Aracılığıyla paylaş

Microsoft Sentinel verileri içeren gelişmiş avcılık sonuçlarıyla çalışma

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Sonuçları keşfetme

Microsoft Defender portalında sonuç satırlarını genişletme seçenekleriyle gelişmiş avcılık sonuçlarının ekran görüntüsü

Sonuçları aşağıdaki özelliklerle uyumlu olarak da inceleyebilirsiniz:

  • Her sonucun sol tarafındaki açılan oku seçerek sonucu genişletin.
  • Uygun olduğunda, ek okunabilirlik için geçerli sonuç satırının sol tarafındaki açılan oku seçerek JSON veya dizi biçimindeki sonuçların ayrıntılarını genişletin.
  • Bir kaydın ayrıntılarını (genişletilmiş satırlarla eşzamanlı) görmek için yan bölmeyi açın.

Ayrıca, satırdaki herhangi bir sonuç değerine sağ tıklayarak da bunu kullanarak şunları yapabilirsiniz:

  • Mevcut sorguya daha fazla filtre ekleme
  • Daha fazla araştırmada kullanılacak değeri kopyalayın
  • JSON alanını yeni bir sütuna genişletmek için sorguyu güncelleştirme

Microsoft Defender XDR veriler için, her sonuç satırının solundaki onay kutularını seçerek daha fazla işlem yapabilirsiniz. Seçilen sonuçları bir olaya bağlamak için Olaya bağla'ya tıklayın ( sorgu sonuçlarını olaya bağlama bölümünü okuyun) veya Eylem gerçekleştirme sihirbazını açmak için Eylemler gerçekleştirme 'yi seçin ( gelişmiş tehdit avcılığı sorgu sonuçlarında eylem gerçekleştirme bölümünü okuyun).

Araştırma aşamasındaki yeni veya mevcut bir olaya gelişmiş tehdit avcılığı sorgusu sonuçları eklemek için olay bağlantısını kullanabilirsiniz. Bu özellik, gelişmiş tehdit avcılığı etkinliklerindeki kayıtları kolayca yakalamanıza yardımcı olur ve bu sayede bir olayla ilgili daha zengin bir zaman çizelgesi veya olay bağlamı oluşturabilirsiniz.

  1. Gelişmiş tehdit avcılığı sorgusu bölmesinde sorgunuzu sağlanan sorgu alanına girin ve ardından Sonuçlarınızı almak için Sorguyu çalıştır'ı seçin. Microsoft Defender portalındaki gelişmiş avlanma sayfasının ekran görüntüsü

  2. Sonuçlar sayfasında, üzerinde çalıştığınız yeni veya geçerli araştırmayla ilgili olayları veya kayıtları seçin, ardından Olaya bağla'yı seçin. Microsoft Defender portalında gelişmiş avcılıkta olay özelliğinin bağlantısının ekran görüntüsü

  3. Olay bağlantısı bölmesindeki Uyarı ayrıntıları bölümünde Yeni olay oluştur'u seçerek olayları uyarılara dönüştürün ve bunları yeni bir olaya gruplandırın:

    Seçili kayıtları var olan bir olaya eklemek için Var olan bir olaya bağla'ya da tıklayabilirsiniz. Mevcut olayların açılan listesinden ilgili olayı seçin. İstediğiniz olayı bulmak için olay adının veya kimliğin ilk birkaç karakterini de girebilirsiniz.
    Microsoft Defender portalında kayıtlı sorgularda kullanılabilen seçeneklerin ekran görüntüsü

  4. Her iki seçim için de aşağıdaki ayrıntıları sağlayın ve İleri'yi seçin:

    • Uyarı başlığı – Olay yanıtlayıcılarınızın anlayabileceği sonuçlar için açıklayıcı bir başlık; bu açıklayıcı başlık uyarı başlığı olur
    • Önem Derecesi – Uyarı grubu için geçerli olan önem derecesini seçin
    • Kategori – Uyarılar için uygun tehdit kategorisini seçin
    • Açıklama – Gruplandırılmış uyarıların yararlı bir açıklamasını sağlayın
    • Önerilen eylemler – Olayı araştıran güvenlik analistleri için önerilen düzeltme eylemlerini listeleyin

  5. Varlıklar bölümünde, şüpheli olaylara dahil olan varlıkları seçin. Bu varlıklar, diğer uyarıları bağlantılı olayla ilişkilendirmek için kullanılır ve olay sayfasından görülebilir.

    Microsoft Defender XDR veriler için varlıklar otomatik olarak seçilir. Veriler Microsoft Sentinel'dan geliyorsa varlıkları el ile seçmeniz gerekir.

    Varlıkları seçebileceğiniz iki bölüm vardır:

    a. Etkilenen varlıklar – Seçili olaylarda görünen etkilenen varlıklar buraya eklenmelidir. Aşağıdaki varlık türleri eklenebilir:

    • Hesap
    • Cihaz
    • Posta kutusu
    • Bulut uygulaması
    • Azure kaynağı
    • Amazon Web Services kaynağı
    • Google Cloud Platform kaynağı

    b. İlgili kanıt – Seçili olaylarda görünen varlık dışı varlıklar bu bölüme eklenebilir. Desteklenen varlık türleri şunlardır:

    • İşlem
    • Dosya
    • Kayıt defteri değeri
    • IP
    • OAuth uygulaması
    • DNS
    • Güvenlik grubu
    • URL
    • Posta kümesi
    • Posta iletisi

Not

Yalnızca XDR verilerini içeren sorgular için yalnızca XDR tablolarında kullanılabilen varlık türleri gösterilir.

  1. Bir varlık türü seçildikten sonra, bu varlığı tanımlamak için kullanılabilmesi için seçili kayıtlarda var olan bir tanımlayıcı türü seçin. Her varlık türü, ilgili açılan listede görülebileceği gibi desteklenen tanımlayıcıların bir listesine sahiptir. Daha iyi anlamak için her tanımlayıcının üzerine gelindiğinde görüntülenen açıklamayı okuyun.

  2. Tanımlayıcıyı seçtikten sonra, sorgu sonuçlarından seçili tanımlayıcıyı içeren bir sütun seçin. Gelişmiş tehdit avcılığı bağlam panelini açmak için Sorguyu ve sonuçları keşfet'i seçebilirsiniz. Bu, seçili tanımlayıcı için doğru sütunu seçtiğinizden emin olmak için sorgunuzu ve sonuçlarınızı incelemenize olanak tanır.
    Microsoft Defender portalında olay sihirbazı varlıkları dalının bağlantısının ekran görüntüsü
    Örneğimizde, olası bir e-posta sızdırma olayıyla ilgili olayları bulmak için bir sorgu kullandık, bu nedenle alıcının posta kutusu ve alıcının hesabı etkilenen varlıklardır ve gönderenin IP'sinin yanı sıra e-posta iletisi de ilgili kanıtlardır.

    Microsoft Defender portalında olay sihirbazı tam varlıklar dalının bağlantısının ekran görüntüsü

    Etkilenen varlıkların benzersiz bir birleşimiyle her kayıt için farklı bir uyarı oluşturulur. Örneğimizde, örneğin üç farklı alıcı posta kutusu ve alıcı nesne kimliği bileşimi varsa, üç uyarı oluşturulur ve seçilen olaya bağlanır.

  3. İleri'yi seçin.

  4. Özet bölümünde sağladığınız ayrıntıları gözden geçirin.

  5. Bitti'yi seçin.

Olaydaki bağlantılı kayıtları görüntüleme

Oluşturulan bağlantıyı sihirbazın özet adımından seçebilir veya olayların bağlandığı olayı görüntülemek için olay kuyruğundan olay adını seçebilirsiniz.

Microsoft Defender portalındaki olay bağlantısı sihirbazındaki özet adımının ekran görüntüsü

Örneğimizde, seçilen üç olayı temsil eden üç uyarı yeni bir olaya başarıyla bağlandı. Uyarı sayfalarının her birinde, olay veya olaylar hakkındaki tüm bilgileri zaman çizelgesi görünümünde (varsa) ve sorgu sonuçları görünümünde bulabilirsiniz.

Ayrıca zaman çizelgesi görünümünden veya sorgu sonuçları görünümünden olayı seçerek Kaydı incele bölmesini açabilirsiniz.

Microsoft Defender portalındaki olay sayfasının ekran görüntüsü

Gelişmiş avcılık kullanılarak eklenen olaylar için filtre uygulama

Olayları ve uyarıları El ile algılama kaynağına göre filtreleyerek gelişmiş tehdit avcılığından hangi uyarıların oluşturulduğunu görüntüleyebilirsiniz.

Microsoft Defender portalında gelişmiş avcılıkta filtre açılan listesinin ekran görüntüsü