Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Özel algılamalar artık Microsoft Sentinel SIEM Microsoft Defender XDR genelinde yeni kurallar oluşturmanın en iyi yoludur. Özel algılamalarla veri alımı maliyetlerini azaltabilir, sınırsız gerçek zamanlı algılama elde edebilir ve otomatik varlık eşlemesi ile Defender XDR verileri, işlevleri ve düzeltme eylemleriyle sorunsuz tümleştirmeden yararlanabilirsiniz. Daha fazla bilgi için bu blogu okuyun.
Microsoft Sentinel neredeyse gerçek zamanlı analiz kuralları, en güncel tehdit algılamayı kullanıma hazır olarak sağlar. Bu tür bir kural, sorgusunu yalnızca bir dakika arayla aralıklarla çalıştırarak yüksek oranda duyarlı olacak şekilde tasarlanmıştır.
Şimdilik, bu şablonlar aşağıda açıklandığı gibi sınırlı bir uygulamaya sahiptir, ancak teknoloji hızla gelişmekte ve büyümektedir.
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
Neredeyse gerçek zamanlı (NRT) kuralları görüntüleme
Microsoft Defender gezinti menüsünden Microsoft Sentinel ve ardından Yapılandırma'yı genişletin. Analiz'i seçin.
Analytics ekranında Etkin kurallar sekmesi seçili durumdayken listeyi NRT şablonları için filtreleyin:
Filtre ekle'yi seçin ve filtre listesinden Kural türü'nü seçin.
Sonuçta elde edilen listedeN NRT'yi seçin. Ardından Uygula'yı seçin.
NRT kuralları oluşturma
NRT kurallarını, normal zamanlanmış sorgu analiz kurallarını oluşturduğunuz gibi oluşturursunuz:
Microsoft Defender gezinti menüsünden Microsoft Sentinel ve ardından Yapılandırma'yı genişletin. Analiz'i seçin.
Kılavuzun üst kısmındaki eylem çubuğunda +Oluştur'u ve ardından NRT sorgu kuralı'nı seçin. Bu işlem Analiz kuralı sihirbazını açar.
Analiz kuralı sihirbazının yönergelerini izleyin.
NRT kurallarının yapılandırması çoğu şekilde zamanlanmış analiz kurallarıyla aynıdır.
Sorgu mantığınızda birden çok tabloya ve izleme listesine başvurabilirsiniz.
Tüm uyarı zenginleştirme yöntemlerini kullanabilirsiniz: varlık eşlemesi, özel ayrıntılar ve uyarı ayrıntıları.
Uyarıları olaylar halinde gruplandırmayı ve belirli bir sonuç oluşturulduğunda sorguyu gizlemeyi seçebilirsiniz.
Hem uyarılara hem de olaylara verilen yanıtları otomatikleştirebilirsiniz.
Kural sorgusunu birden çok çalışma alanında çalıştırabilirsiniz.
Ancak NRT kurallarının doğası ve sınırlamaları nedeniyle, zamanlanmış analiz kurallarının aşağıdaki özellikleri sihirbazda kullanılamaz :
- Sorgu zamanlaması yapılandırılamaz, çünkü sorgular otomatik olarak dakikada bir kez ve bir dakikalık bir geri arama süresiyle çalışacak şekilde zamanlanır.
- Uyarı eşiği , her zaman bir uyarı oluşturulduğundan ilgisizdir.
- Olay gruplandırma yapılandırması artık sınırlı bir düzeyde kullanılabilir. Bir NRT kuralının her olay için en fazla 30 olay için bir uyarı oluşturmasını seçebilirsiniz. Bu seçeneği belirlerseniz ve kural 30'dan fazla olayla sonuçlanırsa, ilk 29 olay için tek olay uyarıları oluşturulur ve 30. uyarı sonuç kümesindeki tüm olayları özetler.
Buna ek olarak, uyarıların boyut sınırları nedeniyle sorgunuz tablonuzdan
projectyalnızca gerekli alanları içerecek deyimleri kullanmalıdır. Aksi takdirde, ortaya çıkarılmasını istediğiniz bilgiler kesilebilir.
Sonraki adımlar
Bu belgede, Microsoft Sentinel'da neredeyse gerçek zamanlı (NRT) analiz kuralları oluşturmayı öğrendinsiniz.
- Microsoft Sentinel'da neredeyse gerçek zamanlı (NRT) analiz kuralları hakkında daha fazla bilgi edinin.
- Diğer analiz kuralı türlerini keşfedin.