3. Adım. Microsoft Sentinel'de veri kaynaklarını alma ve olay algılamayı yapılandırma
Microsoft Sentinel çalışma alanlarınızı tasarlamayı ve uygulamayı tamamladıktan sonra veri kaynaklarını alma ve olay algılamayı yapılandırma işlemlerine geçin.
Microsoft Sentinel'deki çözümler, tek bir dağıtım adımıyla çalışma alanınızda veri bağlayıcıları, çalışma kitapları, analiz ve otomasyon gibi Microsoft Sentinel içeriğini almak için birleştirilmiş bir yol sağlar.
Veri bağlayıcıları, çalışma alanına veri alımını etkinleştirecek şekilde yapılandırılır. Önemli veri noktalarının Microsoft Sentinel'e alınması etkinleştirildikten sonra, anormal ve kötü amaçlı etkinlikleri yakalamak için kullanıcı ve varlık davranış analizi (UEBA) ve analiz kuralları da etkinleştirilmelidir. Analiz kuralları, Uyarıların ve olayların Microsoft Sentinel örneğinizde nasıl oluşturulduğunu belirler. Varlık eşlemesi aracılığıyla analiz kurallarını ortamınıza ve kuruluş gereksinimlerinize göre uyarlamak, yüksek güvenilirlikli olaylar oluşturmanıza ve uyarı yorgunluğunu azaltmanıza olanak tanır.
Çalışma alanınızı birleşik güvenlik operasyonları platformuna eklerseniz, bu adımdaki yordamlar hem Azure hem de Defender portallarında kullanılabilir.
Başlamadan önce
Veri bağlayıcılarını açmak için gereken yükleme yöntemini, rolleri ve lisansları onaylayın. Daha fazla bilgi için bkz. Microsoft Sentinel veri bağlayıcınızı bulma.
Aşağıdaki tabloda, Azure ve Microsoft hizmetleri için önemli Microsoft Sentinel veri bağlayıcılarını almak için gereken önkoşulların özeti yer alır:
| Kaynak Türü | Yükleme Yöntemi | Rol/İzinler/Lisans Gerekli |
|---|---|---|
| Microsoft Entra ID | Yerel Veri bağlayıcısı | Güvenlik Yöneticisi Oturum Açma Günlükleri için Microsoft Entra Id P1 veya P2 lisansı gerekir Diğer günlükler P1 veya P2 gerektirmez |
| Microsoft Entra Kimlik Koruması | Yerel Veri Bağlayıcısı | Güvenlik Yöneticisi Lisans: Microsoft Entra Id P2 |
| Azure Etkinliği | Azure İlkesi | Aboneliklerde sahip rolü gerekiyor |
| Microsoft Defender XDR | Yerel Veri Bağlayıcısı | Güvenlik Yöneticisi Lisans: Microsoft 365 E5, Microsoft 365 A5 veya başka bir Microsoft Defender XDR uygun lisansı |
| Bulut için Microsoft Defender | Yerel Veri Bağlayıcısı | Güvenlik Okuyucusu Çift yönlü eşitlemeyi etkinleştirmek için abonelikte Katkıda Bulunan/Güvenlik Yöneticisi rolü gereklidir. |
| Kimlik için Microsoft Defender | Yerel Veri Bağlayıcısı | Güvenlik Yöneticisi Lisans: Kimlik için Microsoft Defender |
| Office 365 için Microsoft Defender | Yerel Veri Bağlayıcısı | Güvenlik Yöneticisi Lisans: Office 365 için Microsoft Defender Plan 2 |
| Microsoft 365 | Yerel Veri Bağlayıcısı | Güvenlik Yöneticisi |
| IoT için Microsoft Defender | IoT hub'ları ile aboneliğe katkıda bulunan | |
| Bulut için Microsoft Defender Uygulamaları | Yerel Veri Bağlayıcısı | Güvenlik Yöneticisi Lisans: Bulut için Microsoft Defender Uygulamaları |
| Uç Nokta için Microsoft Defender | Yerel Veri Bağlayıcısı | Güvenlik Yöneticisi Lisans: Uç Nokta için Microsoft Defender |
| olayları Windows Güvenliği Azure İzleyici Aracısı (AMA) aracılığıyla |
Aracı ile Yerel Veri Bağlayıcısı | Log Analytics Çalışma Alanında Okuma/Yazma |
| Syslog | Aracı ile Yerel Veri Bağlayıcısı | Log Analytics Çalışma Alanını Okuma/Yazma |
1. Adım: Çözümleri yükleme ve veri bağlayıcılarını açma
Çözümleri yüklemeye ve veri bağlayıcılarını yapılandırmaya başlamak için aşağıdaki önerileri kullanın. Daha fazla bilgi için bkz.
- Microsoft Sentinel içerik hub'ı kataloğu
- Microsoft Sentinel'in kullanıma açık içeriğini bulma ve yönet
Ücretsiz veri kaynaklarını ayarlama
Aşağıdakiler dahil olmak üzere alma işlemi için ücretsiz veri kaynaklarını ayarlamaya odaklanarak başlayın:
Azure etkinlik günlükleri: Azure etkinlik günlüklerinin alınması, Microsoft Sentinel'in ortam genelinde tek bölmeli bir cam görünümü sağlaması açısından kritik önem taşır.
Tüm SharePoint etkinlikleri, Exchange yönetici etkinliği ve Teams dahil olmak üzere Office 365 denetim günlükleri.
Bulut için Microsoft Defender, Microsoft Defender XDR, Office 365 için Microsoft Defender, Kimlik için Microsoft Defender ve Uç Nokta için Microsoft Defender.
Çalışma alanınızı birleşik güvenlik operasyonları platformuna eklemediyseniz ve Azure portalında çalışıyorsanız, güvenlik uyarılarını Microsoft Sentinel'e almak, Azure portalının ortam genelinde olay yönetiminin merkezi bölmesi olmasını sağlar. Böyle durumlarda, olay araştırması Microsoft Sentinel'de başlar ve daha derin analiz gerekiyorsa Microsoft Defender portalında veya Bulut için Defender devam etmelidir.
Daha fazla bilgi için bkz . Microsoft Defender XDR olayları ve Microsoft olay oluşturma kuralları.
Uygulamalar uyarılarını Bulut için Microsoft Defender.
Daha fazla bilgi için bkz . Microsoft Sentinel Fiyatlandırması ve Ücretsiz veri kaynakları.
Ücretli veri kaynaklarını ayarlama
Daha geniş kapsamlı izleme ve uyarı kapsamı sağlamak için Microsoft Entra Id ve Microsoft Defender XDR veri bağlayıcılarını eklemeye odaklanın. Bu kaynaklardan veri almak için ücret uygulanır.
Aşağıdakilerden biri gerekiyorsa Microsoft Defender XDR günlüklerini Microsoft Sentinel'e gönderdiğinizden emin olun:
- Microsoft Defender'da olay yönetimi için tek bir portal sağlayan birleşik güvenlik operasyonları platformuna ekleme.
- Ortam genelinde çok aşamalı saldırıları algılamak için birden çok üründeki veri kaynaklarını ilişkilendiren Microsoft Sentinel fusion uyarıları.
- Microsoft Defender XDR'de sunulandan daha uzun saklama .
- Otomasyon, Uç Nokta için Microsoft Defender tarafından sunulan yerleşik düzeltmelerin kapsamına alınmaz.
Daha fazla bilgi için bkz.
- Microsoft 365 Defender'u tümleştirme
- Microsoft Defender XDR'den Microsoft Sentinel'e veri bağlama
- Microsoft Entra verilerini Microsoft Sentinel'e bağlama
Ortamınıza göre veri kaynaklarını ayarlama
Bu bölümde, ortamınızda kullanılan hizmetlere ve dağıtım yöntemlerine bağlı olarak kullanmak isteyebileceğiniz veri kaynakları açıklanmaktadır.
| Senaryo | Veri kaynakları |
|---|---|
| Azure hizmetleri | Aşağıdaki hizmetlerden herhangi biri Azure'da dağıtılıyorsa, bu kaynakların Tanılama Günlüklerini Microsoft Sentinel'e göndermek için aşağıdaki bağlayıcıları kullanın: - Azure Güvenlik Duvarı - Azure Application Gateway - Anahtar Kasası - Azure Kubernetes Service - Azure SQL - Ağ Güvenlik Grupları - Azure-Arc Sunucuları günlüklerinin temel alınan Log Analytics çalışma alanına iletilmesi için Azure İlkesi ayarlamanızı öneririz. Daha fazla bilgi için bkz. Azure İlkesi kullanarak uygun ölçekte tanılama ayarları oluşturma. |
| Sanal makineler | Şirket içinde veya günlüklerinin toplanmış olmasını gerektiren diğer bulutlarda barındırılan sanal makineler için aşağıdaki veri bağlayıcılarını kullanın: - AMA kullanarak olayları Windows Güvenliği - Uç Nokta için Defender aracılığıyla olaylar (sunucu için) - Syslog |
| Ağ sanal gereçleri / şirket içi kaynaklar | Ağ sanal gereçleri veya Ortak Olay Biçimi (CEF) veya SYSLOG günlükleri oluşturan diğer şirket içi kaynaklar için aşağıdaki veri bağlayıcılarını kullanın: - AMA aracılığıyla Syslog - AMA aracılığıyla Ortak Olay Biçimi (CEF) Daha fazla bilgi için bkz . Azure İzleyici Aracısı ile Syslog ve CEF iletilerini Microsoft Sentinel'e alma. |
İşiniz bittiğinde Microsoft Sentinel İçerik hub'ında günlüklerin Microsoft Sentinel'e gönderilmesini gerektiren diğer cihazları ve hizmet olarak yazılım (SaaS) uygulamalarını arayın.
Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme .
2. Adım: Kullanıcı varlığı davranış analizini etkinleştirme
Microsoft Sentinel'de veri bağlayıcılarını ayarladıktan sonra, kimlik avı açıklarına ve sonunda fidye yazılımı gibi saldırılara yol açabilecek şüpheli davranışları belirlemek için kullanıcı varlığı davranış analizini etkinleştirdiğinizden emin olun. Genellikle, UEBA aracılığıyla anomali algılama, sıfır gün açıklarını erken algılamak için en iyi yöntemdir.
UEBA'nın kullanılması, Microsoft Sentinel'in anormal etkinlikleri tanımlamak için zaman ve eş grubu genelinde kuruluşunuzun varlıklarının davranış profillerini oluşturmasına olanak tanır. Bu, bir varlığın gizliliğinin tehlikeye atılıp aşılmadığını belirlemeye yönelik bir keşif gezisine yardımcı oldu. Eş grup ilişkilendirmesini tanımladığından bu, söz konusu güvenliğin patlama yarıçapını belirlemeye de yardımcı olabilir.
Daha fazla bilgi için bkz. Varlık davranışı analiziyle tehditleri tanımlama
3. Adım: Analitik kuralları etkinleştirme
Microsoft Sentinel'in beyni analiz kurallarından gelir. Bunlar, Microsoft Sentinel'e önemli olduğunu düşündüğünüz bir dizi koşula sahip olaylarla ilgili sizi uyardığını bildirmek için ayarladığınız kurallardır. Microsoft Sentinel'in ilk aldığı kararlar, kullanıcı varlığı davranış analizini (UEBA) ve birden çok veri kaynağındaki verilerin bağıntılarını temel alır.
Microsoft Sentinel için analiz kurallarını açarken bağlı veri kaynakları, kuruluş riski ve MITRE taktiğiyle etkinleştirmeyi öncelik sırasına göre belirleyin.
Yinelenen olaylardan kaçının
Microsoft Defender XDR bağlayıcısını etkinleştirdiyseniz, 365 Defender olayıyla Microsoft Sentinel arasında çift yönlü eşitleme otomatik olarak oluşturulur.
Aynı uyarılar için yinelenen olaylar oluşturmamak için Uç Nokta için Defender, Kimlik için Defender, Office 365 için Defender, Bulut için Defender Uygulamaları ve Microsoft Entra Kimlik Koruması.
Daha fazla bilgi için bkz . Microsoft Defender XDR olayları ve Microsoft olay oluşturma kuralları.
Fusion uyarılarını kullanma
Varsayılan olarak, Microsoft Sentinel Fusion gelişmiş çok aşamalı saldırı algılama analiz kuralının çok aşamalı saldırıları otomatik olarak tanımlamasını sağlar.
Microsoft Sentinel, siber sonlandırma zincirinde gözlemlenen anormal davranışları ve şüpheli etkinlik olaylarını kullanarak, içinde iki veya daha fazla uyarı etkinliği bulunan güvenlik ihlallerini yüksek oranda güvenle görmenize olanak sağlayan olaylar oluşturur.
Fusion uyarı teknolojisi bilinen, bilinmeyen ve yeni ortaya çıkan tehditlerin belirlenmesine yardımcı olmak için geniş veri sinyallerini genişletilmiş makine öğrenmesi (ML) analiziyle ilişkilendirmektedir. Örneğin, füzyon algılama, anomali kuralı şablonlarını ve Fidye Yazılımı senaryosu için oluşturulan zamanlanmış sorguları alabilir ve bunları Aşağıdakiler gibi Microsoft Güvenlik Paketi hizmetlerinden gelen uyarılarla eşleştirebilir:
- Microsoft Entra Kimlik Koruması
- Bulut için Microsoft Defender
- IoT için Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Uç nokta için Microsoft Defender
- Kimlik için Microsoft Defender
- Office 365 için Microsoft Defender
Anomali kurallarını kullanma
Microsoft Sentinel anomali kuralları kullanıma hazır ve varsayılan olarak etkindir. Anomali kuralları, kullanıcılar, konaklar ve diğer kullanıcılardaki anormal davranışlara bayrak eklemek için çalışma alanınızdaki veriler üzerinde eğiten makine öğrenmesi modellerini ve UEBA'yı temel alır.
Kimlik avı saldırısı genellikle yerel veya bulut hesabı işleme/denetimi veya kötü amaçlı betik yürütme gibi bir yürütme adımına yol açar. Anomali kuralları tam olarak bu tür etkinlikleri arar, örneğin:
- Anormal Hesap Erişimini Kaldırma
- Anormal Hesap Oluşturma
- Anormal Hesap Silme
- Anormal Hesap Düzenleme
- Anormal Kod Yürütme (UEBA)
- Anormal Veri Yok Etme
- Anormal Savunma Mekanizması Değişikliği
- Anormal Başarısız Oturum Açma
- Anormal Parola Sıfırlama
- Anormal Ayrıcalık Verildi
- Anormal Oturum Açma
Her biri için anomali kurallarını ve anomali puanı eşiğini gözden geçirin. Örneğin hatalı pozitif sonuçları gözlemliyorsanız Anomali kurallarını ayarlama bölümünde açıklanan adımları izleyerek kuralı yinelemeyi ve eşiği değiştirmeyi göz önünde bulundurun.
Microsoft Threat Intelligence analiz kuralını kullanma
Fusion ve anomali kurallarını gözden geçirdikten ve değiştirdikten sonra kullanıma hazır Microsoft Threat Intelligence analiz kuralını etkinleştirin. Bu kuralın günlük verilerinizi Microsoft tarafından oluşturulan tehdit bilgileriyle eşleştirdiğini doğrulayın. Microsoft'un çok geniş bir tehdit bilgileri veri deposu vardır ve bu analiz kuralı, SOC (güvenlik operasyonları merkezleri) ekipleri için önceliklendirme yapmak üzere yüksek aslına uygunluk uyarıları ve olaylar oluşturmak için bu verilerin bir alt kümesini kullanır.
MITRE Att&ck yaya geçidi yürütme
Füzyon, anomali ve tehdit zekası analiz kuralları etkinleştirildiğinde, olgun bir XDR (genişletilmiş algılama ve yanıt) işleminin uygulanmasını sağlamak ve tamamlamak için kalan analiz kurallarını belirlemenize yardımcı olacak bir MITRE Att&ck yaya geçidi yürütebilirsiniz. Bu, bir saldırının yaşam döngüsü boyunca algılamanızı ve yanıtlamanızı sağlar.
MITRE Att&ck araştırma departmanı MITRE yöntemini oluşturmuştur ve uygulamanızı kolaylaştırmak için Microsoft Sentinel'in bir parçası olarak sağlanır. Saldırı vektörleri yaklaşımının uzunluğunu ve genişliğine kadar uzanan analiz kurallarına sahip olduğunuzdan emin olun.
Mevcut etkin analiz kurallarınızın kapsamına alınan MITRE tekniklerini gözden geçirin.
Simülasyon açılan listesinden 'Analitik kural şablonları' ve 'Anomali Kuralları' seçeneğini belirleyin. Bu, kapsanan saldırgan taktiği ve/veya tekniği nerede ele aldığınızı ve kapsamınızı iyileştirmeyi etkinleştirmeyi göz önünde bulundurmanız gereken kullanılabilir analiz kurallarının nerede olduğunu gösterir.
Örneğin, olası kimlik avı saldırılarını algılamak için Kimlik Avı tekniği için Analiz kuralı şablonlarını gözden geçirin ve Microsoft Sentinel'e eklediğiniz veri kaynaklarını özellikle sorgulayan kuralları etkinleştirmeye öncelik tanıyın.
Genel olarak, insan tarafından işletilen fidye yazılımı saldırısının beş aşaması vardır ve Kimlik Avı aşağıdaki görüntülerde gösterildiği gibi İlk Erişim'in altındadır:
Sonlandırma zincirinin tamamını uygun analiz kurallarıyla kapsayacak şekilde kalan adımlara devam edin:
- İlk erişim
- Kimlik bilgisi hırsızlığı
- Yana hareket
- Kalıcılık
- Savunma kaçamak
- Sızdırma (burası fidye yazılımının algılandığı yerdir)
Önerilen eğitim
Eğitim içeriği şu anda birleşik güvenlik operasyonları platformunu kapsamaz.
Veri bağlayıcılarını kullanarak verileri Microsoft Sentinel'e bağlama
| Eğitim | Veri bağlayıcılarını kullanarak verileri Microsoft Sentinel'e bağlama |
|---|---|
|
Günlük verilerini bağlamak için birincil yaklaşım, Microsoft Sentinel tarafından sağlanan veri bağlayıcılarını kullanmaktır. Bu modül, kullanılabilir veri bağlayıcılarına genel bir bakış sağlar. |
Günlükleri Microsoft Sentinel'e bağlama
| Eğitim | Günlükleri Microsoft Sentinel'e bağlama |
|---|---|
|
Hem şirket içi hem de birden çok buluttaki tüm kullanıcılar, cihazlar, uygulamalar ve altyapı genelinde verileri bulut ölçeğinde Microsoft Sentinel'e bağlayın. |
Davranış Analizi ile tehditleri tanımlama
| Eğitim | Davranış Analizi ile tehditleri tanımlama |
|---|---|
|
Günlük verilerini bağlamak için birincil yaklaşım, Microsoft Sentinel tarafından sağlanan veri bağlayıcılarını kullanmaktır. Bu modül, kullanılabilir veri bağlayıcılarına genel bir bakış sağlar. |
Sonraki adımlar
Bir olaya yanıt vermek için 4 . Adıma geçin.
