Microsoft Sentinel'de varlık sayfaları
Olay araştırmasında bir kullanıcı hesabı, konak adı, IP adresi veya Azure kaynağıyla karşılaşırsanız, bu konuda daha fazla bilgi edinmek istediğinize karar vekleyebilirsiniz. Örneğin etkinlik geçmişini, diğer uyarılarda mı yoksa olaylarda mı göründüğünü, beklenmeyen veya karakter dışı bir şey yapıp yapmadığını vb. bilmek isteyebilirsiniz. Kısacası, bu varlıkların ne tür bir tehdidi temsil ettiğini belirlemenize yardımcı olabilecek bilgiler istiyorsunuz ve araştırmanızı buna göre yönlendirin.
Önemli
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Varlık sayfaları
Bu gibi durumlarda, varlığı seçebilirsiniz (tıklanabilir bağlantı olarak görünür) ve bu varlıkla ilgili yararlı bilgilerle dolu bir veri sayfası olan varlık sayfasına yönlendirilirsiniz. Microsoft Sentinel varlık davranışı sayfasında varlıkları doğrudan arayarak bir varlık sayfasına da ulaşabilirsiniz. Varlık sayfalarında bulacağınız bilgi türleri varlık hakkındaki temel bilgileri, bu varlıkla ilgili önemli olayların zaman çizelgesini ve varlığın davranışıyla ilgili içgörüleri içerir.
Daha açık belirtmek gerekirse varlık sayfaları üç bölümden oluşur:
Sol taraftaki panelDepolama Kimliği, Azure İzleyici, Azure Etkinliği, Azure Resource Manager, Bulut için Microsoft Defender, CEF/Syslog ve Microsoft Defender XDR (tüm bileşenleriyle birlikte) gibi veri kaynaklarından toplanan varlığın tanımlayıcı bilgilerini içerir.
Orta panelde, varlıkla ilgili uyarılar, yer işaretleri, anomaliler ve etkinlikler gibi önemli olayların grafiksel ve metinsel zaman çizelgesi gösterilir. Etkinlikler, Log Analytics'ten önemli olayların toplamalarıdır. Bu etkinlikleri algılayan sorgular Microsoft güvenlik araştırma ekipleri tarafından geliştirilmiştir ve artık seçtiğiniz etkinlikleri algılamak için kendi özel sorgularınızı ekleyebilirsiniz.
Sağ taraftaki panel, varlıkla ilgili davranışsal içgörüler sunar. Bu içgörüler Microsoft güvenlik araştırma ekipleri tarafından sürekli olarak geliştirilir. Bunlar çeşitli veri kaynaklarını temel alır ve varlık ve gözlemlenen etkinlikleri için bağlam sağlayarak anormal davranışları ve güvenlik tehditlerini hızla belirlemenize yardımcı olur.
Yeni araştırma deneyimini kullanarak bir olayı araştırıyorsanız, olay ayrıntıları sayfasının hemen içinde varlık sayfasının panelli bir sürümünü görebilirsiniz. Belirli bir olaydaki tüm varlıkların bir listesine sahipsiniz ve bir varlığı seçtiğinizde, olaydaki uyarılarla ilgili belirli bir zaman çerçevesi içinde yukarıda açıklanan tüm bilgileri gösteren üç "kart" (Bilgi, Zaman Çizelgesi ve İçgörüler) içeren bir yan panel açılır.
Defender portalında Microsoft Sentinel kullanıyorsanız, zaman çizelgesi ve içgörü panelleri Defender varlık sayfasının Sentinel olayları sekmesinde görünür.
Zaman çizelgesi
Zaman çizelgesi, varlık sayfasının Microsoft Sentinel'deki davranış analizine katkısının önemli bir parçasıdır. Varlıkla ilgili olaylar hakkında bir hikaye sunarak varlığın belirli bir zaman dilimi içindeki etkinliğini anlamanıza yardımcı olur.
Önceden ayarlanmış çeşitli seçenekler arasından zaman aralığını seçebilir (örneğin, son 24 saat) veya özel tanımlı herhangi bir zaman dilimine ayarlayabilirsiniz. Ayrıca, zaman çizelgesindeki bilgileri belirli olay veya uyarı türleriyle sınırlayan filtreler ayarlayabilirsiniz.
Aşağıdaki öğe türleri zaman çizelgesine eklenir.
Uyarılar: Varlığın eşlenmiş varlık olarak tanımlandığı tüm uyarılar. Kuruluşunuz analiz kurallarını kullanarak özel uyarılar oluşturduysa kuralların varlık eşlemesinin düzgün yapıldığından emin olmanız gerektiğini unutmayın.
Yer işaretleri: Sayfada gösterilen belirli varlığı içeren tüm yer işaretleri.
Anomaliler: Çeşitli veri girişlerinde ve kendi geçmiş etkinliklerine, eşlerine ve kuruluşun bütün olarak sahip olduğu etkinliklere karşı her varlık için oluşturulan dinamik taban çizgilerini temel alan UEBA algılamaları.
Etkinlikler: Varlıkla ilgili önemli olayların toplanması. Çok çeşitli etkinlikler otomatik olarak toplanır ve artık kendi seçtiğiniz etkinlikleri ekleyerek bu bölümü özelleştirebilirsiniz.
Varlık içgörüleri
Varlık içgörüleri, analistlerinizin daha verimli ve etkili bir şekilde araştırmalarına yardımcı olmak için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır. İçgörüler varlık sayfasının bir parçası olarak sunulur ve konaklar ve kullanıcılar hakkında tablosal veriler ve grafikler biçiminde değerli güvenlik bilgileri sağlar. Buradaki bilgilere sahip olmak, Log Analytics'e gitmek zorunda olmadığınız anlamına gelir. İçgörüler oturum açma işlemleri, grup eklemeleri, anormal olaylar ve daha fazlası ile ilgili verileri içerir ve anormal davranışları algılamak için gelişmiş ML algoritmaları içerir.
İçgörüler aşağıdaki veri kaynaklarını temel alır:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Sinyal (Azure İzleyici Aracısı)
- CommonSecurityLog (Microsoft Sentinel)
Genel olarak ifade etmek gerekirse, varlık sayfasında görüntülenen her varlık içgörüsü, sonuçları daha ayrıntılı inceleyebilmeniz için sizi içgörüye temel alınan sorgunun görüntülendiği bir sayfaya götüren bir bağlantıyla birlikte gelir.
- Azure portalındaki Microsoft Sentinel'de bağlantı sizi Günlükler sayfasına götürür.
- Microsoft Defender portalında bağlantı sizi Gelişmiş tehdit avcılığı sayfasına götürür.
Varlık sayfalarını kullanma
Varlık sayfaları birden çok kullanım senaryosunun parçası olacak şekilde tasarlanmıştır ve olay yönetiminden, araştırma grafından, yer işaretlerinden veya doğrudan Microsoft Sentinel ana menüsünde varlık davranışı altındaki varlık arama sayfasından erişilebilir.
Varlık sayfası bilgileri, Microsoft Sentinel UEBA başvurusunda ayrıntılı olarak açıklanan BehaviorAnalytics tablosunda depolanır.
Desteklenen varlık sayfaları
Microsoft Sentinel şu anda aşağıdaki varlık sayfalarını sunmaktadır:
Kullanıcı hesabı
Ana Bilgisayar
IP adresi (Önizleme)
Not
IP adresi varlık sayfası (şimdi önizlemede) Microsoft Threat Intelligence hizmeti tarafından sağlanan coğrafi konum verilerini içerir. Bu hizmet, Microsoft çözümlerinden ve üçüncü taraf satıcılardan ve iş ortaklarından coğrafi konum verilerini birleştirir. Veriler daha sonra bir güvenlik olayı bağlamında analiz ve araştırma için kullanılabilir. Daha fazla bilgi için bkz . Microsoft Sentinel'deki varlıkları REST API aracılığıyla coğrafi konum verileriyle zenginleştirme (Genel önizleme).
Azure kaynağı (Önizleme)
IoT cihazı (Önizleme)— şimdilik yalnızca Azure portalında Microsoft Sentinel'de.
Sonraki adımlar
Bu belgede, varlık sayfalarını kullanarak Microsoft Sentinel'deki varlıklar hakkında bilgi almayı öğrendiniz. Varlıklar ve bunları nasıl kullanabileceğiniz hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Microsoft Sentinel'deki varlıklar hakkında bilgi edinin.
- Varlık sayfası zaman çizelgelerindeki etkinlikleri özelleştirin.
- Microsoft Sentinel'de Kullanıcı ve Varlık Davranış Analizi (UEBA) ile gelişmiş tehditleri belirleme
- Microsoft Sentinel'de varlık davranışı analizini etkinleştirin.
- Güvenlik tehditlerini avla.