Varlık sayfası zaman çizelgelerindeki etkinlikleri özelleştirme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Önemli

• Etkinlik özelleştirmesi ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
• Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Giriş

Microsoft Sentinel tarafından zaman çizelgesinde izlenen ve sunulan etkinliklere ek olarak, izlemek istediğiniz diğer etkinlikleri oluşturabilir ve bunların zaman çizelgesinde de sunulmasını sağlayabilirsiniz. Herhangi bir bağlı veri kaynağından varlık verilerinin sorgularını temel alarak özelleştirilmiş etkinlikler oluşturabilirsiniz. Aşağıdaki örneklerde bu özelliği nasıl kullanabileceğiniz gösterilmektedir:

• Mevcut hazır etkinlik şablonlarını değiştirerek varlık zaman çizelgesine yeni etkinlikler ekleyin.

• Özel günlüklerden yeni etkinlikler ekleyin. Örneğin, fiziksel erişim denetimi günlüğünden kullanıcının belirli bir kısıtlı alan (örneğin, bir sunucu odası) için giriş ve çıkış etkinliklerini kullanıcının zaman çizelgesine ekleyebilirsiniz.

Başlarken

• Azure portalında Microsoft Sentinel kullanıcıları aşağıdaki Azure portalı sekmesini seçin.
• Microsoft Defender portalındaki birleşik güvenlik işlemleri platformunun kullanıcıları Defender portalı sekmesini seçin.

Azure portalı

1. Microsoft Sentinel gezinti menüsünde Varlık davranışı'nı seçin.

2. Varlık davranışı sayfasında, ekranın üst kısmındaki Varlık sayfasını özelleştir (Önizleme) öğesini seçin.

   

Defender portalı

1. Microsoft Defender portalında herhangi bir varlık sayfasını bulun.

   1. Varlık Cihazları veya Kimlikler'i> seçin.
   2. Listeden bir cihaz veya kullanıcı seçin. Bir kullanıcı seçtiyseniz, aşağıdaki açılır pencerede Kullanıcı sayfasını görüntüle'yi seçin.

2. Varlık sayfasında Sentinel olayları sekmesini seçin.

3. Sentinel olayları sekmesinde Sentinel etkinliklerini özelleştir'i seçin.

Sentinel etkinliklerini özelleştir sayfasında, Etkinliklerim sekmesinde oluşturduğunuz etkinliklerin listesini görürsünüz. Etkinlik şablonları sekmesinde, Microsoft güvenlik araştırmacıları tarafından kullanıma hazır olarak sunulan etkinlik koleksiyonunu göreceksiniz. Bunlar zaten izlenmekte olan ve varlık sayfalarınızdaki zaman çizelgelerinde görüntülenen etkinliklerdir.

• Kullanıcı tanımlı etkinlik oluşturmadığınız sürece varlık sayfalarınız Etkinlik şablonları sekmesinde listelenen tüm etkinlikleri görüntüler.

• Bir etkinliği oluşturduktan veya özelleştirdikten sonra varlık sayfalarınız yalnızca Etkinliklerim sekmesinde görünen etkinlikleri görüntüler.

• Varlık sayfalarınızda kullanıma hazır etkinlikleri görmeye devam etmek istiyorsanız, izlenmesini ve görüntülenmesini istediğiniz her şablon için bir etkinlik oluşturmanız gerekir. Aşağıdaki "Şablondan etkinlik oluşturma" altındaki yönergeleri izleyin.

Şablondan etkinlik oluşturma

1. Varsayılan olarak kullanılabilen çeşitli etkinlikleri görmek için Etkinlik şablonları sekmesini seçin. Listeyi hem varlık türüne hem de veri kaynağına göre filtreleyebilirsiniz. Listeden bir etkinlik seçildiğinde ayrıntılar bölmesinde aşağıdaki bilgiler görüntülenir:

   • Etkinliğin açıklaması

   • Etkinliği oluşturan olayları sağlayan veri kaynağı

   • Ham verilerdeki varlığı tanımlamak için kullanılan tanımlayıcılar

   • Bu etkinliğin algılanmasıyla sonuçlayan sorgu

2. Etkinlik oluşturma sihirbazını başlatmak için ayrıntılar bölmesinin altındaki Etkinlik oluştur'u seçin.

   Azure portalı

   

   Defender portalı

   

   Defender portalında Etkinlik oluştur'u seçtiğinizde, yeni bir sekmede Azure portalında Microsoft Sentinel etkinlik sihirbazına yönlendirilirsiniz.

3. Etkinlik sihirbazı - Şablondan yeni etkinlik oluştur açılır ve alanları şablondan doldurulmuş olur. Genel ve Etkinlik yapılandırma sekmelerinde istediğiniz gibi değişiklikler yapabilir veya kullanıma sunulmamış etkinliği görüntülemeye devam etmek için her şeyi olduğu gibi bırakabilirsiniz.

4. Memnun olduğunuzda Gözden geçir ve oluştur sekmesini seçin. Doğrulama başarılı iletisini gördüğünüzde, alttaki Oluştur düğmesine tıklayın.

Sıfırdan etkinlik oluşturma

Etkinlik oluşturma sihirbazını başlatmak için etkinlikler sayfasının üst kısmında Etkinlik ekle'ye tıklayın.

Etkinlik sihirbazı - Yeni etkinlik oluştur açılır ve alanları boş olur.

Genel sekmesi

1. Etkinliğiniz için bir ad girin (örnek: "kullanıcı gruba eklendi").

2. Etkinliğin açıklamasını girin (örnek: "Windows olay kimliği 4728'e göre kullanıcı grubu üyeliği değişikliği").

3. Bu sorgunun izleneceği varlık türünü (kullanıcı veya konak) seçin.

4. Sorguyu iyileştirmeye ve performansını iyileştirmeye yardımcı olmak için ek parametrelere göre filtreleyebilirsiniz. Örneğin, IsDomainJoined parametresini seçip değeri True olarak ayarlayarak Active Directory kullanıcıları için filtreleyebilirsiniz.

5. Etkinliğin ilk durumunu Etkin veya Devre Dışı olarak seçebilirsiniz.

6. Sonraki sekmeye geçmek için İleri : Etkinlik yapılandırması'nı seçin.

   

Etkinlik yapılandırma sekmesi

Etkinlik sorgusu yazma

Burada, seçilen varlığın etkinliğini algılamak ve zaman çizelgesinde nasıl gösterileceğini belirlemek için kullanılacak KQL sorgusunu yazacak veya yapıştıracaksınız.

Önemli

Sorgunuzun yerleşik bir tablo değil Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcısı kullanmasını öneririz. Bu, sorgunun tek bir veri kaynağı yerine geçerli veya gelecekteki ilgili veri kaynaklarını desteklemesini sağlar.

Olayları ilişkilendirmek ve özel etkinliği algılamak için KQL, varlık türüne bağlı olarak çeşitli parametrelerin girişini gerektirir. Parametreler, söz konusu varlığın çeşitli tanımlayıcılarıdır.

Sorgu sonuçlarıyla varlık arasında bire bir eşleme yapmak için güçlü bir tanımlayıcı seçmek daha iyidir. Zayıf bir tanımlayıcı seçmek yanlış sonuçlar verebilir. Varlıklar ve güçlü ve zayıf tanımlayıcılar hakkında daha fazla bilgi edinin.

Aşağıdaki tabloda varlıkların tanımlayıcıları hakkında bilgi sağlanmaktadır.

Hesap ve konak varlıkları için güçlü tanımlayıcılar

Sorguda en az bir tanımlayıcı gereklidir.

Entity	Tanımlayıcı	Açıklama
Firma	Account_Sid	Active Directory'deki hesabın şirket içi SID'i
	Account_AadUserId	Microsoft Entra Kimliği'nde kullanıcının Microsoft Entra nesne kimliği
	Account_Name + Account_NTDomain	SamAccountName'e benzer (örnek: Contoso\Joe)
	Account_Name + Account_UPNSuffix	UserPrincipalName'e benzer (örnek: Joe@Contoso.com)
ANABİLGİSAYAR	Host_HostName + Host_NTDomain	tam etki alanı adına benzer (FQDN)
	Host_HostName + Host_DnsDomain	tam etki alanı adına benzer (FQDN)
	Host_NetBiosName + Host_NTDomain	tam etki alanı adına benzer (FQDN)
	Host_NetBiosName + Host_DnsDomain	tam etki alanı adına benzer (FQDN)
	Host_AzureID	Microsoft Entra Kimliği'nde konağın Microsoft Entra nesne kimliği (Microsoft Entra etki alanına katılmışsa)
	Host_OMSAgentID	Belirli bir ana bilgisayara yüklenen aracının OMS Aracı Kimliği (konak başına benzersiz)

Seçilen varlığa bağlı olarak kullanılabilir tanımlayıcıları görürsünüz. İlgili tanımlayıcılara tıklanması, tanımlayıcıyı imlecin bulunduğu konuma sorguya yapıştırır.

Not

• Sorgu en fazla 10 alan içerebilir, bu nedenle istediğiniz alanları yansıtmanız gerekir.

• Algılanan etkinliği varlığın zaman çizelgesine yerleştirmek için, öngörülen alanlar TimeGenerated alanını içermelidir.

SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName

Zaman çizelgesinde etkinliği sunma

Kolaylık sağlamak için etkinlik çıkışına dinamik parametreler ekleyerek etkinliğin zaman çizelgesinde nasıl sunulduğunu belirlemek isteyebilirsiniz.

Microsoft Sentinel, kullanmanız için yerleşik parametreler sağlar ve sorguda yansıtılan alanlara göre diğer parametreleri de kullanabilirsiniz.

Parametreleriniz için aşağıdaki biçimi kullanın: {{ParameterName}}

Etkinlik sorgusu doğrulamayı geçtikten ve sorgu penceresinin altındaki Sorgu sonuçlarını görüntüle bağlantısını görüntüledikten sonra, kullanılabilir değerler bölümünü genişleterek dinamik etkinlik başlığı oluştururken kullanabileceğiniz parametreleri görüntüleyebilirsiniz.

Belirli bir parametrenin yanındaki Kopyala simgesini seçerek bu parametreyi panonuza kopyalayın; böylece yukarıdaki Etkinlik başlığı alanına yapıştırabilirsiniz.

Sorgunuza aşağıdaki parametrelerden birini ekleyin:

• Sorguda yansıtılan herhangi bir alan.

• Sorguda bahsedilen varlıkların varlık tanımlayıcıları.

• StartTimeUTC, utc saatinde etkinliğin başlangıç saatini eklemek için.

• EndTimeUTC, utc saatinde etkinliğin bitiş saatini eklemek için.

• Count, birkaç KQL sorgu çıkışını tek bir çıktıda özetlemek için.

  count parametresi, düzenleyicide tam olarak görüntülenmese bile aşağıdaki komutu arka planda sorgunuza ekler:

  Summarize count() by <each parameter you’ve projected in the activity>
  

  Ardından varlık sayfalarında Demet Boyutu filtresini kullandığınızda, arka planda çalıştırılacak sorguya aşağıdaki komut da eklenir:

  Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
  

Örneğin:

Sorgunuzdan ve etkinlik başlığınızdan memnun olduğunuzda İleri : Gözden Geçir'i seçin.

Gözden geçirme ve oluşturma sekmesi

1. Özel etkinliğinizin tüm yapılandırma bilgilerini doğrulayın.

2. Doğrulama başarılı iletisi görüntülendiğinde, etkinliği oluşturmak için Oluştur'a tıklayın. Daha sonra Etkinliklerim sekmesinde düzenleyebilir veya değiştirebilirsiniz.

Etkinliklerinizi yönetme

Etkinliklerim sekmesinden özel etkinliklerinizi yönetin. Etkinliğin satırının sonundaki üç noktaya (...) tıklayarak:

• Etkinliği düzenleyin.
• Yeni, biraz farklı bir etkinlik oluşturmak için etkinliği çoğaltın.
• Etkinliği silin.
• Etkinliği devre dışı bırakın (silmeden).

Varlık sayfasındaki etkinlikleri görüntüleme

Bir varlık sayfasına her girdiğinizde, varlık için etkinleştirilen tüm etkinlik sorguları çalıştırılır ve varlık zaman çizelgesinde size en güncel bilgileri sağlar. Zaman çizelgesinde uyarıların ve yer işaretlerinin yanı sıra etkinlikleri görürsünüz.

Yalnızca etkinlikleri (veya etkinliklerin , uyarıların ve yer işaretlerinin herhangi bir birleşimini) sunmak için Zaman Çizelgesi içerik filtresini kullanabilirsiniz.

Belirli etkinlikleri sunmak veya gizlemek için Etkinlikler filtresini de kullanabilirsiniz.

Sonraki adımlar

Bu belgede varlık sayfası zaman çizelgeleriniz için özel etkinlikler oluşturmayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Varlık sayfalarında resmin tamamını alın.
• Kullanıcı ve Varlık Davranış Analizi (UEBA) hakkında bilgi edinin.
• Varlıkların ve tanımlayıcıların tam listesine bakın.