4. Adım. Microsoft Sentinel ve Microsoft Defender XDR kullanarak bir olaya yanıt verme

• Şunlara uygulanır:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Bu makalede, Microsoft Sentinel ve Microsoft Defender XDR kullanarak bir olayı çözmek için önceliklendirme, araştırma ve çözüm içeren genel bir dizi adım ve yordam sağlanır. Microsoft Sentinel ve Microsoft Defender XDR paylaşımı:

• Yaşam döngüsü güncelleştirmeleri (durum, sahip, sınıflandırma) ürünler arasında paylaşılır.
• Bir araştırma sırasında toplanan kanıtlar Microsoft Sentinel olayında gösterilir.

Aşağıdaki çizimlerde, Microsoft Sentinel çalışma alanınızı Microsoft Defender portalındaki birleşik güvenlik işlemleri platformuna ekleyip eklemediğinize bağlı olarak, Microsoft'un genişletilmiş algılama ve yanıt (XDR) çözümünün Microsoft Sentinel ile sorunsuz bir şekilde nasıl tümleştirileceği gösterilmektedir.

Defender portalı

Aşağıdaki çizimde, Microsoft'un XDR çözümünün Microsoft Sentinel ile birleşik güvenlik operasyonları platformuyla sorunsuz bir şekilde nasıl tümleştirileceği gösterilmektedir.

Bu diyagramda:

• Kuruluşunuzun tamamında gelen sinyallerden elde edilen içgörüler Microsoft Defender XDR ve Bulut için Microsoft Defender...
• Microsoft Sentinel, çoklu bulut ortamları için destek sağlar ve üçüncü taraf uygulamalar ve iş ortakları ile tümleşir.
• Microsoft Sentinel verileri, kuruluşunuzun verileriyle birlikte Microsoft Defender portalına alınır.
• SecOps ekipleri daha sonra Microsoft Sentinel ve Microsoft Defender XDR tarafından tanımlanan tehditleri Microsoft Defender portalında analiz edebilir ve yanıtlayabilir.

Azure portalı

Aşağıdaki çizimde, Microsoft'un XDR çözümünün Microsoft Sentinel ile sorunsuz bir şekilde nasıl tümleştirileceği gösterilmektedir.

Bu diyagramda:

• Kuruluşunuzun tamamında gelen sinyallerden elde edilen içgörüler Microsoft Defender XDR ve Bulut için Microsoft Defender...
• Microsoft Defender XDR ve Bulut için Microsoft Defender SIEM günlük verilerini Microsoft Sentinel bağlayıcıları aracılığıyla gönderir.
• SecOps ekipleri daha sonra Microsoft Sentinel ve Microsoft Defender portallarında tanımlanan tehditleri analiz edebilir ve yanıtlayabilir.
• Microsoft Sentinel, çoklu bulut ortamları için destek sağlar ve üçüncü taraf uygulamalar ve iş ortakları ile tümleşir.

Microsoft Defender'ın Microsoft Sentinel ile tümleştirilmesi hakkında daha fazla bilgi için bkz . Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi. Bu etkileşimli kılavuz , Microsoft'un birleşik güvenlik bilgileri ve olay yönetimi (SIEM) ve genişletilmiş algılama ve yanıt (XDR) özellikleriyle modern saldırıları algılama ve yanıtlama konusunda size yol gösterir.

Olay yanıtı işlemi

Microsoft Sentinel ve Microsoft Defender XDR kullanarak bir olayı çözümlemeye yönelik olay yanıtı süreci, çalışma alanınızı birleşik güvenlik operasyonları platformuna ekleyip eklemediğinize ve Defender portalında Microsoft Sentinel'e erişip erişemeyeceğinize bağlı olarak farklılık gösterir.

Defender portalı

1. Olayın ayrıntılarını anlama ve anında işlem gerçekleştirme gibi olası olayı önceliklendirmek için Defender portalını kullanın.

2. Araştırmaya Defender portalında devam edin:

   • Olayı ve kapsamını anlama ve varlık zaman çizelgelerini gözden geçirme.
   • Kendi kendine düzeltme bekleyen eylemleri gözden geçirme, varlıkları el ile düzeltme, canlı yanıt gerçekleştirme.
   • Önleme önlemleri ekleme.

   Defender portalının Microsoft Sentinel alanını kullanarak araştırmanızı derinleştirin, örneğin:

   • Güvenlik süreçlerinizle, ilkelerinizle ve yordamlarınızla (3P) ilişkilendirerek olayın kapsamını anlama.
   • 3P otomatik araştırma ve düzeltme eylemleri gerçekleştirme ve özel güvenlik düzenleme, otomasyon ve yanıt (SOAR) playbook'ları oluşturma.
   • Olay yönetimi için kanıt kaydetme.
   • Özel ölçüler ekleme.

3. Olayı çözün ve güvenlik ekibinizde uygun izlemeyi gerçekleştirin.

Daha fazla bilgi için bkz.

• Microsoft Defender XDR'de olayları araştırma
• Microsoft Defender XDR ile olay yanıtı
• Microsoft Sentinel'de varlık sayfaları

Azure portalı

1. Azure portalında Microsoft Sentinel'i kullanarak olayın ayrıntılarını anlama ve anında işlem gerçekleştirme dahil olası olayı önceliklendirme.

2. Araştırmanıza başlamak için Microsoft Defender portalına geçin. Buna aşağıdakiler dahildir:

   • Olayı ve kapsamını anlama ve varlık zaman çizelgelerini gözden geçirme.
   • Kendi kendine düzeltme bekleyen eylemleri gözden geçirme, varlıkları el ile düzeltme, canlı yanıt gerçekleştirme.
   • Önleme önlemleri ekleme.

3. Gerektiğinde Microsoft Sentinel portalında araştırmaya devam edin. Buna aşağıdakiler dahildir:

   • Güvenlik süreçlerinizle, ilkelerinizle ve yordamlarınızla (3P) ilişkilendirerek olayın kapsamını anlama.
   • 3P otomatik araştırma ve düzeltme eylemleri gerçekleştirme ve özel güvenlik düzenleme, otomasyon ve yanıt (SOAR) playbook'ları oluşturma.
   • Olay yönetimi için kanıt kaydetme.
   • Özel ölçüler ekleme.

4. Microsoft Sentinel portalında olayı çözün ve güvenlik ekibinizde uygun izlemeyi gerçekleştirin.

Daha fazla bilgi için bkz . Microsoft Sentinel'de olaylara gitme ve olayları araştırma.

Hangi portalı kullanırsanız kullanın, Microsoft Sentinel'in playbook ve otomasyon kuralı işlevselliğinden yararlandığınızdan emin olun:

• Playbook , Microsoft Sentinel portalından rutin olarak çalıştırabileceğiniz bir araştırma ve düzeltme eylemleri koleksiyonudur. Playbook'lar tehdit yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olabilir. Bunlar olaylar, varlıklar ve uyarılar üzerinde isteğe bağlı olarak el ile çalıştırılabilir veya otomasyon kuralı tarafından tetiklendiğinde belirli uyarılara veya olaylara yanıt olarak otomatik olarak çalışacak şekilde ayarlanabilir. Daha fazla bilgi için bkz . Playbook'larla tehdit yanıtlarını otomatikleştirme.

• Otomasyon kuralları , farklı senaryolarda uygulanabilecek küçük bir kural kümesi tanımlamanızı ve koordine edebilmenizi sağlayarak Microsoft Sentinel'de otomasyonu merkezi olarak yönetmenin bir yoludur. Daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit yanıtlarını otomasyon kurallarıyla otomatikleştirme.

Microsoft Sentinel çalışma alanınızı birleşik güvenlik operasyonları platformuna eklendikten sonra, çalışma alanınızda otomasyon işlevlerinin nasıl çalıştığının farklı olduğunu unutmayın. Daha fazla bilgi için bkz . Birleşik güvenlik operasyonları platformu ile otomasyon.

1. Adım: Olayı önceliklendirme

Microsoft Sentinel ve Microsoft Defender XDR ile olayı önceliklendirmek için bu adımları genel bir yöntem olarak kullanın. Çalışma alanınızı birleşik güvenlik işlemleri platformuna ekliyseniz Defender portalını kullanın. Aksi takdirde Azure portalını kullanın.

Defender portalı

Defender portalında Microsoft Sentinel olaylarını araştırmak için:

1. Defender portalında Araştırma ve yanıt > Olayları ve uyarılar > Olaylar'ı seçin ve şüpheli olayı bulun. Hizmet/algılama kaynaklarınızı Microsoft Sentinel'e göre filtreleyin ve olay listesini Microsoft Sentinel'den gelenlere daraltmanıza yardımcı olun.

2. Olay özeti bölmesinde temel bilgileri görüntülemek için olay satırını seçin.

3. Ad, önem derecesi, durum, sınıflandırma gibi ayrıntıları güncelleştirmek veya açıklama eklemek için Olayı yönet'i seçin. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

4. Araştırmaya devam etmek için Olay sayfasını aç'ı seçin.

Azure portalı

Azure portalında olayları araştırmak için:

1. Microsoft Sentinel'de Tehdit yönetimi'nin altında Olaylar'ı seçin ve şüpheli olayı bulun.

2. Olay özeti bölmesinde sahip adı, durum, önem derecesi gibi ayrıntıları güncelleştirin veya açıklama ekleyin.

3. Araştırmaya devam etmek için Tüm ayrıntıları görüntüle'yi seçin.

2. Adım: Olayı araştırma

Çalışma alanınız birleşik güvenlik operasyonları platformuna eklendiyse, bu adımın tamamı için Defender portalında kalırsınız. Aksi takdirde Azure portalından başlayın. Biraz araştırma için Defender portalına atlarsınız ve ardından Azure portalına dönersiniz.

Defender portalı

Defender portalında, olay ayrıntıları sayfasının Saldırı hikayesi sekmesinde, kendi olay yanıtı iş akışınız için aşağıdaki adımları göz önünde bulundurun:

1. Olayın kapsamını, önem derecesini, algılama kaynağını ve hangi varlıkların etkilendiğini anlamak için olayın saldırı hikayesini görüntüleyin.

2. Olay içindeki uyarı hikayesiyle bunların kaynağını, kapsamını ve önem derecesini anlamak için olayın uyarılarını analiz edin.

3. Gerektiğinde, grafikle birlikte etkilenen cihazlar, kullanıcılar ve posta kutuları hakkında bilgi toplayın. Tüm ayrıntıları içeren bir açılır öğe açmak için herhangi bir varlığı seçin.

4. Microsoft Defender XDR'nin Araştırma sekmesiyle bazı uyarıları otomatik olarak nasıl çözümlediğini görün.

5. Gerekirse, Kanıt ve Yanıt sekmesindeki olay için veri kümesindeki bilgileri kullanın.

6. Varlıklar sekmesinde, olaya dahil olan varlıkları görüntüleyin. Varlık ayrıntıları sayfasında daha fazla araştırma yapmaya devam etmek için bir kullanıcı hesabı, konak adı, IP adresi veya Azure kaynağı seçin. Örneğin, bir kullanıcı seçtiyseniz, kullanıcı ayrıntıları bölmesinde Kullanıcı sayfasına git'i seçerek kullanıcının varlık ayrıntıları sayfasını açın.

7. Varlık ayrıntıları sayfasında Sentinel olayları'nı seçerek seçilen varlık hakkındaki ayrıntılı zaman çizelgesi bilgilerini ve varlık içgörülerini görüntüleyin.

Azure portalı

1. Azure portalında, olay ayrıntıları sayfasında:

   • Olay zaman çizelgesi, varlık listesi ve ilgili olaylar dahil olmak üzere Genel Bakış sekmesinde olay hakkındaki genel bilgileri görüntüleyin.

   • Olayın grafiğini görmek için Araştır'ı seçin.

   • Varlıklar sekmesini seçin ve daha fazla araştırmak için bir varlık seçin. Varlık bölmesinin İçgörüler bölümünü seçin ve olay hakkında toplanan içgörüleri gözden geçirin.

   • Aynı olayı Defender portalında açmak için Microsoft Defender XDR'de Araştır'ı seçin.

2. Defender portalında, olay ayrıntıları sayfasının Saldırı hikayesi sekmesinde, kendi olay yanıtı iş akışınız için aşağıdaki adımları göz önünde bulundurun:

   1. Olayın kapsamını, önem derecesini, algılama kaynağını ve hangi varlıkların etkilendiğini anlamak için olayın saldırı hikayesini görüntüleyin.

   2. Olay içindeki uyarı hikayesiyle bunların kaynağını, kapsamını ve önem derecesini anlamak için olayın uyarılarını analiz edin.

   3. Gerektiğinde, grafikle birlikte etkilenen cihazlar, kullanıcılar ve posta kutuları hakkında bilgi toplayın. Tüm ayrıntıları içeren bir açılır öğe açmak için herhangi bir varlığı seçin.

   4. Microsoft Defender XDR'nin Araştırma sekmesiyle bazı uyarıları otomatik olarak nasıl çözümlediğini görün.

   5. Gerekirse, Kanıt ve Yanıt sekmesindeki olay için veri kümesindeki bilgileri kullanın.

3. Playbook çalıştırma veya otomasyon kuralı oluşturma gibi ek olay eylemleri gerçekleştirmek için Azure portalına dönün.

   Eylemlerinizi ve çözümlemenizin sonuçlarını kaydetmek için olaya açıklamalar ekleyin.

3. Adım: Olayı çözme

Araştırmanız sonuca ulaştığında ve portallar içinde olayı düzelttiğinizde, olayın durumunu Kapalı olarak ayarlayarak olayı çözün.

Bir olayın durumunu Kapalı olarak işaretlerken doğru, zararsız veya hatalı pozitif seçenekler de dahil olmak üzere bir sınıflandırma seçtiğinizden emin olun.

Örneğin:

Defender portalı

Daha fazla bilgi için bkz . Defender portalında bir olayı çözme.

Azure portalı

Daha fazla bilgi için bkz . Azure portalında bir olayı kapatma.

Gerekirse, daha fazla eylem belirlemek üzere olası izleme için olayı olay yanıt liderinize bildirin. Örneğin:

• Saldırıyı erken algılamaları için Katman 1 güvenlik analistlerinizi bilgilendirin.
• Bir güvenlik saldırısı eğilimi için Microsoft Defender XDR Tehdit Analizi'nde ve güvenlik topluluğunda saldırıyı araştırın.
• Gerektiğinde, olayı çözmek için kullandığınız iş akışını kaydedin ve standart iş akışlarınızı, süreçlerinizi, ilkelerinizi ve playbook'larınızı güncelleştirin.
• Güvenlik yapılandırmanızdaki değişikliklerin gerekli olup olmadığını belirleyin ve bunları uygulayın.
• Gelecekte benzer bir risk için tehdit yanıtınızı otomatikleştirmek ve yönetmek için bir düzenleme playbook'u oluşturun. Daha fazla bilgi için bkz . Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme.

Önerilen eğitim

Bu adım için önerilen eğitim modülleri aşağıdadır. Eğitim içeriği genel kullanılabilirlik özelliklerine odaklanır ve bu nedenle Önizleme aşamasında olan birleşik güvenlik operasyonları platformuna yönelik içerik içermez.

Microsoft Sentinel'de güvenlik olayı yönetimi

Eğitim	Microsoft Sentinel'de güvenlik olayı yönetimi
	Bu modülde Microsoft Sentinel olay yönetimini araştıracak, Microsoft Sentinel olayları ve varlıkları hakkında bilgi edinecek ve olayları çözmenin yollarını keşfedeceksiniz.

Başlamak >

Modern operasyon uygulamalarıyla güvenilirliğinizi artırın: Olay yanıtı

Eğitim	Eğitim Modern operasyon uygulamalarıyla güvenilirliğinizi artırın: Olay yanıtı
	Etkili olay yanıtının temelleri ve bunu mümkün kılan Azure araçları hakkında bilgi edinin.

Başlamak >

Microsoft 365 güvenlik olayı yönetimini anlama

Eğitim	Microsoft 365 güvenlik olayı yönetimini anlama
	Microsoft 365'in müşterileri ve Microsoft 365 bulut ortamını korumak için güvenlik endişelerini nasıl araştırıp yönettiğini ve bunlara nasıl yanıt verdiğini öğrenin.

Başlamak >

Sonraki adımlar

• Microsoft Sentinel ve Microsoft Defender portallarındaki olay yanıtı işlemleri hakkında daha fazla bilgi için bkz. Microsoft Sentinel'de olaylara gitme ve olayları araştırma ve Microsoft Defender XDR ile olay yanıtı.
• Microsoft güvenlikle ilgili en iyi yöntemler için bkz . Olay yanıtına genel bakış .
• Yaygın siber saldırılara yanıt vermek için bkz. İş akışları ve denetim listeleri için olay yanıtı playbook'ları.

Başvurular

Bu makalede bahsedilen çeşitli hizmetler ve teknolojiler hakkında bilgi edinmek için bu kaynakları kullanın:

• Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi
• Birleşik SIEM ve XDR özellikleri etkileşimli kılavuzu
• Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme
• Playbook'larla tehdit yanıtlarını otomatikleştirme
• Microsoft Sentinel'de tehdit yanıtlarını otomasyon kurallarıyla otomatikleştirme
• Microsoft Defender XDR Threat Analytics

Olay yanıtı hakkında daha fazla bilgi edinmek için şu kaynakları kullanın:

• Microsoft Sentinel'de olaylara gitme ve olayları araştırma
• Microsoft Defender XDR ile olay yanıtı
• Olay yanıtına genel bakış
• Olay yanıtı playbook'ları