza yardımcı olma" web semineri: YouTube veya sunu
KQL'yi öğrenirken aşağıdaki başvuruları da yararlı bulabilirsiniz:
Modül 11: Analiz
Zamanlanmış analiz kuralları yazma
Microsoft Sentinel ile yerleşik kural şablonlarını kullanabilir, ortamınız için şablonları özelleştirebilir veya özel kurallar oluşturabilirsiniz. Kuralların temeli bir KQL sorgusudur; ancak, bir kuralda yapılandırılandan çok daha fazlası vardır.
Kural oluşturma yordamını öğrenmek için bkz . Tehditleri algılamak için özel analiz kuralları oluşturma. Kuralların nasıl yazıldığını öğrenmek için (başka bir ifadeyle bir kurala girilmesi gerekenler, kurallar için KQL'ye odaklanmak) web seminerini görüntüleyin: YouTube, MP4 veya sunu.
SIEM analiz kurallarının belirli desenleri vardır. Kuralları uygulamayı ve bu desenler için KQL yazmayı öğrenin:
Bağıntı kuralları: Bkz . Listeleri ve "in" işlecini kullanma veya "join" işlecini kullanma
Toplama: Bkz . Listeleri ve "in" işlecini kullanma veya kayan pencereleri daha gelişmiş bir desen işleme
Aramalar: Normal veya yaklaşık, kısmi ve birleşik aramalar
Hatalı pozitif sonuçları işleme
Gecikmeli olaylar: Herhangi bir SIEM'deki yaşamın bir gerçeğidir ve bunların üstesinden gelmek zordur. Microsoft Sentinel, kurallarınızdaki gecikmeleri azaltmanıza yardımcı olabilir.
KQL işlevlerini yapı taşları olarak kullanın: parametreli işlevlerle Windows Güvenliği Olaylarını zenginleştirin.
"Blob ve Dosya depolama araştırmaları" blog gönderisi, yararlı bir analiz kuralı yazmanın adım adım bir örneğini sağlar.
Yerleşik analiz kullanma
Kendi kural yazmaya başlamadan önce yerleşik analiz özelliklerinden yararlanmayı göz önünde bulundurun. Sizden çok fazla şey gerektirmezler, ancak bunları öğrenmeye değer:
Yerleşik zamanlanmış kural şablonlarını kullanın. Bu şablonları, zamanlanmış herhangi bir kuralı düzenlemek için aynı şekilde değiştirerek ayarlayabilirsiniz. Bağlandığınız veri bağlayıcıları için, sonraki adımlar sekmesinde listelenen şablonları dağıttığınıza emin olun.
Microsoft Sentinel makine öğrenmesi özellikleri hakkında daha fazla bilgi edinin: YouTube, MP4 veya sunu.
Varsayılan olarak etkinleştirilen Microsoft Sentinel gelişmiş, çok aşamalı saldırı algılamalarının (Fusion) listesini alın.
"Zamanlanmış analiz kurallarıyla Fusion makine öğrenmesi algılamaları" web seminerini görüntüleyin: YouTube, MP4 veya sunu.
Microsoft Sentinel yerleşik SOC-machine learning anomalileri hakkında daha fazla bilgi edinin.
"Özelleştirilmiş SOC-machine learning anomalileri ve bunların nasıl kullanılacağı" web seminerini görüntüleyin: YouTube, MP4 veya sunu.
"Yeni ortaya çıkan tehditler ve yapılandırma kullanıcı arabirimi için Fusion makine öğrenmesi algılamaları" web seminerini görüntüleyin: YouTube veya sunu.
Modül 12: SOAR Uygulama
Microsoft Sentinel gibi modern SIEM'lerde SOAR, bir olayın tetiklendiği andan çözümlenene kadar sürecin tamamını oluşturur. Bu işlem bir olay araştırması ile başlar ve otomatik yanıtla devam eder. "Olay Yanıtı, Orchestration ve Otomasyon için Microsoft Sentinel'i kullanma" blog gönderisi, SOAR için yaygın kullanım örneklerine genel bir bakış sağlar.
Otomasyon kuralları , Microsoft Sentinel otomasyonu için başlangıç noktasıdır. Gizleme, hatalı pozitif işleme ve otomatik atama dahil olmak üzere olayların merkezi ve otomatik olarak işlenmesi için basit bir yöntem sağlar.
Sağlam iş akışı tabanlı otomasyon özellikleri sağlamak için otomasyon kuralları Logic Apps playbook'larını kullanır. Daha fazlasını öğrenin:
"Otomasyon Jedi püf noktalarını açığa çıkarın ve patron gibi Logic Apps playbook'ları oluşturun" web seminerini görüntüleyin: YouTube, MP4 veya sunu.
Microsoft Sentinel playbook'larını yönlendiren temel teknoloji olan Logic Apps hakkında bilgi edinin.
Microsoft Sentinel GitHub sitesindeki Playbook'lar klasöründe onlarca yararlı playbook bulun veya abonelik sahibini playbook kılavuzu uyarısı hakkında bilgilendirmek için izleme listesi kullanarak playbook'u okuyun.
Modül 13: Çalışma kitapları, raporlama ve görselleştirme
Çalışma Kitapları
SOC'nizin sinir merkezi olarak, topladığı ve ürettiği bilgileri görselleştirmek için Microsoft Sentinel gereklidir. Microsoft Sentinel'de verileri görselleştirmek için çalışma kitaplarını kullanın.
Çalışma kitapları oluşturmayı öğrenmek için Azure Çalışma Kitapları belgelerini okuyun veya Billy York'un Çalışma Kitapları eğitimini (ve birlikte gelen metni) izleyin.
Bahsedilen kaynaklar Microsoft Sentinel'e özgü değildir. Bunlar genel olarak çalışma kitaplarına uygulanır. Microsoft Sentinel'deki çalışma kitapları hakkında daha fazla bilgi edinmek için web seminerini görüntüleyin: YouTube, MP4 veya sunu. Belgeleri okuyun.
Çalışma kitapları etkileşimli olabilir ve grafik oluşturmadan çok daha fazlasını etkinleştirebilir. Çalışma kitaplarıyla, Microsoft Sentinel'in yerleşik işlevselliğini tamamlayacak uygulamalar veya uzantı modülleri oluşturabilirsiniz. Microsoft Sentinel'in özelliklerini genişletmek için çalışma kitaplarını da kullanabilirsiniz. Bu tür uygulamalara birkaç örnek aşağıda verilmiştir:
Araştırma Analizler Çalışma Kitabı, olayları araştırmak için alternatif bir yaklaşım sağlar.
Dış Teams işbirliği graf görselleştirmesi , riskli Teams kullanımı için avlanmaya olanak tanır.
Kullanıcıların seyahat haritası çalışma kitabı , coğrafi konum uyarılarını araştırmanıza olanak tanır.
Microsoft Sentinel güvenli olmayan protokoller çalışma kitabı uygulama kılavuzu, son geliştirmeler ve genel bakış videosu) ağınızda güvenli olmayan protokollerin kullanımını belirlemenize yardımcı olur.
Son olarak, bir çalışma kitabındaki API çağrılarını kullanarak herhangi bir kaynaktan bilgileri tümleştirmeyi öğrenin.
Microsoft Sentinel GitHub'daki Çalışma Kitapları klasöründe onlarca çalışma kitabı bulabilirsiniz. Bunlardan bazıları Microsoft Sentinel çalışma kitapları galerisinde de kullanılabilir.
Raporlama ve diğer görselleştirme seçenekleri
Çalışma kitapları raporlama için kullanılabilir. Rapor zamanlama ve dağıtım veya özet tablolar gibi daha gelişmiş raporlama özellikleri için şunları kullanmak isteyebilirsiniz:
Azure İzleyici Günlükleri ve Microsoft Sentinel ile yerel olarak tümleşen Power BI.
Veri kaynağı olarak Azure İzleyici Günlüklerini ve Microsoft Sentinel'i kullanabilen Ve "Azure İzleyici Günlüklerini ve Excel'i Azure İzleyici ile Tümleştirme" videosunu görüntüleyebilen Excel.
Tehdit avcılığı modülünün ilerleyen bölümlerinde ele alınan bir konu olan Jupyter not defterleri de harika bir görselleştirme aracıdır.
Modül 14: Not Defterleri
Jupyter not defterleri Microsoft Sentinel ile tamamen tümleşiktir. Avcının alet göğsünde önemli bir araç olarak kabul edilse de ve avlanma bölümündeki web seminerlerini tartışsa da, değerleri çok daha geniştir. Not defterleri gelişmiş görselleştirme, araştırma kılavuzu ve gelişmiş otomasyon için kullanılabilir.
Not defterlerini daha iyi anlamak için Not defterlerine giriş videosunu görüntüleyin. Not defterleri web seminerini (YouTube, MP4 veya sunu) kullanmaya başlayın veya belgeleri okuyun. Microsoft Sentinel Notebooks Ninja serisi, not defterlerinde size destek olmak için devam eden bir eğitim serisidir.
Tümleştirmenin önemli bir parçası, araştırma ekibimiz tarafından Jupyter not defterleriyle kullanılmak üzere geliştirilen bir Python kitaplığı olan MSTICPy tarafından uygulanır. Not defterlerinize Microsoft Sentinel arabirimleri ve gelişmiş güvenlik özellikleri ekler.
Modül 15: Kullanım örnekleri ve çözümleri
Bağlayıcılar, kurallar, playbook'lar ve çalışma kitaplarıyla, bir tehdidi algılamayı ve yanıtlamayı amaçlayan bir içerik paketi için SIEM terimi olan kullanım örneklerini uygulayabilirsiniz. Her bağlayıcıyı bağlarken önerilen kuralları etkinleştirerek Microsoft Sentinel yerleşik kullanım örneklerini dağıtabilirsiniz. Çözüm, belirli bir tehdit etki alanını ele alan bir kullanım örnekleri grubudur.
"KimlikLe Mücadele" web semineri (YouTube, MP4 veya sunu) kullanım örneğinin ne olduğunu ve tasarımına nasıl yaklaşıldığını açıklar ve kimlik tehditlerini topluca ele alan çeşitli kullanım örnekleri sunar.
Bir diğer ilgili çözüm alanı da uzaktan çalışmayı korumaktır. Uzaktan çalışmayı koruma hakkında Ignite oturumumuzu görüntüleyin ve aşağıdaki özel kullanım örnekleri hakkında daha fazla bilgi edinin:
Microsoft Teams tehdit avcılığı kullanım örnekleri ve dış Microsoft Teams işbirliği graf görselleştirmesi
Microsoft Sentinel ile Yakınlaştırmayı İzleme: özel bağlayıcılar, analiz kuralları ve tehdit avcılığı sorguları.
Microsoft Sentinel ile Azure Sanal Masaüstü'nü izleme: Azure Sanal Masaüstü tehditlerini algılamak ve aramak için Windows Güvenliği Olayları, Microsoft Entra oturum açma günlüklerini, Uç Noktalar için Microsoft Defender XDR'yi ve Azure Sanal Masaüstü tanılama günlüklerini kullanın.
Sorguları ve çalışma kitaplarını kullanarak Microsoft Intune'u izleyin.
Son olarak, son saldırılara odaklanarak Microsoft Sentinel ile yazılım tedarik zincirini izlemeyi öğrenin.
Microsoft Sentinel çözümleri, Microsoft Sentinel'de ürün içi bulunabilirlik, tek adımlı dağıtım ve uçtan uca ürün, etki alanı ve/veya dikey senaryoların etkinleştirilmesini sağlar. Daha fazla bilgi için Bkz . Microsoft Sentinel içeriği ve çözümleri hakkında ve "Kendi Microsoft Sentinel çözümlerinizi oluşturma" web seminerini görüntüleyin: YouTube veya sunu.
Bölüm 4: İşletim
Modül 16: Olayları işleme
SOC'nizi derledikten sonra kullanmaya başlamanız gerekir. "Bir SOC analistinin hayatındaki gün" web semineri (YouTube, MP4 veya sunu), olayları önceliklendirmek, araştırmak ve yanıtlamak için SOC'de Microsoft Sentinel'i kullanmada size yol gösterir.
Ekiplerinizin kuruluş genelinde ve dış paydaşlarla sorunsuz bir şekilde işbirliği yapmasına yardımcı olmak için bkz . Doğrudan Microsoft Sentinel'den Microsoft Teams ile tümleştirme. Ayrıca "Microsoft Sentinel'i Microsoft Teams ile tümleştirerek SOC'nizin MTTR'sini (Ortalama Yanıt Verme Süresi) azaltın" web seminerini görüntüleyin.
Olay araştırması ile ilgili belge makalesini de okumak isteyebilirsiniz. Araştırmanın bir parçası olarak, olayınızla ilgili veya araştırmanızın bir parçası olarak tanımlanan varlıklar hakkında daha fazla bilgi edinmek için varlık sayfalarını da kullanacaksınız.
Microsoft Sentinel'de olay araştırması, temel olay araştırma işlevinin ötesine uzanır. Çalışma kitaplarını ve not defterlerini kullanarak daha fazla araştırma aracı oluşturabilirsiniz. Sonraki bölüm olan Modül 17: Tehdit Avcılığı bölümünde Not Defterleri ele alınacaktır. Ayrıca daha fazla araştırma aracı oluşturabilir veya mevcut araçları kendi ihtiyaçlarınıza göre değiştirebilirsiniz. Örnekler şunları içerir:
Araştırma Analizler Çalışma Kitabı, olayları araştırmak için alternatif bir yaklaşım sağlar.
Not defterleri araştırma deneyimini geliştirir. Güvenlik araştırmaları için Jupyter neden kullanılıyor? makalesini okuyun ve Microsoft Sentinel ve Jupyter not defterlerini kullanarak araştırmayı öğrenin:
Modül 17: Avcılık
Şimdiye kadarki tartışmaların çoğu algılama ve olay yönetimine odaklanmış olsa da, microsoft Sentinel için bir diğer önemli kullanım örneği de avcılıktır . Tehdit avcılığı, uyarılara tepkisel bir yanıt yerine proaktif bir tehdit aramasıdır.
Tehdit avcılığı panosu sürekli olarak güncelleştirilir. Microsoft güvenlik analistleri ekibi tarafından yazılan tüm sorguları ve oluşturduğunuz veya değiştirdiğiniz ek sorguları gösterir. Her sorgu neyin peşinde olduğunu ve ne tür veriler üzerinde çalıştığının açıklamasını sağlar. Bu şablonlar çeşitli taktiklerine göre gruplandırılır. Sağdaki simgeler, ilk erişim, kalıcılık ve sızdırma gibi tehdit türlerini kategorilere ayırır. Daha fazla bilgi için bkz . Microsoft Sentinel ile tehditleri avlama.
Avlanmanın ne olduğu ve Microsoft Sentinel'in bunu nasıl desteklediği hakkında daha fazla bilgi edinmek için giriş niteliğindeki "Tehdit avcılığı" web seminerini görüntüleyin: YouTube, MP4 veya sunu. Web semineri yeni özelliklerle ilgili bir güncelleştirmeyle başlar. Avlanma hakkında bilgi edinmek için 12. slaytta başlayın. YouTube videosu zaten buradan başlayacak şekilde ayarlanmıştır.
Giriş niteliğindeki web semineri araçlara odaklansa da, avcılık tamamen güvenlikle ilgili. Güvenlik araştırma ekibimizin web semineri (YouTube, MP4 veya sunu) aslında nasıl avlanabileceğinize odaklanır.
"Microsoft Sentinel kullanarak AWS tehdit avcılığı" (YouTube, MP4 veya sunu) adlı takip web semineri, yüksek değerli bir hedef ortamda uçtan uca bir tehdit avcılığı senaryosu göstererek noktayı oluşturur.
Son olarak, şirket içi Microsoft Exchange sunucularındaki en son güvenlik açıklarının motivasyonuyla Microsoft Sentinel ve WebShell avcılığı ile SolarWinds'in güvenlik açığı sonrası avcılık yapmayı öğrenebilirsiniz.
Modül 18: Kullanıcı ve Varlık Davranış Analizi (UEBA)
Yeni kullanıma sunulan Microsoft Sentinel Kullanıcı ve Varlık Davranışı Analizi (UEBA) modülü, güvenliği aşılmış bir varlıktan veya kötü amaçlı bir içeriden gelen tehditleri ve bunların olası etkilerini belirlemenize ve araştırmanıza olanak tanır.
Microsoft Sentinel tüm bağlı veri kaynaklarından günlükleri ve uyarıları toplarken, bunları analiz eder ve zaman ve eş grubu ufukta kuruluşunuzun varlıklarının (kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi) temel davranış profillerini oluşturur. Microsoft Sentinel, çeşitli teknikler ve makine öğrenmesi özellikleri sayesinde anormal etkinlikleri tanımlayabilir ve bir varlığın gizliliğinin tehlikeye atılıp aşılmadığını belirlemenize yardımcı olabilir. Yalnızca bu değil, aynı zamanda belirli varlıkların göreli duyarlılığını da belirleyebilir, eş varlık gruplarını tanımlayabilir ve tehlikeye girmiş herhangi bir varlığın potansiyel etkisini ("patlama yarıçapı") değerlendirebilir. Bu bilgilerle birlikte, araştırmanıza ve olay işlemenize etkili bir şekilde öncelik vekleyebilirsiniz.
Web seminerini (YouTube, MP4 veya sunu) görüntüleyerek UEBA hakkında daha fazla bilgi edinin ve SOC'nizde araştırma için UEBA kullanma hakkında bilgi edinin.
En son güncelleştirmeler hakkında bilgi edinmek için "Microsoft Sentinel'de Kullanıcıların Geleceği Varlık Davranış Analizi" web seminerini görüntüleyin.
Modül 19: Microsoft Sentinel'in durumunu izleme
SIEM'i çalıştırmanın bir parçası, sorunsuz çalıştığından ve Azure Microsoft Sentinel'de gelişen bir alan olduğundan emin olmaktır. Microsoft Sentinel'in durumunu izlemek için aşağıdakileri kullanın:
Güvenlik işlemlerinizin verimliliğini ölçme (video).
Microsoft Sentinel Health veri tablosu, bağlayıcı başına en son hata olayları veya başarılıdan hata durumlarına kadar değişen bağlayıcılar gibi sistem durumu kaymaları hakkında içgörüler sağlar. Bu bilgileri kullanarak uyarılar ve diğer otomatik eylemler oluşturabilirsiniz. Daha fazla bilgi için bkz . Veri bağlayıcılarınızın durumunu izleme. "Veri Bağlan örleri Sistem Durumu İzleyicisi Çalışma Kitabı" videosunu görüntüleyin. Anomaliler hakkında da bildirim alın.
Aracıların sistem durumu çözümünü (yalnızca Windows) ve Sinyal tablosunu (Linux ve Windows) kullanarak aracıları izleyin.
Log Analytics çalışma alanınızı izleyin: Sorgu yürütme ve alma durumu dahil olmak üzere YouTube, MP4 veya sunu.
Maliyet yönetimi, SOC'de de önemli bir operasyonel prosedürdür. Maliyet artışlarının her zaman farkında olduğunuzdan emin olmak için Veri Alımı Maliyet Uyarısı Playbook'unu kullanın.
Bölüm 5: Gelişmiş
Modül 20: Microsoft Sentinel API'lerini kullanarak genişletme ve tümleştirme
Bulutta yerel bir SIEM olarak Microsoft Sentinel, API öncelikli bir sistemdir. Her özellik bir API aracılığıyla yapılandırılabilir ve kullanılabilir, böylece diğer sistemlerle kolay tümleştirme ve Microsoft Sentinel'i kendi kodunuzla genişletebilirsiniz. API size korkutucu geliyorsa endişelenmeyin. API kullanılarak sağlanan her şey PowerShell kullanılarak da kullanılabilir.
Microsoft Sentinel API'leri hakkında daha fazla bilgi edinmek için kısa tanıtım videosunu görüntüleyin ve blog gönderisini okuyun. Daha ayrıntılı bilgi için "Sentinel'i (API'ler) genişletme ve tümleştirme" web seminerini (YouTube, MP4 veya sunu) görüntüleyin ve Microsoft Sentinel'i genişletme: API'ler, tümleştirme ve yönetim otomasyonu blog gönderisini okuyun.
Modül 21: Kendi makine öğrenmenizi oluşturma
Microsoft Sentinel, kendi makine öğrenmesi algoritmalarınızı uygulamak için harika bir platform sağlar. Buna Kendi makine öğrenmesi modelinizi oluşturun veya BYO ML adını verdik. BYO ML, ileri düzey kullanıcılara yöneliktir. Yerleşik davranış analizi arıyorsanız makine öğrenmesi analiz kurallarımızı veya UEBA modülümüzü kullanın veya kendi davranış analizi KQL tabanlı analiz kurallarınızı yazın.
Microsoft Sentinel'e kendi makine öğrenmenizi getirmekle başlamak için "Kendi makine öğrenmesi modelinizi oluşturun" videosunu görüntüleyin ve yapay zekayla batırılmış Azure Sentinel SIEM blog gönderisindeki Kendi makine öğrenmesi modeli algılamalarını oluşturun makalesini okuyun. BYO ML belgelerine de başvurmak isteyebilirsiniz.
Sonraki adımlar
- Microsoft Sentinel için dağıtım kılavuzu
- Hızlı Başlangıç: Microsoft Sentinel'i Ekleme
- Microsoft Sentinel'deki yenilikler
Önerilen içerik
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin