Aracılığıyla paylaş

Microsoft Sentinel beceri geliştirme eğitimi

  • Makale

Bu makale, Microsoft Sentinel'i geliştirmenize yardımcı olmak için düzey 400 eğitiminde size yol gösterir. Eğitim, ilgili ürün belgelerini, blog gönderilerini ve diğer kaynakları sunan 21 kendi hızındaki modülden oluşur.

Burada listelenen modüller, Güvenlik İşlem Merkezi'nin (SOC) yaşam döngüsünü izleyen beş bölüme ayrılmıştır:

Bölüm 1: Genel Bakış

Bölüm 2: Mimari oluşturma ve dağıtma

Bölüm 3: İçerik oluşturma

Bölüm 4: İşletim

Bölüm 5: Gelişmiş

Bölüm 1: Genel Bakış

Modül 0: Diğer öğrenme ve destek seçenekleri

Bu beceri geliştirme eğitimi, Microsoft Sentinel Ninja eğitimini temel alan bir düzey 400 eğitimidir. Bu kadar derine inmek istemiyorsanız veya çözmeniz gereken belirli bir sorununuz varsa, diğer kaynaklar daha uygun olabilir:

  • Beceri geliştirme eğitimi kapsamlı olsa da, doğal olarak bir betiği izlemesi gerekir ve her konuyu genişletemez. Her makale hakkında bilgi için başvuruda bulunan belgelere bakın.
  • Artık, Microsoft Sentinel'i kapsayan yeni SC-200: Microsoft Güvenlik İşlemleri Analisti sertifikasına sahip olabilirsiniz. Microsoft Güvenlik paketinin daha geniş ve üst düzey bir görünümü için SC-900: Microsoft Güvenliği, Uyumluluk ve Kimlik TemelLeri veya AZ-500: Microsoft Azure Güvenlik Teknolojileri konusunu da göz önünde bulundurmanız gerekebilir.
  • Microsoft Sentinel'de zaten yetenekliyseniz, yenilikleri takip edin veya gelecek sürümlere daha önceki bir görünüm için Microsoft Cloud Security Özel Topluluk programına katılın.
  • Bizimle paylaşmak istediğiniz bir özellik fikriniz var mı? Microsoft Sentinel kullanıcı sesi sayfasından bize bildirin.
  • Premier müşteri misiniz? Yerinde veya uzak, dört günlük Microsoft Sentinel Temel Bilgiler Atölyesi'ni isteyebilirsiniz. Daha fazla ayrıntı için Müşteri Başarısı Hesap Yöneticinize başvurun.
  • Belirli bir sorununuz mu var? Microsoft Sentinel Teknoloji Topluluğu'nda sorun (veya başkalarına yanıt verin). İsterseniz sorunuzu veya sorununuzu adresinden bize MicrosoftSentinel@microsoft.come-postayla gönderebilirsiniz.

Modül 1: Microsoft Sentinel'i kullanmaya başlama

Microsoft Sentinel ölçeklenebilir, bulutta yerel, güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıtı (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde güvenlik analizi ve tehdit bilgileri sunar. Uyarı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sağlar. Daha fazla bilgi için bkz . Microsoft Sentinel nedir?.

Microsoft Sentinel'in teknik özelliklerine genel bir bakış elde etmek istiyorsanız en son Ignite sunusu iyi bir başlangıç noktasıdır. Microsoft Sentinel Için Hızlı Başlangıç Kılavuzu'nu da yararlı bulabilirsiniz (site kaydı gereklidir).

Bu Microsoft Sentinel web seminerinde daha ayrıntılı bir genel bakış bulabilirsiniz: YouTube, MP4 veya sunu.

Son olarak, kendiniz denemek ister misiniz? Microsoft Sentinel All-In-One Hızlandırıcısı (blog, YouTube, MP4 veya sunu) kullanmaya başlamak için kolay bir yol sunar. Kullanmaya başlamayı öğrenmek için ekleme belgelerini gözden geçirin veya Insight'ın Microsoft Sentinel kurulum ve yapılandırma videosunu görüntüleyin.

Diğer kullanıcılardan öğrenin

Binlerce kuruluş ve hizmet sağlayıcısı Microsoft Sentinel kullanıyor. Güvenlik ürünlerinde her zamanki gibi çoğu kuruluş bu konuda genel kullanıma açık değildir. Yine de şunlara sahip olan birkaç kişi vardır:

  • Genel müşteri kullanım örneklerini bulun.
  • ASOS Güvenlik Operasyonları Yöneticisi Stuart Gregg, Microsoft Sentinel deneyiminden avlanmaya odaklanan çok daha ayrıntılı bir blog gönderisi yayınladı.

Analistlerden öğrenin

Modül 2: Microsoft Sentinel nasıl kullanılır?

Birçok kuruluş, birincil SIEM olarak Microsoft Sentinel kullanır. Bu kurstaki modüllerin çoğu bu kullanım örneğini kapsar. Bu modülde Microsoft Sentinel'i kullanmanın birkaç ek yolunu sunuyoruz.

Microsoft Güvenlik yığınının bir parçası olarak

Windows, Azure ve Office gibi Microsoft iş yüklerinizi korumak için Microsoft Sentinel, Bulut için Microsoft Defender ve Microsoft Defender XDR'yi birlikte kullanın:

Çoklu bulut iş yüklerinizi izlemek için

Bulut (hala) yenidir ve genellikle şirket içi iş yükleri kadar kapsamlı olarak izlenmez. Microsoft Sentinel'in bulutlarınız genelindeki bulut izleme açığını kapatmanıza nasıl yardımcı olabileceğini öğrenmek için bu sunuyu okuyun.

Mevcut SIEM'nizle yan yana

Geçiş dönemi veya daha uzun bir dönem için bulut iş yükleriniz için Microsoft Sentinel kullanıyorsanız, mevcut SIEM'inizle birlikte Microsoft Sentinel kullanıyor olabilirsiniz. Her ikisini de Şimdi Hizmet Gibi bir bilet sistemiyle kullanıyor olabilirsiniz.

Başka bir SIEM'den Microsoft Sentinel'e geçiş hakkında daha fazla bilgi için geçiş web seminerini görüntüleyin: YouTube, MP4 veya sunu.

Yan yana dağıtım için üç yaygın senaryo vardır:

Ayrıca, Graph Güvenlik API'sini kullanarak microsoft Sentinel'den üçüncü taraf SIEM'nize veya bilet oluşturma sisteminize uyarı gönderebilirsiniz. Bu yaklaşım daha basittir, ancak diğer verilerin gönderilmesini etkinleştirmez.

MSSP'ler için

Kurulum maliyetini ortadan kaldırdığı ve konum açısından belirsiz olduğu için Microsoft Sentinel, SIEM'yi hizmet olarak sağlamak için popüler bir seçimdir. Microsoft Sentinel kullanan MISA (Microsoft Intelligent Security Association) üyesi tarafından yönetilen güvenlik hizmeti sağlayıcılarının (MSSP) listesini bulun. Diğer birçok MSSP, özellikle bölgesel ve daha küçük olanlar Microsoft Sentinel'i kullanır ancak MISA üyesi değildir.

Yolculuğunuza MSSP olarak başlamak için MSSP'ler için Microsoft Sentinel Teknik Playbook'larını okuyun. Bulut mimarisini ve çok kiracılı desteği kapsayan bir sonraki modülde MSSP desteği hakkında daha fazla bilgi yer alır.

Bölüm 2: Mimari oluşturma ve dağıtma

"Bölüm 1: Genel Bakış" birkaç dakika içinde Microsoft Sentinel'i kullanmaya başlamanın yollarını sunsa da, bir üretim dağıtımına başlamadan önce bir plan oluşturmak önemlidir.

Bu bölümde, çözümünüzün mimarisini oluştururken göz önünde bulundurmanız gereken alanlarda size yol gösterilir ve tasarımınızı nasıl uygulayabileceğinize ilişkin yönergeler sağlanır:

  • Çalışma alanı ve kiracı mimarisi
  • Veri toplama
  • Günlük yönetimi
  • Tehdit bilgileri alma

Modül 3: Çalışma alanı ve kiracı mimarisi

Microsoft Sentinel örneğine çalışma alanı adı verilir. Çalışma alanı, Log Analytics çalışma alanıyla aynıdır ve tüm Log Analytics özelliklerini destekler. Microsoft Sentinel'i Log Analytics çalışma alanının üzerine SIEM özellikleri ekleyen bir çözüm olarak düşünebilirsiniz.

Birden çok çalışma alanı genellikle gereklidir ve tek bir Microsoft Sentinel sistemi olarak birlikte hareket edebilir. Özel bir kullanım örneği, Microsoft Sentinel kullanarak (örneğin, bir MSSP (Yönetilen Güvenlik Hizmeti Sağlayıcısı) veya büyük bir kuruluştaki Genel SOC tarafından hizmet sağlamaktır.

Birden çok çalışma alanını tek bir Microsoft Sentinel sistemi olarak kullanma hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletme veya web seminerini görüntüleme: YouTube, MP4 veya sunu.

Birden çok çalışma alanı kullanırken aşağıdakileri göz önünde bulundurun:

  • Birden çok çalışma alanı kullanmak için önemli bir sürücü, veri yerleşimidir. Daha fazla bilgi için bkz . Microsoft Sentinel veri yerleşimi.
  • Microsoft Sentinel'i dağıtmak ve içeriği birden çok çalışma alanında verimli bir şekilde yönetmek için, sürekli tümleştirme/sürekli teslim (CI/CD) teknolojisini kullanarak Microsoft Sentinel'i kod olarak yönetebilirsiniz. Microsoft Sentinel için önerilen en iyi yöntemlerden biri sürekli dağıtımı etkinleştirmektir. Daha fazla bilgi için bkz . Microsoft Sentinel depolarıyla yerel olarak sürekli dağıtımı etkinleştirme.
  • Birden çok çalışma alanını BIR MSSP olarak yönetirken, Microsoft Sentinel'de MSSP fikri mülkiyetini korumak isteyebilirsiniz.

MSSP'ler için Microsoft Sentinel Teknik Playbook'u bu konuların çoğu için ayrıntılı yönergeler sağlar ve yalnızca MSSP'ler için değil, büyük kuruluşlar için yararlıdır.

Modül 4: Veri toplama

SIEM'in temeli telemetri verilerini toplamaktır: olaylar, uyarılar ve tehdit bilgileri, güvenlik açığı verileri ve varlık bilgileri gibi bağlamsal zenginleştirme bilgileri. Başvuruda bulunmak için kaynakların listesi aşağıdadır:

  • Microsoft Sentinel veri bağlayıcılarını okuyun.
  • Desteklenen ve kullanıma sunulan tüm veri bağlayıcılarını görmek için Microsoft Sentinel veri bağlayıcınızı bulma bölümüne gidin. Genel dağıtım yordamlarının bağlantılarını ve belirli bağlayıcılar için gereken ek adımları bulun.
  • Veri toplama senaryoları: Logstash/CEF/WEF gibi toplama yöntemleri hakkında bilgi edinin. Diğer yaygın senaryolar tablolara yönelik izin kısıtlaması, günlük filtreleme, Amazon Web Services (AWS) veya Google Cloud Platform (GCP), Microsoft 365 ham günlüklerinden günlükleri toplama vb.dir. Tümü "Veri Toplama Senaryoları" web seminerinde bulunabilir: YouTube, MP4 veya sunu.

Her bağlayıcı için gördüğünüz ilk bilgi parçası, veri alımı yöntemidir. Görüntülenen yöntem, veri kaynaklarınızı Microsoft Sentinel'e bağlamak için ihtiyacınız olan bilgilerin çoğunu içeren aşağıdaki genel dağıtım yordamlarından birine bağlantı içerir:

Veri alma yöntemi İlişkili makale
Azure hizmet-hizmet tümleştirmesi Azure, Windows, Microsoft ve Amazon hizmetlerine Bağlan
Syslog üzerinde Ortak Olay Biçimi (CEF) Azure İzleyici Aracısı ile Syslog ve CEF iletilerini Microsoft Sentinel'e alma
Microsoft Sentinel Veri Toplayıcı API'si Veri almak için veri kaynağınızı Microsoft Sentinel Veri Toplayıcı API'sine Bağlan
Azure İşlevleri ve REST API Microsoft Sentinel'i veri kaynağınıza bağlamak için Azure İşlevleri kullanma
Syslog Azure İzleyici Aracısı ile Syslog ve CEF iletilerini Microsoft Sentinel'e alma
Özel günlükler Log Analytics aracısı ile Microsoft Sentinel'e özel günlük biçimlerinde veri toplama

Kaynağınız kullanılamıyorsa özel bir bağlayıcı oluşturabilirsiniz. Özel bağlayıcılar alım API'sini kullanır ve bu nedenle doğrudan kaynaklara benzer. En sık kodsuz seçenek sunan Azure Logic Apps'i veya Azure İşlevleri kullanarak özel bağlayıcılar uygularsınız.

Modül 5: Günlük yönetimi

Microsoft Sentinel'i yapılandırırken göz önünde bulundurmanız gereken ilk mimari kararı, kaç çalışma alanı ve hangilerinin kullanılacağıdır. Dikkate alınması gereken diğer önemli günlük yönetimi mimari kararları şunlardır:

  • Verilerin nerede ve ne kadar süreyle tutulacağı.
  • Verilere erişimi en iyi şekilde yönetme ve güvenli bir şekilde sağlama.

Microsoft Sentinel'de verileri alma, arşivle, arama ve geri yükleme

Başlamak için "Günlük yaşam döngünüzü alma, arşivleme, arama ve geri yükleme için yeni yöntemlerle yönetme" web seminerini görüntüleyin.

Bu özellik paketi şunları içerir:

  • Temel alım katmanı: Azure İzleyici Günlükleri için günlükleri daha düşük maliyetle almanızı sağlayan yeni bir fiyatlandırma katmanı. Bu veriler yalnızca sekiz gün boyunca çalışma alanında tutulur.
  • Arşiv katmanı: Azure İzleyici Günlükleri saklama özelliğini iki yıldan yedi yıla genişletti. Bu yeni katmanla verileri yedi yıla kadar düşük maliyetli arşivlenmiş durumda tutabilirsiniz.
  • Arama işleri: Tüm ilgili günlükleri bulmak ve döndürmek için sınırlı KQL çalıştıran görevleri arayın. Bu işler analiz katmanı, temel katman ve arşivlenmiş veriler arasında veri arar.
  • Veri geri yükleme: Verileri geri yükleme tablosu aracılığıyla çalışma alanına geri yükleyebilmeniz için bir veri tablosu ve zaman aralığı seçmenize olanak tanıyan yeni bir özellik.

Bu yeni özellikler hakkında daha fazla bilgi için bkz . Microsoft Sentinel'de verileri alma, arşivle, arama ve geri yükleme.

Microsoft Sentinel platformu dışındaki alternatif bekletme seçenekleri

Verileri iki yıldan uzun süre saklamak veya saklama maliyetini azaltmak istiyorsanız Microsoft Sentinel günlüklerinin uzun süreli saklaması için Azure Veri Gezgini kullanmayı göz önünde bulundurun. Web semineri slaytlarına, web semineri kaydına veya bloga bakın.

Daha ayrıntılı bilgi mi istiyorsunuz? "ADX desteği, daha fazla varlık türü ve güncelleştirilmiş MITRE tümleştirmesi ile tehdit avcılığının kapsamını ve kapsamını geliştirme" web seminerini görüntüleyin.

Başka bir uzun süreli saklama çözümünü tercih ediyorsanız bkz. Microsoft Sentinel / Log Analytics çalışma alanından Azure Depolama ve Event Hubs'a aktarma veya Azure Logic Apps kullanarak günlükleri uzun vadeli depolamaya taşıma. Logic Apps kullanmanın avantajı, geçmiş verileri dışarı aktarabilmesidir.

Son olarak, tablo düzeyinde bekletme ayarlarını kullanarak ayrıntılı saklama süreleri ayarlayabilirsiniz. Daha fazla bilgi için bkz . Azure İzleyici Günlüklerinde veri saklama ve arşiv ilkelerini yapılandırma (Önizleme).

Günlük güvenliği

Ayrılmış küme

Tahmini veri alımınız günde yaklaşık 500 GB veya daha fazlaysa ayrılmış bir çalışma alanı kümesi kullanın. Ayrılmış bir kümeyle Microsoft Sentinel verileriniz için kaynakların güvenliğini sağlayabilir ve bu sayede büyük veri kümeleri için daha iyi sorgu performansı sağlayabilirsiniz.

Modül 6: Zenginleştirme: Tehdit bilgileri, izleme listeleri ve daha fazlası

SIEM'in önemli işlevlerinden biri, olay buharı için algılama, uyarı önceliklendirme ve olay araştırması sağlayan bağlamsal bilgileri uygulamaktır. Bağlamsal bilgiler tehdit bilgileri, IP zekası, konak ve kullanıcı bilgileri ve izleme listeleri gibi bilgileri içerir.

Microsoft Sentinel, tehdit bilgilerini içeri aktarmak, yönetmek ve kullanmak için kapsamlı araçlar sağlar. Microsoft Sentinel, diğer bağlamsal bilgi türleri için izleme listeleri ve diğer alternatif çözümler sağlar.

Tehdit bilgileri

Tehdit bilgileri, bir SIEM'in önemli yapı taşlarıdır. "Microsoft Sentinel'de Tehdit Zekasının Gücünü Keşfedin" web seminerini görüntüleyin.

Microsoft Sentinel'de TAXII (Güvenilir Otomatik Gösterge Bilgileri Değişimi) sunucularından veya Microsoft Graph Güvenlik API'sinden yerleşik bağlayıcıları kullanarak tehdit bilgilerini tümleştirebilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit bilgileri tümleştirmesi. Tehdit bilgilerini içeri aktarma hakkında daha fazla bilgi için Bkz . Modül 4: Veri toplama bölümleri.

İçeri aktarıldıktan sonra tehdit bilgileri Microsoft Sentinel genelinde kapsamlı olarak kullanılır. Aşağıdaki özellikler tehdit bilgilerini kullanmaya odaklanır:

"RiskIQ Threat Intelligence ile Microsoft Sentinel ÖncelikLendirme Çalışmalarınızı Otomatikleştirin" web seminerini görüntüleyin: YouTube veya sunu.

Zamanı kısa mı? Ignite oturumunu görüntüleyin (28 dakika).

Daha ayrıntılı bilgi mi istiyorsunuz? "Tehdit bilgilerine derinlemesine bakış" web seminerini görüntüleyin: YouTube, MP4 veya sunu.

İzleme listeleri ve diğer arama mekanizmaları

Microsoft Sentinel, her tür bağlamsal bilgiyi içeri aktarmak ve yönetmek için izleme listeleri sağlar. İzleme listelerini kullanarak veri tablolarını CSV biçiminde karşıya yükleyebilir ve KQL sorgularınızda kullanabilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel'de izleme listelerini kullanma veya "Uyarıları yönetmek, uyarı yorgunluğunu azaltmak ve SOC verimliliğini artırmak için izleme listelerini kullanma" web seminerini görüntüleyin: YouTube veya sunu.

Aşağıdaki senaryolarda size yardımcı olması için izleme listelerini kullanın:

  • Tehditleri araştırın ve olaylara hızla yanıt verin: CSV dosyalarından IP adreslerini, dosya karmalarını ve diğer verileri hızla içeri aktarın. Verileri içeri aktardıktan sonra uyarı kuralları, tehdit avcılığı, çalışma kitapları, not defterleri ve genel sorgulardaki birleşimler ve filtreler için izleme listesi ad-değer çiftlerini kullanın.

  • İş verilerini izleme listesi olarak içeri aktarma: Örneğin, ayrıcalıklı sistem erişimi olan veya sonlandırılan çalışanların listesini içeri aktarın. Ardından, bu kullanıcıların ağda oturum açmasını algılamak veya engellemek için izin verilenler ve engelleme listeleri oluşturmak için izleme listesini kullanın.

  • Uyarı yorgunluğunu azaltma: Normalde uyarıyı tetikleyebilecek görevleri gerçekleştiren yetkili IP adreslerinden kullanıcılar gibi bir kullanıcı grubundan gelen uyarıları engellemek için izin verilenler listesi oluşturun. Zararsız olayların uyarı haline gelmesini önleyin.

  • Olay verilerini zenginleştirme: Olay verilerinizi dış veri kaynaklarından türetilen ad-değer birleşimleriyle zenginleştirmek için izleme listelerini kullanın.

İzleme listelerine ek olarak, bağlam bilgilerini yönetmek ve sorgulamak için KQL dış veri işlecini, özel günlükleri ve KQL işlevlerini kullanabilirsiniz. Dört yöntemin her birinin avantajları ve dezavantajları vardır ve aralarındaki karşılaştırmalar hakkında daha fazla bilgiyi "Microsoft Sentinel'de arama uygulama" blog gönderisinde okuyabilirsiniz. Her yöntem farklı olsa da, sorgularınızda elde edilen bilgilerin kullanılması benzerdir ve bunlar arasında kolayca geçiş yapmanızı sağlar.

Analiz kurallarının dışında izleme listelerini kullanma hakkında fikirler için bkz . Microsoft Sentinel araştırmaları sırasında verimliliği artırmak için izleme listelerini kullanma.

"Uyarıları yönetmek, uyarı yorgunluğunu azaltmak ve SOC verimliliğini artırmak için izleme listelerini kullanın" web seminerini görüntüleyin: YouTube veya sunu.

Modül 7: Günlük dönüşümü

Microsoft Sentinel, veri alımı ve dönüşümü için iki yeni özelliği destekler. Log Analytics tarafından sağlanan bu özellikler, çalışma alanınızda depolanmadan önce bile verileriniz üzerinde işlem gerçekleştirmektedir. Özellikler şunlardır:

  • Günlük alımı API'si: Herhangi bir veri kaynağından Log Analytics çalışma alanınıza özel biçimli günlükler göndermek ve ardından bu günlükleri belirli standart tablolarda veya oluşturduğunuz özel biçimlendirilmiş tablolarda depolamak için kullanın. Doğrudan API çağrılarını kullanarak bu günlüklerin gerçek alımını gerçekleştirebilirsiniz. Bu iş akışlarını tanımlamak ve yapılandırmak için Azure İzleyici veri toplama kurallarını kullanabilirsiniz.

  • Standart günlükler için çalışma alanı veri dönüştürmeleri: İlgisiz verileri filtrelemek, verilerinizi zenginleştirmek veya etiketlemek ya da hassas veya kişisel bilgileri gizlemek için veri toplama kurallarını kullanır. Veri dönüştürmeyi alma zamanında aşağıdaki yerleşik veri bağlayıcısı türleri için yapılandırabilirsiniz:

    • Azure İzleyici aracısı (AMA) tabanlı veri bağlayıcıları (yeni Azure İzleyici aracısını temel alır)
    • Microsoft monitoring agent (MMA) tabanlı veri bağlayıcıları (eski Azure İzleyici Günlükleri Aracısı temelinde)
    • Tanılama ayarlarını kullanan veri bağlayıcıları
    • Hizmet-hizmet veri bağlayıcıları

Daha fazla bilgi için bkz.

Modül 8: Geçiş

Çoğu durumda (çoğu durumda değilse) zaten bir SIEM'niz vardır ve Microsoft Sentinel'e geçiş yapmanız gerekir. SIEM uygulamanızı yeniden gözden geçirmek için iyi bir zaman olsa da, geçerli uygulamanızda önceden oluşturmuş olduğunuz bazı varlıkları kullanmak mantıklıdır. "Algılama kurallarını dönüştürmek için en iyi yöntemler" (Splunk, QRadar ve ArcSight'tan Azure Microsoft Sentinel'e) web seminerini görüntüleyin: YouTube, MP4, sunu veya blog.

Aşağıdaki kaynaklarla da ilgilenebilirsiniz:

Modül 9: Gelişmiş SIEM bilgi modeli ve normalleştirme

Çeşitli veri türleri ve tablolarla birlikte çalışmak bir zorluk oluşturabilir. Yazarken ve benzersiz bir analiz kuralları, çalışma kitapları ve tehdit avcılığı sorguları kümesi kullanırken bu veri türlerini ve şemaları tanımanız gerekir. Araştırma ve tehdit avcılığı için gerekli olan veri türleri arasında bağıntı da karmaşık olabilir.

Gelişmiş SIEM bilgi modeli (ASIM), çeşitli kaynakları tekdüzen ve normalleştirilmiş görünümlerde işlemek için sorunsuz bir deneyim sağlar. ASIM, Açık Kaynak Güvenlik Olayları Meta Verileri (OSSEM) ortak bilgi modeliyle uyumlu hale getirir ve satıcıdan bağımsız, sektör genelinde normalleştirmeyi teşvik eder. "Gelişmiş SIEM bilgi modeli (ASIM): Artık Microsoft Sentinel'de yerleşiktir" web seminerini görüntüleyin: YouTube veya sunu.

Geçerli uygulama, KQL işlevlerini kullanan sorgu süresi normalleştirmesini temel alır:

  • Normalleştirilmiş şemalar , birlikte çalışması ve birleştirilmiş özellikler oluşturması kolay standart tahmin edilebilir olay türleri kümelerini kapsar. Şema, hangi alanların bir olayı, normalleştirilmiş sütun adlandırma kuralını ve alan değerleri için standart biçimi temsil etmesi gerektiğini tanımlar.
    • "Microsoft Sentinel'de normalleştirmeyi anlama" web seminerini görüntüleyin: YouTube veya sunu.
    • "Microsoft Sentinel ayrıştırıcıları ve normalleştirilmiş içeriği normalleştirmeye derinlemesine bakış" web seminerini görüntüleyin: YouTube, MP3 veya sunu.

  • Ayrıştırıcılar mevcut verileri normalleştirilmiş şemalarla eşler. Ayrıştırıcıları KQL işlevlerini kullanarak uygularsınız. "ASIM'i genişletme ve yönetme: Ayrıştırıcı geliştirme, test etme ve dağıtma" web seminerini görüntüleyin: YouTube veya sunu.

  • Normalleştirilmiş her şemanın içeriği analiz kurallarını, çalışma kitaplarını ve tehdit avcılığı sorgularını içerir. Bu içerik, kaynağa özgü içerik oluşturmaya gerek kalmadan normalleştirilmiş veriler üzerinde çalışır.

ASIM kullanmak aşağıdaki avantajları sağlar:

  • Kaynaklar arası algılama: Normalleştirilmiş analiz kuralları şirket içindeki ve buluttaki kaynaklar arasında çalışır. Kurallar deneme yanılma gibi saldırıları veya Okta, AWS ve Azure gibi sistemler arasında imkansız seyahatleri algılar.

  • Kaynak belirsiz içeriğe izin verir: ASIM kullanarak yerleşik ve özel içeriği kapsayan içerik, içerik oluşturulduktan sonra eklenmiş olsa bile ASIM'i destekleyen herhangi bir kaynağa otomatik olarak genişletir. Örneğin, işlem olay analizi Uç Nokta için Microsoft Defender, Windows Olayları ve Sysmon dahil olmak üzere müşterinin verileri getirmek için kullanabileceği tüm kaynakları destekler. Yayınlandığında Linux ve WEF için Sysmon eklemeye hazırız.

  • Yerleşik analizde özel kaynaklarınız için destek

  • Kullanım kolaylığı: ASIM öğrenen analistler, alan adları her zaman aynı olduğundan sorgu yazmayı çok daha kolay bulur.

ASIM hakkında daha fazla bilgi edinin

Şu kaynaklardan yararlanın:

  • "Azure Sentinel'de normalleştirmeyi anlama" genel bakış web seminerini görüntüleyin: YouTube veya sunu.

  • "Microsoft Sentinel ayrıştırıcıları ve normalleştirilmiş içeriği normalleştirmeye derinlemesine bakış" web seminerini görüntüleyin: YouTube, MP3 veya sunu.

  • "Turboşarj ASIM: Normalleştirmenin performansa etki etmekten çok yardımcı olduğundan emin olun" web seminerini görüntüleyin: YouTube, MP4 veya sunu.

  • ASIM belgelerini okuyun.

ASIM dağıtma

  • GitHub'daki ayrıştırıcılar klasöründeki "ASIM*" ile başlayarak klasörlerdeki ayrıştırıcıları dağıtın.

  • ASIM kullanan analiz kurallarını etkinleştirin. Bazılarını bulmak için şablon galerisinde normal ifadesini arayın. Listenin tamamını almak için bu GitHub aramasını kullanın.

ASIM kullanma

  • GitHub'dan ASIM tehdit avcılığı sorgularını kullanın.

  • Günlük ekranında KQL kullanırken ASIM sorgularını kullanın.

  • ASIM kullanarak kendi analiz kurallarınızı yazın veya mevcut kuralları dönüştürün.

  • AsIM uyumlu hale getirmek ve yerleşik analizde yer almak için özel kaynaklarınız için ayrıştırıcılar yazın.

Bölüm 3: İçerik oluşturma

Microsoft Sentinel içeriği nedir?

Microsoft Sentinel güvenliğinin değeri, yerleşik özelliklerini ve özel özellikler oluşturup yerleşik özellikleri özelleştirme yeteneğinizi bir arada sunar. Yerleşik özellikler arasında Kullanıcı ve Varlık Davranış Analizi (UEBA), makine öğrenmesi veya hazır analiz kuralları vardır. Özelleştirilmiş özellikler genellikle "içerik" olarak adlandırılır ve analiz kurallarını, tehdit avcılığı sorgularını, çalışma kitaplarını, playbook'ları vb. içerir.

Bu bölümde, bu tür içerik oluşturmayı veya yerleşik içeriği gereksinimlerinize göre değiştirmeyi öğrenmenize yardımcı olan modülleri gruplandırdık. Azure Microsoft Sentinel'in lingua franca'sı KQL ile başlıyoruz. Aşağıdaki modüllerde kurallar, playbook'lar ve çalışma kitapları gibi içerik yapı taşları ele alınacaktır. Bunlar, tehdit algılama, tehdit avcılığı veya idare gibi belirli güvenlik hedeflerine yönelik farklı türlerdeki öğeleri kapsayan kullanım örneklerini tartışarak tamamlar.

Modül 10: Kusto Sorgu Dili

Microsoft Sentinel özelliklerinin çoğu Kusto Sorgu Dili (KQL) kullanır. Günlüklerinizde arama yaparken, kurallar yazarken, tehdit avcılığı sorguları oluştururken veya çalışma kitapları tasarlarken KQL kullanırsınız.

Kuralları yazmayla ilgili sonraki bölümde, KQL'in SIEM kuralları bağlamında nasıl kullanılacağı açıklanmaktadır.

KQL'yi öğrenirken aşağıdaki başvuruları da yararlı bulabilirsiniz:

Modül 11: Analiz

Zamanlanmış analiz kuralları yazma

Microsoft Sentinel ile yerleşik kural şablonlarını kullanabilir, ortamınız için şablonları özelleştirebilir veya özel kurallar oluşturabilirsiniz. Kuralların temeli bir KQL sorgusudur; ancak, bir kuralda yapılandırılandan çok daha fazlası vardır.

Kural oluşturma yordamını öğrenmek için bkz . Tehditleri algılamak için özel analiz kuralları oluşturma. Kuralların nasıl yazıldığını öğrenmek için (başka bir ifadeyle bir kurala girilmesi gerekenler, kurallar için KQL'ye odaklanmak) web seminerini görüntüleyin: YouTube, MP4 veya sunu.

SIEM analiz kurallarının belirli desenleri vardır. Kuralları uygulamayı ve bu desenler için KQL yazmayı öğrenin:

  • Bağıntı kuralları: Bkz . Listeleri ve "in" işlecini kullanma veya "join" işlecini kullanma

  • Toplama: Bkz . Listeleri ve "in" işlecini kullanma veya kayan pencereleri daha gelişmiş bir desen işleme

  • Aramalar: Normal veya yaklaşık, kısmi ve birleşik aramalar

  • Hatalı pozitif sonuçları işleme

  • Gecikmeli olaylar: Herhangi bir SIEM'deki yaşamın bir gerçeğidir ve bunların üstesinden gelmek zordur. Microsoft Sentinel, kurallarınızdaki gecikmeleri azaltmanıza yardımcı olabilir.

  • KQL işlevlerini yapı taşları olarak kullanın: parametreli işlevlerle Windows Güvenliği Olaylarını zenginleştirin.

"Blob ve Dosya depolama araştırmaları" blog gönderisi, yararlı bir analiz kuralı yazmanın adım adım bir örneğini sağlar.

Yerleşik analiz kullanma

Kendi kural yazmaya başlamadan önce yerleşik analiz özelliklerinden yararlanmayı göz önünde bulundurun. Sizden çok fazla şey gerektirmezler, ancak bunları öğrenmeye değer:

  • Yerleşik zamanlanmış kural şablonlarını kullanın. Bu şablonları, zamanlanmış herhangi bir kuralı düzenlemek için aynı şekilde değiştirerek ayarlayabilirsiniz. Bağlandığınız veri bağlayıcıları için, sonraki adımlar sekmesinde listelenen şablonları dağıttığınıza emin olun.

  • Microsoft Sentinel makine öğrenmesi özellikleri hakkında daha fazla bilgi edinin: YouTube, MP4 veya sunu.

  • Varsayılan olarak etkinleştirilen Microsoft Sentinel gelişmiş, çok aşamalı saldırı algılamalarının (Fusion) listesini alın.

  • "Zamanlanmış analiz kurallarıyla Fusion makine öğrenmesi algılamaları" web seminerini görüntüleyin: YouTube, MP4 veya sunu.

  • Microsoft Sentinel yerleşik SOC-machine learning anomalileri hakkında daha fazla bilgi edinin.

  • "Özelleştirilmiş SOC-machine learning anomalileri ve bunların nasıl kullanılacağı" web seminerini görüntüleyin: YouTube, MP4 veya sunu.

  • "Yeni ortaya çıkan tehditler ve yapılandırma kullanıcı arabirimi için Fusion makine öğrenmesi algılamaları" web seminerini görüntüleyin: YouTube veya sunu.

Modül 12: SOAR Uygulama

Microsoft Sentinel gibi modern SIEM'lerde SOAR, bir olayın tetiklendiği andan çözümlenene kadar sürecin tamamını oluşturur. Bu işlem bir olay araştırması ile başlar ve otomatik yanıtla devam eder. "Olay Yanıtı, Orchestration ve Otomasyon için Microsoft Sentinel'i kullanma" blog gönderisi, SOAR için yaygın kullanım örneklerine genel bir bakış sağlar.

Otomasyon kuralları , Microsoft Sentinel otomasyonu için başlangıç noktasıdır. Gizleme, hatalı pozitif işleme ve otomatik atama dahil olmak üzere olayların merkezi ve otomatik olarak işlenmesi için basit bir yöntem sağlar.

Sağlam iş akışı tabanlı otomasyon özellikleri sağlamak için otomasyon kuralları Logic Apps playbook'larını kullanır. Daha fazlasını öğrenin:

Microsoft Sentinel GitHub sitesindeki Playbook'lar klasöründe onlarca yararlı playbook bulun veya abonelik sahibini playbook kılavuzu uyarısı hakkında bilgilendirmek için izleme listesi kullanarak playbook'u okuyun.

Modül 13: Çalışma kitapları, raporlama ve görselleştirme

Çalışma Kitapları

SOC'nizin sinir merkezi olarak, topladığı ve ürettiği bilgileri görselleştirmek için Microsoft Sentinel gereklidir. Microsoft Sentinel'de verileri görselleştirmek için çalışma kitaplarını kullanın.

  • Çalışma kitapları oluşturmayı öğrenmek için Azure Çalışma Kitapları belgelerini okuyun veya Billy York'un Çalışma Kitapları eğitimini (ve birlikte gelen metni) izleyin.

  • Bahsedilen kaynaklar Microsoft Sentinel'e özgü değildir. Bunlar genel olarak çalışma kitaplarına uygulanır. Microsoft Sentinel'deki çalışma kitapları hakkında daha fazla bilgi edinmek için web seminerini görüntüleyin: YouTube, MP4 veya sunu. Belgeleri okuyun.

Çalışma kitapları etkileşimli olabilir ve grafik oluşturmadan çok daha fazlasını etkinleştirebilir. Çalışma kitaplarıyla, Microsoft Sentinel'in yerleşik işlevselliğini tamamlayacak uygulamalar veya uzantı modülleri oluşturabilirsiniz. Microsoft Sentinel'in özelliklerini genişletmek için çalışma kitaplarını da kullanabilirsiniz. Bu tür uygulamalara birkaç örnek aşağıda verilmiştir:

Microsoft Sentinel GitHub'daki Çalışma Kitapları klasöründe onlarca çalışma kitabı bulabilirsiniz. Bunlardan bazıları Microsoft Sentinel çalışma kitapları galerisinde de kullanılabilir.

Raporlama ve diğer görselleştirme seçenekleri

Çalışma kitapları raporlama için kullanılabilir. Rapor zamanlama ve dağıtım veya özet tablolar gibi daha gelişmiş raporlama özellikleri için şunları kullanmak isteyebilirsiniz:

Modül 14: Not Defterleri

Jupyter not defterleri Microsoft Sentinel ile tamamen tümleşiktir. Avcının alet göğsünde önemli bir araç olarak kabul edilse de ve avlanma bölümündeki web seminerlerini tartışsa da, değerleri çok daha geniştir. Not defterleri gelişmiş görselleştirme, araştırma kılavuzu ve gelişmiş otomasyon için kullanılabilir.

Not defterlerini daha iyi anlamak için Not defterlerine giriş videosunu görüntüleyin. Not defterleri web seminerini (YouTube, MP4 veya sunu) kullanmaya başlayın veya belgeleri okuyun. Microsoft Sentinel Notebooks Ninja serisi, not defterlerinde size destek olmak için devam eden bir eğitim serisidir.

Tümleştirmenin önemli bir parçası, araştırma ekibimiz tarafından Jupyter not defterleriyle kullanılmak üzere geliştirilen bir Python kitaplığı olan MSTICPy tarafından uygulanır. Not defterlerinize Microsoft Sentinel arabirimleri ve gelişmiş güvenlik özellikleri ekler.

Modül 15: Kullanım örnekleri ve çözümleri

Bağlayıcılar, kurallar, playbook'lar ve çalışma kitaplarıyla, bir tehdidi algılamayı ve yanıtlamayı amaçlayan bir içerik paketi için SIEM terimi olan kullanım örneklerini uygulayabilirsiniz. Her bağlayıcıyı bağlarken önerilen kuralları etkinleştirerek Microsoft Sentinel yerleşik kullanım örneklerini dağıtabilirsiniz. Çözüm, belirli bir tehdit etki alanını ele alan bir kullanım örnekleri grubudur.

"KimlikLe Mücadele" web semineri (YouTube, MP4 veya sunu) kullanım örneğinin ne olduğunu ve tasarımına nasıl yaklaşıldığını açıklar ve kimlik tehditlerini topluca ele alan çeşitli kullanım örnekleri sunar.

Bir diğer ilgili çözüm alanı da uzaktan çalışmayı korumaktır. Uzaktan çalışmayı koruma hakkında Ignite oturumumuzu görüntüleyin ve aşağıdaki özel kullanım örnekleri hakkında daha fazla bilgi edinin:

Son olarak, son saldırılara odaklanarak Microsoft Sentinel ile yazılım tedarik zincirini izlemeyi öğrenin.

Microsoft Sentinel çözümleri, Microsoft Sentinel'de ürün içi bulunabilirlik, tek adımlı dağıtım ve uçtan uca ürün, etki alanı ve/veya dikey senaryoların etkinleştirilmesini sağlar. Daha fazla bilgi için Bkz . Microsoft Sentinel içeriği ve çözümleri hakkında ve "Kendi Microsoft Sentinel çözümlerinizi oluşturma" web seminerini görüntüleyin: YouTube veya sunu.

Bölüm 4: İşletim

Modül 16: Olayları işleme

SOC'nizi derledikten sonra kullanmaya başlamanız gerekir. "Bir SOC analistinin hayatındaki gün" web semineri (YouTube, MP4 veya sunu), olayları önceliklendirmek, araştırmak ve yanıtlamak için SOC'de Microsoft Sentinel'i kullanmada size yol gösterir.

Ekiplerinizin kuruluş genelinde ve dış paydaşlarla sorunsuz bir şekilde işbirliği yapmasına yardımcı olmak için bkz . Doğrudan Microsoft Sentinel'den Microsoft Teams ile tümleştirme. Ayrıca "Microsoft Sentinel'i Microsoft Teams ile tümleştirerek SOC'nizin MTTR'sini (Ortalama Yanıt Verme Süresi) azaltın" web seminerini görüntüleyin.

Olay araştırması ile ilgili belge makalesini de okumak isteyebilirsiniz. Araştırmanın bir parçası olarak, olayınızla ilgili veya araştırmanızın bir parçası olarak tanımlanan varlıklar hakkında daha fazla bilgi edinmek için varlık sayfalarını da kullanacaksınız.

Microsoft Sentinel'de olay araştırması, temel olay araştırma işlevinin ötesine uzanır. Çalışma kitaplarını ve not defterlerini kullanarak daha fazla araştırma aracı oluşturabilirsiniz. Sonraki bölüm olan Modül 17: Tehdit Avcılığı bölümünde Not Defterleri ele alınacaktır. Ayrıca daha fazla araştırma aracı oluşturabilir veya mevcut araçları kendi ihtiyaçlarınıza göre değiştirebilirsiniz. Örnekler şunları içerir:

Modül 17: Avcılık

Şimdiye kadarki tartışmaların çoğu algılama ve olay yönetimine odaklanmış olsa da, microsoft Sentinel için bir diğer önemli kullanım örneği de avcılıktır . Tehdit avcılığı, uyarılara tepkisel bir yanıt yerine proaktif bir tehdit aramasıdır.

Tehdit avcılığı panosu sürekli olarak güncelleştirilir. Microsoft güvenlik analistleri ekibi tarafından yazılan tüm sorguları ve oluşturduğunuz veya değiştirdiğiniz ek sorguları gösterir. Her sorgu neyin peşinde olduğunu ve ne tür veriler üzerinde çalıştığının açıklamasını sağlar. Bu şablonlar çeşitli taktiklerine göre gruplandırılır. Sağdaki simgeler, ilk erişim, kalıcılık ve sızdırma gibi tehdit türlerini kategorilere ayırır. Daha fazla bilgi için bkz . Microsoft Sentinel ile tehditleri avlama.

Avlanmanın ne olduğu ve Microsoft Sentinel'in bunu nasıl desteklediği hakkında daha fazla bilgi edinmek için giriş niteliğindeki "Tehdit avcılığı" web seminerini görüntüleyin: YouTube, MP4 veya sunu. Web semineri yeni özelliklerle ilgili bir güncelleştirmeyle başlar. Avlanma hakkında bilgi edinmek için 12. slaytta başlayın. YouTube videosu zaten buradan başlayacak şekilde ayarlanmıştır.

Giriş niteliğindeki web semineri araçlara odaklansa da, avcılık tamamen güvenlikle ilgili. Güvenlik araştırma ekibimizin web semineri (YouTube, MP4 veya sunu) aslında nasıl avlanabileceğinize odaklanır.

"Microsoft Sentinel kullanarak AWS tehdit avcılığı" (YouTube, MP4 veya sunu) adlı takip web semineri, yüksek değerli bir hedef ortamda uçtan uca bir tehdit avcılığı senaryosu göstererek noktayı oluşturur.

Son olarak, şirket içi Microsoft Exchange sunucularındaki en son güvenlik açıklarının motivasyonuyla Microsoft Sentinel ve WebShell avcılığı ile SolarWinds'in güvenlik açığı sonrası avcılık yapmayı öğrenebilirsiniz.

Modül 18: Kullanıcı ve Varlık Davranış Analizi (UEBA)

Yeni kullanıma sunulan Microsoft Sentinel Kullanıcı ve Varlık Davranışı Analizi (UEBA) modülü, güvenliği aşılmış bir varlıktan veya kötü amaçlı bir içeriden gelen tehditleri ve bunların olası etkilerini belirlemenize ve araştırmanıza olanak tanır.

Microsoft Sentinel tüm bağlı veri kaynaklarından günlükleri ve uyarıları toplarken, bunları analiz eder ve zaman ve eş grubu ufukta kuruluşunuzun varlıklarının (kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi) temel davranış profillerini oluşturur. Microsoft Sentinel, çeşitli teknikler ve makine öğrenmesi özellikleri sayesinde anormal etkinlikleri tanımlayabilir ve bir varlığın gizliliğinin tehlikeye atılıp aşılmadığını belirlemenize yardımcı olabilir. Yalnızca bu değil, aynı zamanda belirli varlıkların göreli duyarlılığını da belirleyebilir, eş varlık gruplarını tanımlayabilir ve tehlikeye girmiş herhangi bir varlığın potansiyel etkisini ("patlama yarıçapı") değerlendirebilir. Bu bilgilerle birlikte, araştırmanıza ve olay işlemenize etkili bir şekilde öncelik vekleyebilirsiniz.

Web seminerini (YouTube, MP4 veya sunu) görüntüleyerek UEBA hakkında daha fazla bilgi edinin ve SOC'nizde araştırma için UEBA kullanma hakkında bilgi edinin.

En son güncelleştirmeler hakkında bilgi edinmek için "Microsoft Sentinel'de Kullanıcıların Geleceği Varlık Davranış Analizi" web seminerini görüntüleyin.

Modül 19: Microsoft Sentinel'in durumunu izleme

SIEM'i çalıştırmanın bir parçası, sorunsuz çalıştığından ve Azure Microsoft Sentinel'de gelişen bir alan olduğundan emin olmaktır. Microsoft Sentinel'in durumunu izlemek için aşağıdakileri kullanın:

Bölüm 5: Gelişmiş

Modül 20: Microsoft Sentinel API'lerini kullanarak genişletme ve tümleştirme

Bulutta yerel bir SIEM olarak Microsoft Sentinel, API öncelikli bir sistemdir. Her özellik bir API aracılığıyla yapılandırılabilir ve kullanılabilir, böylece diğer sistemlerle kolay tümleştirme ve Microsoft Sentinel'i kendi kodunuzla genişletebilirsiniz. API size korkutucu geliyorsa endişelenmeyin. API kullanılarak sağlanan her şey PowerShell kullanılarak da kullanılabilir.

Microsoft Sentinel API'leri hakkında daha fazla bilgi edinmek için kısa tanıtım videosunu görüntüleyin ve blog gönderisini okuyun. Daha ayrıntılı bilgi için "Sentinel'i (API'ler) genişletme ve tümleştirme" web seminerini (YouTube, MP4 veya sunu) görüntüleyin ve Microsoft Sentinel'i genişletme: API'ler, tümleştirme ve yönetim otomasyonu blog gönderisini okuyun.

Modül 21: Kendi makine öğrenmenizi oluşturma

Microsoft Sentinel, kendi makine öğrenmesi algoritmalarınızı uygulamak için harika bir platform sağlar. Buna Kendi makine öğrenmesi modelinizi oluşturun veya BYO ML adını verdik. BYO ML, ileri düzey kullanıcılara yöneliktir. Yerleşik davranış analizi arıyorsanız makine öğrenmesi analiz kurallarımızı veya UEBA modülümüzü kullanın veya kendi davranış analizi KQL tabanlı analiz kurallarınızı yazın.

Microsoft Sentinel'e kendi makine öğrenmenizi getirmekle başlamak için "Kendi makine öğrenmesi modelinizi oluşturun" videosunu görüntüleyin ve yapay zekayla batırılmış Azure Sentinel SIEM blog gönderisindeki Kendi makine öğrenmesi modeli algılamalarını oluşturun makalesini okuyun. BYO ML belgelerine de başvurmak isteyebilirsiniz.

Sonraki adımlar

Önerilen içerik