Şablonlardan zamanlanmış analiz kuralları oluşturma

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Şimdiye kadar en yaygın analiz kuralı türü olan Zamanlanmış kurallar, düzenli aralıklarla çalışacak ve tanımlı bir "lookback" döneminden ham verileri inceleyecek şekilde yapılandırılan Kusto sorgularını temel alır. Bu sorgular, hedef verilerinde karmaşık istatistiksel işlemler gerçekleştirebilir ve olay gruplarında taban çizgilerini ve aykırı değerleri ortaya çıkarır. Sorgu tarafından yakalanan sonuç sayısı kuralda yapılandırılan eşiği geçerse, kural bir uyarı oluşturur.

Microsoft, İçerik hub'ında sağlanan birçok çözüm aracılığıyla kullanabileceğiniz çok çeşitli analiz kuralı şablonları sunar ve kurallarınızı oluşturmak için bunları kullanmanızı kesinlikle teşvik eder. Zamanlanmış kural şablonlarındaki sorgular, Microsoft'tan veya şablonu sağlayan çözümün satıcısı tarafından güvenlik ve veri bilimi uzmanları tarafından yazılır.

Bu makalede, şablon kullanarak zamanlanmış analiz kuralının nasıl oluşturulacağı gösterilmektedir.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Mevcut analiz kurallarını görüntüleme

Microsoft Sentinel'de yüklü analiz kurallarını görüntülemek için Analiz sayfasına gidin. Kural şablonları sekmesi tüm yüklü kural şablonlarını görüntüler. Daha fazla kural şablonu bulmak için Microsoft Sentinel'deki İçerik hub'ına giderek ilgili ürün çözümlerini veya tek başına içeriği yükleyin.

Azure portalı

1. Microsoft Sentinel gezinti menüsünün Yapılandırma bölümünde Analiz'i seçin.

2. Analiz ekranında Kural şablonları sekmesini seçin.

3. Zamanlanmış şablonlar listesini filtrelemek istiyorsanız:

   1. Filtre ekle'yi seçin ve filtre listesinden Kural türü'nü seçin.

   2. Sonuçta elde edilen listeden Zamanlanmış'ı seçin. Ardından Uygula'yı seçin.

   

Defender portalı

1. Microsoft Defender gezinti menüsünden Microsoft Sentinel'i ve ardından Yapılandırma'yı genişletin. Analizler seçeneğini belirleyin.

2. Analiz ekranında Kural şablonları sekmesini seçin.

3. Zamanlanmış şablonlar listesini filtrelemek istiyorsanız:

   1. Filtre ekle'yi seçin ve filtre listesinden Kural türü'nü seçin.

   2. Sonuçta elde edilen listeden Zamanlanmış'ı seçin. Ardından Uygula'yı seçin.

   

Şablondan kural oluşturma

Bu yordamda bir şablondan analiz kuralının nasıl oluşturulacağı açıklanır.

Azure portalı

Microsoft Sentinel gezinti menüsünün Yapılandırma bölümünde Analiz'i seçin.

Defender portalı

Microsoft Defender gezinti menüsünden Microsoft Sentinel'i ve ardından Yapılandırma'yı genişletin. Analizler seçeneğini belirleyin.

1. Analiz ekranında Kural şablonları sekmesini seçin.

2. Bir şablon adı seçin ve ardından ayrıntılar bölmesinde kural oluştur düğmesini seçerek bu şablonu temel alan yeni bir etkin kural oluşturun.

   Her şablonun gerekli veri kaynaklarının bir listesi vardır. Şablonu açtığınızda veri kaynakları otomatik olarak kullanılabilirlik açısından denetleniyor. Veri kaynağı etkinleştirilmemişse Kural oluştur düğmesi devre dışı bırakılmış olabilir veya bu etkiye ilişkin bir ileti görebilirsiniz.

   

3. Kural oluşturma sihirbazı açılır. Tüm ayrıntılar otomatik olarak doldurulur.

4. Sihirbazın sekmeleri arasında geçiş yaparak mantığı ve diğer kural ayarlarını özelleştirerek gereksinimlerinize daha uygun hale getirmek mümkündür.

   Kural oluşturma sihirbazının sonuna vardığınızda, Microsoft Sentinel kuralı oluşturur. Yeni kural Etkin kurallar sekmesinde görünür.

   Daha fazla kural oluşturmak için işlemi yineleyin. Kural oluşturma sihirbazında kurallarınızı özelleştirme hakkında daha fazla bilgi için bkz . Sıfırdan özel analiz kuralı oluşturma.

İpucu

• Ortamınız için tam güvenlik kapsamı sağlamak için bağlı veri kaynaklarınızla ilişkili tüm kuralları etkinleştirdiğinizden emin olun. Analiz kurallarını etkinleştirmenin en verimli yolu, doğrudan ilgili kuralların listelendiği veri bağlayıcısı sayfasından yapılır. Daha fazla bilgi için bkz. Bağlan veri kaynakları.

• Ayrıca API ve PowerShell aracılığıyla Microsoft Sentinel'e kurallar gönderebilirsiniz, ancak bunu yapmak için ek çaba gerekir.

  API veya PowerShell kullanırken, kuralları etkinleştirmeden önce kuralları JSON'a aktarmanız gerekir. API veya PowerShell, Microsoft Sentinel'in birden çok örneğinde kuralları her örnekte aynı ayarlarla etkinleştirirken yararlı olabilir.

Sonraki adımlar

Bu belgede, Microsoft Sentinel'deki şablonlardan zamanlanmış analiz kuralları oluşturmayı öğrendiniz.

• Analiz kuralları hakkında daha fazla bilgi edinin.
• Sıfırdan analiz kuralı oluşturmayı öğrenin.