Microsoft'un birleşik güvenlik operasyonları platformunda servis taleplerini yerel olarak yönetme
Olay yönetimi, Microsoft'un birleşik güvenlik işlemleri (SecOps) platformuna eklediğinizde güvenlik çalışmalarını yönetmeye yönelik yeni özelliklerin ilk yüklemesidir.
Birleşik, güvenlik odaklı bir olay yönetimi deneyimi sunmaya yönelik bu ilk adım, SecOps iş yükleri arasında zengin işbirliği, özelleştirme, kanıt toplama ve raporlamayı merkezileştirir. SecOps ekipleri güvenlik bağlamını korur, daha verimli çalışır ve Defender portalından çıkmadan olay çalışmalarını yönetirken saldırılara daha hızlı yanıt verir.
Önemli
Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Olay yönetimi (Önizleme) nedir?
Olay yönetimi, Defender portalında SecOps servis taleplerini yerel olarak yönetmenizi sağlar. Desteklenen ilk senaryo ve özellik kümesi aşağıdadır.
- Özel durum değerleriyle kendi servis talebi iş akışınızı tanımlama
- Ortak çalışanlara görev atama ve son tarihleri yapılandırma
- Birden çok olayı bir servis talebine bağlayarak yükseltmeleri ve karmaşık durumları işleme
- RBAC kullanarak servis taleplerinize erişimi yönetme
Örnek olay yönetiminin bu temelini oluştururken, bu çözümü geliştirdikçe bu ek güçlü özelliklerin önceliklerini oluşturuyoruz:
- Otomasyon
- Çok kiracılı destek
- Eklenecek daha fazla kanıt
- İş akışı özelleştirmesi
- Diğer Defender portalı tümleştirmeleri
Gereksinimler
Olay yönetimi Defender portalında mevcuttur ve bunu kullanmak için bağlı bir Microsoft Sentinel çalışma alanınız olmalıdır. Azure portal servis talebine erişim yok.
Daha fazla bilgi için bkz. Microsoft Sentinel Defender portalına bağlama.
Olay yönetimi özelliklerine erişim vermek için Defender XDR birleşik RBAC veya Microsoft Sentinel rolleri kullanın.
| Servis Talepleri özelliği | Birleşik RBAC Microsoft Defender XDR | Microsoft Sentinel rolü |
|---|---|---|
| Yalnızca servis talebi kuyruğu- servis talebi ayrıntılarını görüntüle- görevler - açıklamalar - servis talebi denetimleri |
Güvenlik işlemleri > Güvenlik verileriyle ilgili temel bilgiler (okuma) | Microsoft Sentinel Okuyucu |
| Oluşturma ve Yönetme - servis talepleri ve servis talebi görevleri - atama - güncelleştirme durumu - bağlantı ve olayların bağlantısını kaldırma |
Güvenlik işlemleri > Uyarıları (yönet) | Microsoft Sentinel Yanıtlayıcı |
| Servis talebi durum seçeneklerini özelleştirme | Yetkilendirme ve Çekirdek Güvenlik ayarlarını ayarlama > (yönetme) | Microsoft Sentinel Katkıda Bulunan |
Daha fazla bilgi için bkz. Birleşik rol tabanlı erişim denetimi (RBAC) Microsoft Defender XDR.
Servis talebi kuyruğu
Servis talebi yönetimini kullanmaya başlamak için Defender portalında Servis Talepleri'ni seçerek servis talebi kuyruğuna erişin. Odaklanmanız gereken öğeleri bulmak için servis talebinizi filtreleyin, sıralayın veya arayın.
Kiracı başına izin verilen en fazla 100.000 durumdur.
Servis talebi ayrıntıları
Her servis talebi, analistlerin olayı yönetmesine olanak tanıyan ve önemli ayrıntıları görüntüleyen bir sayfaya sahiptir.
Aşağıdaki örnekte bir tehdit avcısı, birden çok MITRE ATT&CK tekniği ve IC'lerden oluşan varsayımsal bir "Yuvalama" saldırısını araştırıyor.
Çalışmayı açıklamak, önceliklendirmek, atamak ve izlemek için aşağıdaki servis talebi ayrıntılarını yönetin:
| Görüntülenen servis talebi özelliği | Servis talebi seçeneklerini yönetme | Varsayılan değer |
|---|---|---|
| Öncelik |
Very low, Low, Medium, High, Critical |
yok |
| Durum | Analistler tarafından ayarlanır, yöneticiler tarafından özelleştirilebilir | Varsayılan durumlar New, Openve ClosedVarsayılan değerdir New |
| Atanan | Kiracıda tek bir kullanıcı | yok |
| Açıklama | Düz metin | yok |
| Servis talebi ayrıntıları | Servis Talebi Kimliği | Olay kimlikleri 1000'de başlar ve temizlenmez. Özel durumları ve filtreleri kullanarak servis taleplerini arşivle. Servis talebi numaraları otomatik olarak ayarlanır. |
|
Oluşturan Oluşturan Oluşturan Son güncelleştirme : Son güncelleştirme tarihinde |
otomatik olarak ayarla | |
| Bağlı olaylar için son tarih |
yok |
Özelleştirilmiş durumu ayarlayarak, görevler atayarak, olayları bağlayarak ve açıklama ekleyerek servis taleplerini daha fazla yönetin.
Durumu özelleştirme
Güvenlik operasyonları merkezinizin (SOC) gereksinimlerine uyacak şekilde örnek olay yönetimini tasarlayın. SecOps ekiplerinizin kullanabileceği durum seçeneklerini, mevcut süreçlerinize uyacak şekilde özelleştirin.
Yuvalama saldırısı olayı oluşturma örneğinin ardından SOC yöneticileri durumları yapılandırarak tehdit avcılarının haftalık olarak önceliklendirme için bir tehdit kapsamı tutmasına olanak sağladı. Araştırma aşaması ve Hipotez oluşturma gibi özel durumlar bu tehdit avcılığı ekibinin yerleşik süreciyle eşleşir.
Görevler
Servis talebinizin ayrıntılı bileşenlerini yönetmek için görevler ekleyin. Her görev kendi adı, durumu, önceliği, sahibi ve son tarihiyle birlikte gelir. Bu bilgilerle, kimin hangi görevi ve ne zaman tamamlayacağı her zaman sorumlu olduğunu bilirsiniz. Görev açıklaması, yapılacak çalışmayı özetler ve ilerleme durumunu açıklamak için biraz alan sağlar. Kapanış notları, tamamlanan görevlerin sonucu hakkında daha fazla bağlam sağlar.
Görüntüde şu görev durumları gösterilmektedir: Yeni, Devam Ediyor, Başarısız, Kısmen tamamlandı, Atlandı, Tamamlandı
Olayları bağlama
Bir olayı ve olayı bağlama, SecOps ekiplerinizin kendileri için en uygun yöntemde işbirliği yapmasına yardımcı olur. Örneğin, kötü amaçlı etkinlik bulan bir tehdit avcısı, olay yanıtı (IR) ekibi için bir olay oluşturur. Bu tehdit avcısı olayı bir davayla ilişkilendirdi. Artık IR ekibi, etkinliği bulan avın bağlamını anlıyor.
Alternatif olarak, IR ekibinin bir veya daha fazla olayı avcılık ekibine aktarması gerekiyorsa bir olay oluşturabilir ve Olayları Araştırma & yanıt olayı ayrıntıları sayfasından bağlayabilir.
Her olay 100 bağlantılı olay eşiğine sahiptir.
Etkinlik günlüğü
Notlar mı yazmanız gerekiyor yoksa bu anahtar algılama mantığını mı iletmeniz gerekiyor? Düz metin açıklamaları oluşturun ve etkinlik günlüğündeki denetim olaylarını gözden geçirin. Açıklamalar, servis talebine hızla bilgi eklemek için harika bir yerdir.
Denetim olayları servis talebinin etkinlik günlüğüne otomatik olarak eklenir ve en son olaylar en üstte gösterilir. Açıklamalara veya denetim geçmişine odaklanmanız gerekiyorsa filtreyi değiştirin.