Aracılığıyla paylaş

Microsoft Sentinel tehdit bilgileriyle çalışma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tehdit zekasının kolay oluşturulması ve yönetilmesi ile tehdit algılama ve düzeltmeyi hızlandırın. Bu makalede, ister Azure portalında ister Defender portalında Microsoft Sentinel'den erişiyor olun, yönetim arabiriminde tehdit bilgileri tümleştirmesinden nasıl en iyi şekilde nasıl en iyi şekilde erişileceği gösterilmektedir.

  • Yapılandırılmış tehdit bilgileri ifadesini (STIX) kullanarak tehdit bilgileri nesneleri oluşturma
  • Görüntüleme, curating ve görselleştirerek tehdit zekasını yönetme

Önemli

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Yönetim arabirimine erişme

Tehdit bilgileriyle çalışmak istediğiniz yere bağlı olarak aşağıdaki sekmelerden birine başvurun. Hangi portalı kullandığınıza bağlı olarak yönetim arabirimine farklı bir şekilde erişilmiş olsa da, oluşturma ve yönetim görevleri oraya vardığınızda aynı adımlara sahiptir.

Defender portalında Tehdit bilgileri>Intel yönetimi'ne gidin.

Defender portalında intel management menü öğesini gösteren ekran görüntüsü.

Tehdit bilgileri oluşturma

STIX nesneleri oluşturmak ve gösterge etiketleme ve nesneler arasında bağlantı kurma gibi diğer yaygın tehdit bilgileri görevlerini gerçekleştirmek için yönetim arabirimini kullanın.

  • Yeni STIX nesneleri oluştururken ilişkileri tanımlayın.
  • Meta verileri yeni veya mevcut bir TI nesnesinden kopyalamak için yinelenen özelliği kullanarak birden çok nesneyi hızla oluşturun.

Desteklenen STIX nesneleri hakkında daha fazla bilgi için bkz . Tehdit bilgilerini anlama.

Yeni stix nesnesi oluşturma

  1. Yeni TI nesnesi ekle'yi>seçin.

    Yeni bir tehdit göstergesi eklemeyi gösteren ekran görüntüsü.

  2. Nesne türünü seçin, ardından Yeni TI nesnesi sayfasındaki formu doldurun. Gerekli alanlar kırmızı yıldız (*) ile işaretlenir.

  3. TI nesnesine bir duyarlılık değeri veya Trafik ışığı protokolü (TLP) derecelendirmesi belirlemeyi göz önünde bulundurun. Değerlerin temsili hakkında daha fazla bilgi için bkz . Tehdit bilgilerini belirleme.

  4. Bu nesnenin başka bir tehdit bilgileri nesnesiyle ilişkisini biliyorsanız, İlişki türü ve Hedef başvurusuyla bağlantıyı belirtin.

  5. Tek bir nesne için Ekle'yi veya aynı meta verilerle daha fazla öğe oluşturmak istiyorsanız Ekle ve çoğalt'ı seçin. Aşağıdaki görüntüde, çoğaltılan her STIX nesnesinin meta verilerinin ortak bölümü gösterilmektedir.

Yeni STIX nesnesi oluşturmayı ve tüm nesneler için kullanılabilen ortak meta verileri gösteren ekran görüntüsü.

Tehdit bilgilerini yönetme

Alma kurallarıyla kaynaklarınızdaki TI'leri iyileştirin. İlişki oluşturucusu ile mevcut TI'yi seçin. Tehdit bilgilerinizde arama yapmak, filtrelemek ve sıralamak ve ardından etiketler eklemek için yönetim arabirimini kullanın.

Tehdit bilgileri akışlarını alma kurallarıyla iyileştirme

TI akışlarınızdaki gürültüyü azaltın, yüksek değerli göstergelerin geçerliliğini genişletin ve gelen nesnelere anlamlı etiketler ekleyin. Bunlar, alım kuralları için kullanım örneklerinden yalnızca bazılarıdır. Yüksek değerli göstergelerde geçerlilik tarihini uzatma adımları aşağıdadır.

  1. Var olan kuralları görüntülemek ve yeni kural mantığı oluşturmak üzere yepyeni bir sayfa açmak için Alma kuralları'na tıklayın.

    Alma kurallarının üzerine gelinen tehdit bilgileri yönetimi menüsünü gösteren ekran görüntüsü.

  2. Kuralınız için açıklayıcı bir ad girin. Alma kuralları sayfasında ad için çok fazla kural vardır, ancak kurallarınızı düzenlemeden ayırt etmek için kullanılabilecek tek metin açıklamasıdır.

  3. Nesne türünü seçin. Bu kullanım örneği, yalnızca nesne türleri için Indicator kullanılabilen özelliğini genişletmeyi Valid from temel alır.

  4. için SourceEquals koşul ekleyin ve yüksek değerinizi Sourceseçin.

  5. için ConfidenceGreater than or equal koşul ekleyin ve bir Confidence puan girin.

  6. Eylem'i seçin. Bu göstergeyi değiştirmek istediğimiz için öğesini seçin Edit.

  7. için EylemValid untilekle'yi Extend byseçin ve gün olarak bir zaman aralığı seçin.

  8. Gibi Extendedbu göstergelere yerleştirilen yüksek değeri belirtmek için bir etiket eklemeyi göz önünde bulundurun. Değiştirme tarihi alma kuralları tarafından güncelleştirilmez.

  9. Kuralın çalıştırmasını istediğiniz Sıra'ya tıklayın. Kurallar en düşük sipariş numarasından en yükseğe kadar çalışır. Her kural alınan her nesneyi değerlendirir.

  10. Kural etkinleştirilmeye hazırsa Durum'a geçin.

  11. Alma kuralını oluşturmak için Ekle'yi seçin.

Geçerli tarihe kadar uzatmak için yeni alma kuralı oluşturmayı gösteren ekran görüntüsü.

Daha fazla bilgi için bkz . Tehdit bilgileri alımı kurallarını anlama.

İlişki oluşturucusu ile tehdit bilgilerini küratöre ekleme

Tehdit bilgileri nesnelerini ilişki oluşturucuyla bağlayın. Oluşturucuda aynı anda en fazla 20 ilişki vardır, ancak birden çok yineleme aracılığıyla ve yeni nesneler için ilişki hedefi başvuruları ekleyerek daha fazla bağlantı oluşturulabilir.

  1. Tek nesnenin göstergeler gibi bir veya daha fazla nesneye bağlandığı tehdit aktörü veya saldırı deseni gibi bir nesneyle başlayın.

  2. İlişki türünü, aşağıdaki tabloda ve STIX 2.1 başvuru ilişkisi özet tablosunda özetlenen en iyi yöntemlere göre ekleyin:

İlişki türü Açıklama
İlişkili olan

Türetilen		 Herhangi bir STIX etki alanı nesnesi (SDO) için tanımlanan ortak ilişkiler
Daha fazla bilgi için bkz . Ortak ilişkiler hakkında STIX 2.1 başvurusu
Hedefler Attack pattern veya Threat actor Hedefler Identity
Kullanır Threat actor Kullanır Attack pattern
Öznitelik: Threat actor Öznitelik: Identity
Gösterir Indicatorveya Attack patternThreat actor
Taklit Threat actor Taklit Identity

Aşağıdaki görüntüde, ilişki türü tablosunu kullanarak bir tehdit aktörü ile saldırı düzeni, göstergesi ve kimliği arasında yapılan bağlantılar gösterilmektedir.

İlişki oluşturucusunu gösteren ekran görüntüsü.

Tehdit bilgilerinizi yönetim arabiriminde görüntüleme

Log Analytics sorgusu yazmadan alındıkları kaynaktan gelen tehdit bilgilerini sıralamak, filtrelemek ve aramak için yönetim arabirimini kullanın.

  1. Yönetim arabiriminde Ne aramak istiyorsunuz? menüsünü genişletin.

  2. BIR STIX nesne türü seçin veya varsayılan Tüm nesne türlerini bırakın.

  3. Mantıksal işleçleri kullanarak koşulları seçin.

  4. Hakkında daha fazla bilgi görmek istediğiniz nesneyi seçin.

Aşağıdaki görüntüde, bir gruba yerleştirilerek OR arama yapmak için birden çok kaynak kullanılırken, işleçle AND birlikte birden çok koşul gruplandırılmıştır.

Tehdit bilgilerini aramak için birden çok AND koşuluyla birlikte bir VEYA işlecini gösteren ekran görüntüsü.

Microsoft Sentinel, tehdit bilginizin yalnızca en güncel sürümünü bu görünümde görüntüler. Nesnelerin nasıl güncelleştirildiğini hakkında daha fazla bilgi için bkz . Tehdit bilgilerini anlama.

IP ve etki alanı adı göstergeleri ek GeoLocation ve WhoIs verilerle zenginleştirilmiştir, böylece göstergenin bulunduğu araştırmalarda daha fazla bağlam sağlayabilirsiniz.

Aşağıda bir örnek verilmiştir.

Coğrafi Konum ve WhoIs verilerini gösteren bir gösterge içeren Tehdit bilgileri sayfasını gösteren ekran görüntüsü.

Önemli

GeoLocation ve WhoIs zenginleştirme şu anda önizleme aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Olan Azure özellikleri için geçerli olan daha fazla yasal hüküm içerir.

Tehdit bilgilerini etiketleme ve düzenleme

Tehdit bilgilerini etiketlemek, nesneleri bulmayı kolaylaştırmak için birlikte gruplandırmanın hızlı bir yoludur. Genellikle belirli bir olayla ilgili etiketler uygulayabilirsiniz. Ancak, bir nesne bilinen belirli bir aktörden veya iyi bilinen bir saldırı kampanyasından gelen tehditleri temsil ediyorsa etiket yerine ilişki oluşturmayı göz önünde bulundurun.

  1. Tehdit bilgilerinizi sıralamak, filtrelemek ve aramak için yönetim arabirimini kullanın.
  2. Çalışmak istediğiniz nesneleri buldukten sonra, aynı türde bir veya daha fazla nesne seçerek birden çok seçim yapın.
  3. Etiket ekle'yi seçin ve hepsini bir veya daha fazla etiketle aynı anda etiketleyin.
  4. Etiketleme serbest biçimli olduğundan, kuruluşunuzdaki etiketler için standart adlandırma kuralları oluşturmanızı öneririz.

Tehdit bilgilerini, ister doğrudan Microsoft Sentinel'de ister TIP ve TAXII sunucuları gibi iş ortağı kaynaklarından oluşturulan her seferinde bir nesne düzenleyin. Yönetim arabiriminde oluşturulan tehdit bilgileri için tüm alanlar düzenlenebilir. İş ortağı kaynaklarından alınan tehdit bilgileri için etiketler, Süre Sonu tarihi, Güvenilirlik ve İptal Edildi gibi yalnızca belirli alanlar düzenlenebilir. Her iki durumda da, yönetim arabiriminde nesnenin yalnızca en son sürümü görüntülenir.

Tehdit bilgilerini güncelleştirme hakkında daha fazla bilgi için bkz . Tehdit zekanızı görüntüleme.

Sorgularla göstergelerinizi bulma ve görüntüleme

Bu yordam, tehdit göstergelerinizi almak için kullandığınız kaynak akış veya yöntemden bağımsız olarak diğer Microsoft Sentinel olay verileriyle birlikte Log Analytics'te nasıl görüntüleyebileceğinizi açıklar.

Tehdit göstergeleri Microsoft Sentinel ThreatIntelligenceIndicator tablosunda listelenir. Bu tablo Analiz, Tehdit Avcılığı ve Çalışma Kitapları gibi diğer Microsoft Sentinel özellikleri tarafından gerçekleştirilen tehdit bilgileri sorgularının temelini oluşturur.

Tehdit bilgileri göstergelerinizi görüntülemek için:

  1. Azure portalında Microsoft Sentinel için Genel'in altında Günlükler'i seçin.

    Defender portalında Microsoft Sentinel için Araştırma ve yanıt>Avcılığı Gelişmiş avcılığı'nı> seçin.

  2. Tablo ThreatIntelligenceIndicator Microsoft Sentinel grubunun altında yer alır.

  3. Tablo adının yanındaki Önizleme verileri simgesini (göz) seçin. Bu tablodaki kayıtları gösteren bir sorgu çalıştırmak için Sorgu düzenleyicisinde görüntüle'yi seçin.

    Sonuçlarınız burada gösterilen örnek tehdit göstergesine benzer olmalıdır.

    Ayrıntıları genişletilmiş örnek ThreatIntelligenceIndicator tablosu sonuçlarını gösteren ekran görüntüsü.

Tehdit zekanızı çalışma kitaplarıyla görselleştirme

Microsoft Sentinel'de tehdit bilgilerinizle ilgili önemli bilgileri görselleştirmek ve çalışma kitabını iş gereksinimlerinize göre özelleştirmek için amaca yönelik olarak oluşturulmuş bir Microsoft Sentinel çalışma kitabı kullanın.

Microsoft Sentinel'de sağlanan tehdit bilgileri çalışma kitabını bulma ve özelleştirmek için çalışma kitabında düzenleme yapma örneği aşağıda verilmiştir.

  1. Azure portalından Microsoft Sentinel'e gidin.

  2. Tehdit bilgileri veri bağlayıcısını kullanarak tehdit göstergelerini içeri aktardığınız çalışma alanını seçin.

  3. Microsoft Sentinel menüsünün Tehdit yönetimi bölümünde Çalışma Kitapları'nı seçin.

  4. Tehdit Analizi başlıklı çalışma kitabını bulun. Tabloda veri ThreatIntelligenceIndicator olduğunu doğrulayın.

    Verileriniz olduğunu doğrulamayı gösteren ekran görüntüsü.

  5. Kaydet'i seçin ve çalışma kitabının depolandığı bir Azure konumu seçin. Çalışma kitabını herhangi bir şekilde değiştirmek ve değişikliklerinizi kaydetmek istiyorsanız bu adım gereklidir.

  6. Şimdi kaydedilen çalışma kitabını görüntüle'yi seçerek çalışma kitabını görüntülemek ve düzenlemek üzere açın.

  7. Şimdi şablon tarafından sağlanan varsayılan grafikleri görmeniz gerekir. Grafiği değiştirmek için sayfanın üst kısmındaki Düzenle'yi seçerek çalışma kitabının düzenleme modunu başlatın.

  8. Tehdit türüne göre yeni bir tehdit göstergeleri grafiği ekleyin. Sayfanın en altına kaydırın ve Sorgu Ekle'yi seçin.

  9. Log Analytics çalışma alanı Günlük Sorgusu metin kutusuna aşağıdaki metni ekleyin:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Yukarıdaki örnekte kullanılan aşağıdaki öğeler hakkında kusto belgelerinde daha fazla bilgi bulabilirsiniz:

  10. Görselleştirme açılan menüsünde Çubuk grafik'i seçin.

  11. Düzenleme tamamlandı'yı seçin ve çalışma kitabınız için yeni grafiği görüntüleyin.

    Çalışma kitabı için çubuk grafiği gösteren ekran görüntüsü.

Çalışma kitapları, Microsoft Sentinel'in tüm yönleriyle ilgili içgörüler sağlayan güçlü etkileşimli panolar sağlar. Çalışma kitaplarıyla birçok görev yapabilirsiniz ve sağlanan şablonlar harika bir başlangıç noktasıdır. Verilerinizi benzersiz şekillerde görselleştirmek için birçok veri kaynağını birleştirerek şablonları özelleştirin veya yeni panolar oluşturun.

Microsoft Sentinel çalışma kitapları Azure İzleyici çalışma kitaplarını temel alır, bu nedenle kapsamlı belgeler ve daha birçok şablon kullanılabilir. Daha fazla bilgi için bkz . Azure İzleyici çalışma kitaplarıyla etkileşimli raporlar oluşturma.

GitHub'da Daha fazla şablon indirip kendi şablonlarınıza katkıda bulunabileceğiniz Azure İzleyici çalışma kitapları için zengin bir kaynak da vardır.

İlgili içerik

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

Diğer kaynaklar: