Microsoft Sentinel'de uyarı ayrıntılarını özelleştirme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, uyarıların varsayılan özelliklerinin temel sorgu sonuçlarından alınan içerikle nasıl geçersiz kılınacakları açıklanmaktadır.

Zamanlanmış analiz kuralı oluşturma sürecinde, ilk adım olarak kural için bir ad ve açıklama tanımlarsınız ve buna önem derecesi ve MITRE ATT&CK taktikleri atarsınız. Belirli bir kural tarafından oluşturulan tüm uyarılar ve sonuç olarak oluşturulan tüm olaylar, uyarının belirli bir örneğinin içeriğine bakılmaksızın kuralda tanımlanan adı, açıklamayı, önem derecesini ve taktikleri devralır.

Uyarı ayrıntıları özelliğiyle uyarıların bu ve diğer varsayılan özelliklerini iki şekilde geçersiz kılabilirsiniz:

• Uyarılarınız için özel, değişken adlar ve açıklamalar oluşturun. Uyarınızın sorgu çıkışında içeriği uyarının her örneğinin adına veya açıklamasına dahil edilebilen alanları seçebilirsiniz. Seçili alanın belirli bir örnekte değeri yoksa, söz konusu örneğin uyarı ayrıntıları sihirbazın ilk sayfasında belirtilen varsayılan değerlere geri döner.

• Belirli bir uyarı örneğinin önem derecesini, taktiklerini ve diğer özelliklerini sorgu çıkışındaki ilgili alanların değerleriyle özelleştirin (aşağıdaki özelliklerin tam listesine bakın). Seçili alanlar boşsa veya alan veri türüyle eşleşmeyen değerlere sahipse, ilgili uyarı özellikleri varsayılanlarına (sihirbazın ilk sayfasında belirtilen taktikler ve önem derecesi için) geri döner.

Önemli

• Bazı uyarı ayrıntılarının özelleştirilebilirliği (aşağıda belirtilenlere bakın) şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
• Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Uyarı ayrıntıları özelliğini kullanmak için aşağıda ayrıntılarıyla belirtilen yordamı izleyin. Bu adımlar analiz kuralı oluşturma sihirbazının bir parçasıdır, ancak mevcut bir analiz kuralında uyarı ayrıntılarını ekleme veya değiştirme senaryolarını ele almak için burada bağımsız olarak ele alınır.

Uyarı ayrıntılarını özelleştirme

1. Microsoft Sentinel'e eriştiğiniz portalda Analiz sayfasını girin:

   Azure portalı

   Microsoft Sentinel gezinti menüsünün Yapılandırma bölümünde Analiz'i seçin.

   Defender portalı

   Microsoft Defender gezinti menüsünden Microsoft Sentinel'i ve ardından Yapılandırma'yı genişletin. Analizler seçeneğini belirleyin.

2. Zamanlanmış bir sorgu kuralı seçin ve Düzenle'yi seçin. İsterseniz ekranın üst kısmındaki Zamanlanmış sorgu kuralı oluştur'u > seçerek yeni bir kural oluşturabilirsiniz.

3. Kural mantığı ayarla sekmesini seçin.

4. Uyarı zenginleştirme bölümünde Uyarı ayrıntıları'nı genişletin.

   

5. Şimdi genişletilmiş Uyarı ayrıntıları bölümünde, uyarıda görüntülemek istediğiniz ayrıntılara karşılık gelen özellikleri içeren serbest metin ekleyin:

   1. Uyarı Adı Biçimi alanına, uyarının adı olarak görünmesini istediğiniz metni (uyarı metni) girin ve uyarı metninin parçası olmasını istediğiniz sorgu çıktı alanlarını çift köşeli ayraç içine ekleyin.

      Örnek: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Uyarı Açıklaması Biçimi alanında da aynısını yapın.

      Not

      Şu anda Uyarı Adı Biçimi ve Uyarı Açıklaması Biçimi alanlarında her birinde üç parametreyle sınırlısınız.

   3. Diğer varsayılan özellikleri geçersiz kılmak için Uyarı özelliği açılan listesinden bir uyarı özelliği seçin. Ardından, içeriklerini uyarı özelliğini doldurmak istediğiniz sorgu sonuçlarından Değer açılan listesinden alanı seçin.

   4. Daha fazla varsayılan özelliği geçersiz kılmak için + Yeni ekle'yi seçin ve önceki adımı yineleyin. Aşağıdaki özellikler geçersiz kılınabilir:

      Veri Akışı Adı	Açıklama
      AlertName	String
      Açıklama	String
      Uyarı Azmi	Aşağıdaki değerlerden biri: - Bilgi - Alçak - Medium - Yüksek
      Taktik	Aşağıdaki değerlerden biri: - Keşif - ResourceDevelopment - InitialAccess - Yürütme - Kalıcılık - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Bulma - LateralMovement - Koleksiyon - Sızdırma - CommandAndControl - Etki - PreAttack - ImpairProcessControl - InhibitResponseFunction
      Teknikler (Önizleme)	Aşağıdaki normal ifadeyle eşleşen bir dize: ^T(?<Digits>\d{4})$. Örneğin: T1234
      AlertLink (Önizleme)	String
      ConfidenceLevel (Önizleme)	Aşağıdaki değerlerden biri: - Alçak - Yüksek - Bilinmiyor
      ConfidenceScore (Önizleme)	Tamsayı, 0-1 arasında (dahil)
      ExtendedLinks (Önizleme)	String
      ProductComponentName (Önizleme)	String
      ProductName (Önizleme) * Bu tablodan sonraki nota bakın	String
      ProviderName (Önizleme)	String
      DüzeltmeSteps (Önizleme)	String

      Not

      Microsoft Sentinel'i birleşik güvenlik operasyonları platformuna eklediyseniz, Microsoft kaynaklarından gelen uyarılar için ProductName alanını özelleştirmeyin. Bunun yapılması, bu uyarıların Microsoft Defender XDR'den bırakılmasına ve hiçbir olay oluşturulmamasıyla sonuçlanır.

   Fikrinizi değiştirirseniz veya bir hata yaptıysanız Uyarı özelliği/Değer çiftinin yanındaki çöp kutusu simgesine tıklayarak bir uyarı ayrıntısını kaldırabilir veya Uyarı Adı/Açıklama Biçimi alanlarından boş metni silebilirsiniz.

6. Uyarı ayrıntılarınızı özelleştirmeyi bitirdiğinizde, kuralı oluşturuyorsanız sihirbazdaki bir sonraki sekmeye geçin. Mevcut bir kuralı düzenliyorsanız Gözden geçir ve oluştur sekmesini seçin. Kural doğrulaması başarılı olduktan sonra Kaydet'i seçin.

Hizmet sınırları

• Tek bir sorguda en fazla 50 değer içeren bir alanı geçersiz kılabilirsiniz. Sorgunuz 50 özelleştirilmiş değeri aştığında, tüm özelleştirilmiş değerler bırakılır ve tüm sorgu sonuçlarında alan varsayılan değerine geri döner. Özelleştirilmiş değerlerin bırakılmadığından emin olmak için sorgunuzu en fazla 50 değer döndürecek şekilde ayarlayın.
• Alanın ve koleksiyon dışı diğer özelliklerin AlertName boyut sınırı 256 bayttır.
• Alanın ve diğer koleksiyon özelliklerinin boyut sınırı Description 5 KB'tır.
• Boyut sınırlarını aşan değerler bırakılır.

Sonraki adımlar

Bu belgede, Microsoft Sentinel analiz kurallarında uyarı ayrıntılarını özelleştirmeyi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Uyarılarınızı zenginleştirmenin diğer yollarını keşfedin:
  • Microsoft Sentinel'de veri alanlarını varlıklarla eşleme
  • Microsoft Sentinel'de uyarılarda surface özel olay ayrıntıları
• Zamanlanmış sorgu analizi kurallarında resmin tamamını alın.
• Microsoft Sentinel'deki varlıklar hakkında daha fazla bilgi edinin.