Olay yönetimi

  • 5 dakika

Olay oluşturmak için Microsoft Sentinel'i kullanmaya başladıktan sonra contoso BT ekibiyle birlikte olayları araştırabilirsiniz. Microsoft Sentinel, bilgi toplamak ve düzeltme adımlarını belirlemek için kullanabileceğiniz gelişmiş araştırma ve analiz araçlarına sahiptir.

Güvenlik olaylarını gözden geçirme

Güvenlik sorunlarını belirlemek ve çözmek için önce olayları araştırın. Microsoft Sentinel'e Genel Bakış sayfası, hızlı başvuru için en son olayların listesini sağlar. Daha fazla ayrıntı ve olaylara tam bir genel bakış için, geçerli çalışma alanında tüm olayları ve bu olaylarla ilgili ayrıntıları görüntüleyen Olaylar sayfasını kullanın.

Olaylar sayfası, Microsoft Sentinel'deki olayların tam listesini sağlar. Sayfa ayrıca temel olay bilgilerini de sağlar. Bilgiler önem derecesi, kimlik, başlık, uyarılar, ürün adları, oluşturma zamanı, son güncelleştirme zamanı, sahip ve durumu içerir. Tüm güvenlik olayı sütunlarına göre sıralama yapabilir ve güvenlik olaylarını ada, önem derecesine, duruma, ürün adına veya sahibe göre filtreleyebilirsiniz.

Screenshot of a list of incidents in Microsoft Sentinel.

Bu sayfada güvenlik olaylarını araştırmak için uygulayabileceğiniz birçok farklı adım vardır.

Önemli

Olayları araştıran Microsoft Entra kullanıcılarının Dizin Okuyucusu rolünün üyesi olması gerekir.

Güvenlik olayı ayrıntılarını inceleme

Sağ bölmede olay hakkında daha fazla bilgi görüntülemek için Olaylar sayfasında herhangi bir olayı seçin. Bu bölme olayın açıklamasını sağlar ve ilgili kanıtları, varlıkları ve taktikleri listeler. Bölme ayrıca ilişkili çalışma kitaplarına ve olayı oluşturan analiz kuralına bağlantılar içerir. Bu bilgiler olayın doğasını, bağlamını ve eylem seyrini netleştirmenize yardımcı olabilir.

Screenshot of the incident details pane.

Olay ayrıntıları bölmesinde Tüm ayrıntıları görüntüle'yi seçerek Olay sayfasını açın ve olay hakkındaki diğer ayrıntıları görüntüleyin. Olayın bağlamını daha iyi anlamak için bu ayrıntıları kullanabilirsiniz. Örneğin deneme yanılma saldırısı olayında, saldırı sayısını belirlemek için uyarı için Log Analytics sorgusuna gidebilirsiniz.

Güvenlik olayının sahipliğini, durumunu ve önem derecesini yönetme

Microsoft Sentinel'in oluşturduğu her olay, görüntüleyip yönetebileceğiniz meta veriler ekler. Bu bilgiler şunları yapmanızı sağlar:

  • Olay sahipliğini atama ve izleme.
  • Oluşturma aşamasından çözüm aşamasına kadar güvenlik olayının durumunu belirleyip izleme.
  • Önem derecesini belirleyip gözden geçirme.

The screenshot displays the section of the Incidents page where you can assign ownership, status, and severity.

Sahiplik

Tipik bir ortamda her olaya güvenlik ekibinden bir sahip atanmalıdır. Olay sahibi, araştırma ve durum güncelleştirmeleri de dahil olmak üzere genel olay yönetiminden sorumludur. Sahipliği dilediğiniz zaman değiştirerek güvenlik olayını güvenlik ekibinin başka bir üyesine atayabilir, ek araştırma veya aktarma yapılmasını sağlayabilirsiniz.

Status

Microsoft Sentinel'de oluşturulan her yeni olaya Yeni durumu atanır. Olayları gözden geçirir ve yanıtlarken, durumu olayın geçerli durumunu yansıtacak şekilde el ile değiştirin. Araştırma aşamasındaki güvenlik olaylarının durumu Etkin olarak belirlenir. Tamamen çözülen güvenlik olaylarının durumunu Kapatıldı olarak ayarlayabilirsiniz.

Durumu Kapalı olarak ayarladığınızda, aşağıdaki çözümlerden birini seçmeniz istenir:

  • Gerçek Pozitif - Şüpheli etkinlik
  • Zararsız Pozitif - Şüpheli ama beklenen
  • Hatalı Pozitif - Yanlış uyarı mantığı
  • Hatalı Pozitif - Yanlış veriler
  • Belirsiz

Önem

Olayı oluşturan kural veya Microsoft güvenlik kaynağı başlangıçta önem derecesini ayarlar. Çoğu durumda, olay önem derecesi değişmeden kalır, ancak olayın başlangıçta sınıflandırılandan daha fazla veya daha az ciddi olduğuna karar verirseniz önem derecesini değiştirebilirsiniz. Önem derecesi seçenekleri Bilgilendirsel, Düşük, Orta ve Yüksek'tir.

Araştırma grafiğini kullanma

Olay sayfasında Araştır'ı seçerek bir olayı daha fazla araştırabilirsiniz. Bu eylem saldırı kapsamında yer alan varlıkları ve bu varlıklar arasındaki ilişkileri tanımlamanıza yardımcı olan görsel bir araç olan araştırma grafını açar. Güvenlik olayı farklı zamanlarda tetiklenen çok sayıda uyarıyı içeriyorsa uyarı zaman çizelgesini ve uyarılar arasındaki bağıntıları da gözden geçirebilirsiniz.

The screenshot shows the investigation graph.

Varlık ayrıntılarını gözden geçirme

Graftaki varlıkları seçerek seçtiğiniz varlık hakkında daha fazla bilgiye ulaşabilirsiniz. Bu bilgiler arasında diğer varlıklarla olan ilişkiler, hesap kullanımı ve veri akışı bilgileri bulunur. Her bilgi alanı için Log Analytics'teki ilgili olaylara gidebilir ve ilgili uyarı verilerini grafa ekleyebilirsiniz.

Güvenlik olayı ayrıntılarını gözden geçirme

Olayın güvenlik ve ortam bağlamı ile ilgili olay meta verilerini gözlemlemek için grafikteki olay öğesini seçebilirsiniz.

Bilgilerinizi kontrol edin

1.

Bir olayı sonraki katman güvenlik ekibine ilerletmek için hangi olay parametresini değiştirmeniz gerekir?

2.

Hangi Microsoft Sentinel arabirimi, olay kaynakları arasındaki zaman çizelgelerini ve ilişkileri görüntülemenizi sağlar?