Özel algılama kuralları oluşturma

  • Şunlara uygulanır: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal, Microsoft Defender for Endpoint Plan 2

Özel algılama kuralları, gelişmiş tehdit avcılığı sorgularını kullanarak tasarladığınız ve ince ayar yaptığınız kurallardır. Bu kuralları kullanarak, şüpheli ihlal etkinliği ve yanlış yapılandırılmış uç noktalar dahil olmak üzere çeşitli olayları ve sistem durumlarını proaktif olarak izleyebilirsiniz. Bunları düzenli aralıklarla çalışacak şekilde ayarlayabilir, uyarılar oluşturabilir ve her eşleşme olduğunda yanıt eylemleri gerçekleştirebilirsiniz.

Özel algılamaları yönetmek için gerekli izinler

Özel algılamaları yönetmek için, bu algılamaların hedeflediğiniz verileri yönetmenize olanak sağlayan rollere ihtiyacınız vardır. Örneğin, birden çok veri kaynağında (Microsoft Defender XDR ve Microsoft Sentinel veya birden çok Defender iş yükü) özel algılamaları yönetmek için tüm geçerli Defender XDR ve Sentinel rollerine ihtiyacınız vardır. Daha fazla bilgi için aşağıdaki bölümlere bakın.

Microsoft Defender XDR

Microsoft Defender XDR verilerde özel algılamaları yönetmek için şu rollerden birine atanmış olmanız gerekir:

  • Güvenlik ayarları (yönetme) - Bu Microsoft Defender XDR iznine sahip kullanıcılar Microsoft Defender portalında güvenlik ayarlarını yönetebilir.

  • Güvenlik Yöneticisi - Bu Microsoft Entra rolüne sahip kullanıcılar Microsoft Defender portalında ve diğer portallarda ve hizmetlerde güvenlik ayarlarını yönetebilir.

  • Güvenlik operatörü - Bu Microsoft Entra rolüne sahip kullanıcılar uyarıları yönetebilir ve Microsoft Defender portalındaki tüm bilgiler de dahil olmak üzere güvenlikle ilgili özelliklere genel olarak salt okunur erişime sahip olabilir. Bu rol, yalnızca rol tabanlı erişim denetimi (RBAC) Uç Nokta için Microsoft Defender kapalı olduğunda özel algılamaları yönetmek için yeterlidir. RBAC yapılandırdıysanız, Uç Nokta için Defender için Güvenlik Ayarlarını Yönet iznine de ihtiyacınız vardır.

Belirli Defender XDR çözümlerinden gelen verilere uygulanan özel algılamaları, bunlar için doğru izinlere sahipseniz yönetebilirsiniz. Örneğin, yalnızca Office 365 için Microsoft Defender yönetme izinleriniz varsa tabloları kullanarak Email* özel algılamalar oluşturabilirsiniz, tabloları değilIdentity*.

Benzer şekilde, IdentityLogonEvents tablo hem Microsoft Defender for Cloud Apps hem de Kimlik için Defender'dan kimlik doğrulama etkinliği bilgilerini barındırdığından, bu tabloyu sorgulayan özel algılamaları yönetmek için her iki hizmet için de yönetim izinlerine sahip olmanız gerekir.

Not

Özel algılamaları yönetmek için, RBAC açıksa Güvenlik İşleçlerinin Uç Nokta için Microsoft Defender'de Güvenlik Ayarlarını Yönet iznine sahip olması gerekir.

Microsoft Sentinel

Microsoft Sentinel verilerde özel algılamaları yönetmek için Microsoft Sentinel Katkıda Bulunan rolüne veya daha yüksek bir role sahip olmanız gerekir. Bu Azure rolüne sahip kullanıcılar, uyarılar ve algılamalar da dahil olmak üzere Microsoft Sentinel SIEM çalışma alanı verilerini yönetebilir. Bu rolü belirli bir birincil çalışma alanına, Azure kaynak grubuna veya aboneliğin tamamına atayabilirsiniz.

Gerekli izinleri yönetme

Genel Yönetici gerekli izinleri yönetmek için şunları yapabilir:

  • Microsoft 365 yönetim merkezi'da Rol> Güvenlik Yöneticisi altında Güvenlik Yöneticisi veya Güvenlik operatörü rolünüatayın.
  • Ayarlar>İzinleri>Rolleri altındaki Microsoft Defender XDR Uç Nokta için Microsoft Defender için RBAC ayarlarını denetleyin. Güvenlik ayarlarını yönetme iznini atamak için ilgili rolü seçin.

Önemli

Kuruluşunuzun güvenliğini artırmaya yardımcı olmak için en az izine sahip rolleri kullanın. Genel Yönetici yüksek ayrıcalıklı bir roldür. Mevcut bir rolü kullanamıyorsanız, bu rolün kullanımını acil durum senaryolarıyla sınırlayın.

Not

Kullanıcının, oluşturduğu veya düzenlediği özel algılama kuralının cihaz kapsamındaki cihazlar için uygun izinlere de ihtiyacı vardır. Kullanıcı tüm cihazlar için izinlere sahip değilse, kapsamı tüm cihazlarda çalışacak şekilde belirlenmiş bir özel algılama kuralını düzenleyemez.

Özel algılama kuralı oluşturma

Aşağıdaki giriş noktalarından herhangi birinden özel algılama kuralı oluşturabilirsiniz:

  • Gelişmiş tehdit avcılığındanGelişmiş avcılık'a gidin, sorgunuzu hazırlayın ve çalıştırın, ardından Algılama kuralı oluştur'u seçin. Bu yaklaşım, kuralı oluşturmadan önce sorgu sonuçlarınızı doğrulamanıza olanak tanır.
  • Özel algılamalar listesindenÖzel algılama kuralları'na gidin ve + Algılama kuralı oluştur'u seçin. Bu yaklaşım, doğrudan kural sihirbazını açar. Burada sorgu yazabilir veya yapıştırabilir ve tüm kural ayarlarını tek bir yerde yapılandırabilirsiniz.

Hangi giriş noktasını kullandığınızdan bağımsız olarak, kuralı yapılandırmak için şu adımları izleyin:

  1. Sorguyu hazırlama
  2. Yeni kural oluşturma ve uyarı ayrıntılarını sağlama
  3. Uyarı zenginleştirme ayrıntılarını tanımlama
  4. Eylemleri belirtme
  5. Kural kapsamını ayarlama
  6. Kuralı gözden geçirme ve açma

1. Sorguyu hazırlama

Microsoft Defender portalında Gelişmiş tehdit avcılığı'na gidin ve var olan bir sorguyu seçin veya yeni bir sorgu oluşturun. Yeni bir sorgu kullandığınızda, hataları belirlemek ve olası sonuçları anlamak için sorguyu çalıştırın. + Algılama kuralı oluştur'u seçerek özel algılamalar listesinden başladıysanız, sorgunuzu doğrudan kural sihirbazına yazabilir veya yapıştırabilirsiniz.

Önemli

Hizmetin çok fazla uyarı döndürmesini önlemek için her kural her çalıştığında yalnızca 150 uyarı oluşturabilir. Kural oluşturmadan önce, normal, günlük etkinlik uyarılarını önlemek için sorgunuzda ayarlamalar yapın.

Sorgu sonuçlarında gerekli sütunlar

Defender XDR verileri kullanarak özel algılama kuralı oluşturmak için sorgu aşağıdaki sütunları döndürmelidir:

  1. Timestamp veya TimeGenerated - Bu sütun, oluşturulan uyarılar için zaman damgasını ayarlar. Sorgu bu sütunu işlememeli ve tam olarak ham olayda göründüğü gibi döndürmelidir.

  2. XDR tablolarını temel alan algılamalar için, bu tablolardaki olayı benzersiz olarak tanımlayan bir sütun veya sütun birleşimi:

    • Uç Nokta için Microsoft Defender tablolardaTimestamp, , DeviceIdve ReportId sütunları aynı olayda görünmelidir
    • Uyarı* tabloları için olayda Timestamp görünmelidir
    • Gözlem* tabloları Timestamp için ve ObservationId aynı olayda görünmelidir
    • Diğer tüm kullanıcılar Timestamp için ve ReportId aynı olayda görünmelidir

  3. Etkilenen varlık için güçlü tanımlayıcı içeren bir sütun. Etkilenen bir varlığı sihirbazda otomatik olarak eşlemek için, etkilenen bir varlığın tanımlayıcısını içeren aşağıdaki sütunlardan birini yansıtın:

    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (zarf gönderen veya Return-Path adresi)
    • SenderMailFromAddress (e-posta istemcisi tarafından görüntülenen gönderen adresi)
    • SenderObjectId
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Not

Gelişmiş tehdit avcılığı şemasına yeni tablolar eklendikçe daha fazla varlık desteği eklenecektir.

Sonuçları özelleştirmek veya toplamak için veya summarize işlecini kullanmayanlar project gibi basit sorgular genellikle bu ortak sütunları döndürür.

Daha karmaşık sorguların bu sütunları döndürmesini sağlamanın çeşitli yolları vardır. Örneğin, gibi DeviceIdbir sütun altında varlığa göre toplamayı ve sayma işlemini tercih ederseniz, bunları her benzersiz DeviceIdöğesini içeren en son olaydan almaya devam TimestampReportId edebilirsiniz.

Önemli

Sütununu kullanarak özel algılamaları filtrelemekten Timestamp kaçının. Hizmet, özel algılamalar için verileri algılama sıklığına göre önceden filtreler.

Aşağıdaki örnek sorgu, virüsten koruma algılamaları olan benzersiz cihazların (DeviceId) sayısını sayar ve yalnızca beşten fazla algılaması olan cihazları bulmak için bu sayıyı kullanır. En son Timestamp ve karşılık gelen ReportIddeğerini döndürmek için işleviyle birlikte işlecini arg_max kullanırsummarize.

DeviceEvents
| where ingestion_time() > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

İpucu

Daha iyi sorgu performansı için, kural için hedeflenen çalışma sıklığınızla eşleşen bir zaman filtresi ayarlayın. En az sık çalıştırılan 24 saatte bir olduğundan, önceki güne yönelik filtreleme tüm yeni verileri kapsar.

Microsoft Sentinel kapsamı için özel sütun

kapsam belirleme Microsoft Sentinel yapılandırdıysanız, SentinelScope_CF özel alan analizlerinizin kapsamına başvurmak için sorgularda ve algılama kurallarında kullanılabilir.

Özel algılamalar ve analiz kuralları oluşturduğunuzda, tetiklenen uyarıların SentinelScope_CF kapsamlı analistler tarafından görünür olmasını sağlamak için sorgularınızda sütunu yansıtmanız gerekir. Bu sütunu yansıtmazsanız uyarılar kapsam dışıdır ve kapsamı belirlenmiş kullanıcılardan gizlenir.

2. Yeni kural oluşturun ve uyarı ayrıntılarını sağlayın

Sorgu düzenleyicisinde Algılama kuralı oluştur'u seçin ve aşağıdaki uyarı ayrıntılarını belirtin:

  • Algılama adı - Algılama kuralının adı; benzersiz hale getirin.
  • Frequency - Sorguyu çalıştırma ve eylem gerçekleştirme aralığı. Kural sıklığı bölümünde daha fazla kılavuza bakın.
  • Lookback - Özel algılamanın yalnızca Microsoft Sentinel verileri hedeflediği sorgunun kapsadığı zaman aralığı. Geri arama bölümünde daha fazla kılavuza bakın.
  • Uyarı başlığı - Kural tarafından tetiklenen uyarılarla görüntülenen başlık; benzersiz hale getirin ve düz metin kullanın. Dizeler güvenlik amacıyla temizlenir, bu nedenle HTML, Markdown ve diğer kodlar çalışmaz. Başlıkta yer alan tüm URL'lerin düzgün görüntülenmesi için yüzde kodlama biçimini izlemesi gerekir.
  • Önem derecesi - Kural tarafından tanımlanan bileşenin veya etkinliğin olası riski.
  • Kategori - Kural tarafından tanımlanan tehdit bileşeni veya etkinliği.
  • MITRE ATT&CK teknikleri - MITRE ATT&CK çerçevesinde belgelendiği gibi kural tarafından tanımlanan bir veya daha fazla saldırı tekniği. Bu bölüm kötü amaçlı yazılım, fidye yazılımı, şüpheli etkinlik ve istenmeyen yazılımlar gibi bazı uyarı kategorileri için gizlenir.
  • Tehdit analizi raporu - Oluşturulan uyarıyı, tehdit analizindeki İlgili olaylar sekmesinde görünecek şekilde mevcut bir tehdit analizi raporuna bağlayın.
  • Açıklama - Kural tarafından tanımlanan bileşen veya etkinlik hakkında daha fazla bilgi. Dizeler güvenlik amacıyla temizlenir, bu nedenle HTML, Markdown ve diğer kodlar çalışmaz. Açıklamaya dahil edilen TÜM URL'lerin düzgün görüntülenmesi için yüzde kodlama biçimini izlemesi gerekir.
  • Önerilen eylemler - Yanıtlayanların uyarıya yanıt olarak gerçekleştirebileceği ek eylemler.

Kural sıklığı

Yeni bir kural kaydettiğinizde çalıştırılır ve son 30 günlük verilerin eşleşmelerini denetler. Kural daha sonra sabit aralıklarla yeniden çalıştırılır ve seçtiğiniz sıklık temelinde bir geri arama dönemi uygular:

  • Her 24 saatte bir
  • Her 12 saatte bir
  • 3 saatte bir
  • Saatte bir
  • Sürekli (NRT) - Gerçek zamanlıya yakın (NRT) olarak toplanan ve işlenen olaylardaki verileri denetleden sürekli olarak çalışır. Daha fazla bilgi için bkz . Sürekli (NRT) sıklık.
  • Özel - Seçtiğiniz sıklık düzeyine göre çalışır. Kural yalnızca Microsoft Sentinel alınan verileri temel alırsa bu seçenek kullanılabilir. Daha fazla bilgi için bkz. Microsoft Sentinel verileri için özel sıklık.

İpucu

Sorgunuzdaki zaman filtrelerini geri arama dönemiyle eşleştirin. Geri arama dönemi dışındaki sonuçlar yoksayılır.

Bir kuralı düzenlediğinizde, ayarladığınız sıklıkta zamanlanan bir sonraki çalışma zamanı değişiklikleri uygular. Kural sıklığı, alım süresini değil olay zaman damgasını temel alır. Belirli çalıştırmalarda küçük gecikmeler meydana gelebilir, bu nedenle yapılandırılan sıklık %100 doğru değildir.

Sürekli (NRT) frekans

Özel algılamayı Sürekli (NRT) sıklıkta çalışacak şekilde ayarlamak, kuruluşunuzun tehditleri daha hızlı tanımlama becerisini artırır. Sürekli (NRT) sıklığının kullanılması, kaynak kullanımınızı en az düzeyde etkilemez. Kuruluşunuzdaki herhangi bir nitelikli özel algılama kuralı için kullanmayı göz önünde bulundurun.

Özel algılama kuralları sayfasından, Şimdi geçir'i seçerek Sürekli (NRT) sıklığına uyan özel algılama kurallarını geçirebilirsiniz:

Gelişmiş avcılıkta Şimdi geçir düğmesinin ekran görüntüsü.

Şimdi geçir'i seçtiğinizde, KQL sorgusuna göre tüm uyumlu kuralların listesini görürsünüz. Yalnızca tüm veya seçili kuralları geçirmeyi seçebilirsiniz:

Gelişmiş avcılıkta sürekli frekans uyumlu sorguların ekran görüntüsü.

Kaydet'i seçtiğinizde, seçili kuralların sıklığı Sürekli (NRT) sıklık olarak güncelleştirilir.

Sürekli çalıştırabileceğiniz sorgular

Sorguyu şu süre boyunca sürekli çalıştırabilirsiniz:

  • Sorgu yalnızca bir tabloya başvurur.
  • Sorgu, Desteklenen KQL özellikleri listesinden bir işleç kullanır. işleci için matches regex normal ifadelerin dize değişmez değerleri olarak kodlanması ve dize alıntılama kurallarına uyması gerekir. Örneğin, normal ifade \A KQL'de olarak "\\A"temsil edilir. Ek ters eğik çizgi, diğer ters eğik çizginin normal ifadesinin \Abir parçası olduğunu gösterir.
  • Sorgu birleştirmeleri, birleşimleri veya externaldata işleci kullanmaz.
  • Sorgu herhangi bir açıklama satırı veya bilgi içermez.
Sürekli (NRT) sıklığını destekleyen tablolar

Neredeyse gerçek zamanlı algılamalar aşağıdaki tabloları destekler:

Microsoft Defender XDR Microsoft Sentinel
  • AlertEvidence
  • CloudAppEvents
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • EmailAttachmentInfo
  • EmailEvents(ve LatestDeliveryAction sütunları hariçLatestDeliveryLocation)
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents
  • ABAPAuditLog_C
  • ABAPChangeDocsLog_CL
  • AuditLogs
  • AWSCloudTrail
  • AWSGuardDuty
  • AzureActivity
  • CommonSecurityLog
  • GCPAuditLogs
  • MicrosoftGraphActivityLogs
  • OfficeActivity
  • Okta_CL
  • OktaV2_CL
  • ProofpointPOD
  • ProofPointTAPClicksPermitted_CL
  • ProofPointTAPMessagesDelivered_CL
  • SecurityAlert
  • SecurityEvent
  • SigninLogs
 

Not

Yalnızca genel kullanıma sunulan sütunlar Sürekli (NRT) sıklığı destekler.

Microsoft Sentinel verileri için özel sıklık

Microsoft Defender eklenen Microsoft Sentinel müşteriler, kural yalnızca Microsoft Sentinel alınan verileri temel alarak Özel sıklık'ı seçebilir.

Bu sıklık seçeneğini belirlediğinizde Sorguyu her giriş bileşenini çalıştır seçeneği görüntülenir. Kural için istenen sıklığı yazın ve birimleri seçmek için açılan listeyi kullanın: dakika, saat veya gün. Desteklenen aralık 5 dakika ile 14 gün arasında bir değerdir.

Özel algılamalar kurulum kılavuzunda Özel sıklık seçeneğini gösteren ekran görüntüsü.

Önemli

Özel bir sıklık seçtiğinizde Defender verilerinizi Microsoft Sentinel getirir. Bu koşul şu anlama gelir:

  1. Microsoft Sentinel'de kullanılabilir verileriniz olmalıdır.
  2. Microsoft Sentinel kapsam belirlemeyi desteklemediğinden Defender XDR veriler kapsam belirlemeyi desteklemez.

Lookback

Özel algılamalarınızın geri arama süresi, hedef verilere ve sorgunuzun sıklığına bağlı olarak beş dakika ile 30 gün arasında değişebilir.

Özel algılamalarınız Defender XDR veri içeriyorsa, seçtiğiniz kural sıklığına bağlı olarak sabit bir geri arama dönemi uygulanır:

  • Her 24 saatte bir çalışacak şekilde ayarlanan algılamalar için geri arama süresi 30 gündür.
  • Her 12 saatte bir çalışacak şekilde ayarlanan algılamalar için geri arama süresi 48 saattir.
  • Algılamaların üç saatte bir çalışacak şekilde ayarlanması için geri arama süresi 12 saattir.
  • Saatlik çalışacak şekilde ayarlanan algılamalar için geri arama süresi dört saattir.

Özel algılamalarınız yalnızca Microsoft Sentinel verileri hedeflediyse, ayarladığınız kural sıklığına bağlı olarak geri arama süresini özelleştirebilirsiniz:

  • Bir saatten daha yüksek (daha sık) sıklıklarda çalışacak şekilde ayarlanan algılamalar için, geri arama süresi 48 saatten kısa bir süreyle sınırlıdır.
  • Algılamaların bir günden daha yüksek frekanslarda çalışması için, geri arama 14 güne kadar ayarlanabilir.
  • Bir gün veya daha az sıklıkta çalışacak şekilde ayarlanan algılamalar için, geri arama 30 güne kadar ayarlanabilir.

Önemli

Özel algılamalar ingestion_time() , alım gecikmelerini dikkate alır. Bu koşul nedeniyle, yapılandırılmış geri arama döneminden eski veya TimeGenerated değerleri olan olaylar Timestamp kural değerlendirmesine dahil edilmeye devam edebilir.

Geri arama süresi sıklıktan uzun olduğunda, yinelenen olaylar oluşabilir. Ancak özel algılamalar uyarı gürültüsünü ve yorgunluğunu azaltmak için bunları otomatik olarak gruplandırır ve yinelenenleri kaldırır .

3. Uyarı zenginleştirme ayrıntılarını tanımlama

Daha fazla ayrıntı sağlayarak ve tanımlayarak uyarıları zenginleştirebilirsiniz. Uyarıları zenginleştirdiğinizde şunları yapabilirsiniz:

Dinamik uyarı başlığı ve açıklaması oluşturma

Doğru ve belirleyici olmasını sağlamak için sorgunuzun sonuçlarını kullanarak uyarınızın başlığını ve açıklamasını dinamik olarak oluşturabilirsiniz. Bu özellik, uyarıları ve olayları önceliklendirirken ve bir uyarının özünü hızla anlamaya çalışırken SOC analistlerinin verimliliğini artırabilir.

Uyarının başlığını veya açıklamasını dinamik olarak yapılandırmak için, sorgu sonuçlarınızda kullanılabilen sütunların serbest metin adlarını kullanarak ve bunları çift köşeli ayraçlarla çevreleyerek bunları Uyarı ayrıntıları bölümüyle tümleştirin.

Örneğin: User {{AccountName}} unexpectedly signed in from {{Location}}

Not

Her alanda en fazla üç sütuna başvurabilirsiniz.

Özel algılamalar sihirbazındaki dinamik uyarı başlığı ve açıklama alanlarını gösteren ekran görüntüsü.

Tam olarak başvurmak istediğiniz sütun adlarına karar vermenize yardımcı olmak için Sorguyu ve sonuçları araştır'ı seçin. Bu seçim, kural oluşturma sihirbazının üzerinde Gelişmiş avcılık bağlamı bölmesini açar. Burada sorgu mantığınızı ve sonuçlarını inceleyebilirsiniz.

Özel ayrıntılar ekleme

Uyarı yan panelinde önemli ayrıntıları göstererek SOC analistlerinizin üretkenliğini daha da artırabilirsiniz. Bu olaylardan oluşturulan uyarılarda olayların verilerini ortaya çıkarabilirsiniz. Bu özellik, SOC analistlerinize olaylarının anında olay içeriği görünürlüğünü sunarak önceliklendirme, araştırma ve sonuçları daha hızlı elde etmelerini sağlar.

Özel ayrıntılar bölümünde, ortaya çıkarmanızı istediğiniz ayrıntılara karşılık gelen anahtar-değer çiftleri ekleyin:

  • Anahtar alanına, seçtiğiniz ve uyarılarda alan adı olarak görünen bir ad girin.
  • Parametre alanında, açılan listeden uyarılarda yer almak istediğiniz olay parametresini seçin. Bu liste, KQL sorgunuzun verdiği sütun adlarına karşılık gelen değerlerle doldurulur.

Özel algılamalar sihirbazında Özel ayrıntılar seçeneğini gösteren ekran görüntüsü.

Aşağıdaki ekran görüntüsünde uyarı yan panelinde özel ayrıntıların nasıl göründüğü gösterilmektedir:

Defender portalının uyarı yan panelinde görünen özel ayrıntıları gösteren ekran görüntüsü.

Önemli

Özel ayrıntılar aşağıdaki sınırlamalara sahiptir:

  1. Her kural en fazla 20 anahtar-değer çifti özel ayrıntıyla sınırlıdır.
  2. Tek bir uyarıdaki tüm özel ayrıntılar ve bunların değerleri için birleştirilmiş boyut sınırı 4 KB'tır. Özel ayrıntılar dizisi bu sınırı aşarsa, özel ayrıntılar dizisinin tamamı uyarıdan bırakılır.

Sorgu sonuçlarınızda, etkilenen veya etkilenen ana varlığı bulmayı beklediğiniz sütunları belirleyin. Örneğin, bir sorgu gönderen (SenderFromAddress veya SenderMailFromAddress) ve alıcı (RecipientEmailAddress) adresleri döndürebilir. Bu sütunlardan hangisinin ana etkilenen varlığı temsil ettiği belirlenerek hizmetin ilgili uyarıları toplaması, olayları ilişkilendirmesi ve hedef yanıt eylemlerine yardımcı olur.

Her varlık türü (posta kutusu, kullanıcı veya cihaz) için yalnızca bir sütun seçebilirsiniz. Sorgunuz tarafından döndürülmedi sütunları seçemezsiniz.

Genişletilmiş varlık eşlemesi

Çok çeşitli varlık türlerini uyarılarınıza bağlayabilirsiniz. Daha fazla varlığın bağlanması, bağıntı altyapısının uyarıları aynı olaylarla ilişkilendirmesine ve olayları birbiriyle ilişkilendirmesine yardımcı olur. Microsoft Sentinel bir müşteriyseniz bu, üçüncü taraf veri kaynaklarınızdan Microsoft Sentinel alınan herhangi bir varlığı eşleyebileceğiniz anlamına da gelir.

Microsoft Defender XDR veriler için varlıklar otomatik olarak seçilir. Veriler Microsoft Sentinel'dan geliyorsa varlıkları el ile seçmeniz gerekir.

Not

Varlıklar, uyarıların olaylar halinde gruplandırma şeklini etkiler. Yüksek kaliteli olaylardan emin olmak için varlıkları dikkatle gözden geçirmeyi unutmayın. Daha fazla bilgi için bkz. Microsoft Defender portalında uyarı bağıntısı ve olay birleştirme.

Genişletilmiş Varlık eşleme bölümünde varlıkları seçebileceğiniz iki bölüm vardır:

  • Etkilenen varlıklar – Seçili olaylarda görünen etkilenen varlıkları ekleyin. Aşağıdaki varlık türlerini ekleyebilirsiniz:
    • Hesabı
    • Cihaz
    • Posta kutusu
    • Bulut uygulaması
    • Azure kaynağı
    • Amazon Web Services kaynağı
    • Google Cloud Platform kaynağı
  • İlgili kanıt – Seçili olaylarda görünen çıkmazları ekleyin. Desteklenen varlık türleri şunlardır:
    • Işlem
    • Dosya
    • Kayıt defteri değeri
    • IP
    • OAuth uygulaması
    • DNS
    • Güvenlik grubu
    • URL
    • Posta kümesi
    • Posta iletisi

Not

Şu anda yalnızca varlıkları etkilenen varlıklar olarak eşleyebilirsiniz.

Özel algılamalar sihirbazındaki varlık eşleme seçeneklerini gösteren ekran görüntüsü.

Bir varlık türünü seçtikten sonra, bu varlığı tanımlamak için kullanabilmeniz için seçili sorgu sonuçlarında var olan bir tanımlayıcı türü seçin. Her varlık türü, ilgili açılan menüde gösterildiği gibi desteklenen tanımlayıcıların bir listesine sahiptir. Her tanımlayıcıyı daha iyi anlamak için üzerine geldiğinizde görüntülenen açıklamayı okuyun.

Tanımlayıcıyı seçtikten sonra, sorgu sonuçlarından seçili tanımlayıcıyı içeren bir sütun seçin. Gelişmiş tehdit avcılığı bağlam panelini açmak için Sorguyu ve sonuçları keşfedin'i seçin. Bu seçenek, seçili tanımlayıcı için doğru sütunu seçtiğinizden emin olmak için sorgunuzu ve sonuçlarınızı incelemenize olanak tanır.

4. Eylemleri belirtme

Özel algılama kuralınız Defender XDR verileri kullanıyorsa, sorgunun döndürdüğü cihazlarda, dosyalarda, kullanıcılarda veya e-postalarda otomatik olarak eylemler gerçekleştirebilir.

Microsoft Defender portalında özel algılama eylemlerinin gösterildiği ekran görüntüsü.

Cihazlardaki eylemler

Bu eylemleri sorgu sonuçlarının sütunundaki DeviceId cihazlara uygulayın:

Dosyalardaki eylemler

  • Seçildiğinde, dosyaya İzin Ver/Engelle eylemi uygulanabilir. Dosyaları engellemeye yalnızca dosyalar için Düzeltme izinleriniz varsa ve sorgu sonuçları SHA-1 karması gibi bir dosya kimliği tanımladıysa izin verilir. Bir dosya engellendikten sonra, aynı dosyanın tüm cihazlardaki diğer örnekleri de engellenir. Engellemenin hangi cihaz grubu için geçerli olduğunu denetleyebilirsiniz ancak belirli cihazlar için geçerli değildir.

  • Seçildiğinde, Dosyayı karantinaya al eylemi sorgu sonuçlarının SHA1, InitiatingProcessSHA1, SHA256veya InitiatingProcessSHA256 sütunundaki dosyalara uygulanabilir. Bu eylem dosyayı geçerli konumundan siler ve bir kopyasını karantinaya alır.

Kullanıcılara yönelik eylemler

  • Seçildiğinde, Kullanıcıyı güvenliği aşılmış olarak işaretle eylemi, sorgu sonuçlarının AccountObjectId, InitiatingProcessAccountObjectIdveya RecipientObjectId sütunundaki kullanıcılar üzerinde gerçekleştirilir. Bu eylem, kullanıcının risk düzeyini Microsoft Entra ID "yüksek" olarak ayarlar ve ilgili kimlik koruma ilkelerini tetikler.

  • Kullanıcının oturum açmasını geçici olarak engellemek için Kullanıcıyı devre dışı bırak'ı seçin.

  • Kullanıcıdan bir sonraki oturum açma oturumunda (şirket içi kimlikler için) parolasını değiştirmesini veya yeniden oturum açmasını (Microsoft Entra kimlikleri için) istemesini istemek için Kullanıcı kimlik doğrulamasını sıfırla'yı seçin.

  • Hem Kullanıcıyı devre dışı bırak hem de Kullanıcı kimlik doğrulamasını sıfırla seçenekleri, InitiatingProcessAccountSidRequestAccountSidve OnPremSidsütunlarında AccountSidbulunan kullanıcı güvenlik tanımlayıcısını (SID) gerektirir.

  • Microsoft Entra kimlikler AccountObjectId için tüm eylemler için parametre gerekir.

Kullanıcı eylemleri hakkında daha fazla bilgi için bkz. Kimlik için Microsoft Defender düzeltme eylemleri ve Microsoft Defender for Cloud Apps düzeltme eylemleri.

E-postalardaki eylemler

  • Özel algılama e-posta iletilerini verirse, e-postayı seçili bir klasöre (Gereksiz, Gelen Kutusu veya Silinmiş öğeler klasörlerinden herhangi biri) taşımak için Posta kutusu klasörüne taşı'yı seçebilirsiniz. Özel olarak, Gelen Kutusu seçeneğini belirleyerek karantinaya alınan öğelerden (örneğin, hatalı pozitif sonuçlar) e-posta sonuçlarını taşıyabilirsiniz.

    Microsoft Defender portalındaki özel algılamalar altındaki Gelen Kutusu seçeneğinin ekran görüntüsü. Microsoft Defender portalındaki özel algılamalar altındaki Gelen Kutusu seçeneğinin ekran görüntüsü.

  • Alternatif olarak, E-postayı sil'i seçip e-postaları Silinmiş Öğeler'e taşımayı (Geçici silme) veya seçili e-postaları kalıcı olarak silmeyi (Sabit silme) seçebilirsiniz.

ve sütunlarının NetworkMessageIdRecipientEmailAddress , e-posta iletilerine eylem uygulamak için sorgunun çıktı sonuçlarında bulunması gerekir.

5. Kural kapsamını ayarlama

Kuralın hangi cihazları kapsadığını belirtmek için kapsamı ayarlayın. Kapsam, cihazları denetleyen kuralları etkiler ve yalnızca posta kutularını ve kullanıcı hesaplarını veya kimliklerini denetleyen kuralları etkilemez.

Kapsamı ayarlarken şunları seçin:

  • Tüm cihazlar
  • Belirli cihaz grupları

Kural yalnızca kapsamdaki cihazlardan verileri sorgular. Yalnızca bu cihazlarda eylem gerçekleştirir.

Not

Kullanıcılar, özel algılama kuralını yalnızca kuralın kapsamına dahil edilen cihazlar için ilgili izinlere sahip olduklarında oluşturabilir veya düzenleyebilir. Örneğin, yöneticiler yalnızca tüm cihaz grupları için izinleri varsa, kapsamı tüm cihaz gruplarına göre belirlenmiş kurallar oluşturabilir veya düzenleyebilir.

6. Kuralı gözden geçirin ve açın

Kuralı gözden geçirdikten sonra oluştur'u seçerek kaydedin. Özel algılama kuralı hemen çalışır. Eşleşmeleri denetlemek, uyarılar oluşturmak ve yanıt eylemleri uygulamak için yapılandırılan sıklık temelinde yeniden çalışır.

Önemli

Verimlilik ve verimlilik için özel algılamaları düzenli olarak gözden geçirin. Sorgularınızı iyileştirme hakkında yönergeler için bkz. Gelişmiş tehdit avcılığı sorgusu en iyi yöntemleri. Gerçek uyarıları tetikleyen algılamalar oluşturduğunuzdan emin olmak için Mevcut özel algılama kurallarını yönetme bölümündeki adımları izleyerek mevcut özel algılamalarınızı gözden geçirin.

Özel algılamalarınızın genişliği veya özgüllüğü üzerinde denetiminiz vardır. Özel algılamalar tarafından oluşturulan tüm yanlış uyarılar, kuralların belirli parametrelerinin değiştirilmesi gerektiğini gösterebilir.

Özel algılamalar yinelenen uyarıları nasıl işler?

Özel algılama kurallarını oluştururken ve gözden geçirirken dikkat edilmesi gereken önemli nokta uyarı gürültüsü ve yorgunluk. Özel algılamalar, olayları tek bir uyarıda gruplandırır ve yinelenenleri kaldırmayı sağlar. Özel algılama kuralı aynı varlıkları, özel ayrıntıları ve dinamik ayrıntıları içeren bir olay üzerinde iki kez çalıştırılırsa, her iki olay için de bir uyarı oluşturur. Algılama kuralı olayların aynı olduğunu algılarsa, oluşturulan uyarıdaki olaylardan birini günlüğe kaydeder ve yinelenenleri halleder. Geri arama süresi sıklıktan uzun olduğunda yinelemeler oluşabilir. Olaylar farklıysa, özel algılama her iki olayı da uyarıda günlüğe kaydeder.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.

  • Last updated on