Microsoft Sentinel'in olay araştırma ve olay yönetimi özelliklerini anlama
Microsoft Sentinel, güvenlik olaylarını araştırmak ve yönetmek için eksiksiz, tam özellikli bir olay yönetimi platformu sunar. Güvenlik tehdidinin tek tek kanıt parçaları (uyarılar), şüpheliler ve taraflar (varlıklar), güvenlik uzmanları ve yapay zeka/makine öğrenmesi modelleri tarafından toplanan ve seçilen içgörüler ya da araştırma sırasında yapılan tüm eylemlerin yorumları ve günlükleri dahil olmak üzere güvenlik tehdidinin eksiksiz ve sürekli güncelleştirilmiş kronolojisini içeren olay dosyaları için Microsoft Sentinel'in adıdır.
Microsoft Sentinel'deki olay araştırma deneyimi, araştırmanız için ihtiyacınız olan her şeyi tek bir yerde sunmak üzere tasarlanmış yeni bir deneyim olan Olaylar sayfasıyla başlar. Bu yeni deneyimin temel amacı, SOC'nizin verimliliğini ve verimliliğini artırarak ortalama çözüm süresini (MTTR) azaltmaktır.
Bu makale, tipik bir olay araştırmasının aşamalarında size yardımcı olacak tüm ekranları ve araçları sunar.
SOC'nizin vadesini artırın
Microsoft Sentinel, Güvenlik İşlemlerinizin (SecOps) olgunluk düzeyini artırmanıza yardımcı olacak araçlar sunar.
İşlemleri standartlaştırma
Olay görevleri , analistlerin tekdüzen bir bakım standardı sağlamak ve önemli adımların kaçırılmasını önlemek için izlemeleri gereken iş akışı görevleri listesidir. SOC yöneticileri ve mühendisleri bu görev listelerini geliştirebilir ve uygun şekilde veya pano genelinde farklı olay gruplarına otomatik olarak uygulanmasını sağlayabilir. SOC analistleri her olay içinde atanan görevlere erişebilir ve tamamlandıklarında işaretleyebilir. Analistler, kendi kendine anımsatıcı olarak veya olay üzerinde işbirliği yapabilen diğer analistlerin yararına (örneğin, vardiya değişikliği veya yükseltme nedeniyle) açık olaylarına el ile görev ekleyebilir.
Olay görevleri hakkında daha fazla bilgi edinin.
Olay yönetimini denetleme
Olay etkinlik günlüğü , ister insanlar ister otomatikleştirilmiş işlemler tarafından başlatılan bir olay üzerinde yapılan eylemleri izler ve bunları olayla ilgili tüm açıklamalarla birlikte görüntüler. Buraya kendi yorumlarınızı da ekleyebilirsiniz. Bu size, gerçekleşen her şeyin eksiksiz bir kaydını verir, kapsamlılık ve sorumluluk sağlar.
Etkili ve verimli bir şekilde araştırma
Bkz. zaman çizelgesi
Öncelikle: Bir analist olarak, yanıtlamak istediğiniz en temel soru, bu olayın neden dikkatimi çektiğidir? Bir olayın ayrıntılar sayfasına girildiğinde bu soru yanıtlanır: Ekranın tam ortasında Olay zaman çizelgesi pencere öğesini görürsünüz. Zaman çizelgesi, araştırmayla ilgili tüm günlüğe kaydedilen olayları, oluştukları sırayla temsil eden tüm uyarıların günlüğüdür. Zaman çizelgesi ayrıca yer işaretlerini, avlanma sırasında toplanan kanıtın anlık görüntülerini gösterir ve olaya eklenir. Bu listedeki herhangi bir öğeyi seçerek tüm ayrıntılarına bakın. Özgün uyarı, bunu oluşturan analiz kuralı ve yer işaretleri gibi bu ayrıntıların çoğu, daha derine inmek ve daha fazla bilgi edinmek için seçebileceğiniz bağlantılar olarak görünür.
Olay zaman çizelgesinden neler yapabileceğiniz hakkında daha fazla bilgi edinin.
Benzer olaylardan öğrenin
Olayda şimdiye kadar gördüğünüz herhangi bir şey tanıdık geliyorsa, iyi bir nedeni olabilir. Microsoft Sentinel, açık olan olaylara en çok benzeyen olayları göstererek bir adım önde kalır. Benzer olaylar pencere öğesi, son güncelleştirilen tarih ve saat, son sahip, son durum (kapalı olmaları durumunda, kapatılma nedenleri dahil) ve benzerlik nedeni de dahil olmak üzere benzer olduğu kabul edilen olaylarla ilgili en ilgili bilgileri gösterir.
Bu, araştırmanıza çeşitli yollarla fayda sağlayabilir:
- Daha büyük bir saldırı stratejisinin parçası olabilecek eşzamanlı olayları tespit edin.
- Benzer olayları geçerli araştırmanız için başvuru noktaları olarak kullanın; bunların nasıl ele alındığını görün.
- Bilgilerinden yararlanmak için geçmiş benzer olayların sahiplerini belirleyin.
Pencere öğesi size en benzer 20 olayı gösterir. Microsoft Sentinel varlıklar, kaynak analiz kuralı ve uyarı ayrıntıları gibi yaygın öğelere göre hangi olayların benzer olduğunu karar verir. Bu pencere öğesinden, geçerli olayla bağlantıyı olduğu gibi tutarken doğrudan bu olayların tüm ayrıntılar sayfalarına atlayabilirsiniz.
Benzer olaylarla neler yapabileceğiniz hakkında daha fazla bilgi edinin.
En iyi içgörüleri inceleme
Ardından, gerçekleşen (veya hala devam eden) ve bağlamı daha iyi anlayarak Microsoft Sentinel'in sizin için daha önce hangi ilginç bilgileri bulduğunu merak edersiniz. Olaynızdaki varlıklarla ilgili büyük soruları otomatik olarak sorar ve Olay ayrıntıları sayfasının sağ tarafında görünen En iyi içgörüler pencere öğesinde en iyi yanıtları gösterir. Bu pencere öğesi, hem makine öğrenmesi analizine hem de güvenlik uzmanlarından oluşan üst düzey ekiplerin seçkisine dayalı bir içgörü koleksiyonu gösterir.
Bunlar, varlık sayfalarında görünen içgörülerin özel olarak seçilmiş bir alt kümesidir, ancak bu bağlamda, olaydaki tüm varlıklara yönelik içgörüler birlikte sunulur ve size neler olduğuna ilişkin daha eksiksiz bir resim sunulur. İçgörü kümesinin tamamı Varlıklar sekmesinde, her varlık için ayrı ayrı görüntülenir; aşağıya bakın.
En iyi içgörüler pencere öğesi, varlıkla ilgili davranışlarıyla ilgili soruları eşleriyle ve kendi geçmişiyle, izleme listelerinde veya tehdit bilgilerindeki varlığıyla veya bununla ilgili diğer olağan dışı durumlarla karşılaştırıldığında yanıtlar.
Bu içgörülerin çoğu daha fazla bilgi için bağlantılar içerir. Bu bağlantılar, günlükler panelini bağlam içinde açar ve burada bu içgörü için kaynak sorguyu ve sonuçlarını görürsünüz.
Varlıkları görüntüleme
Artık bağlam ve bazı temel soruları yanıtladığınıza göre, bu hikayedeki önemli oyuncular hakkında daha fazla derinlik elde etmek isteyeceksiniz. Kullanıcı adları, konak adları, IP adresleri, dosya adları ve diğer varlık türleri araştırmanızda "ilgi çekici kişiler" olabilir. Microsoft Sentinel bunları sizin için bulur ve zaman çizelgesinin yanı sıra Varlıklar pencere öğesinde ön ve orta olarak görüntüler. Bu pencere öğesinden bir varlık seçildiğinde, aynı olay sayfasındaki Varlıklar sekmesinde söz konusu varlığın listesi gösterilir.
Varlıklar sekmesi, olaydaki tüm varlıkların listesini içerir. Listedeki bir varlık seçildiğinde, varlık sayfasını temel alan bir ekran içeren bir yan panel açılır. Yan panelde üç kart bulunur:
- Bilgi , varlık hakkında temel bilgiler içerir. Kullanıcı hesabı varlığı için bu, kullanıcı adı, etki alanı adı, güvenlik tanımlayıcısı (SID), kuruluş bilgileri, güvenlik bilgileri ve daha fazlası olabilir.
- Zaman çizelgesi , varlığın göründüğü günlüklerden toplanan bu varlığı ve varlığın yaptığı etkinlikleri öne çıkartan uyarıların listesini içerir.
- İçgörüler , iş akranlarına ve kendi geçmişine, izleme listelerinde veya tehdit bilgilerindeki varlığına veya bununla ilgili diğer olağan dışı durumlara kıyasla varlıkla ilgili sorulara yanıtlar içerir. Bu yanıtlar, Microsoft güvenlik araştırmacıları tarafından tanımlanan ve bir kaynak koleksiyonundan alınan verilere dayanarak varlıklar hakkında değerli ve bağlamsal güvenlik bilgileri sağlayan sorguların sonuçlarıdır.
Varlık türüne bağlı olarak, bu yan panelden bir dizi başka eylem gerçekleştirebilirsiniz:
- Daha uzun bir zaman aralığı boyunca daha fazla ayrıntı almak için varlığın tam varlık sayfasına özetleyin veya bu varlığın ortalandığı grafik araştırma aracını başlatın.
- Varlıkta belirli yanıt veya düzeltme eylemleri yapmak için bir playbook çalıştırın (Önizleme'de).
- Varlığı bir risk göstergesi (IOC) olarak sınıflandırın ve Tehdit bilgileri listenize ekleyin.
Bu eylemlerin her biri şu anda başkaları için değil belirli varlık türleri için desteklenmektedir. Aşağıdaki tabloda hangi varlık türleri için hangi eylemlerin desteklendiği gösterilmektedir:
Kullanılabilir eylemler ▶ Varlık türleri ▼ |
Tüm ayrıntıları görüntüleyin (varlık sayfasında) |
TI'ye ekle * | Playbook'u çalıştırma * (Önizleme) |
---|---|---|---|
Kullanıcı hesabı | ✔ | ✔ | |
ANABİLGİSAYAR | ✔ | ✔ | |
IP adresi | ✔ | ✔ | ✔ |
URL | ✔ | ✔ | |
Etki alanı adı | ✔ | ✔ | |
Dosya (karma) | ✔ | ✔ | |
Azure kaynağı | ✔ | ||
IoT cihazı | ✔ |
* TI'ye Ekle veya Playbook'u Çalıştır eylemlerinin kullanılabildiği varlıklar için, bu eylemleri doğrudan Genel Bakış sekmesindeki Varlıklar pencere öğesinden gerçekleştirebilir ve olay sayfasından hiç ayrılmayabilirsiniz.
Günlükleri keşfetme
Şimdi tam olarak ne olduğunu öğrenmek için ayrıntıları öğrenmek mi istiyorsunuz? Yukarıda belirtilen yerlerin neredeyse herhangi birinden, olayda yer alan tek tek uyarıların, varlıkların, içgörülerin ve diğer öğelerin detayına gidebilir ve özgün sorguyu ve sonuçlarını görüntüleyebilirsiniz. Bu sonuçlar, olay ayrıntıları sayfasının panel uzantısı olarak gösterilen Günlükler (log analytics) ekranında görüntülenir, böylece araştırma bağlamından ayrılmazsınız.
Kayıtlarınızı sırayla tutun
Son olarak, saydamlık, sorumluluk ve süreklilik açısından, ister otomatik süreçler ister kişiler tarafından olsun olayla ilgili yapılan tüm eylemlerin kaydını isteyeceksiniz. Olay etkinlik günlüğü size bu etkinliklerin tümünü gösterir. Ayrıca, yapılan açıklamaları görebilir ve kendi yorumunuzu ekleyebilirsiniz. Etkinlik günlüğü, açıkken bile sürekli otomatik olarak yenilenir, böylece değişikliklerini gerçek zamanlı olarak görebilirsiniz.
Sonraki adımlar
Bu belgede, Microsoft Sentinel'deki olay araştırma deneyiminin tek bir bağlamda araştırma gerçekleştirmenize nasıl yardımcı olduğunu öğrendiniz. Olayları yönetme ve araştırma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Microsoft Sentinel'de olayları yönetmek için görevleri kullanma
- Microsoft Sentinel'de varlık sayfalarıyla varlıkları araştırma.
- Otomasyon kurallarıyla Microsoft Sentinel'de olay işlemeyi otomatikleştirin.
- Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizi (UEBA) ile gelişmiş tehditleri belirleme
- Güvenlik tehditlerini avla.