Aracılığıyla paylaş

Microsoft Sentinel'de uyarıları olaylarla ilişkilendirme

  • Makale

Bu makalede, Uyarıların Microsoft Sentinel'deki olaylarınızla nasıl ilişkilendirileceği gösterilmektedir. Bu özellik, araştırma süreçlerinizin bir parçası olarak mevcut olaylara el ile veya otomatik olarak uyarılar eklemenize veya bu uyarıları kaldırmanıza olanak tanır ve araştırma devam ettikçe olay kapsamını iyileştirebilirsiniz.

Önemli

Olay genişletme şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Olaylarınızın kapsamını ve gücünü genişletme

Bu özelliğin size sağladığı bir şey, başka bir veri kaynağı tarafından oluşturulan olaylara bir veri kaynağından gelen uyarıları dahil etmektir. Örneğin, microsoft Defender XDR'den Microsoft Sentinel'e aktarılan olaylara Bulut için Microsoft Defender veya çeşitli üçüncü taraf veri kaynaklarından uyarılar ekleyebilirsiniz.

Bu özellik, Microsoft Sentinel API'sinin en son sürümünde yerleşiktir. Bu, Microsoft Sentinel için Logic Apps bağlayıcısı tarafından kullanılabildiği anlamına gelir. Bu nedenle playbook'ları kullanarak belirli koşullar karşılandığında bir olaya otomatik olarak uyarı ekleyebilirsiniz.

El ile oluşturulan olaylara uyarılar eklemek, özel bağıntılar oluşturmak veya oluşturulduklarında uyarıları olaylara gruplandırmak için özel ölçütler tanımlamak için de bu otomasyonu kullanabilirsiniz.

Sınırlamalar

  • Microsoft Sentinel, Microsoft Defender XDR'den hem uyarıları hem de olayları içeri aktarır. Çoğunlukla bu uyarıları ve olayları normal Microsoft Sentinel uyarıları ve olayları gibi değerlendirebilirsiniz.

    Bununla birlikte, Defender olaylarına Yalnızca Defender uyarılarını ekleyebilirsiniz (veya bunları Kaldırabilirsiniz), Sentinel portalında ekleyemezsiniz. Bunu Microsoft Sentinel'de yapmayı denerseniz bir hata iletisi alırsınız. Microsoft Sentinel olayındaki bağlantıyı kullanarak Microsoft Defender Portalı'nda olaya özetleyebilirsiniz. Yine de endişelenmeyin; Microsoft Defender Portalı'nda olayda yaptığınız tüm değişiklikler Microsoft Sentinel'deki paralel olayla eşitlenir, bu nedenle olaya eklenen uyarıları Sentinel portalında görmeye devam edersiniz.

    Microsoft Sentinel portalında Defender dışı olaylara Microsoft Defender XDR uyarıları ve Defender dışı uyarıları Defender olaylarına ekleyebilirsiniz.

  • Microsoft Sentinel'i birleşik güvenlik operasyonları portalına eklediyseniz, artık Microsoft Sentinel uyarılarını olaylara ekleyemez veya Microsoft Sentinel uyarılarını Microsoft Sentinel'de (Azure portalında) güvenlik olaylarından kaldırasınız. Bunu yalnızca Microsoft Defender portalında yapabilirsiniz. Daha fazla bilgi için bkz . Portallar arasındaki yetenek farklılıkları.

  • Bir olay en fazla 150 uyarı içerebilir. 150 uyarı içeren bir olaya uyarı eklemeyi denerseniz bir hata iletisi alırsınız.

Varlık zaman çizelgesini kullanarak uyarılar ekleme (Önizleme)

Yeni olay deneyiminde (şimdi Önizlemede) öne çıkan varlık zaman çizelgesi, belirli bir olay araştırmasında tüm varlıkları sunar. Listedeki bir varlık seçildiğinde, yan panelde minyatür bir varlık sayfası görüntülenir.

  1. Microsoft Sentinel gezinti menüsünden Olaylar'ı seçin.

    Kılavuzda görüntülenen yeni olay kuyruğunun ekran görüntüsü.

  2. Araştırılması gereken bir olay seçin. Olay ayrıntıları panelinde Tüm ayrıntıları görüntüle'yi seçin.

  3. Olay sayfasında Varlıklar sekmesini seçin.

    Olay sayfasındaki varlıklar sekmesinin ekran görüntüsü.

  4. Listeden bir varlık seçin.

  5. Varlık sayfası yan panelinde Zaman Çizelgesi kartını seçin.

    Olay sayfasının varlıklar sekmesinde varlık zaman çizelgesi kartının ekran görüntüsü.

  6. Açık olayın dışından bir uyarı seçin. Bunlar, gri bir kalkan simgesi ve önem derecesini temsil eden noktalı çizgi renk bandı ile gösterilir. Uyarının sağ ucundaki artı işareti simgesini seçin.

    Varlık zaman çizelgesinde dış uyarının görünümünün ekran görüntüsü.

  7. Tamam'ı seçerek uyarıyı olaya eklemeyi onaylayın. Uyarının olaya eklendiğini onaylayan veya neden eklenmediğini açıklayan bir bildirim alırsınız. Varlık zaman çizelgesinde bir olaya uyarı ekleme işleminin ekran görüntüsü.

Eklenen uyarının genel bakış sekmesindeki açık olayın Zaman Çizelgesi pencere öğesinde tam renkli kalkan simgesi ve olaydaki diğer uyarılar gibi düz çizgi renk bandıyla gösterildiğini göreceksiniz.

Eklenen uyarı artık olayın tam bir parçasıdır ve eklenen uyarıdaki (henüz olayın parçası olmayan) tüm varlıklar da olayın bir parçası haline gelmiştir. Artık bu varlıkların olaya eklenebilecek diğer uyarıları için zaman çizelgelerini inceleyebilirsiniz.

Bir olaydan uyarıyı kaldırma

Bir olaya el ile veya otomatik olarak eklenen uyarılar da bir olaydan kaldırılabilir.

  1. Microsoft Sentinel gezinti menüsünden Olaylar'ı seçin.

  2. Araştırılması gereken bir olay seçin. Olay ayrıntıları panelinde Tüm ayrıntıları görüntüle'yi seçin.

  3. Genel Bakış sekmesinde, Olay zaman çizelgesi pencere öğesinde, olaydan kaldırmak istediğiniz uyarının yanındaki üç noktayı seçin. Açılır menüden Uyarıyı kaldır'ı seçin.

    Olay zaman çizelgesindeki bir olaydan uyarının nasıl kaldırılacağını gösteren ekran görüntüsü.

Araştırma grafiğini kullanarak uyarı ekleme

Araştırma grafiği , bağlantıları ve desenleri sunan ve analistlerinizin doğru soruları sormasını ve müşteri adaylarını takip etmesini sağlayan görsel, sezgisel bir araçtır. Bu uyarıyı kullanarak uyarıları olaylarınıza ekleyebilir ve olaylarınızdan kaldırabilir, araştırmanızın kapsamını genişletebilir veya daraltabilirsiniz.

  1. Microsoft Sentinel gezinti menüsünden Olaylar'ı seçin.

    Kılavuzda görüntülenen olay kuyruğunun ekran görüntüsü.

  2. Araştırılması gereken bir olay seçin. Olay ayrıntıları panelinde Eylemler düğmesini seçin ve açılır menüden Araştır'ı seçin. Bu işlem araştırma grafiğini açar.

    Araştırma grafında uyarıların olduğu olayların ekran görüntüsü.

  3. Keşif sorgularının listesini kendi tarafında görüntülemek için herhangi bir varlığın üzerine gelin. İlgili uyarılar'ı seçin.

    Araştırma grafında uyarı araştırma sorgularının ekran görüntüsü.

    İlgili uyarılar, varlığa noktalı çizgilerle bağlanmış olarak görünür.

    Araştırma grafında görüntülenen ilgili uyarıların ekran görüntüsü.

  4. Bir menü yan yana açılana kadar ilgili uyarılardan birinin üzerine gelin. Olaya uyarı ekle (Önizleme) öğesini seçin.

    Araştırma grafında bir olaya uyarı ekleme işleminin ekran görüntüsü.

  5. Uyarı olaya eklenir ve tüm amaçlar için tüm varlıkları ve ayrıntılarıyla birlikte olayın bir parçasıdır. Bunun iki görsel gösterimini görürsünüz:

    • Araştırma grafiğindeki varlığa bağlayan çizgi noktalı yerine düz olarak değiştirildi ve eklenen uyarıdaki varlıklara bağlantılar grafiğe eklendi.

      Olaya eklenen uyarıyı gösteren ekran görüntüsü.

    • Uyarı artık bu olayın zaman çizelgesinde ve zaten orada olan uyarılarla birlikte görünür.

      Bir olayın zaman çizelgesine eklenen uyarıyı gösteren ekran görüntüsü.

Özel durumlar

Olaya uyarı eklerken, koşullara bağlı olarak isteğinizi onaylamanız veya farklı seçenekler arasından seçim yapmanız istenebilir. Bu durumlara, sizden istenecek seçimlere ve bunların etkilerine ilişkin bazı örnekler aşağıda verilmiştir.

  • Eklemek istediğiniz uyarı zaten başka bir olaya ait.

    Bu durumda uyarının başka bir olay veya olayın parçası olduğunu belirten ve devam etmek isteyip istemediğinizi soran bir ileti görürsünüz. Uyarıyı eklemek için Tamam'ı veya öğeleri olduğu gibi bırakmak için İptal'i seçin.

    Uyarının bu olaya eklenmesi, uyarıyı diğer olaylardan kaldırmaz . Uyarılar birden fazla olayla ilgili olabilir. İsterseniz, yukarıdaki ileti isteminde yer alan bağlantıları izleyerek uyarıyı diğer olaylardan el ile kaldırabilirsiniz.

  • Eklemek istediğiniz uyarı başka bir olaya aittir ve diğer olaydaki tek uyarıdır.

    Bu durum yukarıdaki durumdan farklıdır, çünkü uyarı diğer olayda tek başınaysa, bu olayda izlemek diğer olayı ilgisiz hale getirebilir. Bu durumda şu iletişim kutusunu görürsünüz:

    Başka bir olayın tutulup tutulmayacağını veya kapatılıp kapatılmayacağını soran ekran görüntüsü.

    • Diğer olayları koru seçeneği diğer olayı olduğu gibi korurken uyarıyı da buna ekler.

    • Diğer olayı kapat, uyarıyı bu olaya ekler ve diğer olayı kapatır, kapanış nedenini "Belirsiz" ve açık olayın numarasıyla birlikte "Uyarı başka bir olaya eklendi" açıklamasını ekler.

    • İptal , durum kuo'yu bırakır. Açık olayda veya başvuruda bulunan diğer olaylarda hiçbir değişiklik yapmaz.

    Bu seçeneklerden hangisini seçeceğiniz, özel gereksinimlerinize bağlıdır; başka bir seçenek önermiyoruz.

Playbook'ları kullanarak uyarı ekleme/kaldırma

Olaylara uyarı ekleme ve kaldırma, Microsoft Sentinel bağlayıcısında ve dolayısıyla Microsoft Sentinel playbook'larında Logic Apps eylemleri olarak da kullanılabilir. Olay ARM kimliğini ve sistem uyarı kimliğini parametre olarak sağlamanız gerekir ve her ikisini de hem uyarı hem de olay tetikleyicileri için playbook şemasında bulabilirsiniz.

Microsoft Sentinel, şablonlar galerisinde bu yetenekle nasıl çalışabileceğinizi gösteren örnek bir playbook şablonu sağlar:

Olaylarla ilgili uyarılar için playbook şablonunun ekran görüntüsü.

Bu playbook'ta Olaya uyarı ekle (Önizleme) eylemi, başka bir yerde nasıl kullanabileceğinize örnek olarak şu şekilde kullanılır:

Playbook eylemi kullanarak bir olaya uyarı eklemenin ekran görüntüsü.

API kullanarak uyarı ekleme/kaldırma

Bu özelliği kullanmak için portalla sınırlı değilsiniz. Ayrıca Microsoft Sentinel API'sine Olay ilişkileri işlem grubu aracılığıyla da erişilebilir. Uyarılar ve olaylar arasındaki ilişkileri almanıza, oluşturmanıza, güncelleştirmenize ve silmenize olanak tanır.

İlişki oluşturma

Aralarında bir ilişki oluşturarak bir olaya uyarı eklersiniz. Mevcut bir olaya uyarı eklemek için aşağıdaki uç noktayı kullanın. Bu istek yapıldıktan sonra uyarı olaya katılır ve portaldaki olaydaki uyarılar listesinde görünür.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

İstek gövdesi şöyle görünür:

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

İlişki silme

Aralarındaki ilişkiyi silerek bir olaydaki uyarıyı kaldırırsınız. Mevcut bir olaydan bir uyarıyı kaldırmak için aşağıdaki uç noktayı kullanın. Bu istek yapıldıktan sonra uyarı artık olaya bağlanmayacak veya olayda görünmeyecek.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

Uyarı ilişkilerini listeleme

Ayrıca, bu uç nokta ve istekle belirli bir olayla ilgili tüm uyarıları listeleyebilirsiniz:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

Belirli hata kodları

Genel API belgelerinde yukarıda bahsedilen Oluşturma, Silme ve Listeleme işlemleri için beklenen yanıt kodları listelenir. Hata kodları yalnızca burada genel bir kategori olarak belirtilir. Burada "Diğer Durum Kodları" kategorisi altında listelenen olası belirli hata kodları ve iletiler şunlardır:

Kod İleti
400 Hatalı İstek İlişki oluşturulamadı. {incidentIdentifier} olayında {relationName} adlı farklı bir ilişki türü zaten var.
400 Hatalı İstek İlişki oluşturulamadı. Uyarı {systemAlertId} {incidentIdentifier} olayında zaten var.
400 Hatalı İstek İlişki oluşturulamadı. İlgili kaynak ve olay aynı çalışma alanına ait olmalıdır.
400 Hatalı İstek İlişki oluşturulamadı. Microsoft Defender XDR uyarıları Microsoft Defender XDR olaylarına eklenemez.
400 Hatalı İstek İlişki silinemedi. Microsoft Defender XDR uyarıları Microsoft Defender XDR olaylarından kaldırılamaz.
404 Bulunamadı '{systemAlertId}' kaynağı yok.
404 Bulunamadı Olay yok.
409 Çakışma İlişki oluşturulamadı. {relationName} adlı ilişki {incidentIdentifier} olayında farklı bir uyarıyla {systemAlertId} zaten var.

Sonraki adımlar

Bu makalede, Microsoft Sentinel portalını ve API'yi kullanarak olaylara uyarı eklemeyi ve bunları kaldırmayı öğrendiniz. Daha fazla bilgi için bkz.