Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Özel algılamalar artık Microsoft Sentinel SIEM Microsoft Defender XDR genelinde yeni kurallar oluşturmanın en iyi yoludur. Özel algılamalarla veri alımı maliyetlerini azaltabilir, sınırsız gerçek zamanlı algılama elde edebilir ve otomatik varlık eşlemesi ile Defender XDR verileri, işlevleri ve düzeltme eylemleriyle sorunsuz tümleştirmeden yararlanabilirsiniz. Daha fazla bilgi için bu blogu okuyun.
Kuruluşunuzun her yerinden veri toplamak için Microsoft Sentinel ayarladıktan sonra ortamınıza yönelik güvenlik tehditlerini algılamak için tüm bu verileri sürekli incelemeniz gerekir. bu görevi gerçekleştirmek için Microsoft Sentinel düzenli olarak çalışan tehdit algılama kuralları sağlar, toplanan verileri sorgular ve tehditleri bulmak için analiz eder. Bu kurallar birkaç farklı türde gelir ve topluca analiz kuralları olarak bilinir.
Bu kurallar, aradıklarını bulduklarında uyarılar oluşturur. Uyarılar, söz konusu varlıklar (kullanıcılar, cihazlar, adresler ve diğer öğeler) gibi algılanan olaylar hakkında bilgi içerir. Algılanan tehdidin tüm kapsamını öğrenmek ve buna göre yanıt vermek için atayabileceğiniz ve araştırabileceğiniz uyarılar toplanır ve olaylarla (olay dosyaları) ilişkilendirilir. Kuralların kendi yapılandırmasında önceden belirlenmiş, otomatik yanıtlar da oluşturabilirsiniz.
Yerleşik analiz kuralı sihirbazını kullanarak bu kuralları sıfırdan oluşturabilirsiniz. Ancak Microsoft, içerik hub'ında sağlanan birçok Microsoft Sentinel çözümü aracılığıyla kullanabileceğiniz çok çeşitli analiz kuralı şablonlarını kullanmanızı kesinlikle teşvik eder. Bu şablonlar, bilinen tehditler, yaygın saldırı vektörleri ve şüpheli etkinlik yükseltme zincirleri hakkındaki bilgilerine göre güvenlik uzmanları ve analistlerden oluşan ekipler tarafından tasarlanan önceden oluşturulmuş kural prototipleridir. Ortamınızda şüpheli görünen tüm etkinlikleri otomatik olarak aramak için bu şablonlardan kuralları etkinleştirirsiniz. Şablonların çoğu, gereksinimlerinize göre belirli olay türlerini aramak veya filtrelemek için özelleştirilebilir.
Bu makale, Microsoft Sentinel tehditleri nasıl algıladığını ve bundan sonra ne olacağını anlamanıza yardımcı olur.
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
Analiz kuralları türleri
Kullanabileceğiniz analiz kurallarını ve şablonlarını Microsoft Sentinel'deki Yapılandırma menüsünün Analiz sayfasında görüntüleyebilirsiniz. Şu anda etkin olan kurallar bir sekmede görünür ve şablonlar başka bir sekmede yeni kurallar oluşturur. Üçüncü sekmede, bu makalenin devamında açıklanan özel bir kural türü olan Anomaliler görüntülenir.
Şu anda görüntülenenden daha fazla kural şablonu bulmak için Microsoft Sentinel'deki İçerik hub'ına giderek ilgili ürün çözümlerini veya tek başına içeriği yükleyin. Analiz kuralı şablonları, içerik hub'ında neredeyse tüm ürün çözümlerinde kullanılabilir.
Aşağıdaki analiz kuralları ve kural şablonları türleri Microsoft Sentinel'de kullanılabilir:
- Zamanlanmış kurallar
- Neredeyse gerçek zamanlı (NRT) kurallar
- Anomali kuralları
- Microsoft güvenlik kuralları
Yukarıdaki kural türlerinin yanı sıra, her biri sınırlı yapılandırma seçenekleriyle bir kuralın tek bir örneğini oluşturabilen başka özel şablon türleri de vardır:
- Tehdit bilgileri
- Gelişmiş çok aşamalı saldırı algılama ("Fusion")
- Makine öğrenmesi (ML) davranış analizi
Zamanlanmış kurallar
Açık arayla en yaygın analiz kuralı türü olan Zamanlanmış kurallar, düzenli aralıklarla çalışacak ve tanımlı bir "lookback" döneminden ham verileri inceleyecek şekilde yapılandırılan Kusto sorgularını temel alır. Sorgu tarafından yakalanan sonuç sayısı kuralda yapılandırılan eşiği geçerse, kural bir uyarı üretir.
Zamanlanmış kural şablonlarındaki sorgular, Microsoft'tan veya şablonu sağlayan çözümün satıcısı tarafından güvenlik ve veri bilimi uzmanları tarafından yazılmıştır. Sorgular hedef verilerinde karmaşık istatistiksel işlemler gerçekleştirebilir ve olay gruplarında taban çizgilerini ve aykırı değerleri ortaya koyabilir.
Sorgu mantığı kural yapılandırmasında görüntülenir. Şablonda tanımlandığı gibi sorgu mantığını ve zamanlama ve geri arama ayarlarını kullanabilir veya bunları özelleştirerek yeni kurallar oluşturabilirsiniz. Alternatif olarak, sıfırdan tamamen yeni kurallar oluşturabilirsiniz.
Microsoft Sentinel'da Zamanlanmış analiz kuralları hakkında daha fazla bilgi edinin.
Neredeyse gerçek zamanlı (NRT) kurallar
NRT kuralları, zamanlanmış kuralların sınırlı bir alt kümesidir. Bunlar, size mümkün olduğunca güncel bilgiler sağlamak için dakikada bir çalışacak şekilde tasarlanmıştır.
Bunlar çoğunlukla zamanlanmış kurallar gibi çalışır ve bazı sınırlamalarla benzer şekilde yapılandırılır.
Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) analiz kurallarıyla Hızlı tehdit algılama hakkında daha fazla bilgi edinin.
Anomali kuralları
Anomali kuralları, bir temel belirlemek için belirli davranış türlerini belirli bir süre içinde gözlemlemek için makine öğrenmesini kullanır. Her kuralın analiz edilen davranışa uygun kendi benzersiz parametreleri ve eşikleri vardır. Gözlem süresi tamamlandıktan sonra taban çizgisi ayarlanır. Kural, temelde ayarlanan sınırları aşan davranışlar gözlemlediğinde, bu oluşumları anormal olarak işaretler.
İlk gelen kuralların yapılandırmaları değiştirilemez veya ince ayar yapılamaz, ancak bir kuralı çoğaltabilir, sonra da yineleneni değiştirebilir ve ince ayar yapabilirsiniz. Bu gibi durumlarda, yinelenen öğeyi Uçuş modunda ve özgün yinelemeyi de Üretim modunda eşzamanlı olarak çalıştırın. Ardından sonuçları karşılaştırın ve ince ayarının istediğiniz gibi olması durumunda ve olduğunda yinelemeyi Üretim olarak değiştirin.
Anomaliler kötü amaçlı ve hatta şüpheli davranışları tek başına belirtmemelidir. Bu nedenle, anomali kuralları kendi uyarılarını oluşturmaz. Bunun yerine, analizlerinin sonuçlarını (algılanan anomaliler) Anomaliler tablosuna kaydeder. Algılamalarınızı, araştırmalarınızı ve tehdit avcılığınızı geliştiren bağlam sağlamak için bu tabloyu sorgulayabilirsiniz.
Daha fazla bilgi için bkz. Microsoft Sentinel tehditleri algılamak için özelleştirilebilir anomalileri kullanma ve Microsoft Sentinel anomali algılama analiz kurallarıyla çalışma.
Microsoft güvenlik kuralları
Zamanlanmış ve NRT kuralları, oluşturdukları uyarılar için otomatik olarak olaylar oluştururken, dış hizmetlerde oluşturulan ve Microsoft Sentinel alınan uyarılar kendi olaylarını oluşturmaz. Microsoft güvenlik kuralları, diğer Microsoft güvenlik çözümlerinde oluşturulan uyarılardan gerçek zamanlı olarak Microsoft Sentinel olayları otomatik olarak oluşturur. Benzer mantıkla yeni kurallar oluşturmak için Microsoft güvenlik şablonlarını kullanabilirsiniz.
Önemli
Aşağıdakiler varsa Microsoft güvenlik kuralları kullanılamaz :
- Olay tümleştirmesi Microsoft Defender XDR etkinleştirildi veya
- Defender portalına eklenen Microsoft Sentinel.
Bu senaryolarda Microsoft Defender XDR bunun yerine olayları oluşturur.
Önceden tanımladığınız bu tür kurallar otomatik olarak devre dışı bırakılır.
Microsoft güvenlik olayı oluşturma kuralları hakkında daha fazla bilgi için bkz. Microsoft güvenlik uyarılarından olayları otomatik olarak oluşturma.
Tehdit bilgileri
Microsoft Threat Intelligence Analytics kuralıyla yüksek kaliteli uyarılar ve olaylar oluşturmak için Microsoft tarafından üretilen tehdit bilgilerinden yararlanın. Bu benzersiz kural özelleştirilebilir değildir, ancak etkinleştirildiğinde, Ortak Olay Biçimi (CEF) günlüklerini, Syslog verilerini veya Etki alanı, IP ve Microsoft Tehdit Bilgileri'ndeki URL tehdit göstergeleriyle Windows DNS olaylarını otomatik olarak eşleştirir. Bazı göstergeler MDTI (Microsoft Defender Tehdit Analizi) aracılığıyla daha fazla bağlam bilgisi içerir.
Bu kuralı etkinleştirme hakkında daha fazla bilgi için bkz. Tehditleri algılamak için eşleşen analiz kullanma.
MDTI hakkında daha fazla bilgi için bkz. Microsoft Defender Tehdit Analizi nedir?
Gelişmiş çok aşamalı saldırı algılama (Fusion)
Microsoft Sentinel, ölçeklenebilir makine öğrenmesi algoritmalarıyla Fusion bağıntı altyapısını kullanarak birden çok üründeki birçok düşük aslına uygunluk uyarısını ve olayı yüksek kaliteli ve eyleme dönüştürülebilir olaylarla ilişkilendirerek gelişmiş çok aşamalı saldırıları algılar. Gelişmiş çok aşamalı saldırı algılama kuralı varsayılan olarak etkindir. Mantık gizli olduğundan ve bu nedenle özelleştirilebilir olmadığından, bu şablona sahip tek bir kural olabilir.
Fusion altyapısı ayrıca zamanlanmış analiz kuralları tarafından üretilen uyarıları diğer sistemlerden gelen uyarılarla ilişkilendirerek sonuç olarak yüksek güvenilirlikli olaylar oluşturabilir.
Önemli
Gelişmiş çok aşamalı saldırı algılama kuralı türü, aşağıdakilere sahipseniz kullanılamaz:
- Olay tümleştirmesi Microsoft Defender XDR etkinleştirildi veya
- Defender portalına eklenen Microsoft Sentinel.
Bu senaryolarda Microsoft Defender XDR bunun yerine olayları oluşturur.
Ayrıca Fusion algılama şablonlarından bazıları şu anda ÖNİzLEME aşamasındadır (hangilerini görmek için bkz. Microsoft Sentinel gelişmiş çok aşamalı saldırı algılama). Beta, önizleme veya henüz genel kullanıma sunulmamış Azure özellikler için geçerli olan ek yasal koşullar için Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları'na bakın.
Makine öğrenmesi (ML) davranış analizi
ML Davranış Analizi kurallarıyla yüksek kaliteli uyarılar ve olaylar oluşturmak için Microsoft'un özel makine öğrenmesi algoritmalarından yararlanın. Bu benzersiz kurallar (şu anda Önizleme aşamasındadır) özelleştirilebilir değildir, ancak etkinleştirildiğinde IP ve coğrafi konum ile kullanıcı geçmişi bilgilerine göre belirli anormal SSH ve RDP oturum açma davranışlarını algılayın.
Analiz kuralları için erişim izinleri
Analiz kuralı oluşturduğunuzda, kurala bir erişim izinleri belirteci uygulanır ve bu belirteçle birlikte kaydedilir. Bu belirteç, kuralın kural tarafından sorgulanan verileri içeren çalışma alanına erişebilmesini ve kuralı oluşturanın bu çalışma alanına erişimini kaybetmesi durumunda bile bu erişimin korunmasını sağlar.
Ancak bu erişimin bir istisnası vardır: MSSP durumunda olanlar gibi diğer aboneliklerdeki veya kiracılardaki çalışma alanlarına erişmek için bir kural oluşturulduğunda, Microsoft Sentinel müşteri verilerine yetkisiz erişimi önlemek için ek güvenlik önlemleri alır. Bu tür kurallar için, kuralı oluşturan kullanıcının kimlik bilgileri bağımsız erişim belirteci yerine kurala uygulanır, böylece kullanıcının diğer aboneliğe veya kiracıya erişimi kalmadığında kural çalışmayı durdurur.
Microsoft Sentinel abonelikler arası veya kiracılar arası bir senaryoda çalıştırırsanız, analistlerinizden veya mühendislerinizden biri belirli bir çalışma alanına erişimi kaybettiğinde, bu kullanıcı tarafından oluşturulan tüm kurallar çalışmayı durdurur. Bu durumda, "kaynağa yetersiz erişim" ile ilgili bir sistem durumu izleme iletisi alırsınız ve kural belirli sayıda başarısız olduktan sonra otomatik olarak devre dışı bırakılır .
Kuralları ARM şablonuna aktarma
Kurallarınızı yönetmek ve kod olarak dağıtmak istiyorsanız kuralınızı kolayca bir Azure Resource Manager (ARM) şablonuna aktarabilirsiniz. Ayrıca, kullanıcı arabiriminde görüntülemek ve düzenlemek için şablon dosyalarından kuralları içeri aktarabilirsiniz.
Sonraki adımlar
Microsoft Sentinel'da Microsoft Sentinel zamanlanmış analiz kuralları ve neredeyse gerçek zamanlı (NRT) analiz kurallarıyla Hızlı tehdit algılama hakkında daha fazla bilgi edinin.
Daha fazla kural şablonu bulmak için bkz. kullanıma hazır Microsoft Sentinel içeriği bulma ve yönetme.