Microsoft Sentinel'de tehdit göstergeleriyle çalışma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Aşağıdaki etkinlikler aracılığıyla tehdit bilgilerini Microsoft Sentinel ile tümleştirin:

  • Çeşitli tehdit bilgileri platformlarına ve akışlarına veri bağlayıcılarını etkinleştirerek tehdit bilgilerini Microsoft Sentinel'e aktarın.
  • İçeri aktarılan tehdit bilgilerini Günlükler'de ve Microsoft Sentinel Tehdit bilgileri sayfasında görüntüleyin ve yönetin.
  • İçeri aktarılan tehdit bilgilerine dayalı yerleşik Analytics kuralı şablonlarını kullanarak tehditleri algılayın ve güvenlik uyarıları ve olaylar oluşturun.
  • Tehdit Bilgileri çalışma kitabıyla Microsoft Sentinel'de içeri aktarılan tehdit bilgileriyle ilgili önemli bilgileri görselleştirin.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Microsoft Sentinel'de tehdit göstergelerinizi görüntüleme

Microsoft Sentinel genelinde tehdit bilgileri göstergeleriyle çalışmayı öğrenin.

Tehdit bilgileri sayfasında göstergelerinizi bulma ve görüntüleme

Bu yordam, ana Microsoft Sentinel menüsünden erişebileceğiniz Tehdit bilgileri sayfasında göstergelerinizi görüntülemeyi ve yönetmeyi açıklar. İçeri aktarılan tehdit göstergelerinizi Log Analytics sorgusu yazmadan sıralamak, filtrelemek ve aramak için Tehdit bilgileri sayfasını kullanın.

Tehdit bilgileri göstergelerinizi Tehdit bilgileri sayfasında görüntülemek için:

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit bilgileri'ni seçin.

    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Tehdit bilgileri'ni seçin.

  2. Kılavuzdan, daha fazla bilgi görüntülemek istediğiniz göstergeyi seçin. Göstergenin bilgileri güvenilirlik düzeylerini, etiketleri ve tehdit türlerini içerir.

Microsoft Sentinel bu görünümde göstergelerin yalnızca en güncel sürümünü görüntüler. Göstergelerin nasıl güncelleştirildiğini anlama hakkında daha fazla bilgi için bkz . Tehdit bilgilerini anlama.

IP ve etki alanı adı göstergeleri ek GeoLocation ve WhoIs verilerle zenginleştirilmiştir. Bu veriler, seçilen göstergenin bulunduğu araştırmalara daha fazla bağlam sağlar.

Aşağıda bir örnek verilmiştir.

Coğrafi Konum ve WhoIs verilerini gösteren bir gösterge içeren Tehdit bilgileri sayfasını gösteren ekran görüntüsü.

Önemli

GeoLocation ve WhoIs zenginleştirme şu anda önizleme aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Olan Azure özellikleri için geçerli olan daha fazla yasal hüküm içerir.

Günlükler'de göstergelerinizi bulma ve görüntüleme

Bu yordam, kaynak akışından veya kullandığınız bağlayıcıdan bağımsız olarak, içeri aktarılan tehdit göstergelerinizi Microsoft Sentinel Günlükleri alanında diğer Microsoft Sentinel olay verileriyle birlikte nasıl görüntüleyebileceğinizi açıklar.

İçeri aktarılan tehdit göstergeleri Microsoft Sentinel ThreatIntelligenceIndicator tablosunda listelenir. Bu tablo, Analiz veya Çalışma Kitapları gibi Microsoft Sentinel'de başka bir yerde çalıştırılacak tehdit bilgileri sorgularının temelini oluşturur.

Tehdit bilgileri göstergelerinizi Günlükler'de görüntülemek için:

  1. Azure portalında Microsoft Sentinel için Genel'in altında Günlükler'i seçin.

    Defender portalında Microsoft Sentinel için Araştırma ve yanıt>Avcılığı Gelişmiş avcılığı'nı> seçin.

  2. Tablo ThreatIntelligenceIndicator Microsoft Sentinel grubunun altında yer alır.

  3. Tablo adının yanındaki Önizleme verileri simgesini (göz) seçin. Bu tablodaki kayıtları gösteren bir sorgu çalıştırmak için Sorgu düzenleyicisinde görüntüle'yi seçin.

    Sonuçlarınız burada gösterilen örnek tehdit göstergesine benzer olmalıdır.

    Ayrıntıları genişletilmiş örnek ThreatIntelligenceIndicator tablosu sonuçlarını gösteren ekran görüntüsü.

Gösterge oluşturma ve etiketleme

Tehdit Bilgileri sayfasını kullanarak doğrudan Microsoft Sentinel arabiriminde tehdit göstergeleri oluşturun ve iki yaygın tehdit bilgileri yönetim görevi gerçekleştirin: gösterge etiketleme ve güvenlik araştırmalarıyla ilgili yeni göstergeler oluşturma.

Yeni gösterge oluşturma

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit bilgileri'ni seçin.

    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Tehdit bilgileri'ni seçin.

  2. Sayfanın üst kısmındaki menü çubuğunda Yeni ekle'yi seçin.

    Yeni bir tehdit göstergesi eklemeyi gösteren ekran görüntüsü.

  3. Gösterge türünü seçin ve ardından Yeni gösterge bölmesindeki formu doldurun. Gerekli alanlar yıldız (*) ile işaretlenir.

  4. Uygula’yı seçin. Gösterge göstergeler listesine eklenir ve Günlükler'deki tabloya ThreatIntelligenceIndicator da gönderilir.

Tehdit göstergelerini etiketleme ve düzenleme

Tehdit göstergelerini etiketlemek, bulmalarını kolaylaştırmak için bunları birlikte gruplandırmak için kolay bir yoldur. Genellikle, belirli bir olayla ilgili bir göstergeye etiket uygulayabilirsiniz veya gösterge belirli bir aktörün tehditlerini veya iyi bilinen bir saldırı kampanyasının tehditlerini temsil ediyorsa. Üzerinde çalışmak istediğiniz göstergeleri aradıktan sonra tek tek etiketleyin. Birden çok gösterge seçin ve hepsini bir veya daha fazla etiketle aynı anda etiketleyin. Etiketleme serbest biçimli olduğundan, tehdit göstergesi etiketleri için standart adlandırma kuralları oluşturmanızı öneririz.

Tehdit göstergelerine etiket uygulamayı gösteren ekran görüntüsü.

Microsoft Sentinel ile, doğrudan Microsoft Sentinel'de oluşturulmuş veya TIP ve TAXII sunucuları gibi iş ortağı kaynaklarından gelen göstergeleri düzenleyebilirsiniz. Microsoft Sentinel'de oluşturulan göstergeler için tüm alanlar düzenlenebilir. İş ortağı kaynaklarından gelen göstergeler için etiketler, Süre Sonu tarihi, Güvenilirlik ve İptal Edilmiş gibi yalnızca belirli alanlar düzenlenebilir. Her iki durumda da Tehdit Bilgileri sayfasında yalnızca göstergenin en son sürümü görüntülenir. Göstergelerin nasıl güncelleştirildiğini anlama hakkında daha fazla bilgi için bkz . Tehdit bilgilerini anlama.

Çalışma kitaplarıyla tehdit zekanız hakkında içgörüler elde edin

Microsoft Sentinel'de tehdit bilgilerinizle ilgili önemli bilgileri görselleştirmek ve çalışma kitabını iş gereksinimlerinize göre özelleştirmek için amaca yönelik olarak oluşturulmuş bir Microsoft Sentinel çalışma kitabı kullanın.

Microsoft Sentinel'de sağlanan tehdit bilgileri çalışma kitabını bulma ve özelleştirmek için çalışma kitabında düzenleme yapma örneği aşağıda verilmiştir.

  1. Azure portalından Microsoft Sentinel'e gidin.

  2. Tehdit bilgileri veri bağlayıcısını kullanarak tehdit göstergelerini içeri aktardığınız çalışma alanını seçin.

  3. Microsoft Sentinel menüsünün Tehdit yönetimi bölümünde Çalışma Kitapları'nı seçin.

  4. Tehdit Analizi başlıklı çalışma kitabını bulun. Tabloda veri ThreatIntelligenceIndicator olduğunu doğrulayın.

    Verileriniz olduğunu doğrulamayı gösteren ekran görüntüsü.

  5. Kaydet'i seçin ve çalışma kitabının depolandığı bir Azure konumu seçin. Çalışma kitabını herhangi bir şekilde değiştirmek ve değişikliklerinizi kaydetmek istiyorsanız bu adım gereklidir.

  6. Şimdi kaydedilen çalışma kitabını görüntüle'yi seçerek çalışma kitabını görüntülemek ve düzenlemek üzere açın.

  7. Şimdi şablon tarafından sağlanan varsayılan grafikleri görmeniz gerekir. Grafiği değiştirmek için sayfanın üst kısmındaki Düzenle'yi seçerek çalışma kitabının düzenleme modunu başlatın.

  8. Tehdit türüne göre yeni bir tehdit göstergeleri grafiği ekleyin. Sayfanın en altına kaydırın ve Sorgu Ekle'yi seçin.

  9. Log Analytics çalışma alanı Günlük Sorgusu metin kutusuna aşağıdaki metni ekleyin:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. Görselleştirme açılan menüsünde Çubuk grafik'i seçin.

  11. Düzenleme tamamlandı'yı seçin ve çalışma kitabınız için yeni grafiği görüntüleyin.

    Çalışma kitabı için çubuk grafiği gösteren ekran görüntüsü.

Çalışma kitapları, Microsoft Sentinel'in tüm yönleriyle ilgili içgörüler sağlayan güçlü etkileşimli panolar sağlar. Çalışma kitaplarıyla birçok görev yapabilirsiniz ve sağlanan şablonlar harika bir başlangıç noktasıdır. Verilerinizi benzersiz şekillerde görselleştirmek için birçok veri kaynağını birleştirerek şablonları özelleştirin veya yeni panolar oluşturun.

Microsoft Sentinel çalışma kitapları Azure İzleyici çalışma kitaplarını temel alır, bu nedenle kapsamlı belgeler ve daha birçok şablon kullanılabilir. Daha fazla bilgi için bkz . Azure İzleyici çalışma kitaplarıyla etkileşimli raporlar oluşturma.

GitHub'da Daha fazla şablon indirip kendi şablonlarınıza katkıda bulunabileceğiniz Azure İzleyici çalışma kitapları için zengin bir kaynak da vardır.

İlgili içerik

Bu makalede, Microsoft Sentinel genelinde tehdit bilgileri göstergeleriyle çalışmayı öğrendiniz. Microsoft Sentinel'deki tehdit bilgileri hakkında daha fazla bilgi için aşağıdaki makalelere bakın: