Aracılığıyla paylaş

Microsoft Sentinel'de analiz kurallarınız için ince ayar önerileri alın

  • Makale

Önemli

Algılama ayarı şu anda ÖNİzLEME aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları .

SIEM'inizdeki tehdit algılama kurallarının ince ayarı, tehdit algılama kapsamınızı en üst düzeye çıkarmak ve hatalı pozitif oranları en aza indirmek arasında zor, hassas ve sürekli bir dengeleme süreci olabilir. Microsoft Sentinel, veri kaynaklarınızdan gelen milyarlarca sinyali analiz etmek ve zaman içindeki olaylara verilen yanıtları analiz etmek, desenleri çözmek ve size ayarlama ek yükünüzü önemli ölçüde azaltabilecek eyleme dönüştürülebilir öneriler ve içgörüler sağlayarak ve gerçek tehditleri algılamaya ve yanıtlamaya odaklanmanıza olanak tanıyarak bu süreci basitleştirir ve kolaylaştırır.

Ayarlama önerileri ve içgörüleri artık analiz kurallarınızda yerleşik olarak bulunur. Bu makalede bu içgörülerin ne gösterdiği ve önerileri nasıl uygulayabileceğiniz açıklanmaktadır.

Kural içgörülerini görüntüleme ve önerileri ayarlama

Microsoft Sentinel'in analiz kurallarınızdan herhangi biri için ayarlama önerileri olup olmadığını görmek için Microsoft Sentinel gezinti menüsünden Analiz'i seçin.

Önerileri olan tüm kurallar, burada gösterildiği gibi bir ampul simgesi görüntüler:

Öneri göstergesiyle analiz kuralları listesinin ekran görüntüsü.

Önerileri ve diğer içgörüleri görüntülemek için kuralı düzenleyin. Analiz kuralı sihirbazının Kural mantığını ayarla sekmesinde, Sonuçlar benzetimi görüntüsünün altında birlikte görünürler.

Analiz kuralındaki içgörüleri ayarlama ekran görüntüsü.

İçgörü türleri

Ayarlama içgörüleri ekranı, kaydırabileceğiniz veya çekebileceğiniz ve her biri size farklı bir şey gösteren çeşitli bölmelerden oluşur. İçgörülerin görüntülendiği zaman çerçevesi (14 gün) çerçevenin en üstünde gösterilir.

  1. İlk içgörü bölmesinde bazı istatistiksel bilgiler görüntülenir. Olay başına uyarı sayısı, açık olay sayısı ve kapalı olayların sayısı sınıflandırmaya göre gruplandırılır (doğru/yanlış pozitif). Bu içgörü, bu kural üzerindeki yükü anlamanıza ve herhangi bir ayarlama gerekip gerekmediğini anlamanıza (örneğin gruplandırma ayarlarının ayarlanması gerekiyorsa) yardımcı olur.

    Kural verimliliği içgörüsünün ekran görüntüsü.

    Bu içgörü, Log Analytics sorgusunun sonucudur. Olay başına ortalama uyarı'nın seçilmesi sizi Log Analytics'te içgörü oluşturan sorguya götürür. Olayları aç'ı seçtiğinizde Olaylar dikey penceresi açılır.

  2. İkinci içgörü bölmesi, dışlanacak varlıkların listesini önerir. Bu varlıklar, kapattığınız olaylarla yüksek oranda ilişkilidir ve hatalı pozitif olarak sınıflandırılır. Bu kuralın gelecekteki yürütmelerinde sorgunun dışında tutmak için listelenen her varlığın yanındaki artı işaretini seçin.

    Varlık dışlama önerisinin ekran görüntüsü.

    Bu öneri, Microsoft'un gelişmiş veri bilimi ve makine öğrenmesi modelleri tarafından oluşturulur. Bu bölmenin Ayarlama içgörüleri ekranına eklenmesi, gösterilecek öneriler olmasına bağlıdır.

  3. Üçüncü içgörü bölmesi, bu kural tarafından oluşturulan tüm uyarılarda en sık görüntülenen dört eşlenmiş varlığı gösterir. Bu içgörünün herhangi bir sonuç üretmesi için kuralda varlık eşlemesi yapılandırılmalıdır. Bu içgörü, "öne çıkanları" ve dikkatleri diğer varlıklardan uzaklaştıran varlıkları fark etmenize yardımcı olabilir. Bu varlıkları farklı bir kuralda ayrı ayrı işlemek isteyebilir veya bunların hatalı pozitif veya başka bir kirlilik olduğuna karar verebilir ve bunları kuraldan dışlayabilirsiniz.

    En iyi varlıklar içgörülerinin ekran görüntüsü.

    Bu içgörü, Log Analytics sorgusunun sonucudur. Varlıklardan herhangi birini seçtiğinizde log analytics'te içgörü oluşturan sorguya götürür.

Sonraki adımlar

Daha fazla bilgi için bkz.