Microsoft Sentinel ile tehditleri tespit etme (kurallar ve uyarılar oluşturma)

Microsoft Sentinel ile tehditleri tespit etme (kurallar ve uyarılar oluşturma)

03/01/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Microsoft Sentinel, Microsoft bulutta yerel SIEM (Güvenlik Bilgileri ve Olay Yönetimi) ve SOAR (Güvenlik Düzenleme, Otomasyon ve Yanıt) kullanarak tehditleri proaktif olarak tespit etme konusunda rehberlik etmeyi amaçlamaktadır. Microsoft Sentinel, birden fazla kaynaktan veri toplayarak, tehditleri tespit ederek, olayları araştırarak ve bunlara otomatik bir şekilde yanıt vererek kuruluş çapında birleşik bir güvenlik görünümü sağlar [1].

Giriş

Giderek daha karmaşık ve hacimli bir siber tehdit ortamında, kuruluşların yalnızca güvenlik verilerini toplamakla kalmayıp, aynı zamanda kötü amaçlı etkinlikleri tanımlamak için bunları akıllıca analiz eden araçlara ihtiyacı var. Microsoft Sentinel, güvenlik ekiplerinin tehditleri gerçek zamanlı olarak izlemesine, tespit etmesine ve bunlara yanıt vermesine olanak tanıyarak bu açığı kapatıyor. Analitik kuralları ve uyarılar oluşturmak, Sentinel'in algılama yeteneklerinin temelini oluşturur ve büyük hacimli günlükleri eyleme dönüştürülebilir içgörülere dönüştürür [2].

Bu pratik kılavuz, verileri almaktan özel uyarılar oluşturmaya ve bunların etkinliğini doğrulamaya kadar Azure Sentinel'de analiz kurallarını yapılandırmayı kapsayacaktır. Adım adım talimatlar, örnek KQL (Kusto Sorgu Dili) sorguları ve açıklamalar sağlanacak, böylece okuyucu kendi ortamındaki tehdit algılamayı uygulayıp optimize edebilecek, güvenlik duruşunu güçlendirebilecek ve olaylara müdahaleyi hızlandırabilecektir.

Tehdit Algılama için Neden Azure Sentinel?

  • Bulut Ölçeklenebilirliği: Azure'u temel alarak günlük alımı ve depolama için sınırsız ölçeklenebilirlik sunar.
  • Tümleşik Tehdit İstihbaratı: Algılamayı zenginleştirmek için Microsoft ve iş ortaklarından gelen tehdit istihbaratından yararlanır.
  • Davranış Analizi (UEBA): Kullanıcıların ve varlıkların anormalliklerini ve şüpheli davranışlarını tanımlar.
  • Otomasyon (SOAR): Senaryolar aracılığıyla olaylara verilen yanıtları otomatikleştirmenize olanak tanır.
  • Kapsamlı Görünürlük: Microsoft 365, Azure, AWS, Google Cloud ve üçüncü taraf güvenlik çözümleri dahil olmak üzere birden fazla veri kaynağına bağlanır.

Önkoşullar

Azure Sentinel ile tehdit algılamayı yapılandırmak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Azure Aboneliği: Etkin bir Microsoft Azure aboneliği.
  2. Yönetim Erişimi: Azure portalında ("portal.azure.com") Sentinel Katılımcısı veya Log Analytics Yönetici izinlerine sahip bir hesap.
  3. Log Analytics Çalışma Alanı: Sentinel için veri deposu görevi gören yapılandırılmış bir Log Analytics çalışma alanı.
  4. Microsoft Sentinel Active: Log Analytics çalışma alanında Microsoft Sentinel'in etkinleştirilmesi gerekir.
  5. Yapılandırılmış Veri Bağlayıcıları: Güvenlik verileri (günlükler), Azure AD, Microsoft 365, Uç Nokta için Microsoft Defender, güvenlik duvarları vb. kaynaklardan Log Analytics çalışma alanına alınmalıdır. [3].

Adım Adım: Analiz Kuralları ve Uyarıları Oluşturma

Yaygın bir tehdit senaryosunu tespit etmek için zamanlanmış bir analiz kuralı oluşturalım: kısa bir süre içinde birden fazla oturum açma hatası, kaba kuvvet girişimini gösterir.

1. Veri Bağlayıcılarını Kontrol Edin

Kural oluşturmadan önce ilgili verilerin alındığından emin olun. Oturum açma hatası tespiti için Azure Active Directory'den (Microsoft Entra ID) günlüklere ihtiyacımız var.

  1. Azure portalına gidin: https://portal.azure.com.
  2. Microsoft Sentinel'e gidin.
  3. Sol gezinme bölmesinde Veri Bağlayıcıları'nı seçin.
  4. Azure Active Directory'yi arayın ve durumun Bağlı olduğunu doğrulayın.

2. Planlanmış Analiz Kuralı Oluşturun

Aynı IP'den 5 veya daha fazla giriş hatasını 10 dakika içinde tespit eden bir kural oluşturalım.

  1. Azure Sentinel'de sol gezinme bölmesinde Analytics'i seçin.
  2. + Oluştur > Zamanlanmış Sorgu Kuralı'na tıklayın.

Adım 1: Genel

  1. Ad: "Azure AD Kaba Kuvvet Girişimi"
  2. Açıklama: `Kısa bir süre içinde aynı IP adresinden birden fazla Azure AD oturum açma hatasını algılar ve olası kaba kuvvet saldırısına işaret eder.'
  3. Taktikler: 'Kimlik Bilgisi Erişimi'ni seçin.
  4. Önem Düzeyi: "Orta".
  5. Durum: 'Etkin'.
  6. Sonraki: Defi'ye tıklayınkural mantığını tanımlayın.

Adım 2: Kural mantığını tanımlayın

  1. Kural Sorgulama: KQL sorgusunu girin:

"kusto" Oturum Açma Günlükleri | burada ResultType == "50126" // Kimlik bilgisi doğrulaması başarısız oldu | FailedLogins'i özetle = IPAddress, UserPrincipalName, bin(TimeGeneated, 10m) ile count() | Oturum Açma İşlemleri Başarısız Oldu>= 5 | extend AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress ''''

  1. Varlık eşleme: Uyarıları zenginleştirmek için varlıkları eşleyin. Varlık Eşleme altına şunu ekleyin:

    • Hesap: AccountCustomEntity
    • IP Adresi: IPCustomEntity

  2. Randevu planlama:

    • Sorguyu her çalıştırma: 10 Dakika
    • En son arama verileri: 10 Dakika

  3. Uyarı sınırı: Varsayılan "Sorgu sonuçlarının sayısı 0'dan büyük olduğunda uyarı oluştur" seçeneğini bırakın.

3. Adım: Olay Ayarları

  1. Bu analiz kuralı tarafından tetiklenen uyarılardan olaylar oluşturun: Etkin.
  2. Uyarı Gruplaması: Tüm uyarılar aynı varlıktan oluşturulduysa uyarıları tek bir olayda gruplayın.

4. Adım: Otomatik yanıt

İsteğe bağlı olarak, güvenlik duvarında IP adresini engellemek veya kullanıcı hesabını devre dışı bırakmak gibi eylemleri otomatikleştirmek için bir başucu kitabı (Logic Apps tabanlı) ekleyebilirsiniz.

5. Adım: İnceleyin ve oluşturun

Tüm ayarları gözden geçirin ve Oluştur'u tıklayın.

Uyarıları ve Olayları Araştırmak

Kural şüpheli etkinlik tespit ettiğinde bir olay oluşturulur.

  1. Azure Sentinel'de Olaylar'a gidin.
  2. Kuralınız tarafından oluşturulan olaya tıklayın.
  3. Olay ayrıntıları sayfasında şunları göreceksiniz:
    • Zaman Çizelgesi: Uyarıların kronolojisi.
    • Varlıklar: Daha fazla araştırılabilecek eşlenen varlıklar (kullanıcı ve IP).
    • İnceleme grafiği: Varlıklar arasındaki bağlantıların grafiksel görselleştirilmesi.

Saldırının kapsamını anlamak ve gerekli müdahale eylemlerini gerçekleştirmek için bu araçları kullanın.

Analytics Kural Şablonlarını Kullanma

Microsoft Sentinel, Microsoft'tan ve güvenlik topluluğundan yüzlerce önceden oluşturulmuş kural şablonuyla birlikte gelir. Bunları kullanmak, algılama kapasitenizi artırmanın hızlı bir yoludur.

  1. Analiz'de Kural Şablonları sekmesine gidin.
  2. Veri kaynaklarına, MITRE ATT&CK® taktiklerine vb. göre filtreleyin.
  3. İlgili bir şablon seçin (ör. 'Anormal oturum açma konumu').
  4. Ayrıntılar bölmesinde Kural oluştur'u tıklayın. Sihirbaz, etkin kuralı oluşturmadan önce özelleştirebileceğiniz şablon mantığı ve ayarlarla doldurulacaktır.

Sonuç

Azure Sentinel'de özel analiz kuralları oluşturmak, herhangi bir güvenlik ekibi için önemli bir özelliktir. Kuruluşlar, ham verileri eyleme dönüştürülebilir tespitlere dönüştürerek kaba kuvvet saldırıları, yanal hareket ve veri sızması gibi tehditleri proaktif bir şekilde tespit edebilir. Yanıt otomasyonu ve mevcut kural şablonlarıyla bir araya getirilen Sentinel, analistlerin en önemli konuya, yani organizasyonun korunmasına odaklanmasını sağlar.

Referanslar

[1] Microsoft. (2023). Microsoft Sentinel nedir? [2] Microsoft. (2023). Microsoft Sentinel'deki olayları görüntüleyin ve araştırın. [3] Microsoft. (2023). Microsoft Sentinel veri bağlayıcılarıyla çalışın.