Olay kanıtı ve varlıklar

Tamamlandı

Microsoft Sentinel, olay oluşturmak için çeşitli güvenlik bilgileri kaynaklarını kullanır. Microsoft Sentinel'de olay yönetimini en iyi şekilde kullanmak için bu kaynakları anlamanız gerekir.

Güvenlik olayı kanıtı

Olay kanıtı , Microsoft Sentinel ortamındaki tehditleri tanımlayan güvenlik olayı bilgilerinden ve ilgili Microsoft Sentinel varlıklarından oluşur. Kanıtlar, Microsoft Sentinel'in bir tehdidi nasıl tanımladığını gösterir ve olay ayrıntılarıyla ilgili farkındalığınızı artırabilecek belirli kaynaklara geri bağlanır.

Olaylar

Olaylar sizi Microsoft Sentinel ile ilişkilendirilmiş Log Analytics çalışma alanından bir veya daha fazla belirli olaya bağlar. Bu çalışma alanlarında genellikle el ile ayrıştırması çok zor olan binlerce olay bulunur.

Microsoft Sentinel analiz kuralına eklenmiş bir sorgu olayları döndürürse, daha fazla gözden geçirebilmek için olayları oluşturulan olaya ekler. Daha fazla araştırmadan önce olayın kapsamını ve sıklığını anlamak için bu olayları kullanabilirsiniz.

Uyarılar

Çoğu güvenlik olayı, biz analiz kuralı uyarısı tarafından oluşturulur. Uyarı örnekleri şunlardır:

• Şüpheli dosyaların tespit edilmesi.
• Şüpheli kullanıcı etkinliklerinin tespit edilmesi.
• Ayrıcalıkların yükseltilmesi girişimi.

Analiz kuralları, Kusto Sorgu Dili (KQL) sorgularını temel alan uyarılar oluşturur veya Bulut için Microsoft Defender veya Microsoft Defender XDR gibi Microsoft Güvenliği çözümlerine doğrudan bağlantı oluşturur. Uyarı gruplandırmasını etkinleştirirseniz, Microsoft Sentinel olayla ilgili tüm uyarı kanıtlarını içerir.

Yer işaretleri

Bir olayı araştırırken izlemek veya daha sonra araştırmak üzere işaretlemek istediğiniz olaylar belirleyebilirsiniz. Bir veya daha fazla olayı seçip yer işareti olarak belirleyerek Log Analytics'te çalıştırılan sorguları koruyabilirsiniz. Ayrıca, gelecekteki tehdit avcılığı süreçlerini daha iyi bilgilendirmek için notlar ve etiketler kaydedebilirsiniz. Yer işaretlerini hem siz görebilir hem de ekip arkadaşlarınızla paylaşabilirsiniz.

Güvenlik olayı varlıkları

Olay varlığı , bir olaya dahil olan bir ağ veya kullanıcı kaynağına başvurur. Varlıkları giriş noktası olarak kullanarak belirli bir varlıkla ilgili tüm uyarıları ve bağıntıları keşfedebilirsiniz.

Varlık ilişkileri, güvenlik olayı araştırmalarında fayda sağlar. Kimlik uyarılarını, ağ uyarılarını ve veri erişim uyarılarını ayrı ayrı analiz etmek yerine varlıkları kullanarak ortamınızdaki belirli bir kullanıcı, ana bilgisayar veya adres ile ilişkili uyarıları gözlemleyebilirsiniz.

Bazı varlık türleri şunlardır:

• Hesap
• Ana Bilgisayar
• IP
• URL
• Dosya karması

Örneğin varlıklar Contoso'da belirli bir kullanıcıyla ilişkili tüm uyarıları, kullanıcının konak makinesini ve kullanıcının bağlandığı diğer konakları belirlemenize yardımcı olabilir. Hangi IP adreslerinin bu kullanıcıyla ilişkili olduğunu belirleyebilir ve hangi olayların ve uyarıların aynı saldırının parçası olabileceğini ortaya çıkartabilirsiniz.

Bilgilerinizi kontrol edin

1.

Aşağıdaki öğelerden hangisi Bir Microsoft Sentinel olayında kanıttır?

IP adresi.

Kullanıcı adı.

Olay.

Ana bilgisayar adı.

Çalışmanızı denetlemeden önce tüm soruları yanıtlamalısınız.

Devam et