Microsoft Sentinel'de tehdit algılama

Microsoft Sentinel'i kuruluşunuzun her yerinden veri toplayacak şekilde ayarladıktan sonra ortamınıza yönelik güvenlik tehditlerini algılamak için tüm bu verileri sürekli incelemeniz gerekir. Microsoft Sentinel, bu görevi gerçekleştirmek için düzenli olarak çalışan, toplanan verileri sorgulayan ve tehditleri bulmak için analiz eden tehdit algılama kuralları sağlar. Bu kurallar birkaç farklı türdedir ve topluca analiz kuralları olarak bilinir.

Bu kurallar, aradıklarını bulduklarında uyarılar oluşturur. Uyarılar, söz konusu varlıklar (kullanıcılar, cihazlar, adresler ve diğer öğeler) gibi algılanan olaylar hakkında bilgi içerir. Algılanan tehdidin tüm kapsamını öğrenmek ve buna uygun şekilde yanıt vermek için atayabileceğiniz ve araştırabileceğiniz uyarılar toplanır ve olaylarla (olay dosyaları) ilişkilendirilir. Kuralların kendi yapılandırmasında önceden belirlenmiş, otomatik yanıtlar da oluşturabilirsiniz.

Yerleşik analiz kuralı sihirbazını kullanarak bu kuralları sıfırdan oluşturabilirsiniz. Ancak Microsoft, içerik hub'ında sağlanan Microsoft Sentinel'e yönelik birçok çözüm aracılığıyla kullanabileceğiniz çok çeşitli analiz kuralı şablonlarını kullanmanızı kesinlikle teşvik eder. Bu şablonlar bilinen tehditler, yaygın saldırı vektörleri ve şüpheli etkinlik yükseltme zincirleri hakkındaki bilgilerine göre güvenlik uzmanları ve analistlerden oluşan ekipler tarafından tasarlanan önceden oluşturulmuş kural prototipleridir. Ortamınızda şüpheli görünen tüm etkinlikleri otomatik olarak aramak için bu şablonlardan kuralları etkinleştirirsiniz. Şablonların çoğu, gereksinimlerinize göre belirli olay türlerini aramak veya bunları filtrelemek için özelleştirilebilir.

Bu makale, Microsoft Sentinel'in tehditleri nasıl algıladığını ve bundan sonra ne olacağını anlamanıza yardımcı olur.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Analiz kuralı türleri

Kullanabileceğiniz analiz kurallarını ve şablonları Microsoft Sentinel'deki Yapılandırma menüsünün Analiz sayfasında görüntüleyebilirsiniz. Şu anda etkin olan kurallar bir sekmede görünür ve başka bir sekmede yeni kurallar oluşturmak için şablonlar bulunur. Üçüncü sekmede, bu makalenin devamında açıklanan özel bir kural türü olan Anomaliler görüntülenir.

Şu anda görüntülenenden daha fazla kural şablonu bulmak için Microsoft Sentinel'de İçerik hub'ına giderek ilgili ürün çözümlerini veya tek başına içeriği yükleyin. Analiz kuralı şablonları, içerik hub'ında neredeyse tüm ürün çözümlerinde kullanılabilir.

Aşağıdaki tür analiz kuralları ve kural şablonları Microsoft Sentinel'de kullanılabilir:

Yukarıdaki kural türlerinin yanı sıra, her biri sınırlı yapılandırma seçenekleriyle bir kuralın tek bir örneğini oluşturabilen başka özel şablon türleri de vardır:

Zamanlanmış kurallar

Şimdiye kadar en yaygın analiz kuralı türü olan Zamanlanmış kurallar, düzenli aralıklarla çalışacak ve tanımlı bir "lookback" döneminden ham verileri inceleyecek şekilde yapılandırılan Kusto sorgularını temel alır. Sorgu tarafından yakalanan sonuç sayısı kuralda yapılandırılan eşiği geçerse, kural bir uyarı oluşturur.

Zamanlanmış kural şablonlarındaki sorgular, Microsoft'tan veya şablonu sağlayan çözümün satıcısı tarafından güvenlik ve veri bilimi uzmanları tarafından yazılmıştır. Sorgular hedef verilerinde karmaşık istatistiksel işlemler gerçekleştirerek olay gruplarında taban çizgilerini ve aykırı değerleri ortaya çıkarır.

Sorgu mantığı kural yapılandırmasında görüntülenir. Şablonda tanımlandığı gibi sorgu mantığını, zamanlama ve geri arama ayarlarını kullanabilir veya bunları özelleştirerek yeni kurallar oluşturabilirsiniz. Alternatif olarak sıfırdan tamamen yeni kurallar oluşturabilirsiniz.

Microsoft Sentinel'de Zamanlanmış analiz kuralları hakkında daha fazla bilgi edinin.

Neredeyse gerçek zamanlı (NRT) kurallar

NRT kuralları, zamanlanmış kuralların sınırlı bir alt kümesidir. Bunlar, size mümkün olduğunca güncel bilgiler sağlamak için dakikada bir çalışacak şekilde tasarlanmıştır.

Bunlar çoğunlukla zamanlanmış kurallar gibi çalışır ve bazı sınırlamalarla benzer şekilde yapılandırılır.

Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) analiz kurallarıyla hızlı tehdit algılama hakkında daha fazla bilgi edinin.

Anomali kuralları

Anomali kuralları, temeli belirlemek için belirli davranış türlerini belirli bir süre boyunca gözlemlemek için makine öğrenmesini kullanır. Her kuralın analiz edilen davranışa uygun kendi benzersiz parametreleri ve eşikleri vardır. Gözlem süresi tamamlandıktan sonra taban çizgisi ayarlanır. Kural, temelde ayarlanan sınırları aşan davranışları gözlemlediğinde, bu oluşumları anormal olarak işaretler.

İlk gelen kuralların yapılandırmaları değiştirilemez veya ince ayar yapılamaz, ancak bir kuralı çoğaltabilir ve ardından yineleneni değiştirebilir ve ince ayar yapabilirsiniz. Bu gibi durumlarda, çoğaltmayı Uçuş modunda ve özgün çoğaltmayı Üretim modunda eşzamanlı olarak çalıştırın. Ardından sonuçları karşılaştırın ve ince ayarı istediğiniz gibiyse ve olduğunda yinelemeyi Üretim olarak değiştirin.

Anomaliler kötü amaçlı ve hatta şüpheli davranışları tek başına belirtmemelidir. Bu nedenle anomali kuralları kendi uyarılarını oluşturmaz. Bunun yerine, anomaliler tablosunda analizlerinin sonuçlarını (algılanan anomaliler) kaydeder. Algılamalarınızı, araştırmalarınızı ve tehdit avcılığınızı geliştiren bağlam sağlamak için bu tabloyu sorgulayabilirsiniz.

Daha fazla bilgi için bkz. Microsoft Sentinel'de tehditleri algılamak için özelleştirilebilir anomalileri kullanma ve Microsoft Sentinel'de anomali algılama analizi kurallarıyla çalışma.

Microsoft güvenlik kuralları

Zamanlanmış ve NRT kuralları, oluşturdukları uyarılar için otomatik olarak olaylar oluştururken, dış hizmetlerde oluşturulan ve Microsoft Sentinel'e alınan uyarılar kendi olaylarını oluşturmaz. Microsoft güvenlik kuralları, diğer Microsoft güvenlik çözümlerinde oluşturulan uyarılardan Microsoft Sentinel olaylarını gerçek zamanlı olarak otomatik olarak oluşturur. Benzer mantıkla yeni kurallar oluşturmak için Microsoft güvenlik şablonlarını kullanabilirsiniz.

Önemli

Aşağıdakilere sahipseniz Microsoft güvenlik kuralları kullanılamaz :

  • Microsoft Defender XDR olay tümleştirmesi etkinleştirildi veya
  • Microsoft Sentinel birleşik güvenlik operasyonları platformuna eklendi.

Bu senaryolarda, bunun yerine Microsoft Defender XDR olayları oluşturur.

Önceden tanımladığınız bu tür kurallar otomatik olarak devre dışı bırakılır.

Microsoft güvenlik olayı oluşturma kuralları hakkında daha fazla bilgi için bkz. Microsoft güvenlik uyarılarından olayları otomatik olarak oluşturma.

Tehdit bilgileri

Microsoft Threat Intelligence Analytics kuralıyla yüksek aslına uygun uyarılar ve olaylar oluşturmak için Microsoft tarafından üretilen tehdit bilgilerinden yararlanın. Bu benzersiz kural özelleştirilebilir değildir, ancak etkinleştirildiğinde, Ortak Olay Biçimi (CEF) günlükleri, Syslog verileri veya Etki alanı, IP ve Microsoft Threat Intelligence URL tehdit göstergelerine sahip Windows DNS olaylarıyla otomatik olarak eşleşir. Bazı göstergeler MDTI (Microsoft Defender Tehdit Analizi) aracılığıyla daha fazla bağlam bilgisi içerir.

Bu kuralı etkinleştirme hakkında daha fazla bilgi için bkz . Tehditleri algılamak için eşleşen analizi kullanma.
MDTI hakkında daha fazla bilgi için bkz. Microsoft Defender Tehdit Analizi nedir?

Gelişmiş çok aşamalı saldırı algılama (Fusion)

Microsoft Sentinel, ölçeklenebilir makine öğrenmesi algoritmalarıyla Fusion bağıntı altyapısını kullanarak birden çok üründeki birçok düşük aslına uygunluk uyarısını ve olayını yüksek aslına uygun ve eyleme dönüştürülebilir olaylarla ilişkilendirerek gelişmiş çok aşamalı saldırıları algılar. Gelişmiş çok aşamalı saldırı algılama kuralı varsayılan olarak etkindir. Mantık gizli olduğundan ve bu nedenle özelleştirilebilir olmadığından, bu şablonla yalnızca bir kural olabilir.

Fusion altyapısı ayrıca zamanlanmış analiz kuralları tarafından üretilen uyarıları diğer sistemlerden gelen uyarılarla ilişkilendirerek sonuç olarak yüksek aslına uygunluk olayları oluşturabilir.

Önemli

Gelişmiş çok aşamalı saldırı algılama kuralı türü, aşağıdakilere sahipseniz kullanılamaz :

  • Microsoft Defender XDR olay tümleştirmesi etkinleştirildi veya
  • Microsoft Sentinel birleşik güvenlik operasyonları platformuna eklendi.

Bu senaryolarda, bunun yerine Microsoft Defender XDR olayları oluşturur.

Ayrıca, Fusion algılama şablonlarından bazıları şu anda ÖNİzLEME aşamasındadır (hangilerini görmek için bkz. Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılama). Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Makine öğrenmesi (ML) davranış analizi

ML Davranış Analizi kurallarıyla yüksek aslına uygunluk uyarıları ve olaylar oluşturmak için Microsoft'un özel makine öğrenmesi algoritmalarından yararlanın. Bu benzersiz kurallar (şu anda Önizleme aşamasındadır) özelleştirilebilir değildir, ancak etkinleştirildiğinde IP ve coğrafi konum ile kullanıcı geçmişi bilgilerine göre belirli anormal SSH ve RDP oturum açma davranışlarını algılayın.

Analiz kuralları için erişim izinleri

Analiz kuralı oluşturduğunuzda, kurala bir erişim izinleri belirteci uygulanır ve bu belirteçle birlikte kaydedilir. Bu belirteç, kuralın kural tarafından sorgulanan verileri içeren çalışma alanına erişebilmesini ve kuralı oluşturanın bu çalışma alanına erişimini kaybetmesi durumunda bile bu erişimin korunmasını sağlar.

Ancak bu erişimin bir istisnası vardır: MSSP söz konusu olduğunda gerçekleşenler gibi diğer aboneliklerdeki veya kiracılardaki çalışma alanlarına erişmek için bir kural oluşturulduğunda, Microsoft Sentinel müşteri verilerine yetkisiz erişimi önlemek için ek güvenlik önlemleri alır. Bu tür kurallar için, kuralı oluşturan kullanıcının kimlik bilgileri bağımsız erişim belirteci yerine kurala uygulanır, böylece kullanıcının diğer aboneliğe veya kiracıya erişimi kalmadığında kural çalışmayı durdurur.

Microsoft Sentinel'i abonelikler arası veya kiracılar arası bir senaryoda çalıştırırsanız, analistlerinizden veya mühendislerinizden biri belirli bir çalışma alanına erişimi kaybettiğinde, bu kullanıcı tarafından oluşturulan tüm kurallar çalışmayı durdurur. Bu durumda, "kaynağa yetersiz erişim" ile ilgili bir sistem durumu izleme iletisi alırsınız ve belirli sayıda başarısız olduktan sonra kural otomatik olarak devre dışı bırakılır .

Kuralları ARM şablonuna aktarma

Kurallarınızı yönetmek ve kod olarak dağıtmak istiyorsanız kuralınızı kolayca bir Azure Resource Manager (ARM) şablonuna aktarabilirsiniz. Ayrıca, kullanıcı arabiriminde görüntülemek ve düzenlemek için şablon dosyalarından kuralları içeri aktarabilirsiniz.

Sonraki adımlar