Aracılığıyla paylaş


Tehditleri algılamak için eşleşen analiz kullanma

Microsoft Defender Tehdit Analizi Analytics kuralıyla yüksek kaliteli uyarılar ve olaylar oluşturmak için Microsoft tarafından üretilen tehdit bilgilerinden yararlanın. Microsoft Sentinel'deki bu yerleşik kural, Göstergeleri Ortak Olay Biçimi (CEF) günlükleri, etki alanı ve IPv4 tehdit göstergeleriyle Windows DNS olayları, syslog verileri ve daha fazlası ile eşleştirir.

Önkoşullar

Yüksek uygunluk uyarıları ve olayları oluşturmak için desteklenen veri bağlayıcılarından birini veya daha fazlasını yüklemeniz gerekir. Premium Microsoft Defender Tehdit Analizi lisansı gerekmez. Bu veri kaynaklarını bağlamak için İçerik hub'ından uygun çözümleri yükleyin:

  • Common Event Format
  • DNS (önizleme)
  • Syslog
  • Office etkinlik günlükleri
  • Azure etkinlik günlükleri
  • ASIM DNS günlükleri
  • ASIM Ağ oturumları

Microsoft Defender Tehdit Analizi Analytics kuralı veri kaynağı bağlantılarını gösteren ekran görüntüsü.

Örneğin, veri kaynağınıza bağlı olarak aşağıdaki çözümleri ve veri bağlayıcılarını kullanabilirsiniz:

Çözüm Veri bağlayıcı
Sentinel için Ortak Olay Biçimi çözümü Microsoft Sentinel için Ortak Olay Biçimi bağlayıcısı
Windows Server DNS Microsoft Sentinel için DNS bağlayıcısı
Sentinel için Syslog çözümü Microsoft Sentinel için Syslog bağlayıcısı
Sentinel için Microsoft 365 çözümü Microsoft Sentinel için Office 365 bağlayıcısı
Sentinel için Azure Etkinlik çözümü Microsoft Sentinel için Azure Etkinlik bağlayıcısı

Eşleşen analiz kuralını yapılandırma

eşleşen analiz, Microsoft Defender Tehdit Analizi Analytics kuralını etkinleştirdiğinizde yapılandırılır.

  1. Yapılandırma bölümünün altında Analiz menüsünü seçin.

  2. Kural şablonları sekmesini seçin.

  3. Arama penceresine tehdit bilgileri girin.

  4. Microsoft Defender Tehdit Analizi Analytics kural şablonunu seçin.

  5. Kural oluştur'u seçin. Kural ayrıntıları salt okunurdur ve kuralın varsayılan durumu etkinleştirilir.

  6. Oluştur'u Gözden Geçir'i> seçin.

Etkin kurallar sekmesinde Microsoft Defender Tehdit Analizi Analytics kuralının etkinleştirildiğini gösteren ekran görüntüsü.

Veri kaynakları ve göstergeler

Microsoft Defender Tehdit Analizi Analytics, günlüklerinizi etki alanı, IP ve URL göstergeleriyle aşağıdaki yollarla eşleştirir:

  • Log Analytics tablosuna alınan CEF günlükleriCommonSecurityLog, alanda doldurulduysa RequestURL URL ve etki alanı göstergeleriyle ve alandaki IPv4 göstergeleriyle DestinationIP eşleşmektedir.
  • Tabloya DnsEvents alınan Windows DNS günlükleri, SubType == "LookupQuery" alanda doldurulan Name etki alanı göstergeleriyle ve alandaki IPv4 göstergeleriyle IPAddresses eşleşir.
  • Tabloya alınan syslog olayları, Facility == "cron" doğrudan alandan Syslog etki alanı ve IPv4 göstergeleriyle SyslogMessage eşleşir.
  • Tabloya alınan Office etkinlik günlükleri doğrudan alandan OfficeActivity IPv4 göstergeleriyle ClientIP eşleşebilir.
  • Tabloya alınan Azure etkinlik günlükleri doğrudan alandan AzureActivity IPv4 göstergeleriyle CallerIpAddress eşleşebilir.
  • Tabloya ASimDnsActivityLogs alınan ASIM DNS günlükleri, alanda doldurulduysa DnsQuery etki alanı göstergeleriyle ve alandaki IPv4 göstergeleriyle eşleşerDnsResponseName.
  • Tabloya alınan ASIM Ağ Oturumları, aşağıdaki alanlardan birinde veya daha fazlasında doldurulduysa IPv4 göstergeleriyle eşleşmektedir: DstIpAddr, DstNatIpAddr, SrcNatIpAddr, , SrcIpAddr, DvcIpAddr.ASimNetworkSessionLogs

Eşleşen analiz tarafından oluşturulan bir olayı önceliklendirme

Microsoft'un analizi bir eşleşme bulursa, oluşturulan tüm uyarılar olaylar halinde gruplandırılır.

Microsoft Defender Tehdit Analizi Analytics kuralı tarafından oluşturulan olayları önceliklendirmek için aşağıdaki adımları kullanın:

  1. Microsoft Defender Tehdit Analizi Analytics kuralını etkinleştirdiğiniz Microsoft Sentinel çalışma alanında Olaylar'ı seçin ve Microsoft Defender Tehdit Analizi Analytics'i arayın.

    Bulunan tüm olaylar kılavuzda görünür.

  2. Varlıkları ve olayla ilgili belirli uyarılar gibi diğer ayrıntıları görüntülemek için Tüm ayrıntıları görüntüle'yi seçin.

    Aşağıda bir örnek verilmiştir.

    Ayrıntılar bölmesiyle eşleşen analizler tarafından oluşturulan olayın ekran görüntüsü.

  3. Uyarılara ve olaya atanan önem derecesini gözlemleyin. Göstergenin nasıl eşlendiğine bağlı olarak, uyarıya uygun bir önem derecesi atanır.Informational High Örneğin, gösterge trafiğe izin veren güvenlik duvarı günlükleriyle eşleşiyorsa, yüksek önem derecesi uyarısı oluşturulur. Aynı gösterge trafiği engelleyen güvenlik duvarı günlükleriyle eşleştirildiyse, oluşturulan uyarı düşük veya orta düzeydedir.

    Uyarılar daha sonra göstergenin gözlemlenebilir temelinde gruplandırılır. Örneğin, etki alanıyla eşleşen contoso.com 24 saatlik bir zaman diliminde oluşturulan tüm uyarılar, en yüksek uyarı önem derecesine göre atanmış önem derecesine sahip tek bir olay halinde gruplandırılır.

  4. Gösterge bilgilerini gözlemleyin. Eşleşme bulunduğunda gösterge Log Analytics ThreatIntelligenceIndicators tablosunda yayımlanır ve Tehdit Bilgileri sayfasında görünür. Bu kuraldan yayımlanan tüm göstergeler için kaynak Microsoft Defender Tehdit Analizi Analytics olarak tanımlanır.

Aşağıda tabloya bir örnek verilmiştır ThreatIntelligenceIndicators .

Microsoft Threat Intelligence Analytics SourceSystem ile göstergeyi gösteren ThreatIntelligenceIndicator tablosunu gösteren ekran görüntüsü.

Tehdit Bilgileri sayfasının bir örneği aşağıda verilmiştır.

Kaynağı Microsoft Threat Intelligence Analytics olarak gösteren göstergenin seçili olduğu Tehdit Bilgilerine genel bakışı gösteren ekran görüntüsü.

Microsoft Defender Tehdit Analizi'dan daha fazla bağlam alma

Bazı Microsoft Defender Tehdit Analizi göstergeleri, yüksek uygunluk uyarıları ve olaylarının yanı sıra Microsoft Defender Tehdit Analizi topluluk portalındaki bir başvuru makalesinin bağlantısını içerir.

Microsoft Defender Tehdit Analizi başvuru makalesinin bağlantısını içeren bir olayı gösteren ekran görüntüsü.

Daha fazla bilgi için bkz. Microsoft Defender Tehdit Analizi nedir?.

Bu makalede, uyarılar ve olaylar oluşturmak için Microsoft tarafından üretilen tehdit bilgilerini bağlamayı öğrendiniz. Microsoft Sentinel'deki tehdit bilgileri hakkında daha fazla bilgi için aşağıdaki makalelere bakın: