Aracılığıyla paylaş

Microsoft Sentinel'de tehdit bilgilerini anlama

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel, çok sayıda kaynaktan tehdit bilgilerini alma, seçme ve yönetme özelliğine sahip buluta özel bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümüdür.

Önemli

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Tehdit bilgilerine giriş

Siber tehdit bilgileri (CTI), sistemlere ve kullanıcılara yönelik mevcut veya olası tehditleri açıklayan bilgilerdir. Bu zeka, belirli bir tehdit aktörün motivasyonlarını, altyapısını ve tekniklerini ayrıntılandıran yazılı raporlar gibi birçok biçim alır. Ayrıca IP adreslerinin, etki alanlarının, dosya karmalarının ve bilinen siber tehditlerle ilişkili diğer yapıtların belirli gözlemleri de olabilir.

Kuruluşlar, güvenlik personelinin kişilerini, bilgilerini ve varlıklarını korumak için hızlı bir şekilde eyleme geçebilmesi için olağan dışı etkinliklere temel bağlam sağlamak için CTI kullanır. CTI'yi aşağıdakiler gibi birçok yerden kaynaklayabilirsiniz:

  • Açık kaynak veri akışları
  • Tehdit zekası paylaşım toplulukları
  • Ticari zeka akışları
  • Bir kuruluştaki güvenlik soruşturmaları sırasında toplanan yerel istihbarat

Microsoft Sentinel gibi SIEM çözümleri için, CTI'nin en yaygın biçimleri tehdit göstergeleridir. Bu göstergeler, aynı zamanda risk göstergesi (ICS) veya saldırı göstergeleri olarak da bilinir. Tehdit göstergeleri URL'ler, dosya karmaları veya IP adresleri gibi gözlemlenen yapıtları kimlik avı, botnet veya kötü amaçlı yazılım gibi bilinen tehdit etkinlikleriyle ilişkilendiren verilerdir. Bu tehdit zekası biçimi genellikle taktiksel tehdit zekası olarak adlandırılır. Bir kuruluşa yönelik olası tehditleri algılamak ve bunlara karşı koruma sağlamak için büyük ölçekli güvenlik ürünlerine ve otomasyona uygulanır.

Tehdit zekasının bir diğer modelinde tehdit aktörleri, teknikleri, taktikleri ve yordamları (TTP' ler), altyapıları ve kurbanlarının kimlikleri gösterilir. Microsoft Sentinel, yapılandırılmış tehdit bilgileri ifadesi (STIX) olarak bilinen CTI değişimi için açık kaynak standardı kullanılarak ifade edilen GÇC'lerle birlikte bu modellerin yönetilmesini destekler. STIX nesneleri olarak ifade edilen tehdit bilgileri birlikte çalışabilirliği artırır ve kuruluşların daha verimli bir şekilde avlanmasını sağlar. Ortamınızda gözlemlenen kötü amaçlı etkinlikleri algılamak ve yanıt kararlarını bilgilendirmek için bir saldırının tam bağlamını sağlamak için Microsoft Sentinel'deki tehdit bilgileri STIX nesnelerini kullanın.

Aşağıdaki tabloda, Microsoft Sentinel'de tehdit bilgileri (TI) tümleştirmesini en iyi şekilde kullanmak için gereken etkinlikler özetlenmiştir:

Eylem Açıklama
Tehdit bilgilerini Microsoft Sentinel'in çalışma alanında depolama
  • Çeşitli tehdit bilgileri platformlarına ve akışlarına veri bağlayıcılarını etkinleştirerek tehdit bilgilerini Microsoft Sentinel'e aktarın.
  • Çeşitli TI platformlarını veya özel uygulamaları bağlamak için karşıya yükleme API'sini kullanarak tehdit bilgilerini Microsoft Sentinel'e bağlayın.
  • Kolaylaştırılmış bir yönetim arabirimiyle tehdit bilgileri oluşturun.
Tehdit bilgilerini yönetme
  • Sorguları veya gelişmiş aramayı kullanarak içeri aktarılan tehdit bilgilerini görüntüleyin.
  • tehdit bilgilerini ilişkiler, alım kuralları veya etiketlerle küratöre ekleme
  • Çalışma kitaplarıyla TI'niz hakkındaki önemli bilgileri görselleştirin.
Tehdit bilgilerini kullanma
  • Tehdit bilgilerini temel alan yerleşik analiz kuralı şablonlarıyla tehditleri algılayın ve güvenlik uyarıları ve olaylar oluşturun.
  • Kuruluşunuz için yakalanan sinyaller hakkında doğru soruları sormak için tehdit bilgilerinizi kullanarak tehditleri arayın.

Tehdit bilgileri, not defterleri gibi diğer Microsoft Sentinel deneyimlerinde de kullanışlı bağlam sağlar. Daha fazla bilgi için bkz . Not defterlerini ve MSTICPy'yi kullanmaya başlama.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Tehdit bilgilerini içeri aktarma ve bağlama

Tehdit bilgilerinin çoğu veri bağlayıcıları veya API kullanılarak içeri aktarılır. Gürültüyü azaltmak ve zeka akışlarınızın en iyi duruma getirildiğinden emin olmak için alım kurallarını yapılandırın. Microsoft Sentinel için sunulan çözümler aşağıdadır.

  • Microsoft'un tehdit bilgilerini almak için veri bağlayıcısını Microsoft Defender Tehdit Analizi
  • Tehdit Bilgileri - Endüstri standardı STIX/TAXII akışları için TAXII veri bağlayıcısı
  • Bağlanmak için REST API kullanan tümleşik ve seçilmiş TI akışları için Tehdit Bilgileri yükleme API'si (veri bağlayıcısı gerektirmez)
  • Threat Intelligence Platform veri bağlayıcısı eski bir REST API kullanarak TI akışlarını da bağlar, ancak kullanımdan kaldırma yolundadır

Kuruluşunuzun tehdit bilgilerine nereden kaynakladığına bağlı olarak, bu çözümleri herhangi bir kombinasyonda kullanın. Bu veri bağlayıcılarının tümü, Tehdit Bilgileri çözümünün bir parçası olarak İçerik hub'ında kullanılabilir. Bu çözüm hakkında daha fazla bilgi için bkz. tehdit bilgileri Azure Market girişi.

Ayrıca, Microsoft Sentinel ile kullanılabilen bu tehdit bilgileri tümleştirmeleri kataloğuna bakın.

Defender Tehdit Bilgileri veri bağlayıcısı ile Microsoft Sentinel'e tehdit bilgileri ekleme

Defender Threat Intelligence veri bağlayıcılarıyla Defender Threat Intelligence tarafından oluşturulan genel, açık kaynak ve yüksek kaliteli GÇ'leri Microsoft Sentinel çalışma alanınıza getirin. Tek tıklamayla basit bir kurulumla standart ve premium Defender Threat Intelligence veri bağlayıcılarından alınan tehdit bilgilerini kullanarak izleme, uyarı ve av işlemleri yapın.

Veri bağlayıcısının standart ve premium iki sürümü vardır. Ayrıca, premium Defender Threat Intelligence veri bağlayıcısının sağladığı özelliklere ilişkin bir örnek sağlayan ücretsiz olarak kullanılabilir bir Defender Tehdit Bilgileri tehdit analizi kuralı da vardır. Ancak eşleşen analizlerle yalnızca kuralla eşleşen göstergeler ortamınıza alınır.

Premium Defender Tehdit Bilgileri veri bağlayıcısı, Microsoft tarafından zenginleştirilmiş açık kaynak zekası ve Microsoft'un seçilmiş ICS'lerini alır. Bu premium özellikler, daha fazla veri kaynağı üzerinde analize olanak sağlar ve bu tehdit bilgilerini daha fazla esneklik ve anlayışla karşılar. Premium sürümü lisansladığınızda ve etkinleştirdiğinizde neler bekleyebileceğinizi gösteren bir tablo aşağıdadır.

Ücretsiz Premium
Genel GÇ'ler
Açık kaynak zekası (OSINT)
Microsoft IOC'ler
Microsoft tarafından zenginleştirilmiş OSINT

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

  • Premium lisans almayı ve standart ve premium sürümler arasındaki tüm farkları keşfetmeyi öğrenmek için bkz . Defender Threat Intelligence lisanslarını keşfetme.
  • Ücretsiz Defender Tehdit Bilgileri deneyimi hakkında daha fazla bilgi edinmek için bkz . Microsoft Defender XDR için Defender Threat Intelligence ücretsiz deneyimine giriş.
  • Defender Tehdit Bilgileri ve premium Defender Threat Intelligence veri bağlayıcılarını etkinleştirmeyi öğrenmek için bkz . Defender Tehdit Bilgileri veri bağlayıcısını etkinleştirme.
  • Eşleşen analizler hakkında bilgi edinmek için bkz . Tehditleri algılamak için eşleşen analizi kullanma.

Karşıya yükleme API'siyle Microsoft Sentinel'e tehdit bilgileri ekleme

Birçok kuruluş, çeşitli kaynaklardan gelen tehdit göstergesi akışlarını toplamak için tehdit bilgileri platformu (TIP) çözümlerini kullanır. Toplanan akıştan veriler ağ cihazları, EDR/XDR çözümleri veya Microsoft Sentinel gibi SIEM'ler gibi güvenlik çözümlerine uygulanacak şekilde seçilmiştir. Karşıya yükleme API'si, tehdit bilgileri STIX nesnelerini Microsoft Sentinel'e aktarmak için bu çözümleri kullanmanıza olanak tanır.

Karşıya yükleme API'sinin içeri aktarma yolunu gösteren diyagram.

Yeni karşıya yükleme API'sinde veri bağlayıcısı gerekmez ve aşağıdaki iyileştirmeler sunulur:

  • Tehdit göstergesi alanları STIX standartlaştırılmış biçimini temel alır.
  • Microsoft Entra uygulaması, Microsoft Sentinel Katkıda Bulunanı rolünü gerektirir.
  • API isteği uç noktasının kapsamı çalışma alanı düzeyindedir. Gerekli Microsoft Entra uygulama izinleri, çalışma alanı düzeyinde ayrıntılı atamaya izin verir.

Daha fazla bilgi için bkz . Karşıya yükleme API'sini kullanarak tehdit bilgileri platformunuzu bağlama

Tehdit Bilgileri Platformu veri bağlayıcısı ile Microsoft Sentinel'e tehdit bilgileri ekleme

Not

Bu veri bağlayıcısı artık kullanımdan kaldırılan bir yolda.

Karşıya yükleme API'sine çok benzer şekilde, Tehdit Bilgileri Platformu veri bağlayıcısı, ipucunuzun veya özel çözümünüzün Microsoft Sentinel'e tehdit bilgileri göndermesine olanak tanıyan bir API kullanır. Ancak, bu veri bağlayıcısı yalnızca göstergeler ile sınırlıdır ve artık kullanımdan kaldırılan bir yoldadır. Karşıya yükleme API'sinin sunduğu iyileştirmelerden yararlanmanızı öneririz.

TIP veri bağlayıcısı, diğer STIX nesnelerini desteklemeyen Microsoft Graph Security tiIndicators API'sini kullanır. Microsoft Sentinel'e (ve Defender XDR gibi diğer Microsoft güvenlik çözümlerine) gösterge göndermek için tiIndicators API'si ile iletişim kuran herhangi bir özel İPUCU ile kullanın.

Tehdit bilgileri içeri aktarma yolunu gösteren ekran görüntüsü.

Microsoft Sentinel ile tümleşik TIP çözümleri hakkında daha fazla bilgi için bkz . Tümleşik tehdit bilgileri platformu ürünleri. Daha fazla bilgi için bkz . Tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama.

Tehdit Bilgileri - TAXII veri bağlayıcısı ile Microsoft Sentinel'e tehdit bilgileri ekleme

Tehdit bilgileri iletimi için en yaygın olarak benimsenen endüstri standardı, STIX veri biçimi ile TAXII protokolünün bir bileşimidir. Kuruluşunuz, geçerli STIX/TAXII sürümünü (2.0 veya 2.1) destekleyen çözümlerden tehdit bilgileri alıyorsa tehdit bilgilerinizi Microsoft Sentinel'e getirmek için Tehdit Bilgileri - TAXII veri bağlayıcısını kullanın. Threat Intelligence - TAXII veri bağlayıcısı, Microsoft Sentinel'de yerleşik bir TAXII istemcisinin TAXII 2.x sunucularından tehdit bilgilerini içeri aktarmasını sağlar.

TAXII içeri aktarma yolunu gösteren ekran görüntüsü

STIX biçimli tehdit bilgilerini bir TAXII sunucusundan Microsoft Sentinel'e aktarmak için:

  1. TAXII sunucu API'si kök ve koleksiyon kimliğini alın.
  2. Microsoft Sentinel'de Tehdit Bilgileri - TAXII veri bağlayıcısını etkinleştirin.

Daha fazla bilgi için bkz . Microsoft Sentinel'i STIX/TAXII tehdit bilgileri akışlarına bağlama.

Tehdit zekası oluşturma ve yönetme

Microsoft Sentinel tarafından desteklenen tehdit bilgileri, Microsoft'un birleşik SecOps platformunda Microsoft Defender Tehdit Analizi (MDTI) ve Tehdit Analizi'nin yanında yönetilir.

Defender portalında intel yönetim sayfasını gösteren ekran görüntüsü.

Not

Azure portalındaki tehdit bilgilerine Microsoft Sentinel>Tehdit yönetimi>Tehdit bilgileri'nden erişmeye devam edilir.

En yaygın tehdit bilgileri görevlerinden ikisi, güvenlik araştırmalarıyla ilgili yeni tehdit bilgileri oluşturmak ve etiketler eklemektir. Yönetim arabirimi, birkaç temel özellik ile tek tek tehdit bilgilerini el ile hazırlama sürecini kolaylaştırır.

  • Gelen kaynaklardan gelen tehdit bilgilerini iyileştirmek için alım kurallarını yapılandırın.
  • Yeni STIX nesneleri oluştururken ilişkileri tanımlayın.
  • İlişki oluşturucusu ile mevcut TI'yi seçin.
  • Yinelenen özellik ile yeni veya mevcut bir TI nesnesinden ortak meta verileri kopyalayın.
  • Çoklu seçim ile nesnelere serbest biçimli etiketler ekleyin.

Aşağıdaki STIX nesneleri Microsoft Sentinel'de kullanılabilir: Seçenekleriyle birlikte yeni STIX nesneleri ekleme menüsünün ekran görüntüsü.

STIX nesnesi Açıklama
Tehdit aktörü Senaryo çocuklarından ulus devletlere kadar tehdit aktörü nesneleri motivasyonları, karmaşıklık ve kaynak sağlama düzeylerini açıklar.
Saldırı düzeni Teknikler, taktikler ve yordamlar olarak da bilinen saldırı desenleri, bir saldırının belirli bir bileşenini ve kullanıldığı MITRE ATT&CK aşamasını açıklar.
Gösterge Domain name, URL, IPv4 address, IPv6 addressve
File hashes
X509 certificates internet üzerinden güvenli iletişim için cihazların ve sunucuların kimliğini doğrulamak için kullanılır.

JA3 parmak izleri, TLS/SSL el sıkışma işleminden oluşturulan benzersiz tanımlayıcılardır. Ağ trafiğinde kullanılan belirli uygulamaları ve araçları tanımlamaya yardımcı olur ve kötü amaçlı etkinliklerin

JA3S parmak izlerini algılamayı kolaylaştırır ve parmak izi işlemine sunucuya özgü özellikleri de ekleyerek JA3'ün özelliklerini genişletir. Bu uzantı, ağ trafiğinin daha kapsamlı bir görünümünü sağlar ve hem istemci hem de sunucu tarafı tehditlerinin tanımlanmasına yardımcı olur.

User agents tarayıcı veya işletim sistemi gibi bir sunucuya istekte bulunan istemci yazılımı hakkında bilgi sağlar. Bunlar, ağa erişen cihazları ve uygulamaları tanımlama ve profil oluşturma konusunda yararlıdır.
Kimlik Kurbanları, kuruluşları ve diğer grupları veya bireyleri ve bunlarla en yakın ilişkili iş sektörlerini açıklama.
İlişki Tehdit bilgilerini birbirine bağlayan ve farklı sinyaller ve veri noktaları arasında bağlantı kurmaya yardımcı olan iş parçacıkları ilişkilerle açıklanır.

Alma kurallarını yapılandırma

Nesneleri çalışma alanınıza teslim etmeden önce filtreleyerek ve geliştirerek tehdit bilgileri akışlarını iyileştirin. Alma kuralları öznitelikleri güncelleştirir veya nesneleri birlikte filtreler. Aşağıdaki tabloda bazı kullanım örnekleri listeılmaktadır:

Alma kuralı kullanım örneği Açıklama
Gürültüyü azaltma Aynı zamanda düşük güvene sahip 6 ay boyunca güncelleştirilmeyen eski tehdit bilgilerini filtreleyin.
Geçerlilik tarihini uzat Güvenilir kaynaklardan gelen yüksek uygunluk GÇ'lerini Valid until 30 gün uzatarak yükseltin.
Eski günleri hatırla Yeni tehdit aktörü taksonomisi harika, ancak bazı analistler eski adları etiketlemek istiyor.

Kullanım örnekleriyle eşleşen dört alma kuralını gösteren ekran görüntüsü.

Alım kurallarını kullanmak için aşağıdaki ipuçlarını göz önünde bulundurun:

  • Tüm kurallar sırayla uygulanır. Alınan tehdit bilgileri nesneleri, bir Delete eylem gerçekleştirilene kadar her kural tarafından işlenir. Bir nesne üzerinde hiçbir eylem yapılmazsa, olduğu gibi kaynaktan alınır.
  • Eylem, Delete tehdit bilgileri nesnesinin alım için atlandığı ve işlem hattından kaldırıldığı anlamına gelir. Nesnenin zaten alınmış olan önceki sürümleri etkilenmez.
  • Yeni ve düzenlenmiş kuralların geçerlilik kazanması 15 dakika kadar sürer.

Daha fazla bilgi için bkz . Tehdit bilgileri alımı kurallarıyla çalışma.

İlişki oluşturma

İlişki oluşturucusu ile nesneler arasında bağlantı kurarak tehdit algılamayı ve yanıtı geliştirin. Aşağıdaki tabloda kullanım örneklerinden bazıları listelemektedir:

İlişki kullanım örneği Açıklama
Tehdit aktörü saldırı düzenine bağlama Tehdit aktörü APT29, ilk erişim elde etmek için saldırı düzenini Phishing via Email kullanır.
Göstergeyi bir tehdit aktörüyle ilişkilendirme Etki alanı göstergesi allyourbase.contoso.com tehdit aktörü APT29ile ilişkilendirilir.
Kimliği (kurban) saldırı düzeniyle ilişkilendirme Saldırı düzeni Phishing via Email kuruluşu hedeflerFourthCoffee.

Aşağıdaki görüntüde ilişki oluşturucusunun bu kullanım örneklerinin tümünü nasıl bağlamış olduğu gösterilmektedir.

Oluşturulan örnek ilişkiyi gösteren ekran görüntüsü.

Tehdit bilgilerini küratöre ekleme

Traffic Light Protocol (TLP) adlı bir duyarlılık düzeyi ekleyerek uygun hedef kitlelerle paylaşılabilen TI nesnelerini yapılandırın.

TLP rengi Duyarlılık
Beyaz Bilgiler herhangi bir kısıtlama olmadan serbestçe ve herkese açık bir şekilde paylaşılabilir.
Yeşil Bilgiler topluluk içindeki eşler ve iş ortağı kuruluşlarla paylaşılabilir, ancak herkese açık olarak paylaşılamaz. Topluluk içinde daha geniş bir kitleye yöneliktir.
Bal Rengi Bilgiler kuruluş üyeleriyle paylaşılabilir, ancak genel olarak paylaşılamaz. Hassas bilgileri korumak için kuruluş içinde kullanılması amaçlanmıştır.
Kırmızı Bilgiler son derece hassastır ve başlangıçta açıklandığı belirli bir grup veya toplantı dışında paylaşılmamalıdır.

Kullanıcı arabiriminde TI nesneleri oluştururken veya düzenlerken TLP değerlerini ayarlayın. TLP'yi API aracılığıyla ayarlamak daha az sezgiseldir ve dört marking-definition nesne GUID'lerinden birini seçmenizi gerektirir. TLP'yi API aracılığıyla yapılandırma hakkında daha fazla bilgi için bkz . Karşıya yükleme API'sinin Ortak özellikleri'ndeki object_marking_refs

TI'yi küratör olarak belirlemenin bir diğer yolu da etiketlerdir. Tehdit bilgilerini etiketlemek, nesneleri bulmayı kolaylaştırmak için birlikte gruplandırmanın hızlı bir yoludur. Genellikle belirli bir olayla ilgili etiketler uygulayabilirsiniz. Ancak, bir nesne bilinen belirli bir aktörden veya iyi bilinen bir saldırı kampanyasından gelen tehditleri temsil ediyorsa etiket yerine ilişki oluşturmayı göz önünde bulundurun. Üzerinde çalışmak istediğiniz tehdit bilgilerini arayıp filtreledikten sonra bunları tek tek veya çoklu seçimle etiketleyin ve hepsini bir kerede etiketleyin. Etiketleme serbest biçimli olduğundan tehdit bilgileri etiketleri için standart adlandırma kuralları oluşturmanızı öneririz.

Daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit bilgileriyle çalışma.

Tehdit zekanızı görüntüleme

Tehdit bilgilerinizi yönetim arabiriminden görüntüleyin. Log Analytics sorgusu yazmadan tehdit bilgileri nesnelerinizi sıralamak ve filtrelemek için gelişmiş aramayı kullanın.

Kaynak ve güvenilirlik koşullarının seçili olduğu gelişmiş bir arama arabirimini gösteren ekran görüntüsü.

Microsoft Sentinel özellikli Log Analytics çalışma alanında depolanan göstergelerinizi görüntüleyin. ThreatIntelligenceIndicator Microsoft Sentinel şemasının altındaki tablo, tüm Microsoft Sentinel tehdit göstergelerinizin depolandığı yerdir. Bu tablo analiz, tehdit avcılığı sorguları ve çalışma kitapları gibi diğer Microsoft Sentinel özellikleri tarafından gerçekleştirilen tehdit bilgileri sorgularının temelini oluşturur.

Önemli

Yeni STIX nesne şemasını destekleyen tablolar özel önizleme aşamasındadır. Sorgulardaki STIX nesnelerini görüntülemek ve bunları kullanan avlanma modelinin kilidini açmak için bu formu kabul etmek isteyin. Bu kabul etme işlemiyle tehdit bilgilerinizi yeni tablolara ThreatIntelIndicator ve ThreatIntelObjectsgeçerli tabloyla ThreatIntelligenceIndicatorbirlikte veya yerine alın.

Burada, geçerli tabloyu kullanan yalnızca tehdit göstergelerine yönelik temel bir sorgunun örnek bir görünümü verilmiş.

ThreatIntelligenceIndicator tablosunun örnek sorgusunu içeren Günlükler sayfasını gösteren ekran görüntüsü.

Tehdit bilgileri göstergeleri Log Analytics çalışma alanınızın tablosuna ThreatIntelligenceIndicator salt okunur olarak alınır. Bir gösterge her güncelleştirildiğinde, tabloda yeni bir giriş ThreatIntelligenceIndicator oluşturulur. Yönetim arabiriminde yalnızca en güncel gösterge görüntülenir. Microsoft Sentinel, ve SourceSystem özelliklerine göre IndicatorId göstergeleri yinelenenleri kaldırıyor ve en TimeGenerated[UTC]yeni olan göstergeyi seçiyor.

IndicatorId özelliği STIX gösterge kimliği kullanılarak oluşturulur. Göstergeler STIX olmayan kaynaklardan içeri aktarıldığında veya oluşturulduğunda, IndicatorId göstergenin kaynağından ve deseninden oluşturulur.

Daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit bilgileriyle çalışma.

Coğrafi Konum ve WhoIs veri zenginleştirmelerinizi görüntüleme (genel önizleme)

Microsoft, seçilen IOC'nin bulunduğu araştırmalara daha fazla bağlam sağlamak için IP ve etki alanı göstergelerini ek GeoLocation ve WhoIs verilerle zenginleştirir.

Microsoft Sentinel'e aktarılan bu tür tehdit göstergeleri için Tehdit Bilgileri bölmesindeki verileri görüntüleyin ve WhoIs görüntüleyinGeoLocation.

Örneğin, bir IP göstergesi için kuruluş, ülke veya bölge gibi bilgileri bulmak için verileri kullanın GeoLocation . Bir etki alanı göstergesinden kayıt şirketi ve kayıt oluşturma verileri gibi verileri bulmak için verileri kullanın WhoIs .

Tehdit göstergesi analiziyle tehditleri algılama

Microsoft Sentinel gibi SIEM çözümlerinde tehdit analizi için en önemli kullanım örneği, tehdit algılamaya yönelik power analytics kurallarıdır. Bu gösterge tabanlı kurallar, kuruluşunuzdaki güvenlik tehditlerini algılamak için veri kaynaklarınızdaki ham olayları tehdit göstergelerinizle karşılaştırır. Microsoft Sentinel Analytics'te, bir zamanlamaya göre çalışan sorgularla desteklenen analiz kuralları oluşturur ve güvenlik uyarıları oluşturursunuz. Yapılandırmaların yanı sıra kuralın ne sıklıkta çalışması gerektiğini, ne tür sorgu sonuçlarının güvenlik uyarıları ve olayları oluşturması gerektiğini ve isteğe bağlı olarak otomatik yanıtın ne zaman tetikleneceğini belirler.

Her zaman sıfırdan yeni analiz kuralları oluşturabilirsiniz ancak Microsoft Sentinel, tehdit göstergelerinizden yararlanmak için Microsoft güvenlik mühendisleri tarafından oluşturulan bir dizi yerleşik kural şablonu sağlar. Bu şablonlar, eşleştirmek istediğiniz tehdit göstergelerinin türünü (etki alanı, e-posta, dosya karması, IP adresi veya URL) ve veri kaynağı olaylarını temel alır. Her şablon, kuralın çalışması için gereken kaynakları listeler. Bu bilgiler, gerekli olayların Microsoft Sentinel'de zaten içeri aktarılıp aktarılmadığını belirlemeyi kolaylaştırır.

Varsayılan olarak, bu yerleşik kurallar tetiklendiğinde bir uyarı oluşturulur. Microsoft Sentinel'de analiz kurallarından oluşturulan uyarılar da güvenlik olayları oluşturur. Microsoft Sentinel menüsündeki Tehdit yönetimi'nin altında Olaylar'ı seçin. Güvenlik operasyonları ekiplerinizin uygun yanıt eylemlerini belirlemek için önceliklendirme ve araştırma yaptıkları olaylardır. Daha fazla bilgi için bkz . Öğretici: Microsoft Sentinel ile olayları araştırma.

Analiz kurallarınızda tehdit göstergelerini kullanma hakkında daha fazla bilgi için bkz . Tehditleri algılamak için tehdit bilgilerini kullanma.

Microsoft, Defender Tehdit Bilgileri analiz kuralı aracılığıyla tehdit bilgilerine erişim sağlar. Yüksek kaliteli uyarılar ve olaylar oluşturan bu kuraldan nasıl yararlanacağı hakkında daha fazla bilgi için bkz . Tehditleri algılamak için eşleşen analiz kullanma.

Defender Tehdit Bilgileri'nden daha fazla bağlam bilgileriyle eşleşen analizler tarafından oluşturulan yüksek aslına uygunluk olayını gösteren ekran görüntüsü.

Çalışma kitapları tehdit zekanız hakkında içgörüler sağlar

Çalışma kitapları, Microsoft Sentinel'in tüm yönleriyle ilgili içgörüler sağlayan güçlü etkileşimli panolar sağlar ve tehdit bilgileri özel bir durum değildir. Tehdit bilgileri hakkındaki önemli bilgileri görselleştirmek için yerleşik Tehdit Bilgileri çalışma kitabını kullanın. Çalışma kitabını iş gereksinimlerinize göre özelleştirin. Verilerinizi benzersiz şekillerde görselleştirmenize yardımcı olmak için birçok veri kaynağını birleştirerek yeni panolar oluşturun.

Microsoft Sentinel çalışma kitapları Azure İzleyici çalışma kitaplarını temel alındığından, kapsamlı belgeler ve daha birçok şablon zaten mevcuttur. Daha fazla bilgi için bkz . Azure İzleyici çalışma kitaplarıyla etkileşimli raporlar oluşturma.

GitHub'da Daha fazla şablon indirip kendi şablonlarınıza katkıda bulunabileceğiniz Azure İzleyici çalışma kitapları için zengin bir kaynak da vardır.

Tehdit Bilgileri çalışma kitabını kullanma ve özelleştirme hakkında daha fazla bilgi için bkz. Tehdit bilgilerini çalışma kitaplarıyla görselleştirme.

İlgili içerik

Bu makalede, Microsoft Sentinel tarafından desteklenen tehdit bilgileri özellikleri hakkında bilgi edindi. Daha fazla bilgi için aşağıdaki makaleleri inceleyin: