Azure portalında Microsoft Sentinel olaylarını derinlemesine araştırma
Microsoft Sentinel olayları, belirli araştırmalara yönelik tüm ilgili kanıtların toplandığını içeren dosyalardır. Her olay, analiz kuralları tarafından oluşturulan veya kendi uyarılarını üreten üçüncü taraf güvenlik ürünlerinden içeri aktarılan kanıt parçalarına (uyarılar) göre oluşturulur (veya eklenir). Olaylar, uyarıların içerdiği varlıkların yanı sıra önem derecesi, durum ve MITRE ATT&CK taktikleri ve teknikleri gibi uyarıların özelliklerini devralır.
Microsoft Sentinel, güvenlik olaylarını araştırmak için Azure portalında eksiksiz, tam özellikli bir olay yönetimi platformu sunar. Olay ayrıntıları sayfası, araştırmanızı çalıştırıp tüm ilgili bilgileri ve tüm ilgili araçları ve görevleri tek bir ekranda topladığınız merkezi konumunuzdur.
Bu makalede, bir olayı derinlemesine araştırma, olaylarınızı daha hızlı, etkili ve verimli bir şekilde incelemenize ve ortalama çözüm sürenizi (MTTR) azaltmanıza yardımcı olma açıklanır.
Önkoşullar
Olayları araştırmak için Microsoft Sentinel Yanıtlayıcısı rol ataması gereklidir.
Microsoft Sentinel'deki roller hakkında daha fazla bilgi edinin.
Olayları ataması gereken bir konuk kullanıcınız varsa, kullanıcıya Microsoft Entra kiracınızda Dizin Okuyucusu rolü atanmalıdır. Normal (bitişik olmayan) kullanıcıların bu rolü varsayılan olarak ataması gerekir.
Şu anda olay ayrıntıları sayfasının eski deneyimini görüntülüyorsanız, yeni deneyim için bu makaledeki yordamlara devam etmek için sayfanın sağ üst kısmındaki yeni deneyimi açın.
Zemini düzgün bir şekilde hazırlama
Bir olayı araştırmak için ayarlarken iş akışınızı yönlendirmek için ihtiyacınız olan şeyleri bir araya toplayın. Aşağıdaki araçları olay sayfasının üst kısmındaki düğme çubuğunda, başlığın hemen altında bulabilirsiniz.
Bu olay için atanan görevleri görmek veya kendi görevlerinizi eklemek için Görevler'i seçin. Görevler SOC'nizde işlem standardını geliştirebilir. Daha fazla bilgi için bkz . Microsoft Sentinel'de olayları yönetmek için görevleri kullanma.
Etkinlik günlüğü'nü seçerek bu olay üzerinde otomasyon kurallarıyla(örneğin) ve yapılan tüm yorumlara göre daha önce herhangi bir eylem gerçekleştirilip gerçekleştirilmediğini görebilirsiniz. Buraya kendi yorumlarınızı da ekleyebilirsiniz. Daha fazla bilgi için bkz . Olay olaylarını denetleme ve açıklama ekleme.
Olay sayfasının içinde tam, boş bir Log analytics sorgu penceresi açmak için istediğiniz zaman Günlükler'i seçin. Olaydan çıkmadan ilgili veya değil bir sorgu oluşturup çalıştırın. Bu nedenle, bir düşüncenin peşinden gitmek için ani bir ilhamla karşı karşıya olduğunuzda akışınızı bölme konusunda endişelenmeyin; günlükler sizin için hazır. Daha fazla bilgi için bkz . Günlükler'de verilerinizi daha ayrıntılı inceleme.
Olay eylemleri düğmesi, Genel Bakış ve Varlıklar sekmelerinin karşısında da bulunur. Burada, Olaylar kılavuzu sayfasındaki ayrıntılar bölmesindeki Eylemler düğmesinden daha önce açıklanan eylemlerin aynısını gerçekleştirebilirsiniz. Eksik olan tek şey Araştır'tır ve bunun yerine sol taraftaki ayrıntılar panelinde kullanılabilir.
Olay eylemleri düğmesinin altındaki kullanılabilir eylemler şunlardır:
Eylem | Açıklama |
---|---|
Playbook'u çalıştırma | Belirli zenginleştirme, işbirliği veya yanıt eylemleri yapmak için bu olayla ilgili bir playbook çalıştırın. |
Otomasyon kuralı oluşturma | Gelecekte yalnızca bunun gibi olaylarda (aynı analiz kuralı tarafından oluşturulan) çalışan bir otomasyon kuralı oluşturun. |
Ekip oluşturma (Önizleme) | Microsoft Teams'de, olayı işleme konusunda departmanlar genelinde diğer kişilerle veya ekiplerle işbirliği yapmak için bir ekip oluşturun. Bu olay için zaten bir ekip oluşturulduysa, bu menü öğesi Teams'i Aç olarak görüntülenir. |
Olay ayrıntıları sayfasında resmin tamamını alma
Olay ayrıntıları sayfasının sol tarafındaki panelde, kılavuzun sağındaki Olaylar sayfasında gördüğünüz olay ayrıntıları bilgileri bulunur. Sayfanın geri kalanında hangi sekme gösterilirse gösteriliyor olsun, bu panel her zaman görüntülenir. Buradan, olayın temel bilgilerini görebilir ve aşağıdaki yollarla detaya gidebilirsiniz:
Kanıt'ın altında Olaylar, Uyarılar veya Yer İşaretleri'ni seçerek olay sayfasında günlükler panelini açın. Günlükler paneli, seçtiğiniz üç sorgunun sorgusunu görüntüler ve olaydan uzaklaşmadan sorgu sonuçlarını ayrıntılı bir şekilde gözden geçirebilirsiniz. Bölmeyi kapatmak ve olayınıza dönmek için Bitti'yi seçin. Daha fazla bilgi için bkz . Günlükler'de verilerinizi daha ayrıntılı inceleme.
Varlıklar sekmesinde görüntülemek için Varlıklar altındaki girdilerden herhangi birini seçin. Burada yalnızca olaydaki ilk dört varlık gösterilir. Tümünü görüntüle'yi seçerek veya Genel Bakış sekmesindeki Varlıklar pencere öğesinde veya Varlıklar sekmesinde kalanlara bakın. Daha fazla bilgi için bkz. Varlıklar sekmesi.
Olayın tüm öğeleri arasındaki ilişkileri diyagramlayan grafik araştırma aracındaolayı açmak için Araştır'ı seçin.
Bu panel, Sahip açılan listesinin yanındaki küçük, sola işaret eden çift ok seçilerek ekranın sol kenar boşluğuna daraltılabilir. Ancak bu simge durumuna küçültülmüş durumda bile sahip, durum ve önem derecesini değiştirebilirsiniz.
Olay ayrıntıları sayfasının geri kalanı Genel Bakış ve Varlıklar olmak üzere iki sekmeye ayrılır.
Genel Bakış sekmesi, her biri araştırmanızın temel bir amacını temsil eden aşağıdaki pencere öğelerini içerir.
Widget | Açıklama |
---|---|
Olay zaman çizelgesi | Olay zaman çizelgesi pencere öğesi, saldırgan etkinliğinin zaman çizelgesini yeniden oluşturmanıza yardımcı olabilecek olaydaki uyarıların ve yer işaretlerinin zaman çizelgesini gösterir. Tüm ayrıntılarını görmek için tek bir öğeyi seçerek detaya gitmenizi sağlayabilirsiniz. Daha fazla bilgi için bkz . Saldırı hikayesinin zaman çizelgesini yeniden yapılandırma. |
Benzer olaylar | Benzer olaylar pencere öğesinde, geçerli olaya en çok benzeyen en fazla 20 olaydan oluşan bir koleksiyon görürsünüz. Bu, olayı daha büyük bir bağlamda görüntülemenizi sağlar ve araştırmanızı yönlendirmenize yardımcı olur. Daha fazla bilgi için bkz . Ortamınızdaki benzer olayları denetleme. |
Varlıklar | Varlıklar pencere öğesi, uyarılarda tanımlanan tüm varlıkları gösterir. Bunlar, kullanıcılar, cihazlar, adresler, dosyalar veya diğer türler olsun, olayda rol oynayan nesnelerdir. Varlıklar sekmesinde görüntülenen tüm ayrıntılarını görmek için bir varlık seçin. Daha fazla bilgi için bkz. Olayın varlıklarını keşfetme. |
En iyi içgörüler | En iyi içgörüler pencere öğesinde, Microsoft güvenlik araştırmacıları tarafından tanımlanan ve bir kaynak koleksiyonundan alınan verilere göre olaydaki tüm varlıklar hakkında değerli ve bağlamsal güvenlik bilgileri sağlayan bir sorgu sonuçları koleksiyonu görürsünüz. Daha fazla bilgi için bkz . Olayınızla ilgili en iyi içgörüleri alma. |
Varlıklar sekmesi, olaydaki varlıkların tam listesini gösterir. Bu liste, Genel Bakış sayfasındaki Varlıklar pencere öğesinde de gösterilir. Pencere öğesinde bir varlık seçtiğinizde, tam varlık sayfasında görebileceğiniz gibi, varlığın tam dosyasını (tanımlayıcı bilgileri, etkinliğinin zaman çizelgesini (olayın içinde ve dışında) ve varlık hakkındaki tüm içgörüleri görmeye yönlendirilirsiniz ancak olay için uygun zaman dilimiyle sınırlıdır.
Saldırı hikayesinin zaman çizelgesini yeniden yapılandırma
Olay zaman çizelgesi pencere öğesi, saldırgan etkinliğinin zaman çizelgesini yeniden oluşturmanıza yardımcı olabilecek olaydaki uyarıların ve yer işaretlerinin zaman çizelgesini gösterir.
Simgenin veya metin öğesinin tam metnini içeren bir Araç İpucu görmek için herhangi bir simgenin veya tamamlanmamış metin öğesinin üzerine gelin. Görüntülenen metin pencere öğesinin sınırlı genişliği nedeniyle kesildiğinde bu Araç İpuçları kullanışlı olur. Bu ekran görüntüsündeki örne bakın:
Tüm ayrıntılarını görmek için tek bir uyarı veya yer işareti seçin.
Uyarı ayrıntıları uyarının önem derecesini ve durumunu, onu oluşturan analiz kurallarını, uyarıyı üreten ürünü, uyarıda belirtilen varlıkları, ilişkili MITRE ATT&CK taktiklerini ve tekniklerini ve iç Sistem uyarı kimliğini içerir.
Uyarıda daha da detaya gitmek, Günlükler panelini açıp sonuçları oluşturan sorguyu ve uyarıyı tetikleyen olayları görüntülemek için Sistem uyarı kimliği bağlantısını seçin.
Yer işareti ayrıntıları , uyarı ayrıntılarıyla tam olarak aynı değildir; varlıklar, MITRE ATT&CK taktikleri ve teknikleri ile yer işareti kimliğini içerirken, ham sonucu ve yer işareti oluşturucu bilgilerini de içerir.
Yer işareti günlüklerini görüntüle bağlantısını seçerek Günlükler panelini açın ve yer işareti olarak kaydedilen sonuçları oluşturan sorguyu görüntüleyin.
Olay zaman çizelgesi pencere öğesinden uyarılarda ve yer işaretlerinde aşağıdaki eylemleri de gerçekleştirebilirsiniz:
Bir tehdidi azaltmak için anında işlem yapmak için uyarı üzerinde bir playbook çalıştırın. Bazen araştırmaya devam etmeden önce bir tehdidi engellemeniz veya yalıtmanız gerekir. Uyarılarda playbook çalıştırma hakkında daha fazla bilgi edinin.
Bir olaydan uyarıyı kaldırma. Olaylar oluşturulduktan sonra ilgili olmaması için yargılarsanız olaylara eklenen uyarıları kaldırabilirsiniz. Olaylardan uyarıları kaldırma hakkında daha fazla bilgi edinin.
Bir olaydan yer işaretini kaldırın veya yer işaretinde düzenlenebilen (gösterilmeyen) alanları düzenleyin.
Ortamınızda benzer olayları denetleme
Güvenlik operasyonları analisti olarak, bir olayı araştırırken daha geniş bağlamını dikkate almak istiyorsunuz.
Olay zaman çizelgesi pencere öğesinde olduğu gibi, tam metni göstermek için sütun genişliği nedeniyle tamamlanmamış olarak görüntülenen herhangi bir metnin üzerine gelebilirsiniz.
Benzer olaylar listesinde bir olayın görünmesinin nedenleri Benzerlik nedeni sütununda görüntülenir. Ortak öğeleri (varlıklar, kural adı veya ayrıntılar) göstermek için bilgi simgesinin üzerine gelin.
Olayınızla ilgili en iyi içgörüleri edinin
Microsoft Sentinel'in güvenlik uzmanları, olayınızdaki varlıklarla ilgili önemli soruları otomatik olarak soran yerleşik sorgulara sahiptir. En iyi yanıtları Olay ayrıntıları sayfasının sağ tarafında görünen En iyi içgörüler pencere öğesinde görebilirsiniz. Bu pencere öğesi, hem makine öğrenmesi analizine hem de güvenlik uzmanlarından oluşan üst düzey ekiplerin seçkisine dayalı bir içgörü koleksiyonu gösterir.
Bunlar, varlık sayfalarında görünen içgörülerin bazılarıdır ve özellikle tehdit kapsamını hızla değerlendirmenize ve anlamanıza yardımcı olmak için seçilmiştir. Aynı nedenle, olaydaki tüm varlıklara ilişkin içgörüler, neler olduğuna ilişkin daha eksiksiz bir resim sunmak için birlikte sunulur.
En iyi içgörüler değiştirilebilir ve şunları içerebilir:
- Hesaba göre eylemler.
- Hesapta eylemler.
- UEBA içgörüleri.
- Kullanıcıyla ilgili tehdit göstergeleri.
- İzleme listesi içgörüleri (Önizleme).
- Anormal derecede yüksek sayıda güvenlik olayı.
- Windows oturum açma etkinliği.
- IP adresi uzak bağlantıları.
- TI eşleşmesi ile IP adresi uzak bağlantıları.
Bu içgörülerin her birinde (şimdilik izleme listeleriyle ilgili olanlar hariç) güvenlik olayı sayfasında açılan Günlükler panelinde temel sorguyu açmak için seçebileceğiniz bir bağlantı vardır. Ardından sorgunun sonuçlarında detaya gidebilirsiniz.
En iyi içgörüler pencere öğesinin zaman çerçevesi, olaydaki en erken uyarıdan 24 saat öncesine ve en son uyarının zamanına kadardır.
Olayın varlıklarını keşfetme
Varlıklar pencere öğesi, olaydaki uyarılarda tanımlanan tüm varlıkları gösterir. Bunlar, kullanıcılar, cihazlar, adresler, dosyalar veya diğer türler olsun, olayda rol oynayan nesnelerdir.
Bir varlığı bulmanıza yardımcı olması için varlıklar pencere öğesindeki varlık listesinde arama yapabilir veya listeyi varlık türüne göre filtreleyebilirsiniz.
Belirli bir varlığın bilinen bir risk göstergesi olduğunu zaten biliyorsanız varlığı tehdit bilgilerinize eklemek için varlığın satırındaki üç noktayı seçin ve TI'ye Ekle'yi seçin. (Bu seçenek desteklenen varlık türleri için kullanılabilir.)
Belirli bir varlık için otomatik yanıt dizisi tetiklemeyi istiyorsanız üç noktayı seçin ve Playbook'u çalıştır (Önizleme)'yi seçin. (Bu seçenek desteklenen varlık türleri için kullanılabilir.)
Tüm ayrıntılarını görmek için bir varlık seçin. Bir varlık seçtiğinizde, Genel Bakış sekmesinden olay ayrıntıları sayfasının başka bir bölümü olan Varlıklar sekmesine geçersiniz.
Varlıklar sekmesi
Varlıklar sekmesi, olaydaki tüm varlıkların listesini gösterir.
Varlıklar pencere öğesi gibi, bu liste de varlık türüne göre aranabilir ve filtrelenebilir. Bir listeye uygulanan aramalar ve filtreler diğerine uygulanmaz.
Bu varlığın bilgilerinin sağ taraftaki bir yan panelde görüntülenmesi için listeden bir satır seçin.
Varlık adı bağlantı olarak görünüyorsa, varlığın adını seçtiğinizde olay araştırma sayfasının dışındaki tam varlık sayfasına yönlendirilirsiniz. Olaydan çıkmadan yalnızca yan paneli görüntülemek için, varlığın göründüğü listeden satırı seçin, ancak adını seçmeyin.
Burada, genel bakış sayfasındaki pencere öğesinden gerçekleştirebileceğiniz eylemlerin aynısını gerçekleştirebilirsiniz. Bir playbook çalıştırmak veya varlığı tehdit bilgilerinize eklemek için varlığın satırındaki üç noktayı seçin.
Yan panelin alt kısmındaki Tüm ayrıntıları görüntüle'nin yanındaki düğmeyi seçerek de bu eylemleri gerçekleştirebilirsiniz. Düğme TI'ye Ekle, Playbook'u Çalıştır (Önizleme) veya Varlık eylemlerini okur; bu durumda diğer iki seçenekle birlikte bir menü görüntülenir.
Tüm ayrıntıları görüntüle düğmesinin kendisi sizi varlığın tam varlık sayfasına yönlendirir.
Varlıklar sekmesi yan bölmesi
Yan bölmeyi göstermek için Varlıklar sekmesinden bir varlık seçin ve aşağıdaki kartları kullanın:
Bilgiler , varlık hakkındaki bilgileri tanımlamayı içerir. Örneğin, bir kullanıcı hesabı varlığı için bu, kullanıcı adı, etki alanı adı, güvenlik tanımlayıcısı (SID), kuruluş bilgileri, güvenlik bilgileri ve daha fazlası gibi şeyler ve coğrafi konum gibi bir IP adresi için olabilir.
Zaman çizelgesi , varlığın görüntülendiği günlüklerden toplanan uyarıların, yer işaretlerinin ve anomalilerin listesini ve varlığın gerçekleştirdiği etkinlikleri içerir. Bu varlığı içeren tüm uyarılar, uyarıların bu olaya ait olup olmadığına bakılmaksızın bu listede yer alır.
Olayın parçası olmayan uyarılar farklı şekilde görüntülenir: kalkan simgesi gri renktedir, önem derecesi renk bandı düz çizgi yerine noktalı çizgidir ve uyarı satırının sağ tarafında artı işareti bulunan bir düğme vardır.
Uyarıyı bu olaya eklemek için artı işaretini seçin. Uyarı olaya eklendiğinde, uyarının diğer tüm varlıkları da (olayın parçası olmayan) eklenir. Artık ilgili uyarılar için bu varlıkların zaman çizelgelerine bakarak araştırmanızı daha da genişletebilirsiniz.
Bu zaman çizelgesi, önceki yedi gün içindeki uyarılar ve etkinliklerle sınırlıdır. Daha geriye gitmek için, zaman çerçevesi özelleştirilebilir olan tam varlık sayfasındaki zaman çizelgesine dönün.
İçgörüler , Microsoft güvenlik araştırmacıları tarafından tanımlanan ve bir kaynak koleksiyonundan alınan verileri temel alan varlıklar hakkında değerli ve bağlamsal güvenlik bilgileri sağlayan sorguların sonuçlarını içerir. Bu içgörüler, En iyi içgörüler pencere öğesinden gelenleri ve çok daha fazlasını içerir; bunlar tam varlık sayfasında görünenlerle aynıdır, ancak sınırlı bir zaman dilimindedir: olaydaki en erken uyarıdan 24 saat önce başlar ve en son uyarının zamanıyla biter.
İçgörülerin çoğu, seçildiğinde içgörü oluşturan sorguyu ve sonuçları görüntüleyen Günlükler panelini açan bağlantılar içerir.
Günlükler'de verilerinizi daha ayrıntılı bir şekilde inceleme
Araştırma deneyiminin neredeyse her yerinden, araştırma bağlamında Günlükler panelinde temel alınan sorguyu açan bir bağlantı seçebilirsiniz. Bu bağlantılardan birinden Günlükler paneline geldiyseniz, ilgili sorgu sorgu penceresinde görünür ve sorgu otomatik olarak çalıştırılır ve incelemeniz için uygun sonuçları oluşturur.
Ayrıca, araştırma yaparken denemek istediğiniz bir sorguyu düşündüğünüzde bağlam içinde kalırken olay ayrıntıları sayfasının içindeki boş günlükler panelini de çağırabilirsiniz. Bunu yapmak için sayfanın üst kısmındaki Günlükler'i seçin.
Ancak Günlükler panelinde sonuç olarak, sonuçlarını kaydetmek istediğiniz bir sorgu çalıştırdıysanız aşağıdaki yordamı kullanın:
Sonuçlar arasından kaydetmek istediğiniz satırın yanındaki onay kutusunu işaretleyin. Tüm sonuçları kaydetmek için sütunun üstündeki onay kutusunu işaretleyin.
İşaretli sonuçları yer işareti olarak kaydedin. Bunu yapmak için iki seçeneğiniz vardır:
Bir yer işareti oluşturmak ve bunu açık olaya eklemek için Geçerli olaya yer işareti ekle'yi seçin. İşlemi tamamlamak için yer işareti yönergelerini izleyin. Tamamlandıktan sonra yer işareti olay zaman çizelgesinde görünür.
Herhangi bir olaya eklemeden yer işareti oluşturmak için Yer işareti ekle'yi seçin. İşlemi tamamlamak için yer işareti yönergelerini izleyin. Bu yer işaretini, tehdit avcılığı sayfasında, Yer İşaretleri sekmesinin altında oluşturduğunuz diğer yer işaretleriyle birlikte bulabilirsiniz. Buradan bu olaya veya başka bir olaya ekleyebilirsiniz.
Yer işaretini oluşturduktan sonra (veya seçmemeyi seçerseniz), Günlükler panelini kapatmak için Bitti'yi seçin.
Örneğin:
Araştırmanızı genişletme veya odaklama
Araştırmanızın kapsamını genişletmek veya genişletmek için olaylarınıza uyarılar ekleyin. Alternatif olarak, araştırmanızın kapsamını daraltmak veya odaklanmak için olaylarınızdaki uyarıları kaldırın.
Daha fazla bilgi için bkz . Azure portalında Microsoft Sentinel'de uyarıları olaylarla ilişkilendirme.
Araştırma grafiğini kullanarak olayları görsel olarak araştırma
Araştırmanızda uyarıların, varlıkların ve bunlar arasındaki bağlantıların görsel, grafiksel bir gösterimini tercih ediyorsanız, klasik araştırma grafı ile daha önce açıklanan birçok şeyi de gerçekleştirebilirsiniz. Grafın dezavantajı, bağlamları çok daha fazla değiştirmek zorunda olmanızdır.
Araştırma grafı size aşağıdakileri sağlar:
araştırma içeriği | Açıklama |
---|---|
Ham verilerden görsel bağlam | Canlı görsel graf, ham verilerden otomatik olarak ayıklanan varlık ilişkilerini görüntüler. Bu, farklı veri kaynakları arasındaki bağlantıları kolayca görmenizi sağlar. |
Tam araştırma kapsamı bulma | Bir ihlalin tam kapsamını ortaya çıkarabilmek için yerleşik araştırma sorgularını kullanarak araştırma kapsamınızı genişletin. |
Yerleşik araştırma adımları | Bir tehdit karşısında doğru soruları sorduğunuzdan emin olmak için önceden tanımlanmış keşif seçeneklerini kullanın. |
Araştırma grafiğini kullanmak için:
Bir olay seçin ve ardından Araştır'ı seçin. Bu sizi araştırma grafiğine götürür. Grafik, uyarıya doğrudan bağlı varlıkların ve her kaynağın daha fazla bağlanıp bağlanmasını gösteren bir harita sağlar.
Önemli
Olayı yalnızca oluşturan analiz kuralı veya yer işareti varlık eşlemeleri içeriyorsa araştırabilirsiniz. Araştırma grafiği için özgün olayınızın varlıkları içermesi gerekir.
Araştırma grafiği şu anda 30 güne kadar olan olayların incelenmesini desteklemektedir.
Varlıklar bölmesini açmak için bir varlık seçin; böylece bu varlıkla ilgili bilgileri gözden geçirebilirsiniz.
Araştırmanızı derinleştirebilmek için varlık türü başına güvenlik uzmanlarımız ve analistlerimiz tarafından tasarlanan soruların listesini ortaya çıkarmak için her varlığın üzerine gelerek araştırmanızı genişletin. Bu seçeneklere keşif sorguları diyoruz.
Örneğin, ilgili uyarıları isteyebilirsiniz. Bir araştırma sorgusu seçerseniz, sonuçta elde edilen yetkilendirmeler grafiğe geri eklenir. Bu örnekte, İlgili uyarılar seçildiğinde grafta aşağıdaki uyarılar döndürüldü:
İlgili uyarıların varlığa noktalı çizgilerle bağlı olarak göründüğüne bakın.
Her araştırma sorgusu için, Olaylar'ı> seçerek ham olay sonuçlarını ve Log Analytics'te kullanılan sorguyu açma seçeneğini belirleyebilirsiniz.
Olayı anlamak için grafik size paralel bir zaman çizelgesi sağlar.
Grafikte hangi öğelerin hangi noktada oluştuğuna bakmak için zaman çizelgesinin üzerine gelin.
Olay olaylarını denetleme ve açıklama ekleme
Bir olayı araştırırken, hem yönetime doğru raporlama sağlamak hem de iş arkadaşlarınız arasında sorunsuz işbirliği ve işbirliği sağlamak için attığınız adımları ayrıntılı bir şekilde belgelemeniz gerekir. Ayrıca, otomatik işlemler de dahil olmak üzere başkaları tarafından olay üzerinde yapılan eylemlerin kayıtlarını net bir şekilde görmek istiyorsunuz. Microsoft Sentinel, bunu başarmanıza yardımcı olmak için size zengin bir denetim ve yorum ortamı olan Etkinlik günlüğünü verir.
Ayrıca olaylarınızı yorumlarla otomatik olarak zenginleştirebilirsiniz. Örneğin, dış kaynaklardan ilgili bilgileri getiren bir olay üzerinde bir playbook çalıştırdığınızda (örneğin, VirusTotal'da bir dosyayı kötü amaçlı yazılımlara karşı denetlediğinizde), playbook'un, tanımladığınız diğer bilgilerle birlikte dış kaynağın yanıtını olayın açıklamalarına yerleştirmesini sağlayabilirsiniz.
Etkinlik günlüğü, açıkken bile otomatik olarak yeniden başvurur, böylece değişiklikleri her zaman gerçek zamanlı olarak görebilirsiniz. Etkinlik günlüğü açıkken yapılan değişiklikler de size bildirilir.
Önkoşullar
Düzenleme: Yalnızca açıklamanın yazarının düzenleme izni vardır.
Silme: Yalnızca Microsoft Sentinel Katkıda Bulunanı rolüne sahip kullanıcıların açıklamaları silme izni vardır. Açıklamayı silmek için açıklamanın yazarının bile bu role sahip olması gerekir.
Etkinliklerin ve açıklamaların günlüğünü görüntülemek veya kendi açıklamalarınızı eklemek için:
- Olay ayrıntıları sayfasının üst kısmındaki Etkinlik günlüğü'nü seçin.
- Günlüğü yalnızca etkinlikleri veya yalnızca açıklamaları gösterecek şekilde filtrelemek için günlüğün üst kısmındaki filtre denetimini seçin.
- Açıklama eklemek istiyorsanız, olay etkinliği günlük panelinin altındaki zengin metin düzenleyicisine bunu girin.
- Açıklamayı göndermek için Açıklama'ya tıklayın. Açıklamanız günlüğün en üstüne eklenir.
Açıklamalar için desteklenen giriş
Aşağıdaki tabloda, açıklamalarda desteklenen girişler için sınırlar listelenmektedir:
Tür | Açıklama |
---|---|
Metin | Microsoft Sentinel'deki açıklamalar düz metin, temel HTML ve Markdown'da metin girişlerini destekler. Ayrıca, kopyalanan metni, HTML'yi ve Markdown'ı açıklama penceresine yapıştırabilirsiniz. |
Bağlantılar | Bağlantılar HTML bağlantı etiketleri biçiminde olmalı ve parametresine target="_blank" sahip olmalıdır. Mesela::html<br><a href="https://www.url.com" target="_blank">link text</a><br> Olaylarda açıklama oluşturan playbook'larınız varsa, bu açıklamalardaki bağlantıların da bu şablona uygun olması gerekir. |
Görüntüler | Görüntüler doğrudan yorumlara yüklenemez. Bunun yerine, resimleri satır içinde görüntülemek için açıklamalardaki görüntülerin bağlantılarını ekleyin. Bağlantılı görüntülerin Dropbox, OneDrive, Google Drive gibi genel olarak erişilebilen bir konumda barındırılması gerekir. |
Boyut sınırı |
Açıklama başına: Tek bir açıklama en fazla 30.000 karakter içerebilir. Olay başına: Tek bir olay en fazla 100 yorum içerebilir. Log Analytics'teki SecurityIncident tablosundaki tek bir olay kaydının boyut sınırı 64 KB'tır. Bu sınır aşılırsa, açıklamalar (en erkenden başlayarak) kesilir ve bu da gelişmiş arama sonuçlarında görünen açıklamaları etkileyebilir. Olay veritabanındaki gerçek olay kayıtları etkilenmez. |
Sonraki adım
UEBA verileriyle olayları araştırma
İlgili içerik
Bu makalede, Microsoft Sentinel kullanarak olayları araştırmaya başlamayı öğrendiniz. Daha fazla bilgi için bkz.