Yanıtı yönetmek için Microsoft Sentinel otomasyon kuralları oluşturma ve kullanma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, SOC'nizin verimliliğini ve verimliliğini en üst düzeye çıkarmak amacıyla tehdit yanıtını yönetmek ve yönetmek için Microsoft Sentinel'de otomasyon kuralları oluşturma ve kullanma açıklanmaktadır.

Bu makalede, otomasyon kuralınızın ne zaman çalıştırılacağını, kuralın gerçekleştirmesini sağlayabileceğiniz çeşitli eylemleri ve kalan özellikleri ve işlevleri belirleyen tetikleyicileri ve koşulları tanımlamayı öğreneceksiniz.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Otomasyon kuralınızı tasarlama

Otomasyon kuralınızı oluşturmadan önce, tetikleyici, koşullar ve kuralınızı oluşturan eylemler dahil olmak üzere kapsamını ve tasarımını belirlemenizi öneririz.

Kapsamı belirleme

Otomasyon kuralınızı tasarlamanın ve tanımlamanın ilk adımı, hangi olaylara veya uyarılara uygulanmasını istediğinizi bulmaktır. Bu belirleme, kuralı oluşturma şeklinizi doğrudan etkiler.

Kullanım örneğinizi de belirlemek istiyorsunuz. Bu otomasyonla ne yapmaya çalışıyorsunuz? Aşağıdaki seçenekleri göz önünde bulundurun:

  • Analistlerinizin olayları önceliklendirme, araştırma ve düzeltme konusunda izlemesi gereken görevler oluşturun.
  • Gürültülü olayları gizleme. (Alternatif olarak, Microsoft Sentinel'de hatalı pozitif sonuçları işlemek için diğer yöntemleri kullanın.)
  • Durumlarını Yeni olan Etkin olarak değiştirip bir sahip atayarak yeni olayları önceliklendirme.
  • Olayları sınıflandırmak için etiketleyin.
  • Yeni bir sahip atayarak olayı yükseltin.
  • Çözümlenen olayları kapatın, bir neden belirtin ve açıklamalar ekleyin.
  • Olayın içeriğini (uyarılar, varlıklar ve diğer özellikler) analiz edin ve playbook'u çağırarak daha fazla işlem yapın.
  • İlişkili bir olay olmadan bir uyarıyı işleme veya yanıtlama.

Tetikleyiciyi belirleme

Yeni olaylar veya uyarılar oluşturulduğunda bu otomasyonun etkinleştirilmesini istiyor musunuz? Ya da bir olay her güncelleştirildiğinde mi?

Otomasyon kuralları, bir olay oluşturulduğunda veya güncelleştirildiğinde ya da bir uyarı oluşturulduğunda tetiklenir. Olayların uyarılar içerdiğini ve hem uyarıların hem de olayların, Microsoft Sentinel'de tehdit algılama bölümünde açıklandığı gibi çeşitli türlerin bulunduğu analiz kuralları tarafından oluşturulabileceğini hatırlayın.

Aşağıdaki tabloda, otomasyon kuralının çalışmasına neden olan farklı olası senaryolar gösterilmektedir.

Tetikleyici türü Kuralın çalışmasına neden olan olaylar
Olay oluşturulduğunda Microsoft Defender'da birleşik güvenlik operasyonları platformu:
  • Microsoft Defender portalında yeni bir olay oluşturulur.

    Microsoft Sentinel birleşik platforma eklenmemiş:
  • Analiz kuralı tarafından yeni bir olay oluşturulur.
  • Microsoft Defender XDR'den bir olay alındı.
  • El ile yeni bir olay oluşturulur.
    		•
    Olay güncelleştirildiğinde
  • Bir olayın durumu değiştirilir (kapatılır/yeniden açılır/önceliklendirilir).
  • Bir olayın sahibi atanır veya değiştirilir.
  • Bir olayın önem derecesi yükseltilir veya azaltılır.
  • Uyarılar bir olaya eklenir.
  • Bir olaya açıklamalar, etiketler veya taktikler eklenir.
    		•
    Uyarı oluşturulduğunda
  • Microsoft Sentinel Zamanlanmış veya NRT analiz kuralı tarafından bir uyarı oluşturulur.
    		•

    Otomasyon kuralınızı oluşturma

    Aşağıdaki yönergelerin çoğu, otomasyon kuralları oluşturacağınız tüm kullanım örnekleri için geçerlidir.

    Gürültülü olayları bastırmak istiyorsanız hatalı pozitif sonuçları işlemeyi deneyin.

    Belirli bir analiz kuralına uygulanacak bir otomasyon kuralı oluşturmak istiyorsanız bkz . Otomatik yanıtları ayarlama ve kuralı oluşturma.

    Otomasyon kuralınızı oluşturmak için:

    1. Azure portalında Microsoft Sentinel için Yapılandırma>Otomasyonu sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Otomasyonu'na tıklayın.

    2. Microsoft Sentinel gezinti menüsündeki Otomasyon sayfasından üst menüden Oluştur'u seçin ve Otomasyon kuralı'nı seçin.

    3. Yeni otomasyon kuralı oluştur paneli açılır. Otomasyon kuralı adı alanına kuralınız için bir ad girin.

    Tetikleyicinizi seçin

    Tetikleyici açılan listesinden otomasyon kuralını oluşturduğunuz koşullara göre uygun tetikleyiciyi seçin: Olay oluşturulduğunda, Olay güncelleştirildiğinde veya Uyarı oluşturulduğunda.

    Olay oluşturma veya olay güncelleştirme tetikleyicisini seçme işleminin ekran görüntüsü.

    Koşulları tanımlama

    Otomasyon kuralınızın koşullarını tanımlamak için Koşullar alanındaki seçenekleri kullanın.

    • Uyarı oluşturulduğunda oluşturduğunuz kurallar, koşulunuzda yalnızca If Analytic kural adı özelliğini destekler. Kuralın kapsayıcı (İçerir) veya özel (İçermez) olmasını isteyip istemediğinizi seçin ve ardından açılan listeden analiz kuralı adını seçin.

      Analitik kural adı değerleri yalnızca analiz kurallarını içerir ve tehdit bilgileri veya anomali kuralları gibi diğer kural türlerini içermez.

    • Bir olay oluşturulduğunda veya güncelleştirildiğinde oluşturduğunuz kurallar, ortamınıza bağlı olarak çok çeşitli koşulları destekler. Bu seçenekler, çalışma alanınızın birleşik güvenlik operasyonları platformuna eklenip eklenmediğiyle başlar:

      Çalışma alanınız birleşik güvenlik operasyonları platformuna eklendiyse, Azure veya Defender portalında aşağıdaki işleçlerden birini seçerek başlayın:

      • VE: Grup olarak değerlendirilen tek tek koşullar. Bu türdeki tüm koşullar karşılanırsa kural yürütülür.

        AND işleciyle çalışmak için + Ekle genişleticisini seçin ve açılan listeden Koşul (Ve) öğesini seçin. Koşulların listesi olay özelliği ve varlık özelliği alanlarıyla doldurulur.

      • VEYA (koşul grupları olarak da bilinir): her biri bağımsız olarak değerlendirilen koşul grupları. Kural, bir veya daha fazla koşul grubu doğruysa yürütülür. Bu karmaşık koşul türleriyle çalışmayı öğrenmek için bkz . Otomasyon kurallarına gelişmiş koşullar ekleme.

      Örneğin:

      Çalışma alanınız birleşik güvenlik operasyonları platformuna eklendiğinde otomasyon kuralı koşullarının ekran görüntüsü.

      Tetikleyici olarak bir olay güncelleştirildiğinde'yi seçtiyseniz, başlangıç olarak koşullarınızı tanımlayıp gerektiğinde ek işleçler ve değerler ekleyin.

    Koşullarınızı tanımlamak için:

    1. Soldaki ilk açılan kutudan bir özellik seçin. Aradığınızı hızla bulabilmek için, listeyi dinamik olarak filtrelemek için arama kutusuna özellik adının herhangi bir bölümünü yazmaya başlayabilirsiniz.

      Seçim listesini filtrelemek için arama kutusuna yazma işleminin ekran görüntüsü.

    2. Sağdaki bir sonraki açılan kutudan bir işleç seçin. Otomasyon kuralları için koşul işleci seçme işleminin ekran görüntüsü.

      Aralarından seçim yapabileceğiniz işleçlerin listesi, seçilen tetikleyiciye ve özelliğe göre değişir.

      Oluşturma tetikleyicisiyle kullanılabilen koşullar

      Özellik İşleç kümesi
      - Başlık
      - Açıklama
      - Listelenen tüm varlık özellikleri
        (desteklenen varlık özelliklerine bakın)      		 - Eşittir/Eşit değildir
      - İçerir/içermez
      - Ile başlar/ile başlamaz
      - şununla biter/şununla bitmiyor
      - Etiket (Bkz. bireysel ve koleksiyon) Tek tek herhangi bir etiket:
      - Eşittir/Eşit değildir
      - İçerir/içermez
      - Ile başlar/ile başlamaz
      - şununla biter/şununla bitmiyor

      Tüm etiketlerin koleksiyonu:
      - İçerir/içermez
      - Önem Derecesi
      - Statü
      - Özel ayrıntılar anahtarı      		 - Eşittir/Eşit değildir
      - Taktik
      - Uyarı ürün adları
      - Özel ayrıntılar değeri
      - Analitik kural adı      		 - İçerir/içermez

      Güncelleştirme tetikleyicisiyle kullanılabilen koşullar

      Özellik İşleç kümesi
      - Başlık
      - Açıklama
      - Listelenen tüm varlık özellikleri
        (desteklenen varlık özelliklerine bakın)      		 - Eşittir/Eşit değildir
      - İçerir/içermez
      - Ile başlar/ile başlamaz
      - şununla biter/şununla bitmiyor
      - Etiket (Bkz. bireysel ve koleksiyon) Tek tek herhangi bir etiket:
      - Eşittir/Eşit değildir
      - İçerir/içermez
      - Ile başlar/ile başlamaz
      - şununla biter/şununla bitmiyor

      Tüm etiketlerin koleksiyonu:
      - İçerir/içermez
      - Etiket (yukarıdakilere ek olarak)
      - Uyarılar
      - Açıklamalar      		 -Eklendi
      - Önem Derecesi
      - Statü      		 - Eşittir/Eşit değildir
      -Değişti
      - Değiştirildiği yer:
      - Olarak değiştirildi
      - Sahip -Değişti
      - Güncelleştiren
      - Özel ayrıntılar anahtarı      		 - Eşittir/Eşit değildir
      - Taktik - İçerir/içermez
      -Eklendi
      - Uyarı ürün adları
      - Özel ayrıntılar değeri
      - Analitik kural adı      		 - İçerir/içermez

      Uyarı tetikleyicisiyle kullanılabilen koşullar

      Uyarı oluşturma tetikleyicisine göre kurallar tarafından değerlendirilebilecek tek koşul, Microsoft Sentinel analiz kuralının uyarıyı oluşturduğu koşuldur.

      Uyarı tetikleyicisini temel alan otomasyon kuralları yalnızca Microsoft Sentinel tarafından oluşturulan uyarılarda çalışır.

    3. Sağdaki alana bir değer girin. Seçtiğiniz özelliğe bağlı olarak, bu bir metin kutusu veya kapalı bir değer listesinden seçtiğiniz bir açılan liste olabilir. Metin kutusunun sağındaki zar simgesini seçerek birkaç değer de ekleyebilirsiniz.

      Otomasyon kurallarında koşulunuza değer ekleme ekran görüntüsü.

    Yine, karmaşık Veya farklı alanlarla koşullar ayarlamak için bkz . Otomasyon kurallarına gelişmiş koşullar ekleme.

    Etiketlere dayalı koşullar

    Etiketlere göre iki tür koşul oluşturabilirsiniz:

    • Her bir etiket işlecine sahip koşullar, belirtilen değeri koleksiyondaki her etikete göre değerlendirir. En az bir etiket koşulu karşıladığında değerlendirme doğrudur.
    • Tüm etiketlerin koleksiyonu işleçlerine sahip koşullar, belirtilen değeri etiket koleksiyonuna göre tek bir birim olarak değerlendirir. Değerlendirme yalnızca bir bütün olarak koleksiyon koşulu karşılarsa geçerlidir.

    Bir olayın etiketlerine göre bu koşullardan birini eklemek için aşağıdaki adımları izleyin:

    1. Yukarıda açıklandığı gibi yeni bir otomasyon kuralı oluşturun.

    2. Koşul veya koşul grubu ekleyin.

    3. Özellikler açılan listesinden Etiket'i seçin.

    4. Aralarından seçim yapabileceğiniz kullanılabilir işleçleri göstermek için işleçler açılan listesini seçin.

      İşleçlerin daha önce açıklandığı gibi iki kategoriye nasıl bölündüğünü görün. Etiketlerin nasıl değerlendirilmesini istediğinize bağlı olarak operatörünüzü dikkatle seçin.

      Daha fazla bilgi için bkz . Etiket özelliği: bireysel ve koleksiyon.

    Özel ayrıntılara dayalı koşullar

    Bir olayda ortaya konan özel ayrıntının değerini otomasyon kuralının koşulu olarak ayarlayabilirsiniz. Özel ayrıntıların, uyarılarda ve onlardan oluşturulan olaylarda ortaya çıkarılıp görüntülenebilen ham olay günlüğü kayıtlarındaki veri noktaları olduğunu hatırlayın. Sorgu sonuçlarını incelemek zorunda kalmadan uyarılarınızdaki gerçek ilgili içeriğe ulaşmak için özel ayrıntıları kullanın.

    Özel ayrıntıyı temel alan bir koşul eklemek için:

    1. Daha önce açıklandığı gibi yeni bir otomasyon kuralı oluşturun.

    2. Koşul veya koşul grubu ekleyin.

    3. Özellikler açılan listesinden Özel ayrıntılar anahtarı'nı seçin. İşleçler açılan listesinden Eşittir veya Eşit değil'i seçin.

      Özel ayrıntılar koşulu için, son açılan listedeki değerler, ilk koşulda listelenen tüm analiz kurallarında gösterilen özel ayrıntılardan gelir. Koşul olarak kullanmak istediğiniz özel ayrıntıyı seçin.

      Koşul olarak özel ayrıntı anahtarı ekleme ekran görüntüsü.

    4. Bu koşul için değerlendirmek istediğiniz alanı seçtiniz. Şimdi, bu koşulun true olarak değerlendirilmesini sağlayan alanda görünen değeri belirtin.
      + Öğe koşulu ekle'yi seçin.

      Otomasyon kuralları için öğe koşulu ekle'yi seçme işleminin ekran görüntüsü.

      Değer koşulu satırı aşağıda görünür.

      Görüntülenen özel ayrıntı değeri alanının ekran görüntüsü.

    5. İşleçler açılan listesinden İçerir veya İçermez'i seçin. Sağdaki metin kutusuna koşulun true olarak değerlendirilmesini istediğiniz değeri girin.

      Doldurulan özel ayrıntı değeri alanının ekran görüntüsü.

    Bu örnekte, olayda özel ayrıntı DestinationEmail varsa ve bu ayrıntının değeri ise pwned@bad-botnet.com, otomasyon kuralında tanımlanan eylemler çalıştırılır.

    Eylem ekleme

    Bu otomasyon kuralının gerçekleştirmesini istediğiniz eylemleri seçin. Kullanılabilir eylemler arasında Sahip ata, Durumu değiştir, Önem derecesini değiştir, Etiket ekle ve Playbook'u çalıştır yer alır. İstediğiniz kadar eylem ekleyebilirsiniz.

    Not

    Uyarı tetikleyicisi kullanılarak otomasyon kurallarında yalnızca Playbook Çalıştır eylemi kullanılabilir.

    Otomasyon kuralında seçecek eylemlerin listesinin ekran görüntüsü.

    Hangi eylemi seçerseniz seçin, bu eylem için görüntülenen alanları yapmak istediğinize göre doldurun.

    Playbook çalıştır eylemi eklerseniz, kullanılabilir playbook'ların açılan listesinden seçim yapmanız istenir.

    • Yalnızca olay tetikleyicisiyle başlayan playbook'lar, olay tetikleyicilerinden biri kullanılarak otomasyon kurallarından çalıştırılabilir, bu nedenle yalnızca bunlar listede görünür. Benzer şekilde, uyarı tetikleyicisi kullanılarak otomasyon kurallarında yalnızca uyarı tetikleyicisiyle başlayan playbook'lar kullanılabilir.

    • Playbook'ları çalıştırmak için Microsoft Sentinel'e açık izinler verilmelidir. Bir playbook açılan listede kullanılamıyor olarak görünüyorsa, Sentinel'in bu playbook'un kaynak grubuna erişim izni olmadığı anlamına gelir. İzinleri atamak için Playbook izinlerini yönet bağlantısını seçin.

      Açılan İzinleri yönet panelinde, çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'yı seçin.

      İzinleri yönet

      Microsoft Sentinel izinleri vermek istediğiniz kaynak grubu üzerinde sahip izinlerine sahip olmanız ve çalıştırmak istediğiniz playbook'ları içeren herhangi bir kaynak grubunda Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolüne sahip olmanız gerekir.

    • Henüz istediğiniz eylemi yerine getiren bir playbook'nuz yoksa yeni bir playbook oluşturun. Otomasyon kuralı oluşturma işleminden çıkmanız ve playbook'unuzu oluşturduktan sonra yeniden başlatmanız gerekir.

    Eylemleri taşıma

    Eylemleri ekledikten sonra bile kuralınızdaki eylemlerin sırasını değiştirebilirsiniz. Bir adım yukarı veya aşağı taşımak için her eylemin yanındaki mavi yukarı veya aşağı okları seçin.

    Eylemleri yukarı veya aşağı taşımayı gösteren ekran görüntüsü.

    Kuralınızı oluşturmayı tamamlayın

    1. Kural süre sonu altında, otomasyon kuralınızın süresinin dolmasını istiyorsanız, bir son kullanma tarihi ve isteğe bağlı olarak bir saat ayarlayın. Aksi takdirde, Süresiz olarak bırakın.

    2. Sipariş alanı, kuralınızın tetikleyici türü için bir sonraki kullanılabilir numarayla önceden doldurulur. Bu sayı, otomasyon kuralları dizisinde (aynı tetikleyici türünde) bu kuralın nerede çalıştırıldığını belirler. Bu kuralın var olan bir kuraldan önce çalışmasını istiyorsanız sayıyı değiştirebilirsiniz.

      Daha fazla bilgi için bkz . Yürütme sırası ve önceliğiyle ilgili notlar.

    3. Uygula’yı seçin. Hepsi bu kadar!

    Otomasyon kuralı oluşturma işleminin son adımlarının ekran görüntüsü.

    Otomasyon kuralı etkinliğini denetleme

    Belirli bir olay için otomasyon kurallarının neler yapmış olabileceğini öğrenin. Azure portalındaki Günlükler sayfasındaki SecurityIncident tablosunda veya Defender portalındaki Gelişmiş tehdit avcılığı sayfasında bulunan olay günlüklerinin tam kaydına sahipsiniz. Tüm otomasyon kuralı etkinliğinizi görmek için aşağıdaki sorguyu kullanın:

    SecurityIncident
| where ModifiedBy contains "Automation"

    Otomasyon kuralları yürütme

    Otomasyon kuralları, belirlediğiniz sıraya göre sıralı olarak çalışır. Her otomasyon kuralı, bir önceki çalıştırmayı tamamladıktan sonra yürütülür. Otomasyon kuralında tüm eylemler tanımlanma sırasına göre sıralı olarak çalıştırılır. Daha fazla bilgi için bkz . Yürütme sırası ve önceliğiyle ilgili notlar.

    Otomasyon kuralı içindeki Playbook eylemleri, bazı durumlarda aşağıdaki ölçütlere göre farklı şekilde ele alınabilir:

    Playbook çalışma zamanı Otomasyon kuralı sonraki eyleme ilerler...
    Bir saniyeden az Playbook tamamlandıktan hemen sonra
    İki dakikadan az Playbook çalışmaya başladıktan en fazla iki dakika sonra,
    ancak playbook tamamlandıktan sonra en fazla 10 saniye
    İki dakikadan fazla Playbook çalışmaya başladıktan iki dakika sonra,
    tamamlanıp tamamlanmadığına bakılmaksızın

    Sonraki adımlar

    Bu belgede, Microsoft Sentinel olayları ve uyarıları için yanıt otomasyonlarını merkezi olarak yönetmek üzere otomasyon kurallarını kullanmayı öğrendiniz.