Aracılığıyla paylaş

Microsoft güvenlik uyarılarından otomatik olarak olay oluşturma

  • Makale

Bulut için Microsoft Defender Uygulamaları ve Kimlik için Microsoft Defender gibi Microsoft Sentinel'e bağlı Microsoft güvenlik çözümlerinde tetiklenen uyarılar, Microsoft Sentinel'de otomatik olarak olay oluşturmaz. Varsayılan olarak, bir Microsoft çözümünü Microsoft Sentinel'e bağladığınızda, bu hizmette oluşturulan tüm uyarılar alınıp Microsoft Sentinel çalışma alanınızdaki SecurityAlert tablosunda depolanır. Daha sonra bu verileri, Microsoft Sentinel'e alınan diğer ham veriler gibi kullanabilirsiniz.

Bu makaledeki yönergeleri izleyerek Microsoft Sentinel'i, bağlı bir Microsoft güvenlik çözümünde her uyarı tetiklendiğinde otomatik olarak olaylar oluşturacak şekilde kolayca yapılandırabilirsiniz.

Önemli

Aşağıdakiler varsa bu makale geçerli değildir:

  • Microsoft Defender XDR olay tümleştirmesi etkinleştirildi veya
  • Microsoft Sentinel birleşik güvenlik operasyonları platformuna eklendi.

Bu senaryolarda Microsoft Defender XDR, Microsoft hizmetleri'de oluşturulan uyarılardan olaylar oluşturur.

Önkoşullar

Microsoft Sentinel'deki Content Hub'dan uygun çözümü yükleyip veri bağlayıcısını ayarlayarak güvenlik çözümünüzü bağlayın. Daha fazla bilgi için bkz. Microsoft Sentinel kullanıma hazır içeriği ve Microsoft Sentinel veri bağlayıcılarını bulma ve yönetme.

Veri bağlayıcısında otomatik olay oluşturmayı etkinleştirme

Microsoft güvenlik çözümlerinden oluşturulan uyarılardan otomatik olarak olay oluşturmanın en doğrudan yolu, çözümün veri bağlayıcısını olaylar oluşturacak şekilde yapılandırmaktır:

  1. Microsoft güvenlik çözümü veri kaynağını bağlayın.

    Veri bağlayıcısı yapılandırma ekranının ekran görüntüsü.

  2. Olay oluştur – Önerilen altında Etkinleştir'i seçerek bağlı güvenlik hizmetinde oluşturulan uyarılardan otomatik olarak olaylar oluşturan varsayılan analiz kuralını etkinleştirin. Ardından bu kuralı Analytics ve ardından Etkin kurallar altında düzenleyebilirsiniz.

    Önemli

    Bu bölümü gösterildiği gibi görmüyorsanız, büyük olasılıkla Microsoft Defender XDR bağlayıcınızda olay tümleştirmesini etkinleştirmişsinizdir veya Microsoft Sentinel'i Microsoft Defender portalındaki birleşik güvenlik işlemleri platformuna eklemişsinizdir.

    Her iki durumda da, olaylarınız Microsoft Sentinel yerine Microsoft Defender bağıntı altyapısı tarafından oluşturulduğundan, bu makale ortamınız için geçerli değildir.

Microsoft Güvenlik şablonundan olay oluşturma kuralları oluşturma

Microsoft Sentinel, Microsoft Güvenlik kuralları oluşturmak için hazır kural şablonları sağlar. Her Microsoft kaynak çözümünün kendi şablonu vardır. Örneğin, Uç Nokta için Microsoft Defender için bir tane, Bulut için Microsoft Defender için bir tane vb. vardır. Ortamınızdaki çözümlere karşılık gelen ve olayları otomatik olarak oluşturmak istediğiniz her şablondan bir kural oluşturun. Hangi uyarıların olaylara neden olması gerektiğini filtrelemek için daha belirli seçenekler tanımlamak için kuralları değiştirin. Örneğin, Microsoft Sentinel olaylarını otomatik olarak yalnızca Kimlik için Microsoft Defender yüksek önem derecesine sahip uyarılardan oluşturmayı seçebilirsiniz.

  1. Microsoft Sentinel gezinti menüsündeki Yapılandırma'nın altında Analiz'i seçin.

  2. Tüm analiz kuralı şablonlarını görmek için Kural şablonları sekmesini seçin. Daha fazla kural şablonu bulmak için Microsoft Sentinel'de İçerik hub'ına gidin.

    Analiz sayfasındaki kural şablonları listesinin ekran görüntüsü.

  3. Microsoft uyarılarından olay oluşturmaya yönelik analiz kuralı şablonlarını görmek için Microsoft güvenlik kuralı türü listesini filtreleyin.

    Microsoft güvenlik kuralı şablonları listesinin ekran görüntüsü.

  4. Olay oluşturmak istediğiniz uyarı kaynağının kural şablonunu seçin. Ardından ayrıntılar bölmesinde Kural oluştur'u seçin.

    Kural şablonu ayrıntıları panelinin ekran görüntüsü.

  5. Olay oluşturacak uyarıları uyarı önem derecesine veya uyarının adında yer alan metne göre filtreleyerek kural ayrıntılarını değiştirin.

    Örneğin, Microsoft güvenlik hizmeti alanında Kimlik için Microsoft Defender ve Önem derecesine göre filtrele alanında Yüksek'i seçerseniz, Microsoft Sentinel'de otomatik olarak yalnızca yüksek önem derecesine sahip güvenlik uyarıları güvenlik olayları oluşturur.

    Kural oluşturma sihirbazının ekran görüntüsü.

  6. Diğer analiz kuralları türlerinde olduğu gibi, olaylar bu kural tarafından oluşturulduğunda çalıştırılan otomasyon kurallarını tanımlamak için Otomatik yanıt sekmesini seçin.

Sıfırdan olay oluşturma kuralları oluşturma

Ayrıca, farklı Microsoft güvenlik hizmetlerinden gelen uyarıları filtreleyen yeni bir Microsoft güvenlik kuralı da oluşturabilirsiniz. Analiz sayfasında Microsoft olay oluşturma kuralı oluştur'u > seçin.

Analiz sayfasında Microsoft Güvenlik kuralı oluşturma işleminin ekran görüntüsü.

Microsoft güvenlik hizmeti türü başına birden fazla Microsoft Güvenlik analizi kuralı oluşturabilirsiniz. Bu, birbirini dışlayan her kurala filtre uygularsanız yinelenen olaylar oluşturmaz.

Sonraki adımlar