Microsoft Sentinel ile tehdit avcılığı sırasında verileri takip etme

Microsoft Sentinel'de yer işaretlerini avlamak, ilgili gördüğünüz sorguları ve sorgu sonuçlarını korumanıza yardımcı olur. Ayrıca not ve etiket ekleyerek bağlamsal gözlemlerinizi kaydedebilir ve bulgularınıza başvurabilirsiniz. Yer işareti eklediğiniz verileri ekip arkadaşlarınız da göreceğinden kolayca işbirliği yapabilirsiniz. Daha fazla bilgi için bkz . Yer İşaretleri.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Yer işareti ekleme

Sorguları, sonuçları, gözlemlerinizi ve bulgularınızı korumak için bir yer işareti oluşturun.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit Avcılığı'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit Yönetimi>Avcılığı'nı seçin.

  2. Avlanma sekmesinden bir av seçin.

  3. Tehdit avcılığı sorgularından birini seçin.

  4. Tehdit avcılığı sorgusu ayrıntılarında Sorgu Çalıştır'ı seçin.

  5. Sorgu sonuçlarını görüntüle'yi seçin. Örneğin:

    Microsoft Sentinel avcılığından gelen sorgu sonuçlarını görüntüleme ekran görüntüsü.

    Bu eylem sorgu sonuçlarını Günlükler bölmesinde açar.

  6. Günlük sorgusu sonuçları listesinden, ilginç bulduğunuz bilgileri içeren bir veya daha fazla satır seçmek için onay kutularını kullanın.

  7. Yer işareti ekle'yi seçin:

    Sorgulamaya avlanma yer işareti ekleme ekran görüntüsü.

  8. Sağ taraftaki Yer işareti ekle bölmesinde, isteğe bağlı olarak, öğeyle ilgili ilginç olan şeyleri belirlemenize yardımcı olmak için yer işareti adını güncelleştirin, etiketler ve notlar ekleyin.

  9. Yer işaretleri isteğe bağlı olarak MITRE ATT&CK tekniklerine veya alt tekniklerine eşlenebilir. MITRE ATT&CK eşlemeleri, avlanma sorgularındaki eşlenmiş değerlerden devralınır, ancak bunları el ile de oluşturabilirsiniz. Yer işareti ekle bölmesinin Taktikler ve Teknikler bölümündeki açılan menüden istenen teknikle ilişkili MITRE ATT&CK taktiğini seçin. Menü, tüm MITRE ATT&CK tekniklerini gösterecek şekilde genişler ve bu menüden birden çok teknik ve alt teknik seçebilirsiniz.

    Mitre Saldırısı taktiklerini ve tekniklerini yer işaretleriyle eşlemenin ekran görüntüsü.

  10. Artık daha fazla araştırma için yer işaretli sorgu sonuçlarından genişletilmiş bir varlık kümesi ayıklanabilir. Varlık eşleme bölümünde, varlık türlerini ve tanımlayıcılarını seçmek için açılan menüleri kullanın. Ardından ilgili tanımlayıcıyı içeren sorgu sonuçlarındaki sütunu eşleyin. Örneğin:

    Tehdit avcılığı yer işaretlerine yönelik varlık türlerini eşlemek için ekran görüntüsü.

    Araştırma grafiğindeki yer işaretini görüntülemek için en az bir varlığı eşlemeniz gerekir. Oluşturduğunuz hesap, konak, IP ve URL varlık türlerine yapılan varlık eşlemeleri desteklenir ve geriye dönük uyumluluk sağlanır.

  11. Değişikliklerinizi kaydetmek ve yer işaretini eklemek için Kaydet'i seçin. Tüm yer işaretli veriler diğer analistlerle paylaşılır ve işbirliğine dayalı bir araştırma deneyimine yönelik ilk adımdır.

Günlük sorgusu sonuçları, bu bölme Microsoft Sentinel'den açıldığında yer işaretlerini destekler. Örneğin, gezinti çubuğundan Genel>Günlükler'i, araştırma grafiğinde olay bağlantılarını seçin veya bir olayın tüm ayrıntılarından bir uyarı kimliği seçin. Günlükler bölmesi doğrudan Azure İzleyici gibi diğer konumlardan açıldığında yer işaretleri oluşturamazsınız.

Yer işaretlerini görüntüleme ve güncelleştirme

Yer işareti sekmesinde yer işaretini bulun ve güncelleştirin.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit Avcılığı'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit Yönetimi>Avcılığı'nı seçin.

  2. Yer işaretlerinin listesini görüntülemek için Yer İşaretleri sekmesini seçin.

  3. Belirli bir yer işaretini veya yer işaretlerini bulmak için arama yapın veya filtreleyin.

  4. Sağ bölmede yer işareti ayrıntılarını görüntülemek için tek tek yer işaretlerini seçin.

  5. Değişikliklerinizi gerektiği gibi yapın. Değişiklikleriniz otomatik olarak kaydedilir.

Araştırma grafında yer işaretlerini keşfetme

Etkileşimli bir varlık grafiği diyagramı ve zaman çizelgesi kullanarak bulgularınızı görüntüleyebileceğiniz, araştırabileceğiniz ve görsel olarak iletebileceğiniz araştırma deneyimini başlatarak yer işareti eklediğiniz verileri görselleştirin.

  1. Yer İşaretleri sekmesinde araştırmak istediğiniz yer işaretini veya yer işaretlerini seçin.

  2. Yer işareti ayrıntılarında en az bir varlığın eşlendiğinden emin olun.

  3. Araştırma grafiğinde yer işaretini görüntülemek için Araştır'ı seçin.

Araştırma grafını kullanma yönergeleri için bkz . Ayrıntılı inceleme yapmak için araştırma grafını kullanma.

Yeni veya mevcut bir olaya yer işaretleri ekleme

Tehdit Avcılığı sayfasındaki yer işaretleri sekmesinden bir olaya yer işaretleri ekleyin.

  1. Yer İşaretleri sekmesinde, bir olaya eklemek istediğiniz yer işaretini veya yer işaretlerini seçin.

  2. Komut çubuğundan Olay eylemleri'ni seçin:

    Olaya yer işaretleri ekleme ekran görüntüsü.

  3. Uygun şekilde Yeni olay oluştur veya Mevcut olaya ekle'yi seçin. Ardından:

    • Yeni bir olay için: İsteğe bağlı olarak olayın ayrıntılarını güncelleştirin ve oluştur'u seçin.
    • Var olan bir olaya yer işareti eklemek için: Bir olay seçin ve ardından Ekle'yi seçin.
  4. Olay içindeki yer işaretini görüntülemek için

    1. Microsoft Sentinel>Tehdit Yönetimi>Olayları'na gidin.
    2. Yer işaretinizle olayı seçin ve Tüm ayrıntıları görüntüle'yi seçin.
    3. Olay sayfasındaki sol bölmede Yer İşaretleri'ni seçin.

Günlüklerde yer işaretli verileri görüntüleme

Yer işaretli sorguları, sonuçları veya bunların geçmişini görüntüleyin.

  1. Tehdit Avcılığı>Yer İşaretleri sekmesinde yer işaretini seçin.

  2. Ayrıntılar bölmesinden aşağıdaki bağlantıları seçin:

    • Günlükler bölmesinde kaynak sorguyu görüntülemek için kaynak sorguyu görüntüleyin.

    • Güncelleştirmeyi kimin yaptığını, güncelleştirilmiş değerleri ve güncelleştirmenin gerçekleştiği saati içeren tüm yer işareti meta verilerini görmek için yer işareti günlüklerini görüntüleyin.

  3. Tehdit Avcılığı>Yer İşaretleri sekmesindeki komut çubuğunda Yer İşareti Günlükleri'ni seçerek tüm yer işaretlerinin ham yer işareti verilerini görüntüleyin.

    Yer işareti günlükleri komutunun ekran görüntüsü.

Bu görünüm, ilişkili meta verilerle tüm yer işaretlerinizi gösterir. aradığınız yer işaretinin en son sürümüne göre filtrelemek için Kusto Sorgu Dili (KQL) sorgularını kullanabilirsiniz.

Yer işareti oluşturduğunuz süre ile Yer İşaretleri sekmesinde görüntülenmesi arasında önemli bir gecikme (dakika cinsinden ölçülür) olabilir.

Yer işaretini silme

Yer işaretinin silinmesi, yer işaretini Yer İşareti sekmesindeki listeden kaldırır. Log Analytics çalışma alanınızın HuntingBookmark tablosu önceki yer işareti girdilerini içermeye devam eder, ancak en son girdi SoftDelete değerini true olarak değiştirerek eski yer işaretlerini filtrelemeyi kolaylaştırır. Yer işaretinin silinmesi, diğer yer işaretleriyle veya uyarılarla ilişkili araştırma deneyiminden hiçbir varlığı kaldırmaz.

Yer işaretini silmek için aşağıdaki adımları tamamlayın.

  1. Tehdit Avcılığı>Yer İşaretleri sekmesinden silmek istediğiniz yer işaretini veya yer işaretlerini seçin.

  2. Sağ tıklayın ve seçilen yer işaretlerini silme seçeneğini belirleyin.

Bu makalede, Microsoft Sentinel'de yer işaretlerini kullanarak bir tehdit avcılığı araştırması çalıştırmayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: