Aracılığıyla paylaş

Azure portalında Microsoft Sentinel olaylarında gezinme, önceliklendirme ve yönetme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal

Bu makalede Azure portalında olaylarınızda temel önceliklendirmelere nasıl gidilip çalıştırılacak açıklanır.

Önkoşullar

  1. Microsoft Sentinel gezinti menüsündeki Tehdit yönetimi'nin altında Olaylar'ı seçin.

    Olaylar sayfası, tüm açık olaylarınızla ilgili temel bilgiler sağlar. Örneğin:

    Olay önem derecesi görünümünün ekran görüntüsü.

    • Ekranın üst kısmında, belirli bir olayın dışında (kılavuzda bir bütün olarak veya birden çok seçili olayda) gerçekleştirebileceğiniz eylemleri içeren bir araç çubuğunuz vardır. Ayrıca, yeni veya etkin olmak üzere açık olayların ve önem derecesine göre açık olayların sayılarına da sahip olursunuz.

    • Orta bölmede, listenin en üstündeki filtreleme denetimlerine göre filtrelenmiş olan olayların listesi olan bir olay kılavuzu ve belirli olayları bulmak için bir arama çubuğunuz vardır.

    • Yan tarafta, merkezi listede vurgulanan olayla ilgili önemli bilgileri gösteren bir ayrıntılar bölmeniz ve bu olayla ilgili belirli eylemleri gerçekleştirme düğmeleriniz vardır.

  2. Güvenlik operasyonları ekibinizin yeni olaylarda temel önceliklendirme gerçekleştirmek ve bunları uygun personele atamak için otomasyon kuralları olabilir.

    Bu durumda, listeyi size veya ekibinize atanan olaylarla sınırlandırmak için olay listesini Sahip'e göre filtreleyin. Bu filtrelenmiş küme kişisel iş yükünüzü temsil eder.

    Aksi takdirde, temel önceliklendirmeyi kendiniz gerçekleştirebilirsiniz. Olay listesini, durum, önem derecesi veya ürün adı gibi kullanılabilir filtreleme ölçütlerine göre filtreleyerek başlayın. Daha fazla bilgi için bkz . Olay arama.

  3. Belirli bir olayı önceliklendirmek ve olayın tüm ayrıntılar sayfasını girmek zorunda kalmadan doğrudan Olaylar sayfasındaki ayrıntılar bölmesinden hemen olayla ilgili ilk eylemi gerçekleştirin. Örneğin:

    • Microsoft Defender XDR'de Microsoft Defender XDR olaylarını araştırma: Defender portalında paralel olaya özet olarak dönmek için Microsoft Defender XDR'de Araştır bağlantısını izleyin. Microsoft Defender XDR'de olayda yaptığınız tüm değişiklikler, Microsoft Sentinel'deki aynı olayla eşitlenir.

    • Atanan görevlerin listesini açın: Görevlerin atandığı olaylar tamamlanmış ve toplam görevlerin sayısını ve Tam ayrıntıları görüntüle bağlantısını görüntüler. Bu olayın görev listesini görmek için Olay görevleri sayfasını açmak için bağlantıyı izleyin.

    • Sahip açılan listesinden öğesini seçerek bir kullanıcıya veya gruba olayın sahipliğini atayın.

      Kullanıcıya olay atama işleminin ekran görüntüsü.

      Son seçilen kullanıcılar ve gruplar, resimli açılan listenin en üstünde görünür.

    • Durum açılan listesinden seçim yaparak olayın durumunu güncelleştirin (örneğin, Yeni'den Etkin veya Kapalı'ya). Bir olayı kapatırken bir neden belirtmeniz gerekir. Daha fazla bilgi için bkz . Olayı kapatma.

    • Önem Derecesi açılan listesinden seçim yaparak olayın önem derecesini değiştirin.

    • Olaylarınızı kategorilere ayırmak için etiketler ekleyin. Etiketlerin nereye ekleneceğini görmek için ayrıntılar bölmesinin en altına kadar kaydırmanız gerekebilir.

    • Eylemlerinizi, fikirlerinizi, sorularınızı ve daha fazlasını günlüğe kaydetmek için açıklamalar ekleyin. Açıklamaların nereye ekleneceğini görmek için ayrıntılar bölmesinin en altına kadar kaydırmanız gerekebilir.

  4. Ayrıntılar bölmesindeki bilgiler daha fazla düzeltme veya düzeltme eylemini istemeye yeterliyse, aşağıdakilerden birini yapmak için alttaki Eylemler düğmesini seçin:

    Eylem Açıklama
    Araştırma Hem bu olay içinde hem de diğer olaylar arasında uyarılar, varlıklar ve etkinlikler arasındaki ilişkileri bulmak için grafik araştırma aracını kullanın.
    Playbook'u çalıştırma SOC mühendislerinizin kullanıma sunabileceği belirli zenginleştirme, işbirliği veya yanıt eylemlerini almak için bu olayla ilgili bir playbook çalıştırın.
    Otomasyon kuralı oluşturma Gelecekteki iş yükünüzü azaltmak veya gereksinimlerde geçici bir değişikliği (sızma testi gibi) hesaba katmak için gelecekte yalnızca bunun gibi olaylarda (aynı analiz kuralı tarafından oluşturulan) çalışan bir otomasyon kuralı oluşturun.
    Ekip oluşturma (Önizleme) Microsoft Teams'de, olayı işleme konusunda departmanlar genelinde diğer kişilerle veya ekiplerle işbirliği yapmak için bir ekip oluşturun.

    Örneğin:

    Ayrıntılar bölmesinden bir olayda gerçekleştirilebilecek eylemlerin menüsünün ekran görüntüsü.

  5. Olay hakkında daha fazla bilgi gerekiyorsa, olaydaki uyarılar ve varlıklar, benzer olayların listesi ve seçilen en iyi içgörüler de dahil olmak üzere olayın ayrıntılarını tamamen açıp görmek için Ayrıntılar bölmesinden Tüm ayrıntıları görüntüle'yi seçin.

Olayları arama

Belirli bir olayı hızla bulmak için, olaylar kılavuzunun üzerindeki arama kutusuna bir arama dizesi girin ve enter tuşuna basarak gösterilen olay listesini buna göre değiştirin. Olayınız sonuçlara dahil değilse Gelişmiş arama seçeneklerini kullanarak aramanızı daraltmak isteyebilirsiniz.

Arama parametrelerini değiştirmek için Ara düğmesini ve ardından aramanızı çalıştırmak istediğiniz parametreleri seçin.

Örneğin:

Temel ve/veya gelişmiş arama seçeneklerini seçmek için olay arama kutusunun ve düğmesinin ekran görüntüsü.

Varsayılan olarak, olay aramaları yalnızca Olay Kimliği, Başlık, Etiketler, Sahip ve Ürün adı değerleri arasında çalışır. Arama bölmesinde, listeyi aşağı kaydırarak aranacak bir veya daha fazla parametreyi seçin ve uygula'yı seçerek arama parametrelerini güncelleştirin. Varsayılan olarak ayarla'yı seçerek seçili parametreleri varsayılan seçeneğe sıfırlayın.

Not

Sahip alanındaki aramalar hem adları hem de e-posta adreslerini destekler.

Gelişmiş arama seçeneklerinin kullanılması arama davranışını aşağıdaki gibi değiştirir:

Arama davranışı Açıklama
Arama düğmesi rengi Arama düğmesinin rengi, aramada kullanılmakta olan parametre türlerine bağlı olarak değişir.
  • Yalnızca varsayılan parametreler seçili olduğu sürece düğme gri olur.
  • Gelişmiş arama parametreleri gibi farklı parametreler seçildiğinde düğme maviye döner.
Otomatik yenileme Gelişmiş arama parametrelerini kullanmak sonuçlarınızı otomatik olarak yenilemeyi seçmenizi engeller.
Varlık parametreleri Tüm varlık parametreleri gelişmiş aramalar için desteklenir. Herhangi bir varlık parametresinde arama yaparken, arama tüm varlık parametrelerinde çalışır.
Dizeleri arama Sözcük dizesi aramak, arama sorgusundaki tüm sözcükleri içerir. Arama dizeleri büyük/küçük harfe duyarlıdır.
Çalışma alanları arası destek Çalışma alanları arası görünümler için gelişmiş aramalar desteklenmez.
Görüntülenen arama sonuçlarının sayısı Gelişmiş arama parametrelerini kullanırken, aynı anda yalnızca 50 sonuç gösterilir.

İpucu

Aradığınız olayı bulamıyorsanız aramanızı genişletmek için arama parametrelerini kaldırın. Aramanız çok fazla öğeyle sonuçlanırsa sonuçlarınızı daraltmak için daha fazla filtre ekleyin.

Bir olayı kapatma

Belirli bir olayı çözümledikten sonra (örneğin, araştırmanız sonuca ulaştığında), olayın durumunu Kapalı olarak ayarlayın. Bunu yaptığınızda, olayı kapatma nedeniniz belirterek sınıflandırmanız istenir. Bu adım zorunludur.

Sınıflandırma seç'i seçin ve açılan listeden aşağıdakilerden birini seçin:

  • Gerçek Pozitif – şüpheli etkinlik
  • Zararsız Pozitif – şüpheli ama beklenen
  • Hatalı Pozitif – yanlış uyarı mantığı
  • Hatalı Pozitif – yanlış veriler
  • Belirsiz

Sınıflandırma seç listesinde bulunan sınıflandırmaları vurgulayan ekran görüntüsü.

Hatalı pozitifler ve zararsız pozitifler hakkında daha fazla bilgi için bkz . Microsoft Sentinel'de hatalı pozitifleri işleme.

Uygun sınıflandırmayı seçtikten sonra Açıklama alanına açıklayıcı bir metin ekleyin. Bu, bu olaya geri başvurmanız gerektiğinde yararlıdır. İşiniz bittiğinde Uygula'yı seçin ve olay kapatılır.

Bir olayı kapatmanın ekran görüntüsü.

Sonraki adım

Daha fazla bilgi için bkz . Azure portalında Microsoft Sentinel olaylarını derinlemesine araştırma