Microsoft Sentinel içeriğini yapılandırma
Önceki dağıtım adımında Microsoft Sentinel'i, sistem durumunu izlemeyi ve gerekli çözümleri etkinleştirmişsiniz. Bu makalede, sistemlerinizdeki güvenlik tehditlerini algılamanıza, izlemenize ve yanıtlamanıza olanak tanıyan farklı Microsoft Sentinel güvenlik içeriği türlerini yapılandırmayı öğreneceksiniz. Bu makale, Microsoft Sentinel dağıtım kılavuzunun bir parçasıdır.
Güvenlik içeriğinizi yapılandırma
| Adımlar | Açıklama |
|---|---|
| Veri bağlayıcılarını ayarlama | Dağıtımınızı planlarken seçtiğiniz veri kaynaklarına göre ve ilgili çözümleri etkinleştirdikten sonra artık veri bağlayıcılarınızı yükleyebilir veya ayarlayabilirsiniz. - Mevcut bir bağlayıcı kullanıyorsanız, bu veri bağlayıcıları listesinden bağlayıcınızı bulun. - Özel bağlayıcı oluşturuyorsanız bu kaynakları kullanın. - CEF veya Syslog günlüklerini almak için bir bağlayıcı ayarlıyorsunuz, bu seçenekleri gözden geçirin. |
| Analiz kurallarını ayarlama | Microsoft Sentinel'i kuruluşunuzun her yerinden veri toplayacak şekilde ayarladıktan sonra tehdit algılama kurallarını veya analiz kurallarını kullanmaya başlayabilirsiniz. Analiz kurallarınızı ayarlamak ve yapılandırmak için ihtiyacınız olan adımları seçin: - Zamanlanmış sorgu kuralı oluşturma: Ortamınızdaki tehditleri ve anormal davranışları keşfetmeye yardımcı olmak için özel analiz kuralları oluşturun. - Veri alanlarını varlıklarla eşleme: Var olan bir analiz kuralında varlık eşlemeleri ekleyin veya değiştirin. - Uyarılarda özel ayrıntıları ortaya çıkarma: Mevcut bir analiz kuralına özel ayrıntılar ekleyin veya değiştirin. - Uyarı ayrıntılarını özelleştirme: Uyarıların varsayılan özelliklerini temel alınan sorgu sonuçlarındaki içerikle geçersiz kılın. - Analiz kurallarını dışarı ve içeri aktarma: Analiz kurallarınızı Azure Resource Manager (ARM) şablon dosyalarına aktarın ve bu dosyalardan kuralları içeri aktarın. Dışarı aktarma eylemi, tarayıcınızın indirme konumunda bir JSON dosyası oluşturur ve bu dosyayı diğer dosyalar gibi yeniden adlandırabilir, taşıyabilir ve başka şekilde işleyebilirsiniz. - Neredeyse gerçek zamanlı (NRT) algılama analizi kuralları oluşturun: En güncel tehdit algılama için kullanıma hazır yakın zaman analiz kuralları oluşturun. Bu tür bir kural, sorgusunu yalnızca bir dakika arayla çalıştırarak yüksek oranda duyarlı olacak şekilde tasarlanmıştır. - Anomali algılama analizi kurallarıyla çalışma: Binlerce veri kaynağı ve milyonlarca olay kullanan yerleşik anomali şablonlarıyla çalışın veya kullanıcı arabirimindeki anomaliler için eşikleri ve parametreleri değiştirin. - Zamanlanmış analiz kurallarınız için şablon sürümlerini yönetme: Analiz kuralı şablonlarınızın sürümlerini izleyin ve etkin kuralları mevcut şablon sürümlerine geri döndürebilir veya bunları yenileriyle güncelleştirebilirsiniz. - Zamanlanmış analiz kurallarında alım gecikmesini işleme: Alım gecikmesi ile zamanlanmış analiz kurallarınızı nasıl etkileyebileceğinizi ve bu boşlukları kapatmak için bunları nasıl düzeltebileceğinizi öğrenin. |
| Otomasyon kurallarını ayarlama | Otomasyon kuralları oluşturun. Otomasyon kuralınızın ne zaman çalıştığını, kuralın gerçekleştirmesini sağlayabileceğiniz çeşitli eylemleri ve kalan özellikleri ve işlevleri belirleyen tetikleyicileri ve koşulları tanımlayın. |
| Playbook'ları ayarlama | Playbook, tehdit yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olmak için Rutin olarak Microsoft Sentinel'den çalıştırdığınız düzeltme eylemlerinden oluşan bir koleksiyondur. Playbook'ları ayarlamak için: - Önerilen playbook'ları gözden geçirin - Şablonlardan playbook oluşturma: Playbook şablonu, gereksinimlerinizi karşılayacak şekilde özelleştirilebilen önceden oluşturulmuş, test edilmiş ve kullanıma hazır bir iş akışıdır. Şablonlar, sıfırdan playbook'lar geliştirirken en iyi uygulamalar için bir başvuru veya yeni otomasyon senaryoları için ilham kaynağı olarak da kullanılabilir. - Playbook oluşturmak için bu adımları gözden geçirin |
| Çalışma kitaplarını ayarlama | Çalışma kitapları, veri analizi ve Microsoft Sentinel'de zengin görsel raporlar oluşturmak için esnek bir tuval sağlar. Çalışma kitabı şablonları, bir veri kaynağına bağlanır bağlanmaz verileriniz arasında hızla içgörüler elde etmenize olanak sağlar. Çalışma kitaplarını ayarlamak için: - Yaygın kullanılan Microsoft Sentinel çalışma kitaplarını gözden geçirme - Paketlenmiş çözümlerle kullanılabilen mevcut çalışma kitabı şablonlarını kullanma - Verileriniz arasında özel çalışma kitapları oluşturma |
| İzleme listelerini ayarlama | İzleme listeleri , sağladığınız bir veri kaynağındaki verileri Microsoft Sentinel ortamınızdaki olaylarla ilişkilendirmenize olanak tanır. İzleme listelerini ayarlamak için: - İzleme listeleri oluşturma - İzleme listeleriyle sorgular veya algılama kuralları oluşturun: İzleme listesini birleşimler ve aramalar için bir tablo olarak değerlendirerek herhangi bir tablodaki verileri izleme listesindeki verilere karşı sorgular. İzleme listesi oluşturduğunuzda SearchKey'i tanımlarsınız. Arama anahtarı, izleme listenizde diğer verilerle birleştirme veya sık kullanılan arama nesnesi olarak kullanmayı beklediğiniz sütunun adıdır. |
Sonraki adımlar
Bu makalede, farklı Microsoft Sentinel güvenlik içeriği türlerini yapılandırmayı öğrendiniz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin