Microsoft Sentinel için en iyi yöntemler
En iyi yöntem kılavuzu, Microsoft Sentinel'e yönelik teknik belgelerde sağlanır. Bu makalede, Microsoft Sentinel'i dağıtırken, yönetirken ve kullanırken kullanılacak bazı temel yönergeler vurgulanır.
Önemli
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Microsoft Sentinel'i ayarlama
Microsoft Sentinel için dağıtım kılavuzuyla başlayın. Dağıtım kılavuzu, Microsoft Sentinel dağıtımınızı planlamak, dağıtmak ve hassas ayarlamalar yapmak için üst düzey adımları kapsar. Bu kılavuzdan sağlanan bağlantıları seçerek dağıtımınızdaki her aşama için ayrıntılı yönergeler bulabilirsiniz.
Microsoft güvenlik hizmeti tümleştirmeleri
Microsoft Sentinel, çalışma alanınıza veri gönderen bileşenler tarafından güçlendirilir ve diğer Microsoft hizmetleri tümleştirmeler aracılığıyla daha güçlü hale getirilmiştir. Bulut için Microsoft Defender Uygulamaları, Uç Nokta için Microsoft Defender ve Kimlik için Microsoft Defender gibi ürünlere alınan günlükler, bu hizmetlerin algılamalar oluşturmasına izin verir ve bu algılamaları Microsoft'a sağlar Gözcü. Günlükler, olaylar ve olaylar için daha eksiksiz bir resim sağlamak üzere doğrudan Microsoft Sentinel'e de aktarılabilir.
Örneğin, aşağıdaki görüntüde Microsoft Sentinel'in ortamınız için kapsam sağlamak üzere diğer Microsoft hizmetleri ve çoklu bulut ve iş ortağı platformlarından verileri nasıl aldırıyor olduğu gösterilmektedir:
Microsoft Sentinel, diğer kaynaklardan gelen uyarıları ve günlükleri almaktan daha fazlası:
- Daha iyi olay bağıntısı, uyarı toplama, anomali algılama ve daha fazlasını sağlayan makine öğrenmesi ile alınan bilgileri kullanır.
- Hem yönetici görevleri hem de araştırmalarda kullanılan eğilimleri, ilgili bilgileri ve önemli verileri gösteren etkileşimli görselleri çalışma kitapları aracılığıyla derleyip sunar.
- Uyarılar üzerinde işlem yapmak, bilgi toplamak, öğeler üzerinde eylemler gerçekleştirmek ve çeşitli platformlara bildirim göndermek için playbook'ları çalıştırır.
- SOC ekipleri için temel hizmetler sağlamak üzere ServiceNow ve Jira gibi iş ortağı platformlarıyla tümleştirilir.
- Araştırma için değerli veriler getirmek için tehdit bilgileri platformlarından zenginleştirme akışlarını alır ve getirir.
Diğer hizmetlerden veya sağlayıcılardan gelen verileri tümleştirme hakkında daha fazla bilgi için bkz . Microsoft Sentinel veri bağlayıcıları.
Microsoft Defender XDR ile olay yönetimi ve gelişmiş tehdit avcılığı gibi özellikleri birleştirmek için Microsoft Sentinel'i Microsoft Defender portalına eklemeyi göz önünde bulundurun. Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Microsoft Sentinel'i Microsoft Defender XDR'ye bağlama
- Microsoft Defender portalında Microsoft Sentinel
Olay yönetimi ve yanıtı
Aşağıdaki görüntüde, bir olay yönetimi ve yanıt sürecinde önerilen adımlar gösterilmektedir.
Aşağıdaki tabloda, olay yönetimi ve yanıtı için Microsoft Sentinel özelliklerinin nasıl kullanılacağına ilişkin üst düzey açıklamalar sağlanmaktadır. Daha fazla bilgi için bkz . Microsoft Sentinel ile olayları araştırma.
| Özellik | En iyi uygulama |
|---|---|
| Olaylar | Oluşturulan tüm olaylar, önceliklendirme ve erken araştırma için merkezi konum olarak hizmet veren Olaylar sayfasında görüntülenir. Olaylar sayfasında başlık, önem derecesi ve ilgili uyarılar, günlükler ve ilgi çekici varlıklar listelenir. Olaylar ayrıca toplanan günlüklere ve olayla ilgili tüm araçlara hızlı bir atlama sağlar. |
| Araştırma grafı | Olaylar sayfası, kullanıcıların bir saldırının tüm kapsamını göstermek için bir uyarıyı keşfetmesine ve derinlemesine incelemesine olanak tanıyan etkileşimli bir araç olan Araştırma grafiğiyle birlikte çalışır. Kullanıcılar daha sonra olayların zaman çizelgesini oluşturabilir ve bir tehdit zincirinin kapsamını keşfedebilir. Hesaplar, URL'ler, IP adresi, konak adları, etkinlikler, zaman çizelgesi ve daha fazlası gibi önemli varlıkları keşfedin. Elinizde hatalı bir pozitif sonuç olup olmadığını anlamak için bu verileri kullanın. Bu durumda olayı doğrudan kapatabilirsiniz. Olayın gerçek bir pozitif olduğunu fark ederseniz günlükleri, varlıkları araştırmak ve tehdit zincirini keşfetmek için doğrudan Olaylar sayfasından işlem yapın. Tehdidi tanımladıktan ve bir eylem planı oluşturduktan sonra araştırmaya devam etmek için Microsoft Sentinel ve diğer Microsoft güvenlik hizmetlerindeki diğer araçları kullanın. |
| Bilgi görselleştirme | Ortamınızda olup bitenleri görselleştirmek ve analiz etmek için öncelikle Microsoft Sentinel genel bakış panosuna göz atarak kuruluşunuzun güvenlik duruşu hakkında bir fikir edinin. Daha fazla bilgi için bkz . Toplanan verileri görselleştirme. Microsoft Sentinel'e genel bakış sayfasındaki bilgilere ve eğilimlere ek olarak, çalışma kitapları değerli araştırma araçlarıdır. Örneğin, belirli olayları ilişkili varlıklar ve uyarılarla birlikte araştırmak için Investigation Insights çalışma kitabını kullanın. Bu çalışma kitabı, ilgili günlükleri, eylemleri ve uyarıları göstererek varlıkları daha ayrıntılı incelemenizi sağlar. |
| Tehdit avcılığı | Kök nedenleri araştırıp ararken, yerleşik tehdit avcılığı sorguları çalıştırın ve güvenlik ihlallerine ilişkin tüm göstergelerin sonuçlarını denetleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit avcılığı. Bir araştırma sırasında veya tehdidi düzeltmek ve ortadan kaldırmaya yönelik adımlar attıktan sonra canlı akışı kullanın. Canlı akış, devam eden kötü amaçlı olaylar olup olmadığını veya kötü amaçlı olayların devam edip etmediğini gerçek zamanlı olarak izlemenizi sağlar. |
| Varlık davranışı | Microsoft Sentinel'deki varlık davranışı, kullanıcıların hesapları ve konak adlarını araştırma gibi belirli varlıklara yönelik eylemleri ve uyarıları gözden geçirmesine ve araştırmasına olanak tanır. Daha fazla bilgi için bkz. - Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizini (UEBA) Etkinleştirme - UEBA verileriyle olayları araştırma - Microsoft Sentinel UEBA zenginleştirmeleri başvurusu |
| İzleme Listeleri | Alınan verilerden ve zenginleştirme verileri gibi dış kaynaklardan verileri birleştiren bir izleme listesi kullanın. Örneğin, kuruluşunuz tarafından kullanılan veya son sonlandırılan çalışanlar tarafından kullanılan IP adresi aralıklarının listesini oluşturun. İzleme listelerini izleme listelerine algılama, tehdit avcılığı ve araştırma sırasında kullanmak üzere kötü amaçlı IP adresleri ekleme gibi zenginleştirme verilerini toplamak için playbook'larla birlikte kullanın. Olay sırasında, araştırma verilerini içermek için izleme listelerini kullanın ve ardından hassas verilerin görünümde kalmaması için araştırmanız tamamlandığında bunları silin. Daha fazla bilgi için bkz . Microsoft Sentinel'de İzleme Listeleri. |