Aracılığıyla paylaş


Microsoft Sentinel'de tehdit yanıtlarını otomasyon kurallarıyla otomatikleştirme

Bu makalede, Microsoft Sentinel otomasyon kurallarının ne olduğu ve Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) işlemlerinizi uygulamak için bunların nasıl kullanılacağı açıklanmaktadır. Otomasyon kuralları SOC'nizin verimliliğini artırır ve size zaman ve kaynak tasarrufu sağlar.

Önemli

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Otomasyon kuralları nedir?

Otomasyon kuralları, farklı senaryolarda uygulanabilecek küçük bir kural kümesi tanımlamanızı ve koordine edebilmenizi sağlayarak Microsoft Sentinel'de otomasyonu merkezi olarak yönetmenin bir yoludur.

Otomasyon kuralları aşağıdaki kullanım örnekleri kategorileri için geçerlidir:

  • Playbook'ları kullanmadan olay işleme için temel otomasyon görevlerini gerçekleştirin. Örneğin:

    • Analistlerin izlemesi için olay görevleri ekleyin.
    • Gürültülü olayları gizleme.
    • Durumlarını Yeni olan Etkin olarak değiştirip bir sahip atayarak yeni olayları önceliklendirme.
    • Olayları sınıflandırmak için etiketleyin.
    • Yeni bir sahip atayarak olayı yükseltin.
    • Çözümlenen olayları kapatın, bir neden belirtin ve açıklamalar ekleyin.
  • Aynı anda birden çok analiz kuralı için yanıtları otomatikleştirin.

  • Yürütülen eylemlerin sırasını denetleme.

  • Bir olayın içeriğini (uyarılar, varlıklar ve diğer özellikler) inceleyin ve playbook'u çağırarak daha fazla işlem yapın.

  • Otomasyon kuralları, bir olayla ilişkili olmayan bir uyarıya yanıt olarak playbook'u çalıştırdığınız mekanizma da olabilir.

Kısacası, otomasyon kuralları Microsoft Sentinel'de otomasyonun kullanımını kolaylaştırarak tehdit yanıtı düzenleme işlemleriniz için karmaşık iş akışlarını basitleştirmenizi sağlar.

Bileşenler

Otomasyon kuralları çeşitli bileşenlerden oluşur:

  • Koşullara bağlı olarak kuralın çalışmasına ne tür bir olay olayının neden olduğunu tanımlayan tetikleyiciler.
  • Kuralın hangi koşullar altında çalıştırıldığını ve eylemleri gerçekleştirdiğini belirleyen koşullar.
  • Olayı bir şekilde değiştirmek veya daha karmaşık eylemler gerçekleştiren ve diğer hizmetlerle etkileşim kuran bir playbook çağırma eylemleri.

Tetikleyiciler

Otomasyon kuralları, bir olay oluşturulduğunda veya güncelleştirildiğinde ya da bir uyarı oluşturulduğunda tetiklenir. Olayların uyarıları içerdiğini ve Microsoft Sentinel'de tehdit algılama bölümünde açıklandığı gibi hem uyarıların hem de olayların analiz kuralları tarafından oluşturulabileceğini hatırlayın.

Aşağıdaki tabloda, otomasyon kuralının çalışmasına neden olan farklı olası senaryolar gösterilmektedir.

Tetikleyici türü Kuralın çalışmasına neden olan olaylar
Olay oluşturulduğunda Microsoft Defender portalı:
  • Microsoft Defender portalında yeni bir olay oluşturulur.

    Microsoft Sentinel, Defender portalına eklenmemiş:
  • Analiz kuralı tarafından yeni bir olay oluşturulur.
  • Microsoft Defender XDR'den bir olay alındı.
  • El ile yeni bir olay oluşturulur.
  • Olay güncelleştirildiğinde
  • Bir olayın durumu değiştirilir (kapatılır/yeniden açılır/önceliklendirilir).
  • Bir olayın sahibi atanır veya değiştirilir.
  • Bir olayın önem derecesi yükseltilir veya azaltılır.
  • Uyarılar bir olaya eklenir.
  • Bir olaya açıklamalar, etiketler veya taktikler eklenir.
  • Uyarı oluşturulduğunda
  • Microsoft Sentinel Zamanlanmış veya NRT analiz kuralı tarafından bir uyarı oluşturulur.
  • Olay tabanlı mı yoksa uyarı tabanlı otomasyon mu?

    Hem olaylara hem de uyarılara verilen yanıtı merkezi olarak işleyen otomasyon kurallarıyla, otomatikleştirebileceğinizi ve hangi durumlarda otomatikleştirebileceğinizi nasıl seçmeniz gerekir?

    Çoğu kullanım örneğinde, olayla tetiklenen otomasyon tercih edilebilir bir yaklaşımdır. Microsoft Sentinel'de olay, belirli bir araştırma için tüm ilgili kanıtların toplanmış olduğu bir "olay dosyasıdır". Uyarılar, varlıklar, açıklamalar, işbirliği ve diğer yapıtlar için bir kapsayıcıdır. Tek bir kanıt parçası olan uyarıların aksine, olaylar değiştirilebilir, en güncel duruma sahiptir ve açıklamalar, etiketler ve yer işaretleri ile zenginleştirilebilir. Bu olay, yeni uyarıların eklenmesiyle sürekli gelişen saldırı hikayesini izlemenizi sağlar.

    Bu nedenlerden dolayı otomasyonunuzu olaylara göre oluşturmak daha mantıklıdır. Bu nedenle playbook oluşturmanın en uygun yolu, bunları Azure Logic Apps'teki Microsoft Sentinel olay tetikleyicisine dayandırmaktır.

    Uyarıyla tetiklenen otomasyonu kullanmanın temel nedeni, olay oluşturmayan analiz kuralları tarafından oluşturulan uyarılara yanıt vermektir (yani analiz kuralı sihirbazının Olay ayarları sekmesinde olay oluşturma devre dışı bırakılır).

    Bu neden özellikle Microsoft Sentinel çalışma alanınız Defender portalına eklendiğinde geçerlidir. Bu senaryoda, tüm olay oluşturma işlemi Defender portalında gerçekleşir ve bu nedenle Microsoft Sentinel'deki olay oluşturma kuralları devre dışı bırakılmalıdır.

    Birleştirilmiş portala eklenmeden bile, uyarılardan olay oluşturup oluşturmamaya ve uyarıların birlikte nasıl gruplandırıldığına karar vermek için başka bir dış mantık kullanmak istiyorsanız yine de uyarıyla tetiklenen otomasyonu kullanmaya karar vekleyebilirsiniz. Örneğin:

    • İlişkili bir olayı olmayan bir uyarı tarafından tetiklenen playbook, uyarıyı diğer kaynaklardan gelen bilgilerle zenginleştirebilir ve bazı dış mantık temelinde olay oluşturup oluşturmamaya karar verebilir.

    • Bir uyarı tarafından tetiklenen playbook, bir olay oluşturmak yerine uyarıyı eklemek için uygun mevcut olayı arayabilir. Olay genişletme hakkında daha fazla bilgi edinin.

    • Bir uyarı tarafından tetiklenen playbook, soC personeline uyarıyı bildirebilir, böylece ekip bir olay oluşturup oluşturmamaya karar verebilir.

    • Bir uyarı tarafından tetiklenen playbook, uyarıyı olay oluşturma ve yönetme amacıyla bir dış bilet sistemine gönderebilir ve bu sistem her uyarı için yeni bir bilet oluşturur.

    Not

    • Uyarıyla tetiklenen otomasyon yalnızca Zamanlanmış, NRT ve Microsoft güvenlik analizi kuralları tarafından oluşturulan uyarılar için kullanılabilir.

    • Microsoft Defender XDR tarafından oluşturulan uyarılar için uyarıyla tetiklenen otomasyon Defender portalında kullanılamaz. Daha fazla bilgi için bkz . Defender portalında Otomasyon.

    Koşullar

    Karmaşık koşul kümeleri, eylemlerin (aşağıya bakın) ne zaman çalıştırılacağına göre tanımlanabilir. Bu koşullar kuralı tetikleyen olayı (olay oluşturuldu, güncelleştirildi veya uyarı oluşturuldu), olayın özelliklerinin ve varlık özelliklerinin durumlarını veya değerlerini (yalnızca olay tetikleyicisi için) ve ayrıca olayı veya uyarıyı oluşturan analiz kuralını veya kurallarını içerir.

    Bir otomasyon kuralı tetiklendiğinde, tetikleyici olayı veya uyarıyı kuralda tanımlanan koşullara göre denetler. Olaylar için, özellik tabanlı koşullar değerlendirmenin gerçekleştiği anda özelliğin geçerli durumuna veya özelliğin durumundaki değişikliklere göre değerlendirilir (ayrıntılar için aşağıya bakın). Tek bir olay oluşturma veya güncelleştirme olayı çeşitli otomasyon kurallarını tetikleyebileceğinden, bunların çalıştırıldığı sıra (aşağıya bakın) koşulların değerlendirmesinin sonucunu belirlemede fark yaratır. Kuralda tanımlanan eylemler yalnızca tüm koşullar karşılandığında yürütülür.

    Olay oluşturma tetikleyicisi

    Tetikleyici kullanılarak tanımlanan kurallar için Olay oluşturulduğunda, aşağıdaki işleçlerden birini veya daha fazlasını kullanarak belirli bir olay özellikleri listesinin değerlerinin geçerli durumunu denetleyebilen koşullar tanımlayabilirsiniz:

    • eşittir veya koşulda tanımlanan değere eşit değildir.
    • koşulda tanımlanan değeri içerir veya içermez .
    • ile başlar veya koşulda tanımlanan değerle başlamaz.
    • ile biter veya koşulda tanımlanan değerle bitmiyor.

    Örneğin, Analiz kuralı adını İçerir == Bulut bilgisayara yönelik deneme yanılma saldırısı olarak tanımlarsanız, Azure portalına yönelik Deneme yanılma saldırısına sahip bir analiz kuralı bu koşulu karşılamaz. Ancak Analiz kuralı adını == Kullanıcı kimlik bilgileri içermez olarak tanımlarsanız, hem Bulut bilgisayara yönelik Deneme yanılma saldırısı hem de Azure portal analiz kurallarına karşı deneme yanılma saldırısı koşulu karşılar.

    Not

    Bu bağlamdaki geçerli durum, koşulun değerlendirıldığı anı, yani otomasyon kuralının çalıştırıldığı anı ifade eder. Bu olayın oluşturulmasına yanıt olarak çalıştırılacak birden fazla otomasyon kuralı tanımlanmışsa, daha önce çalıştırılan bir otomasyon kuralı tarafından olayda yapılan değişiklikler, sonraki çalıştırma kuralları için geçerli durum olarak kabul edilir.

    Olay güncelleştirme tetikleyicisi

    Bir olay güncelleştirildiğinde tetikleyici kullanılarak tanımlanan kurallarda değerlendirilen koşullar, olay oluşturma tetikleyicisi için listelenen tüm koşulları içerir. Ancak güncelleştirme tetikleyicisi değerlendirilebilecek daha fazla özellik içerir.

    Bu özelliklerden biri Güncelleştirme ölçütüdür. Bu özellik, olayda değişiklik yapan kaynak türünü izlemenizi sağlar. Çalışma alanınızı Defender portalına ekleyip eklemediğinize bağlı olarak, olayın aşağıdaki değerlerden biriyle güncelleştirilip güncelleştirilmediğini değerlendiren bir koşul oluşturabilirsiniz:

    • Hem Azure hem de Defender portallarındaki uygulamaları içeren bir uygulama.
    • Hem Azure hem de Defender portallarında kullanıcılar tarafından yapılan değişiklikler de dahil olmak üzere bir kullanıcı.
    • AIR, Office 365 için Microsoft Defender'da otomatik araştırma ve yanıt güncelleştirmeleri için
    • Hem analiz kurallarıyla hem de yerleşik Microsoft Defender XDR bağıntı mantığıyla yapılan uyarı gruplandırmaları da dahil olmak üzere bir uyarı gruplandırması (olaya uyarılar ekleyen)
    • Playbook
    • Otomasyon kuralı
    • Diğer, yukarıdaki değerlerden hiçbiri geçerli değilse

    Örneğin bu koşulu kullanarak, bu otomasyon kuralının başka bir otomasyon kuralı tarafından yapılmış olması dışında bir olayda yapılan herhangi bir değişiklikte çalıştırılmasını sağlayabilirsiniz.

    Güncelleştirme tetikleyicisi, olay özelliklerinin yanı sıra geçerli durumlarındaki durum değişikliklerini denetleen diğer işleçleri de kullanır. Durum değişikliği koşulu şu durumda karşılanabilir:

    Bir olay özelliğinin değeri

    • ( önceki veya sonraki gerçek değerden bağımsız olarak).
    • koşulunda tanımlanan değerden değiştirildi.
    • koşulda tanımlanan değere değiştirildi.
    • öğesine eklendi (bu, değer listesi olan özellikler için geçerlidir).

    Etiket özelliği: bireysel ve koleksiyon karşılaştırması

    Tag olay özelliği tek tek öğelerden oluşan bir koleksiyondur; tek bir olayda buna birden çok etiket uygulanabilir. Koleksiyondaki her etiketi ayrı ayrı denetleyebilen koşullar ve birim olarak etiket koleksiyonunu denetleen koşullar tanımlayabilirsiniz.

    • Tek tek etiket işleçleri, koşulu koleksiyondaki her etikete göre denetler. En az bir etiket koşulu karşıladığında değerlendirme doğrudur.
    • Tüm etiketlerin koleksiyonu işleçleri koşulu tek bir birim olarak etiket koleksiyonuna göre denetler. Değerlendirme yalnızca bir bütün olarak koleksiyon koşulu karşılarsa geçerlidir.

    Bu ayrım, koşulunuz negatif olduğunda (içermez) ve koleksiyondaki bazı etiketler koşulu karşıladığında ve diğerleri karşılamadığında önemlidir.

    Şimdi koşulunuzun olduğu, Tag'in "2024" içermediği ve her biri iki etiketli iki olayınız olduğu bir örneğe bakalım:

    \Olay ▶
    Koşul ▼ \
    Olay 1
    Etiket 1: 2024
    Etiket 2: 2023
    Olay 2
    Etiket 1: 2023
    Etiket 2: 2022
    Tek tek herhangi bir etiket
    "2024" içermez
    DOĞRU TRUE
    Tüm etiketlerin koleksiyonu
    "2024" içermez
    YANLIŞ TRUE

    Bu örnekte, Olay 1'de:

    • Koşul her etiketi ayrı ayrı denetlerse, koşulu karşılayan en az bir etiket ("2024" içermeyen) olduğundan, genel koşul doğrudur.
    • Koşul, olaydaki tüm etiketleri tek bir birim olarak denetlerse, koşulu karşılamayan en az bir etiket ("2024" içeren) olduğundan, genel koşul false olur.

    Olay 2'de, hangi koşul türü tanımlandığından bağımsız olarak sonuç aynıdır.

    Desteklenen varlık özellikleri

    Otomasyon kuralları için koşullar olarak desteklenen varlık özelliklerinin listesi için bkz . Microsoft Sentinel otomasyon kuralları başvurusu.

    Uyarı oluşturma tetikleyicisi

    Şu anda uyarı oluşturma tetikleyicisi için yapılandırılabilir tek koşul, otomasyon kuralının çalıştırıldığı analiz kuralları kümesidir.

    Eylemler

    Eylemler, koşullar karşılandığında (yukarıya bakın) çalıştırılacak şekilde tanımlanabilir. Bir kuralda birçok eylem tanımlayabilir ve bunların çalıştırıldığı sırayı seçebilirsiniz (aşağıya bakın). Aşağıdaki eylemler, bir playbook'un gelişmiş işlevselliğine gerek kalmadan otomasyon kuralları kullanılarak tanımlanabilir:

    • Bir olaya görev ekleme: Kritik adımların atlanmadığından emin olmak için analistlerin olayın önceliklendirme, araştırma ve düzeltme süreçleri boyunca izlemesi için bir görev denetim listesi oluşturabilirsiniz.

    • Bir olayın durumunu değiştirerek iş akışınızı güncel tutun.

    • Bir olayın önem derecesini değiştirme: Olayda yer alan varlıkların varlığı, devamsızlığı, değerleri veya özniteliklerine göre yeniden değerlendirebilir ve yeniden değerlendirebilirsiniz.

    • Bir olayın sahibine atanma– bu, olay türlerini bunlarla başa çıkmak için en uygun personele veya en uygun personele yönlendirmenize yardımcı olur.

    • Bir olaya etiket ekleme– Bu, olayları konuya, saldırgana veya başka bir ortak paydaya göre sınıflandırmak için kullanışlıdır.

    Ayrıca, dış sistemleri içerenler de dahil olmak üzere daha karmaşık yanıt eylemleri gerçekleştirmek için playbook'u çalıştırmak için bir eylem tanımlayabilirsiniz. Otomasyon kuralında kullanılabilen playbook'lar, playbook'ların ve otomasyon kuralının temel aldığı tetikleyiciye bağlıdır: Yalnızca olay tetikleyicisi playbook'ları olay tetikleyicisi otomasyon kurallarından çalıştırılabilir ve uyarı tetikleyici otomasyon kurallarından yalnızca uyarı tetikleyici playbook'ları çalıştırılabilir. Playbook'ları veya playbook'ların ve diğer eylemlerin bileşimlerini çağıran birden çok eylem tanımlayabilirsiniz. Eylemler, kuralda listelendikleri sırayla yürütülür.

    Azure Logic Apps 'in (Standart veya Tüketim) herhangi bir sürümünü kullanan playbook'lar otomasyon kurallarından çalıştırılır.

    Son kullanma tarihi

    Otomasyon kuralında son kullanma tarihi tanımlayabilirsiniz. Kural, bu tarih geçtikten sonra devre dışı bırakılır. Bu, sızma testi gibi planlı, zaman sınırlı etkinliklerin neden olduğu "gürültü" olaylarını işlemek (kapatmak) için kullanışlıdır.

    Sipariş

    Otomasyon kurallarının çalıştırıldığı sırayı tanımlayabilirsiniz. Daha sonraki otomasyon kuralları, önceki otomasyon kuralları tarafından eyleme geçildikten sonra olayın koşullarını durumuna göre değerlendirir.

    Örneğin, "İlk Otomasyon Kuralı" bir olayın önem derecesini Orta veya Düşük olarak değiştirdiyse ve "İkinci Otomasyon Kuralı" yalnızca Orta veya daha yüksek önem derecesine sahip olaylarda çalışacak şekilde tanımlanmışsa, bu olay üzerinde çalışmaz.

    Olay görevleri ekleyen otomasyon kurallarının sırası, görevlerin belirli bir olayda hangi sırayla görüneceğini belirler.

    Güncelleştirme tetikleyicisini temel alan kuralların kendi ayrı sipariş kuyruğu vardır. Bu tür kurallar yeni oluşturulmuş bir olayda (başka bir otomasyon kuralı tarafından yapılan bir değişiklikle) çalıştırılacak şekilde tetiklenirse, yalnızca oluşturma tetikleyicisine dayalı tüm geçerli kurallar çalıştırıldıktan sonra çalışır.

    Yürütme sırası ve önceliğiyle ilgili notlar

    • Otomasyon kurallarında sipariş numarasının ayarlanması, bunların yürütme sırasını belirler.
    • Her tetikleyici türü kendi kuyruğunu korur.
    • Azure portalında oluşturulan kurallar için sipariş alanı, aynı tetikleyici türündeki mevcut kurallar tarafından kullanılan en yüksek sayıdan sonra otomatik olarak sayıyla doldurulur.
    • Ancak, başka yollarla (komut satırı, API vb.) oluşturulan kurallar için sipariş numarasının el ile atanması gerekir.
    • Birden çok kuralın aynı tetikleyici türü içinde bile aynı sipariş numarasına sahip olmasını engelleyen bir doğrulama mekanizması yoktur.
    • Aynı tetikleyici türündeki iki veya daha fazla kuralın aynı sipariş numarasına sahip olmasını sağlayabilirsiniz. Bunların hangi sırada çalıştırıldığı sizin için önemli değildir.
    • Aynı sıra numarasına sahip aynı tetikleyici türündeki kurallar için, yürütme altyapısı hangi kuralların hangi sırada çalıştırıldığına rastgele seçer.
    • Farklı olay tetikleyici türlerinin kuralları için, olay oluşturma tetikleyici türüne sahip tüm geçerli kurallar önce çalıştırılır (sipariş numaralarına göre) ve yalnızca olay güncelleştirme tetikleyici türüne sahip kurallar (sipariş numaralarına göre).
    • Kurallar her zaman sırayla çalışır, hiçbir zaman paralel çalışmaz.

    Not

    Defender portalına eklendikten sonra, aynı olayda beş ile on dakika içinde birden çok değişiklik yapılırsa, Microsoft Sentinel'e yalnızca en son değişiklikle tek bir güncelleştirme gönderilir.

    Yaygın kullanım örnekleri ve senaryolar

    Olay görevleri

    Otomasyon kuralları, otomasyon kuralında belirlediğiniz koşullara ve temel analiz kurallarındaki tehdit algılama mantığına göre tek bir olaya, olay gruplarına veya tüm olaylara uygulanabilecek görevler oluşturarak olayların önceliklandırılması, araştırılması ve düzeltilmesi için gereken adımları standartlaştırmanıza ve resmileştirmenize olanak sağlar. Bir olaya uygulanan görevler olayın sayfasında görünür, böylece analistleriniz tam önünde gerçekleştirmeleri gereken eylemlerin tam listesine sahip olur ve kritik adımları kaçırmaz.

    Olay ve uyarıyla tetiklenen otomasyon

    Otomasyon kuralları, olayların oluşturulması veya güncelleştirilmesi ve uyarıların oluşturulmasıyla tetiklenebilir. Bu oluşumların tümü playbook'ları içerebilen otomatik yanıt zincirlerini tetikleyebilir (özel izinler gereklidir).

    Microsoft sağlayıcıları için playbook'ları tetikleme

    Otomasyon kuralları, bu kuralları uyarılardan oluşturulan olaylara uygulayarak Microsoft güvenlik uyarılarının işlenmesini otomatikleştirmenin bir yolunu sağlar. Otomasyon kuralları playbook'ları çağırabilir (özel izinler gereklidir) ve uyarılar ve varlıklar dahil olmak üzere tüm ayrıntılarıyla olayları onlara geçirebilir. Genel olarak, Microsoft Sentinel en iyi yöntemleri güvenlik işlemlerinin odak noktası olarak olaylar kuyruğunun kullanılmasını belirler.

    Microsoft güvenlik uyarıları şunları içerir:

    • Microsoft Entra Kimlik Koruması
    • Bulut için Microsoft Defender
    • Microsoft Defender for Cloud Apps
    • Office 365 için Microsoft Defender
    • Uç nokta için Microsoft Defender
    • Kimlik için Microsoft Defender
    • IoT için Microsoft Defender

    Tek bir kuralda birden çok sıralı playbook/eylem

    Artık tek bir otomasyon kuralında eylemlerin ve playbook'ların yürütülmesi sırası üzerinde neredeyse tam denetime sahip olabilirsiniz. Ayrıca otomasyon kurallarının yürütme sırasını da siz denetlersiniz. Bu sayede playbook'larınızı büyük ölçüde basitleştirebilir, tek bir göreve veya küçük, basit bir görev dizisine indirgeyebilirsiniz ve bu küçük playbook'ları farklı otomasyon kurallarında farklı kombinasyonlarda birleştirebilirsiniz.

    Aynı anda birden çok analiz kuralına bir playbook atama

    Tüm analiz kurallarınızda otomatikleştirmek istediğiniz bir göreviniz varsa (örneğin, dış bilet oluşturma sisteminde destek bileti oluşturma) gelecekteki kurallar dahil olmak üzere analiz kurallarınızın herhangi birine veya tümüne tek bir playbook uygulayabilirsiniz. Bu, basit ama yinelenen bakım ve temizlik görevlerini çok daha az bir angarya yapar.

    Olayların otomatik ataması

    Olayları otomatik olarak doğru sahipe atayabilirsiniz. SOC'nizin belirli bir platformda uzmanlaşmış bir analisti varsa, bu platformla ilgili tüm olaylar otomatik olarak bu analiste atanabilir.

    Olay engelleme

    Playbook'ları kullanmadan yanlış/zararsız pozitif olduğu bilinen olayları otomatik olarak çözmek için kuralları kullanabilirsiniz. Örneğin, sızma testlerini çalıştırırken, zamanlanmış bakım veya yükseltmeler yaparken veya otomasyon yordamlarını test ederken, SOC'nin yoksaymak istediği birçok hatalı pozitif olay oluşturulabilir. Zaman sınırlı bir otomasyon kuralı, oluşturuldukları sırada bu olayları otomatik olarak kapatabilir ve nesillerinin nedenini açıklayıcı bir şekilde etiketleyebilir.

    Zaman sınırlı otomasyon

    Otomasyon kurallarınız için son kullanma tarihleri ekleyebilirsiniz. Zaman sınırlı otomasyona izin veren olay engelleme dışında durumlar olabilir. Belirli bir zaman dilimi için belirli bir kullanıcıya (örneğin, stajyer veya danışman) belirli bir olay türü atamak isteyebilirsiniz. Zaman çerçevesi önceden biliniyorsa, kuralın ilgisi sonunda, bunu hatırlamak zorunda kalmadan etkin bir şekilde devre dışı bırakılmasına neden olabilirsiniz.

    Olayları otomatik olarak etiketleme

    Olayları seçtiğiniz ölçütlere göre gruplandırmak veya sınıflandırmak için olaylara otomatik olarak serbest metin etiketleri ekleyebilirsiniz.

    Güncelleştirme tetikleyicisi tarafından eklenen kullanım örnekleri

    Olaylarda yapılan değişiklikler otomasyon kurallarını tetikleyebildiğine göre, otomasyona daha fazla senaryo açıktır.

    Olay geliştikçe otomasyonu genişletme

    Araştırma ilerledikçe ve analistler uyarı, açıklama ve etiket ekledikçe yukarıdaki kullanım örneklerinin çoğunu olaylara uygulamak için güncelleştirme tetikleyicisini kullanabilirsiniz. Olaylardaki uyarı gruplandırmalarını denetleme.

    Düzenlemeyi ve bildirimi güncelleştirme

    Olaylarda değişiklik yapıldığında, kritik güncelleştirmeleri kaçırmamaları için çeşitli ekiplerinize ve diğer personelinize bildirin. Olayları yeni sahiplere atayarak ve yeni sahiplere atamaları hakkında bilgi vererek olayları yükseltin. Olayların ne zaman ve nasıl yeniden açılıp açılmayınca kontrol edilir.

    Dış sistemlerle eşitlemeyi koruma

    Olaylar oluşturulduğunda dış sistemlerde bilet oluşturmak için playbook'lar kullandıysanız, bu biletleri güncelleştiren bir playbook'u çağırmak için bir güncelleştirme tetikleyicisi otomasyon kuralı kullanabilirsiniz.

    Otomasyon kuralları yürütme

    Otomasyon kuralları, belirlediğiniz sıraya göre sıralı olarak çalıştırılır. Her otomasyon kuralı, bir önceki çalıştırmayı tamamladıktan sonra yürütülür. Otomasyon kuralında, tüm eylemler tanımlanma sırasına göre sıralı olarak çalıştırılır.

    Otomasyon kuralı içindeki Playbook eylemleri, bazı durumlarda aşağıdaki ölçütlere göre farklı şekilde ele alınabilir:

    Playbook çalışma zamanı Otomasyon kuralı sonraki eyleme ilerler...
    Bir saniyeden kısa Playbook tamamlandıktan hemen sonra
    İki dakikadan kısa Playbook çalışmaya başladıktan en fazla iki dakika sonra,
    ancak playbook tamamlandıktan sonra en fazla 10 saniye
    İki dakikadan uzun Playbook çalışmaya başladıktan iki dakika sonra,
    tamamlanıp tamamlanmadığına bakılmaksızın

    Otomasyon kurallarının playbook'ları çalıştırma izinleri

    Microsoft Sentinel otomasyon kuralı bir playbook çalıştırdığında, bu eylem için özel olarak yetkilendirilmiş özel bir Microsoft Sentinel hizmet hesabı kullanır. Bu hesabın kullanımı (kullanıcı hesabınızın aksine) hizmetin güvenlik düzeyini artırır.

    Otomasyon kuralının playbook çalıştırması için bu hesaba playbook'un bulunduğu kaynak grubu için açık izinler verilmesi gerekir. Bu noktada, herhangi bir otomasyon kuralı bu kaynak grubundaki herhangi bir playbook'u çalıştırabilir.

    Otomasyon kuralı yapılandırırken ve playbook çalıştırma eylemi eklerken , playbook'ların açılan listesi görüntülenir. Microsoft Sentinel'in izinlere sahip olmadığı playbook'lar kullanılamaz ("gri gösteriliyor") olarak görüntülenir. Playbook izinlerini yönet bağlantısını seçerek playbook'ların kaynak gruplarına yerinde Microsoft Sentinel izni vekleyebilirsiniz. Bu izinleri vermek için bu kaynak gruplarında Sahip izinlerine sahip olmanız gerekir. Tam izin gereksinimlerine bakın.

    Çok kiracılı mimarideki izinler

    Otomasyon kuralları, çalışma alanları arası ve çok kiracılı dağıtımları tam olarak destekler (çok kiracılı olması durumunda Azure Lighthouse'un kullanılması durumunda).

    Bu nedenle, Microsoft Sentinel dağıtımınız çok kiracılı bir mimari kullanıyorsa, bir kiracıda otomasyon kuralının farklı bir kiracıda bulunan bir playbook çalıştırmasını sağlayabilirsiniz, ancak Sentinel'in playbook'ları çalıştırma izinleri, otomasyon kurallarının tanımlandığı kiracıda değil, playbook'ların bulunduğu kiracıda tanımlanmalıdır.

    Bir hizmet sağlayıcısı kiracısının bir müşteri kiracısında Microsoft Sentinel çalışma alanını yönettiği Yönetilen Güvenlik Hizmeti Sağlayıcısı (MSSP) söz konusu olduğunda, dikkatinizi çeken iki özel senaryo vardır:

    • Müşteri kiracısında oluşturulan bir otomasyon kuralı, hizmet sağlayıcısı kiracısında bulunan bir playbook'u çalıştıracak şekilde yapılandırılır.

      Bu yaklaşım normalde playbook'taki fikri mülkiyeti korumak için kullanılır. Bu senaryo için özel bir şey gerekli değildir. Otomasyon kuralınızda bir playbook eylemi tanımlarken ve playbook'un bulunduğu ilgili kaynak grubunda Microsoft Sentinel izinleri verebileceğiniz aşamaya gelirsiniz (playbook izinlerini yönet panelini kullanarak), aralarından seçim yapabileceğiniz hizmet sağlayıcısı kiracısına ait kaynak gruplarını görebilirsiniz. Burada özetlenen sürecin tamamına bakın.

    • Müşteri çalışma alanında oluşturulan bir otomasyon kuralı (hizmet sağlayıcısı kiracısında oturum açmışken), müşteri kiracısında bulunan bir playbook'u çalıştıracak şekilde yapılandırılır.

      Bu yapılandırma, fikri mülkiyetin korunmasına gerek kalmadığında kullanılır. Bu senaryonun çalışması için playbook'u yürütme izinlerinin her iki kiracıda da Microsoft Sentinel'e verilmesi gerekir. Müşteri kiracısında, yukarıdaki senaryoda olduğu gibi playbook izinlerini yönet panelinde bu kullanıcılara izin verirsiniz. Hizmet sağlayıcısı kiracısında ilgili izinleri vermek için, playbook'un bulunduğu kaynak grubunda Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolüyle Azure Security Insights uygulamasına erişim hakları veren ek bir Azure Lighthouse temsilcisi eklemeniz gerekir.

      Senaryo şöyle görünür:

      Çok kiracılı otomasyon kuralı mimarisi

      Bunu ayarlama yönergelerimize bakın.

    Otomasyon kurallarını oluşturma ve yönetme

    İhtiyaç ve kullanım örneğine bağlı olarak Microsoft Sentinel'de veya Defender portalında farklı alanlardan otomasyon kuralları oluşturabilir ve yönetebilirsiniz.

    • Otomasyon sayfası

      Otomasyon kuralları, Otomasyon kuralları sekmesindeki Otomasyon sayfasında merkezi olarak yönetilebilir. Buradan yeni otomasyon kuralları oluşturabilir ve mevcut kuralları düzenleyebilirsiniz. Ayrıca otomasyon kurallarını sürükleyerek yürütme sırasını değiştirebilir ve bunları etkinleştirebilir veya devre dışı bırakabilirsiniz.

      Otomasyon sayfasında, çalışma alanında tanımlanan tüm kuralların yanı sıra durumlarını (Etkin/Devre Dışı) ve hangi analiz kurallarının uygulandığını görürsünüz.

      Microsoft Defender XDR veya Microsoft Sentinel'deki birçok analiz kuralından gelen olaylar için geçerli olan bir otomasyon kuralına ihtiyacınız olduğunda, bunu doğrudan Otomasyon sayfasında oluşturun.

    • Analiz kuralı sihirbazı

      Microsoft Sentinel analiz kuralı sihirbazının Otomatik yanıt sekmesinde, Otomasyon kuralları altında, sihirbazda oluşturulan veya düzenlenen belirli analiz kuralına uygulanan otomasyon kurallarını görüntüleyebilir, düzenleyebilir ve oluşturabilirsiniz.

      Buradan bir otomasyon kuralı oluşturduğunuzda, Yeni otomasyon kuralı oluştur paneli analiz kuralı koşulunu kullanılamaz olarak gösterir çünkü bu kural zaten yalnızca sihirbazda düzenlediğiniz analiz kuralına uygulanacak şekilde ayarlanmıştır. Diğer tüm yapılandırma seçenekleri hala kullanılabilir durumdadır.

    • Olaylar sayfası

      Yinelenen tek bir olaya yanıt vermek için Olaylar sayfasından da bir otomasyon kuralı oluşturabilirsiniz. Bu, "gürültülü" olayları otomatik olarak kapatmak için bir gizleme kuralı oluştururken kullanışlıdır.

      Buradan bir otomasyon kuralı oluşturduğunuzda, Yeni otomasyon kuralı oluştur paneli tüm alanları olaydaki değerlerle doldurur. Kuralı olayla aynı adı alır, olayı oluşturan analiz kuralına uygular ve kuralın koşulları olarak olaydaki kullanılabilir tüm varlıkları kullanır. Ayrıca varsayılan olarak bir gizleme (kapatma) eylemi önerir ve kural için bir son kullanma tarihi önerir. Koşulları ve eylemleri ekleyebilir veya kaldırabilir ve istediğiniz gibi son kullanma tarihini değiştirebilirsiniz.

    Otomasyon kurallarını dışarı ve içeri aktarma

    Microsoft Sentinel dağıtımlarınızı kod olarak yönetme ve denetleme kapsamında otomasyon kurallarınızı Azure Resource Manager (ARM) şablon dosyalarına aktarın ve bu dosyalardan kuralları içeri aktarın. Dışarı aktarma eylemi, tarayıcınızın indirme konumunda bir JSON dosyası oluşturur ve bu dosyayı diğer dosyalar gibi yeniden adlandırabilir, taşıyabilir ve başka şekilde işleyebilirsiniz.

    Dışarı aktarılan JSON dosyası çalışma alanından bağımsızdır, bu nedenle diğer çalışma alanlarına ve hatta diğer kiracılara aktarılabilir. Kod olarak, yönetilen bir CI/CD çerçevesinde sürüm denetimi, güncelleştirme ve dağıtım da yapılabilir.

    Dosya, otomasyon kuralında tanımlanan tüm parametreleri içerir. Herhangi bir tetikleyici türünün kuralları bir JSON dosyasına aktarılabilir.

    Otomasyon kurallarını dışarı ve içeri aktarma yönergeleri için bkz . Microsoft Sentinel otomasyon kurallarını dışarı ve içeri aktarma.

    Sonraki adımlar

    Bu belgede, otomasyon kurallarının Microsoft Sentinel olayları ve uyarıları için yanıt otomasyonlarını merkezi olarak yönetmenize nasıl yardımcı olabileceğini öğrendiniz.

    • Olayları yönetmek için Microsoft Sentinel otomasyon kuralları oluşturun ve kullanın.
    • Analistler için görev listeleri oluşturmak için otomasyon kurallarını kullanın.
    • Gelişmiş otomasyon seçenekleri hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme.
    • Playbook'ları uygulama konusunda yardım için bkz . Öğretici: Microsoft Sentinel'de tehdit yanıtlarını otomatikleştirmek için playbook'ları kullanma.