Microsoft Sentinel veri bağlayıcınızı bulma

Bu makalede desteklenen, kullanıma sunulan tüm veri bağlayıcıları ve her bağlayıcının dağıtım adımlarına bağlantılar listelenmektedir.

Önemli

• Microsoft Sentinel veri bağlayıcılarının şu anda Önizleme aşamasında olduğunu unutmayın. Azure Önizleme Ek Koşulları beta, önizleme veya henüz genel kullanıma sunulmamış Azure özellikler için geçerli olan ek yasal koşulları içerir.
• 31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır. Temmuz 2025'te birçok yeni müşteri otomatik olarak eklenir ve Defender portalına yönlendirilir. Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel Azure portal kullanımdan kaldırma.

Veri bağlayıcıları aşağıdaki tekliflerin bir parçası olarak kullanılabilir:

• Çözümler: Birçok veri bağlayıcısı analiz kuralları, çalışma kitapları ve playbook'lar gibi ilgili içerikle birlikte Microsoft Sentinel çözümün bir parçası olarak dağıtılır. Daha fazla bilgi için Microsoft Sentinel çözümleri kataloğuna bakın.

• Topluluk bağlayıcıları: daha fazla veri bağlayıcısı Microsoft Sentinel topluluğu tarafından sağlanır ve Azure Market'te bulunabilir. Topluluk veri bağlayıcılarına yönelik belgeler, bağlayıcıyı oluşturan kuruluşun sorumluluğundadır.

• Özel bağlayıcılar: Listelenmeyen veya şu anda desteklenmeyen bir veri kaynağınız varsa kendi özel bağlayıcınızı da oluşturabilirsiniz. Daha fazla bilgi için bkz. Özel bağlayıcılar Microsoft Sentinel oluşturma kaynakları.

Not

US Government bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. US Government müşterileri için Bulut özellik kullanılabilirliği'ndeki Microsoft Sentinel tabloları.

Veri bağlayıcısı önkoşulları

Her veri bağlayıcısının kendi önkoşulları vardır. Önkoşullar Azure çalışma alanınız, aboneliğiniz veya ilkeniz üzerinde belirli izinlere sahip olmak olabilir. Ayrıca, bağlandığınız iş ortağı veri kaynağı için diğer gereksinimleri de karşılamanız gerekebilir.

Her veri bağlayıcısı için önkoşullar bu makalede ve Microsoft Sentinel ilgili veri bağlayıcısı sayfasında listelenmiştir.

Azure İzleyici aracısı (AMA) tabanlı veri bağlayıcıları, aracının yüklü olduğu sistemden bir İnternet bağlantısı gerektirir. Aracının yüklendiği sistem ile Microsoft Sentinel arasında bağlantı kurulmasına izin vermek için 443 numaralı giden bağlantı noktasını etkinleştirin.

Syslog ve Ortak Olay Biçimi (CEF) bağlayıcıları

Birçok güvenlik aleti ve cihazından günlük toplama, syslog veri bağlayıcıları tarafından AMA aracılığıyla veya Microsoft Sentinel'da AMAaracılığıyla Ortak Olay Biçimi (CEF) tarafından desteklenir. Microsoft Sentinel için Log Analytics çalışma alanınıza veri iletmek için syslog ve CEF iletilerini Azure İzleyici Aracısı ile Microsoft Sentinel alma adımlarını tamamlayın. Bu adımlar, Microsoft Sentinel'daki İçerik hub'ından bir güvenlik gereci veya cihazı için Microsoft Sentinel çözümünü yüklemeyi içerir. Ardından Syslog'u AMA veyaOrtak Olay Biçimi (CEF) aracılığıyla yüklediğiniz Microsoft Sentinel çözümüne uygun AMA veri bağlayıcısı aracılığıyla yapılandırın. Güvenlik cihazını veya aletini yapılandırarak kurulumu tamamlayın. Güvenlik cihazınızı veya aletinizi yapılandırma yönergelerini aşağıdaki makalelerden birinde bulabilirsiniz:

• AMA veri bağlayıcısı aracılığıyla CEF - Microsoft Sentinel veri alımı için belirli bir aleti veya cihazı yapılandırma
• AMA veri bağlayıcısı aracılığıyla Syslog - Microsoft Sentinel veri alımı için belirli bir aleti veya cihazı yapılandırma

Daha fazla bilgi için veya alet veya cihaz için bilgilerin kullanılamadığı durumlarda çözüm sağlayıcısına başvurun.

AMA bağlayıcısı aracılığıyla Özel Günlükler

Microsoft Sentinel'da AMA bağlayıcısı aracılığıyla Özel Günlükler'i kullanarak Windows veya Linux makinelerinde yüklü ağ veya güvenlik uygulamalarından günlükleri metin dosyası biçiminde filtreleyin ve alın. Daha fazla bilgi için aşağıdaki makalelere bakın:

• Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel alma
• AMA veri bağlayıcısı aracılığıyla özel günlükler - Belirli uygulamalardan Microsoft Sentinel için veri alımını yapılandırma

veri bağlayıcılarını Sentinel

Not

Aşağıdaki tabloda, Microsoft Sentinel İçerik hub'ında bulunan veri bağlayıcıları listelenir. Bağlayıcılar ürün satıcısı tarafından desteklenir. Destek için Desteklenenler bağlantısına bakın.

İpucu

Microsoft Sentinel alınan tabloların ve bunları alan bağlayıcıların listesi için bkz. tabloları ve ilişkili bağlayıcıları Microsoft Sentinel.

1Password (Sunucusuz)

Tarafından desteklenir:1Password

1Password CCF bağlayıcısı, kullanıcının 1Password Audit, Signin & ItemUsage olaylarını Microsoft Sentinel almasına olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OnePasswordEventLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• 1Password API belirteci: 1Password API Belirteci gereklidir. API belirteci oluşturma hakkında 1Password belgelerine bakın.

Kurulum Yönergeleri:

ADIM 1 - 1Password API belirteci oluşturma:

Bu adımla ilgili yönergeler için 1Password belgelerini izleyin.

2. ADIM - Doğru temel URL'yi seçin:

Olaylarınızı barındırabilecek birden çok 1Password sunucusu vardır. Doğru sunucu lisansınıza ve bölgenize bağlıdır. Doğru sunucuyu seçmek için 1Password belgelerini izleyin. Belgeler tarafından görüntülenen temel URL'yi girin ('https://' dahil ve sondaki '/' olmadan).

3. ADIM - 1Parola Ayrıntılarınızı girin:

1Password temel URL'sini & API Belirtecini aşağıya girin:

• Temel Url: (Temel Url'nizi girin)
• API Belirteci: (API Belirtecinizi girin)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

1Password (Azure İşlevleri kullanarak)

Tarafından desteklenir:1Password

Microsoft Sentinel için 1Password çözümü, 1Password Olay Raporlama API'sini kullanarak 1Password Business hesabınızdan oturum açma girişimlerini, öğe kullanımını ve denetim olaylarını almanızı sağlar. Bu, kuruluşunuzun kullandığı diğer uygulama ve hizmetlerle birlikte Microsoft Sentinel 1Password'daki olayları izlemenize ve araştırmanıza olanak tanır.

Kullanılan temel Microsoft Teknolojileri:

Bu çözüm aşağıdaki teknolojilere bağlıdır ve bazıları Önizleme durumunda olabilir veya ek alım veya işlem maliyetlerine neden olabilir:

• Azure İşlevleri

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OnePasswordEventLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• 1Password Events API Belirteci: 1Password Events API Belirteci gereklidir. Daha fazla bilgi için 1Password API'sine bakın.

Not: 1Password Business hesabı gereklidir

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek için 1Password'a bağlanmak için Azure İşlevleri kullanır. Bu, Azure ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - 1Password Olay Raporlama API'sinin yapılandırma adımları

1Password tarafından sağlanan bu yönergeleri izleyerek Bir Olay Raporlama API'si Belirteci alın. Not: 1Password Business hesabı gereklidir

ADIM 2 - Tablo, dcr ve ilişkili Azure İşlevi oluşturmak için DeployToAzure düğmesini kullanarak functionApp'i dağıtma

ÖNEMLİ: 1Password bağlayıcısını dağıtmadan önce özel bir tablo oluşturulması gerekir.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Bu yöntem, ARM Tempate kullanarak 1Password bağlayıcısının otomatik dağıtımını sağlar.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Adı, Çalışma Alanı Adı, 1Parola Olayları API Anahtarı ve URI girin.

• Varsayılan Zaman Aralığı beş (5) dakika olarak ayarlanır. Aralığı değiştirmek isterseniz, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisini uygun şekilde ayarlayabilirsiniz (function.json dosyasında dağıtım sonrası).
• Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
5. Dağıtmak için Satın Al'a tıklayın.

---

AbnormalSecurity (Azure İşlevi kullanılarak)

Tarafından desteklenir:Anormal Güvenlik

Anormal Güvenlik veri bağlayıcısı, Anormal Güvenlik Rest API'sini kullanarak tehdit ve olay günlüklerini Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ABNORMAL_THREAT_MESSAGES_CL	Hayır	Hayır
ABNORMAL_CASES_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Anormal Güvenlik API'si Belirteci: Anormal Güvenlik API'si Belirteci gereklidir. Daha fazla bilgi için bkz. Anormal Güvenlik API'si. Not: Anormal Bir Güvenlik hesabı gereklidir

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Anormal Güvenlik REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

ADIM 1 - Anormal Güvenlik API'si yapılandırma adımları

REST API tümleştirmesini yapılandırmak için Anormal Güvenlik tarafından sağlanan bu yönergeleri izleyin. Not: Anormal Bir Güvenlik hesabı gereklidir

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Anormal Güvenlik veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Anormal Güvenlik API'si Yetkilendirme Belirteci'ne sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Bu yöntem, ARM Şablonu kullanarak Anormal Güvenlik bağlayıcısının otomatik dağıtımını sağlar.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Paylaşılan Anahtar ve Anormal Güvenlik REST API Anahtarı Microsoft Sentinel Microsoft Sentinel Çalışma Alanı Kimliğini girin.

• Varsayılan Zaman Aralığı , verilerin son beş (5) dakikasını çekecek şekilde ayarlanır. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisi'nin uygun şekilde değiştirilmesi önerilir (function.json dosyasında dağıtım sonrası).

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Anormal Güvenlik veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (ör. AnormalGüvenlikXX).

   e. Çalışma zamanı seçin: Python 3.8'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (isteğe bağlı) (İşlev Uygulaması için gereken diğer ayarları ekleyin) Değeri şu şekilde ayarlayın uri : <add uri value>

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Azure Key Vault başvuru belgelerine bakın.

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri aşağıdaki biçimde belirtin:https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Agent 365

Tarafından desteklenir:Microsoft Corporation

Agent 365 veri bağlayıcısı, aracı davranışını, araç kullanımını ve avcılık, graf ve MCP iş akışlarıyla yürütmeyi araştırmak için Microsoft Sentinel veri gölünde Agent 365, AI Foundry ve Copilot'tan yapay zeka aracı telemetrisi getirerek yapay zeka aracısı etkinliği hakkında daha zengin içgörüler sağlar. Bu bağlayıcıdaki veriler yapay zeka aracısı davranışını, araç kullanımını ve Microsoft Sentinel yürütmeyi araştırmak için kullanılır. Bu iş akışlarını etkinleştirdiyseniz, bu bağlayıcının devre dışı bırakılması bu araştırmaların gerçekleştirilmesini engeller.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

---

AIShield

Tarafından desteklenir:AIShield

AIShield bağlayıcısı, kullanıcıların Microsoft Sentinel ile AIShield özel savunma mekanizması günlükleriyle bağlantı kurmasına olanak tanıyarak yapay zeka sistemlerine yönelik araştırma ve engelleme saldırılarını iyileştirmek için dinamik Panolar, Çalışma Kitapları, Not Defterleri ve uyarlanmış Uyarılar oluşturulmasına olanak tanır. Kullanıcılara kuruluşlarının yapay zeka varlıklarının güvenlik duruşu hakkında daha fazla içgörü sağlar ve yapay zeka sistemlerinin güvenlik işlemi özelliklerini geliştirir. AIShield.GuArdIan, llm tarafından oluşturulan içeriği analiz ederek zararlı içeriği tanımlayıp azaltır, yasal, ilke, rol tabanlı ve kullanım tabanlı ihlallere karşı koruma sağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AIShield_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Not: Kullanıcıların güvenlik açığı analizi gerçekleştirmek için AIShield SaaS teklifini kullanmaları ve yapay zeka varlıklarıyla birlikte oluşturulan özel savunma mekanizmalarını dağıtmaları gerekir. Daha fazla bilgi edinmek veya iletişim kurmak için buraya tıklayın.

Kurulum Yönergeleri:

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan AIShield'in beklendiği gibi çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.

ÖNEMLİ: AIShield Bağlayıcısı'nı dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Alibaba Cloud ActionTrail (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Alibaba Cloud ActionTrail veri bağlayıcısı, Alibaba Bulut Basit Günlük Hizmeti'ne depolanan actiontrail olaylarını alma ve bunları SLS REST API aracılığıyla Microsoft Sentinel içinde depolama özelliği sağlar. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AliCloudActionTrailLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• SLS REST API Kimlik Bilgileri/izinleri: API çağrıları yapmak için AliCloudAccessKeyId ve AliCloudAccessKeySecret gereklidir. RAM kullanıcısına bu işlemi çağırma izinleri vermek için kaynak acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} üzerinde en azından log:GetLogStoreLogs eylem içeren RAM ilke deyimi gerekir.

Kurulum Yönergeleri:

AliCloud SLS API'sine erişimi yapılandırma

API'yi kullanmadan önce, API'ye etkili bir şekilde erişmek için kimlik hesabınızı hazırlamanız ve anahtar çiftine erişmeniz gerekir.

1. API işlemlerini çağırmak için bir Kaynak Erişim Yönetimi (RAM) kullanıcısı kullanmanızı öneririz. Daha fazla bilgi için bkz. RAM kullanıcısı oluşturma ve RAM kullanıcısını Basit Günlük Hizmeti'ne erişme yetkisi verme.
2. RAM kullanıcısı için erişim anahtarı çiftini alın. Ayrıntılar için bkz. Erişim Anahtarı çiftini alma.

Sonraki adım için erişim anahtarı çifti ayrıntılarını not edin.

ActionTrail Logstore Ekleme

Microsoft Sentinel için Alibaba Bulut ActionTrail bağlayıcısını etkinleştirmek için, ActionTrail Logstore ekle'ye tıklayın, formu Alibaba Bulut ortamı yapılandırmasıyla doldurun ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Alibaba Bulut Ağ Veri Bağlayıcısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Alibaba Bulut Ağı veri bağlayıcısı, Basit Günlük Hizmeti (SLS) REST API'sini kullanarak Alibaba Bulut ağ verilerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı, Alibaba Cloud'dan VPC Akış Günlükleri, WAF Günlükleri ve API Gateway Günlükleri alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AlibabaCloudVPCFlowLogs	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Alibaba Cloud SLS API erişimi: SLS API'sindeAlibaba Bulut Basit Günlük Hizmeti erişimi gereklidir.

Kurulum Yönergeleri:

AliCloud SLS API'sine erişimi yapılandırma

API'yi kullanmadan önce, API'ye etkili bir şekilde erişmek için kimlik hesabınızı hazırlamanız ve anahtar çiftine erişmeniz gerekir.

1. API işlemlerini çağırmak için bir Kaynak Erişim Yönetimi (RAM) kullanıcısı kullanmanızı öneririz. Daha fazla bilgi için bkz. RAM kullanıcısı oluşturma ve RAM kullanıcısını Basit Günlük Hizmeti'ne erişme yetkisi verme.
2. RAM kullanıcısı için erişim anahtarı çiftini alın. Ayrıntılar için bkz. Erişim Anahtarı çiftini alma.

Sonraki adım için erişim anahtarı çifti ayrıntılarını not edin.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

AliCloud (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

AliCloud veri bağlayıcısı, Bulut API'sini kullanarak bulut uygulamalarından günlükleri alma ve olayları REST API aracılığıyla Microsoft Sentinel depolama özelliği sağlar. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AliCloud_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: API çağrıları yapmak için AliCloudAccessKeyId ve AliCloudAccessKey gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Azure Blob Depolama API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen AliCloud gibi çalışması için Kusto İşlevine dayalı ayrıştırıcıya bağlıdır.

ADIM 1 - AliCloud API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

1. AliCloudAccessKeyId ve AliCloudAccessKey: hesapta oturum açın, AccessKey Yönetimi'ne ve ardından Gizli Diziyi Görüntüle'ye tıklayın.
2. Veri bağlayıcısında kullanmak için kimlik bilgilerini kaydedin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: AliCloud veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak AliCloud veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects ve AppInsightsWorkspaceResourceID girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

AliCloud veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, AliCloudXXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. İlgili dize değerleriyle (büyük/küçük harfe duyarlı) aşağıdaki uygulama ayarlarını tek tek ekleyin: WorkspaceID WorkspaceKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Amazon Web Services

Tarafından desteklenir:Microsoft Corporation

Yükleme işlemi sırasında AWS'ye bağlanma ve CloudTrail günlüklerinizi Microsoft Sentinel akışla aktarma yönergeleri gösterilir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSCloudTrail	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Amazon Web Services CloudFront (Kodsuz Bağlayıcı Çerçevesi aracılığıyla) (Önizleme)

Tarafından desteklenir:Microsoft Corporation

Bu veri bağlayıcısı, gelişmiş tehdit algılama, araştırma ve güvenlik izlemeyi desteklemek için AWS CloudFront günlüklerinin Microsoft Sentinel ile tümleştirilmesine olanak tanır. Bağlayıcı, günlük depolama için Amazon S3 ve ileti kuyruğa alma için Amazon SQS kullanarak CloudFront erişim günlüklerini güvenilir bir şekilde Microsoft Sentinel

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSCloudFront_AccessLog_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Microsoft Sentinel'da AWS CloudFront günlüklerini alma

Gerekli Kaynakların Listesi:

• Open ID Connect (OIDC) web kimliği sağlayıcısı
• IAM Rolü
• Amazon S3 Bucket
• Amazon SQS
• AWS CloudFront yapılandırması

1. AWS CloudFormation Dağıtımı AWS'ye erişimi yapılandırmak için, AWS ortamını bir S3 demetinden Log Analytics Çalışma Alanınıza günlük gönderecek şekilde ayarlamak için iki şablon oluşturulmuştur.

Her şablon için AWS'de Stack oluşturun:

1. AWS CloudFormation Stacks'e gidin.
2. 'Şablon belirtin' seçeneğini, ardından 'Dosya seç' seçeneğine tıklayıp aşağıda sağlanan uygun CloudFormation şablon dosyasını seçerek 'Şablon dosyasını karşıya yükleyin' seçeneğini belirleyin. 'Dosya seç'e tıklayın ve indirilen şablonu seçin.
3. 'İleri' ve 'Yığın oluştur'a tıklayın.

• Şablon 1: OpenID connect kimlik doğrulaması dağıtımı: <yükleme zamanında sağlanan değişken değeri>
• Şablon 2: AWSCloudFront kaynakları dağıtımı: <yükleme zamanında sağlanan değişken değeri>

2. Yeni toplayıcıları bağlama AWS S3'i Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Amazon Web Services Elastik Yük Dengeleme (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Microsoft Sentinel için AWS Elastik Yük Dengeleme (ELB) bağlayıcısı, AWS Uygulama Yük Dengeleyicileri (ALB), Ağ Yük Dengeleyicileri (NLB) ve Ağ Geçidi Yük Dengeleyicileri'nden (GLB) erişim günlüklerini ve akış günlüklerini Microsoft Sentinel almanızı sağlar. Bu günlükler yük dengeleyicileriniz ve VPC trafik akışlarınız tarafından işlenen istekler hakkında ayrıntılı bilgi sağlayarak güvenlik izleme, tehdit algılama ve trafik analizini etkinleştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSALBAccessLogsData	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• AWS IAM Rolü ARN ve SQS Kuyruğu: Hesap arası erişime sahip bir AWS IAM Rolü ARN'si ve S3 olay bildirimleri için yapılandırılmış bir SQS Kuyruğu URL'si gereklidir. Kurulum yönergeleri için AWS ELB bağlayıcısı belgelerine bakın.

Kurulum Yönergeleri:

1. AWS CloudFormation Dağıtımı AWS'ye erişimi yapılandırmak için CloudFormation şablonlarını kullanarak ortamı ALB, NLB ve GLB'den Log Analytics Çalışma Alanınıza günlük gönderecek şekilde ayarlayın.

Dağıtım adımları:

1. Bulut Oluşturma Şablonları'na gidin, JSON şablon dosyalarını indirin.
2. AWS CloudFormation Stacks'e gidin.
3. İlk olarak OIDCWebIdProvider.json şablonunu dağıtın (Microsoft Sentinel için zaten bir OIDC sağlayıcınız varsa atlayın).
4. Ardından AWSS3ELB.json şablonunu parametrelerinizle dağıtın.
5. Yığın çıkışlarından aşağıdaki değerleri not alın:
   • IAMRoleArn
   • ALBSQSQueueURL
   • NLBSQSQueueURL
   • NLBFlowLogsSQSQueueURL
   • GLBFlowLogsSQSQueueURL

Dağıtım Sonrası Yapılandırma:

CloudFormation yığını başarıyla dağıtıldıktan sonra:

• Yığındaki Kaynaklar sekmesine gidin.
• Oluşturulan S3 demet adını bulun.
• S3 demetinde aşağıdaki klasörleri el ile oluşturun:
  • ALBLogs
  • NLBAccessLogs
  • NLBFlowLogs
  • GLBFlowLogs

Günlükler Gönderiliyor:

Klasör oluşturulduktan sonra AWS hizmetlerinizi günlükleri uygun klasörlere gönderecek şekilde yapılandırın:

• ALB erişim günlükleri ->ALBLogs/
• NLB erişim günlükleri ->NLBAccessLogs/
• NLB akış günlükleri ->NLBFlowLogs/
• GLB akış günlükleri ->GLBFlowLogs/

Bu günlükler Log Analytics Çalışma Alanınızdaki ilgili tablolara aktarılır.

Tablo Eşlemesi:

• ALB erişim günlükleri ->AWSALBAccessLogsData
• NLB erişim günlükleri ->AWSNLBAccessLogsData
• NLB ve GLB akış günlükleri ->AWSELBFlowLogsData

Not:AWSELBFlowLogsData Tabloda, adlı LogType sütun bir satırın NLB akış günlüklerinden mi yoksa GLB akış günlüklerinden mi olduğunu gösterir.

2. Yeni toplayıcıları bağlama Bağlayıcıyı etkinleştirmek için Yeni toplayıcı ekle'ye tıklayın, gerekli ayrıntıları girin ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Amazon Web Services NetworkFirewall (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Bu veri bağlayıcısı, gelişmiş tehdit algılama ve güvenlik izleme için AWS Ağ Güvenlik Duvarı günlüklerini Microsoft Sentinel almanızı sağlar. Bağlayıcı Amazon S3 ve Amazon SQS'den yararlanarak ağ trafiği günlüklerini, yetkisiz erişim algılama uyarılarını ve güvenlik duvarı olaylarını Microsoft Sentinel ileterek gerçek zamanlı analiz ve diğer güvenlik verileriyle bağıntı sağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSNetworkFirewallFlow	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

AWS NetworkFirewall günlüklerini Microsoft Sentinel alma

Gerekli Kaynakların Listesi:

• Open ID Connect (OIDC) web kimliği sağlayıcısı
• IAM Rolü
• Amazon S3 Bucket
• Amazon SQS
• AWSNetworkFirewall yapılandırması
• AWS NetworkFirewall Veri bağlayıcı yapılandırması için bu yönergeleri izleyin

1. AWS CloudFormation Dağıtımı AWS'ye erişimi yapılandırmak için, AWS ortamını bir S3 demetinden Log Analytics Çalışma Alanınıza günlük gönderecek şekilde ayarlamak için iki şablon oluşturulmuştur.

Her şablon için AWS'de Stack oluşturun:

1. AWS CloudFormation Stacks'e gidin.
2. 'Şablon belirtin' seçeneğini, ardından 'Dosya seç' seçeneğine tıklayıp aşağıda sağlanan uygun CloudFormation şablon dosyasını seçerek 'Şablon dosyasını karşıya yükleyin' seçeneğini belirleyin. 'Dosya seç'e tıklayın ve indirilen şablonu seçin.
3. 'İleri' ve 'Yığın oluştur'a tıklayın.

• Şablon 1: OpenID connect kimlik doğrulaması dağıtımı: <yükleme zamanında sağlanan değişken değeri>
• Şablon 2: AWSNetworkFirewall kaynakları dağıtımı: <yükleme zamanında sağlanan değişken değeri>

2. Yeni toplayıcıları bağlama AWS S3'i Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Amazon Web Services S3

Tarafından desteklenir:Microsoft Corporation

Bu bağlayıcı, AWS S3 demetlerinde toplanan AWS hizmet günlüklerini Microsoft Sentinel almanızı sağlar. Şu anda desteklenen veri türleri şunlardır:

• AWS CloudTrail
• VPC Akış Günlükleri
• AWS GuardDuty
• AWSCloudWatch

Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSGuardDuty	Evet	Evet
AWSVPCFlow	Evet	Evet
AWSCloudTrail	Evet	Evet
AWSCloudWatch	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Ortam: Şu AWS kaynaklarını tanımlamış ve yapılandırmış olmanız gerekir: S3, Basit Kuyruk Hizmeti (SQS), IAM rolleri ve izin ilkeleri ve günlüklerini toplamak istediğiniz AWS hizmetleri.

Kurulum Yönergeleri:

1. AWS ortamınızı ayarlama

S3 demetinden Log Analytics Çalışma Alanınıza günlük göndermek için AWS ortamınızı ayarlamak için iki seçenek vardır:

PowerShell betiği ile kurulum (önerilir)

• Ortamı ayarlamak için betiği çalıştırın: <yükleme zamanında sağlanan değişken değeri>
• Dış Kimlik (Çalışma Alanı Kimliği): <yükleme zamanında sağlanan değişken değeri>

El ile Kurulum

Ortamı ayarlamak için aşağıdaki bağlantıdaki yönergeleri izleyin: AWS S3'i Microsoft Sentinel'ye bağlama

2. Bağlantı ekleme

---

Amazon Web Services S3 DNS Route53 (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Bu bağlayıcı, gelişmiş görünürlük ve tehdit algılama için AWS Route 53 DNS günlüklerinin Microsoft Sentinel alımına olanak tanır. Doğrudan AWS S3 demetlerinden alınan DNS Çözümleyicisi sorgu günlüklerini desteklerken, Genel DNS sorgu günlükleri ve Route 53 denetim günlükleri Microsoft Sentinel'nin AWS CloudWatch ve CloudTrail bağlayıcıları kullanılarak alınabilir. Her günlük türünün kurulumunda size yol gösterecek kapsamlı yönergeler sağlanır. DNS etkinliğini izlemek, olası tehditleri algılamak ve bulut ortamlarında güvenlik duruşunuzu geliştirmek için bu bağlayıcıdan yararlanın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSRoute53Resolver	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

AWS Route53

Bu bağlayıcı, AWS Route 53 DNS günlüklerinin Microsoft Sentinel'a alımını sağlayarak DNS etkinliğine yönelik gelişmiş görünürlük sağlar ve tehdit algılama özelliklerini güçlendirir. AWS S3 demetlerinden DNS Çözümleyicisi sorgu günlüklerinin doğrudan alımını desteklerken, Genel DNS sorgu günlükleri ve Route 53 denetim günlükleri Microsoft Sentinel'nin AWS CloudWatch ve CloudTrail bağlayıcıları aracılığıyla alınabilir. Her günlük türü için ayrıntılı kurulum yönergeleri sağlanır. DNS trafiğini izlemek, olası tehditleri belirlemek ve bulut güvenliği duruşunuzu geliştirmek için bu bağlayıcıyı kullanın.

AWS Route 53'ten Microsoft Sentinel'a aşağıdaki günlük türlerini alabilirsiniz:

1. Route 53 Resolver sorgu günlükleri
2. Yönlendirme 53 Genel Barındırılan bölgeler sorgu günlükleri (Microsoft Sentinel CloudWatch bağlayıcısı aracılığıyla)
3. Yönlendirme 53 denetim günlükleri (Microsoft Sentinel CloudTrail bağlayıcısı aracılığıyla)

Microsoft Sentinel'da Route53 Çözümleyicisi sorgu günlüklerini alma

Gerekli Kaynakların Listesi:

• Open ID Connect (OIDC) web kimliği sağlayıcısı
• IAM Rolü
• Amazon S3 Bucket
• Amazon SQS
• Route 53 Resolver sorgu günlüğü yapılandırması
• Route53 Resolver sorgu günlüğü yapılandırmasıyla ilişkilendirilecek VPC

1. AWS CloudFormation Dağıtımı AWS'ye erişimi yapılandırmak için, AWS ortamını bir S3 demetinden Log Analytics Çalışma Alanınıza günlük gönderecek şekilde ayarlamak için iki şablon oluşturulmuştur.

Her şablon için AWS'de Stack oluşturun:

1. AWS CloudFormation Stacks'e gidin.
2. 'Şablon belirtin' seçeneğini, ardından 'Dosya seç' seçeneğine tıklayıp aşağıda sağlanan uygun CloudFormation şablon dosyasını seçerek 'Şablon dosyasını karşıya yükleyin' seçeneğini belirleyin. 'Dosya seç'e tıklayın ve indirilen şablonu seçin.
3. 'İleri' ve 'Yığın oluştur'a tıklayın.

• Şablon 1: OpenID connect kimlik doğrulaması dağıtımı: <yükleme zamanında sağlanan değişken değeri>
• Şablon 2: AWS Route53 kaynak dağıtımı: <yükleme zamanında sağlanan değişken değeri>

2. Yeni toplayıcıları bağlama Amazon Web Services S3 DNS Route53'i Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

Route 53 Genel Barındırılan bölgeler sorgu günlüklerini alma (Microsoft Sentinel CloudWatch bağlayıcısı aracılığıyla)

Genel Barındırılan bölge sorgu günlükleri AWS'deki CloudWatch hizmetine aktarılır. CloudWatch günlüklerini AWS'den Microsoft Sentinel almak için 'Amazon Web Services S3' bağlayıcısını kullanabiliriz.

1. Adım: Genel DNS sorguları için günlüğe kaydetmeyi yapılandırma

1. AWS Yönetim Konsolu'nda oturum açın ve AWS Route 53'te Route 53 konsolunu açın.
2. Yol 53 > Barındırılan bölgeler'e gidin.
3. Sorgu günlüğünü yapılandırmak istediğiniz Genel barındırılan bölgeyi seçin.
4. Barındırılan bölge ayrıntıları bölmesinde "Sorgu günlüğünü yapılandır" seçeneğine tıklayın.
5. Var olan bir günlük grubunu seçin veya yeni bir günlük grubu oluşturun.
6. Oluştur'u seçin.

2. Adım: AWS CloudWatch için Amazon Web Services S3 veri bağlayıcısını yapılandırma

AWS CloudWatch günlükleri, lambda işlevi kullanılarak bir S3 demetine aktarılabilir. Genel DNS sorgularını demetten AWS CloudWatch demete S3 ve ardından Microsoft Sentinel almak için Amazon Web Services S3 bağlayıcısında sağlanan yönergeleri izleyin.

Route 53 denetim günlüklerini alma (Microsoft Sentinel CloudTrail bağlayıcısı aracılığıyla)

Route 53 denetim günlükleri, yani Route 53'te kullanıcı, rol veya AWS hizmeti tarafından gerçekleştirilen eylemlerle ilgili günlükler AWS CloudTrail hizmeti aracılığıyla bir S3 demetine aktarılabilir. CloudTrail günlüklerini AWS'den Microsoft Sentinel almak için 'Amazon Web Services S3' bağlayıcısını kullanabiliriz.

1. Adım: AWS Route 53 Denetim günlükleri için günlüğe kaydetmeyi yapılandırma

1. AWS Yönetim Konsolu'nda oturum açın ve AWS CloudTrail'de CloudTrail konsolunu açın
2. Mevcut bir izniz yoksa 'İz oluştur' seçeneğine tıklayın
3. İz adı alanına yolunuz için bir ad girin.
4. Yeni S3 demeti oluştur'u seçin (mevcut bir S3 demeti kullanmayı da seçebilirsiniz).
5. Diğer ayarları varsayılan olarak bırakın ve İleri'ye tıklayın.
6. Olay türü'nü seçin, Yönetim olayları'nın seçili olduğundan emin olun.
7. API etkinliği, 'Okuma' ve 'Yazma' seçeneğini belirleyin
8. İleri'yi tıklatın.
9. Ayarları gözden geçirin ve 'İz oluştur'a tıklayın.

2. Adım: AWS CloudTrail için Amazon Web Services S3 veri bağlayıcısını yapılandırma

Denetim ve yönetim günlüklerini AWS CloudTrail Microsoft Sentinel almak için Amazon Web Services S3 bağlayıcısında sağlanan yönergeleri izleyin

---

Amazon Web Services S3 WAF

Tarafından desteklenir:Microsoft Corporation

Bu bağlayıcı, AWS S3 demetlerinde toplanan AWS WAF günlüklerini Microsoft Sentinel almanızı sağlar. AWS WAF günlükleri, web erişim denetim listelerinin (ACL) analiz ettiği ve web uygulamalarının güvenliğini ve performansını korumak için gerekli olan trafiğin ayrıntılı kayıtlarıdır. Bu günlükler AWS WAF'nin isteği aldığı zaman, isteğin ayrıntıları ve isteğin eşleştirdiği kural tarafından gerçekleştirilen eylem gibi bilgileri içerir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSWAF	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

1. AWS CloudFormation Dağıtımı AWS'ye erişimi yapılandırmak için, AWS ortamını bir S3 demetinden Log Analytics Çalışma Alanınıza günlük gönderecek şekilde ayarlamak için iki şablon oluşturulmuştur.

Her şablon için AWS'de Stack oluşturun:

1. AWS CloudFormation Stacks'e gidin.
2. 'Şablon belirtin' seçeneğini, ardından 'Dosya seç' seçeneğine tıklayıp aşağıda sağlanan uygun CloudFormation şablon dosyasını seçerek 'Şablon dosyasını karşıya yükleyin' seçeneğini belirleyin. 'Dosya seç'e tıklayın ve indirilen şablonu seçin.
3. 'İleri' ve 'Yığın oluştur'a tıklayın.

• Şablon 1: OpenID connect kimlik doğrulaması dağıtımı: <yükleme zamanında sağlanan değişken değeri>
• Şablon 2: AWS WAF kaynakları dağıtımı: <yükleme zamanında sağlanan değişken değer>

2. Yeni toplayıcıları bağlama AWS S3'i Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Anvilogic

Tarafından desteklenir:Anvilogic

Anvilogic veri bağlayıcısı, Anvilogic ADX kümesinde oluşturulan ilgi çekici olayları Microsoft Sentinel

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Anvilogic_Alerts_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Anvilogic Uygulama Kaydı İstemci Kimliği ve İstemci Gizli Anahtarı: Anvilogic ADX'e erişmek için Anvilogic uygulama kaydından istemci kimliği ve istemci gizli dizisine ihtiyacımız var

Kurulum Yönergeleri:

Microsoft Sentinel ilgi çekici olayları toplamaya başlamak için Anvilogic'e bağlanın

Anvilogic Uyarılarını Microsoft Sentinel almak için formu doldurun

• Belirteç Uç Noktası: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
• Anvilogic ADX Kapsamı: (<avl_adx_uri>/.default)
• Anvilogic ADX İstek URI'si: (<avl_adx_uri>/v2/rest/query)

---

ARGOS Bulut Güvenliği

Tarafından desteklenir:ARGOS Cloud Security

Microsoft Sentinel için ARGOS Bulut Güvenliği tümleştirmesi, tüm önemli bulut güvenliği olaylarınızın tek bir yerde olmasını sağlar. Bu, panoları, uyarıları kolayca oluşturmanızı ve olayları birden çok sistem arasında ilişkilendirmenizi sağlar. Genel olarak bu, kuruluşunuzun güvenlik duruşunu ve güvenlik olayı yanıtını geliştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ARGOS_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

1. ARGOS'a abone olma

Zaten bir ARGOS Aboneliğiniz olduğundan emin olun. Aksi takdirde , ARGOS Cloud Security'ye göz atın ve ARGOS'a kaydolun.

Alternatif olarak, Azure Marketi aracılığıyla da ARGOS satın alabilirsiniz.

2. ARGOS'tan Sentinel tümleştirmeyi yapılandırma

ARGOS'a Çalışma Alanı Kimliğinizi ve Birincil Anahtarınızı sağlayarak ARGOS'yi yeni algılamaları Sentinel çalışma alanınıza iletecek şekilde yapılandırın.

Özel altyapı dağıtmaya gerek yoktur.

Bilgileri ARGOS Sentinel yapılandırma sayfasına girin.

Yeni algılamalar otomatik olarak iletilir.

Tümleştirme hakkında daha fazla bilgi edinin

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Armis Uyarı Etkinlikleri (Azure İşlevleri kullanarak)

Tarafından desteklenir:Armis Corporation

Armis Uyarıları Etkinlikleri bağlayıcısı Armis Rest API aracılığıyla Armis Uyarılarını ve Etkinliklerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine https://<YourArmisInstance>.armis.com/api/v1/docs bakın. Bağlayıcı, Armis platformundan uyarı ve etkinlik bilgileri alma ve ortamınızdaki tehditleri belirleyip önceliklendirme olanağı sağlar. Armis, aracı dağıtmak zorunda kalmadan cihazları bulmak ve tanımlamak için mevcut altyapınızı kullanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Armis_Alerts_CL	Hayır	Hayır
Armis_Activities_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Armis Gizli Anahtarı gereklidir. API hakkında daha fazla bilgi edinmek için belgelere bakın https://<YourArmisInstance>.armis.com/api/v1/doc

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Armis API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Log Analytics'te işlev kodunu görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve ArmisActivities/ArmisAlerts diğer adını arayın ve işlev kodunu yükleyin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

ADIM 1 - Armis API'sinin yapılandırma adımları

Armis API gizli anahtarı oluşturmak için bu yönergeleri izleyin.

1. Armis örneğinizde oturum açın
2. Ayarlar ' a gidin -> API Management
3. Gizli anahtar henüz oluşturulmamışsa, oluştur düğmesine basarak gizli dizi anahtarını oluşturun
4. Gizli anahtara erişmek için Göster düğmesine basın
5. Gizli anahtar artık Armis Uyarıları Etkinlikleri bağlayıcı yapılandırması sırasında kopyalanabilir ve kullanılabilir

ADIM 2 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. Armis Uyarıları Etkinlikleri Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak istemci kimliği ve Kiracı Kimliği gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

3. ADIM - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, Armis Uyarıları Etkinlikleri Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, Armis Uyarıları Etkinlikleri Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ADIM 4 - Microsoft Entra ID'de uygulamaya Katkıda Bulunan rolü atama

Rolü atamak için bu bölümdeki adımları izleyin:

1. Azure portal Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
2. Sol panelden Erişim denetimine (IAM) gidin.
3. Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
4. Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
5. Erişim ata bölümünde öğesini seçinUser, group, or service principal.
6. Üye ekle'ye tıklayın ve oluşturduğunuz uygulama adınızı yazın ve seçin.
7. Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.

Başvuru bağlantısı:/azure/role-based-access-control/role-assignments-portal

ADIM 5 - Keyvault oluşturma

Yeni bir Keyvault oluşturmak için bu yönergeleri izleyin.

1. Azure portal Key vaults'a gidin. Oluştur'a tıklayın.
2. Subsciption, Resource Group öğesini seçin ve keyvault öğesinin benzersiz adını sağlayın.

NOT: Bir çalışma alanı içindeki her API anahtarı için ayrı bir anahtar kasası oluşturun .

6. ADIM - Keyvault'ta Erişim İlkesi Oluşturma

Keyvault'ta erişim ilkesi oluşturmak için bu yönergeleri izleyin.

1. Keyvaults'a gidin, keyvault'unuzu seçin, sol taraftaki panelde Erişim ilkeleri'ne gidin. Oluştur'a tıklayın.
2. Gizli dizi izinleri & tüm anahtarları seçin. İleri'ye tıklayın.
3. Asıl bölümde, ADIM - 2'de oluşturulan uygulama adına göre arama. İleri'ye tıklayın.

NOT: Key Vault Erişim Yapılandırmasındaki İzin modelinin 'Kasa erişim ilkesi' olarak ayarlandığından emin olun

ADIM 7 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Armis Uyarıları Etkinlikleri veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nın (aşağıdakilerden kopyalanabilir) yanı sıra Armis API Yetkilendirme Anahtarlarına da hazır...

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Armis bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin: İşlev Adı Çalışma Alanı Kimliği Çalışma Alanı Anahtarı Armis Gizli Anahtar Armis URL'si< (https:// armis-instance.armis.com/api/v1/>) Armis Uyarı Tablosu Adı
   Armis Etkinlik Tablosu Adı Önem Derecesi (Varsayılan: Düşük) Armis Schedule KeyVault Name Azure İstemci Kimliği Azure İstemci Gizli Kiracı Kimliği

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Armis Uyarıları Etkinlikleri veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. ARMISXXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçme

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: Çalışma Alanı Kimliği Çalışma Alanı Anahtarı Armis Gizli Anahtar Armis URL'si (https://< armis-instance.armis.com/api/v1/>) Armis Uyarı Tablosu Adı Armis Etkinlik Tablosu Adı Önem Derecesi (Varsayılan: Düşük) Armis Zamanlama AnahtarıVault Adı Azure İstemci Kimliği Azure İstemci Gizli Kiracı Kimliği günlüğüAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Armis Cihazları (Azure İşlevleri kullanarak)

Tarafından desteklenir:Armis Corporation

Armis Cihaz bağlayıcısı Armis Rest API aracılığıyla Armis Cihazlarını Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine https://<YourArmisInstance>.armis.com/api/v1/docs bakın. Bağlayıcı, Armis platformundan cihaz bilgilerini alma olanağı sağlar. Armis, aracı dağıtmak zorunda kalmadan cihazları bulmak ve tanımlamak için mevcut altyapınızı kullanır. Armis ayrıca ortamınızda yönetilen veya yönetilmeyen her cihazı tanımlamak ve sınıflandırmak için mevcut BT & güvenlik yönetimi araçlarınızla tümleştirilebilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Armis_Devices_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Armis Gizli Anahtarı gereklidir. API hakkında daha fazla bilgi edinmek için belgelere bakın https://<YourArmisInstance>.armis.com/api/v1/doc

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Armis API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto işlevleri diğer adı ArmisDevice'i oluşturmak için bu adımları izleyin

ADIM 1 - Armis API'sinin yapılandırma adımları

Armis API gizli anahtarı oluşturmak için bu yönergeleri izleyin.

1. Armis örneğinizde oturum açın
2. Ayarlar ' a gidin -> API Management
3. Gizli anahtar henüz oluşturulmamışsa, oluştur düğmesine basarak gizli dizi anahtarını oluşturun
4. Gizli anahtara erişmek için Göster düğmesine basın
5. Gizli anahtar artık Armis Cihazı bağlayıcı yapılandırması sırasında kopyalanabilir ve kullanılabilir

ADIM 2 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. Armis Cihaz Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak istemci kimliği ve Kiracı Kimliği gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

3. ADIM - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, Armis Cihaz Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri Armis Cihaz Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ADIM 4 - Microsoft Entra ID'de uygulamaya Katkıda Bulunan rolü atama

Rolü atamak için bu bölümdeki adımları izleyin:

1. Azure portal Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
2. Sol panelden Erişim denetimine (IAM) gidin.
3. Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
4. Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
5. Erişim ata bölümünde öğesini seçinUser, group, or service principal.
6. Üye ekle'ye tıklayın ve oluşturduğunuz uygulama adınızı yazın ve seçin.
7. Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.

Başvuru bağlantısı:/azure/role-based-access-control/role-assignments-portal

ADIM 5 - Keyvault oluşturma

Yeni bir Keyvault oluşturmak için bu yönergeleri izleyin.

1. Azure portal Key vaults'a gidin. Oluştur'a tıklayın.
2. Subsciption, Resource Group öğesini seçin ve keyvault öğesinin benzersiz adını sağlayın.

NOT: Bir çalışma alanı içindeki her API anahtarı için ayrı bir anahtar kasası oluşturun .

6. ADIM - Keyvault'ta Erişim İlkesi Oluşturma

Keyvault'ta erişim ilkesi oluşturmak için bu yönergeleri izleyin.

1. Keyvaults'a gidin, keyvault'unuzu seçin, sol taraftaki panelde Erişim ilkeleri'ne gidin. Oluştur'a tıklayın.
2. Gizli dizi izinleri & tüm anahtarları seçin. İleri'ye tıklayın.
3. Asıl bölümde, ADIM - 2'de oluşturulan uygulama adına göre arama. İleri'ye tıklayın.

NOT: Key Vault Erişim Yapılandırmasındaki İzin modelinin 'Kasa erişim ilkesi' olarak ayarlandığından emin olun

ADIM 7 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Armis Cihazı veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nın (aşağıdakilerden kopyalanabilir) yanı sıra Armis API Yetkilendirme Anahtarlarını da hazır bulundurun...

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Armis bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin: İşlev Adı Çalışma Alanı Kimliği Çalışma Alanı Anahtarı Armis Gizli Anahtar Armis URL'si (https://< armis-instance.armis.com/api/v1/>) Armis Cihaz Tablo Adı Armis Zamanlama AnahtarıVault Adı Azure İstemci Kimliği Azure İstemci Gizli Kiracı Kimliği

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Armis Cihazı veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. ARMISXXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçme

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: Çalışma Alanı Kimliği Çalışma Alanı Anahtarı Armis Gizli Anahtar Armis URL'si (https://< armis-instance.armis.com/api/v1/>) Armis Cihaz Tablo Adı Armis Zamanlama AnahtarıVault Adı Azure İstemci Kimliği Azure İstemci Gizli Kiracı Kimliği günlüğüAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Atlassian İşaret Uyarıları

Tarafından desteklenir:DEFEND Ltd.

Atlassian Beacon, Atlassian platformları (Jira, Confluence ve Atlassian Yönetici) genelinde Akıllı tehdit algılama için oluşturulmuş bir bulut ürünüdür. Bu, kullanıcıların Atlassian ürün paketi için riskli kullanıcı etkinliklerini algılamasına, araştırmasına ve yanıtlamasına yardımcı olabilir. Çözüm, Atlassian Beacon'dan alınan uyarıları bir Mantıksal Uygulama aracılığıyla Microsoft Sentinel görselleştirmek için kullanılan, DEFEND Ltd. tarafından sunulan özel bir veri bağlayıcısıdır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
atlassian_beacon_alerts_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

1. Microsoft Sentinel

1. Yeni yüklenen 'Atlassian Beacon Integration' Mantıksal Uygulamasına gidin

2. 'Mantıksal uygulama tasarımcısı'na gidin

3. 'HTTP isteği alındığında' öğesini genişletin

4. 'HTTP POST URL'sini' kopyalayın

2. Atlassian Beacon

1. Atlassian Beacon'da yönetici hesabı kullanarak oturum açın

2. AYARLAR'ın altında 'SIEM iletme' bölümüne gidin

3. Mantıksal Uygulama'dan kopyalanan URL'yi metin kutusuna yapıştırın

4. 'Kaydet' düğmesine tıklayın

3. Test ve Doğrulama

1. Atlassian Beacon'da yönetici hesabı kullanarak oturum açın

2. AYARLAR'ın altında 'SIEM iletme' bölümüne gidin

3. Yeni yapılandırılan web kancasının yanındaki 'Test' düğmesine tıklayın

4. Microsoft Sentinel'a gidin

5. Yeni yüklenen Mantıksal Uygulama'ya gidin

6. 'Çalıştırma geçmişi' altında Mantıksal Uygulama Çalıştırması'nı denetleyin

7. 'Günlükler' içindeki 'atlassian_beacon_alerts_CL' tablo adının altındaki günlükleri denetleyin

8. Analiz kuralı etkinleştirildiyse yukarıdaki Test uyarısı Microsoft Sentinel

---

Atlassian Confluence Audit (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Atlassian Confluence Audit veri bağlayıcısı, Confluence Audit Records olaylarını REST API aracılığıyla Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ConfluenceAuditLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Atlassian Confluence API erişimi: Confluence Denetim günlükleri API'sine erişim elde etmek için Confluence'ı Yönetme İzni gereklidir. Denetim API'si hakkında daha fazla bilgi edinmek için Confluence API belgelerine bakın .

Kurulum Yönergeleri:

Microsoft Sentinel'de denetim günlüklerini toplamaya başlamak için Atlassian Confluence API'sine bağlanın

Atlassian Confluence bağlayıcısını Microsoft Sentinel etkinleştirmek için bir kuruluş eklemek için tıklayın, formu Confluence ortamı kimlik bilgileriyle doldurun ve Bağlan'a tıklayın. API belirteci oluşturmak için bu adımları izleyin.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Atlassian Jira Denetimi (Azure İşlevleri kullanılarak)

Tarafından desteklenir:Microsoft Corporation

Atlassian Jira Audit veri bağlayıcısı Jira Denetim Kayıtları olaylarını REST API aracılığıyla Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Jira_Audit_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: REST API için JiraAccessToken, JiraUsername gereklidir. Daha fazla bilgi için bkz. API. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin .

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Jira REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto işlevleri diğer adı olan JiraAudit'i oluşturmak için bu adımları izleyin

ADIM 1 - Jira API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Çalışma Alanı veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Jira Denetim veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. JiraAccessToken, JiraUsername, JiraHomeSiteName (kısa site adı bölümü, örneğin HOMESITENAME from https://community.atlassian.com) girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Jira Denetim veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin JiraAuditXXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

3. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Atlassian Jira Denetimi (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Atlassian Jira Audit veri bağlayıcısı Jira Denetim Kayıtları olaylarını REST API aracılığıyla Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Jira_Audit_v2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Atlassian Jira API erişimi: Jira Denetim günlükleri API'sine erişmek için Jira'yı Yönetme izni gereklidir. Denetim API'si hakkında daha fazla bilgi edinmek için Jira API belgelerine bakın .

Kurulum Yönergeleri:

Atlassian Jira bağlayıcısını Microsoft Sentinel etkinleştirmek için, kuruluş eklemek için tıklayın, formu Jira ortamı kimlik bilgileriyle doldurun ve Bağlan'a tıklayın. API belirteci oluşturmak için bu adımları izleyin.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Auth0 Günlükleri (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Auth0 veri bağlayıcısı, günlüklerin Auth0 API'sinden Microsoft Sentinel'a alımına olanak tanır. Veri bağlayıcısı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni üzerine kurulmuştur. Günlükleri getirmek için Auth0 API'sini kullanır ve alınan güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alım süresi dönüştürmelerini destekler, böylece sorguların yeniden ayrıştırması gerekmez ve böylece daha iyi performans elde edilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Auth0Logs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

1. ADIM - Auth0 Yönetim API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

1. Auth0 Panosu'nda [Uygulamalar Uygulamaları>] bölümüne gidin
2. Uygulamanızı seçin. Bu, en az [read:logs] ve [read:logs_users] izinleriyle yapılandırılmış bir [Makineden Makineye] Uygulaması olmalıdır.
3. Kopyalama [Domain, ClientID, Client Secret]

• Temel API URL'si: (https://example.auth0.com)
• İstemci Kimliği: (İstemci Kimliği)
• İstemci Gizli Anahtarı: (API Belirteci)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Otomatik Mantıksal WebCTRL

Tarafından desteklenir:Microsoft Corporation

Denetim günlüklerini, Microsoft Sentinel bağlı Windows makinelerinde barındırılan WebCTRL SQL sunucusundan akışla aktarabilirsiniz. Bu bağlantı panoları görüntülemenizi, özel uyarılar oluşturmanızı ve araştırmayı geliştirmenizi sağlar. Bu, WebCTRL BAS uygulaması tarafından izlenen veya denetlenen Endüstriyel Denetim Sistemlerinizle ilgili içgörüler sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Event	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

1. Windows için Microsoft aracısını yükleyin ve yükleyin.

Aracı kurulumu ve windows olayları ekleme hakkında bilgi edinin.

Windows için Microsoft aracısını zaten yüklediyseniz bu adımı atlayabilirsiniz

2. Denetim verilerini okumak ve Windows olaylarına yazmak için Windows görevini yapılandırın

SQL'deki denetim günlüklerini okumak ve Bunları Windows Olayları olarak yazmak için Windows Zamanlanmış Görevi yükleyip yapılandırın. Bu Windows Olayları aracı tarafından toplanır ve Microsoft Sentinel iletilir.

Tüm makinelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin

2.1 Kurulum dosyalarını sunucudaki bir konuma kopyalayın.

2.2 Hedef veritabanı adı ve Windows olay kimliği gibi ALC-WebCTRL-AuditPull.ps1 betik parametrelerini güncelleştirin (yukarıdaki adımda kopyalanır). Daha fazla ayrıntı için betikteki açıklamalara bakın.

2.3 Yukarıdaki adımda kopyalanan ALC-WebCTRL-AuditPullTaskConfig.xml dosyasındaki windows görev ayarlarını gereksinime göre güncelleştirin. Daha fazla ayrıntı için dosyadaki açıklamalara bakın.

2.4 Yukarıdaki adımlarda kopyalanan güncelleştirilmiş yapılandırmaları kullanarak Windows görevlerini yükleme

• PowerShell'de, kurulum dosyalarının 2.1. adımda kopyalandığı dizinden aşağıdaki komutu çalıştırın: <yükleme zamanında sağlanan değişken değeri>

3. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin Olay şeması kullanılarak alınp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının verileri çalışma alanınıza aktarması yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa, çalışma zamanı sorunları için aşağıdaki adımları doğrulayın:

1. Zamanlanmış görevin oluşturulduğundan ve Windows Görev Zamanlayıcı'da çalışır durumda olduğundan emin olun.

2. 2.4. adımda yeni oluşturulan görev için Windows Görev Zamanlayıcı'nın geçmiş sekmesinde görev yürütme hatalarını denetleyin

3. Zamanlanmış Windows görevi çalışırken SQL Denetim tablosunun yeni kayıtlardan oluştuğundan emin olun.

---

AWS EKS Veri Bağlayıcısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

AWS EKS veri bağlayıcısı, denetim günlüklerini Amazon Elastic Kubernetes Service'ten Microsoft Sentinel alma özelliği sağlar. Bu bağlayıcı, API sunucusu istekleri, kimlik doğrulama kararları ve küme etkinlikleri hakkında ayrıntılı bilgi içeren EKS denetim günlüklerine (JSON biçimi) odaklanır. Bağlayıcı, yeni denetim günlüğü dosyaları S3'e aktarıldığında bildirim almak için AWS SQS'yi kullanarak Kubernetes kümeleriniz için gerçek zamanlı güvenlik izleme ve uyumluluk izlemesi sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSEKSLogs_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

1. AWS CloudFormation Dağıtımı

Aws EKS'den Log Analytics Çalışma Alanınıza günlük göndermek üzere AWS ortamını yapılandırmak için sağlanan CloudFormation şablonlarını kullanın.

AWS'de CloudFormation Şablonları Dağıtma:

1. AWS CloudFormation Stacks'e gidin.
2. Yığın oluştur'a tıklayın ve Yeni kaynaklarla seçeneğini belirleyin.
3. Şablon dosyasını karşıya yükle'yi seçin, ardından sağlanan uygun CloudFormation şablonunu (Aşağıdaki Şablon 1 ve 2) karşıya yüklemek için Dosya seç'e tıklayın.
4. Istemleri izleyin ve yığın oluşturmayı tamamlamak için İleri'ye tıklayın.
5. Yığınlar oluşturulduktan sonra Çıkışlar bölümüne gidin. Çıkış bölümünden 1. ve 2. adımda betikleri çalıştırın; eks'den sqs'ye günlük akışı yapın.
6. Aynı çıkışlar bölümünde, bağlan bağlayıcısında kullanılacak olan Rol ARN ve SQS Kuyruğu URL'sini not alın.

• Şablon 1: OpenID Connect kimlik doğrulama sağlayıcısı dağıtımı: <yükleme zamanında sağlanan değişken değeri>
• Şablon 2: AWS EKS Kaynakları Dağıtımı: <yükleme zamanında sağlanan değişken değeri>

2. Yeni toplayıcıları bağlama

Microsoft Sentinel için AWS Security Hub Bağlayıcısı'nı etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

• SentinelRoleArn: (Çapraz hesap erişimi için AWS IAM Rolü ARN 'i (örneğin, arn:aws:iam::123456789012:role/SentinelRole))
• SentinelSQSQueueURL: (Tam AWS EKS kuyruk URL'si (örn. https://sqs.region.amazonaws.com/account-id/queue-name))

3. Bağlan

AWS EKS bağlayıcısını etkinleştirin.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

AWS S3 Sunucu Erişim Günlükleri (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Bu bağlayıcı, AWS S3 Sunucu Erişim Günlüklerini Microsoft Sentinel almanızı sağlar. Bu günlükler, istek türü, erişilen kaynak, istek sahibi bilgileri ve yanıt ayrıntıları da dahil olmak üzere S3 demetlerine yapılan isteklerin ayrıntılı kayıtlarını içerir. Bu günlükler erişim düzenlerini analiz etmek, sorunları ayıklamak ve güvenlik uyumluluğunu sağlamak için kullanışlıdır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSS3ServerAccess	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Ortam: Şu AWS kaynaklarını tanımlamış ve yapılandırmış olmanız gerekir: S3 Demeti, Basit Kuyruk Hizmeti (SQS), IAM rolleri ve izin ilkeleri.

Kurulum Yönergeleri:

1. AWS CloudFormation Dağıtımı AWS'de erişimi yapılandırmak için AWS ortamını bir AWS S3 Server Access günlüklerinden Log Analytics Çalışma Alanınıza günlük gönderecek şekilde ayarlamak için iki şablon oluşturulmuştur.

AWS'de CloudFormation Şablonları Dağıtma:

1. AWS CloudFormation Stacks'e gidin.
2. Yığın oluştur'a tıklayın ve Yeni kaynaklarla seçeneğini belirleyin.
3. Şablon dosyasını karşıya yükle'yi seçin, ardından sağlanan uygun CloudFormation şablonunu karşıya yüklemek için Dosya seç'e tıklayın.
4. Istemleri izleyin ve yığın oluşturmayı tamamlamak için İleri'ye tıklayın.
5. Yığınlar oluşturulduktan sonra Rol ARN ve SQS Kuyruğu URL'sini not alın.

• Şablon 1: OpenID Connect kimlik doğrulama sağlayıcısı dağıtımı: <yükleme zamanında sağlanan değişken değeri>
• Şablon 2: AWS Server Access kaynakları dağıtımı: <yükleme zamanında sağlanan değişken değeri>

2. Yeni toplayıcıları bağlama AWS S3 Server Access Logs Connector'ı Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

AWS Güvenlik Merkezi Bulguları (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Bu bağlayıcı, AWS S3 demetlerinde toplanan AWS Security Hub Bulgularının Microsoft Sentinel'a alımını sağlar. AWS Security Hub Bulgularını Microsoft Sentinel gelişmiş tehdit algılama ve yanıt özellikleriyle tümleştirerek güvenlik uyarılarını izleme ve yönetme sürecini kolaylaştırmaya yardımcı olur.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AWSSecurityHubFindings	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Ortam: Şu AWS kaynaklarını tanımlamış ve yapılandırmış olmanız gerekir: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), IAM rolleri ve izin ilkeleri.

Kurulum Yönergeleri:

1. AWS CloudFormation Dağıtımı AWS Güvenlik Merkezi'nden Log Analytics Çalışma Alanınıza günlük göndermek üzere AWS ortamını yapılandırmak için sağlanan CloudFormation şablonlarını kullanın.

AWS'de CloudFormation Şablonları Dağıtma:

1. AWS CloudFormation Stacks'e gidin.
2. Yığın oluştur'a tıklayın ve Yeni kaynaklarla seçeneğini belirleyin.
3. Şablon dosyasını karşıya yükle'yi seçin, ardından sağlanan uygun CloudFormation şablonunu karşıya yüklemek için Dosya seç'e tıklayın.
4. Istemleri izleyin ve yığın oluşturmayı tamamlamak için İleri'ye tıklayın.
5. Yığınlar oluşturulduktan sonra Rol ARN ve SQS Kuyruğu URL'sini not alın.

• Şablon 1: OpenID Connect kimlik doğrulama sağlayıcısı dağıtımı: <yükleme zamanında sağlanan değişken değeri>
• Şablon 2: AWS Security Hub kaynakları dağıtımı: <yükleme zamanında sağlanan değişken değeri>

2. Yeni toplayıcıları bağlama AWS Security Hub Bağlayıcısı'nı Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Azure Etkinliği

Tarafından desteklenir:Microsoft Corporation

Azure Etkinlik Günlüğü, Azure Resource Manager işletimsel verilerden gelen olaylar, hizmet durumu olayları, aboneliğinizdeki kaynaklar üzerinde gerçekleştirilen yazma işlemleri ve Azure gerçekleştirilen etkinliklerin durumu gibi Azure gerçekleşen abonelik düzeyinde olaylar hakkında içgörü sağlayan bir abonelik günlüğüdür. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureActivity	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

Azure Batch Hesabı

Tarafından desteklenir:Microsoft Corporation

Azure Batch Hesabı, Batch hizmeti içinde benzersiz olarak tanımlanmış bir varlıktır. Çoğu Batch çözümü, kaynak dosyalarını ve çıkış dosyalarını depolamak için Azure Depolama kullanır, bu nedenle her Batch hesabı genellikle karşılık gelen bir depolama hesabıyla ilişkilendirilir. Bu bağlayıcı, Azure Batch hesabı tanılama günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanıyarak etkinliği sürekli izlemenize olanak tanır. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• İlke: Her ilke atama kapsamı için atanan sahip rolü

Kurulum Yönergeleri:

Azure Batch Hesabı tanılama günlüklerinizi Sentinel bağlayın.

Bu bağlayıcı, kapsam olarak tanımlanan bir örnek koleksiyonuna tek bir Azure Batch Hesabı günlük akışı yapılandırması uygulamak için Azure İlkesi kullanır. Geçerli ve gelecekteki tüm örneklere ilke oluşturmak ve uygulamak için aşağıdaki yönergeleri izleyin. Bu kaynak türü için zaten etkin bir ilkeniz olabileceğini unutmayın.

Azure Batch Hesabınızdaki tanılama günlüklerini uygun ölçekte Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

---

Palo Alto Networks tarafından Azure CloudNGFW

Tarafından desteklenir:Palo Alto Networks

Azure Yerel ISV Hizmeti olan Palo Alto Networks'in Bulut Yeni Nesil Güvenlik Duvarı, Azure'de buluta özel bir hizmet olarak sunulan Palo Alto Networks Yeni Nesil Güvenlik Duvarıdır (NGFW). Cloud NGFW'yi Azure Market'te bulabilir ve Azure Sanal Ağlarınızda (VNet) kullanabilirsiniz. Cloud NGFW ile App-ID, URL filtreleme tabanlı teknolojiler gibi temel NGFW özelliklerine erişebilirsiniz. Bulut tabanlı güvenlik hizmetleri ve tehdit önleme imzaları aracılığıyla tehdit önleme ve algılama sağlar. Bağlayıcı, bulut NGFW günlüklerinizi kolayca Microsoft Sentinel bağlamanıza, panoları görüntülemenize, özel uyarılar oluşturmanıza ve araştırmayı geliştirmenize olanak tanır. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir. Daha fazla bilgi için Azure için Cloud NGFW belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
fluentbit_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Palo Alto Networks'in Cloud NGFW'yi Microsoft Sentinel'a bağlama

Palo Alto Networks tarafından tüm Bulut NGFW'lerinde Günlük Ayarlarını etkinleştirin.

Bulut NGFW kaynağınızın içinde:

1. Giriş sayfasından Günlük Ayarları'na gidin.
2. Günlük Ayarlarını Etkinleştir onay kutusunun işaretli olduğundan emin olun.
3. Günlük Ayarları açılan listesinden istediğiniz Log Analytics Çalışma Alanını seçin.
4. Seçimlerinizi ve yapılandırmalarınızı onaylayın.
5. Ayarları uygulamak için Kaydet'e tıklayın.

---

Azure Bilişsel Arama

Tarafından desteklenir:Microsoft Corporation

Azure Bilişsel Arama, geliştiricilere web, mobil ve kurumsal uygulamalarda özel, heterojen içerik üzerinde zengin bir arama deneyimi oluşturmaya yönelik altyapı, API'ler ve araçlar sağlayan bir bulut arama hizmetidir. Bu bağlayıcı, Azure Bilişsel Arama tanılama günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanıyarak etkinliği sürekli izlemenizi sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• İlke: Her ilke atama kapsamı için atanan sahip rolü

Kurulum Yönergeleri:

Azure Bilişsel Arama tanılama günlüklerinizi Sentinel bağlayın.

Bu bağlayıcı, kapsam olarak tanımlanan bir örnek koleksiyonuna tek bir Azure Bilişsel Arama günlük akışı yapılandırması uygulamak için Azure İlkesi kullanır. Geçerli ve gelecekteki tüm örneklere ilke oluşturmak ve uygulamak için aşağıdaki yönergeleri izleyin. Bu kaynak türü için zaten etkin bir ilkeniz olabileceğini unutmayın.

Azure Bilişsel Arama uygun ölçekte tanılama günlüklerini Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

---

DDoS Koruması'Azure

Tarafından desteklenir:Microsoft Corporation

Genel IP Adresi Tanılama Günlükleri aracılığıyla Azure DDoS Koruması Standart günlüklerine bağlanın. Azure DDoS Koruması Standardı, platformdaki temel DDoS korumasına ek olarak ağ saldırılarına karşı gelişmiş DDoS azaltma özellikleri sağlar. Belirli Azure kaynaklarınızı korumak için otomatik olarak ayarlanmıştır. Yeni sanal ağlar oluşturulurken korumanın etkinleştirilmesi kolaydır. Ayrıca oluşturulduktan sonra da yapılabilir ve uygulama veya kaynak değişikliği gerektirmez. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

DevOps Denetim Günlüklerini Azure (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Azure DevOps Denetim Günlükleri veri bağlayıcısı, denetim olaylarını Azure DevOps'tan Microsoft Sentinel almanızı sağlar. Bu veri bağlayıcısı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi kullanılarak derlenir ve sorunsuz tümleştirme sağlar. Ayrıntılı denetim olaylarını getirmek için Azure DevOps Denetim Günlükleri API'sini kullanır ve DCR tabanlı alım süresi dönüştürmelerini destekler. Bu dönüştürmeler, alınan denetim verilerinin alım sırasında özel bir tabloya ayrıştırılarak ek ayrıştırma gereksinimini ortadan kaldırarak sorgu performansının artırılmasına olanak tanır. Bu bağlayıcıyı kullanarak Azure DevOps ortamınızda gelişmiş görünürlük elde edebilir ve güvenlik işlemlerinizi kolaylaştırabilirsiniz.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ADOAuditLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure DevOps Önkoşulu: Lütfen aşağıdakilerden emin olun:
  1. uygulama kayıtları altında Microsoft Entra Yönetici Merkezi'nde bir Entra Uygulaması kaydedin.
  2. 'API izinleri'nde - İzinleri 'Azure DevOps - vso.auditlog'a ekleyin.
  3. 'Sertifikalar & gizli diziler' içinde - 'İstemci gizli dizisi' oluşturun.
  4. 'Kimlik Doğrulaması' alanına, karşılık gelen alana aşağıda bulunan Yeniden Yönlendirme URI'sini ekleyin.
  5. Azure DevOps ayarlarında denetim günlüğünü etkinleştirin ve kullanıcı için denetim günlüğünü görüntüle'yi ayarlayın. DevOps Denetimi'ne Azure.
  6. Veri bağlayıcısına bağlanmak için atanan kullanıcının Denetim günlüklerini görüntüleme izninin her zaman açıkça İzin Ver olarak ayarlandığından emin olun. Bu izin, başarılı günlük alımı için gereklidir. İzin iptal edilirse veya verilmezse veri alımı başarısız olur veya kesintiye uğrar.

Kurulum Yönergeleri:

**Microsoft Sentinel'da Denetim günlüklerini toplamaya başlamak için Azure DevOps'a bağlanın. **

1. Kaydettiğiniz Uygulamayı girin.
2. 'Genel Bakış' bölümünde Uygulama (istemci) kimliğini kopyalayın.
3. 'Uç Noktalar' düğmesini seçin ve 'OAuth 2.0 yetkilendirme uç noktası (v2)' değerini ve 'OAuth 2.0 belirteç uç noktası (v2)' değerini kopyalayın.
4. 'Sertifikalar & gizli dizileri' bölümünde 'İstemci Gizli Anahtarı değerini' kopyalayın ve güvenli bir şekilde depolayın.
5. Aşağıdaki gerekli bilgileri sağlayın ve 'Bağlan'a tıklayın.

• Belirteç Uç Noktası: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
• Yetkilendirme Uç Noktası: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
• API Uç Noktası: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)

---

Azure Olay Hub'ı

Tarafından desteklenir:Microsoft Corporation

Azure Event Hubs, büyük bir veri akışı platformu ve olay alımı hizmetidir. Saniyede milyonlarca olay alabilir ve işleyebilir. Bu bağlayıcı, Azure Olay Hub'ı tanılama günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanıyarak etkinliği sürekli izlemenizi sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• İlke: Her ilke atama kapsamı için atanan sahip rolü

Kurulum Yönergeleri:

Azure Event Hub tanılama günlüklerinizi Sentinel bağlayın.

Bu bağlayıcı, kapsam olarak tanımlanan bir örnek koleksiyonuna tek bir Azure Olay Hub'ı günlük akışı yapılandırması uygulamak için Azure İlkesi kullanır. Geçerli ve gelecekteki tüm örneklere ilke oluşturmak ve uygulamak için aşağıdaki yönergeleri izleyin. Bu kaynak türü için zaten etkin bir ilkeniz olabileceğini unutmayın.

Azure Olay Hub'ınızdaki tanılama günlüklerini uygun ölçekte Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

---

Azure Güvenlik Duvarı

Tarafından desteklenir:Microsoft Corporation

Azure Güvenlik Duvarı bağlanın. Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Yerleşik yüksek kullanılabilirliğe ve sınırsız bulut ölçeklenebilirliğine sahip bir hizmet olarak tam durum bilgisi olan bir güvenlik duvarıdır. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır
AZFWApplicationRule	Evet	Evet
AZFWFlowTrace	Evet	Evet
AZFWFatFlow	Evet	Evet
AZFWNatRule	Evet	Evet
AZFWDnsQuery	Evet	Evet
AZFWIdpsSignature	Evet	Evet
AZFWInternalFqdnResolutionFailure	Evet	Evet
AZFWNetworkRule	Evet	Evet
AZFWThreatIntel	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Azure Key Vault

Tarafından desteklenir:Microsoft Corporation

Azure Key Vault, gizli dizileri güvenli bir şekilde depolamaya ve bunlara erişmeye yönelik bir bulut hizmetidir. Gizli dizi, API anahtarları, parolalar, sertifikalar veya şifreleme anahtarları gibi erişimi sıkı bir şekilde denetlemek istediğiniz her şeydir. Bu bağlayıcı, Azure Key Vault tanılama günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanıyarak tüm örneklerinizdeki etkinlikleri sürekli olarak izlemenize olanak tanır. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

Azure Kubernetes Service (AKS)

Tarafından desteklenir:Microsoft Corporation

Azure Kubernetes Service (AKS), docker kapsayıcılarını ve kapsayıcı tabanlı uygulamaları küme ortamında dağıtmanıza, ölçeklendirmenize ve yönetmenize olanak tanıyan açık kaynaklı, tam olarak yönetilen bir kapsayıcı düzenleme hizmetidir. Bu bağlayıcı, Azure Kubernetes Service (AKS) tanılama günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanıyarak tüm örneklerinizdeki etkinlikleri sürekli olarak izlemenize olanak tanır. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

Logic Apps'i Azure

Tarafından desteklenir:Microsoft Corporation

Azure Logic Apps, uygulamalarınızı, verilerinizi, hizmetlerinizi ve sistemlerinizi tümleştiren otomatik iş akışları oluşturmaya ve çalıştırmaya yönelik bulut tabanlı bir platformdur. Bu bağlayıcı, Azure Logic Apps tanılama günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanıyarak etkinliği sürekli olarak izlemenizi sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• İlke: Her ilke atama kapsamı için atanan sahip rolü

Kurulum Yönergeleri:

Logic Apps tanılama günlüklerinizi Sentinel bağlayın.

Bu bağlayıcı, kapsam olarak tanımlanan örnek koleksiyonuna tek bir Azure Logic Apps günlük akışı yapılandırması uygulamak için Azure İlkesi kullanır. Geçerli ve gelecekteki tüm örneklere ilke oluşturmak ve uygulamak için aşağıdaki yönergeleri izleyin. Bu kaynak türü için zaten etkin bir ilkeniz olabileceğini unutmayın.

büyük ölçekte Azure Logic Apps'inizden tanılama günlüklerini Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

---

Azure Kaynak Grafı

Tarafından desteklenir:Microsoft Corporation

Azure Kaynak Grafı bağlayıcısı, Azure abonelikler ve Azure kaynakları hakkındaki ayrıntıları tamamlayarak Azure olaylar hakkında daha zengin içgörüler sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• İlke: Azure aboneliklerde sahip rolü izni

Kurulum Yönergeleri:

Azure Kaynak Grafı Microsoft Sentinel bağlama

---

Azure Service Bus

Tarafından desteklenir:Microsoft Corporation

Azure Service Bus, ileti kuyrukları ve yayımlama-abone olma konuları (ad alanında) ile tam olarak yönetilen bir kurumsal ileti aracısıdır. Bu bağlayıcı, Azure Service Bus tanılama günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanıyarak etkinliği sürekli olarak izlemenizi sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• İlke: Her ilke atama kapsamı için atanan sahip rolü

Kurulum Yönergeleri:

Azure Service Bus tanılama günlüklerinizi Sentinel bağlayın.

Bu bağlayıcı, kapsam olarak tanımlanan bir örnek koleksiyonuna tek bir Azure Service Bus günlük akışı yapılandırması uygulamak için Azure İlkesi kullanır. Geçerli ve gelecekteki tüm örneklere ilke oluşturmak ve uygulamak için aşağıdaki yönergeleri izleyin. Bu kaynak türü için zaten etkin bir ilkeniz olabileceğini unutmayın.

Azure Service Bus uygun ölçekte tanılama günlüklerini Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

---

veritabanlarını Azure SQL

Tarafından desteklenir:Microsoft Corporation

Azure SQL yükseltme, düzeltme eki uygulama, yedekleme ve izleme gibi çoğu veritabanı yönetim işlevini kullanıcı katılımı gerektirmeden işleyen, tam olarak yönetilen, Hizmet Olarak Platform (PaaS) veritabanı altyapısıdır. Bu bağlayıcı, Azure SQL veritabanlarınızın denetim ve tanılama günlüklerini Microsoft Sentinel akışla aktarmanıza olanak tanıyarak tüm örneklerinizdeki etkinlikleri sürekli olarak izlemenizi sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

Azure Depolama Hesabı

Tarafından desteklenir:Microsoft Corporation

Azure Depolama hesabı, modern veri depolama senaryoları için bir bulut çözümüdür. Tüm veri nesnelerinizi içerir: bloblar, dosyalar, kuyruklar, tablolar ve diskler. Bu bağlayıcı, Azure Depolama hesapları tanılama günlüklerini Microsoft Sentinel çalışma alanınıza akışla aktararak tüm örneklerinizdeki etkinlikleri sürekli izlemenize ve kuruluşunuzdaki kötü amaçlı etkinlikleri algılamanıza olanak tanır. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureMetrics	Hayır	Hayır
StorageBlobLogs	Evet	Evet
StorageQueueLogs	Evet	Evet
StorageTableLogs	Evet	Evet
StorageFileLogs	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• İlke: Her ilke atama kapsamı için atanan sahip rolü

Kurulum Yönergeleri:

Azure Depolama Hesabı tanılama günlüklerinizi Sentinel bağlayın.

Bu bağlayıcı, kapsam olarak tanımlanan bir örnek koleksiyonuna günlük akışı yapılandırması uygulamak için bir dizi Azure İlkeleri kullanır. İlkeleri oluşturmak ve tüm geçerli ve gelecekteki örneklere uygulamak için aşağıdaki yönergeleri izleyin. Azure Depolama Hesabı'ndan Depolama Hesabı Tanılama günlüğünden en iyi şekilde yararlanmak için Azure Depolama Hesabı - Blob, Kuyruk, Tablo ve Dosya içindeki tüm hizmetlerden Tanılama günlüğünü etkinleştirmenizi öneririz. Bu kaynak türü için zaten etkin bir ilkeniz olabileceğini unutmayın.

Azure Depolama Hesabınızdan tanılama günlüklerini uygun ölçekte Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

Azure Depolama Blobu hizmetinizden tanılama günlüklerini uygun ölçekte Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

Azure Depolama Kuyruğu hizmetinizden tanılama günlüklerini uygun ölçekte Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

Azure Depolama Tablosu hizmetinizden tanılama günlüklerini uygun ölçekte Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

Azure Depolama Dosya hizmetinizden tanılama günlüklerini uygun ölçekte Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

---

Azure Stream Analytics

Tarafından desteklenir:Microsoft Corporation

Azure Stream Analytics, aynı anda birden fazla kaynaktan yüksek hacimli hızlı akış verilerini analiz etmek ve işlemek için tasarlanmış gerçek zamanlı bir analiz ve karmaşık olay işleme altyapısıdır. Bu bağlayıcı, Azure Stream Analytics hub tanılama günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanıyarak etkinliği sürekli olarak izlemenizi sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• İlke: Her ilke atama kapsamı için atanan sahip rolü

Kurulum Yönergeleri:

Azure Stream Analytics tanılama günlüklerinizi Sentinel bağlayın.

Bu bağlayıcı, kapsam olarak tanımlanan bir örnek koleksiyonuna tek bir Azure Stream Analytics günlük akışı yapılandırması uygulamak için Azure İlkesi kullanır. Geçerli ve gelecekteki tüm örneklere ilke oluşturmak ve uygulamak için aşağıdaki yönergeleri izleyin. Bu kaynak türü için zaten etkin bir ilkeniz olabileceğini unutmayın.

Azure Stream Analytics'inizden uygun ölçekte tanılama günlüklerini Stream

**Azure İlkesi Atama sihirbazını başlatın ve adımları izleyin. **

1. Temel Bilgiler sekmesinde, aboneliğinizi seçmek için Kapsam'ın altında üç nokta bulunan düğmeye tıklayın.
2. Parametreler sekmesinde Log Analytics çalışma alanı açılan listesinden Microsoft Sentinel çalışma alanınızı seçin ve almak istediğiniz tüm günlük kategorilerini "Doğru" olarak işaretleyin.
3. İlkeyi var olan kaynaklarınıza uygulamak için Düzeltme sekmesinde Düzeltme görevi oluştur onay kutusunu işaretleyin .

---

Azure Web Uygulaması Güvenlik Duvarı (WAF)

Tarafından desteklenir:Microsoft Corporation

Application Gateway, Front Door veya CDN için Azure Web Uygulaması Güvenlik Duvarı (WAF) bağlantısı kurun. Bu WAF, uygulamalarınızı SQL ekleme ve siteler arası betik oluşturma gibi yaygın web güvenlik açıklarından korur ve hatalı pozitif sonuçları azaltmak için kuralları özelleştirmenize olanak tanır. Microsoft Web uygulaması güvenlik duvarı günlüklerinizi Microsoft Sentinel akışla aktarma yönergeleri yükleme işlemi sırasında gösterilir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

BETTER Mobile Threat Defense (MTD)

Tarafından desteklenir:Better Mobile Security Inc.

BETTER MTD Bağlayıcısı, Kuruluşların Daha İyi MTD örneklerini Microsoft Sentinel bağlamasına, panolarda verilerini görüntülemesine, özel uyarılar oluşturmasına, playbook'ları tetiklemesini ve tehdit avcılığı özelliklerini genişletmesine olanak tanır. Bu, kullanıcılara kuruluşlarının mobil cihazları hakkında daha fazla içgörü ve genel SecOps özelliklerini geliştiren geçerli mobil güvenlik duruşunu hızla analiz etme olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
BetterMTDIncidentLog_CL	Hayır	Hayır
BetterMTDDeviceLog_CL	Hayır	Hayır
BetterMTDNetflowLog_CL	Hayır	Hayır
BetterMTDAppLog_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

1. Daha İyi MTD Konsolu'nda yan çubukta Tümleştirme'ye tıklayın.
2. Diğerleri sekmesini seçin.
3. HESAP EKLE düğmesine tıklayın ve kullanılabilir tümleştirmelerden Microsoft Sentinel seçin.
4. Tümleştirmeyi Oluşturma:

• tümleştirmeyi tanımlayan açıklayıcı bir ada ayarlayın ACCOUNT NAME ve İleri'ye tıklayın
• Aşağıdaki alanlardan WORKSPACE ID ve PRIMARY KEY bilgilerinizi girin, Kaydet'e tıklayın
• Bitti'ye tıklayın

5. Tehdit İlkesi kurulumu (Hangi Olaylar olarak bildirilmelidir Microsoft Sentinel):

• Daha İyi MTD Konsolu'nda yan çubukta İlkeler'e tıklayın
• Kullanmakta olduğunuz İlkenin Düzenle düğmesine tıklayın.
• Günlüğe kaydedilmesini istediğiniz her Olay türü için Tümleştirmelere Gönder alanına gidin ve Sentinel

6. Daha fazla bilgi için lütfen Belgelerimize bakın.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

BeyondTrust PM Cloud

Tarafından desteklenir:BeyondTrust

BeyondTrust Privilege Management Cloud veri bağlayıcısı, etkinlik denetim günlüklerini ve istemci olay günlüklerini BeyondTrust PM Cloud'dan Microsoft Sentinel alma özelliği sağlar.

Bu bağlayıcı, BeyondTrust PM Bulut API'sinden veri çekmek ve özel Log Analytics tablolarına almak için Azure İşlevleri kullanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
BeyondTrustPM_ActivityAudits_CL	Evet	Evet
BeyondTrustPM_ClientEvents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• BeyondTrust PM Cloud API kimlik bilgileri: BeyondTrust PM Cloud OAuth İstemci Kimliği ve İstemci Gizli Anahtarı gereklidir. API hesabı şu izinleri gerektirir: Denetim - Salt Okunur ve Raporlama - Salt Okunur

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere BeyondTrust PM Bulut API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

NOT: Bu bağlayıcı, BeyondTrust PM Bulut API'siyle kimlik doğrulaması yapmak için OAuth 2.0 istemci kimlik bilgileri akışını kullanır.

1. ADIM - BeyondTrust PM Cloud API kimlik bilgilerini alma

OAuth API kimlik bilgileri (İstemci Kimliği ve İstemci Gizli Anahtarı) ile BeyondTrust PM Cloud örneğinizde bir API Hesabı oluşturun. API hesabı aşağıdaki izinleri gerektirir:

• Denetim - Salt Okunur
• Raporlama - Salt Okunur

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtma

Arm Şablonu kullanarak BeyondTrust PM Bulut veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   portal.azure.com

2. Tercih edilen Abonelik, Kaynak Grubu (Log Analytics çalışma alanınızı içermelidir) ve Konum'a tıklayın.

3. Gerekli parametreleri girin:

   • Çalışma Alanı Adı: Log Analytics çalışma alanınızın adı (ör. beyondtrust-pmcloud)
   • BeyondTrust PM Bulut Tabanı URL'si: Kiracı URL'niz (ör. https://yourcompany.beyondtrustcloud.com)
   • BeyondTrust İstemci Kimliği: 1. Adımdan OAuth İstemci Kimliği
   • BeyondTrust İstemci Gizli Anahtarı: 1. Adımdan OAuth İstemci Gizli Anahtarı
   • Etkinlik Denetimleri Yoklama Aralığı: Etkinlik Denetimlerinin toplanma sıklığı (varsayılan: 15 dakika)
   • İstemci Olayları Yoklama Aralığı: İstemci Olaylarının toplanma sıklığı (varsayılan: 5 dakika)
   • Günlük Düzeyi: Sorun giderme için günlüğe kaydetme düzeyi (varsayılan: Bilgi)
   • Geçmiş Veri Zaman Çerçevesi: İlk çalıştırmada veri toplamaya ne kadar kaldı (varsayılan: 1 gün)

4. Gelişmiş ayarları (Barındırma Planı SKU'su, Depolama Hesabı Türü) gözden geçirin ve gerekirse ayarlayın.

5. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

6. Dağıtmak için Satın Al'a tıklayın.

7. Dağıtım tüm gerekli kaynakları oluşturur: İşlev Uygulaması, Depolama Hesabı, Veri Toplama Uç Noktası, Veri Toplama Kuralları ve özel Log Analytics tabloları.

8. Verilerin dağıtımdan sonra 15-30 dakika içinde akmaya başlaması gerekir.

---

BigID DSPM bağlayıcısı

Tarafından desteklenir:BigID

BigID DSPM veri bağlayıcısı, etkilenen nesneler ve veri kaynağı bilgilerini içeren BigID DSPM servis taleplerini Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
BigIDDSPMCatalog_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• BigID DSPM API erişimi: BigID belirteci aracılığıyla BigID DSPM API'sine erişim gereklidir.

Kurulum Yönergeleri:

Microsoft Sentinel'da BigID DSPM servis taleplerini ve etkilenen Nesneleri toplamaya başlamak için BigID DSPM API'sine bağlanın

'customer.bigid.cloud' gibi BigID etki alanı adınızı ve BigID belirtecinizi sağlayın. Ayarlar - Erişim Yönetimi - Kullanıcılar ->> Kullanıcı> seçeneğini belirleyerek BigID konsolunda bir belirteç oluşturun ve bir belirteç oluşturun.

• BigID FQDN: (BigID FQDN)
• BigID Belirteci: (BigID Belirteci)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Bitglass (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Bitglass veri bağlayıcısı, Bitglass hizmetlerinin güvenlik olay günlüklerini ve REST API aracılığıyla Microsoft Sentinel daha fazla olayı alma özelliği sağlar. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
BitglassLogs_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: API çağrıları yapmak için BitglassToken ve BitglassServiceURL gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Azure Blob Depolama API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen Bitglass gibi çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.

ADIM 1 - Bitglass Günlük Alma API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

1. Lütfen Bitglass desteğine başvurun ve BitglassToken ve BitglassServiceURL ntation] bilgilerini alın.
2. Veri bağlayıcısında kullanmak için kimlik bilgilerini kaydedin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Bitglass veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak Bitglass veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. BitglassToken, BitglassServiceURL girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Bitglass veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. BitglassXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Bitwarden Olay Günlükleri

Tarafından desteklenir:Bitwarden Inc

Bu bağlayıcı, Kullanıcının etkinliği (oturum açmış, parola değiştirilmiş, 2fa vb.), şifreleme etkinliği (oluşturuldu, güncelleştirildi, silindi, paylaşıldı vb.), koleksiyon etkinliği, kuruluş etkinliği ve daha fazlası gibi Bitwarden kuruluşunuzun etkinliği hakkında içgörü sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
BitwardenEventLogs	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Bitwarden İstemci Kimliği ve İstemci Gizli Anahtarı: API anahtarınız Bitwarden kuruluş yönetici konsolunda bulunabilir. Daha fazla bilgi için lütfen Bitwarden belgelerine bakın .

Kurulum Yönergeleri:

Bitwarden Olay Günlüklerini Microsoft Sentinel bağlama

API anahtarınız Bitwarden kuruluş yönetici konsolunda bulunabilir. Daha fazla bilgi için lütfen Bitwarden belgelerine bakın . Şirket içi barındırılan Bitwarden sunucularının yüklemelerinin URL'sini yeniden yapılandırması gerekebilir.

• Bitwarden Kimlik Url'si: (https://identity.bitwarden.com)
• Bitwarden Api Url'si: (https://api.bitwarden.com)

---

blacklens.io

Tarafından desteklenir:blacklens.io Desteği

blacklens.io veri bağlayıcısı, web kancası tabanlı bir Mantıksal Uygulama ve Azure İzleme Günlükleri Alımı API'sini kullanarak blacklens.io Saldırı Yüzeyi Yönetimi uyarılarını Microsoft Sentinel almanızı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
blacklens_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Aboneliği: Veri alma altyapısını (Veri Toplama Uç Noktası, Veri Toplama Kuralı, özel tablo ve Mantıksal Uygulama) dağıtmak için kaynak grubundaki Katkıda Bulunan veya Sahip izinleri gereklidir.
• blacklens.io Hesabı: Web kancası tümleştirme özelliklerine sahip bir blacklens.io hesabı gereklidir.

Kurulum Yönergeleri:

1. Adım - Veri alımı altyapısını dağıtma

Bu adım, gerekli Azure kaynaklarını dağıtır: Veri Toplama Uç Noktası, Veri Toplama Kuralı, özel Log Analytics tablosu (blacklens_CL) ve web kancası ile tetiklenen mantıksal uygulama.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   portal.azure.com

2. Microsoft Sentinel çalışma alanınızın bulunduğu Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Log Analytics çalışma alanınızın Çalışma Alanı Adını girin.

4. Gözden Geçir + oluştur'a ve ardından Oluştur'a tıklayın.

2. Adım - Web kancası URL'sini kopyalama

1. Dağıtım başarılı olduktan sonra dağıtım sayfasındaki Çıkışlar sekmesine tıklayın.
2. Web kancasıUrl değerini kopyalayın.

Alternatif olarak Logic Apps'e >la-blacklens-alert-log-ingestion> Genel Bakış'a gidin ve İş Akışı URL'sini kopyalayın.

3. Adım - blacklens.io yapılandırma

1. blacklens.io portalında oturum açın.
2. Web kancası tümleştirme ayarlarına gidin.
3. 2. Adım'da kopyalanan web kancası URL'sini yapıştırın.
4. Yapılandırmayı kaydedin.
5. Uyarıların web kancasına gönderilmesi için web kancası tümleştirmesini en az bir bildirim ilkesine bağlayın.

Birkaç dakika sonra, Microsoft Sentinel bir test olayı görünmelidir.

---

Kutu (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Box veri bağlayıcısı, Box REST API'sini kullanarak Box kuruluşunun olaylarını Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Box belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
BoxEvents_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Box API Kimlik Bilgileri: Box REST API JWT kimlik doğrulaması için kutu yapılandırması JSON dosyası gereklidir. Daha fazla bilgi için bkz. JWT kimlik doğrulaması.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Box REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu bağlayıcı, Microsoft Sentinel Çözümü ile dağıtılan Beklenen BoxEvents olarak çalışması için Kusto İşlevine dayalı ayrıştırıcıya bağlıdır.

ADIM 1 - Box olayları koleksiyonunun yapılandırması

JWT kimlik doğrulamasını ayarlama ve kimlik bilgileriyle JSON dosyası alma belgelerine bakın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Box veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Box JSON yapılandırma dosyasına sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Box veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON girin

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Box veri bağlayıcısını Azure İşlevleri ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın (Visual Studio Code aracılığıyla dağıtım).

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Kutu Olayları (CCF)

Tarafından desteklenir:Microsoft Corporation

Box veri bağlayıcısı, Box REST API'sini kullanarak Box kuruluşunun olaylarını Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Box belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
BoxEventsV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Box API kimlik bilgileri: Box API'sinde kimlik doğrulaması için bir Box Uygulaması istemci kimliği ve istemci gizli anahtarı gerekir. Daha fazla bilgi için bkz. İstemci Kimlik Bilgileri verme
• Box Kurumsal Kimliği: Bağlantı oluşturmak için Box Kurumsal Kimliği gereklidir. Kurumsal Kimliği bulmak için belgelere bakın

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Box REST API'sine bağlanmak için Kodsuz Connecor Platformu'nu (CCF) kullanır.

NOT: Bu bağlayıcı, Microsoft Sentinel Çözümü ile dağıtılan Beklenen BoxEvents olarak çalışması için Kusto İşlevine dayalı ayrıştırıcıya bağlıdır.

ADIM 1 - Kutu Özel Uygulaması Oluşturma

İstemci kimlik bilgileri kimlik doğrulamasını ayarlama belgelerine bakın

2. ADIM - İstemci Kimliği ve İstemci Gizli Anahtarı değerlerini alma

Gizli diziyi getirmek için 2FA ayarlamanız gerekebilir.

3. ADIM - Box Yönetici Konsolundan Box Kurumsal Kimliğini Alma

Kurumsal Kimliği bulmak için belgelere bakın

Microsoft Sentinel olay günlüklerini toplamaya başlamak için Box'a bağlanın

Aşağıdaki gerekli değerleri sağlayın:

• Box Kurumsal Kimliği: (123456)

---

Microsoft Sentinel için CloudGuard CNAPP Bağlayıcısı'nı Check Point

Tarafından desteklenir:Check Point

CloudGuard veri bağlayıcısı, Microsoft Sentinel Codeless Connector Framework kullanılarak CloudGuard API'sinden Microsoft Sentinel ™ güvenlik olaylarının alımını sağlar. Bağlayıcı, gelen güvenlik olayı verilerini özel sütunlara ayrıştıran DCR tabanlı alma süresi dönüşümlerini destekler. Bu ön ayrıştırma işlemi, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak veri sorgularında performansın iyileştirilmesine neden olur.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CloudGuard_SecurityEvents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• CloudGuard API Anahtarı: Bir API anahtarı oluşturmak için burada sağlanan yönergelere bakın.

Kurulum Yönergeleri:

CloudGuard Güvenlik Olaylarını Microsoft Sentinel bağlama

Microsoft Sentinel için CloudGuard bağlayıcısını etkinleştirmek için aşağıdaki gerekli bilgileri girin ve Bağlan'ı seçin.

• API Anahtar Kimliği: (api_key)
• API Anahtar Gizli Anahtarı: (api_secret)
• CloudGuard Uç Nokta URL'si: (ör. https://api.dome9.com)
• Filtre: (CloudGuard'dan filtre yapıştır)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Check Point Cyberint Uyarıları Bağlayıcısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Cyberint

Check Point bir şirket olan Cyberint, kritik Uyarıları kolaylaştırmak ve Infinity Dış Risk Yönetimi çözümünden zenginleştirilmiş tehdit zekasını Microsoft Sentinel getirmek için Microsoft Sentinel bir tümleştirme sağlar. Bu, sistemler arasında otomatik eşitleme güncelleştirmeleri ile biletlerin durumunu izleme işlemini basitleştirir. Mevcut Cyberint ve Microsoft Sentinel müşterileri, Microsoft Sentinel için bu yeni tümleştirmeyi kullanarak Cyberint'in bulgularına göre günlükleri kolayca Microsoft Sentinel platforma çekebilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
argsentdc_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Check Point Cyberint API Anahtarı, Argos URL'si ve Müşteri Adı: Bağlayıcı API anahtarı, Argos URL'si ve Müşteri Adı gereklidir

Kurulum Yönergeleri:

Checkpoint Cyberint Uyarılarını Microsoft Sentinel bağlama

Bağlayıcıyı etkinleştirmek için aşağıdaki gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

Argos URL'si — Kiracınız için Cyberint API URL'si (ör. https://your_tenant.cyberint.io) API Belirteci — Cyberint API erişim belirteci Müşteri Adı — Cyberint örneği Ortamlarınızla ilişkili şirket (istemci) adı — Getirilecek ortamların virgülle ayrılmış listesi. Boşsa, tüm ortamlar fetched.\n\nÖnem Derecesi — Getirilecek önem derecelerinin virgülle ayrılmış listesi (düşük, orta, yüksek, very_high). Boşsa, tüm önem dereceleri getirilir.\n\nYoklama Aralığı — Yeni uyarıların ne sıklıkta yoklanması, dakika cinsinden (varsayılan: 5)\n\nCSV Eklerini JSON Olarak Ekle — CSV eklerinin uyarılara JSON içeriği olarak eklenip eklenmeyeceği (varsayılan: false)

• Argos URL'si: (https://your_tenant.cyberint.io)
• API Belirteci: (Cyberint API erişim belirteci)
• Müşteri Adı: (Cyberint örneğinizle ilişkili şirket (istemci) adı)
• Ortamlar: (Virgülle ayrılmış liste (örn. Üretim,Hazırlama))
• Önem derecesi: (Virgülle ayrılmış liste (örn. düşük,orta,yüksek,very_high))
• Yoklama Aralığı (Dakika): (Dakika cinsinden yoklama sıklığı)
• CSV Eklerini JSON Olarak Ekle: (true veya false)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Check Point Cyberint IOC Bağlayıcısı

Tarafından desteklenir:Cyberint

Check Point bir şirket olan Cyberint, Infinity Dış Risk Yönetimi çözümünden Microsoft Sentinel'a Risk Göstergeleri (ICS) almak için Microsoft Sentinel bir tümleştirme sağlar. Bu bağlayıcı, kötü amaçlı IP'ler, etki alanları, URL'ler ve dosya karmaları gibi günlük IOC akışını önem derecesi, güvenilirlik ve algılanan etkinlik gibi tehdit bağlamıyla zenginleştirilmiş olarak otomatik olarak çeker.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
iocsent_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Check Point Cyberint API Anahtarı, Argos URL'si ve Müşteri Adı: Bağlayıcı API anahtarı, Argos URL'si ve Müşteri Adı gereklidir

Kurulum Yönergeleri:

Check Point Cyberint IOC Akışını Microsoft Sentinel bağlama

Bağlayıcıyı etkinleştirmek için aşağıdaki gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

Argos URL'si — Kiracınız için Cyberint API URL'si (ör. https://your_tenant.cyberint.io) API Belirteci — Cyberint API erişim belirteci Müşteri Adı — Cyberint örneğinizle ilişkili şirket (istemci) adı

• Argos URL'si: (https://your-company.cyberint.io)
• API Belirteci: (API Belirteci)
• Müşteri Adı: (Cyberint örneğinizle ilişkili şirket (istemci) adı)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

AMA aracılığıyla Cisco ASA/FTD

Tarafından desteklenir:Microsoft Corporation

Cisco ASA güvenlik duvarı bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Cisco ASA günlüklerinizi kolayca Microsoft Sentinel bağlamanıza olanak tanır. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommonSecurityLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure olmayan VM'lerden veri toplamak için Azure Arc yüklü ve etkin olmalıdır. Daha fazla bilgi edinin

Kurulum Yönergeleri:

Veri toplama kuralını etkinleştirme

Cisco ASA/FTD olay günlükleri yalnızca Linux aracılardan toplanır.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

Cisco ASA/FTD toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:

• Değer: <Yükleme zamanında sağlanan değişken değeri>

---

Cisco Cloud Security (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Microsoft Sentinel için Cisco Cloud Security çözümü, Amazon S3'te depolanan Cisco Güvenli Erişim ve Cisco Umbrellagünlüklerini Amazon S3 REST API'sini kullanarak Microsoft Sentinel almanızı sağlar. Daha fazla bilgi için Cisco Cloud Security günlük yönetimi belgelerine bakın .

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Cisco_Umbrella_dns_CL	Evet	Evet
Cisco_Umbrella_proxy_CL	Evet	Evet
Cisco_Umbrella_ip_CL	Evet	Evet
Cisco_Umbrella_cloudfirewall_CL	Evet	Evet
Cisco_Umbrella_firewall_CL	Evet	Evet
Cisco_Umbrella_dlp_CL	Hayır	Hayır
Cisco_Umbrella_ravpnlogs_CL	Hayır	Hayır
Cisco_Umbrella_audit_CL	Hayır	Hayır
Cisco_Umbrella_ztna_CL	Hayır	Hayır
Cisco_Umbrella_intrusion_CL	Hayır	Hayır
Cisco_Umbrella_ztaflow_CL	Hayır	Hayır
Cisco_Umbrella_fileevent_CL	Hayır	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Amazon S3 REST API Kimlik Bilgileri/izinleri: AMAZON S3 REST API için AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, AWS S3 Bucket Name gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Amazon S3 REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

NOT: Bu bağlayıcı Cisco Cloud Security günlük şeması sürüm 14'i destekleyecek şekilde güncelleştirildi.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlevleri Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu bağlayıcı alanları normalleştirmek için Kusto İşlevi'ne dayalı ayrıştırıcı kullanır. Kusto işlev diğer adı Cisco_Umbrella oluşturmak için bu adımları izleyin.

ADIM 1 - Cisco Cloud Security günlükleri koleksiyonunun yapılandırması

Belgelere bakın ve günlüğe kaydetmeyi ayarlama ve kimlik bilgilerini alma yönergelerini izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevleri dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Cisco Cloud Security veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Amazon S3 REST API Yetkilendirme kimlik bilgilerine sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Cisco Cloud Security veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey Not: S3Bucket için Cisco'nun S3 Demeti Veri Yolu olarak başvurduğunu değeri kullanın ve değerin sonuna / (eğik çizgi) ekleyin

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Cisco Cloud Security veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure İşlevleri geliştirme için hazırlamanız gerekir.

1. Azure İşlevleri Uygulama dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
3. İlgili dize değerleriyle (büyük/küçük harfe duyarlı) aşağıdaki uygulama ayarlarını tek tek ekleyin: WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

3. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Cisco Cloud Security (elastik premium planı kullanarak) (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Cisco Umbrella veri bağlayıcısı, Amazon S3 REST API'sini kullanarak Amazon S3'te depolanan Cisco Umbrella olaylarını Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Cisco Umbrella günlük yönetimi belgelerine bakın .

NOT: Bu veri bağlayıcısı, güvenli alım özelliklerini etkinleştirmek için Azure İşlevleri Premium Planı kullanır ve ek maliyetler doğuracaktır. Diğer fiyatlandırma ayrıntıları buradadır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Cisco_Umbrella_dns_CL	Evet	Evet
Cisco_Umbrella_proxy_CL	Evet	Evet
Cisco_Umbrella_ip_CL	Evet	Evet
Cisco_Umbrella_cloudfirewall_CL	Evet	Evet
Cisco_Umbrella_firewall_CL	Evet	Evet
Cisco_Umbrella_dlp_CL	Hayır	Hayır
Cisco_Umbrella_ravpnlogs_CL	Hayır	Hayır
Cisco_Umbrella_audit_CL	Hayır	Hayır
Cisco_Umbrella_ztna_CL	Hayır	Hayır
Cisco_Umbrella_intrusion_CL	Hayır	Hayır
Cisco_Umbrella_ztaflow_CL	Hayır	Hayır
Cisco_Umbrella_fileevent_CL	Hayır	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Amazon S3 REST API Kimlik Bilgileri/izinleri: AMAZON S3 REST API için AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, AWS S3 Bucket Name gereklidir.
• Sanal Ağ izinleri (özel erişim için): Özel depolama hesabı erişimi için, Sanal Ağ ve alt ağda Ağ Katılımcısı izinleri gerekir. İşlev Uygulaması sanal ağ tümleştirmesi için alt ağın Microsoft.Web/serverFarms için temsilci olarak atanması gerekir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Amazon S3 REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

NOT: Bu bağlayıcı cisco umbrella log schema sürüm 14'i destekleyecek şekilde güncelleştirildi.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlevleri Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu bağlayıcı alanları normalleştirmek için Kusto İşlevi'ne dayalı ayrıştırıcı kullanır. Kusto işlev diğer adı Cisco_Umbrella oluşturmak için bu adımları izleyin.

ADIM 1 - Özel Erişim için Ağ Önkoşulları

ÖNEMLİ: Özel depolama hesabı erişimiyle dağıtım yaparken aşağıdaki ağ önkoşullarının karşılandığından emin olun:

• Sanal Ağ: Mevcut bir Sanal Ağ (VNet) kullanılabilir olmalıdır
• Alt ağ: VNet içindeki ayrılmış bir alt ağ, İşlev Uygulaması VNet tümleştirmesi için Microsoft.Web/serverFarms'a devredilmelidir
• Alt Ağ Temsilcisi: Azure portal, ARM şablonu veya Azure CLI kullanarak alt ağ temsilcisini yapılandırın:
  • Azure portalı: Sanal ağlar → Sanal ağınızı → Alt Ağlarınızı seçin → Alt ağı seçin → Alt ağı hizmete devretme → Microsoft.Web/serverFarms'ı seçin
  • Azure CLI:az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
• Özel Uç Noktalar: Dağıtım, aynı alt ağ içinde depolama hesabı hizmetleri (blob, dosya, kuyruk, tablo) için özel uç noktalar oluşturur

ADIM 2 - Cisco Umbrella günlükleri koleksiyonunun yapılandırması

Belgelere bakın ve günlüğe kaydetmeyi ayarlama ve kimlik bilgilerini alma yönergelerini izleyin.

3. ADIM - Bağlayıcıyı ve ilişkili Azure İşlevleri dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Cisco Umbrella veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Amazon S3 REST API Yetkilendirme kimlik bilgilerine sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Tempate kullanarak Cisco Umbrella veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey girin

4. Özel Erişim Dağıtımı için: Ayrıca existingVnetName, existingVnetResourceGroupName ve existingSubnetName (alt ağın Microsoft.Web/serverFarms'a devredildiğinden emin olun) Not: S3Bucket için Cisco'nun S3 Demeti Veri Yolu olarak başvurduğunu değeri kullanın ve değerin sonuna / (eğik çizgi) ekleyin

5. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

6. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Cisco Umbrella veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure İşlevleri geliştirme için hazırlamanız gerekir.

1. Azure İşlevleri Uygulama dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
3. İlgili dize değerleriyle (büyük/küçük harfe duyarlı) aşağıdaki uygulama ayarlarını tek tek ekleyin: WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

3. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Cisco Duo Security (Azure İşlevleri kullanarak)

Tarafından desteklenir:Cisco Systems

Cisco Duo Güvenlik veri bağlayıcısı, Cisco Duo Yönetici API'sini kullanarak kimlik doğrulama günlüklerini, yönetici günlüklerini, telefon günlüklerini, çevrimdışı kayıt günlüklerini ve Güven İzleyicisi olaylarını Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CiscoDuo_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Cisco Duo API kimlik bilgileri: Cisco Duo API'sinde okuma günlüğü verme iznine sahip Cisco Duo API kimlik bilgileri gereklidir. Cisco Duo API kimlik bilgilerini oluşturma hakkında daha fazla bilgi edinmek için belgelere bakın.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Cisco Duo API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen CiscoDuo gibi çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.

1. ADIM - Cisco Duo Yönetici API kimlik bilgilerini alma

1. Tümleştirme anahtarı, gizli anahtar ve API ana bilgisayar adını almak için yönergeleri izleyin. Yönergelerin 4. adımında Okuma günlüğü izni ver'i kullanın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Azure Blob Depolama bağlantı dizesi ve kapsayıcı adına sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Cisco Duo Tümleştirme Anahtarı, Cisco Duo Gizli Anahtarı, Cisco Duo API Ana Bilgisayar Adı, Cisco Duo Günlük Türleri, Microsoft Sentinel Çalışma Alanı Kimliği Microsoft Sentinel Paylaşılan Anahtar girin

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Veri bağlayıcısını Azure İşlevleri ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın (Visual Studio Code aracılığıyla dağıtım).

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
3. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (İsteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Cisco ETD (Azure İşlevleri kullanarak)

Tarafından desteklenir:YOK

Bağlayıcı, tehdit analizi için ETD API'sinden veri getirir

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CiscoETD_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Email Tehdit SavunmaSı API'si, API anahtarı, İstemci Kimliği ve Gizli Dizi: API anahtarına, İstemci Kimliğine ve Gizli anahtara sahip olduğunuzdan emin olun.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere ETD API'sine bağlanmak için Azure İşlevleri kullanır.

Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için dağıtım adımlarını izleyin

ÖNEMLİ: ETD veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak Cisco ETD veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

3. WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Karar, ETD Bölgesi girin

4. Dağıtmak için Oluştur'a tıklayın.

---

Cisco Meraki (REST API kullanarak)

Tarafından desteklenir:Microsoft Corporation

Cisco Meraki bağlayıcısı, Cisco Meraki kuruluş olaylarınızı (Güvenlik olayları, Yapılandırma Değişiklikleri ve API İstekleri) kolayca Microsoft Sentinel bağlamanıza olanak tanır. Veri bağlayıcısı günlükleri getirmek için Cisco Meraki REST API'sini kullanır ve alınan verileri ayrıştıran ve Log Analytics çalışma alanınızdaki ASIM ve özel tablolara alınan DCR tabanlı alım süresi dönüştürmelerini destekler. Bu veri bağlayıcısı, DCR tabanlı alma zamanı filtrelemesi, veri normalleştirme gibi özelliklerden yararlanır.

Desteklenen ASIM şeması:

1. Ağ Oturumu
2. Web Oturumu
3. Denetim Olayı

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ASimNetworkSessionLogs	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Cisco Meraki REST API Anahtarı: Cisco Meraki'de API erişimini etkinleştirin ve API Anahtarı oluşturun. Daha fazla bilgi için lütfen Cisco Meraki resmi belgelerine bakın .
• Cisco Meraki Kuruluş Kimliği: Güvenlik olaylarını getirmek için Cisco Meraki kuruluş kimliğinizi alın. Önceki adımda elde edilen Meraki API Anahtarını kullanarak Kuruluş Kimliğini almak için belgelerdeki adımları izleyin.

Kurulum Yönergeleri:

Cisco Meraki olaylarını Microsoft Sentinel bağlama

Şu anda, bu bağlayıcı aşağıdaki Cisco Meraki REST API uç noktasından olayları almaya izin verir:

1. Kuruluş Gereci Güvenlik Olaylarını Alma Bu bağlayıcı IDS Uyarı olaylarını ASimNetworkSessionLogs Tablosuna ve Dosya Taranan olayları ASimWebSessionLogs Tablosuna ayrıştırır.
2. Kuruluş Api'si İsteklerini Alma Bu bağlayıcı olayları ASimWebSessionLogs Tablosuna ayrıştırıyor.
3. Kuruluş Yapılandırma Değişikliklerini Alma Bu bağlayıcı olayları ASimAuditEventLogs Tablosuna ayrıştırıyor.

• Kuruluş Kimliği: (OrganizationId)
• API Anahtarı: (ApiKey)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Cisco Güvenli Uç Noktası (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Cisco Güvenli Uç Nokta (eski adıyla Uç Noktalar için AMP) veri bağlayıcısı, Cisco Güvenli Uç Nokta denetim günlüklerini ve olaylarını Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CiscoSecureEndpointAuditLogsV2_CL	Evet	Evet
CiscoSecureEndpointEventsV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Cisco Güvenli Uç Nokta API'sinin Kimlik Bilgileri/Bölgeleri: API Kimlik Bilgileri oluşturmak ve bölgeleri anlamak için burada sağlanan belge bağlantısını izleyin. Buraya tıklayın.

Kurulum Yönergeleri:

Cisco Güvenli Uç Noktasını Microsoft Sentinel bağlama

Cisco Güvenli Uç Noktası'ndan Microsoft Sentinel veri almak için aşağıdaki Hesap Ekle düğmesine tıklamanız, ardından Email, Kuruluş, İstemci Kimliği, API Anahtarı ve Bölge gibi ayrıntıları doldurmak için bir açılır pencere almanız, gerekli bilgileri sağlamanız ve Bağlan'a tıklamanız gerekir. Bağlı kuruluşları/e-postaları aşağıdaki kılavuzda görebilirsiniz.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Cisco Yazılım Tanımlı WAN

Tarafından desteklenir:Cisco Systems

Cisco Yazılım Tanımlı WAN (SD-WAN) veri bağlayıcısı, Cisco SD-WAN Syslog ve Netflow verilerini Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Syslog	Evet	Evet
CiscoSDWANNetflow_CL	Hayır	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Cisco SD-WAN Syslog ve Netflow verilerini Microsoft Sentinel almak için aşağıdaki adımları izleyin.

1. Syslog verilerini Microsoft sentinel'e alma adımları

Azure İzleyici Aracısı, syslog verilerini Microsoft sentinel'e toplamak için kullanılır. Bunun için öncelikle syslog verilerinin gönderileceği VM için bir Azure Arc sunucusu oluşturmanız gerekir.

1.1 Azure Arc Sunucusu Ekleme Adımları

1. Azure portal'da Sunucular - Azure Arc'a gidin ve Ekle'ye tıklayın.
2. Tek sunucu ekle bölümünde Betik Oluştur'a tıklayın. Kullanıcı, Birden Çok Sunucu için de betik oluşturabilir.
3. Önkoşullar sayfasındaki bilgileri gözden geçirin ve İleri'yi seçin.
4. Kaynak ayrıntıları sayfasında Microsoft Sentinel, Bölge, İşletim sistemi ve Bağlantı yönteminin aboneliğini ve kaynak grubunu sağlayın. Ardından, İleri'yi seçin.
5. Etiketler sayfasında, önerilen varsayılan Fiziksel konum etiketlerini gözden geçirin ve bir değer girin veya standartlarınızı desteklemek için bir veya daha fazla Özel etiket belirtin. Ardından İleri'yi seçin
6. Betik dosyasını kaydetmek için İndir'i seçin.
7. Betiği oluşturduğunuza göre, sonraki adım bunu arc Azure eklemek istediğiniz sunucuda çalıştırmaktır.
8. Azure VM'niz varsa betiği çalıştırmadan önce bağlantıda belirtilen adımları izleyin.
9. Betiği aşağıdaki komutla çalıştırın: ./<ScriptName>.sh
10. Aracıyı yükleyip Arc özellikli Azure sunuculara bağlanacak şekilde yapılandırdıktan sonra, sunucunun başarıyla bağlandığını doğrulamak için Azure portal gidin. makinenizi Azure portal görüntüleyin. Başvuru bağlantısı:/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 Veri Toplama Kuralı (DCR) Oluşturma Adımları

1. Azure portalı'nda İzleyici'ye bakın. Ayarlar'ın altında Veri Toplama Kuralları'nı ve Ardından Oluştur'u seçin.
2. Temel Bilgiler panelinde Kural Adı, Abonelik, Kaynak grubu, Bölge ve Platform Türü girin.
3. İleri: Kaynaklar'ı seçin.
4. Kaynak ekle'yi seçin. Günlükleri toplamak için kullanacağınız sanal makineyi bulmak için filtreleri kullanın.
5. Sanal makineyi seçin. Uygula'yı seçin.
6. İleri: Topla ve teslim'i seçin.
7. Veri kaynağı ekle'yi seçin. Veri kaynağı türü için syslog Linux seçin.
8. En düşük günlük düzeyi için varsayılan değerleri LOG_DEBUG bırakın.
9. İleri: Hedef'i seçin.
10. Hedef ekle'yi seçin ve Hedef türü, Abonelik ve Hesap veya ad alanı ekleyin.
11. Veri kaynağı ekle'yi seçin. İleri: Gözden geçir + oluştur'u seçin.
12. Oluştur’u seçin. 20 dakika bekleyin. Microsoft Sentinel veya Azure İzleyici'de vm'nizde Azure İzleyicisi aracısının çalıştığını doğrulayın. Başvuru bağlantısı:/azure/sentinel/forward-syslog-monitor-agent

2. Netflow verilerini Microsoft sentinel'e alma adımları

Netflow verilerini Microsoft sentinel'e almak için Filebeat ve Logstash'ın VM'ye yüklenmesi ve yapılandırılması gerekir. Yapılandırmadan sonra, vm yapılandırılan bağlantı noktasında netflow verilerini alabilir ve bu veriler Microsoft sentinel'in çalışma alanına alınır.

2.1 Filebeat ve logstash yükleme

1. apt kullanarak filebeat ve logstash yüklemesi için şu belgeyi arayın:
2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
4. RedHat tabanlı Linux (yum) için filebeat ve logstash yükleme adımları aşağıdaki gibidir:
5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Logstash'a olay göndermek için Filebeat'i yapılandırma

1. filebeat.yml dosyasını düzenle: vi /etc/filebeat/filebeat.yml
2. Elasticsearch Çıktısı bölümüne açıklama ekleyin.
3. AçıklamaYı Kaldırma Logstash Çıktısı bölümü (Yalnızca bu iki satırın açıklamasını kaldır)- output.logstash konakları: ["localhost:5044"]
4. Logstash Çıktısı bölümünde, varsayılan bağlantı noktası olan 5044 bağlantı noktası dışındaki verileri göndermek istiyorsanız konaklar alanındaki bağlantı noktası numarasını değiştirin. (Not: Bu bağlantı noktası, logstash yapılandırırken conf dosyasına eklenmelidir.)
5. 'filebeat.inputs' bölümünde mevcut yapılandırmayı açıklama satırı yapın ve şu yapılandırmayı ekleyin: - type: netflow max_message_size: 10 Kb konağı: "0.0.0.0:2055" protokolleri: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions:

• /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true

6. Filebeat girişleri bölümünde, varsayılan bağlantı noktası olan 2055 bağlantı noktası dışındaki verileri almak istiyorsanız, konak alanındaki bağlantı noktası numarasını değiştirin.
7. Sağlanan custom.yml dosyasını /etc/filebeat/ dizinine ekleyin.
8. Güvenlik duvarında filebeat giriş ve çıkış bağlantı noktasını açın.
9. Komutunu çalıştırın: firewall-cmd --zone=public --permanent --add-port=2055/udp
10. Komutunu çalıştırın: firewall-cmd --zone=public --permanent --add-port=5044/udp

Not: Filebeat girişi/çıkışı için özel bir bağlantı noktası eklenirse, bu bağlantı noktasını güvenlik duvarında açın.

2.3 Logstash'ı olayları Microsoft Sentinel gönderecek şekilde yapılandırma

1. Azure Log Analytics eklentisini yükleyin:
2. Komutu Çalıştır: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
3. Log Analytics çalışma alanı anahtarını Logstash anahtar deposunda depolayın. Çalışma alanı anahtarı log analytics çalışma alanının altında Azure portal'da bulunabilir Çalışma alanı >> seçin Ayarlar'ın altında Aracı > Log Analytics aracısı yönergeleri'ni seçin.
4. Birincil anahtarı kopyalayın ve aşağıdaki komutları çalıştırın:
5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
7. /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Filebeat yapılandırması sırasında yapılandırılan çıkış bağlantı noktası numarasını girin. filebeat.yml dosyası .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Not: Tablo Microsoft sentinel'de yoksa sentinel'de yeni bir tablo oluşturur.

2.4 Run Filebeat:

1. Bir terminal açın ve komutunu çalıştırın: systemctl start filebeat
2. Bu komut arka planda filebeat çalıştırmaya başlar. Günlükleri görmek için filebeat'ı (systemctl stop filebeat) durdurun ve aşağıdaki komutu çalıştırın: filebeat run -e

2.5 Logstash'ı çalıştırın:

1. Başka bir terminalde komutunu çalıştırın: /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
2. Bu komut logstash'ı arka planda çalıştırmaya başlar. logstash günlüklerini görmek için yukarıdaki işlemi sonlandırın ve aşağıdaki komutu çalıştırın: /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

---

Claroty xDome

Tarafından desteklenir:xDome Müşteri Desteği

Claroty xDome, sağlık ve endüstriyel ağ ortamları için kapsamlı güvenlik ve uyarı yönetimi özellikleri sunar. Birden çok kaynak türünü eşlemek, toplanan verileri tanımlamak ve Microsoft Sentinel veri modellerine tümleştirmek için tasarlanmıştır. Bu da sağlık hizmetlerinizdeki ve endüstriyel ortamlarınızdaki tüm olası tehditleri tek bir konumda izleyebilmenizi sağlayarak daha etkili bir güvenlik izlemesi ve daha güçlü bir güvenlik duruşu elde edilmesine neden olur.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommonSecurityLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

1. Syslog aracı yapılandırmasını Linux

Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve bunları Microsoft Sentinel iletmek için Linux aracısını yükleyin ve yapılandırın.

Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin

1.1 Linux makinesi seçme veya oluşturma

Microsoft Sentinel güvenlik çözümünüz ile bu makinenin şirket içi ortamınızda, Azure veya diğer bulutlarda olabileceğini Microsoft Sentinel ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun.

1.2 CEF toplayıcısını Linux makinesine yükleyin

Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python --version.

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.

• CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

2. Ortak Olay Biçimi (CEF) günlüklerini Syslog aracısına iletme

Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Microsoft Sentinel iletmek için Claroty xDome - Microsoft Sentinel tümleştirmesini yapılandırın.

3. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin CommonSecurityLog şeması kullanılarak alınp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının verileri çalışma alanınıza aktarması yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python --version

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir

• Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

**4. Makinenizin güvenliğini sağlama **

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

---

Cloudflare (Önizleme) (Azure İşlevleri kullanarak)

Tarafından desteklenir:Cloudflare

Cloudflare veri bağlayıcısı, Cloudflare Logpush ve Azure Blob Depolama kullanarak Cloudflare günlüklerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Cloudflare belgelerine bakın .

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Cloudflare_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Azure Blob Depolama bağlantı dizesi ve kapsayıcı adı: günlüklerin Cloudflare Logpush tarafından gönderildiği Azure Blob Depolama bağlantı dizesi ve kapsayıcı adı. Daha fazla bilgi için bkz. Azure Blob Depolama kapsayıcı oluşturma.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Azure Blob Depolama API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen Cloudflare gibi çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.

ADIM 1 - Cloudflare Logpush yapılandırması

Cloudflare Logpush'u Microsoft Azure ayarlama belgelerine bakın

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Cloudflare veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Azure Blob Depolama bağlantı dizesi ve kapsayıcı adına sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Cloudflare veri bağlayıcısının ARM Şablonu kullanarak otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Azure Blob Depolama Kapsayıcı Adı, Azure Blob Depolama Bağlantı Dizesi, Microsoft Sentinel Çalışma Alanı Kimliği Microsoft Sentinel Paylaşılan Anahtar girin

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Cloudflare veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (ör. CloudflareXX).

   e. Çalışma zamanı seçin: Python 3.8'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri (İsteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Cloudflare (Blob Kapsayıcısı Kullanma) (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Cloudflare

Cloudflare veri bağlayıcısı, Cloudflare Logpush ve Azure Blob Depolama kullanarak Cloudflare günlüklerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Cloudflare belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CloudflareV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Depolama hesabı ve kapsayıcı oluşturma: Cloudflare'da logpush'u ayarlamadan önce Microsoft Azure'da bir depolama hesabı ve kapsayıcı oluşturun. Kapsayıcı ve Blob hakkında daha fazla bilgi edinmek için bu kılavuzu kullanın. Azure Depolama hesabı oluşturmak için belgelerdeki adımları izleyin.
• Blob SAS URL'si oluşturma: Oluşturma ve Yazma izinleri gereklidir. Blob SAS belirteci ve URL hakkında daha fazla bilgi edinmek için belgelere bakın.
• Günlükleri Cloudflare'dan Blob kapsayıcınıza toplama: Günlükleri Cloudflare'dan Blob kapsayıcınıza toplama belgelerindeki adımları izleyin.

Kurulum Yönergeleri:

Cloudflare Günlüklerini Microsoft Sentinel bağlama

Cloudflare günlüklerini Microsoft Sentinel etkinleştirmek için aşağıdaki gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

• Veri toplamak istediğiniz Blob kapsayıcısının URL'si:
• Blob kapsayıcısının depolama hesabı kaynak grubu adı:
• Blob kapsayıcısının depolama hesabı konumu:
• Blob kapsayıcısının depolama hesabı abonelik kimliği:
• Varsa blob kapsayıcısının depolama hesabının olay kılavuzu konu adı. değilse boş tutun.:
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Cognni

Tarafından desteklenir:Cognni

Cognni bağlayıcısı, Microsoft Sentinel ile hızlı ve basit bir tümleştirme sunar. Daha önce sınıflandırılmamış önemli bilgilerinizi otonom olarak eşlemek ve ilgili olayları algılamak için Cognni'yi kullanabilirsiniz. Bu, önemli bilgilerinizin risklerini tanımanıza, olayların önem derecesini anlamanıza ve düzeltmeniz gereken ayrıntıları araştırmanıza ve fark yaratabilecek kadar hızlı olmanıza olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CognniIncidents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Cognni'ye bağlanma

1. Cognni tümleştirmeleri sayfasına gidin
2. 'Microsoft Sentinel' kutusunda 'Bağlan'a tıklayın
3. 'workspaceId' ve 'sharedKey' değerlerini kopyalayıp Cognni'nin tümleştirmeler ekranındaki ilgili alanlara (aşağıdan) yapıştırın
4. Yapılandırmayı tamamlamak için 'Connect' bottonunu tıklatın.
   Yakında, Cognni tarafından algılanan tüm olaylarınız buraya (Microsoft Sentinel) iletilecektir

Cognni kullanıcısı değil misiniz? Bize katılın

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Paylaşılan Anahtar: <yükleme zamanında sağlanan değişken değeri>

---

Uyum (Azure İşlevleri kullanarak)

Tarafından desteklenir:Cohesity

Cohesity işlev uygulamaları, Cohesity Datahawk fidye yazılımı uyarılarını Microsoft Sentinel alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Cohesity_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Azure Blob Depolama bağlantı dizesi ve kapsayıcı adı: Azure Blob Depolama bağlantı dizesi ve kapsayıcı adı

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, Azure Blob Depolama ve KeyVault'a bağlanan Azure İşlevleri kullanır. Bu ek maliyetlerle sonuçlanabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasını, fiyatlandırma sayfasını Azure Blob Depolama ve KeyVault fiyatlandırma sayfasını Azure kontrol edin.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

1. ADIM - Cohesity DataHawk API anahtarı alma (bkz. sorun giderme yönergesi 1)

2. ADIM - Azure uygulamasını (bağlantı) kaydedin ve Uygulama (istemci) Kimliği, Dizin (kiracı) Kimliği ve Gizli Değer (yönergeler) değerlerini kaydedin. Depolama (user_impersonation) Azure izni verin. Ayrıca, uygun abonelikteki uygulamaya 'Microsoft Sentinel Katkıda Bulunanı' rolünü atayın.

3. ADIM - Bağlayıcıyı ve ilişkili Azure İşlevleri dağıtın.

Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak Cohesity veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Önceki adımlarda oluşturduğunuz parametreleri girin

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

---

CommvaultSecurityIQ

Tarafından desteklenir:Commvault

Bu Azure İşlevi, Commvault kullanıcılarının uyarıları/olayları Microsoft Sentinel örneğine almalarını sağlar. Analiz Kuralları ile Microsoft Sentinel gelen olaylardan ve günlüklerden otomatik olarak Microsoft Sentinel olayları oluşturabilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommvaultAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Commvault Ortam Uç Noktası URL'si: Belgeleri izlediğinize ve KeyVault'ta gizli dizi değerini ayarladığınızdan emin olun
• Commvault QSDK Belirteci: Belgeleri izlediğinize ve KeyVault'ta gizli dizi değerini ayarladığınızdan emin olun

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Commvault Örneğine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Commvalut QSDK Belirteci için yapılandırma adımları

API Belirteci oluşturmak için bu yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtma

ÖNEMLİ: CommvaultSecurityIQ veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Commvault Uç Noktası URL'sine ve QSDK Belirteci'ne sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Azure Resource Manager (ARM) Şablonu

Commvault Security IQ veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı 've/veya Diğer gerekli alanlar' girin ve İleri'ye tıklayın.

4. Dağıtmak için Oluştur'a tıklayın.

---

KarşıtLıK ADR Anında İletme Bağlayıcısı

Tarafından desteklenir:Karşıtlık Güvenliği

Karşıtlık Güvenliği bağlayıcısı, Saldırı olaylarını ve olaylarını Karşıtlık Uygulama Algılama ve Yanıtı'ndan (ADR) Microsoft Sentinel alma özelliği sağlar. Bu bağlayıcı, OAuth kimlik doğrulamasını kullanarak web kancası gönderme mekanizması aracılığıyla veri alır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ContrastADRAttackEvents_CL	Hayır	Hayır
ContrastADRIncidents_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'de uygulama kaydı oluşturma izni (otomatik oluşturulan uygulama kullanılıyorsa). Genellikle Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Azure kaynakları (DCE, DCR, Tablolar) oluşturma ve yapılandırma ve RBAC rolleri atama izni. Genellikle Katkıda Bulunan ve Kullanıcı Erişimi Yöneticisi rolleri gerekir.
• Karşıt ADR Web Kancası Erişimi: Web kancasını OAuth kimlik doğrulama ayarlarıyla yapılandırmak için Karşıt ADR platformuna erişim.

Kurulum Yönergeleri:

1. Bağlayıcı Kaynaklarını Dağıtma

Karşıt ADR veri alımı için gerekli Azure kaynaklarını dağıtın.

Dağıtım Seçeneğinizi Belirleyin

Gereksinimlere göre aşağıdaki dağıtım seçeneklerinden birini belirleyin:

---

Seçenek A: Microsoft Entra Uygulamasını Otomatik Oluşturma (Önerilen)

Karşıtlık ADR CCF Bağlayıcısı Dağıt'a tıklanırken otomatik olarak oluşturulur:

• Veri Toplama Uç Noktası (DCE)
• Saldırı olayları ve olayları için akışlar içeren Veri Toplama Kuralı (DCR)
• Log Analytics tabloları (ContrastADRAttackEvents_CL ve ContrastADRIncidents_CL)
• OAuth kimlik bilgileriyle Uygulamayı Microsoft Entra
• DCR'de rol ataması (İzleme Ölçümleri Yayımcısı)

Dağıtımdan sonra: Tüm yapılandırma değerleri (Kiracı Kimliği, İstemci Kimliği, İstemci Gizli Anahtarı, DCE URI' si, DCR Sabit Kimliği) Karşıtlık platformuna kolayca kopyalanması için aşağıda otomatik olarak doldurulur.

---

B Seçeneği: Önceden Var Olan Microsoft Entra Uygulamasını (BYOA) Kullanma

Karşıtlık ADR CCF Bağlayıcısı Dağıt'a tıklanması şu adımları oluşturur:

• Veri Toplama Uç Noktası (DCE)
• Saldırı olayları ve olayları için akışlar içeren Veri Toplama Kuralı (DCR)
• Log Analytics tabloları (ContrastADRAttackEvents_CL ve ContrastADRIncidents_CL)
• uygulamayı Microsoft Entra (bunu yoksayabilirsiniz)

Ne zaman kullanılır: Güvenlik veya uyumluluk nedenleriyle yeniden kullanmak istediğiniz mevcut bir Entra Uygulamanız varsa. Ek adımlar gereklidir:

1. Dağıtımdan sonra, önceden var olan Entra Uygulamanızın Hizmet Sorumlusuna oluşturulan DCR'de İzleme Ölçümleri Yayımcısı rolünü el ile atayın
2. Kendi Entra Uygulamanızın İstemci Kimliğini ve İstemci Gizli Anahtarını kullanın (aşağıdaki otomatik oluşturulanları yoksayın)
3. Karşıtlık web kancası yapılandırmanızda aşağıdaki DCE URI'sini ve DCR Sabit Kimliğini kullanın

---

Başlamak için Dağıt'a tıklayın:

2. Karşıt ADR Web Kancasını Yapılandırma

Karşıt ADR platformunda Microsoft Sentinel tümleştirmesini yapılandırmak için aşağıdaki değerleri kopyalayın.

A Seçeneği (Otomatik Oluşturulan Entra Uygulaması): Aşağıdaki otomatik olarak doldurulan tüm değerleri kullanın. B Seçeneği (Önceden Var Olan Entra Uygulaması) için: Aşağıdaki DCE URI'sini, DCR Sabit Kimliğini ve Stream Adlarını kullanın, ancak kendi Entra Uygulamanızın Kiracı Kimliğini, İstemci Kimliğini ve İstemci Gizli Anahtarını kullanın.

---

yapılandırma değerlerini Azure:

• Kiracı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Uygulama (İstemci) Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• İstemci Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası (DCE) URI'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı (DCR) Sabit Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Saldırı Olayları Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Olaylar Stream Adı: <yükleme zamanında sağlanan değişken değeri>

---

Karşıt ADR Platformunda Yapılandırma

1. KarşıtLıK ADR platformunuzda oturum açın
2. Yönetim > Tümleştirmeleri > Microsoft Sentinel gidin
3. Yukarıdaki tüm yapılandırma değerlerini kopyalayıp yapıştırın:
   • Kiracı Kimliği
   • Uygulama (İstemci) Kimliği
   • İstemci Gizli Anahtarı
   • Veri Toplama Uç Noktası (DCE) URI'sı
   • Veri Toplama Kuralı (DCR) Sabit Kimliği
   • Saldırı Olayları Stream Adı
   • Olaylar Stream Adı
4. Tümleştirmeyi tamamlamak için Kaydet'e tıklayın

Karşıtlık platformu, bu değerleri kullanarak OAuth kimlik doğrulamasını ve veri uç noktalarını otomatik olarak yapılandıracaktır.

3. Veri Alımını Doğrulama

Verilerin Karşıt ADR'den Microsoft Sentinel'a aktığını doğrulayın.

Doğrulama Adımları

1. Karşıt ADR'de bir test saldırısı olayı tetikleme
2. Verilerin Microsoft Sentinel görüntülenmesi için 5-10 dakika bekleyin
3. Saldırı olaylarını doğrulamak için aşağıdaki sorguyu çalıştırın:

ContrastADRAttackEvents_CL
| take 10

4. Olay verilerini doğrulama:

ContrastADRIncidents_CL
| take 10

5. Bağlantıyı denetleyin:

ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)

Veriler görünürse ve IsConnected true değerini döndürürse bağlayıcınız doğru yapılandırılır!

---

Corelight Connector Exporter

Tarafından desteklenir:Corelight

Corelight veri bağlayıcısı, olay yanıtlayıcılarının ve Microsoft Sentinel kullanan tehdit avcılarının daha hızlı ve daha etkili çalışmasını sağlar. Veri bağlayıcısı, Corelight Algılayıcıları aracılığıyla Zeek ve Suricata'dan olayların Microsoft Sentinel'a alımını sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Corelight	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan corelight'ın beklendiği gibi çalışması için Kusto İşlevine dayalı ayrıştırıcıya bağlıdır.

1. Dosyaları alma

tam, SE veya info@corelight.com Microsoft Sentinel tümleştirmesi için gereken dosyaları almak için başvurun.

2. Örnek verileri yeniden yürüt.

Log Analytics çalışma alanınızda gerekli tabloları oluşturmak için örnek verileri yeniden yürütebilirsiniz.

• Örnek verileri gönderme (Log Analytics çalışma alanı başına yalnızca bir kez gereklidir): <yükleme zamanında sağlanan değişken değeri>

3. Özel ihracatçı yükleyin.

Özel dışarı aktarmayı veya logstash kapsayıcısını yükleyin.

4. Günlükleri Azure Log Analytics Aracısı'na göndermek için Corelight Algılayıcısı'nı yapılandırın.

Aşağıdaki değerleri kullanarak Corelight Algılayıcınızı Microsoft Sentinel vereni kullanacak şekilde yapılandırın. Alternatif olarak logstash kapsayıcısını bu değerlerle yapılandırabilir ve algılayıcınızı uygun bağlantı noktasındaki kapsayıcıya TCP üzerinden JSON gönderecek şekilde yapılandırabilirsiniz.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Çalışma Alanı Anahtarı: <Yükleme zamanında sağlanan değişken değeri>

---

Cortex XDR - Olaylar

Tarafından desteklenir:DEFEND Ltd.

Olayları Cortex XDR platformundan Microsoft Sentinel almak için Cortex API'sini kullanmak için DEFEND'tan özel Veri bağlayıcısı.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CortexXDR_Incidents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Cortex API kimlik bilgileri: REST API için Cortex API Belirteci gereklidir. Daha fazla bilgi için bkz. API. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin.

Kurulum Yönergeleri:

Cortex XDR API'sini etkinleştirme

Cortex Olaylarını işlemek için Cortex API aracılığıyla Cortex XDR'yi Microsoft Sentinel bağlayın.

---

Cribl

Tarafından desteklenir:Cribl

Cribl bağlayıcısı, Cribl (Cribl Enterprise Sürümü - Tek başına) günlüklerinizi Microsoft Sentinel ile kolayca bağlamanızı sağlar. Bu, kuruluşunuzun veri işlem hatları hakkında daha fazla güvenlik içgörüsü sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CriblInternal_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Microsoft Sentinel için Cribl Stream yükleme ve kurulum yönergeleri

Bu Github deposundaki belgeleri kullanın ve kullanarak Cribl Stream yapılandırın

https://docs.cribl.io/stream/usecase-azure-workspace/

---

CrowdStrike API Veri Bağlayıcısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

CrowdStrike Veri Bağlayıcısı, CrowdStrike API'sinden günlüklerin Microsoft Sentinel'a alımına olanak tanır. Bu bağlayıcı CrowdStrike Uyarılarını, Algılamalarını, Konaklarını, Servis Taleplerini ve Güvenlik Açıklarını Microsoft Sentinel alma özelliği sağlar. Bu bağlayıcı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi üzerinde oluşturulmuş ve günlükleri getirmek için CrowdStrike API'sini kullanır. Sorguların daha verimli çalışabilmesi için DCR tabanlı alım süresi dönüşümlerini destekler. Daha fazla bilgi için CrowdStrike API belgelerine bakın .

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CrowdStrikeAlerts	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Crowdstrike OAuth2 API İstemcisi ve Kapsamları: REST API için Uyarılar, API Tümleştirmeleri, Uygulama Günlükleri, Vakalar, Bağıntı Kuralları, Algılamalar, Konaklar, Varlıklar, Olaylar, Karantinaya Alınan Files, Güvenlik Açıkları gereklidir. Daha fazla bilgi için bkz. API.

Kurulum Yönergeleri:

CrowdStrike'i Microsoft Sentinel'a bağlama

Not: Önemli Bildirim: Olaylar API'sinin yetkisi tamamen alınmış. Bunun yerine yeni Servis Talepleri veri türünü kullanın.

CrowdStrike'den veri toplamak için aşağıdaki kaynakları sağlamanız gerekir

1. Temel API URL'si - CrowdStrike'den veri toplamak için Temel API URL'sine ihtiyacınız vardır.

2. İstemci Kimliği - CrowdStrike'ten veri toplamak için İstemci Kimliğine ihtiyacınız vardır.

3. İstemci Gizli Anahtarı - CrowdStrike'ten veri toplamak için İstemci Gizli Anahtarına ihtiyacınız vardır.

Temel API URL'sini, İstemci Kimliğini ve Gizli Anahtarı alma hakkında ayrıntılı yönergeler için bağlayıcı öğreticisine bakın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

Algılamaları Sorgulama (başarılı bağlantıdan sonra)

Günlükler alındıktan sonra CrowdStrikeDetections tablosu tarafından aggregate_idgruplandırılmış tek tek uyarı kayıtlarını içerir. Gerçek algılama düzeyi davranışını görüntülemek için aşağıdaki KQL sorgusunu kullanarak uyarıları algılama grubuna göre toplayabilirsiniz:

CrowdStrikeDetections
| summarize
  AlertCount = count(),
  FirstSeen = min(CreatedTimestamp),
  LastSeen = max(CreatedTimestamp),
  MaxSeverity = max(Severity)
by AggregateId

---

CrowdStrike Falcon Saldırgan Zekası (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

CrowdStrike Falcon Indicators of Compromise bağlayıcısı, Falcon Intel API'sinden Risk Göstergelerini alır ve Bunları Tehdit Intel'Microsoft Sentinel yükler.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelIndicators	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• CrowdStrike API İstemci Kimliği ve İstemci Gizli Anahtarı: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRETCROWDSTRIKE_BASE_URL. CrowdStrike kimlik bilgilerinin Göstergeler (Şahin Zekası) okuma kapsamı olmalıdır.

Kurulum Yönergeleri:

ADIM 1 - CrowdStrike API kimlik bilgileri oluşturma.

'Göstergeler (Şahin Zekası)' kapsamında 'okuma' seçeneğinin belirlendiğinden emin olun

2. ADIM - bir Entra Uygulamasını istemci gizli dizisiyle kaydedin.

Entra Uygulama sorumlusuna ilgili log analytics çalışma alanında 'Microsoft Sentinel Katkıda Bulunan' rol ataması sağlayın. Azure rol atama.

3. ADIM - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: CrowdStrike Falcon Indicator of Compromise bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliğine sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

CrowdStrike Falcon Saldırgan Zeka bağlayıcı bağlayıcısının ARM Tempate kullanarak otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Aşağıdaki parametreleri sağlayın: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

CrowdStrike Falcon Saldırgan Zeka bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (ör. CrowdStrikeFalconIOCXXXXXX).

   e. Çalışma zamanı seçin: Python 3.12'yi seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID

12. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

CrowdStrike Falcon Veri Çoğaltıcısı (AWS S3) (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Crowdstrike Falcon Veri Çoğaltıcısı (S3) bağlayıcısı, FDR günlüklerinin akışının yapıldığı AWS S3 demetinden Microsoft Sentinel FDR olay verilerini alma özelliği sağlar. Bağlayıcı, olası güvenlik risklerini incelemeye, ekibinizin işbirliği kullanımını analiz etmeye, yapılandırma sorunlarını tanılamaya ve daha fazlasına yardımcı olan Olayları Falcon Aracılarından alma olanağı sağlar.

NOT:

1. CrowdStrike FDR lisansı etkin & kullanılabilir olmalıdır.

2. Bağlayıcı, AWS S3 demetine erişime izin vermek için AWS'de bir IAM rolünün yapılandırılmasını gerektirir ve CrowdStrike - yönetilen demetlerden yararlanan ortamlar için uygun olmayabilir.

3. CrowdStrike tarafından yönetilen demetlerden yararlanan ortamlar için lütfen CrowdStrike Falcon Veri Çoğaltıcısı (CrowdStrike Tarafından Yönetilen AWS S3) bağlayıcısını yapılandırın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CrowdStrike_Additional_Events_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Gereksinimler: Şahin Veri Çoğaltıcısı özelliğini kullanmak için aşağıdakiler gereklidir:

1. Abonelik: 1.1. Şahin Veri Çoğaltıcısı. 1.2. Falcon Insight XDR.

2. Roller: 2.1. Şahin Yöneticisi.

3. CrowdStrike & AWS ortamlarınızı ayarlama AWS'de erişimi yapılandırmak için AWS ortamını ayarlamak için sağlanan aşağıdaki iki şablonu kullanın. Bu, günlüklerin bir S3 demetinden Log Analytics Çalışma Alanınıza gönderilmesini sağlar.

Her şablon için AWS'de Stack oluşturun:

1. AWS CloudFormation Stacks'e gidin.
2. 'Şablon belirtin' seçeneğini, ardından 'Dosya seç' seçeneğine tıklayıp aşağıda sağlanan uygun CloudFormation şablon dosyasını seçerek 'Şablon dosyasını karşıya yükleyin' seçeneğini belirleyin. 'Dosya seç'e tıklayın ve indirilen şablonu seçin.
3. 'İleri' ve 'Yığın oluştur'a tıklayın.

Demetinizin FDR akışının sağlandığı Falcon CID ile aynı AWS bölgesinde oluşturulduğundan emin olun. | CrowdStrike bölgesi | AWS bölgesi | |-----------------|-----------| | US-1 | us-west-1 | | US-2 | us-west-2 | | AB-1 | eu-central-1

• Şablon 1: OpenID connect kimlik doğrulaması dağıtımı: <yükleme zamanında sağlanan değişken değeri>
• Şablon 2: AWS CrowdStrike kaynakları dağıtımı: <Yükleme zamanında> sağlanan değişken değeri Kendi S3 Demetinizi kullanma Kendi S3 demetinizi kullanmak için aşağıdaki kılavuza başvurabilirsiniz Kendi S3 demetinizi kullanın veya bu adımları izleyin:

1. Şu Adla destek olayı oluşturun: FDR için Self S3 demeti kullanma
2. Aşağıdaki bilgileri ekleyin: 2.1. FDR akışınızın sağlandığı Falcon CID 2.2. Bu yeni FDR akışında hangi olay türlerini sağlamak istediğinizi belirtin. 2.3. Bu yeni FDR akışında hangi olay türlerini sağlamak istediğinizi belirtin. 2.4. Herhangi bir bölüm kullanmayın.

Olay türü	S3 ön eki
Birincil Olaylar	Veri/
İkincil Olaylar	fdrv2/

2. Yeni toplayıcıları bağlama AWS S3'i Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

CrowdStrike Falcon Veri Çoğaltıcısı (CrowdStrike Yönetilen AWS-S3) (Azure İşlevi kullanılarak) (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Bu bağlayıcı, olası güvenlik risklerinin değerlendirilmesini, işbirliği etkinliklerinin analizini, yapılandırma sorunlarının tanımlanmasını ve diğer operasyonel içgörüleri desteklemek için Azure İşlevleri kullanarak FDR verilerinin Microsoft Sentinel alımını sağlar.

NOT:

1. CrowdStrike FDR lisansı etkin & kullanılabilir olmalıdır.

2. Bağlayıcı Anahtar & Gizli kimlik doğrulaması kullanır ve CrowdStrike Yönetilen demetleri için uygundur.

3. Tamamen sahip olunan bir AWS S3 demeti kullanan ortamlar için Microsoft, CrowdStrike Falcon Data Replicator (AWS S3) bağlayıcısının kullanılmasını önerir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CrowdStrikeReplicatorV2	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• SQS ve AWS S3 hesabı kimlik bilgileri/izinleri: AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL gereklidir. Daha fazla bilgi için bkz. veri çekme. Başlamak için CrowdStrike desteğine başvurun. İsteğiniz üzerine kısa süreli depolama amacıyla CrowdStrike tarafından yönetilen Amazon Web Services (AWS) S3 demeti ve S3 demetinde yapılan değişiklikleri izlemek için bir SQS (basit kuyruk hizmeti) hesabı oluşturur.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere AWS SQS /S3'e bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Önkoşullar

1. CrowdStrike'de FDR'yi yapılandırma - CrowdStrike FDR'yi etkinleştirmek için CrowdStrike destek ekibine başvurmanız gerekir.
   • CrowdStrike FDR etkinleştirildikten sonra CrowdStrike konsolundan Destek --> API İstemcileri ve Anahtarları'na gidin.
   • AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, SQS Kuyruğu URL'si ve AWS Bölgesi'ni kopyalamak için yeni kimlik bilgileri oluşturmanız gerekir.
2. AAD uygulamasını kaydetme - DCR'nin log analytics'e veri almak için kimlik doğrulaması yapması için AAD uygulamasını kullanmanız gerekir.
   • AAD Kiracı Kimliği, AAD İstemci Kimliği ve AAD İstemci Gizli Anahtarı'nı almak için buradaki yönergeleri (1-5 arası adımlar) izleyin.
   • Bu uygulamanın AAD Asıl Kimliği için AAD Portalı aracılığıyla AAD Uygulamasına erişin ve uygulamaya genel bakış sayfasından Nesne Kimliği'ni yakalayın.

Dağıtım Seçenekleri

Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİr'i seçin

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Crowdstrike Falcon Veri Çoğaltıcı bağlayıcısı V2'nin ARM Tempate kullanarak otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Microsoft Sentinel Çalışma Alanı, CrowdStrike AWS kimlik bilgileri, Azure AD Uygulama ayrıntıları ve alım yapılandırmaları gibi gerekli ayrıntıları sağlayın

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. İşlev uygulamasının ve ilişkili kaynakların dağıtımı için yeni bir Kaynak Grubu oluşturmanız önerilir. 3. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 4. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Crowdstrike Falcon Veri Çoğaltıcı bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Veri alımı için DCE, DCR ve Özel Tablolar dağıtma

2. Veri Toplama Kaynağı ARM şablonunu kullanarak gerekli DCE, DCR'ler ve Özel Tabloları dağıtma

3. DCE ve DCR'ler başarıyla dağıtıldıktan sonra aşağıdaki bilgileri alın ve kullanışlı tutun (Azure İşlevleri uygulama dağıtımı sırasında gereklidir).

   • DCE günlük alımı - Veri toplama uç noktası oluşturma (3. Adım) başlığında sağlanan yönergeleri izleyin.
   • Bir veya daha fazla DCR'nin sabit kimlikleri (uygunsa) - DCR'den bilgi toplama (Stpe 2) başlığı altındaki yönergeleri izleyin.

4. İşlev Uygulaması Dağıtma

5. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

6. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.

7. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

10. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

11. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

12. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW //Ham veri gerekiyorsa //True USER_SELECTION_REQUIRE_SECONDARY //İkincil veriler gerekiyorsa tüketim için // 100 MAX_QUEUE_MESSAGES_MAIN_QUEUE ve Premium MAX_SCRIPT_EXEC_TIME_MINUTES // için 150 değerini buraya ekleyin AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK // Dosyası github'da bulunur. Dosyaya github'da internet REQUIRED_FIELDS_SCHEMA_LINK //File kullanılarak erişilip erişilemediğini ekleyin. İşlevin dakikada bir çalıştığından emin olmak için dosyaya internet Schedule //Add value as '0 */1 * * * *' kullanarak erişilip erişilemediğini ekleyin.

13. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

CTERA Syslog

Tarafından desteklenir:CTERA

Microsoft Sentinel için CTERA Veri Bağlayıcısı, CTERA çözümünüz için izleme ve tehdit algılama özellikleri sunar. Tür, silme ve reddedilen erişim işlemleri başına tüm işlemlerin toplamını görselleştiren bir çalışma kitabı içerir. Ayrıca fidye yazılımı olaylarını algılayan ve şüpheli fidye yazılımı etkinliği nedeniyle bir kullanıcı engellendiğinde sizi uyaran analiz kuralları sağlar. Ayrıca toplu erişim reddedilen olaylar, toplu silmeler ve toplu izin değişiklikleri gibi kritik desenleri belirlemenize yardımcı olarak proaktif tehdit yönetimine ve yanıta olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Syslog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

1. Adım: CTERA Platform'u Syslog'a bağlama

CTERA portalı syslog bağlantınızı ve Edge-Filer Syslog bağlayıcınızı ayarlama

2. Adım: Syslog Server'a Azure İzleyici Aracısı'nın (AMA) yüklenmesi

Veri toplamayı etkinleştirmek için syslog sunucunuza Azure İzleyici Aracısı'nı (AMA) yükleyin.

---

CTM360 CyberBlindSpot (Sunucusuz)

Tarafından desteklenir:Cyber Threat Management 360

CTM360 Siber Kör Nokta (CBS) bağlayıcısı 6 modül türünde güvenlik verilerini almak için CTM360'ın CBS platformuyla tümleştirme sağlar: olaylar, kötü amaçlı yazılım günlükleri, ihlal edilen kimlik bilgileri, güvenliği aşılmış kartlar, etki alanı ihlali ve alt etki alanı ihlali. Bu bağlayıcı, sunucusuz veri toplama için Kodsuz Bağlayıcı Çerçevesi'ni (CCF) kullanır.

Veri Türleri:

• CBSLog_AzureV2_CL
• CBS_MalwareLogs_AzureV2_CL
• CBS_BreachedCredentials_AzureV2_CL
• CBS_CompromisedCards_AzureV2_CL
• CBS_DomainInfringement_AzureV2_CL
• CBS_SubdomainInfringement_AzureV2_CL

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CBSLog_AzureV2_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• CTM360 CBS API Anahtarı: CBS API uç noktasına bağlanmak için geçerli bir CTM360 Siber Kör Nokta API anahtarı gereklidir.

Kurulum Yönergeleri:

CTM360 Siber Kör Nokta'yı Microsoft Sentinel bağlama

Bu bağlayıcı, CTM360 CBS'den Microsoft Sentinel veri almak için Kodsuz Bağlayıcı Çerçevesi'ni (CCF) kullanır. Veriler 6 farklı modül türünde 5 dakikada bir toplanır.

Not: Bu bağlayıcı farklı CBS modül türleri için 6 ayrı tablo oluşturur: Olaylar, Kötü Amaçlı Yazılım Günlükleri, İhlal Edilen Kimlik Bilgileri, Güvenliği Aşılmış Kartlar, Etki Alanı İhlali ve Alt Etki Alanı İhlali.

1. Adım: CTM360 API Anahtarlarını Alma

Bu tümleştirmeyi ayarlamak için CBS API Anahtarı gerekir. Aşağıdaki bağlantıları kullanarak bu anahtarları alabilirsiniz:

Bu bağlantıda bulunan CBS API Anahtarı: https://platform.ctm360.com/start/integrations hesabınızla oturum açtıktan sonra

2. Adım: Bağlantıyı Yapılandırma

CTM360 CBS API anahtarınızı girin ve veri alımını başlatmak için bağlanın.

• CTM360 CBS API Anahtarı: (CTM360 CBS API anahtarınızı girin)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

3. Adım: Veri Alımını Doğrulama

Bağlandıktan sonra verilerin 5-10 dakika içinde akmaya başlaması gerekir. Her modül türü için veri alımını doğrulamak için yukarıdaki örnek sorguları kullanın.

Not: Not: İlk veri alımı 30 dakika kadar sürebilir. Bağlayıcı 5 dakikada bir 5 dakikalık bir sıralı pencereyle yoklar.

---

CTM360 HackerView (Sunucusuz)

Tarafından desteklenir:Cyber Threat Management 360

CTM360 HackerView bağlayıcısı, HackerView Dış Saldırı Yüzeyi Yönetimi platformunuzdan güvenlik sorunlarını ve güvenlik açıklarını Microsoft Sentinel almanızı sağlar. Bu sunucusuz bağlayıcı, analiz ve diğer güvenlik olaylarıyla bağıntı için sorun verilerini otomatik olarak çekmek için REST API'yi kullanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
HackerViewLog_AzureV2_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• HackerView API Anahtarı: Sorun verilerine erişim izinlerine sahip geçerli bir HackerView API anahtarı gereklidir.

Kurulum Yönergeleri:

CTM360 HackerView'u Microsoft Sentinel'a bağlama

Bu bağlayıcı, güvenlik sorunlarını otomatik olarak Microsoft Sentinel almak için HackerView REST API'sini kullanır.

Not: Bu, Azure'nin Kodsuz Bağlayıcı Çerçevesi'nin (CCF) kullanıldığı sunucusuz bir bağlayıcıdır. Azure İşlev dağıtımı gerekmez.

1. Adım: CTM360 API Anahtarlarını Alma

Bu tümleştirmeyi ayarlamak için HackerView API Anahtarı gerekir. Aşağıdaki bağlantıları kullanarak bu anahtarları alabilirsiniz:

Bu bağlantıdan bulunan HackerView API Anahtarı: https://platform.ctm360.com/start/integrations hesabınızla oturum açtıktan sonra

2. Adım: Bağlayıcıyı Yapılandırma

HackerView API anahtarınızı girin ve veri alımını başlatmak için Bağlan'a tıklayın.

• API Anahtarı: (HackerView API Anahtarınızı girin)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

3. Adım: Veri Alımını Doğrulama

Bağlandıktan sonra verilerin 5-10 dakika içinde akmaya başlaması gerekir. Doğrulamak için aşağıdaki sorguyu çalıştırın:

Not: HackerViewLog_AzureV2_CL | 10 alın

---

AMA aracılığıyla özel günlükler

Tarafından desteklenir:Microsoft Corporation

Birçok uygulama, Windows Olay günlükleri, Syslog veya CEF gibi standart günlük hizmetleri yerine metin veya JSON dosyalarına bilgi kaydeder. Özel Günlükler veri bağlayıcısı, hem Windows hem de Linux bilgisayarlardaki dosyalardan olayları toplamanıza ve bunları oluşturduğunuz özel günlük tablolarına akışla aktarmanıza olanak tanır. Veri akışı yaparken DCR kullanarak içeriği ayrıştırabilir ve dönüştürebilirsiniz. Verileri topladıktan sonra analiz kuralları, avcılık, arama, tehdit bilgileri, zenginleştirmeler ve daha fazlasını uygulayabilirsiniz.

NOT: Bu bağlayıcıyı aşağıdaki cihazlar için kullanın: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP sunucusu, Apache Tomcat, Jboss Enterprise uygulama platformu, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP sunucusu, Oracle Weblogic sunucusu, PostgreSQL Olayları, Squid Proxy, Ubiquiti UniFi, SecurityBridge Tehdit algılama SAP ve AI vectra akışı.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
JBossEvent_CL	Hayır	Hayır
JuniperIDP_CL	Evet	Evet
ApacheHTTPServer_CL	Evet	Evet
Tomcat_CL	Evet	Evet
meraki_CL	Evet	Evet
VectraStream_CL	Hayır	Hayır
MarkLogicAudit_CL	Hayır	Hayır
MongoDBAudit_CL	Evet	Evet
NGINX_CL	Evet	Evet
OracleWebLogicServer_CL	Evet	Evet
PostgreSQL_CL	Evet	Evet
SquidProxy_CL	Evet	Evet
Ubiquiti_CL	Evet	Evet
vcenter_CL	Evet	Evet
ZPA_CL	Evet	Evet
SecurityBridgeLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• İzinler: Azure olmayan VM'lerden veri toplamak için Azure Arc yüklü ve etkin olmalıdır. Daha fazla bilgi edinin

Kurulum Yönergeleri:

Veri toplama kuralını etkinleştirme

Özel günlükler hem Windows hem de Linux aracılarından toplanır.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

---

CyberArk Denetimi

Tarafından desteklenir:CyberArk Desteği

CyberArk Denetim veri bağlayıcısı, Microsoft Sentinel GÜVENLIK olay günlüklerini ve diğer olayları REST API aracılığıyla CyberArk Denetim hizmetinden almalarını sağlar. Bu tümleştirme olası güvenlik risklerini algılamanıza, kullanıcı etkinliğini izlemenize, işbirliği düzenlerini analiz etmenize, yapılandırma sorunlarını gidermenize ve ortamınızla ilgili daha ayrıntılı içgörüler edinmenize yardımcı olur.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyberArk_AuditEvents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• CyberArk Denetim Hizmeti Platformu: CyberArk Denetim platformunda gerekli yapılandırmaları gerçekleştirme erişimi

Kurulum Yönergeleri:

Microsoft Sentinel'de olay günlüklerini toplamaya başlamak için CyberArk Denetim API'sine bağlanma

Microsoft Sentinel CyberArk Denetimi ile tümleştirmek ve Microsoft Sentinel içindeki sistem ve kullanıcı etkinliklerinin merkezi olarak izlenmesini sağlamak için aşağıdaki adımları izleyin. Ayrıca CyberArk Denetim belgelerine başvurabilir ve 5. Adıma kadar takip edebilirsiniz.

Adım1: Yeni SIEM tümleştirmesi oluşturma

1. CyberArk portalında adresine Administrationgidin.
2. öğesini seçinMy environmentExport to SIEM>Integrations>.
3. SIEM tümleştirmeleri sayfasında Create>Create SIEM integration
4. Create a SIEM integration Sayfada, Kimlik Yönetimi'nde Identity Administration OAuth sunucusu web'i oluşturmak için bağlantıyı seçin. 2. Adım: Kimlik Yönetimi'nde OAuth2 sunucusu web uygulaması oluşturma
5. Sayfada Identity Administration , soldaki menüden Apps & Widgets>Web Apps
6. Sekmeden Custom bir OAuth2 server tür web uygulaması seçin Add Web Apps ve oluşturun.
7. ApplicationID ve Name alanlarına girinCyberArkAuditforMicrosoftSentinel.
8. Tokens Sekmesinde, alandaki değerin Token Type olduğundan jwtR256 ve yalnızca yetkilendirme yönteminin Client Creds seçili olduğundan emin olun.
9. Sekmesine Scope tıklayın Add ve girinisp.audit.events:read.
10. Advanced Sekmesinde, aşağıdaki betiği kopyalayıp yapıştırın ve kaydet'e tıklayın.

		setClaim('tenant_id', TenantData.Get("CybrTenantID"));
		setClaim('aud', 'cyberark.isp.audit');

7. öğesine tıklayın Save. 3. Adım: Kimlik Yönetimi'nde hizmet kullanıcısı oluşturma
8. öğesine gidin Core Services>Usersve öğesini seçin Add User.
9. Account bölümüne ve Display name değerini Login name olarak MicrosoftSentinelgirin. Yeni bir parola ekleyin veya parolayı otomatik olarak oluşturun.
10. öğesini seçin OAuth confidential client.
11. Application Settings sekmesinde öğesine tıklayınAdd.
12. CyberArkAuditforMicrosoftSentinel Uygulamayı seçin. Bu, web hizmetinde oluşturduğunuz addır. 4. Adım: Hizmet kullanıcısına web uygulaması izinleri verme
13. Oluşturduğunuz web uygulamasına CyberArkAuditforMicrosoftSentinel gidin.
14. Permissions Sekmesinde, kullanıcınızı MicrosoftSentinel bulmak için öğesine tıklayın Add ve sonra öğesine tıklayınAdd.
15. Kullanıcı için aşağıdaki izinleri ayarlayın:
    • Grant
    • Görünüm
    • Çalıştır
    • 5. Adımı otomatik olarak dağıtma: Tümleştirme açıklamasını tanımlama
16. Administration adresine gidin.
17. öğesini seçinMy environmentExport to SIEM>Integrations>.
18. öğesini seçin Create>Create SIEM integration.
19. Adı olarak Microsoft Sentinel Integration girin ve isteğe bağlı olarak bir açıklama ekleyin.
20. öğesine tıklayın Apply. 6. Adım: CyberArk Denetim Hizmetini Microsoft Sentinel Veri Bağlayıcısı ile Bağlama

Not: Önceki adımlarda yakaladığınız tüm ayrıntıları kopyalayın ve CyberArk Denetim hizmetiyle bağlantı kurun.

• OAuth2 Sunucusu Uygulama Adı: (ör. AuditforMicrosoftSentinel)
• Denetim API Anahtarı: (API Anahtarı Denetim hizmetinden alınabilir)
• Kimlik Uç Noktası: (örn. kln9281.id.cyberark.cloud)
• Denetim API'si Temel URL'si: (örn. org-test.audit.cyberark.cloud)
• Sorgu Filtresi Eylemini Denetleme (İsteğe Bağlı): (örneğin, {"op":"include","params":["cloud.core.login","cloud.core.mfasummary"]})
• Sorgu Filtresi Uygulama Kodunu Denetleme (İsteğe Bağlı): (örneğin, {"op":"include","params":["IDP","CMS"]})
• Denetim Sorgusu Filtresi Denetim Türü (İsteğe Bağlı): (örn. {"op":"include","params":["Failure"]})

---

CyberArkAudit (Azure İşlevleri kullanarak)

Tarafından desteklenir:CyberArk Desteği

CyberArk Denetim veri bağlayıcısı, CyberArk Denetim hizmetinin güvenlik olay günlüklerini ve rest API aracılığıyla Microsoft Sentinel daha fazla olayı alma olanağı sağlar. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyberArk_AuditEvents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Bağlantılarını denetleme ayrıntıları ve Kimlik Bilgileri: API çağrıları yapmak için OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint ve AuditApiBaseUrl gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Azure Blob Depolama API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

NOT: API yetkilendirme anahtarları veya belirteçleri Azure Key Vault güvenli bir şekilde depolanır. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar.

ADIM 1 - CyberArk Audit SIEM Tümleştirmesi için yapılandırma adımları

Bağlantı ayrıntılarını ve kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: CyberArk Denetim veri bağlayıcısını dağıtmadan önce Çalışma Alanı Adı ve Çalışma Alanı Konumu'na sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Adı: <yükleme zamanında sağlanan değişken değeri>
• Çalışma Alanı Konumu: <yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak CyberArk Denetim veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. CyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

CyberArk Denetim veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. CyberArkXXXXX).

   e. Çalışma zamanı seçin: Python 3.10'u seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Cybersixgill Eyleme Dönüştürülebilir Uyarılar (Azure İşlevleri kullanarak)

Tarafından desteklenir:Cybersixgill

Eyleme dönüştürülebilir uyarılar, yapılandırılmış varlıklara göre özelleştirilmiş uyarılar sağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyberSixgill_Alerts_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: API çağrıları yapmak için Client_ID ve Client_Secret gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, Uyarıları Microsoft Sentinel çekmek için Cybersixgill API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Tempate kullanarak Cybersixgill Eyleme Dönüştürülebilir Uyarılar veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, İstemci Kimliği, İstemci Gizli Anahtarı, TimeInterval girin ve dağıtın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Cybersixgill Eyleme Dönüştürülebilir Uyarılar veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT:VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. CybersixgillAlertsXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft sentinel'in bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: ClientID ClientSecret Polling WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri aşağıdaki biçimde belirtin:https://<CustomerId>.ods.opinsights.azure.us

3. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Cyble Vision Uyarıları

Tarafından desteklenir:Cyble Desteği

Cyble Vision Uyarıları CCF Veri Bağlayıcısı, Kodsuz Bağlayıcı Çerçeve Bağlayıcısı kullanılarak Cyble Vision'dan Microsoft Sentinel'a Tehdit Uyarılarının alımını sağlar. API aracılığıyla uyarı verilerini toplar, normalleştirir ve gelişmiş algılama, bağıntı ve yanıt için özel bir tabloda depolar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CybleVisionAlerts_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Cyble Vision API belirteci: Cyble Vision Platform'dan bir API Belirteci gereklidir.

Kurulum Yönergeleri:

1. Adım - Cyble Platformundan API Belirteci Oluşturma

Cyble Platformu'na gidin ve Cyble Vision kimlik bilgilerinizi kullanarak oturum açın.

Oturum açtıktan sonra sol taraftaki panele gidin ve Aşağı kaydırarak Yardımcı Programlar'a gidin. Access API'lerine tıklayın. Sayfanın sağ üst köşesinde + (Ekle) simgesine tıklayarak yeni bir API anahtarı oluşturun. Bir diğer ad (anahtarınız için kolay bir ad) sağlayın ve Oluştur'a tıklayın. Oluşturulan API belirtecini kopyalayın ve güvenli bir şekilde depolayın.

ADIM 2 - Veri Bağlayıcısı'nı yapılandırma

Microsoft Sentinel dönün ve Cyble Vision Alerts veri bağlayıcısı yapılandırma sayfasını açın. Cyble API Belirtecinizi 'API Ayrıntıları' altındaki API Belirteci alanına yapıştırın.

• API Belirteci: (API Belirtecinizi girin)
• Sorgu Aralığı (dakika cinsinden): (Dakika cinsinden Süreyi Girin (örneğin, 10))
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Cyborg Güvenlik HUNTER Av Paketleri

Tarafından desteklenir:Cyborg Security

Cyborg Security, gelişmiş tehdit avcılığı çözümlerinin lider sağlayıcısıdır ve kuruluşların siber tehditleri proaktif olarak tespit edip yanıtlamaları için son teknoloji ve işbirliğine dayalı araçlarla güçlendirme misyonuna sahiptir. Cyborg Security'nin en önemli teklifi olan HUNTER Platformu, etkili tehdit avcılığı operasyonları için dinamik bir ekosistem oluşturmak için güçlü analizler, seçilmiş tehdit avcılığı içeriği ve kapsamlı av yönetimi özelliklerini bir araya getirir.

Cyborg Güvenliği Topluluğu'na erişim elde etmek için adımları izleyin ve HUNTER Platformu'nda 'Araçta Aç' özelliklerini ayarlayın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityEvent	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Not: Azure Belirsiz Kimliğinizi bulmak için aşağıdaki bağlantıyı kullanın Azure Active Directory kiracı kimliğinizi bulma

• ResourceGroupName & WorkspaceName: <yükleme zamanında sağlanan değişken değeri>
• WorkspaceID: <Yükleme zamanında sağlanan değişken değeri>

1. Cyborg Security'nin HUNTER Topluluk Hesabına kaydolun

Cyborg Security, Community Memebers'a Yeni Ortaya Çıkan Tehdit Koleksiyonları ve av paketlerinin bir alt kümesine erişim sunar.

Cyborg Security'nin Av Paketlerine Erişmek için Ücretsiz Bir Commuinity Hesabı Oluşturun: Hemen Kaydolun!

2. Araçta Aç Özelliğini Yapılandırma

1. HUNTER Platformunun Ortam bölümüne gidin.

2. Microsoft Sentinel etiketli bölümde ortamınızın te Kök URI'sini doldurun. Kalın yazı tipindeki <öğeleri> Aboneliğinizin, Kaynak Gruplarınızın ve Çalışma Alanlarınızın Kimlikleri ve Adları ile değiştirin.

   https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/

3. Kaydet'e tıklayın.

3. Microsoft Sentinel'de BIR HUNTER av pacakge yürütme

Microsoft Sentinel hızlı bir şekilde açmak ve avcılık içeriğini hazırlamak için Bir Cyborg Güvenlik AVCıSı av paketini belirleyin ve Aracı Aç düğmesini kullanın.

---

Cyera DSPM Microsoft Sentinel Veri Bağlayıcısı

Tarafından desteklenir:Cyera Inc

Cyera DSPM veri bağlayıcısı Cyera'nın DSPM kiracısına bağlanmanızı ve Sınıflandırmaları, Varlıkları, Sorunları ve Kimlik Kaynaklarını/Tanımlarını Microsoft Sentinel almanızı sağlar. Veri bağlayıcısı Microsoft Sentinel Codeless Connector Framework'te oluşturulmuş ve Cyera'nın API'sini kullanarak Cyera'nın DSPM Telemetrisini bir kez aldıktan sonra getirmek için özel sütunlar oluşturan güvenlik olaylarıyla ilişkilendirilebilir, böylece sorguların yeniden ayrıştırması gerekmez ve böylece daha iyi performans elde edilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyeraClassifications_CL	Hayır	Hayır
CyeraAssets_CL	Hayır	Hayır
CyeraAssets_MS_CL	Hayır	Hayır
CyeraIssues_CL	Hayır	Hayır
CyeraIdentities_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Cyera DSPM Kimlik Doğrulaması

Kişisel Erişim Belirteçleri aracılığıyla Cyera DSPM kiracınıza bağlanma

• Cyera Kişisel Erişim Belirteci İstemci Kimliği: (client_id)
• Cyera Kişisel Erişim Belirteci Gizli Anahtarı: (secret_key)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

CYFIRMA Saldırı Yüzeyi

Tarafından desteklenir:CYFIRMA

Yok

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyfirmaASCertificatesAlerts_CL	Evet	Evet
CyfirmaASConfigurationAlerts_CL	Evet	Evet
CyfirmaASDomainIPReputationAlerts_CL	Evet	Evet
CyfirmaASOpenPortsAlerts_CL	Evet	Evet
CyfirmaASCloudWeaknessAlerts_CL	Evet	Evet
CyfirmaASDomainIPVulnerabilityAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

CYFIRMA Saldırı Yüzeyi

Uyarıları Microsoft Sentinel almak için CYFIRMA Saldırı Yüzeyi'ne bağlanın. Bu bağlayıcı günlükleri almak için DeCYFIR/DeTCT API'sini kullanır ve DCR tabanlı alım süresi dönüştürmelerini destekler ve veri alımı sırasında güvenlik verilerini özel tablolara ayrıştırmaktadır. Bu, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak performansı ve verimliliği artırır.

• CYFIRMA API URL'si: (https://decyfir.cyfirma.com)
• CYFIRMA API Anahtarı: (CYFIRMA API Anahtarı)
• API Delta: (API Delta)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

CYFIRMA Marka Zekası

Tarafından desteklenir:CYFIRMA

Yok

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyfirmaBIDomainITAssetAlerts_CL	Evet	Evet
CyfirmaBIExecutivePeopleAlerts_CL	Evet	Evet
CyfirmaBIProductSolutionAlerts_CL	Evet	Evet
CyfirmaBISocialHandlersAlerts_CL	Evet	Evet
CyfirmaBIMaliciousMobileAppsAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

CYFIRMA Marka Zekası

Uyarı verilerini Microsoft Sentinel almak için CYFIRMA Marka Zekasına bağlanın. Bu bağlayıcı günlükleri almak için DeCYFIR/DeTCT Uyarıları API'sini kullanır ve DCR tabanlı alım süresi dönüştürmelerini destekler ve veri alımı sırasında güvenlik verilerini özel tablolara ayırır. Bu, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak performansı ve verimliliği artırır.

• CYFIRMA API URL'si: (https://decyfir.cyfirma.com)
• CYFIRMA API Anahtarı: (CYFIRMA API Anahtarı)
• API Delta: (API Delta)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

CYFIRMA Güvenliği Aşılmış Hesaplar

Tarafından desteklenir:CYFIRMA

CYFIRMA Güvenliği Aşılmış Hesaplar veri bağlayıcısı, DeCYFIR/DeTCT API'sinden Microsoft Sentinel'a sorunsuz günlük alımı sağlar. Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni kullanarak günlükleri almak için DeCYFIR/DeTCT API'sini kullanır. Buna ek olarak, veri alımı sırasında güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alım süresi dönüştürmelerini destekler. Bu, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak performansı ve verimliliği artırır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyfirmaCompromisedAccounts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

CYFIRMA Güvenliği Aşılmış Hesaplar

CYFIRMA Güvenliği Aşılmış Hesaplar Veri Bağlayıcısı, DeCYFIR/DeTCT API'sinden Microsoft Sentinel sorunsuz günlük alımı sağlar. Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni kullanarak günlükleri almak için DeCYFIR/DeTCT API'sini kullanır. Buna ek olarak, veri alımı sırasında güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alım süresi dönüştürmelerini destekler. Bu, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak performansı ve verimliliği artırır.

• CYFIRMA API URL'si: (https://decyfir.cyfirma.com)
• CYFIRMA API Anahtarı: (CYFIRMA API Anahtarı)
• API Delta: (API Delta)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

CYFIRMA Siber Zeka

Tarafından desteklenir:CYFIRMA

CYFIRMA Siber Zeka veri bağlayıcısı, DeCYFIR API'sinden Microsoft Sentinel sorunsuz günlük alımı sağlar. Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni kullanarak günlükleri almak için DeCYFIR Uyarıları API'sini kullanır. Buna ek olarak, veri alımı sırasında güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alım süresi dönüştürmelerini destekler. Bu, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak performansı ve verimliliği artırır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyfirmaIndicators_CL	Evet	Evet
CyfirmaThreatActors_CL	Evet	Evet
CyfirmaCampaigns_CL	Evet	Evet
CyfirmaMalware_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

CYFIRMA Siber Zeka

Bu bağlayıcı CYFIRMA Siber Zeka'dan Göstergeler, Tehdit aktörleri, Kötü Amaçlı Yazılım ve Kampanyalar günlüklerini sağlar. Bağlayıcı, günlükleri almak için DeCYFIR API'sini kullanır ve DCR tabanlı alım süresi dönüştürmelerini destekler ve veri alımı sırasında güvenlik verilerini özel bir tabloya ayrıştırmaktadır. Bu, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak performansı ve verimliliği artırır.

• CYFIRMA API URL'si: (https://decyfir.cyfirma.com)
• CYFIRMA API Anahtarı: (CYFIRMA API Anahtarı)
• Tüm IoC'leri veya Uyarlanmış IoC'leri çekin: (Tüm IoC'ler veya Uyarlanmış IoC'ler)
• API Delta: (API Delta)
• Önerilen Eylemler: (Önerilen Eylem herhangi biri olabilir:Tümü/İzleyici/Blok)
• İlişkili Tehdit Aktörü: (IoC'lerle İlişkili Herhangi Bir Tehdit Aktörü var mı)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

CYFIRMA Dijital Risk

Tarafından desteklenir:CYFIRMA

CYFIRMA Dijital Risk Uyarıları veri bağlayıcısı, DeCYFIR/DeTCT API'sinden Microsoft Sentinel sorunsuz günlük alımı sağlar. Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni kullanarak günlükleri almak için DeCYFIR Uyarıları API'sini kullanır. Buna ek olarak, veri alımı sırasında güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alım süresi dönüştürmelerini destekler. Bu, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak performansı ve verimliliği artırır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyfirmaDBWMPhishingAlerts_CL	Evet	Evet
CyfirmaDBWMRansomwareAlerts_CL	Evet	Evet
CyfirmaDBWMDarkWebAlerts_CL	Evet	Evet
CyfirmaSPESourceCodeAlerts_CL	Evet	Evet
CyfirmaSPEConfidentialFilesAlerts_CL	Evet	Evet
CyfirmaSPEPIIAndCIIAlerts_CL	Evet	Evet
CyfirmaSPESocialThreatAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

CYFIRMA Dijital Risk

Günlükleri Microsoft Sentinel almak için CYFIRMA Dijital Risk Uyarılarına bağlanın. Bu bağlayıcı uyarıları almak için DeCYFIR/DeTCT API'sini kullanır ve etkin günlük ayrıştırma için DCR tabanlı alım süresi dönüşümlerini destekler.

• CYFIRMA API URL'si: (https://decyfir.cyfirma.com)
• CYFIRMA API Anahtarı: (CYFIRMA API Anahtarı)
• API Delta: (API Delta)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

CYFIRMA Güvenlik Açıkları Zekası

Tarafından desteklenir:CYFIRMA

CYFIRMA Güvenlik Açıkları Yönetim Bilgileri veri bağlayıcısı, DeCYFIR API'sinden Microsoft Sentinel sorunsuz günlük alımına olanak tanır. Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni kullanarak günlükleri almak için CYFIRMA API'lerinden yararlanır. Buna ek olarak, veri alımı sırasında güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alım süresi dönüştürmelerini destekler. Bu, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak performansı ve verimliliği artırır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyfirmaVulnerabilities_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

CYFIRMA Güvenlik Açıkları Zekası

Bu bağlayıcı, CYFIRMA Güvenlik Açıkları Zekasından Güvenlik Açıkları günlüklerini sağlar. Bağlayıcı, günlükleri almak için DeCYFIR API'sini kullanır ve DCR tabanlı alım süresi dönüştürmelerini destekler ve veri alımı sırasında güvenlik verilerini özel bir tabloya ayrıştırmaktadır. Bu, sorgu zamanı ayrıştırma gereksinimini ortadan kaldırarak performansı ve verimliliği artırır.

• CYFIRMA API URL'si: (https://decyfir.cyfirma.com)
• CYFIRMA API Anahtarı: (CYFIRMA API Anahtarı)
• API Delta: (API Delta)
• Satıcıyla İlişkili Güvenlik Açıkları:
• Ürünle İlgili Güvenlik Açıkları:
• Version-Associated Güvenlik Açıkları Olan Ürün:
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Cynerio Güvenlik Olayları

Tarafından desteklenir:Cynerio

Cynerio bağlayıcısı, IDS Olaylarını görüntülemek için Cynerio Güvenlik Olaylarınızı Microsoft Sentinel ile kolayca bağlamanızı sağlar. Bu, kuruluşunuzun ağ güvenliği duruşu hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CynerioEvent_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Cynerio'yu yapılandırma ve bağlama

Cynerio, olayları Azure Server aracılığıyla doğrudan Microsoft Sentinel ile tümleştirebilir ve dışarı aktarabilir. Tümleştirmeyi oluşturmak için şu adımları izleyin:

1. Cynerio konsolunda Ayarlar > Tümleştirmeler sekmesine (varsayılan) gidin ve sağ üstteki +Tümleştirme Ekle düğmesine tıklayın.

2. Ekranı aşağı kaydırarak SIEM bölümüne gelin.

3. Microsoft Sentinel kartında Bağlan düğmesine tıklayın.

4. Tümleştirme Ayrıntıları penceresi açılır. Formu doldurmak ve bağlantıyı ayarlamak için aşağıdaki parametreleri kullanın.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Cyren Tehdit Analizi

Tarafından desteklenir:Data443 Risk Azaltma, Inc.

Common Connector Framework (CCF) kullanarak Cyren'den IP itibarını ve kötü amaçlı yazılım URL göstergelerini alın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Cyren_Indicators_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Cyren JWT Belirteçleri: Azure Key Vault depolanan veya dağıtım zamanında sağlanan JWT belirteçleri.

Kurulum Yönergeleri:

Cyren Threat Intelligence'ı bağlama

Cyren Threat Intelligence bağlayıcısını etkinleştirmek için aşağıdaki JWT belirteçlerinizi sağlayın ve Bağlan'a tıklayın.

Not: Aboneliğinize bağlı olarak akışı veya ikisini birden kullanabilirsiniz. Satın almadığınız herhangi bir akış için belirteç alanını boş bırakın; yalnızca sağlanan belirteçler için bağlayıcılar dağıtılır.

Gelişmiş güvenlik için JWT belirteçlerini depolamak ve almak için Key Vault tümleştirmesini etkinleştirebilirsiniz.

• IP Saygınlığı JWT Belirteci (İsteğe Bağlı): (Satın alınmadıysa boş bırakın)
• Kötü Amaçlı Yazılım URL'si JWT Belirteci (İsteğe Bağlı): (Satın alınmadıysa boş bırakın)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

D3 Akıllı SOAR Olayları

Tarafından desteklenir:D3 Güvenlik

D3 Akıllı SOAR veri bağlayıcısı, D3 kodsuz REST API komut uç noktasını kullanarak olayları D3 Akıllı SOAR'dan Microsoft Sentinel çeker.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
D3SOARIncidents_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

D3 Akıllı SOAR'ı Microsoft Sentinel'a bağlama

Ön koşul: D3 Akıllı SOAR'da Kuruluş Yönetimi → Siteleri'ne gidin, bağlandığınız siteyi seçin ve Saat Dilimini (UTC+00:00) Eşgüdümlü Evrensel Saat olarak ayarlayın. Bu, olay zaman damgalarının Microsoft Sentinel doğru şekilde hizalanmasını sağlar.

D3 Smart SOAR bağlantı ayrıntılarınızı aşağıya girin. Olaylar 5 dakikada bir yoklanır ve D3SOARIncidents_CL tablosuna yazılır. Sunucu URL'si — Site yoluna kadar ve dahil olmak üzere D3 Akıllı SOAR dağıtımınızın temel URL'si. API yolunu eklemeyin. Kullanıcı adı — D3 Akıllı SOAR hesabınızın kullanıcı adı (portal oturum açma bilgilerinizle aynı). Site — Hesabınızın ait olduğu D3 Akıllı SOAR site adı (ör. Security Operations). D3 JWT — API kimlik doğrulaması için D3 Akıllı SOAR tarafından verilen bir JSON Web Belirteci.

• Sunucu URL'si: (https://poc.bemimo.com/ce_site/VSOC)
• Kullanıcı adı: (yönetici)
• Site: (Güvenlik İşlemleri)
• D3 JWT: (ey...)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Microsoft Sentinel REST API için Darktrace Bağlayıcısı

Tarafından desteklenir:Darktrace

Darktrace REST API bağlayıcısı, Darktrace'ten Microsoft Sentinel'a gerçek zamanlı olayları iletir ve Sentinel için Darktrace Çözümü ile kullanılacak şekilde tasarlanmıştır. Bağlayıcı günlükleri "darktrace_model_alerts_CL" başlıklı özel bir günlük tablosuna yazar; Model İhlalleri, Yapay Zeka Analisti Olayları, Sistem Uyarıları ve Email Uyarıları alınabiliyor; Darktrace Sistem Yapılandırması sayfasında ek filtreler ayarlanabilir. Veriler, Darktrace ana makinelerinden Sentinel gönderiliyor.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
darktrace_model_alerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Darktrace Önkoşulları: Bu Veri Bağlayıcısı'nı kullanmak için v5.2+ çalıştıran bir Darktrace ana şablonu gereklidir. Veriler, Darktrace ana şablonlarından HTTP'ler üzerinden Azure İzleyici HTTP Veri Toplayıcı API'sine gönderilir, bu nedenle Darktrace ana şablonundan Microsoft Sentinel REST API'sine giden bağlantı gereklidir.
• Darktrace Verilerini Filtreleme: Yapılandırma sırasında, gönderilen veri miktarını veya türlerini kısıtlamak için Darktrace Sistem Yapılandırması sayfasında ek filtreleme ayarlamak mümkündür.
• Darktrace Sentinel Çözümünü deneyin: Microsoft Sentinel için Darktrace Çözümünü yükleyerek bu bağlayıcıdan en iyi şekilde yararlanın. Bu, Darktrace Model İhlalleri ve Yapay Zeka Analisti olaylarından otomatik olarak uyarılar ve olaylar oluşturmak için uyarı verilerini ve analiz kurallarını görselleştirmeye yönelik çalışma kitapları sağlar.

Kurulum Yönergeleri:

1. Ayrıntılı kurulum yönergelerini Darktrace Müşteri Portalı'nda bulabilirsiniz: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
2. Çalışma Alanı Kimliğini ve Birincil anahtarı not edin. Bu ayrıntıları Darktrace Sistem Yapılandırması sayfanıza girmeniz gerekir.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Darktrace Yapılandırması

1. Darktrace Sistem Yapılandırması sayfasında aşağıdaki adımları gerçekleştirin:
2. Sistem Yapılandırma Sayfası'na gidin (Ana Menü > Yönetici > Sistem Yapılandırması)
3. Modüller yapılandırmasına gidin ve "Microsoft Sentinel" yapılandırma kartına tıklayın
4. "HTTPS (JSON)" öğesini seçin ve "Yeni" tuşuna tıklayın
5. Gerekli ayrıntıları doldurun ve uygun filtreleri seçin
6. Kimlik doğrulamayı deneyip test uyarısı göndermek için "Uyarı Ayarlarını Doğrula" seçeneğine tıklayın
7. Test uyarısının alındığını doğrulamak için "Test Uyarılarını Ara" örnek sorgusunu çalıştırın

---

DataBahn

Tarafından desteklenir:Databahn

DataBahn bağlayıcısı, Codeless Connector Framework (CCF) Anında İletme desenini kullanarak DataBahn ortamınızdan gerçek zamanlı platform telemetrisini doğrudan Microsoft Sentinel gönderme özelliği sağlar. Bu bağlayıcı denetim günlüklerini, işletimsel uyarıları ve cihaz envanterlerini analiz, uyarı ve görselleştirme için özel Log Analytics tablolarına alır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
databahn_audit_logs_CL	Hayır	Hayır
databahn_alerts_CL	Hayır	Hayır
databahn_device_inventory_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı DataBahn platformunuzun denetim günlüklerini, uyarılarını ve cihaz envanterini Azure İzleme Alımı API'sini kullanarak doğrudan Microsoft Sentinel göndermesini sağlar.

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablolarının ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Verilerinizi YapılandırmaBahn Platformu

DataBahn Highway hedefinizi çalışma alanına veri göndermek üzere yapılandırmak için aşağıdaki parametreleri kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Denetim Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Uyarılar Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Cihaz Envanteri Stream Adı: <yükleme zamanında sağlanan değişken değeri>

---

Datalake2Sentinel

Tarafından desteklenir:Orange Cyberdefense

Bu çözüm, Codeless Connector Framework kullanılarak oluşturulan Datalake2Sentinel bağlayıcısını yükler ve Datalake Orange Cyberdefense'in CTI platformundaki tehdit bilgileri göstergelerini Karşıya Yükleme Göstergeleri REST API'si aracılığıyla otomatik olarak Microsoft Sentinel almanızı sağlar. Çözümü yükledikten sonra Çözüm yönetme görünümündeki yönergeleri izleyerek bu veri bağlayıcısını yapılandırın ve etkinleştirin.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Yükleme ve kurulum yönergeleri

Datalake'i Microsoft Sentinel bağlayıcısına yüklemek ve yapılandırmak için bu Github deposundaki belgeleri kullanın.

https://github.com/cert-orangecyberdefense/datalake2sentinel

---

Dataminr Pulse Uyarıları Veri Bağlayıcısı (Azure İşlevleri kullanarak)

Tarafından desteklenir:Dataminr Desteği

Dataminr Pulse Uyarıları Veri Bağlayıcısı, daha hızlı tehdit algılama ve yanıt için yapay zeka destekli gerçek zamanlı zekamızı Microsoft Sentinel getirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DataminrPulse_Alerts_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Azure Abonelik: Azure Bir uygulamayı Microsoft Entra ID kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Gerekli Dataminr Kimlik Bilgileri/izinleri:

a. Kullanıcıların bu veri bağlayıcısını kullanabilmesi için geçerli bir Dataminr Pulse API istemci kimliğine ve gizli dizisine sahip olması gerekir.

b. Dataminr Pulse web sitesinde bir veya daha fazla Dataminr Pulse İzleme Listesi yapılandırılmalıdır.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, dataminr RTAP aracılığıyla günlüklerin gönderildiği DataminrPulse'a bağlanmak için Azure İşlevleri kullanır ve günlükleri Microsoft Sentinel alır. Ayrıca bağlayıcı, özel günlükler tablosundan alınan verileri getirir ve Tehdit Bilgileri Göstergelerini Microsoft Sentinel Tehdit Bilgileri'ne oluşturur. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1- Dataminr Pulse İstemci Kimliği ve İstemci Gizli Anahtarı kimlik bilgileri

• Dataminr Customer Success Manager'ınızdan (CSM) Dataminr Pulse kullanıcı kimliği/parolası ve API istemci kimliği/gizli anahtarı alın.

ADIM 2- Dataminr Pulse portalında İzleme Listelerini yapılandırın.

Portalda izleme listelerini yapılandırmak için bu bölümdeki adımları izleyin:

1. Dataminr Pulse web sitesindeoturum açın.

2. Ayarlar dişli simgesine tıklayın ve Listeleri Yönet'i seçin.

3. Oluşturmak istediğiniz İzleme Listesi türünü (Siber, Konu, Şirket vb.) seçin ve Yeni Liste düğmesine tıklayın.

4. Yeni İzleme Listeniz için bir ad sağlayın ve bunun için bir vurgu rengi seçin veya varsayılan rengi koruyun.

5. İzleme Listesini yapılandırmayı bitirdiğinizde kaydetmek için Kaydet'e tıklayın.

ADIM 3 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. DataminrPulse Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak istemci kimliği ve Kiracı Kimliği gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

4. ADIM - Microsoft Entra ID'da uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak da adlandırılan istemci gizli dizisi, DataminrPulse Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, DataminrPulse Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ADIM 5 - Microsoft Entra ID'de uygulamaya Katkıda Bulunan rolü atama

Rolü atamak için bu bölümdeki adımları izleyin:

1. Azure portal Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
2. Sol panelden Erişim denetimine (IAM) gidin.
3. Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
4. Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
5. Erişim ata bölümünde öğesini seçinUser, group, or service principal.
6. Üye ekle'ye tıklayın ve oluşturduğunuz uygulama adınızı yazın ve seçin.
7. Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.

Başvuru bağlantısı:/azure/role-based-access-control/role-assignments-portal

ADIM 6 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Dataminr Pulse Microsoft Sentinel veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nı (aşağıdakilerden kopyalanabilir) hazır olarak kullanabilirsiniz.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

DataminrPulse bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin: İşlev Adı Çalışma Alanı Kimliği Çalışma Alanı Anahtarı UyarılarıTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Dataminr Pulse Microsoft Sentinel veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1) İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, DmPulseXXXXXX).

   e. Çalışma zamanı seçin: Python 3.8 veya üzerini seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

2) İşlev Uygulamasını Yapılandırma

1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
3. Aşağıdaki uygulama ayarlarının her birini ilgili değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: İşlev Adı Çalışma Alanı Kimliği Çalışma Alanı Anahtarı UyarılarıTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

ADIM 7 - Dağıtım Sonrası adımları

1) İşlev uygulaması uç noktasını alma

1. Azure işlevine Genel Bakış sayfasına gidin ve sol dikey pencerede "İşlevler" seçeneğine tıklayın.
2. "DataminrPulseAlertsHttpStarter" adlı işleve tıklayın.
3. "GetFunctionurl" bölümüne gidin ve işlev url'sini kopyalayın.
4. Kopyalanan işlev URL'sindeki {functionname} öğesini "DataminrPulseAlertsSentinelOrchestrator" ile değiştirin.

2) İşlev URL'sini kullanarak Dataminr RTAP'ye tümleştirme ayarları eklemek için

1. Postman gibi herhangi bir API istek aracını açın.
2. Yeni bir istek oluşturmak için '+' öğesine tıklayın.
3. 'POST' olarak HTTP istek yöntemini seçin.
4. İstek URL'si bölümüne 1. noktada ön ödeme url'sini girin.
5. Gövde'de ham JSON'ı seçin ve istek gövdesini aşağıdaki gibi sağlayın (büyük/küçük harfe duyarlı): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
6. Tüm gerekli ayrıntıları sağladıktan sonra Gönder'e tıklayın.
7. HTTP yanıtında durum kodu 200 olan bir tümleştirme ayarı kimliği alırsınız.
8. İleride başvurmak için Tümleştirme Kimliğini kaydedin.

Artık Dataminr RTAP için tümleştirme ayarları ekleme işlemi tamamlandı. Dataminr RTAP bir uyarı verisi gönderdikten sonra İşlev uygulaması tetikler ve Dataminr Pulse'tan LogAnalytics çalışma alanı tablosundaki "DataminrPulse_Alerts_CL" adlı Uyarılar verilerini görebilmeniz gerekir.

---

Datawiza DAP

Tarafından desteklenir:Datawiza Technology Inc.

Datawiza DAP günlüklerini REST API arabirimi aracılığıyla Azure Log Analytics'e bağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
datawizaserveraccess_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

1. Adım: Ayrıntılı belgeleri okuyun

Yükleme işlemi, tümleştirme Microsoft Sentinel belge sitesinde ayrıntılı olarak belgelenmiştir. Kullanıcı, tümleştirmenin yüklenmesini ve hatalarını ayıklamayı anlamak için desteğimize (support@datawiza.com) daha fazla başvurmalıdır.

2. Adım: Datawiza Sentinel Bağlayıcısı'nı yükleme

Sonraki adım, günlükleri Microsoft Sentinel göndermek için Datawiza günlük ileticisini yüklemektir. Tam yükleme ortamınıza bağlıdır, tüm ayrıntılar için Microsoft Sentinel tümleştirmesine başvurun.

3. Adım: Veri alımını test edin

Yaklaşık 20 dakika sonra Microsoft Sentinel yüklemenizde Log Analytics çalışma alanına erişin ve Özel Günlükler bölümünü bulun ve bir datawizaserveraccess_CL tablosunun var olduğunu doğrulayın. Verileri incelemek için örnek sorguları kullanın.

---

Derdack SIGNL4

Tarafından desteklenir:Derdack

Kritik sistemler başarısız olduğunda veya güvenlik olayları gerçekleştiğinde, SIGNL4 'son kilometreyi' personelinize, mühendislerinize, BT yöneticilerinize ve sahadaki çalışanlarınıza köprüler. Hizmetlerinize, sistemlerinize ve süreçlerinize kısa sürede gerçek zamanlı mobil uyarı ekler. SIGNL4, onay, izleme ve yükseltme ile kalıcı mobil gönderim, SMS metin ve sesli aramalar aracılığıyla bildirimde bulunur. Tümleşik görev ve vardiya zamanlama, doğru kişilerin doğru zamanda uyarılmasını sağlar.

Daha fazla bilgi edinin >

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityIncident	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

NOT: Bu veri bağlayıcısı çoğunlukla SIGNL4 tarafında yapılandırılır. Açıklama videosunu burada bulabilirsiniz: SIGNL4'i Microsoft Sentinel ile tümleştirme.

SIGNL4 Bağlayıcısı: Microsoft Sentinel, Azure Güvenlik Merkezi ve diğer Azure Graph Güvenlik API'si sağlayıcıları için SIGNL4 bağlayıcısı, Azure Güvenlik çözümlerinizle sorunsuz 2 yönlü tümleştirme sağlar. SIGNL4 ekibinize eklendikten sonra bağlayıcı, Azure Graph Güvenlik API'si güvenlik uyarılarını okur ve tam olarak otomatik olarak görevdeki ekip üyelerinize uyarı bildirimleri tetikler. Ayrıca uyarı durumunu SIGNL4'ten Graph Güvenlik API'si ile eşitler; böylece uyarılar kabul edilir veya kapatılırsa, bu durum Azure Graph Güvenlik API'si uyarıda veya ilgili güvenlik sağlayıcısında da güncelleştirilir. Belirtildiği gibi bağlayıcı, temel olarak Azure Graph Güvenlik API'si kullanır, ancak Microsoft Sentinel gibi bazı güvenlik sağlayıcıları için Azure çözümlerine göre ayrılmış REST API'leri de kullanır.

Microsoft Sentinel Özellikleri

Microsoft Sentinel, Microsoft'un buluta özel bir SIEM çözümü ve Azure Graph Güvenlik API'si'de bir güvenlik uyarısı sağlayıcısıdır. Ancak, Graph Güvenlik API'si ile sağlanan uyarı ayrıntıları düzeyi Microsoft Sentinel için sınırlıdır. Bu nedenle bağlayıcı, temel Microsoft Sentinel Log Analytics çalışma alanından daha fazla ayrıntı (içgörü kuralı arama sonuçları) ile uyarıları genişletebilir. Bunu yapabilmek için bağlayıcı Azure Log Analytics REST API'si ile iletişim kurar ve izinlere göre ihtiyaç duyar (aşağıya bakın). Ayrıca uygulama, tüm ilgili güvenlik uyarıları devam ederken veya çözümlendiğinde Microsoft Sentinel olaylarının durumunu da güncelleştirebilir. Bunu yapabilmek için bağlayıcının Azure Aboneliğinizdeki 'Microsoft Sentinel Katkıda Bulunanlar' grubunun üyesi olması gerekir. Azure'de otomatik dağıtım Önceden oluşturulmuş API'lere erişmek için gereken kimlik bilgileri, aşağıda indirebileceğiniz küçük bir PowerShell betiği tarafından oluşturulur. Betik sizin için aşağıdaki görevleri gerçekleştirir:

• Azure Aboneliğinizde oturum açar (lütfen bir yönetici hesabıyla oturum açın)
• Azure AD bu bağlayıcı için hizmet sorumlusu olarak da adlandırılan yeni bir kurumsal uygulama oluşturur
• Azure IAM'nizde yalnızca Log Analytics çalışma alanlarını Azure okuma/sorgu izni veren yeni bir rol oluşturur.
• Kurumsal uygulamayı bu kullanıcı rolüne dahil eder
• Kurumsal uygulamayı 'Microsoft Sentinel Katkıda Bulunanlar' rolüne katılır
• Uygulamayı yapılandırmak için ihtiyacınız olan bazı verileri döndürür (aşağıya bakın)

Dağıtım yordamı

1. PowerShell dağıtım betiğini buradan indirin.
2. Yeni uygulama kaydı için betiği ve dağıttığı rolleri ve izin kapsamlarını gözden geçirin. Bağlayıcıyı Microsoft Sentinel ile kullanmak istemiyorsanız, tüm rol oluşturma ve rol atama kodunu kaldırabilir ve bunu yalnızca Azure Active Directory'nizde uygulama kaydını (SPN) oluşturmak için kullanabilirsiniz.
3. Betiği çalıştırın. Sonunda, bağlayıcı uygulaması yapılandırmasına girmeniz gereken bilgileri döndürür.
4. Azure AD 'Uygulama Kayıtları' seçeneğine tıklayın. 'SIGNL4AzureSecurity' adlı uygulamayı bulun ve ayrıntılarını açın
5. Sol menü dikey penceresinde 'API İzinleri'ne tıklayın. Ardından 'İzin ekle'ye tıklayın.
6. Yüklenen dikey pencerede, 'Microsoft API'leri' altında 'Microsoft Graph' kutucuğuna ve ardından 'Uygulama izni'ne tıklayın.
7. Görüntülenen tabloda 'SecurityEvents' öğesini genişletin ve 'SecurityEvents.Read.All' ve 'SecurityEvents.ReadWrite.All' değerlerini işaretleyin.
8. 'İzin ekle'ye tıklayın.

SIGNL4 bağlayıcı uygulamasını yapılandırma

Son olarak, betiğin bağlayıcı yapılandırmasında çıkış yaptığı kimlikleri girin:

• kiracı kimliğini Azure
• Azure Abonelik Kimliği
• İstemci Kimliği (kurumsal uygulamanın)
• İstemci Gizli Anahtarı (kurumsal uygulamanın) Uygulaması etkinleştirildikten sonra Azure Graph Güvenlik API'si uyarılarınızı okumaya başlar.

NOT: Başlangıçta yalnızca son 24 saat içinde gerçekleşen uyarıları okur.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>

---

Dijital Gölgeler Arama Işığı (Azure İşlevleri kullanarak)

Tarafından desteklenir:Dijital Gölgeler

Dijital Gölgeler veri bağlayıcısı, rest API kullanarak olayların ve uyarıların Dijital Gölgeler Arama Işığından Microsoft Sentinel alımını sağlar. Bağlayıcı, olası güvenlik risklerini ve tehditlerini incelemeye, tanılamaya ve analiz etmeye yardımcı olacak olay ve uyarı bilgilerini sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DigitalShadows_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Dijital Gölgeler hesabı kimliği, gizli dizi ve anahtar gereklidir. üzerinde API hakkında daha fazla bilgi edinmek için belgelere https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionbakın.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere 'Dijital Gölgeler Arama Işığı'na bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - 'Dijital Gölgeler Arama Işığı' API'sinin yapılandırma adımları

Sağlayıcı, Azure İşlevinin başarıyla kimlik doğrulaması yapması, yetkilendirme anahtarını veya belirtecini alması ve gerecin günlüklerini Microsoft Sentinel çekmesi için 'Dijital Gölgeler Arama Işığı' API uç noktasını yapılandırmak için ayrıntılı adımları sağlamalı veya bağlantı vermelidir.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: 'Digital Shadows Searchlight' bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve 'Dijital Gölgeler Arama Işığı' API yetkilendirme anahtarlarına veya Belirteç'e sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

'Digital Shadows Searchlight' bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, API Kullanıcı Adı, API Parolası, 've/veya Diğer gerekli alanlar' girin.

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

'Digital Shadows Searchlight' bağlayıcısını Azure İşlevleri ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Oluşturma

1. Azure portalı'ndan İşlev Uygulaması'na gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde Çalışma zamanı yığınının python 3.8 olarak ayarlandığından emin olun.
4. Barındırma sekmesinde Plan türünün 'Tüketim (Sunucusuz)' olarak ayarlandığından emin olun. 5.Depolama hesabını seçin
5. 'Diğer gerekli yapılandırmaları ekle'.
6. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

2. İşlev Uygulama Kodunu İçeri Aktarma (Zip dağıtımı)

1. Azure CLI'yi yükleme
2. Terminal türünden az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> yazın ve enter tuşuna basın. ResourceGroup Değeri olarak ayarlayın: kaynak grubu adınız. FunctionApp Değeri olarak ayarlayın: yeni oluşturduğunuz işlev uygulaması adı. Değeri olarak Zip File ayarlayın: digitalshadowsConnector.zip(zip dosyanızın yolu). Not:- Bağlantıdan zip dosyasını indirin - İşlev Uygulama Kodu

3. İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması ekranında İşlev Uygulaması adına tıklayın ve Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
3. Aşağıdaki 'x (sayı)' uygulama ayarlarının her birini tek tek ekleyin, Ad altında, Değer: DigitalShadowsAccountID WorkspaceID WorkspaceId WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (isteğe bağlı) altında ilgili dize değerleriyle (büyük/küçük harfe duyarlı) değeri ayarlayınDigitalShadowsURL: Değeri ayarlayınHighVariabilityClassifications: https://api.searchlight.app/v1exposed-credential,marked-documentClassificationFilterOperation değeri: exclude işlev uygulamasını hariç tutmak veya include işlev uygulamasını dahil etmek için

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Azure Key Vault başvuru belgelerine bakın.

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://< CustomerId.ods.opinsights.azure.us>.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

DNS

Tarafından desteklenir:Microsoft Corporation

DNS günlük bağlayıcısı, araştırmayı geliştirmek için DNS analiz ve denetim günlüklerinizi Microsoft Sentinel ve diğer ilgili verilere kolayca bağlamanızı sağlar.

DNS günlük toplamayı etkinleştirdiğinizde:

• Kötü amaçlı etki alanı adlarını çözümlemeye çalışan istemcileri belirleyin.
• Eski kaynak kayıtlarını tanımlama.
• Sık sorgulanan etki alanı adlarını ve konuşkan DNS istemcilerini belirleyin.
• DNS sunucularında istek yükünü görüntüleyin.
• Dinamik DNS kayıt hatalarını görüntüleyin.

Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DnsEvents	Evet	Evet
DnsInventory	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Doppel Veri Bağlayıcısı

Tarafından desteklenir:Doppel

Veri bağlayıcısı, Doppel olayları ve uyarıları için Microsoft Sentinel üzerine kurulmuştur ve alınan güvenlik olayı verilerini özel sütunlar halinde ayrıştıran DCR tabanlı alım süresi dönüşümlerini destekler, böylece sorguların yeniden ayrıştırması gerekmez ve böylece daha iyi performans elde edilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DoppelTable_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı: Microsoft Entra ID, uygulamanızın kimliğini doğrulamak için bir İstemci Kimliği ve İstemci Gizli Anahtarı gerektirir. Ayrıca, Entra kayıtlı uygulamaya Bir Kaynak Grubu İzleme Ölçümleri Yayımcısı rolü atamak için Genel Yönetici/Sahip düzeyi erişimi gerekir.
• Çalışma Alanı Kimliği, DCE-URI, DCR-ID gerektirir: Yapılandırma için Log Analytics Çalışma Alanı Kimliği, DCE Günlükleri Alma URI'si ve DCR Sabit Kimliği almanız gerekir.

Kurulum Yönergeleri:

Doppel Web Kancasını Yapılandırma

Doppel ve Endpoint içindeki Web Kancasını Microsoft Sentinel'da veri gönderme izinleriyle yapılandırın.

Uygulamayı Microsoft Entra ID'a kaydetme

1. Microsoft Entra ID sayfasını açın:

   • Microsoft Entra ID kayıt sayfasını yeni bir sekmede açmak için sağlanan bağlantıya tıklayın.
   • Yönetici düzeyinde izinlere sahip bir hesapla oturum açtığınızdan emin olun.

2. Yeni Uygulama Oluştur:

   • Microsoft Entra ID portalında sol taraftaki sekmede bahsedilen Uygulama kayıtları seçin.
   • + Yeni kayıt'a tıklayın.
   • Aşağıdaki alanları doldurun:

• Ad: Uygulama için bir ad girin (örneğin, "Doppel Uygulaması").
• Desteklenen hesap türleri: Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin (Yalnızca Varsayılan Dizin - Tek kiracı).
• Yeniden yönlendirme URI'si: Aksi belirtilmedikçe bu değeri boş bırakın.
  • Uygulamayı oluşturmak için Kaydet'e tıklayın.

3. Uygulama ve Kiracı Kimliklerini Kopyalama:

   • Uygulama kaydedildikten sonra Genel Bakış sayfasında Uygulama (istemci) Kimliği ve Dizin (kiracı) Kimliği değerlerini not edin. Tümleştirme için bunlara ihtiyacınız olacaktır.

4. İstemci Gizli Anahtarı Oluşturma:

   • Sertifikalar & gizli dizileri bölümünde + Yeni istemci gizli dizisi'ne tıklayın.
   • Bir açıklama ekleyin (örneğin, 'Doppel Gizli Dizisi') ve bir süre sonu ayarlayın (örneğin, 1 yıl).
   • Ekle'ye tıklayın.
   • İstemci gizli anahtarı değerini hemen kopyalayın, aksi takdirde yeniden gösterilmez.

Uygulamaya "İzleme Ölçümleri Yayımcısı" Rolünü atama

1. Kaynak Grubunu Azure portalı'nda açın:

   • Uygulamanın veri göndermesini istediğiniz Log Analytics Çalışma Alanı ve Veri Toplama Kurallarını (DCR) içeren Kaynak Grubuna gidin.

2. Rolü Atayın:

   • Kaynak Grubu menüsünde, sol taraftaki sekmede belirtilen Erişim denetimine (IAM) tıklayın.
   • + Ekle'ye tıklayın ve Rol ataması ekle'yi seçin.
   • Rol açılan listesinde İzleme Ölçümleri Yayımcısı rolünü arayın ve seçin.
   • Erişim ata'nın altında kullanıcı, grup veya hizmet sorumlusu Azure AD seçin.
   • Seç alanında, kayıtlı uygulamanızı ada veya istemci kimliğine göre arayın.
   • Rolü uygulamaya atamak için Kaydet'e tıklayın.

ARM Şablonunu Dağıtma

1. Çalışma Alanı Kimliğini alın:

   • Rolü atadıktan sonra Çalışma Alanı Kimliğine ihtiyacınız olacaktır.
   • Kaynak Grubu'nda Log Analytics Çalışma Alanı'na gidin.
   • Genel Bakış bölümünde, Çalışma Alanı ayrıntıları'nın altındaki Çalışma Alanı Kimliği alanını bulun.
   • Çalışma Alanı Kimliğini kopyalayın ve sonraki adımlarda kullanışlı tutun.

2. Azure Dağıt Düğmesine tıklayın:

   • portal.azure.com.
   • Bu işlem, dağıtımı başlatmak için doğrudan Azure portal götürür.

3. Parametreleri Gözden Geçirme ve Özelleştirme:

   • Özel dağıtım sayfasında doğru aboneliğe ve kaynak grubuna dağıtım yaptığınızdan emin olun.
   • Çalışma alanı adı, çalışma alanı kimliği ve çalışma alanı konumu gibi parametreleri doldurun.

4. Kaynakları dağıtmak için Gözden Geçir + Oluştur'a ve ardından Oluştur'a tıklayın.

DCE, DCR ve Log Analytics Tablo Kurulumunu Doğrulama

1. Veri Toplama Uç Noktasını (DCE) denetleyin:

   • Dağıtıldıktan sonra Azure portal > Veri Toplama Uç Noktaları'na gidin.
   • DoppelDCE uç noktasının başarıyla oluşturulduğunu doğrulayın.
   • Web kancası URL'sini oluşturmak için buna ihtiyacınız olduğundan DCE Günlükleri Alma URI'sini kopyalayın.

2. Veri Toplama Kuralı (DCR) Kurulumunu Onaylayın:

   • Azure portalı > Veri Toplama Kuralları'na gidin.
   • DoppelDCR kuralının mevcut olduğundan emin olun.
   • Web kancası URL'si için gerek duyacağınız için Genel Bakış sayfasından DCR'nin Sabit Kimliğini kopyalayın.

3. Log Analytics Tablosunu Doğrulama:

   • Log Analytics Çalışma Alanınıza gidin (Microsoft Sentinel bağlı).
   • Tablolar bölümünde, DoppelTable_CL tablosunun başarıyla oluşturulduğunu ve veri almaya hazır olduğunu doğrulayın.

Doppel Uyarılarını Microsoft Sentinel ile Tümleştirme

1. Gerekli Bilgileri Toplayın:
   • Tümleştirme için gereken aşağıdaki ayrıntıları toplayın:

• Veri Toplama Uç Noktası Kimliği (DCE-ID)
• Veri Toplama Kuralı Kimliği (DCR-ID)
• Microsoft Entra Kimlik Bilgileri: Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı.

2. Doppel Desteği ile eşgüdümlü:

   • Toplanan DCE-ID, DCR-ID ve Microsoft Entra kimlik bilgilerini Doppel desteğiyle paylaşın.
   • Web kancası kurulumunu etkinleştirmek için Doppel kiracısında bu ayrıntıları yapılandırmak için yardım isteyin.

3. Doppel Tarafından Web Kancası Kurulumu:

   • Doppel, web kancasını yapılandırmak için sağlanan Kaynak Kimliklerini ve kimlik bilgilerini kullanır.
   • Bu web kancası, Uyarıların Doppel'den Microsoft Sentinel'a iletilmesine olanak sağlar.

4. Microsoft Sentinel Uyarı Teslimi'nin doğrulanması:

   • Doppel uyarılarının başarıyla Microsoft Sentinel iletildiğinden emin olun.
   • Microsoft Sentinel çalışma kitabının uyarı istatistikleriyle güncelleştirildiğini doğrulayın ve sorunsuz veri tümleştirmesi sağlayın.

---

Cloud Sitestore aracılığıyla Dragos Bildirimleri

Tarafından desteklenir:Dragos Inc

Dragos Platformu, rakipsiz endüstriyel siber güvenlik uzmanlığı tarafından oluşturulan kapsamlı bir Operasyonel Teknoloji (OT) siber tehdit algılaması sunan lider Endüstriyel Siber Güvenlik platformudur. Bu çözüm, güvenlik analistlerinin endüstriyel ortamlarında gerçekleşen olası siber güvenlik olaylarını önceliklendirebilmesi için Dragos Platformu bildirim verilerinin Microsoft Sentinel'de görüntülenmesini sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DragosAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Dragos Sitestore API erişimi: İzni olan notification:read bir Sitestore kullanıcı hesabı. Bu hesabın Sentinel için sağlanabilir bir API anahtarına da sahip olması gerekir.

Kurulum Yönergeleri:

Microsoft Sentinel Dragos Sitestore'nuza bağlanmasına izin vermek için lütfen aşağıdaki bilgileri sağlayın.

• Dragos Sitestore Ana Bilgisayar Adı: (dragossitestore.example.com)
• Dragos Sitestore API Anahtar Kimliği: (API anahtarı kimliğini girin.)
• Dragos Sitestore API Anahtar Gizli Anahtarı: (API anahtarı gizli dizisini girin)
• En Düşük Bildirim Önem Derecesi. Geçerli değerler 0-5 (dahil) değerleridir. En yüksek önem derecesinden küçük veya eşit olduğundan emin olun.: (En düşük önem derecesini girin (tüm bildirimler için 0 önerilir))
• En Yüksek Bildirim Önem Derecesi. Geçerli değerler 0-5 (dahil) değerleridir. En düşük önem derecesinden büyük veya eşit olduğundan emin olun.: (En yüksek önem derecesini girin (tüm bildirimler için 5 önerilir))
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Druva Olayları Bağlayıcısı

Tarafından desteklenir:Druva Inc

Druva API'lerinden Druva olaylarını alma özelliği sağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DruvaSecurityEvents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Druva API Erişimi: Druva API'sinde kimlik doğrulaması için bir istemci kimliği ve istemci gizli dizisi gerekir

Kurulum Yönergeleri:

Not: Druva Rest API'ye bağlanmak için yapılandırmalar

1. Adım: Druva konsolundan kimlik bilgileri oluşturma. Adımlar için bu belgeyi arayın:- https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials

2. Adım: Konak adını girin. Genel bulut için apis.druva.com

3. Adım: İstemci kimliğini ve istemci gizli anahtarı girin

Microsoft Sentinel günlükleri toplamaya başlamak için Druva API'sine bağlanma

Gerekli değerleri sağlayın:

• Ana bilgisayar adı: (Örnek: apis.druva.com)

---

Dynamics 365 Finance ve İşlemler

Tarafından desteklenir:Microsoft Corporation

Dynamics 365 for Finance and Operations, işletmelerin günlük operasyonlarını yönetmelerine yardımcı olmak için finansal ve operasyonel özellikleri birleştiren kapsamlı bir Kurumsal Kaynak Planlama (ERP) çözümüdür. İşletmelerin iş akışlarını kolaylaştırmasını, görevleri otomatikleştirmesini ve operasyonel performansla ilgili içgörüler elde etmelerini sağlayan bir dizi özellik sunar.

Dynamics 365 Finance ve İşlemler veri bağlayıcısı Dynamics 365 Finance ve İşlemler yönetici etkinlikleri ile denetim günlüklerinin yanı sıra kullanıcı iş süreci ve uygulama etkinlikleri günlüklerini Microsoft Sentinel alır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
FinanceOperationsActivity_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra uygulama kaydı: Dynamics 365 Finance ve İşlemlere erişmek için kullanılan uygulama istemci kimliği ve gizli dizi.

Kurulum Yönergeleri:

Finans ve İşlemler bağlantısı için Microsoft Entra uygulama kaydı (istemci kimliği ve gizli dizi) gerekir. Ayrıca Microsoft Entra kiracı kimliğine ve Finance Operations Organization URL'sine de ihtiyacınız olacaktır.

Veri toplamayı etkinleştirmek için Dynamics 365 Finance ve İşlemler'de Veritabanı Günlüğü varlığını görüntüleme izinlerine sahip bir rol oluşturun. Bu rolü, Microsoft Entra uygulama kaydının istemci kimliğine eşlenmiş ayrılmış bir Finans ve İşlemler kullanıcısına atayın. İşlemi tamamlamak için şu adımları izleyin:

1. Adım - Uygulama kaydını Microsoft Entra

1. Microsoft Entra portalına gidin.
2. Uygulamalar'ın altında Uygulama Kayıtları'ne tıklayın ve yeni bir uygulama kaydı oluşturun (tüm varsayılan değerleri değiştirmeyin).
3. Yeni uygulama kaydını açın ve yeni bir gizli dizi oluşturun.
4. Kiracı Kimliği, Uygulama (istemci) Kimliği ve İstemci gizli dizisini daha sonra kullanmak üzere saklayın.

2. Adım - Finans ve operasyonlarda veri toplama için rol oluşturma

1. Finans ve İşlemler portalında Çalışma Alanları > Sistem yönetimi'ne gidin ve Güvenlik Yapılandırması'na tıklayın
2. Roller'in altında Yeni oluştur'a tıklayın ve yeni role veritabanı günlük görüntüleyicisi gibi bir ad verin.
3. Rol listesinden yeni rolü seçin ve Ayrıcalıklar'a ve Başvuru ekle'den daha fazla seçeneğine tıklayın.
4. Ayrıcalık listesinden Veritabanı günlüğü Varlık Görünümü'nü seçin.
5. Rolü yayımlamak için Yayımlanmamış nesneler'e ve ardından Tümünü yayımla'ya tıklayın.

3. Adım - Finans ve operasyonlarda veri toplama için kullanıcı oluşturma

1. Finans ve İşlemler portalında Modüller > Sistem yönetimi'ne gidin ve Kullanıcılar'a tıklayın
2. Yeni bir kullanıcı oluşturun ve önceki adımda oluşturulan rolü kullanıcıya atayın.

4. Adım - Microsoft Entra uygulamasını Finans ve operasyonlara kaydetme

1. F&O portalında Sistem yönetimi > Kurulumu > Microsoft Entra uygulamalarına (Active Directory uygulamaları Azure) gidin
2. Tabloda yeni bir giriş oluşturun. İstemci Kimliği alanına 1. Adımda kayıtlı uygulamanın uygulama kimliğini girin.
3. Ad alanına uygulama için bir ad girin.
4. Kullanıcı Kimliği alanında, önceki adımda oluşturulan kullanıcı kimliğini seçin.

Dyanmics 365 Finance and Operations etkinliklerini Microsoft Sentinel bağlama

İstemci kimlik bilgilerini kullanarak bağlanma

Kuruluş

Her satır bir Finans ve İşlemler bağlantısını temsil eder

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Dynamics365

Tarafından desteklenir:Microsoft Corporation

Dynamics 365 Common Data Service (CDS) etkinlikleri bağlayıcısı yönetici, kullanıcı ve destek etkinliklerinin yanı sıra Microsoft Social Engagement günlük olayları hakkında içgörü sağlar. DYNAMICS 365 CRM günlüklerini Microsoft Sentinel bağlayarak bu verileri çalışma kitaplarında görüntüleyebilir, özel uyarılar oluşturmak için kullanabilir ve araştırma sürecinizi geliştirebilirsiniz.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Dynamics365Activity	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Dynatrace Saldırıları V1

Tarafından desteklenir:Dynatrace

Bu bağlayıcı, algılanan saldırıları Microsoft Sentinel Log Analytics'e almak için Dynatrace Saldırıları REST API'sini kullanır

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DynatraceAttacks_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Dynatrace kiracısı (örn. xyz.dynatrace.com): Uygulama Güvenliği etkinleştirilmiş geçerli bir Dynatrace kiracısı gerekir, Dynatrace platformu hakkında daha fazla bilgi edinin.
• Dynatrace Erişim Belirteci: Dynatrace Erişim Belirteci gerekir; belirtecin Okuma saldırıları (attacks.read) kapsamı olmalıdır.

Kurulum Yönergeleri:

Microsoft Sentinel için Dynatrace Saldırı Olayları

Dynatrace Uygulama Güvenliğini Yapılandırma ve Etkinleştirme. Erişim belirteci oluşturmak için bu yönergeleri izleyin.

---

Dynatrace Saldırıları V2

Tarafından desteklenir:Dynatrace

Bu bağlayıcı, algılanan saldırıları Microsoft Sentinel Log Analytics'e almak için Dynatrace Saldırıları REST API'sini kullanır

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DynatraceAttacksV2_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Dynatrace kiracısı (örn. xyz.dynatrace.com): Uygulama Güvenliği etkinleştirilmiş geçerli bir Dynatrace kiracısı gerekir, Dynatrace platformu hakkında daha fazla bilgi edinin.
• Dynatrace Erişim Belirteci: Dynatrace Erişim Belirteci gerekir; belirtecin Okuma saldırıları (attacks.read) kapsamı olmalıdır.

Kurulum Yönergeleri:

Microsoft Sentinel için Dynatrace Saldırı Olayları

Dynatrace Uygulama Güvenliğini Yapılandırma ve Etkinleştirme. Erişim belirteci oluşturmak için bu yönergeleri izleyin.

• Dynatrace kiracısı (örn. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
• Dynatrace Erişim Belirteci: ({{dynatraceAccessToken}})
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Dynatrace Denetim Günlükleri V1

Tarafından desteklenir:Dynatrace

Bu bağlayıcı kiracı denetim günlüklerini Microsoft Sentinel Log Analytics'e almak için Dynatrace Denetim Günlükleri REST API'sini kullanır

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DynatraceAuditLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Dynatrace kiracısı (ör. xyz.dynatrace.com):Dynatrace platformu hakkında daha fazla bilgi edinmek için geçerli bir Dynatrace Kiracısına ihtiyacınız vardır Ücretsiz denemenizi başlatın.
• Dynatrace Erişim Belirteci: Dynatrace Erişim Belirteci gerekir; belirtecin Okuma denetim günlükleri (auditLogs.read) kapsamı olmalıdır.

Kurulum Yönergeleri:

Denetim Günlüğü Olaylarını Microsoft Sentinel

Dynatrace Denetim Günlüğünü etkinleştirin. Erişim belirteci oluşturmak için bu yönergeleri izleyin.

---

Dynatrace Denetim Günlükleri V2

Tarafından desteklenir:Dynatrace

Bu bağlayıcı kiracı denetim günlüklerini Microsoft Sentinel Log Analytics'e almak için Dynatrace Denetim Günlükleri REST API'sini kullanır

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DynatraceAuditLogsV2_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Dynatrace kiracısı (ör. xyz.dynatrace.com):Dynatrace platformu hakkında daha fazla bilgi edinmek için geçerli bir Dynatrace Kiracısına ihtiyacınız vardır Ücretsiz denemenizi başlatın.
• Dynatrace Erişim Belirteci: Dynatrace Erişim Belirteci gerekir; belirtecin Okuma denetim günlükleri (auditLogs.read) kapsamı olmalıdır.

Kurulum Yönergeleri:

Denetim Günlüğü Olaylarını Microsoft Sentinel

Dynatrace Denetim Günlüğünü etkinleştirin. Erişim belirteci oluşturmak için bu yönergeleri izleyin.

• Dynatrace kiracısı (örn. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
• Dynatrace Erişim Belirteci: ({{dynatraceAccessToken}})
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Dynatrace Sorunları V1

Tarafından desteklenir:Dynatrace

Bu bağlayıcı, sorun olaylarını Microsoft Sentinel Log Analytics'e almak için Dynatrace Sorunu REST API'sini kullanır

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DynatraceProblems_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Dynatrace kiracısı (ör. xyz.dynatrace.com):Dynatrace platformu hakkında daha fazla bilgi edinmek için geçerli bir Dynatrace Kiracısına ihtiyacınız vardır Ücretsiz denemenizi başlatın.
• Dynatrace Erişim Belirteci: Dynatrace Erişim Belirteci gerekir; belirtecin Okuma sorunları (problems.read) kapsamı olmalıdır.

Kurulum Yönergeleri:

Sorun Olaylarını Microsoft Sentinel Için Dynatrace

Erişim belirteci oluşturmak için bu yönergeleri izleyin.

---

Dynatrace Sorunları V2

Tarafından desteklenir:Dynatrace

Bu bağlayıcı, sorun olaylarını Microsoft Sentinel Log Analytics'e almak için Dynatrace Sorunu REST API'sini kullanır

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DynatraceProblemsV2_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Dynatrace kiracısı (ör. xyz.dynatrace.com):Dynatrace platformu hakkında daha fazla bilgi edinmek için geçerli bir Dynatrace Kiracısına ihtiyacınız vardır Ücretsiz denemenizi başlatın.
• Dynatrace Erişim Belirteci: Dynatrace Erişim Belirteci gerekir; belirtecin Okuma sorunları (problems.read) kapsamı olmalıdır.

Kurulum Yönergeleri:

Sorun Olaylarını Microsoft Sentinel Için Dynatrace

Erişim belirteci oluşturmak için bu yönergeleri izleyin.

• Dynatrace kiracısı (örn. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
• Dynatrace Erişim Belirteci: ({{dynatraceAccessToken}})
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Dynatrace Çalışma Zamanı Güvenlik Açıkları V1

Tarafından desteklenir:Dynatrace

Bu bağlayıcı, algılanan çalışma zamanı güvenlik açıklarını Microsoft Sentinel Log Analytics'e almak için Dynatrace Güvenlik Sorunu REST API'sini kullanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DynatraceSecurityProblems_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Dynatrace kiracısı (örn. xyz.dynatrace.com): Uygulama Güvenliği etkinleştirilmiş geçerli bir Dynatrace kiracısı gerekir, Dynatrace platformu hakkında daha fazla bilgi edinin.
• Dynatrace Erişim Belirteci: Dynatrace Erişim Belirteci gerekir; belirtecin Okuma güvenlik sorunları (securityProblems.read) kapsamı olmalıdır.

Kurulum Yönergeleri:

Microsoft Sentinel Için Dinamik Güvenlik Açıkları Olayları

Dynatrace Uygulama Güvenliğini Yapılandırma ve Etkinleştirme. Erişim belirteci oluşturmak için bu yönergeleri izleyin.

---

Dynatrace Çalışma Zamanı Güvenlik Açıkları V2

Tarafından desteklenir:Dynatrace

Bu bağlayıcı, algılanan çalışma zamanı güvenlik açıklarını Microsoft Sentinel Log Analytics'e almak için Dynatrace Güvenlik Sorunu REST API'sini kullanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DynatraceSecurityProblemsV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Dynatrace kiracısı (örn. xyz.dynatrace.com): Uygulama Güvenliği etkinleştirilmiş geçerli bir Dynatrace kiracısı gerekir, Dynatrace platformu hakkında daha fazla bilgi edinin.
• Dynatrace Erişim Belirteci: Dynatrace Erişim Belirteci gerekir; belirtecin Okuma güvenlik sorunları (securityProblems.read) kapsamı olmalıdır.

Kurulum Yönergeleri:

Microsoft Sentinel Için Dinamik Güvenlik Açıkları Olayları

Dynatrace Uygulama Güvenliğini Yapılandırma ve Etkinleştirme. Erişim belirteci oluşturmak için bu yönergeleri izleyin.

• Dynatrace kiracısı (örn. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
• Dynatrace Erişim Belirteci: ({{dynatraceAccessToken}})
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Elastik Aracı

Tarafından desteklenir:Microsoft Corporation

Elastik Aracı veri bağlayıcısı, Elastik Aracı günlüklerini, ölçümlerini ve güvenlik verilerini Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ElasticAgentEvent	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Bağlantı gerekiyorsa özel önkoşullar ekleyin - değilse gümrükleri silin: Herhangi bir özel önkoşul için açıklama

Kurulum Yönergeleri:

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen ElasticAgentEvent gibi çalışması için Kusto İşlevine dayalı ayrıştırıcıya bağlıdır.

NOT: Bu veri bağlayıcısı Elastic Agent 7.14 kullanılarak geliştirilmiştir.

1. Aracıyı Linux veya Windows için yükleme ve ekleme

Aracıyı Elastik Aracı günlüklerinin iletildiği Sunucuya yükleyin.

Linux veya Windows sunucularında dağıtılan Elastik Aracılardan gelen günlükler Linux veya Windows aracıları tarafından toplanır.

Linux aracısının yükleneceği yeri seçin:

Azure Linux Sanal Makinesine aracı yükleme

Aracıyı yüklenecek makineyi seçin ve bağlan'a tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

aracıyı Azure Linux olmayan bir Makineye yükleme

Aracıyı ilgili makineye indirin ve yönergeleri izleyin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

Windows aracısının yükleneceği yeri seçin:

Azure Windows Sanal Makinesi'ne aracı yükleme

Aracıyı yüklenecek makineyi seçin ve bağlan'a tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

aracıyı Azure olmayan bir Windows Makinesine yükleme

Aracıyı ilgili makineye indirin ve yönergeleri izleyin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

2. Elastik Aracıyı Yapılandırma (Tek Başına)

Logstash çıktısı almak için Elastik Aracı'yı yapılandırmak için yönergeleri izleyin

3. Logstash'i Microsoft Logstash Çıkış Eklentisi kullanacak şekilde yapılandırma

Logstash'i microsoft-logstash-output-azure-loganalytics eklentisini kullanacak şekilde yapılandırma adımlarını izleyin:

3.1) Eklentinin zaten yüklü olup olmadığını denetleyin: ./logstash-plugin list | grep 'azure-loganalytics' (eklenti yüklüyse 3.3. adıma gidin)

3.2) Eklentiyi yükle: ./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Logstash'i eklentiyi kullanacak şekilde yapılandırma

4. Günlük alımını doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin 3.3. adımda (örneğin ElasticAgentLogs_CL) belirtilen özel tablo kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının verileri çalışma alanınıza aktarması yaklaşık 30 dakika sürebilir.

---

Elastik Aracı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Elastik Aracı veri bağlayıcısı Elasticsearch'ten Elastik Aracı tarafından toplanan sistem ölçümlerini, günlüklerini ve telemetri verilerini Microsoft Sentinel almanızı sağlar. Bu bağlayıcı birden çok veri akışını (CPU, bellek, işlem, dosya sistemi, ağ, yük, çalışma süresi, aracı ölçümleri ve günlükler) sorgulamak için API anahtarı kimlik doğrulaması ile Elasticsearch Arama API'sini kullanır. Verimli sorgu yürütme için DCR tabanlı alım süresi dönüşümlerini destekler. Daha fazla bilgi için API belgelerine bakın: https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ElasticAgentLogsV2_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

1. Önkoşullar

Gerekli erişime ve yapılandırmaya sahip olduğunuzdan emin olun.

Önkoşullar

• Elasticsearch dağıtımı (kendi kendine yönetilen veya Elastik Bulut)
• Sistem tümleştirmesi etkin olarak dağıtılan Elastik Aracı
• Günlükler ve ölçümler için aracı izleme etkinleştirildi
• Tüm dizinlerde okuma izinlerine sahip Elasticsearch API anahtarı
• Microsoft Sentinel'den Elasticsearch uç noktanıza ağ bağlantısı

Gerekli Endeksler

Bağlayıcı aşağıdaki Elasticsearch dizinlerini sorgular:

Ölçüm:

• metrics-system.cpu-* - CPU ölçümleri
• metrics-system.memory-* - Bellek ölçümleri
• metrics-system.process-* - İşlem ölçümleri
• metrics-system.filesystem-* - Dosya sistemi ölçümleri
• metrics-system.network-* - Ağ ölçümleri
• metrics-system.load-*- Sistem yükü (yalnızca Linux)
• metrics-system.uptime-* - Sistem çalışma süresi
• metrics-elastic_agent.* - Aracı telemetrisi

Günlük:

• logs-elastic_agent-* - Aracı günlükleri

2. Elasticsearch Bağlantılarını Yapılandırma

Veri toplamak için bir veya daha fazla Elasticsearch bağlantısı ekleyin.

Elasticsearch Bağlantıları

Farklı Elasticsearch dağıtımlarından veri toplamak için birden çok bağlantı ekleyebilirsiniz. Her bağlantı kendi Elasticsearch URL'sini ve API anahtarını gerektirir.

API Anahtarı Oluşturma

1. Kibana'da Stack Management > API Anahtarları'na gidin
2. API anahtarı oluştur'a tıklayın
3. Bir ad ayarlayın ve izinleri yapılandırın:
   • Okuma erişimi metrics-system.*
   • Okuma erişimi metrics-elastic_agent.*
   • Okuma erişimi logs-elastic_agent-*
4. Base64 kodlu API anahtar değerini kopyalama

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Ermes Browser Güvenlik Olayları

Tarafından desteklenir:Ermes Cyber Security S.p.A.

Ermes Browser Güvenlik Olayları

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ErmesBrowserSecurityEvents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Ermes İstemci Kimliği ve İstemci Gizli Anahtarı: Ermes'te API erişimini etkinleştirin. Daha fazla bilgi için lütfen Ermes Siber Güvenlik desteğine başvurun.

Kurulum Yönergeleri:

Ermes Browser Güvenlik Olaylarını Microsoft Sentinel Bağlama

OAuth2 kimlik bilgilerini kullanarak bağlanma

• API URL'si (isteğe bağlı): (https://api.shield.ermessecurity.com)

---

ESET Koruma Platformu (Azure İşlevleri kullanarak)

Tarafından desteklenir:ESET Enterprise Integrations

ESET Protect Platform veri bağlayıcısı, kullanıcıların sağlanan Integration REST API'sini kullanarak ESET Koruma Platformu'ndan algılama verileri eklemesine olanak tanır. Tümleştirme REST API'si zamanlanmış Azure İşlev Uygulaması olarak çalışır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
IntegrationTable_CL	Evet	Evet
IntegrationTableIncidents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Microsoft Entra ID'da bir uygulamayı kaydetme izni: Bir uygulamayı Microsoft Entra kiracınıza kaydetmek için yeterli izinler gereklidir.
• Kayıtlı uygulamaya rol atama izni: Microsoft Entra ID'de kayıtlı uygulamaya İzleme Ölçümleri Yayımcısı rolünü atama izni gereklidir.

Kurulum Yönergeleri:

NOT: ESET Protect Platform veri bağlayıcısı, algılama günlüklerini Microsoft Sentinel çekmek için Eset Connect API aracılığıyla ESET Koruma Platformu'na bağlanmak için Azure İşlevleri kullanır. Bu işlem ek veri alımı maliyetlerine neden olabilir. Azure İşlevleri fiyatlandırma sayfasında ayrıntılara bakın.

NOT: ESET PROTECT Platform ve Microsoft Sentinel tümleştirmesinin en yeni sürümü yalnızca algılama günlüklerini değil, yeni oluşturulan olayları da çeker. Tümleştirmeniz 20.06.2025'in öncesinde ayarlandıysa, lütfen bu adımları izleyerek güncelleştirin.

1. Adım - API kullanıcısı oluşturma

Oturum Açma ve Parola ile bir ESET Connect API Kullanıcı hesabı oluşturmak için bu yönergeyi kullanın.

2. Adım - Kayıtlı uygulama oluşturma

Yeni uygulama kaydetme yönergelerindeki adımları izleyerek Microsoft Entra ID kayıtlı bir uygulama oluşturun.

3. Adım - Azure Resource Manager (ARM) şablonunu kullanarak ESET Platformu Koruma veri bağlayıcısını dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Microsoft Sentinel ile ilişkili Log Analytics çalışma alanının adını seçin. Log Analytics çalışma alanının Kaynak Grubu ile aynı Kaynak Grubunu seçin.

3. Kayıtlı uygulamanın parametrelerini Microsoft Entra ID yazın: Azure İstemci Kimliği, Azure İstemci Gizli Anahtarı, Azure Kiracı Kimliği, Nesne Kimliği. Azure portalda Nesne Kimliği'ni bulmak için Microsoft Entra ID -> Yönet (sol taraftaki menüde) - Kurumsal uygulamalar ->> Nesne Kimliği sütunu (kayıtlı uygulama adınızın yanındaki değer) yolunu izleyebilirsiniz.

4. 1. Adımda elde edilen ESET Connect API kullanıcı hesabı Oturum Açma ve Parola bilgilerini sağlayın.

5. Algılamaların alındığı bir veya daha fazla ESET ürününü (ESET PROTECT, ESET Inspect, ESET Cloud Office Security) seçin.

---

Exchange Security Insights Şirket İçi Toplayıcısı

Tarafından desteklenir:Community

Microsoft Sentinel Analizi için Exchange Şirket İçi Güvenlik yapılandırmasını göndermek için kullanılan bağlayıcı

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ESIExchangeConfig_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Kuruluş Yönetimi rolüne sahip Hizmet Hesabı: Betiği zamanlanmış görev olarak başlatan hizmet Hesabının gerekli tüm güvenlik bilgilerini alabilmesi için Kuruluş Yönetimi olması gerekir.
• Ayrıntılı belgeler: >NOT: Yükleme yordamı ve kullanımıyla ilgili ayrıntılı belgelere buradan ulaşabilirsiniz

Kurulum Yönergeleri:

1. ESI Toplayıcı Betiğini Exchange Yönetici PowerShell konsolu olan bir sunucuya yükleyin

Bu, Microsoft Sentinel'da içerik göndermek için Exchange Bilgileri toplayacak betiktir.

Betik Dağıtımı

ESI Toplayıcısı'nın en son sürümünü indirin

En son sürüme şuradan ulaşabilirsiniz: https://aka.ms/ESI-ExchangeCollector-Script. İndirilmesi gereken dosya CollectExchSecIns.zip

Betik klasörünü kopyalama

İçeriğin sıkıştırmasını açın ve Exchange PowerShell Cmdlet'lerinin bulunduğu bir sunucuda betik klasörünü kopyalayın.

PS1 Betiklerinin engellemesini kaldırma

Her PS1 Betiğine sağ tıklayın ve Özellikler sekmesine gidin. Betik engellendi olarak işaretlenmişse engelini kaldırın. PowerShell kullanarak sıkıştırması açılan klasörde bulunan 'Unblock-File ' Cmdlet'ini de kullanabilirsiniz.

**Ağ Erişimini Yapılandırma **

Betiğin Azure Analytics (*.ods.opinsights.azure.com) ile iletişim kuraadığından emin olun.

2. ESI Toplayıcı Betiğini Yapılandırma

Sunucunun yerel yöneticisi olduğundan emin olun. Toplayıcıyı yapılandırmak için 'Yönetici Olarak Çalıştır' modunda 'setup.ps1' betiğini başlatın. Log Analytics (Microsoft Sentinel) Çalışma Alanı bilgilerini doldurun. Ortam adını doldurun veya boş bırakın. Varsayılan olarak, Varsayılan analiz olarak 'Def' öğesini seçin. Diğer seçenekler belirli kullanım içindir.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

3. ESI Toplayıcı Betiğini zamanlayın (yükleme sırasında izin verilmediği veya yoksayıldığı için Yükleme Betiği tarafından yapılmadıysa)

Exchange yapılandırmasını Microsoft Sentinel göndermek için betiğin zamanlanması gerekir. Betiği günde bir kez zamanlamanızı öneririz. Betiği başlatmak için kullanılan hesabın Kuruluş Yönetimi grubunun üyesi olması gerekir

NOT: Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Ayrıştırıcılar çözümle otomatik olarak dağıtılır. Kusto İşlevleri diğer adını oluşturmak için adımları izleyin: ExchangeAdminAuditLogs

Çözüm dağıtımı sırasında ayrıştırıcılar otomatik olarak dağıtılır. El ile dağıtmak istiyorsanız aşağıdaki adımları izleyin

El ile Ayrıştırıcı Dağıtımı

1. Ayrıştırıcı dosyasını indirin

ExchangeAdminAuditLogs dosyasının en son sürümü

2. Ayrıştırıcı ExchangeAdminAuditLogs işlevi oluşturma

Microsoft Sentinel log analytics'inizin 'Günlükler' gezgininde dosyanın içeriğini Günlük gezginine kopyalayın

3. Ayrıştırıcı ExchangeAdminAuditLogs işlevini kaydetme

Kaydet düğmesine tıklayın. Bu ayrıştırıcı için parametre gerekmez. Yeniden kaydet'e tıklayın.

---

Exchange Security Insights Online Collector (Azure İşlevleri kullanarak)

Tarafından desteklenir:Community

Microsoft Sentinel Analizi için Exchange Online Güvenlik yapılandırmasını göndermek için kullanılan bağlayıcı

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ESIExchangeOnlineConfig_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• microsoft.automation/automationaccounts izinleri: Runbook ile Azure Otomasyonu oluşturmak için okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz . Otomasyon Hesabı.
• Microsoft.Graph izinleri: Exchange Online atamalarına bağlı kullanıcı/grup bilgilerini almak için Groups.Read, Users.Read ve Auditing.Read izinleri gereklidir. Daha fazla bilgi edinmek için belgelere bakın.
• Exchange Online izinleri: Exchange Online Güvenlik Yapılandırmasını almak için Exchange.ManageAsApp izni ve Genel Okuyucu veya Güvenlik Okuyucusu Rolü gereklidir.Daha fazla bilgi edinmek için belgelere bakın.
• (İsteğe bağlı) Günlük Depolama izinleri: Günlükleri depolamak için Otomasyon Hesabı Yönetilen kimliğine veya Uygulama Kimliğine bağlı bir depolama hesabına Depolama Blobu Veri Katkıda Bulunanı zorunludur. Daha fazla bilgi edinmek için belgelere bakın.

Kurulum Yönergeleri:

NOT - GÜNCELLE

Not:

NOT - GÜNCELLE:

Toplayıcıyı Sürüm 7.6.0.0 veya daha yüksek bir sürüme güncelleştirmenizi öneririz. Toplayıcı Betik Güncelleştirmesi yordamı burada bulunabilir: ESI Çevrimiçi Toplayıcı Güncelleştirmesi

NOT: Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto İşlevleri diğer adını oluşturmak için her Ayrıştırıcının adımlarını izleyin: ExchangeConfiguration ve **ExchangeEnvironmentList STEP 1 - Ayrıştırıcı dağıtımı**

Ayrıştırıcı dağıtımı (Microsoft Exchange Güvenlik Çözümü kullanılırken Ayrıştırıcılar otomatik olarak dağıtılır)

1. Ayrıştırıcı dosyalarını indirme

ExchangeConfiguration.yaml ve ExchangeEnvironmentList.yaml dosyalarının en son sürümü

2. Ayrıştırıcı ExchangeConfiguration işlevi oluşturma

Microsoft Sentinel log analytics'inizin 'Günlükler' gezgininde dosyanın içeriğini Günlük gezginine kopyalayın

3. Ayrıştırıcı ExchangeConfiguration işlevini kaydetme

Kaydet düğmesine tıklayın. Ayrıştırıcı dosyasının üst bilgisinde istenen parametreleri tanımlayın. Yeniden kaydet'e tıklayın.

4. Ayrıştırıcı ExchangeEnvironmentList için aynı adımları yeniden oluşturun

'ExchangeEnvironmentList.yaml' dosyasının içeriğiyle 2. ve 3. adımı yeniden oluşturun

NOT: Bu bağlayıcı, Güvenlik analizini Microsoft Sentinel çekmek üzere 'Exchange Online' öğesine bağlanmak için Azure Otomasyonu kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure Otomasyonu fiyatlandırma sayfasına bakın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure Otomasyonu dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: 'ESI Exchange Online Güvenlik Yapılandırması' bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Exchange Online kiracı adına (contoso.onmicrosoft.com) sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

'ESI Exchange Online Güvenlik Yapılandırması' bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, Kiracı Adı, 've/veya Diğer gerekli alanlar' girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

'ESI Exchange Online Güvenlik Yapılandırması' bağlayıcısını Azure Otomasyonu ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

C. Azure Otomasyonu Hesabı Oluşturma

1. Azure portalı'ndan Azure Otomasyonu Hesabı'na gidin.
2. Üst kısımdaki + Ekle'ye tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun ve Azure Otomasyonu bir ad verin.
4. Gelişmiş ve Ağ ve Etiketler Sekmelerinde, özelleştirmeniz gerekmiyorsa alanları varsayılan olarak bırakın.
5. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

B. Exchange Online Yönetim Modülü, Microsoft Graph (Kimlik Doğrulaması, Kullanıcı ve Grup) Modülleri Ekleme

1. Otomasyon Hesabı sayfasında Modüller'i seçin.
2. Gözat galerisine tıklayın ve ExchangeOnlineManagement modülünde arama yapın.
3. Seçin ve Seç'e tıklayın.
4. Çalışma Zamanı sürüm alanında Sürüm 5.1'i seçin ve İçeri Aktar düğmesine tıklayın. Şu modüller için adımı yineleyin: 'Microsoft.Graph.Authentication', 'Microsoft.Graph.Users' ve 'Microsoft.Graph.Groups. Dikkat, sonraki modülleri işlemeden önce Microsoft.Graph.Authentication yüklemesini beklemeniz gerekir

C. Runbook İçeriğini İndirme

1. ESI Collector'ın en son sürümünü indirin. En son sürüm burada bulunabilir: https://aka.ms/ESI-ExchangeCollector-Script
2. JSON dosyasını ve sonraki adım için PS1 dosyasını bulmak için dosyanın sıkıştırmasını açın.

D. Runbook oluşturma

1. Otomasyon Hesabı sayfasında Runbook'lar düğmesini seçin.
2. Runbook oluştur'a tıklayın ve bunu PowerShell, Çalışma Zamanı Sürüm 5.1 runbook türüyle 'ESI-Collector' olarak adlandırıp 'Oluştur'a tıklayın.
3. Runbook penceresinde önceki adımın PS1 dosyasının içeriğini içeri aktarın.
4. Yayımla'ya tıklayın

E. GlobalConfiguration Değişkeni Oluşturma

1. Otomasyon Hesabı sayfasında Değişkenler düğmesini seçin.
2. Değişken Ekle'ye tıklayın ve bunu Dize türüyle 'GlobalConfiguration' olarak adlandırın.
3. 'Değer' alanında, önceki adımın JSON dosyasının içeriğini kopyalayın.
4. İçeriğin içinde WorkspaceID ve WorkspaceKey değerlerini değiştirin.
5. 'Oluştur' düğmesine tıklayın.

F. TenantName Değişkeni Oluşturma

1. Otomasyon Hesabı sayfasında Değişkenler düğmesini seçin.
2. Değişken Ekle'ye tıklayın ve bunu Dize türüyle 'TenantName' olarak adlandırın.
3. 'Değer' alanında, Exchange Online kiracı adını yazın.
4. 'Oluştur' düğmesine tıklayın.

G. LastDateTracking Değişkeni Oluşturma

1. Otomasyon Hesabı sayfasında Değişkenler düğmesini seçin.
2. Değişken Ekle'ye tıklayın ve 'LastDateTracking' adını Dize türünde verin.
3. 'Değer' alanına 'Asla' yazın.
4. 'Oluştur' düğmesine tıklayın.

H. Runbook Zamanlaması Oluşturma

1. Otomasyon Hesabı sayfasında Runbook düğmesini seçin ve oluşturduğunuz runbook'a tıklayın.
2. Zamanlamalar ve Zamanlama ekle düğmesine tıklayın.
3. Zamanla'ya tıklayın, Zamanlama Ekle'ye tıklayın ve adlandırin. Her 1 günde bir yinelenen değer'i seçin, 'Oluştur'a tıklayın.
4. 'Parametreleri yapılandır ve ayarları çalıştır'a tıklayın. Tümünü boş bırakın ve Tamam ve Tamam'a yeniden tıklayın.

3. ADIM - Yönetilen Kimlik Hesabına Microsoft Graph İzni ve Exchange Online İzni Atama

Exchange Online bilgileri toplamak ve Kullanıcı bilgilerini ve yönetici gruplarının üye listesini alabilmek için otomasyon hesabının birden çok izne ihtiyacı vardır.

Betiklere Göre İzin Atama

C. İzin Betiğini İndir

İzin Güncelleştirmesi betiği

B. Azure Otomasyonu Yönetilen Kimlik GUID'sini alın ve indirilen betike ekleyin

1. Kimlik Bölümünde Otomasyon Hesabınıza gidin. Yönetilen Kimliğinizin Guid değerini bulabilirsiniz.
2. $MI_ID = "XXXXXXXXXXXXX" içindeki GUID değerini Yönetilen Kimliğinizin GUID değeriyle değiştirin.

C. Betiği Genel Yönetici hesabıyla başlatma

Bu betiğin dikkatine, Microsoft Graph ile kiracınıza erişmek için MSGraph Modülleri ve Yönetici Onayı gerekir. Betik Yönetilen kimliğe 3 izin ekler: 1. ManageAsApp izni 2'yi Exchange Online. Microsoft Graph API 3'te User.Read.All. Microsoft Graph API'da Group.Read.All

D. Rol Ataması Exchange Online

1. Genel Yönetici olarak Roller ve Yöneticiler'e gidin.
2. Genel Okuyucu rolü veya Güvenlik Okuyucusu'na tıklayın ve 'Ödev ekle'ye tıklayın.
3. 'Üye seçilmedi' seçeneğine tıklayın ve Otomasyon hesabınızın adından başlayarak Yönetilen Kimlik hesabınızın Adı'nı 'ESI-Collector' gibi arayın. Seçin ve 'Seç'e tıklayın.
4. İleri'ye tıklayın ve Ata'ya tıklayarak atamayı doğrulayın.

---

ExtraHop Algılamaları Veri Bağlayıcısı

Tarafından desteklenir:ExtraHop Desteği

ExtraHop Algılamaları Veri Bağlayıcısı, algılama verilerini ExtraHop RevealX'tan web kancası yükleri aracılığıyla Microsoft Sentinel aktarmanıza olanak tanır. Veriler, veri toplama kuralı (DCR) aracılığıyla Azure İzleme Günlüğü Alımı API'si kullanılarak alınır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ExtraHop_Detections_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Azure Abonelik: Azure Bir uygulamayı Microsoft Entra ID'a kaydetmek, bir Veri Toplama Uç Noktası, Veri Toplama Kuralı oluşturmak ve gerekli rolleri atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft Entra Uygulama Kaydı: İstemci Gizli Anahtarı ile Microsoft Entra ID Uygulama Kaydı (Hizmet Sorumlusu) gereklidir. Dağıtımın Günlük Alımı API'si aracılığıyla günlükleri yayımlamak için gerekli rolü atayabilmesi için uygulamanın Nesne Kimliği sağlanmalıdır.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• ExtraHop RevealX izinleri: ExtraHop RevealX sisteminizde aşağıdakiler gereklidir:

1. RevealX sisteminizin üretici yazılımı sürüm 9.9.2 veya üzerini çalıştırıyor olması gerekir.
2. RevealX sisteminizin ExtraHop Cloud Services bağlı olması gerekir.
3. Kullanıcı hesabınızın RevealX 360'ta Sistem Yönetimi ayrıcalıklarına veya RevealX Enterprise'da Tam Yazma ayrıcalıklarına sahip olması gerekir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı Azure İşlevleri kullanarak ExtraHop web kancası yüklerini alır ve Azure İzleme Günlüğü Alımı API'sini (DCR tabanlı alım) kullanarak bunları Microsoft Sentinel alır. Bu, eski Log Analytics HTTP Veri Toplayıcı API'sinin yerini alır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) API kimlik bilgilerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve ExtraHopDetections diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

Yapılandırma:

ADIM 1 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için görünen bir Ad girin (ör. ExtraHopSentinelConnector).
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. ExtraHop Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak istemci kimliği ve Kiracı Kimliği gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

ADIM 2 - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, ExtraHop Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, ExtraHop Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3. ADIM - uygulamanızın Nesne Kimliğini Microsoft Entra ID

Uygulama kaydınızı oluşturduktan sonra Nesne Kimliğini almak için bu bölümdeki adımları izleyin:

1. Microsoft Entra ID gidin.
2. Soldaki menüden Kurumsal uygulamalar'ı seçin.
3. Yeni oluşturduğunuz uygulamayı listede bulun (sağladığınız ada göre arama yapabilirsiniz).
4. Uygulamaya tıklayın.
5. Genel bakış sayfasında Nesne Kimliğini kopyalayın. Bu, ARM şablonu rol atamanız için gereken AzureEntraObjectID değeridir .

ADIM 4 - ExtraHop Veri Bağlayıcısı Dağıtma

ÖNEMLİ: ExtraHop Veri bağlayıcısını dağıtmadan önce, Microsoft Entra ID Uygulama Kaydı ayrıntılarını (İstemci Kimliği, İstemci Gizli Anahtarı, Kiracı Kimliği ve Nesne Kimliği) hazır olarak kullanılabilir duruma getirin.

ExtraHop Algılamaları Veri Bağlayıcısı'nı dağıtma:

ExtraHop Algılama verileri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

3. Aşağıdaki bilgileri girin:

   a. FunctionName - İşlev Uygulaması adını girin (tüm ilgili kaynakları adlandırmak için kullanılır). 1-11 karakter uzunluğunda olmalıdır. Varsayılan: ExtraHop

   b. Konum - Veri toplama kurallarının ve veri toplama uç noktalarının dağıtılacağı konum

   c. WorkspaceName - Log Analytics çalışma alanının Microsoft Sentinel Çalışma Alanı Adını girin

   d. AzureClientId - Uygulama kaydı sırasında oluşturduğunuz Azure İstemci Kimliğini girin

   e. AzureClientSecret - İstemci gizli dizisini oluştururken oluşturduğunuz Azure gizli dizisini girin

   f. AzureEntraObjectID - Microsoft Entra Uygulamanızın Nesne kimliğini girin

   G. TenantId - Microsoft Entra ID kiracı kimliğini girin

   H. DetectionsTableName - ExtraHop Algılama günlüklerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'ExtraHop_Detections'

   i. LogLevel - Hata Ayıklama, Bilgi, Hata, Uyarı'dan günlük düzeyi veya günlük önem derecesi değerini seçin. Varsayılan olarak Bilgi olarak ayarlanır

   J. AppInsightsWorkspaceResourceID - 29 Şubat 2024'e kadar kullanımdan kaldırılan Klasik Application Insights'ı Log Analytic Çalışma Alanına geçirin. 'Kaynak Kimliği' özellik değerine sahip 'Log Analytic Workspace-->Properties' dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId'dir.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

ADIM 5 - Dağıtım Sonrası

Başarılı bir dağıtımdan sonra ExtraHop RevealX'tan Microsoft Sentinel web kancası bağlantısını yapılandırın.

1) İşlev Uygulaması uç noktasını alma

1. Azure işlevine genel bakış sayfasına gidin ve İşlevler sekmesine tıklayın.
2. ExtraHopHttpStarter adlı işleve tıklayın.
3. İşlev URL'sini Al'a gidin ve varsayılan (İşlev anahtarı) altında bulunan işlev URL'sini kopyalayın.
4. Kopyalanan işlev URL'sindeki {functionname} öğesini ExtraHopDetectionsOrchestrator ile değiştirin.

2) Microsoft Sentinel için bağlantı yapılandırma ve RevealX'ten web kancası yük ölçütlerini belirtme

ExtraHop sisteminizden, Microsoft Sentinel ile ExtraHop RevealX arasında bağlantı kurmak ve web kancası verilerini Microsoft Sentinel gönderecek algılama bildirim kuralları oluşturmak için Microsoft Sentinel tümleştirmesini yapılandırın. Ayrıntılı yönergeler için bkz. ExtraHop RevealX'ı Microsoft Sentinel SIEM ile tümleştirme.

Bildirim kuralları yapılandırıldıktan ve Microsoft Sentinel web kancası verilerini aldıktan sonra İşlev Uygulaması tetikler ve Log Analytics çalışma alanı özel tablosundan ExtraHop algılamalarını görüntüleyebilirsiniz. Verilerin normalleştirilmiş görünümü için ExtraHopDetections ayrıştırıcı işlevini kullanın.

---

F5 BIG-IP

Tarafından desteklenir:F5 Networks

F5 güvenlik duvarı bağlayıcısı, F5 günlüklerinizi kolayca Microsoft Sentinel bağlamanıza, panoları görüntülemenize, özel uyarılar oluşturmanıza ve araştırmayı geliştirmenize olanak tanır. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
F5Telemetry_LTM_CL	Hayır	Hayır
F5Telemetry_system_CL	Evet	Evet
F5Telemetry_ASM_CL	Hayır	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

F5 BIGIP'i yapılandırma ve bağlama

F5 BIGIP'inizi bağlamak için sistemin API uç noktasına bir JSON bildirimi göndermeniz gerekir. Bunun nasıl yapılacağını açıklayan yönergeler için bkz. F5 BGIP'yi Microsoft Sentinel ile tümleştirme.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Feedly IoC

Tarafından desteklenir:Feedly Inc

Feedly IoC veri bağlayıcısı, Feedly API'sinden Microsoft Sentinel'a Risk Göstergeleri (ICS) alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
feedly_indicators_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Feedly API erişimi: Feedly API'sine erişim gereklidir. Almak istediğiniz IoC akışlarına erişimi olan bir Feedly API belirtecine ihtiyacınız vardır. ADRESINDE API belirtecinizi oluşturma https://feedly.com/i/team/api

Kurulum Yönergeleri:

Microsoft Sentinel'de IoCs toplamaya başlamak için Feedly'ye bağlanın

1. https://feedly.com/i/team/api adresine gidin ve bağlayıcı için yeni bir API belirteci oluşturun.
2. Sentinel bağlayıcı sayfasında- Feedly API Anahtarınızı ve Stream kimliklerinizi sağlayın. Ardından "Bağlan"a tıklayın.

• Feedly API Anahtarı: (Feedly API belirtecinizi girin)
• Feedly Stream kimlikleri: (streamId1,streamId2,streamId3)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Flare Anında İletme Bağlayıcısı

Tarafından desteklenir:Flare

Flare bağlayıcısı, tehdit bilgileri ve açığa çıkarma verilerini Flare'den Microsoft Sentinel alma özelliği sağlar. Flare, sızdırılan kimlik bilgileri, kullanıma sunulan bulut kovaları, darkweb bahsetmeleri ve daha fazlası gibi insan hatası veya kötü amaçlı saldırılar nedeniyle şirketinizin dijital varlıklarını genel kullanıma sunar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
FireworkV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni.
• Flare: Flare'da Microsoft Sentinel tümleştirmesini yapılandırma izni.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı, Flare'ın tehditlere maruz kalma verilerini Microsoft Sentinel göndermesini sağlar. Flare'da veri iletme etkinleştirildiğinde ham olay verileri Microsoft Sentinel Alma API'sine güvenli bir şekilde gönderilir.

Otomatik Yapılandırma ve Entra Uygulaması ile Güvenli Veri Alımı "Dağıt" seçeneğine tıklanırken Log Analytics tabloları ve Veri Toplama Kuralı (DCR) oluşturulur. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Flare'ı Günlükleri Microsoft Sentinel Gönderecek Şekilde Yapılandırma

Flare'ı çalışma alanınıza günlük gönderecek şekilde yapılandırmak için aşağıdaki parametreleri kullanın.

• Entra Uygulama (İstemci) Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Dizin (Kiracı) Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Günlük Alımı URL'si: <yükleme zamanında sağlanan değişken değeri>

3. Uyarı Kanalını Flare'de Yapılandırma

Kuruluş yöneticisi olarak, Flare'da bir Uyarı Kanalını Sentinel'e veri gönderecek şekilde yapılandırabilirsiniz.

1. Flare üzerinde kimlik doğrulaması
2. Yeni bir uyarı kanalı oluşturmak için uyarılar sayfasına erişin.
3. 'Microsoft Sentinel' öğesini seçin ve formdaki yukarıdaki alanları kopyalayın.

Diğer ayrıntılar için Flare belgelerine bakın.

---

Forcepoint DLP

Tarafından desteklenir:Community

Forcepoint DLP (Veri Kaybı Önleme) bağlayıcısı, DLP olay verilerini Forcepoint DLP'den Microsoft Sentinel gerçek zamanlı olarak otomatik olarak dışarı aktarmanızı sağlar. Bu, kullanıcı etkinlikleri ve veri kaybı olaylarının görünürlüğünü zenginleştirir, Azure iş yükleri ve diğer akışlardan gelen verilerle daha fazla bağıntı sağlar ve Microsoft Sentinel içindeki Çalışma Kitapları ile izleme özelliğini geliştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ForcepointDLPEvents_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Bu bağlayıcıyı yapılandırmak üzere Microsoft Sentinel için Forcepoint DLP belgelerindeki adım adım yönergeleri izleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Forescout

Tarafından desteklenir:Microsoft Corporation

Forescout veri bağlayıcısı, Forescout olaylarını Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Forescout belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ForescoutEvent	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan ForescoutEvent'in beklendiği gibi çalışması için Kusto İşlevine dayalı ayrıştırıcıya bağlıdır.

NOT: Bu veri bağlayıcısı Forescout Syslog Eklentisi sürümü kullanılarak geliştirilmiştir: v3.6

1. Aracıyı Linux veya Windows için yükleme ve ekleme

Aracıyı Forescout günlüklerinin iletildiği Sunucuya yükleyin.

Linux veya Windows sunucularında dağıtılan Forescout Server günlükleri Linux veya Windows aracıları tarafından toplanır.

Linux aracısının yükleneceği yeri seçin:

Azure Linux Sanal Makinesine aracı yükleme

Aracıyı yüklenecek makineyi seçin ve bağlan'a tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

aracıyı Azure Linux olmayan bir Makineye yükleme

Aracıyı ilgili makineye indirin ve yönergeleri izleyin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

Windows aracısının yükleneceği yeri seçin:

Azure Windows Sanal Makinesi'ne aracı yükleme

Aracıyı yüklenecek makineyi seçin ve bağlan'a tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

aracıyı Azure olmayan bir Windows Makinesine yükleme

Aracıyı ilgili makineye indirin ve yönergeleri izleyin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

2. Toplanacak günlükleri yapılandırın

Toplamak istediğiniz tesisleri ve önem derecelerini yapılandırın.

1. Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Syslog'ı seçin.
2. Aşağıdaki yapılandırmayı makinelerime uygula'yı seçin ve tesisleri ve önem derecelerini seçin.
3. Kaydet'e tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

3. Forescout olay iletmeyi yapılandırma

Forescout günlüklerini Microsoft Sentinel almak için aşağıdaki yapılandırma adımlarını izleyin.

1. Yapılandıracak Aleti seçin.
2. Uyarıları Forescout platformundan syslog sunucusuna iletmek için bu yönergeleri izleyin.
3. Syslog Tetikleyicileri sekmesinde ayarları yapılandırın.

---

Forescout Konak Özellik İzleyicisi

Tarafından desteklenir:Microsoft Corporation

Forescout Konak Özellik İzleyicisi bağlayıcısı, özel olayları görüntülemek, oluşturmak ve araştırmayı geliştirmek için Forescout platformundaki konak özelliklerini Microsoft Sentinel ile bağlamanıza olanak tanır. Bu, kuruluş ağınızla ilgili daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ForescoutHostProperties_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Forescout Eklentisi gereksinimi: Forescout Microsoft Sentinel eklentisinin Forescout platformunda çalıştığından emin olun

Kurulum Yönergeleri:

Forescout Microsoft Sentinel eklentisini yapılandırma yönergeleri Forescout Belge Portalı'nda (https://docs.forescout.com/bundle/sentinel-1-0-h) sağlanır

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Fortinet FortiNDR Bulutu

Tarafından desteklenir:Fortinet

Fortinet FortiNDR Bulut veri bağlayıcısı, FortiNDR Bulut API'sini kullanarak Fortinet FortiNDR Bulut verilerini Microsoft Sentinel alma özelliği sağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
FncEventsSuricata_CL	Hayır	Hayır
FncEventsObservation_CL	Hayır	Hayır
FncEventsDetections_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Meta Akış Kimlik Bilgileri: Olay verilerini almak için AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, FortiNDR Bulut Hesabı Kodu gereklidir.
• API Kimlik Bilgileri: Algılama verilerini almak için FortiNDR Bulut API Belirteci, FortiNDR Bulut Hesabı UUID gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere FortiNDR Bulut API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu bağlayıcı alanları normalleştirmek için Kusto İşlevi'ne dayalı ayrıştırıcı kullanır. Kusto işlev diğer adı Fortinet_FortiNDR_Cloud oluşturmak için bu adımları izleyin.

ADIM 1 - Fortinet FortiNDR Bulut Günlükleri Koleksiyonu için yapılandırma adımları

Sağlayıcı, Azure İşlevinin başarıyla kimlik doğrulaması yapması, yetkilendirme anahtarını veya belirtecini alması ve aletin günlüklerini Microsoft Sentinel çekmesi için 'SAĞLAYıCı ADI UYGULAMA ADI' API uç noktasını yapılandırmaya yönelik ayrıntılı adımları sağlamalı veya bağlantı vermelidir.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Fortinet FortiNDR Bulut bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve fortiNDR Bulut API'si kimlik bilgilerine (FortiNDR Bulut hesabı yönetiminde sağlanır) hazır olarak kullanılabilir.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Azure Resource Manager (ARM) Şablonu

Fortinet FortiNDR Bulut bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Aboneliği, Kaynak Grubunu ve Konumu seçin(Kaynak Grubunuzla aynı konumu kullandığınızdan emin olun ve konumun Flex Tüketim'i desteklediğinden emin olun.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, AwsAccessKeyId, AwsSecretAccessKey ve/veya Diğer gerekli alanları girin.

4. Dağıtmak için Oluştur'a tıklayın.

---

Fortra Agari Veri Bağlayıcısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Fortra Agari Veri Bağlayıcısı, günlüklerin Fortra Agari API'lerinden Microsoft Sentinel'a alımına olanak tanır. Bu bağlayıcı Agari Marka Koruması (BP), Kimlik Avı Savunması (APD) ve Kimlik Avı Yanıtı (APR) ürünleriyle tümleştirilir. Verimli sorgu yürütme için DCR tabanlı alım süresi dönüşümlerini destekler. Daha fazla bilgi için Agari API belgelerine bakın .

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AgariBPAlertsLog_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Agari API'sinin yapılandırma adımları

Agari API kimlik bilgilerinizi almak için aşağıdaki yönergeleri izleyin.

1. Api URL'si Ile Agari Konsolunuzda oturum açın ve API bölümüne gidin. Varsayılan API URL'si şudur: https://api.agari.com

2. İstemci Kimlik Bilgilerini Alma Agari hesabınızın API kimlik bilgileri bölümünden İstemci Kimliğinizi ve İstemci Gizli Anahtarınızı alın. Farklı Agari ürünlerinin (Marka Koruması, Kimlik Avı Savunması, Kimlik Avı Yanıtı) ayrı API kimlik bilgileri gerektirebileceğini unutmayın.

3. Veri Akışları'nı seçin Toplamak istediğiniz Agari veri akışlarını seçin. Aboneliğinize ve gereksinimlerinize göre bir veya daha fazla akış seçebilirsiniz.

• Temel API URL'si: (https://api.agari.com)
• İstemci Kimliği: (İstemci Kimliğiniz)
• İstemci Gizli Anahtarı: (İstemci Gizli Anahtarınız)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Garrison ULTRA Uzak Günlükleri (Azure İşlevleri kullanarak)

Tarafından desteklenir:Garrison

Garrison ULTRA Uzak Günlükler bağlayıcısı, Garrison ULTRA Uzak Günlüklerini Microsoft Sentinel almanızı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Garrison_ULTRARemoteLogs_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Garrison ULTRA: Bu veri bağlayıcısını kullanmak için etkin bir Garrison ULTRA lisansına sahip olmanız gerekir.

Kurulum Yönergeleri:

Dağıtım - Azure Resource Manager (ARM) Şablonu

Bu adımlar, ARM Tempate kullanarak Garrison ULTRA Uzak Günlükler veri bağlayıcısının otomatik dağıtımını özetler.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   portal.azure.com

2. Kaynak Grubu, Microsoft Sentinel Çalışma Alanı ve alım yapılandırmaları gibi gerekli ayrıntıları sağlayın

NOT: Bu kaynakların dağıtımı için yeni bir Kaynak Grubu oluşturmanız önerilir. 3. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 4. Dağıtmak için Satın Al'a tıklayın.

---

GCP Bulut Çalıştırması (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

GCP Cloud Run veri bağlayıcısı, Pub/Sub kullanarak Bulut Çalıştırması istek günlüklerini Microsoft Sentinel alma özelliği sağlar. Diğer ayrıntılar için Bulut Çalıştırması'na Genel Bakış'a bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPCloudRun	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

**GCP Cloud Run'ı Microsoft Sentinel'a bağlama **

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. Bulut Çalıştırma günlüklerini etkinleştirme Google Bulut Konsolu'nda, daha önce etkinleştirilmemişse bulut günlüğünü etkinleştirin ve değişiklikleri kaydedin. Cloud Run hizmetlerinizi günlüğe kaydetme etkin olarak dağıtın veya güncelleştirin.

Başvuru Bağlantısı: Belgelere bağlantı

3. Yeni toplayıcıları bağlama GCP Bulut Çalıştırma İstek Günlüklerini Microsoft Sentinel etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, açılır pencerede gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

---

GCP Cloud SQL (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

GCP Cloud SQL veri bağlayıcısı, GCP Cloud SQL API'sini kullanarak Denetim günlüklerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için GCP bulut SQL Denetim Günlükleri belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPCloudSQL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

GCP Cloud SQL'i Microsoft Sentinel bağlama

• Kiracı Kimliği: GCP ortamında terraform yapılandırmasında giriş olarak kullanılan benzersiz tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. Google Cloud Console'da, daha önce etkinleştirilmemişse Cloud SQL API'sini etkinleştirin ve değişiklikleri kaydedin.

3. Yeni toplayıcıları bağlama GCP Cloud SQL Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

---

GCP Pub/Alt Denetim Günlükleri

Tarafından desteklenir:Microsoft Corporation

Microsoft Sentinel bağlayıcısından alınan Google Cloud Platform (GCP) denetim günlükleri, üç tür denetim günlüğü yakalamanızı sağlar: yönetici etkinlik günlükleri, veri erişim günlükleri ve saydamlık günlüklerine erişim. Google bulut denetim günlükleri, uygulayıcıların Google Cloud Platform (GCP) kaynakları genelinde erişimi izlemek ve olası tehditleri algılamak için kullanabileceği bir iz kaydeder.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPAuditLogs	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. Yeni toplayıcıları bağlama GCP Denetim Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

---

GCP Pub/Sub Load Balancer Günlükleri (Kodsuz Bağlayıcı Çerçevesi aracılığıyla).

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform (GCP) Load Balancer günlükleri, hem gelen hem de giden etkinlikleri yakalayarak ağ trafiği hakkında ayrıntılı içgörüler sağlar. Bu günlükler, erişim desenlerini izlemek ve GCP kaynakları arasında olası güvenlik tehditlerini tanımlamak için kullanılır. Ayrıca bu günlükler GCP Web Uygulaması Güvenlik Duvarı (WAF) günlüklerini de içerir ve riskleri etkili bir şekilde algılama ve azaltma yeteneğini geliştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPLoadBalancerLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. Load Balancer günlüklerini etkinleştirme GCP hesabınızda Load Balancer bölümüne gidin. Burada [Arka Uç Hizmeti] -> [Düzenle] bölümüne geçebilirsiniz. [Günlük] bölümündeki [Arka Uç Hizmeti] bölümüne girdiğinizde [Günlükleri Etkinleştir] onay kutusunu etkinleştirin. Kuralı açtıktan sonra Günlükler bölümünün altındaki iki durumlu düğmeyi Açık olarak değiştirin ve değişiklikleri kaydedin.

Daha fazla bilgi için: Belgelere bağlantı

3. Yeni toplayıcıları bağlama GCP Load Balancer Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

---

GCP Pub/Sub VPC Akış Günlükleri (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform (GCP) VPC Akış Günlükleri, ağ trafiği etkinliğini VPC düzeyinde yakalamanıza olanak tanıyarak erişim desenlerini izlemenize, ağ performansını analiz etmenizi ve GCP kaynakları genelinde olası tehditleri algılamanıza olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPVPCFlow	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. VPC Akış Günlüklerini etkinleştirme GCP hesabınızda VPC ağ bölümüne gidin. İzlemek istediğiniz alt ağı seçin ve Günlük bölümünde Akış Günlükleri'ni etkinleştirin.

Daha fazla bilgi için: Google Cloud Belgeleri

3. Yeni toplayıcıları bağlama GCP VPC Akış Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

---

Gigamon AMX Bağlayıcısı

Tarafından desteklenir:Gigamon

Gigamon bağlayıcısı, gigamon'dan ham olay verilerini Microsoft Sentinel okuma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GigamonV2_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı, Gigamon CCF'nin Bir Microsoft Analytics Çalışma Alanında kullandığı tablolardaki verileri okur. Gigamon CCF'de veri iletme seçeneği etkinse ham olay verileri Microsoft Sentinel Alma API'sine gönderilir.

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablolarının ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Günlüklerinizi çalışma alanına gönderme

Makinenizi günlükleri çalışma alanına gönderecek şekilde yapılandırmak için aşağıdaki parametreleri kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Etkinlik Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Tehdit Stream Adı: <yükleme zamanında sağlanan değişken değeri>

---

GitHub (Web kancalarını kullanarak)

Tarafından desteklenir:Microsoft Corporation

GitHub web kancası veri bağlayıcısı, GitHub web kancası olaylarını kullanarak GitHub abone olunan olayları Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, olası güvenlik risklerini incelemeye, ekibinizin işbirliği kullanımını analiz etmeye, yapılandırma sorunlarını tanılamaya ve daha fazlasına yardımcı olan olayları Microsoft Sentinel alma olanağı sağlar.

Not: Github Denetim günlüklerini almak istiyorsanız lütfen "Veri Bağlayıcıları" galerisinden GitHub Kurumsal Denetim Günlüğü Bağlayıcısı'na bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
githubscanaudit_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı http tetikleyicisi tabanlı Azure İşlevi üzerine kurulmuştur. Ayrıca github'ın web kancası özelliği aracılığıyla bağlanacağı ve abone olunan olayları Microsoft Sentinel'a göndereceği bir uç nokta sağlar. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİr'i seçin

ÖNEMLİ: Github Web Kancası bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak GitHub veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda Windows ve Linux uygulamalarını aynı bölgede karıştırıp dağıtamazsınız. 3. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

GitHub web kancası veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
3. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.
4. İlgili dize değerleriyle (büyük/küçük harfe duyarlı) aşağıdaki uygulama ayarlarının her birini tek tek ekleyin: WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı) - Ayrılmış bulut için log Analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Dağıtım Sonrası adımları

ADIM 1 - Azure İşlev url'sini almak için

1. Azure işleve Genel Bakış sayfasına gidin ve sol dikey penceredeki "İşlevler"e tıklayın.
2. "GithubwebhookConnector" adlı işleve tıklayın.
3. "GetFunctionurl" bölümüne gidin ve işlev url'sini kopyalayın.

ADIM 2 - Web Kancasını Github Organization'a yapılandırma

1. GitHub'a gidin, hesabınızı açın ve "Kuruluşlarınız" seçeneğine tıklayın.
2. Ayarlar'a tıklayın.
3. "Web Kancaları" seçeneğine tıklayın ve yük URL'si metin kutusu altında yukarıdaki 1. ADIM'dan kopyalanan işlev uygulaması URL'sini girin.
4. İçerik türünü "application/json" olarak seçin.
5. Olaylara abone olun ve "Web Kancası Ekle" seçeneğine tıklayın

Şimdi github Web Kancası yapılandırmasıyla işimiz bitti. Github olayları tetiklendiğinde ve 20 ila 30 dakika gecikmeden sonra (LogAnalytics'in kaynakları ilk kez çalıştırması için bir anlaşma olacağı için), Github'dan "githubscanaudit_CL" adlı LogAnalytics çalışma alanı tablosuna tüm işlem olaylarını görebilmeniz gerekir.

Diğer ayrıntılar için buraya tıklayın

---

GitHub Enterprise Denetim Günlüğü (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

GitHub denetim günlüğü bağlayıcısı, GitHub günlüklerini Microsoft Sentinel alma özelliği sağlar. GitHub denetim günlüklerini Microsoft Sentinel bağlayarak bu verileri çalışma kitaplarında görüntüleyebilir, özel uyarılar oluşturmak için kullanabilir ve araştırma sürecinizi geliştirebilirsiniz.

Not: GitHub abonesi olayları Microsoft Sentinel almak istiyorsanız lütfen "Veri Bağlayıcıları" galerisindeki GitHub (Web Kancalarını kullanarak) Bağlayıcısı'na bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GitHubAuditLogsV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• GitHub API'sinin kişisel erişim belirteci: Kurumsal denetim günlüğünde yoklamayı etkinleştirmek için kimliği doğrulanmış kullanıcının bir Enterprise yöneticisi olduğundan ve kapsamına sahip bir GitHub kişisel erişim belirtecine read:audit_log (klasik) sahip olduğundan emin olun.
• GitHub Enterprise türü: Bu bağlayıcı yalnızca GitHub Enterprise Cloud ile çalışır; GitHub Enterprise Server'ı desteklemez.

Kurulum Yönergeleri:

GitHub Kurumsal Düzeyinde Denetim Günlüğü'nü Microsoft Sentinel bağlama

GitHub denetim günlüklerini etkinleştirin. Kişisel erişim belirtecinizi oluşturmak veya bulmak için bu kılavuzu izleyin.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Google ApigeeX (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google ApigeeX veri bağlayıcısı, Google Apigee API'sini kullanarak Denetim günlüklerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Google Apigee API belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPApigee	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

**Google ApigeeX'i Microsoft Sentinel bağlama **

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. ApigeeX günlüklerini etkinleştirme Google Cloud Console'da Apigee API'yi (önceden etkinleştirilmemişse) etkinleştirin ve değişiklikleri kaydedin.

3. Yeni toplayıcıları bağlama ApigeeX Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, açılır pencerede gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

---

Google Cloud Platform CDN (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform CDN veri bağlayıcısı, Bulut CDN Denetim günlüklerini ve Bulut CDN Trafik günlüklerini İşlem Altyapısı API'sini kullanarak Microsoft Sentinel alma özelliği sağlar. Diğer ayrıntılar için Ürüne genel bakış belgesine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPCDN	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

**GCP CDN'yi Microsoft Sentinel bağlama **

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. CDN günlüklerini etkinleştirme Google Cloud Console'da daha önce etkinleştirilmemişse bulut günlüğünü etkinleştirin ve değişiklikleri kaydedin. Aşağıda sağlanan bağlantıya göre arka uçlar oluşturmak için Bulut CDN bölümüne gidin ve Kaynak ekle'ye tıklayın.

Başvuru Bağlantısı: Belgelere bağlantı

3. Yeni toplayıcıları bağlama GCP Bulut CDN Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, açılır pencerede gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

---

Google Cloud Platform Cloud IDS (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform IDS veri bağlayıcısı, Cloud IDS Trafik günlüklerini, Tehdit günlüklerini ve Denetim günlüklerini Google Cloud IDS API'sini kullanarak Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Cloud IDS API belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPIDS	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

**GCP Cloud IDS'yi Microsoft Sentinel bağlama **

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. IDS günlüklerini etkinleştirme Google Cloud Console'da, daha önce etkinleştirilmemişse Cloud IDS API'sini etkinleştirin. Bir IDS Uç Noktası oluşturun ve değişiklikleri kaydedin.

IDS uç noktası oluşturma ve yapılandırma hakkında daha fazla bilgi için: Belgelere bağlantı

3. Yeni toplayıcıları bağlama GCP IDS Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, açılır pencerede gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

---

Google Cloud Platform Bulut İzleme (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform Bulut İzleme veri bağlayıcısı, Google Bulut İzleme API'sini kullanarak İzleme günlüklerini Google Cloud'dan Microsoft Sentinel alır. Daha fazla ayrıntı için Bulut İzleme API'si belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPMonitoring	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Google Cloud Platform Bulut İzleme'yi Microsoft Sentinel bağlama

1. GCP İzleme Tümleştirmesini Ayarlama Günlükleri GCP Bulut İzleme'den Google bulutunun Sentinel Proje Kimliğine getirmek için gereklidir.

2. Google Cloud Monitoring'den günlükleri toplamak için Ölçüm Türünü seçin ve gerekli Ölçüm türünü sağlayın.

Diğer ayrıntılar için bkz. Google Cloud Metrics.

3. OAuth Kimlik Bilgileri Oauth istemci kimliğini ve istemci gizli dizisini getirmek için bu belgelere bakın.

4. Sentinel bağlanın Google Cloud'dan Microsoft Sentinel'a izleme günlüklerini çekmeye başlamak için Bağlan'a tıklayın.

• GCP Proje Kimliği:
• Ölçüm Türü:
• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Google Cloud Platform İşlem Altyapısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform compute Engine veri bağlayıcısı, Google Cloud Compute Engine API'sini kullanarak İşlem Motoru Denetim günlüklerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Cloud Compute Engine API belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPComputeEngine	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

**GCP İşlem Altyapısını Microsoft Sentinel bağlama **

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. İşlem Altyapısı günlüklerini etkinleştirme Google Bulut Konsolu'nda, daha önce etkinleştirilmemişse İşlem Altyapısı API'sini etkinleştirin ve değişiklikleri kaydedin.

3. Yeni toplayıcıları bağlama İşlem Altyapısı Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, açılır pencerede gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

---

Google Cloud Platform DNS (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform DNS veri bağlayıcısı, Google Cloud DNS API'sini kullanarak Bulut DNS Sorgu günlüklerini ve Bulut DNS Denetim günlüklerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Bulut DNS API'si belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPDNS	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

**GCP DNS'yi Microsoft Sentinel bağlama **

NOT: hem Azure İşlevi hem de CCF bağlayıcısı aynı anda çalışıyorsa, tablolarda yinelenen veriler doldurulur.

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. DNS günlüklerini etkinleştirme Google Bulut Konsolu'nda Bulut DNS Bölümü'ne gidin. Daha önce etkinleştirilmemişse bulut günlüğünü etkinleştirin ve değişiklikleri kaydedin. Burada, mevcut bölgeleri yönetebilir veya yeni bir bölge oluşturup izlemek istediğiniz bölge için ilkeler oluşturabilirsiniz.

Daha fazla bilgi için: Belgelere bağlantı

3. Yeni toplayıcıları bağlama GCP DNS Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, açılır pencerede gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

---

Google Cloud Platform IAM (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform IAM veri bağlayıcısı, Google Cloud içindeki Kimlik ve Erişim Yönetimi (IAM) etkinlikleriyle ilgili Denetim günlüklerini Google IAM API'sini kullanarak Microsoft Sentinel alma olanağı sağlar. Daha fazla bilgi için GCP IAM API belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPIAM	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

GCP IAM'yi Microsoft Sentinel bağlama

NOT: hem Azure İşlevi hem de CCF bağlayıcısı paralel çalışıyorsa, tablolarda yinelenen veriler doldurulur.

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. IAM günlüklerini etkinleştirmek için GCP hesabınızda IAM bölümüne gidin. Buradan, yeni bir kullanıcı oluşturabilir veya izlemek istediğiniz mevcut bir kullanıcının rolünü değiştirebilirsiniz. Değişikliklerinizi kaydettiğinizden emin olun..

Daha fazla bilgi için: Belgelere bağlantı

3. Yeni toplayıcıları bağlama GCPIAM Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

---

Google Cloud Platform NAT (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform NAT veri bağlayıcısı, İşlem Altyapısı API'sini kullanarak Bulut NAT Denetim günlüklerini ve Bulut NAT Trafik günlüklerini Microsoft Sentinel alma özelliği sağlar. Diğer ayrıntılar için Ürüne genel bakış belgesine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPNATAudit	Evet	Evet
GCPNAT	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

**GCP NAT'yi Microsoft Sentinel bağlama **

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. NAT günlüklerini etkinleştirme Google Bulut Konsolu'nda, daha önce etkinleştirilmemişse bulut günlüğünü etkinleştirin ve değişiklikleri kaydedin. Aşağıda sağlanan bağlantıya göre arka uçlar oluşturmak için Cloud NAT bölümüne gidin ve Kaynak ekle'ye tıklayın.

Başvuru Bağlantısı: Belgelere bağlantı

3. Yeni toplayıcıları bağlama GCP Bulut NAT Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, açılır pencerede gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

---

Google Cloud Platform Resource Manager (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform Resource Manager veri bağlayıcısı, Cloud Resource Manager API'sini kullanarak Resource Manager Yönetici Etkinliği ve Veri Erişim Denetimi günlüklerini Microsoft Sentinel alma özelliği sağlar. Diğer ayrıntılar için Ürüne genel bakış belgesine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GCPResourceManager	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

**GCP Resource Manager Microsoft Sentinel bağlama **

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. Resource Manager günlüklerini etkinleştirme Google Cloud Console'da, daha önce etkinleştirilmemişse bulut kaynak yöneticisi API'sini etkinleştirin ve değişiklikleri kaydedin. Kaynak hiyerarşisindeki tüm günlükleri görmek için hesabınız için kuruluş düzeyinde IAM izinlerine sahip olduğundan emin olun. Bu bağlantıda sağlanan her düzeyde IAM ile erişim denetimi için farklı IAM izinleri için belge bağlantılarına başvurabilirsiniz

3. Yeni toplayıcıları bağlama GCP Resource Manager Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, açılır pencerede gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

---

Google Kubernetes Engine (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Kubernetes Engine (GKE) Günlükleri küme etkinliğini, iş yükü davranışını ve güvenlik olaylarını yakalamanıza olanak tanıyarak Kubernetes iş yüklerini izlemenize, performansı analiz etmenizi ve GKE kümelerindeki olası tehditleri algılamanıza olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GKEAudit	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. Kubernetes Altyapısı Günlüğünü Etkinleştirme GCP hesabınızda Kubernetes Altyapısı bölümüne gidin. Kümeleriniz için Bulut Günlüğünü etkinleştirin. Bulut Günlüğü'nde API sunucusu, zamanlayıcı, denetleyici yöneticisi, HPA kararı ve uygulama günlükleri gibi almak istediğiniz belirli günlüklerin etkili izleme ve güvenlik analizi için etkinleştirildiğinden emin olun.

3. Yeni toplayıcıları bağlama GKE Günlüklerini Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

---

Google Güvenlik Komut Merkezi

Tarafından desteklenir:Microsoft Corporation

Google Cloud Platform (GCP) Güvenlik Komut Merkezi, Sentinel bağlayıcısından alınan Google Cloud için kapsamlı bir güvenlik ve risk yönetimi platformudur. Kuruluşunuzun güvenlik ve veri saldırısı yüzeyi hakkında içgörü elde etmeye yardımcı olmak için varlık envanteri ve bulma, güvenlik açığı ve tehdit algılama, risk azaltma ve düzeltme gibi özellikler sunar. Bu tümleştirme, bulgular ve varlıklarla ilgili görevleri daha etkili bir şekilde gerçekleştirmenizi sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GoogleCloudSCC	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

1. GCP ortamınızı ayarlama Şu GCP kaynaklarını tanımlamış ve yapılandırmış olmanız gerekir: konu başlığı, konu için abonelik, iş yükü kimlik havuzu, iş yükü kimlik sağlayıcısı ve abonelikten alma ve kullanma izinlerine sahip hizmet hesabı. Terraform, kaynakları oluşturan IAM için API sağlar. Terraform betiklerine bağlantı.

• Kiracı Kimliği: GcP ortamında Terraform yapılandırmasında giriş olarak kullanılan benzersiz bir tanımlayıcı.: <Yükleme zamanında sağlanan değişken değeri>

2. Yeni toplayıcıları bağlama GCP SCC'yi Microsoft Sentinel için etkinleştirmek için Yeni toplayıcı ekle düğmesine tıklayın, bağlam bölmesinde gerekli bilgileri doldurun ve Bağlan'a tıklayın.

---

Google Çalışma Alanı Etkinlikleri (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Google Çalışma Alanı Etkinlikleri veri bağlayıcısı, Etkinlik Olaylarını Google Workspace API'sinden Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GoogleWorkspaceReports	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Google Workspace API erişimi: Oauth aracılığıyla Google Workspace etkinlikleri API'sine erişim gereklidir.

Kurulum Yönergeleri:

Kullanıcı etkinlik günlüklerini Microsoft Sentinel'a toplamaya başlamak için Google Workspace'e bağlanın

Google Raporlar API'sine yönelik yapılandırma adımları

1. Çalışma Alanı Yönetici kimlik bilgilerinizle Google bulut konsolunda https://console.cloud.google.comoturum açın.
2. Arama seçeneğini kullanarak (üst ortadaki kullanılabilir), API'leri & Hizmetleri arayın
3. Api'ler & Hizmetleri-Etkin>API'ler & Hizmetleri'nden bu proje için Yönetici SDK API'sini etkinleştirin.
4. Api'ler & Services ->OAuth Onay Ekranı'na gidin. Henüz yapılandırılmadıysa, aşağıdaki adımları içeren bir OAuth Onay Ekranı oluşturun:
   1. Uygulama Adı ve diğer zorunlu bilgileri sağlayın.
   2. Hedef Kitle için Kullanıcı Türü olarak Dış'a tıklayın.
5. API'ler & Hizmetleri ->Kimlik Bilgileri'ne gidin ve OAuth 2.0 İstemci Kimliği oluşturun
   1. Üst kısımdaki Kimlik Bilgileri Oluştur'a tıklayın ve Oauth istemci kimliği'ni seçin.
   2. Uygulama Türü açılan listesinden Web Uygulaması'nı seçin.
   3. Web Uygulaması'na uygun bir ad sağlayın ve aşağıdaki forma Yeniden Yönlendirme URI'sini Yetkili yeniden yönlendirme URI'leri olarak ekleyin.
   4. Oluştur'a tıkladığınızda, size İstemci Kimliği ve İstemci Gizli Anahtarı sağlanır. Bu değerleri kopyalayın ve aşağıdaki yapılandırma adımlarında kullanın.
6. Google Auth Platformu ->Veri Erişimi: Yönetici SDK API kapsamı ekleme'ye gidin

Google Reports API oauth erişimi için adımları yapılandırın. Ardından, aşağıdaki gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

GravityZone Veri Bağlayıcısı

Tarafından desteklenir:Bitdefender SRL

Bu bağlayıcı, Bitdefender GravityZone ile Olay Anında İletme Hizmeti API'sini kullanarak Microsoft Sentinel arasında tümleştirmeye olanak tanır. Yapılandırıldıktan sonra, tüm GravityZone olay türlerini doğrudan Microsoft Sentinel çalışma alanınıza akışla aktarır ve bunlar tabloda günlük GzSecurityEvents_CL olarak depolanır.

EDR, XDR, fidye yazılımı azaltma, ağ korumalı alanı ve Exchange kötü amaçlı yazılım olayları gibi önemli olay kategorileri NRT GravityZone Olay Uyarıları analiz kuralı aracılığıyla otomatik olarak ilişkilendirilebilir ve olaylar oluşturabilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GzSecurityEvents_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Azure Uygulaması Kaydı: Aşağıdaki ayrıntıları içeren Uygulama Kaydı Microsoft Entra Dizin (Kiracı) Kimliği, Uygulama (İstemci) Kimliği, Yönetilen Hizmet Sorumlusu Nesne Kimliği (uygulamanın Kurumsal Uygulamalar girişinden), İstemci Gizli Anahtarı (Sertifikalar & gizli dizileri altında oluşturulur).
• GravityZone Bulut Hesabı: Olay Anında İletme Hizmeti uç noktası için oluşturulan API anahtarına sahip bir GravityZone Bulut hesabı.
• Kılavuzumuzu okuyun: Tümleştirmeyi ayarlamak için bu adım adım makaleyi izleyin. Müşteri | Ortak

Kurulum Yönergeleri:

1. Aşağıdaki Azure dağıt düğmesine tıklayın ve gerekli parametreleri doldurun.

aka.ms

2. Veri Toplama Uç NoktasındanGünlük Alımı URL'sini gz-sentinel-dce toplama

3. Veri Toplama Kuralındangz-sentinel-dcrSabit Kimliği Toplama

4. GravityZone Cloud hesabınıza gidin ve Hesabım'a gidin. Olay Anında İletme Hizmeti izinleriyle bir API anahtarı oluşturun .

5. Bu makaleyi kullanarak Olay Anında İletme Hizmeti ayarlarınızı yapılandırın. Müşteri | ortaklar. Data Connector'ın başarıyla dağıtıldıktan & GravityZone Olay Anında İletme Hizmeti'nin başarıyla kurulumundan sonra sistemin Etkinlik Günlüğü verilerini neredeyse gerçek zamanlı olarak alacağını lütfen unutmayın. Veri iletimi ile Microsoft Sentinel Günlükleri bölümündeki görünümü arasında kısa bir gecikme oluşabilir.

---

GreyNoise Tehdit Bilgileri

Tarafından desteklenir:GreyNoise

Bu Veri Bağlayıcısı günde bir kez GreyNoise göstergelerini indirmek için bir Azure İşlev uygulaması yükler ve bunları Microsoft Sentinel'daki ThreatIntelIndicators tablosuna ekler.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelIndicators	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• GreyNoise API Anahtarı: GreyNoise API Anahtarınızı buradan alın.

Kurulum Yönergeleri:

**Aşağıdaki adımları izleyerek GreyNoise Threat Intelligence'ı Microsoft Sentinel bağlayabilirsiniz: **

Aşağıdaki adımlar bir Azure AAD uygulaması oluşturur, GreyNoise API anahtarını alır ve değerleri bir Azure İşlev Uygulama Yapılandırması kaydeder.

1. API Anahtarınızı GreyNoise Görselleştiricisi'nden alın.

GreyNoise Görselleştiricisi'nden API anahtarı oluşturma https://docs.greynoise.io/docs/using-the-greynoise-api

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği ile İstemci Kimliği'ne sahip olursunuz. Ayrıca, Microsoft Sentinel örneğinle ilişkilendirilmiş Log Analytics Çalışma Alanı Kimliğini alın (aşağıda gösterilmelidir).

Azure AAD uygulamanızı oluşturmak ve İstemci Kimliğinizi ve Kiracı Kimliğinizi kaydetmek için buradaki yönergeleri izleyin: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOT: İstemci gizli dizinizi oluşturmak için 5. adımı bekleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Microsoft Sentinel Katkıda Bulunan Rolü eklemek için buradaki yönergeleri izleyin: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

4. MS Graph API karşıya yükleme göstergeleri API'sine erişimini etkinleştirmek için AAD izinlerini belirtin.

AAD Uygulamasına 'ThreatIndicators.ReadWrite.OwnedBy' iznini eklemek için bu bölümü izleyin: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. AAD Uygulamanıza döndüğünüzde, yeni eklediğiniz izinler için yönetici onayı verdiğinizden emin olun. Son olarak, 'Belirteçler ve API'ler' bölümünde bir istemci gizli dizisi oluşturun ve kaydedin. 6. Adımda ihtiyacınız olacaktır.

5. Tehdit Bilgileri Karşıya Yükleme Göstergeleri API'sini (Önizleme) içeren Tehdit Bilgileri (Yeni) Çözümünü (v3.0.14 veya üzeri) dağıtın

Bu Çözüm için Microsoft Sentinel Content Hub'a bakın ve Microsoft Sentinel örneğine yükleyin. Bu adımda herhangi bir yapılandırma yapmanız gerekmediğini unutmayın.

6. Azure İşlevini dağıtma

Azure dağıt düğmesine tıklayın.

aka.ms

Her parametre için uygun değerleri doldurun. GREYNOISE_CLASSIFICATIONS parametresi için tek geçerli değerlerin virgülle ayrılmış olması gereken zararsız, kötü amaçlı ve/veya bilinmeyen değerler olduğunu unutmayın.

7. Göstergeleri Sentinel gönderme

6. Adımda yüklenen işlev uygulaması, GreyNoise GNQL API'sini günde bir kez sorgular ve STIX 2.1 biçiminde bulunan her göstergeyi Microsoft Karşıya Yükleme Tehdit Bilgileri Göstergeleri API'sine gönderir. Sonraki günün sorgusunda bulunamazsa her göstergenin süresi oluşturma işleminden itibaren yaklaşık 24 saat içinde sona erer. Bu durumda TI Göstergesinin Geçerlilik Süresi 24 saat daha uzatılır ve bu da Microsoft Sentinel etkin kalmasını sağlar.

GreyNoise API'si ve GreyNoise Sorgu Dili (GNQL) hakkında daha fazla bilgi için buraya tıklayın.

---

Halcyon Bağlayıcısı

Tarafından desteklenir:Halcyon

Halcyon bağlayıcısı, Halcyon'dan Microsoft Sentinel'a veri gönderme özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
HalcyonEvents_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra Oluşturma İzinleri: Microsoft Entra ID'de uygulama kaydı oluşturma izinleri. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Rol Atama İzinleri: Veri toplama kuralına (DCR) İzleme Ölçümleri Yayımcısı rolü atamak için gereken izinleri yazın. Genellikle kaynak grubu düzeyinde Sahip veya Kullanıcı Erişimi Yöneticisi rolü gerekir.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı, veriler iletiliyorsa Halcyon'un Microsoft Analytics Çalışma Alanı'nda kullandığı tablolardaki verileri okur

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablolarının ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Halcyon Platformu'nda tümleştirmenizi yapılandırma

Halcyon Platformu'nda tümleştirmenizi yapılandırmak için aşağıdaki parametreleri kullanın.

• Dizin Kimliği (Kiracı Kimliği): <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği (İstemci Kimliği): <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kayıt Gizli Anahtarı (Kimlik Bilgisi Gizli Anahtarı) (BU SIR BU SAYFADAN AYRILDIKTEN SONRA GÖRÜNMEZ): <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası (URL): <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Kimliği (Kural Kimliği): <yükleme zamanında sağlanan değişken değeri>

---

Holm Güvenlik Varlığı Verileri (Azure İşlevleri kullanarak)

Tarafından desteklenir:Holm Security

Bağlayıcı, Holm Güvenlik Merkezi'nden Microsoft Sentinel verileri yoklama özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
net_assets_CL	Hayır	Hayır
web_assets_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Holm Güvenlik API'si Belirteci: Holm Güvenlik API'si Belirteci gereklidir. Holm Güvenlik API'si Belirteci

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere holm güvenlik varlıklarına bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Holm Güvenlik API'si için yapılandırma adımları

API kimlik doğrulama belirteci oluşturmak için bu yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki dağıtım seçeneğini kullanın

ÖNEMLİ: Holm Güvenlik bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Holm Güvenlik API'si yetkilendirme Belirteci'ne sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Azure Resource Manager (ARM) Şablon Dağıtımı

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Holm Güvenlik bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, API Kullanıcı Adı, API Parolası, 've/veya Diğer gerekli alanlar' girin.

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

---

Microsoft Exchange Sunucularının IIS Günlükleri

Tarafından desteklenir:Community

[Seçenek 5] - Azure İzleyici Aracısı'nı kullanma - Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden tüm IIS Günlüklerini akışla aktarabilirsiniz. Bu bağlantı özel uyarılar oluşturmanıza ve araştırmayı geliştirmenize olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
W3CIISLog	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Log Analytics kullanım dışı bırakılacaktır ve Azure olmayan VM'lerden veri toplamak için Arc Azure önerilir. Daha fazla bilgi edinin
• Ayrıntılı belgeler: >NOT: Yükleme yordamı ve kullanımıyla ilgili ayrıntılı belgelere buradan ulaşabilirsiniz

Kurulum Yönergeleri:

NOT: Bu çözüm, seçenekleri temel alır. Bu, bazı seçenekler çok yüksek hacimli veriler oluşturaaabildiği için hangi verilerin alınacağını seçmenize olanak tanır. Ne toplamak istediğinize bağlı olarak, Çalışma Kitaplarınızda, Analiz Kurallarınızda, Tehdit Avcılığı özelliklerinizde dağıtacağınız seçenekleri belirlersiniz. Her seçenek birbirinden bağımsızdır. Her seçenek hakkında daha fazla bilgi edinmek için: 'Microsoft Exchange Güvenliği' wiki

Bu Veri Bağlayıcısı, wiki'nin 5. seçeneğidir .

1. Microsoft Sentinel için günlükleri toplamak için gereken aracıları indirip yükleyin

Sunucu türü (Exchange Sunucuları, Exchange Sunucuları'na bağlı Etki Alanı Denetleyicileri veya tüm Etki Alanı Denetleyicileri) dağıtmak istediğiniz seçeneğe bağlıdır.

İzleyici Aracılarını Dağıtma

Bu adım yalnızca Exchange Sunucularınızı/Etki Alanı Denetleyicilerinizi ilk kez eklediğinizde gereklidir Azure Arc Aracısını Dağıtın Daha fazla bilgi edinin

[Seçenek 5] Exchange Sunucularının IIS günlükleri

Exchange Sunucularının IIS günlüklerinin akışının nasıl yapılacağını seçme

Veri toplama kuralını etkinleştirme

IIS günlükleri yalnızca Windows aracılarından toplanır.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu (Tercih Edilen Yöntem)

DCE ve DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. DCE'nin önerilen adını değiştirebilirsiniz.

4. Dağıtmak için Oluştur'a tıklayın.

B. Veri Bağlantısı Kuralını Dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. 've/veya Diğer gerekli alanlar' Çalışma Alanı Kimliğini girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Azure portalı'ndan Azure Veri toplama Uç Noktası'na gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun ve DCE'ye bir ad verin.
4. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

B. DCR oluşturma, IIS günlüğü yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun, Platform türü olarak Windows'ı seçin ve DCR'ye bir ad verin. Oluşturulan DCE'yi seçin.
4. Kaynaklar sekmesinde Exchange Sunucuları'nı girin.
5. 'Toplama ve teslim etme' bölümünde bir Veri Kaynağı türü 'IIS günlükleri' ekleyin (IIS Günlükleri yolu varsayılan olarak yapılandırılmışsa bir yol girmeyin). 'Veri kaynağı ekle' seçeneğine tıklayın
6. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

---

Illumio Insights

Tarafından desteklenir:Illumio

Illumio Insights veri bağlayıcısı, Günlüklerin Illumio API'sinden Microsoft Sentinel'a alımına olanak tanır. Veri bağlayıcısı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni üzerine kurulmuştur. Günlükleri getirmek için Illumio API'sini kullanır ve alınan güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alım süresi dönüşümlerini destekler, böylece sorguların yeniden ayrıştırması gerekmez ve böylece daha iyi performans elde edilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
IlumioInsights	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Illumio Insights API'sine yönelik yapılandırma adımları

Önkoşullar

• Geçerli kimlik bilgileriyle Illumio Konsoluna Kaydolma ve Oturum Açma
• İstemci Kimlik Bilgilerinin kiracının Microsoft Sentinel hesabında depolanması gerekir

1. Adım: Hizmet Hesabını Kaydetme

1. → Hizmet Hesaplarına Erişmek → Illumio Konsolu'na gidin
2. Kiracı için hizmet hesabı oluşturma
3. Bir hizmet hesabı oluşturduktan sonra istemci kimlik bilgilerini alırsınız
4. Kullanıcı Adı (API Anahtarı) ve Gizli Adım 2: Sentinel Hesabına İstemci Kimlik Bilgileri Ekleme'yi kopyalayın

• Kiracı kimlik doğrulaması için Sentinel Hesabına API anahtarını ve gizli dizisini ekleme
• Bu kimlik bilgileri Illumio SaaS API'sine yapılan çağrıların kimliğini doğrulamak için kullanılır

3. Adım: API Kullanımı Bağlayıcı, Illumio SaaS API'sini çağırmak için şu kimlik bilgilerini kullanır:

• Uç nokta: GET https://gw.console.illum.io/api/v1/resource-insights
• Gerekli Üst Bilgiler:
  • x-illumio-tenant-id: Illumio kiracı kimliğiniz
  • x-auth-key: 1. adımdan alınan API anahtarı
  • x-auth-X-api-secret: 1. adımdan alınan gizli anahtar

Kimlik Doğrulaması Doğrulama Illumio isteği şu şekilde doğrular:

• Entra kimliğinin ortak anahtarlarının imzası
• İzleyici (aud), API'nizin Uygulama Kimliği URI'si ile eşleşir
• Veren doğrulama

Lütfen aşağıdaki gerekli alanları Illumio Konsolundan alınan kimlik bilgileriyle doldurun:

• Illumio Insights Api Anahtarı: (api_XXXXXX)
• Api Gizli Dizisi: (API Gizli Dizisi)
• Illumio Kiracı Kimliği: ({illumioTenantId})
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Illumio Insights Özeti

Tarafından desteklenir:Illumio

Illumio Insights Özet veri bağlayıcısı, REST API aracılığıyla Microsoft Sentinel Illumio güvenlik içgörüleri ve tehdit analizi raporlarını alma özelliği sağlar. Daha fazla bilgi için Illumio API belgelerine bakın. Bağlayıcı, Illumio'dan günlük ve haftalık özet raporlar alma ve bunları Microsoft Sentinel'de görselleştirme olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
IllumioInsightsSummary_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Illumio API erişimi: Illumio Insights Özet API'sinde Illumio API erişimi gereklidir.

Kurulum Yönergeleri:

1. Yapılandırma

Illumio Insights Özet bağlayıcısını yapılandırın.

[! NOT] Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır.

• Illumio Insights Api Anahtarı: (api_XXXXXX)
• Api Gizli Dizisi: (API Gizli Dizisi)
• Illumio Kiracı Kimliği: ({illumioTenantId})

2. Bağlan

Illumio Insights Özet bağlayıcısını etkinleştirin.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Illumio SaaS (Azure İşlevleri kullanarak)

Tarafından desteklenir:Illumio

Illumio bağlayıcısı olayları Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, AWS S3 demetinden denetlenebilir ve akış olaylarını alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Illumio_Auditable_Events_CL	Evet	Evet
Illumio_Flow_Events_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• SQS ve AWS S3 hesabı kimlik bilgileri/izinleri: AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL gereklidir. Illumio tarafından sağlanan s3 demeti kullanıyorsanız Illumio desteğine başvurun. İsteğiniz üzerine aws S3 demet adını, AWS SQS url'sini ve bunlara erişmek için AWS kimlik bilgilerini sağlayacaktır.
• Bilgi api anahtarı ve gizli dizi: ILLUMIO_API_KEY, bir çalışma kitabının SaaS PCE'ye bağlantı oluşturması ve API yanıtlarını getirmesi için ILLUMIO_API_SECRET gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere AWS SQS /S3'e bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Önkoşullar

1. AWS SQS'nin akış ve denetlenebilir olay günlüklerinin çekileceği s3 demeti için yapılandırıldığından emin olun. Illumio demet sağlarsa lütfen sqs url'si, s3 demet adı ve aws kimlik bilgileri için Illumio desteğine başvurun.
2. AAD uygulamasını kaydetme - DCR'nin (Veri toplama kuralı) verileri log analytics'e almak üzere kimlik doğrulaması yapması için Entra uygulama kullanmanız gerekir. 1. AAD Kiracı Kimliği, AAD İstemci Kimliği ve AAD İstemci Gizli Anahtarı'nı almak için buradaki yönergeleri (1-5 arası adımlar) izleyin.
3. Log Analytics çalışma alanı oluşturduğunuzdan emin olun. Dağıtıldığı adı ve bölgeyi not edin.

Dağıtım

Aşağıdaki seçeneklerden yaklaşımlardan birini seçin. Azure kaynaklarını dağıtmak için aşağıdaki ARM şablonunu kullanın veya işlev uygulamasını el ile dağıtın.

1. Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Azure kaynaklarının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Microsoft Sentinel Çalışma Alanı, AWS kimlik bilgileri, Azure AD Uygulama ayrıntıları ve alım yapılandırmaları gibi gerekli ayrıntıları sağlayın

NOT: İşlev uygulamasının ve ilişkili kaynakların dağıtımı için yeni bir Kaynak Grubu oluşturmanız önerilir. 3. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 4. Dağıtmak için Satın Al'a tıklayın.

2. Ölçeği işlemek için ek işlev uygulamaları dağıtma

ARM Tempate kullanarak ek işlev uygulamalarının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

3. Azure İşlevleri El ile Dağıtımı

Visual Studio Code aracılığıyla dağıtım.

1. İşlev Uygulaması Dağıtma

2. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.

4. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

5. İşlev Uygulamasını Yapılandırma

6. Gerekli tüm ortam değişkenlerini ayarlamak için belge <ekleme bağlantısını> izleyin ve Kaydet'e tıklayın. Ayarlar kaydedildikten sonra işlev uygulamasını yeniden başlattığınızdan emin olun.

---

Imperva Cloud WAF (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Imperva Cloud WAF veri bağlayıcısı, REST API aracılığıyla Web Uygulaması Güvenlik Duvarı olayları Microsoft Sentinel tümleştirme ve alma özelliği sağlar. Daha fazla bilgi için Günlük tümleştirme belgelerine bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ImpervaWAFCloud_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: API için ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI gereklidir. Daha fazla bilgi için bkz . Kurulum Günlüğü Tümleştirme işlemi. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin . Bu bağlayıcının CEF günlük olay biçimini kullandığını lütfen unutmayın. Günlük biçimi hakkında daha fazla bilgi.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Imperva Bulut API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlevleri Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

**NOT:**Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen ImpervaWAFCloud gibi çalışması için Kusto İşlevine dayalı ayrıştırıcıya bağlıdır.

ADIM 1 - Günlük Tümleştirmesi için yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevleri dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Çalışma Alanı veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak Imperva Cloud WAF veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Imperva Cloud WAF veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlevlerin geliştirilmesi için hazırlamanız gerekir.

1. Azure İşlevleri Uygulama dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. ImpervaCloudXXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

3. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Imperva Cloud WAF (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Imperva WAF Bulut veri bağlayıcısı, SQS bildirimleriyle AWS S3 aracılığıyla Imperva Günlük Tümleştirmesini kullanarak günlükleri Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, tehdit algılama ve araştırma için erişim günlükleri ve güvenlik uyarıları da dahil olmak üzere CEF biçimli WAF olaylarını ayrıştırır. Daha fazla bilgi için Imperva WAF Bulut Günlüğü Tümleştirmesi'ne bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ImpervaWAFCloud	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

**Imperva WAF Cloud'u Microsoft Sentinel bağlama

**

NOT: Bu bağlayıcı, AWS S3 demetinden Imperva Cloud WAF günlüklerini getirir

Imperva'dan veri toplamak için aşağıdaki kaynakları yapılandırmanız gerekir

1. AWS Rolü ARN Imperva'dan veri toplamak için AWS Rol ARN'sine ihtiyacınız olacaktır.

2. AWS SQS Kuyruk URL'si Imperva'dan veri toplamak için AWS SQS Kuyruk URL'si gerekir.

AWS Rolü ARN'sini, SQS Kuyruğu URL'sini alma ve Amazon S3 demetine Imperva günlük iletmeyi yapılandırmaya yönelik ayrıntılı adımlar için Bağlayıcı Kurulum Kılavuzu'na bakın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

AMA aracılığıyla Infoblox Bulut Veri Bağlayıcısı

Tarafından desteklenir:Infoblox

Infoblox Cloud Data Connector, Infoblox verilerinizi Microsoft Sentinel kolayca bağlamanıza olanak tanır. Günlüklerinizi Microsoft Sentinel bağlayarak, her günlük için arama & bağıntı, uyarı ve tehdit bilgileri zenginleştirmelerinden yararlanabilirsiniz.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommonSecurityLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

ÖNEMLİ: Bu Microsoft Sentinel veri bağlayıcısı, Infoblox Cloud Services Portalı'nda (CSP) bir Infoblox Veri Bağlayıcısı konağı oluşturulduğunu ve yapılandırıldığını varsayar. Infoblox Veri Bağlayıcısı, Threat Defense'in bir özelliği olduğundan uygun bir Threat Defense aboneliğine erişim gereklidir. Daha fazla bilgi ve lisans gereksinimleri için bu hızlı başlangıç kılavuzuna bakın.

1. Syslog aracı yapılandırmasını Linux

Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve bunları Microsoft Sentinel iletmek için Linux aracısını yükleyin ve yapılandırın.

Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin

1.1 Linux makinesi seçme veya oluşturma

Microsoft Sentinel güvenlik çözümünüz ile bu makinenin şirket içi ortamınızda, Azure veya diğer bulutlarda olabileceğini Microsoft Sentinel ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun.

1.2 CEF toplayıcısını Linux makinesine yükleyin

Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.

• CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

2. Infoblox'ı, Syslog aracısına iletmek üzere Infoblox Bulut Veri Bağlayıcısı'na Syslog verileri gönderecek şekilde yapılandırın

Infoblox CDC'yi Linux Syslog aracısı aracılığıyla Microsoft Sentinel veri gönderecek şekilde yapılandırmak için aşağıdaki adımları izleyin.

1. Veri Bağlayıcısını Yönet'e >gidin.
2. En üstteki Hedef Yapılandırma sekmesine tıklayın.
3. Syslog Oluştur'a >tıklayın.

• Ad: Yeni Hedefe Microsoft-Sentinel-Destination gibi anlamlı bir ad verin.
• Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
• Durum: Durumu Etkin olarak ayarlayın.
• Biçim: Biçimi CEF olarak ayarlayın.
• FQDN/IP: Linux aracısının yüklü olduğu Linux cihazın IP adresini girin.
• Bağlantı noktası: Bağlantı noktası numarasını 514 olarak bırakın.
• Protokol: Uygunsa istenen protokolü ve CA sertifikayı seçin.
• Kaydet & Kapat'a tıklayın.

4. Üst kısımdaki Trafik Akışı Yapılandırması sekmesine tıklayın.
5. Oluştur'a tıklayın.

• Ad: Yeni Trafik Akışına Microsoft-Sentinel-Flow gibi anlamlı bir ad verin.
• Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
• Durum: Durumu Etkin olarak ayarlayın.
• Hizmet Örneği bölümünü genişletin.
• Hizmet Örneği: Veri Bağlayıcısı hizmetinin etkinleştirildiği istediğiniz Hizmet Örneğini seçin.
• Kaynak Yapılandırması bölümünü genişletin.
• Kaynak: BloxOne Bulut Kaynağı'ı seçin.
• Toplamak istediğiniz tüm günlük türlerini seçin. Şu anda desteklenen günlük türleri şunlardır:
• Tehdit Savunması Sorgu/Yanıt Günlüğü
• Tehdit Savunması Tehdit Akışları Günlüğe Isabet Etti
• DDI Sorgu/Yanıt Günlüğü
• DDI DHCP Kira Günlüğü
• Hedef Yapılandırma bölümünü genişletin.
• Yeni oluşturduğunuz Hedef'i seçin.
• Kaydet & Kapat'a tıklayın.

6. Yapılandırmanın etkinleştirilmesi için biraz zaman tanıyın.

3. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin CommonSecurityLog şeması kullanılarak alınp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının verileri çalışma alanınıza aktarması yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir

• Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

**4. Makinenizin güvenliğini sağlama **

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

---

REST API aracılığıyla Infoblox Veri Bağlayıcısı

Tarafından desteklenir:Infoblox

Infoblox Veri Bağlayıcısı, Infoblox TIDE verilerinizi ve Dossier verilerinizi Microsoft Sentinel ile kolayca bağlamanızı sağlar. Verilerinizi Microsoft Sentinel bağlayarak, her bir günlük için arama & bağıntı, uyarı ve tehdit bilgileri zenginleştirme avantajlarından yararlanabilirsiniz.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Failed_Range_To_Ingest_CL	Hayır	Hayır
Infoblox_Failed_Indicators_CL	Hayır	Hayır
dossier_whois_CL	Hayır	Hayır
dossier_whitelist_CL	Hayır	Hayır
dossier_tld_risk_CL	Hayır	Hayır
dossier_threat_actor_CL	Hayır	Hayır
dossier_rpz_feeds_records_CL	Hayır	Hayır
dossier_rpz_feeds_CL	Hayır	Hayır
dossier_nameserver_matches_CL	Hayır	Hayır
dossier_nameserver_CL	Hayır	Hayır
dossier_malware_analysis_v3_CL	Hayır	Hayır
dossier_inforank_CL	Hayır	Hayır
dossier_infoblox_web_cat_CL	Hayır	Hayır
dossier_geo_CL	Hayır	Hayır
dossier_dns_CL	Hayır	Hayır
dossier_atp_threat_CL	Hayır	Hayır
dossier_atp_CL	Hayır	Hayır
dossier_ptr_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Azure Abonelik: Azure Bir uygulamayı Microsoft Entra ID kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Infoblox API Anahtarı gereklidir. Rest API başvurusunda API hakkında daha fazla bilgi edinmek için belgelere bakın

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, TIDE için Tehdit Göstergeleri oluşturmak ve Dossier verilerini Microsoft Sentinel çekmek üzere Infoblox API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. İstemci kimliği ve Kiracı Kimliği, TriggersSync playbook'unun yürütülmesi için yapılandırma parametreleri olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

ADIM 2 - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, TriggersSync playbook'unun yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, TriggersSync playbook'unun yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3. ADIM - Microsoft Entra ID'de uygulamaya Katkıda Bulunan rolü atama

Rolü atamak için bu bölümdeki adımları izleyin:

1. Azure portal Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
2. Sol panelden Erişim denetimine (IAM) gidin.
3. Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
4. Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
5. Erişim ata bölümünde öğesini seçinUser, group, or service principal.
6. Üye ekle'ye tıklayın ve oluşturduğunuz uygulama adınızı yazın ve seçin.
7. Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.

Başvuru bağlantısı:/azure/role-based-access-control/role-assignments-portal

4. ADIM - Infoblox API Kimlik Bilgilerini oluşturma adımları

Infoblox API Anahtarı oluşturmak için bu yönergeleri izleyin. Infoblox Cloud Services Portalı'nda bir API Anahtarı oluşturun ve sonraki adımda güvenli bir yere kopyalayın. API anahtarları oluşturma yönergelerini burada bulabilirsiniz.

5. ADIM - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtma adımları

ÖNEMLİ: Infoblox veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı (aşağıdakilerden kopyalanabilir) hazır... ve Infoblox API Yetkilendirme Kimlik Bilgileri'ne sahip olun

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Azure Resource Manager (ARM) Şablonu

Infoblox Data bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin: Azure Kiracı Kimliği Azure İstemci Kimliği Azure İstemci Gizli Bilgiblox API Belirteci Infoblox Temel URL Çalışma Alanı Kimliği Çalışma Alanı Anahtar Günlük Düzeyi (Varsayılan: BİlGİ) Güvenilirlik Tehdit Düzeyi App Insights Çalışma Alanı Kaynak Kimliği

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

---

AMA aracılığıyla Infoblox SOC Insight Veri Bağlayıcısı

Tarafından desteklenir:Infoblox

Infoblox SOC Insight Veri Bağlayıcısı, Infoblox BloxOne SOC Insight verilerinizi Microsoft Sentinel ile kolayca bağlamanızı sağlar. Günlüklerinizi Microsoft Sentinel bağlayarak, her günlük için arama & bağıntı, uyarı ve tehdit bilgileri zenginleştirmelerinden yararlanabilirsiniz.

Bu veri bağlayıcısı, yeni Azure İzleyici Aracısı'nı kullanarak Log Analytics Çalışma Alanınıza Infoblox SOC Insight CDC günlüklerini alır. Burada yeni Azure İzleyici Aracısını kullanarak alma hakkında daha fazla bilgi edinin. Microsoft bu Veri Bağlayıcısı'nın kullanılmasını önerir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommonSecurityLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure olmayan VM'lerden veri toplamak için Azure Arc yüklü ve etkin olmalıdır. Daha fazla bilgi edinin
• AMA aracılığıyla Ortak Olay Biçimi (CEF) ve AMA veri bağlayıcıları aracılığıyla Syslog yüklenmelidir. Daha fazla bilgi edinin

Kurulum Yönergeleri:

Çalışma Alanı Anahtarları

Playbook'ları bu çözümün bir parçası olarak kullanmak için, kolaylık sağlamak için aşağıda Çalışma Alanı Kimliğinizi ve Çalışma Alanı Birincil Anahtarınızı bulun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Çalışma Alanı Anahtarı: <Yükleme zamanında sağlanan değişken değeri>

Çözümleyicileri

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan InfobloxCDC_SOCInsights olarak adlandırılan beklendiği gibi çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.

SOC İçgörüleri

Bu veri bağlayıcısı Infoblox BloxOne Threat Defense SOC Insights erişiminiz olduğunu varsayar. SOC İçgörüleri hakkında daha fazla bilgiyi burada bulabilirsiniz.

Infoblox Bulut Veri Bağlayıcısı

Bu veri bağlayıcısı, Infoblox Cloud Services Portalı'nda (CSP) bir Infoblox Veri Bağlayıcısı konağı oluşturulduğunu ve yapılandırıldığını varsayar. Infoblox Veri Bağlayıcısı BloxOne Threat Defense'in bir özelliği olduğundan, uygun bir BloxOne Threat Defense aboneliğine erişim gereklidir. Daha fazla bilgi ve lisans gereksinimleri için bu hızlı başlangıç kılavuzuna bakın.

Bu veri bağlayıcısını yapılandırmak için aşağıdaki adımları izleyin

C. AMA veri bağlayıcısı aracılığıyla Ortak Olay Biçimini (CEF) yapılandırma

Not: CEF günlükleri yalnızca Linux Aracılarından toplanır

1. Microsoft Sentinel çalışma alanı > Veri bağlayıcıları dikey pencerenize gidin.

2. AMA veri bağlayıcısı aracılığıyla Ortak Olay Biçimi 'ni (CEF) arayın ve açın.

3. Günlük yinelemesine neden olabileceğinden gerekli günlükleri toplamak için yapılandırılmış mevcut DCR olmadığından emin olun. Yeni bir DCR (Veri Toplama Kuralı) oluşturun.

   Not: AMA aracı v1.27'nin en azından yüklenmesi önerilir. Günlük yinelemesine neden olabileceği için daha fazla bilgi edinin ve yinelenen DCR olmadığından emin olun.

4. Makinede CEF toplayıcısını yapılandırmak için AMA veri bağlayıcısı aracılığıyla Ortak Olay Biçimi (CEF) sayfasında sağlanan komutu çalıştırın.

B. Infoblox Cloud Services Portalı'nın içinde Infoblox BloxOne'ı, Syslog aracısına iletmek üzere Infoblox Bulut Veri Bağlayıcısı'na CEF Syslog verileri gönderecek şekilde yapılandırın

Infoblox CDC'yi Linux Syslog aracısı aracılığıyla Microsoft Sentinel'a BloxOne verileri gönderecek şekilde yapılandırmak için aşağıdaki adımları izleyin.

1. Veri Bağlayıcısını Yönet'e >gidin.
2. En üstteki Hedef Yapılandırma sekmesine tıklayın.
3. Syslog Oluştur'a >tıklayın.

• Ad: Yeni Hedefe Microsoft-Sentinel-Destination gibi anlamlı bir ad verin.
• Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
• Durum: Durumu Etkin olarak ayarlayın.
• Biçim: Biçimi CEF olarak ayarlayın.
• FQDN/IP: Linux aracısının yüklü olduğu Linux cihazın IP adresini girin.
• Bağlantı noktası: Bağlantı noktası numarasını 514 olarak bırakın.
• Protokol: Uygunsa istenen protokolü ve CA sertifikayı seçin.
• Kaydet & Kapat'a tıklayın.

4. Üst kısımdaki Trafik Akışı Yapılandırması sekmesine tıklayın.
5. Oluştur'a tıklayın.

• Ad: Yeni Trafik Akışına Microsoft-Sentinel-Flow gibi anlamlı bir ad verin.
• Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
• Durum: Durumu Etkin olarak ayarlayın.
• Hizmet Örneği bölümünü genişletin.
• Hizmet Örneği: Veri Bağlayıcısı hizmetinin etkinleştirildiği istediğiniz Hizmet Örneğini seçin.
• Kaynak Yapılandırması bölümünü genişletin.
• Kaynak: BloxOne Bulut Kaynağı'ı seçin.
• İç Bildirimler Günlük Türü'nü seçin.
• Hedef Yapılandırma bölümünü genişletin.
• Yeni oluşturduğunuz Hedef'i seçin.
• Kaydet & Kapat'a tıklayın.

6. Yapılandırmanın etkinleştirilmesi için biraz zaman tanıyın.

C. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin CommonSecurityLog şeması kullanılarak alınp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının verileri çalışma alanınıza aktarması yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir

• Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

**2. Makinenizin güvenliğini sağlama **

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

---

REST API aracılığıyla Infoblox SOC Insight Veri Bağlayıcısı

Tarafından desteklenir:Infoblox

Infoblox SOC Insight Veri Bağlayıcısı, Infoblox BloxOne SOC Insight verilerinizi Microsoft Sentinel ile kolayca bağlamanızı sağlar. Günlüklerinizi Microsoft Sentinel bağlayarak, her günlük için arama & bağıntı, uyarı ve tehdit bilgileri zenginleştirmelerinden yararlanabilirsiniz.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
InfobloxInsight_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Çalışma Alanı Anahtarları

Playbook'ları bu çözümün bir parçası olarak kullanmak için, kolaylık sağlamak için aşağıda Çalışma Alanı Kimliğinizi ve Çalışma Alanı Birincil Anahtarınızı bulun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Çalışma Alanı Anahtarı: <Yükleme zamanında sağlanan değişken değeri>

Çözümleyicileri

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan InfobloxInsight adlı beklendiği gibi çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.

SOC İçgörüleri

Bu veri bağlayıcısı Infoblox BloxOne Threat Defense SOC Insights erişiminiz olduğunu varsayar. SOC İçgörüleri hakkında daha fazla bilgiyi burada bulabilirsiniz.

Bu veri bağlayıcısını yapılandırmak için aşağıdaki adımları izleyin

1. Infoblox API Anahtarı oluşturma ve güvenli bir yere kopyalama

Infoblox Cloud Services Portalı'nda bir API Anahtarı oluşturun ve sonraki adımda güvenli bir yere kopyalayın. API anahtarları oluşturma yönergelerini burada bulabilirsiniz.

2. Infoblox-SOC-Get-Open-Insights-API playbook'unu yapılandırma

Bu çözümle dağıtılan Infoblox-SOC-Get-Open-Insights-API playbook'unu oluşturun ve yapılandırın. İstendiğinde uygun parametreye Infoblox API anahtarınızı girin.

---

InfoSecGlobal Veri Bağlayıcısı

Tarafından desteklenir:InfoSecGlobal

InfoSec Crypto Analytics ile tümleştirmek ve doğrudan Microsoft Sentinel gönderilen verileri almak için bu veri bağlayıcısını kullanın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
InfoSecAnalytics_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

InfoSecGlobal Crypto Analytics Veri Bağlayıcısı

1. Veriler Logstash aracılığıyla Microsoft Sentinel gönderilir
2. Gerekli Logstash yapılandırması Crypto Analytics yüklemesine dahil edilir
3. Crypto Analytics yüklemesi ile sağlanan belgeler, Microsoft Sentinel'a veri göndermeyi etkinleştirmeyi açıklar

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

IONIX Güvenlik Günlükleri (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:IONIX

IONIX bağlayıcısı, Kodsuz Bağlayıcı Çerçevesi (CCF) kullanarak eylem öğelerini IONIX Saldırı Yüzeyi Yönetimi platformunuzdan Microsoft Sentinel'a almanızı sağlar. Eylem öğeleri, düzeltme gerektiren güvenlik bulgularını ve güvenlik açıklarını temsil eder.

Bu bağlayıcı IONIX API'sini otomatik olarak yoklar ve verileri CyberpionActionItems_CL tablosuna yazar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyberpionActionItems_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• IONIX API Belirteci: IONIX Portalı'ndan bir API belirteci gereklidir. IONIX PortalınızdakiAyarlar > API'sinde bir tane oluşturun.

Kurulum Yönergeleri:

IONIX'i Microsoft Sentinel'a bağlama

Bu bağlayıcı, eylem öğelerini otomatik olarak yoklayıp Microsoft Sentinel almak için IONIX API'sini kullanır. IONIX Portalınızdan bir API belirtecine ihtiyacınız vardır.

• IONIX API Belirteci: (IONIX Ayarları > API'sinden JWT API belirtecinizi girin)
• IONIX Hesap Adı: (cyberpion)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

IPinfo Kötüye Kullanım Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, standard_abuse veri kümelerini indirmek ve Microsoft Sentinel özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_Abuse_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo ASN Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, standard_ASN veri kümelerini indirmek ve Microsoft Sentinel'deki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_ASN_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Taşıyıcı Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, standard_carrier veri kümelerini indirmek ve Microsoft Sentinel'da özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_Carrier_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Şirket Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, standard_company veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_Company_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Çekirdek Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, Çekirdek veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_CORE_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Ülke ASN Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, country_asn veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_Country_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Etki Alanı Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, standard_domain veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_Domain_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Iplocation Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, standard_location veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_Location_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Iplocation Genişletilmiş Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, standard_location_extended veri kümelerini indirmek ve Microsoft Sentinel'deki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_Location_extended_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Plus Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, Artı veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_PLUS_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Gizlilik Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, standard_privacy veri kümelerini indirmek ve Microsoft Sentinel'deki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_Privacy_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo Gizlilik Genişletilmiş Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, standard_privacy veri kümelerini indirmek ve Microsoft Sentinel'deki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_Privacy_extended_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo ResProxy Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, ResProxy veri kümelerini indirmek ve Microsoft Sentinel'deki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_RESIDENTIAL_PROXY_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo RIRWHOIS Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, RIRWHOIS veri kümelerini indirmek ve Microsoft Sentinel'deki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_RIRWHOIS_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo RWHOIS Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı RWHOIS veri kümelerini indirmek ve Microsoft Sentinel'deki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_RWHOIS_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo WHOIS ASN Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, WHOIS_ASN veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_WHOIS_ASN_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo WHOIS MNT Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, WHOIS_MNT veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_WHOIS_MNT_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo WHOIS NET Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, WHOIS_NET veri kümelerini indirmek ve Microsoft Sentinel'deki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_WHOIS_NET_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo WHOIS ORG Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, WHOIS_ORG veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_WHOIS_ORG_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

IPinfo WHOIS POC Veri Bağlayıcısı

Tarafından desteklenir:IPinfo

Bu IPinfo veri bağlayıcısı, WHOIS_POC veri kümelerini indirmek ve Microsoft Sentinel'daki özel günlük tablosuna eklemek için bir Azure İşlev uygulaması yükler

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ipinfo_WHOIS_POC_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• IPinfo API Belirteci: IPinfo API Belirtecinizi buradan alın.

Kurulum Yönergeleri:

1. API Belirtecini alma

IPinfo API Belirtecinizi buradan alın.

2. Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun

Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı alın: Bu Bağlantıyı kullanın.

3. AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.

Az önce oluşturduğunuz AAD uygulamasını, "Microsoft Sentinel" eklendiği "Log Analytic Çalışma Alanı" için kullandığınız aynı "Kaynak Grubu" içindeki Katkıda Bulunan (Ayrıcalıklı yönetici rolleri) ve İzleme Ölçümleri Yayımcısı'na (İş işlevi rolleri) atayın: Bu Bağlantıyı kullanın.

4. Çalışma Alanı Kaynak Kimliğini Alma

'Kaynak Kimliği' özellik değerine sahip Log Analytic Workspace -> Özellikler dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId değeridir.

5. Azure İşlevini dağıtma

Arm Tempate kullanarak IPinfo veri bağlayıcısının otomatik dağıtımı için bunu kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET girin.

Azure İşlevleri El ile Dağıtımı

IPinfo veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. arşivi yerel geliştirme bilgisayarınıza Azure İşlev Uygulaması'na ayıklayın.
2. VSCode kullanarak gelişmiş seçeneği kullanarak Barındırma İşlevleri Premium veya App service planı kullanarak İşlev Uygulaması oluşturun.
3. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
4. İşlev uygulamasının başarıyla dağıtılmasından sonra, uygulamayı yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Ayarlar -> Yapılandırma veya Ortam değişkenleri'ni seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Island Enterprise Browser V2

Tarafından desteklenir:Island

Island Enterprise Browser V2 Veri Bağlayıcısı, kullanıcı olaylarını, yönetici olaylarını ve sistem olaylarını tek bir bağlayıcı içinde almanızı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Island_UserEvents_V2_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Ada API Anahtarı: Ada API anahtarı gereklidir. Api Anahtarını Ada Yönetim Konsolu aracılığıyla oluşturun. Daha fazla bilgi için resmi Ada belgelerine bakın.

Kurulum Yönergeleri:

Ada'yı Microsoft Sentinel'a bağlama

API URL'si ve API Anahtarı, Ada Yönetim Konsolu aracılığıyla kullanılabilir. Daha fazla bilgi için resmi Ada belgelerine bakın.

• API URL'si: (API URL'si)
• API Anahtarı: (Anahtar)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Jamf Koruma Anında İletme Bağlayıcısı

Tarafından desteklenir:Jamf Software, LLC

Jamf Protect bağlayıcısı, Microsoft Sentinel'da Jamf Protect'ten ham olay verilerini okuma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
jamfprotecttelemetryv2_CL	Evet	Evet
jamfprotectunifiedlogs_CL	Evet	Evet
jamfprotectalerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı Jamf Protect'in Bir Microsoft Analytics Çalışma Alanında kullandığı tablolardaki verileri okur. Jamf Protect'te veri iletme seçeneği etkinleştirilirse ham olay verileri Microsoft Sentinel Alma API'sine gönderilir.

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablolarının ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Günlüklerinizi çalışma alanına gönderme

Makinenizi günlükleri çalışma alanına gönderecek şekilde yapılandırmak için aşağıdaki parametreleri kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Birleşik Günlükler Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Telemetri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Uyarılar Stream Adı: <yükleme zamanında sağlanan değişken değeri>

---

JoeSandboxThreatIntelligence (Azure İşlevleri kullanarak)

Tarafından desteklenir:Stefan Bühlmann

JoeSandboxThreatIntelligence bağlayıcısı, JoeSandbox'a yapılan tüm gönderimler için tehdit bilgilerini otomatik olarak oluşturur ve besler, bu da Sentinel tehdit algılama ve olay yanıtını geliştirir. Bu sorunsuz tümleştirme, ekiplerin ortaya çıkan tehditleri proaktif olarak ele almalarını sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Aboneliği: Azure Bir uygulamayı azure active directory() hizmetine kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: JoeSandbox API Anahtarı gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, JoeSandbox Tehdit GÇC'lerini Microsoft Sentinel çekmek üzere JoeSandbox API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Esnek Tüketim Planı için Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Uygulama Kimliği, Kiracı Kimliği,İstemci Gizli Anahtarı, JoeSandbox API Anahtarı, JoeSandbox İlk Getirme Tarihi, TimeInterval girin ve dağıtın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Premium Plan için Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Uygulama Kimliği, Kiracı Kimliği,İstemci Gizli Anahtarı, JoeSandbox API Anahtarı, JoeSandbox İlk Getirme Tarihi, TimeInterval girin ve dağıtın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

---

Keeper Güvenliği Anında İletme Bağlayıcısı

Tarafından desteklenir:Keeper Security

Keeper Security bağlayıcısı, Microsoft Sentinel'da Keeper Security'den ham olay verilerini okuma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
KeeperSecurityEventNewLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı, Keeper Security'nin Bir Microsoft Analytics Çalışma Alanında kullandığı tablolardaki verileri okur. Keeper Security'de veri iletme seçeneği etkinleştirilirse ham olay verileri Microsoft Sentinel Alma API'sine gönderilir.

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablolarının ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Günlüklerinizi çalışma alanına gönderme

Makinenizi günlükleri çalışma alanına gönderecek şekilde yapılandırmak için aşağıdaki parametreleri kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Olay Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>

3. Güncelleştirme Keeper Yönetici Konsolu

Microsoft Sentinel veri iletmeyi etkinleştirmek için Keeper Yönetici Konsolu'nu Azure bağlantı ayrıntılarıyla yapılandırın.

Keeper Yönetici Konsolunda Azure İzleyici Günlüklerini Yapılandırma

Keeper Yönetici Konsolu'nda Keeper Yöneticisi olarak oturum açın. Ardından Raporlama & Uyarıları'na gidin ve günlükleri Azure İzle'yi seçin.

Yukarıdaki 2. Adım'dan Yönetici Konsolu'na aşağıdaki bilgileri sağlayın:

• Azure Kiracı Kimliği: Bunu Azure "Abonelikler" alanından bulabilirsiniz.
• Uygulama (istemci) kimliği: Bu, Uygulama kaydı (KeeperLogging) genel bakış ekranında bulunur
• İstemci Gizli Anahtarı Değeri: Bu, uygulama kayıt gizli dizilerinden gelen İstemci Gizli Anahtarı Değeridir.
• Uç nokta URL'si: Bu, aşağıdaki belirli biçimde oluşturulmuş bir URL'dir: https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01

Uç Nokta URL'sini derlemek için:

• <Koleksiyon URL'si> Bu, yukarıdaki 2. Adımdan gelir
• < >DCR_ID Veri Toplayıcı Kuralı'ndan "Sabit Kimlik" değerini kopyalayın; örneğindcr-xxxxxxx
• Bu, Azure tarafından oluşturulan tablo adıdır; örneğinCustom-KeeperSecurityEventNewLogs

  Örnek: https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01

  
  
  

  ---

  LastPass Enterprise - Raporlama (CCF Yoklama)

  Destekleyen:Kolektif Danışmanlık

  LastPass Enterprise bağlayıcısı, Microsoft Sentinel'de LastPass raporlama (denetim) günlüklerine özellik sağlar. Bağlayıcı, LastPass'ta oturum açma işlemleri ve etkinlik (parolaları okuma ve kaldırma gibi) hakkında görünürlük sağlar.

  Log Analytics tabloları:

  Tablo	DCR desteği	Yalnızca göl alımı
  LastPassNativePoller_CL	Evet	Evet

  Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

  Önkoşullar:

  • LastPass API Anahtarı ve CID: LastPass API anahtarı ve CID gereklidir. Daha fazla bilgi için bkz. LastPass API'si.

  Kurulum Yönergeleri:

  LastPass Enterprise'ı Microsoft Sentinel'a bağlama

  LastPass Sağlama API Anahtarını sağlayın.

  
  
  

---

Lookout Mobil Tehdit Algılama Bağlayıcısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla) (Önizleme)

Tarafından desteklenir:Lookout

Lookout Mobil Tehdit Algılama veri bağlayıcısı, mobil güvenlik riskleriyle ilgili olayları Mobil Risk API'sini kullanarak Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bu bağlayıcı, mobil cihazlarda algılanan olası güvenlik risklerini incelemenize yardımcı olur.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
LookoutMtdV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Lookout Mobile Threat Defense bağlayıcısını Microsoft Sentinel bağlama

Lookout'a bağlanmadan önce aşağıdaki önkoşulların tamamlandığından emin olun.

1. Mobil Tehdit Algılama API'sinde ApiKey gereklidir. API hakkında daha fazla bilgi edinmek için belgelere bakın. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin.

• API anahtarı: (API anahtarınızı girin )
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Luminar ICS ve Sızdırılan Kimlik Bilgileri (Azure İşlevleri kullanarak)

Tarafından desteklenir:Cognyte Luminar

Luminar IOC'ler ve Sızdırılan Kimlik Bilgileri bağlayıcısı, akıllı IOC verilerinin ve Luminar tarafından tanımlanan müşteriyle ilgili sızdırılan kayıtların tümleştirilmesine olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Aboneliği: Azure Bir uygulamayı azure active directory() hizmetine kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Luminar İstemci Kimliği, Luminar İstemci Gizli Anahtarı ve Luminar Hesap Kimliği gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, Luminar ICS'lerini ve Sızdırılan Kimlik Bilgilerini Microsoft Sentinel çekmek üzere Cognyte Luminar API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Uygulama Kimliği, Kiracı Kimliği,İstemci Gizli Anahtarı, Luminar API İstemci Kimliği, Luminar API Hesap Kimliği, Luminar API İstemci Gizli Anahtarı, Sınır, TimeInterval ve dağıtımı girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Cognyte Luminar veri bağlayıcısını Azure İşlevleri ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın (Visual Studio Code aracılığıyla dağıtım).

1. İşlev Uygulaması Dağıtma

NOT:VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. CognyteLuminarXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft sentinel'in bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

11. İlgili dize değerleriyle (büyük/küçük harfe duyarlı) aşağıdaki uygulama ayarlarının her birini tek tek ekleyin: Uygulama Kimliği Kiracı Kimliği İstemci Gizli Anahtarı Luminar API İstemci Kimliği Luminar API Hesap Kimliği Luminar API İstemci Gizli Sınır TimeInterval - Ayrılmış bulut için log Analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri aşağıdaki biçimde belirtin:https://<CustomerId>.ods.opinsights.azure.us

12. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

MailGuard 365

Tarafından desteklenir:MailGuard 365

MailGuard 365 Microsoft 365 için Gelişmiş Email Güvenliği. Microsoft marketine özel mailguard 365, kimlik avı, fidye yazılımı ve gelişmiş BEC saldırıları gibi gelişmiş e-posta tehditlerine karşı gelişmiş koruma için Microsoft 365 güvenliği (Defender dahil) ile tümleşiktir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
MailGuard365_Threats_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

MailGuard 365'i yapılandırma ve bağlama

1. MailGuard 365 Konsolu'nda gezinti çubuğunda Ayarlar'a tıklayın.
2. Tümleştirmeler sekmesine tıklayın.
3. Etkinleştir Microsoft Sentinel tıklayın.
4. Aşağıdaki alanlardan çalışma alanı kimliğinizi ve birincil anahtarınızı girin, Son'a tıklayın.
5. Ek yönergeler için lütfen MailGuard 365 desteğine başvurun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Secure Practice tarafından MailRisk

Tarafından desteklenir:Güvenli Uygulama

MailRisk by Secure Practice bağlayıcısı, MailRisk API'sinden Microsoft Sentinel e-posta tehdit bilgileri verilerini almanızı sağlar. Bu bağlayıcı bildirilen e-postalar, risk değerlendirmeleri ve e-posta tehditleriyle ilgili güvenlik olayları hakkında görünürlük sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
MailRiskEventEmails_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• API kimlik bilgileri: Yönetici portalındaki ayarlarda oluşturulan Güvenli Uygulama API anahtar çiftiniz de gereklidir. açıklamasıyla Microsoft Sentinelyeni bir anahtar çifti oluşturun.

Kurulum Yönergeleri:

1. Güvenli Uygulama API'si Kimlik Bilgilerini Alma

Güvenli Uygulama hesabınızda oturum açın ve henüz yapmadıysanız bir API Anahtarı ve API Gizli Anahtarı oluşturun.

2. MailRisk API'sine bağlanma

Güvenli Uygulama API'nizin kimlik bilgilerini aşağıya girin. Kimlik bilgileri güvenli bir şekilde depolanır ve API isteklerinin kimliğini doğrulamak için kullanılır.

• API Anahtarı: (Güvenli Uygulama API Anahtarınızı girin)
• API Gizli Anahtarı: (Güvenli Uygulama API Gizli Dizinizi Girin)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

meshStack Olay Günlükleri

Tarafından desteklenir:meshcloud GmbH

meshStack Olay Günlükleri bağlayıcısı, meshStack platform olaylarını Microsoft Sentinel alma özelliği sağlar. meshStack olay günlüklerini Microsoft Sentinel bağlayarak bu verileri çalışma kitaplarında görüntüleyebilir, özel uyarılar oluşturmak için kullanabilir ve bulut platformu idaresi, denetimi ve uyumluluk izlemesi için araştırma sürecinizi geliştirebilirsiniz.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
meshStackEventLogs_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• meshStack OAuth2 API Anahtarı: 'Yönetici: Herhangi bir Çalışma Alanında Olay Günlüklerini Listeleme' iznine sahip geçerli bir meshStack API Anahtarı gereklidir. Access Control API Anahtarları altında > meshStack Yönetici Panelinde API Anahtarını oluşturun. API Anahtarı, kimlik doğrulaması için OAuth2 kimlik bilgileri (client_id olarak Anahtar Kimliği ve client_secret olarak Anahtar Gizli Anahtarı) sağlar. Not: API Anahtarı bir çalışma alanına bağlıdır ancak tüm çalışma alanlarındaki olaylara erişebilir.
• meshStack Örneği: Olaylar API'sinin etkinleştirildiği bir meshStack örneğine erişim.

Kurulum Yönergeleri:

meshStack Olay Günlüklerini Microsoft Sentinel bağlama

API Anahtarı'ndan meshStack örneği API URL'nizi ve OAuth2 kimlik bilgilerinizi girin. API URL biçimi şu şekilde olmalıdır: https://your-meshstack-instance.io. 'Yönetici: Herhangi bir Çalışma Alanında Olay Günlüklerini Listeleme' izniyle meshStack'te (Yönetici Panel > Access Control > API Anahtarları) bir API Anahtarı oluşturun. API Anahtarı, OAuth2 kimlik doğrulaması için bir Anahtar Kimliği (client_id) ve Anahtar Gizli Anahtarı (client_secret) sağlar.

• meshStack API URL'si: (https://your-meshstack-instance.io)
• İstemci Kimliği (Anahtar Kimliği): (API Anahtarından Anahtar Kimliğini Girin)
• İstemci Gizli Anahtarı (Anahtar Gizli Anahtarı): (API Anahtarından Anahtar Gizli Anahtarı Girin)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Microsoft 365 (eski adıyla Office 365)

Tarafından desteklenir:Microsoft Corporation

Microsoft 365 (eski adıyla Office 365) etkinlik günlüğü bağlayıcısı, devam eden kullanıcı etkinlikleri hakkında içgörü sağlar. Dosya indirmeleri, gönderilen erişim istekleri, grup olaylarında yapılan değişiklikler, set-posta kutusu ve eylemleri gerçekleştiren kullanıcının ayrıntıları gibi işlemlerin ayrıntılarını alırsınız. Microsoft 365 günlüklerini Microsoft Sentinel bağlayarak bu verileri kullanarak panoları görüntüleyebilir, özel uyarılar oluşturabilir ve araştırma sürecinizi geliştirebilirsiniz. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OfficeActivity	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Microsoft 365 Insider Risk Management

Tarafından desteklenir:Microsoft Corporation

Microsoft 365 Insider Risk Management, microsoft 365'te kuruluşunuzdaki kötü amaçlı ve yanlışlıkla kullanılabilecek etkinlikleri algılamanıza, araştırmanıza ve eyleme geçirmenize olanak tanıyarak iç riskleri en aza indirmenize yardımcı olan bir uyumluluk çözümüdür. Kuruluşunuzdaki risk analistleri, kullanıcıların kuruluşunuzun uyumluluk standartlarıyla uyumlu olduğundan emin olmak için hızlı bir şekilde uygun eylemler gerçekleştirebilir.

Insider risk ilkeleri şunları yapmanızı sağlar:

• kuruluşunuzda tanımlamak ve algılamak istediğiniz risk türlerini tanımlayın.
• gerekirse servis taleplerini Microsoft Advanced eDiscovery'e aktarma dahil olmak üzere yanıt olarak hangi eylemlerin gerçekleştirilmesi gerektiğine karar verin.

Bu çözüm, Microsoft 365 Uyumluluk Merkezi'ndeki Insider Risk Management çözümünde Office müşterileri tarafından görülebilen uyarılar üretir. Insider Risk Management hakkında daha fazla bilgi edinin.

Bu uyarılar, bu bağlayıcıyla Microsoft Sentinel içeri aktarılarak bunları daha geniş bir kurumsal tehdit bağlamında görmenizi, araştırmanızı ve yanıtlamanızı sağlar. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityAlert	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Microsoft Active-Directory Etki Alanı Denetleyicileri Güvenlik Olay Günlükleri

Tarafından desteklenir:Community

[Seçenek 3 & 4] - Azure İzleyici Aracısını Kullanma -Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden bir bölümü veya tüm Etki Alanı Denetleyicileri Güvenlik Olayı günlüklerini akışla aktarabilirsiniz. Bu bağlantı özel uyarılar oluşturmanıza ve araştırmayı geliştirmenize olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityEvent	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Log Analytics kullanım dışı bırakılacaktır ve Azure olmayan VM'lerden veri toplamak için Arc Azure önerilir. Daha fazla bilgi edinin
• Ayrıntılı belgeler: >NOT: Yükleme yordamı ve kullanımıyla ilgili ayrıntılı belgelere buradan ulaşabilirsiniz

Kurulum Yönergeleri:

NOT: Bu çözüm, seçenekleri temel alır. Bu, bazı seçenekler çok yüksek hacimli veriler oluşturaaabildiği için hangi verilerin alınacağını seçmenize olanak tanır. Ne toplamak istediğinize bağlı olarak, Çalışma Kitaplarınızda, Analiz Kurallarınızda, Tehdit Avcılığı özelliklerinizde dağıtacağınız seçenekleri belirlersiniz. Her seçenek birbirinden bağımsızdır. Her seçenek hakkında daha fazla bilgi edinmek için: 'Microsoft Exchange Güvenliği' wiki

Bu Veri Bağlayıcısı, wiki'nin 3 ve 4. seçeneğidir .

1. Microsoft Sentinel için günlükleri toplamak için gereken aracıları indirip yükleyin

Sunucu türü (Exchange Sunucuları, Exchange Sunucuları'na bağlı Etki Alanı Denetleyicileri veya tüm Etki Alanı Denetleyicileri) dağıtmak istediğiniz seçeneğe bağlıdır.

İzleyici Aracılarını Dağıtma

Bu adım yalnızca Exchange Sunucularınızı/Etki Alanı Denetleyicilerinizi ilk kez eklediğinizde gereklidir Azure Arc Aracısını Dağıtın Daha fazla bilgi edinin

Etki Alanı Denetleyicilerinin güvenlik günlükleri

Etki Alanı Denetleyicilerinin Güvenlik günlüklerinin akışının nasıl yapılacağını seçin. Seçenek 3'i uygulamak istiyorsanız, exchange sunucularıyla aynı sitede DC'yi seçmeniz yeterlidir. Seçenek 4'i uygulamak istiyorsanız, ormanınızın tüm DC'lerini seçebilirsiniz.

[Seçenek 3] Sonraki adım için yalnızca Exchange Sunucuları ile aynı sitedeki Etki Alanı Denetleyicilerini listeleme

Bu, alınan veri miktarını sınırlar ancak bazı olaylar algılanamaz.

[Seçenek 4] Sonraki adım için Active-Directory Ormanınızın tüm Etki Alanı Denetleyicilerini listeleme

Bu, tüm güvenlik olaylarının toplanmasına olanak tanır

Güvenlik Olay günlüğü koleksiyonu

Veri Toplama Kuralları - Güvenlik Olay günlükleri

Güvenlik Günlükleri için veri toplama kuralını etkinleştirme Güvenlik Olayları günlükleri yalnızca Windows aracılarından toplanır.

1. Kaynaklar sekmesinde seçili DC'leri ekleyin.
2. Güvenlik günlüğü düzeyini seçin

Ortak düzey , gereken en düşük düzeydir. Lütfen DCR tanımında 'Ortak' veya 'Tüm Güvenlik Olayları' seçeneğini belirleyin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

---

Microsoft Copilot

Tarafından desteklenir:Microsoft

Microsoft Sentinel'deki Microsoft Copilot günlükleri bağlayıcısı, gelişmiş tehdit algılama, araştırma ve yanıt için Copilot tarafından oluşturulan etkinlik günlüklerinin M365 Copilot ve Security Copilot'den Microsoft Sentinel sorunsuz bir şekilde alımını sağlar. Kullanım verileri ve sistem yanıtları gibi Microsoft Copilot hizmetlerden telemetri toplar ve Microsoft Sentinel'a veri alır ve güvenlik ekiplerinin kötüye kullanımı izlemesine, anomalileri algılamasına ve kuruluş ilkeleriyle uyumluluğu sürdürmesine olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CopilotActivity	Hayır	Evet

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Kiracı İzinleri: Çalışma alanının kiracısı üzerinde 'Güvenlik Yöneticisi' veya 'Genel Yönetici'.

Kurulum Yönergeleri:

Microsoft Copilot denetim günlüklerini Microsoft Sentinel bağlama

Bu bağlayıcı, Microsoft Copilot denetim günlüklerinizi almak için Office Yönetim API'sini kullanır. Günlükler mevcut Microsoft Sentinel çalışma alanınızda depolanır ve işlenir. Verileri CopilotActivity tablosunda bulabilirsiniz.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Microsoft Dataverse

Tarafından desteklenir:Microsoft Corporation

Microsoft Dataverse, kuruluşların iş uygulamaları tarafından kullanılan verileri depolamasına ve yönetmesine olanak tanıyan ölçeklenebilir ve güvenli bir veri platformudur. Microsoft Dataverse veri bağlayıcısı Dataverse'i alma ve Microsoft Sentinel oturum açma Microsoft Purview Denetim CRM etkinlik günlüklerini Dynamics 365 olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
DataverseActivity	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Kiracı İzinleri: Çalışma alanının kiracısı üzerinde 'Güvenlik Yöneticisi' veya 'Genel Yönetici'.
• Micorosft Purview Denetimi: Microsoft Purview Denetim (Standart veya Premium) etkinleştirilmelidir.
• Production Dataverse: Etkinlik günlüğü yalnızca Üretim ortamlarında kullanılabilir. Korumalı alan gibi diğer türler etkinlik günlüğünü desteklemez.
• Dataverse Denetim Ayarları: Denetim ayarlarının hem genel hem de varlık/tablo düzeyinde yapılandırılması gerekir. Daha fazla bilgi için bkz. Dataverse denetim ayarları.

Kurulum Yönergeleri:

Microsoft Dataverse denetim günlüklerini Microsoft Sentinel bağlama

Bu bağlayıcı, Dataverse denetim günlüklerinizi almak için Office Yönetim API'sini kullanır. Günlükler mevcut Microsoft Sentinel çalışma alanınızda depolanır ve işlenir. Verileri DataverseActivity tablosunda bulabilirsiniz.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Microsoft Defender for Cloud Apps

Tarafından desteklenir:Microsoft Corporation

Microsoft Defender for Cloud Apps bağlantı kurarak bulut uygulamalarınıza görünürlük elde eder, siber tehditleri tanımlamak ve bunlarla mücadele etmek ve verilerinizin nasıl ilerlettiğini denetlemek için gelişmiş analizler elde edersiniz.

• Ağınızdaki gölge BT bulut uygulamalarını belirleyin.
• Koşullara ve oturum bağlamlarına göre erişimi denetleme ve sınırlama.
• Veri paylaşımı ve veri kaybı önleme için yerleşik veya özel ilkeler kullanın.
• Fidye yazılımı etkinliği, imkansız seyahat, şüpheli e-posta iletme kuralları ve dosyaların toplu indirilmesi gibi Microsoft davranış analizi ve anomali algılama özellikleriyle yüksek riskli kullanımı belirleyin ve olağan dışı kullanıcı etkinlikleri için uyarılar alın.
• Dosyaların toplu olarak indirilmesi

Şimdi dağıtın >

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityAlert​	Hayır	Hayır
McasShadowItReporting​	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

Uç Nokta için Microsoft Defender

Tarafından desteklenir:Microsoft Corporation

Uç Nokta için Microsoft Defender, gelişmiş tehditleri önlemek, algılamak, araştırmak ve yanıtlamak için tasarlanmış bir güvenlik platformudur. Platform, bir kuruluşta şüpheli güvenlik olayları görüldüğünde uyarılar oluşturur. Güvenlik olaylarını etkili bir şekilde analiz edebilmeniz için Uç Nokta için Microsoft Defender oluşturulan uyarıları Microsoft Sentinel getirin. Anında yanıt için kurallar oluşturabilir, panolar oluşturabilir ve playbook'lar yazabilirsiniz. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın>.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityAlert	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Kimlik için Microsoft Defender

Tarafından desteklenir:Microsoft Corporation

Olaylara ve kullanıcı analizine görünürlük sağlamak için Kimlik için Microsoft Defender bağlanın. Kimlik için Microsoft Defender gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kuruluşunuza yönelik kötü amaçlı insider eylemlerini tanımlar, algılar ve araştırmanıza yardımcı olur. Kimlik için Microsoft Defender, Hibrit ortamlardaki gelişmiş saldırıları algılamaya çalışan SecOp analistlerinin ve güvenlik uzmanlarının şunları sağlar:

• Öğrenme tabanlı analizle kullanıcıları, varlık davranışını ve etkinlikleri izleme
• Active Directory'de depolanan kullanıcı kimliklerini ve kimlik bilgilerini koruma
• Sonlandırma zinciri boyunca şüpheli kullanıcı etkinliklerini ve gelişmiş saldırıları belirleme ve araştırma
• Hızlı önceliklendirme için basit bir zaman çizelgesinde net olay bilgileri sağlayın

Şimdi deneyin >

Şimdi dağıtın >

Daha fazla bilgi için Microsoft Sentinel belgelerine bakın>.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityAlert	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

IoT için Microsoft Defender

Tarafından desteklenir:Microsoft Corporation

IoT uyarıları için Microsoft Defender Microsoft Sentinel bağlayarak IoT güvenliğiniz hakkında içgörüler elde edin. Uyarı eğilimleri, en önemli uyarılar ve önem derecesine göre uyarı dökümü dahil olmak üzere kullanıma yönelik uyarı ölçümlerini ve verilerini alabilirsiniz. IoT hub'larınız için sağlanan öneriler hakkında, önem derecesine göre en önemli öneriler ve öneriler de dahil olmak üzere bilgi de alabilirsiniz. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityAlert	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Office 365 için Microsoft Defender (Önizleme)

Tarafından desteklenir:Microsoft Corporation

Office 365 için Microsoft Defender, kuruluşunuzu e-posta iletileri, bağlantılar (URL'ler) ve işbirliği araçları tarafından ortaya konan kötü amaçlı tehditlere karşı korur. Office 365 uyarıları için Microsoft Defender Microsoft Sentinel alarak, e-posta ve URL tabanlı tehditler hakkındaki bilgileri daha geniş risk analizinize ekleyebilir ve buna göre yanıt senaryoları oluşturabilirsiniz.

Aşağıdaki uyarı türleri içeri aktarılır:

• Kötü amaçlı olabilecek bir URL tıklaması algılandı
• Teslimden sonra kaldırılan kötü amaçlı yazılım içeren iletileri Email
• Kimlik avı URL'lerini içeren Email iletileri teslim sonrasında kaldırıldı
• kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı olarak bildirilen Email
• Şüpheli e-posta gönderme desenleri algılandı
• Kullanıcının e-posta göndermesi kısıtlandı

Bu uyarılar** Office Güvenlik ve Uyumluluk Merkezi**nde Office müşterileri tarafından görülebilir.

Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityAlert	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Microsoft Defender Tehdit Analizi

Tarafından desteklenir:Microsoft Corporation

Microsoft Sentinel, izleme, uyarı ve avcılığı etkinleştirmek için Microsoft tarafından oluşturulan tehdit bilgilerini içeri aktarma olanağı sağlar. Microsoft Defender Tehdit Analizi'dan (MDTI) Microsoft Sentinel'a Risk Göstergeleri'ni (ICS) aktarmak için bu veri bağlayıcısını kullanın. Tehdit göstergeleri IP adreslerini, etki alanlarını, URL'leri ve dosya karmalarını vb. içerebilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Microsoft Defender XDR

Tarafından desteklenir:Microsoft Corporation

Microsoft Defender XDR uç noktayı, kimliği, e-postayı ve uygulamaları koruyan ve gelişmiş tehditleri algılamanıza, önlemenize, araştırmanıza ve otomatik olarak yanıtlamanıza yardımcı olan birleşik, yerel olarak tümleşik, önceden ve ihlal sonrası kurumsal savunma paketidir.

Microsoft Defender XDR paketi şunları içerir:

• Uç Nokta için Microsoft Defender
• Kimlik için Microsoft Defender
• Office 365 için Microsoft Defender
• Tehdit & Güvenlik Açığı Yönetimi
• Bulut Uygulamaları için Microsoft Defender

Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityIncident	Evet	Evet
SecurityAlert	Evet	Evet
DeviceEvents	Evet	Evet
EmailEvents	Evet	Evet
IdentityLogonEvents	Evet	Evet
CloudAppEvents	Evet	Evet
AlertEvidence	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Microsoft Entra ID

Tarafından desteklenir:Microsoft Corporation

Denetim ve Oturum Açma günlüklerini Microsoft Sentinel bağlayarak Microsoft Entra ID senaryolar hakkında içgörüler elde ederek Microsoft Entra ID hakkında içgörüler elde edin. Oturum açma günlüklerimizi kullanarak uygulama kullanımı, koşullu erişim ilkeleri, eski kimlik doğrulaması ile ilgili ayrıntılar hakkında bilgi edinebilirsiniz. Denetim günlükleri tablomuzu kullanarak Self Servis Parola Sıfırlama (SSPR) kullanımınız, kullanıcı, grup, rol, uygulama yönetimi gibi Microsoft Entra ID Yönetimi etkinlikleri hakkında bilgi edinebilirsiniz. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SigninLogs	Evet	Evet
AuditLogs	Evet	Evet
AADNonInteractiveUserSignInLogs	Evet	Evet
AADServicePrincipalSignInLogs	Evet	Evet
AADManagedIdentitySignInLogs	Evet	Evet
AADProvisioningLogs	Evet	Evet
ADFSSignInLogs	Evet	Evet
AADUserRiskEvents	Evet	Evet
AADRiskyUsers	Evet	Evet
NetworkAccessTraffic	Evet	Evet
AADRiskyServicePrincipals	Evet	Evet
AADServicePrincipalRiskEvents	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Microsoft Entra ID Varlıkları

Tarafından desteklenir:Microsoft Corporation

Entra Kimlik varlıkları veri bağlayıcısı, varlık bilgileriyle ayrıntıları tamamlayarak etkinlik verileri hakkında daha zengin içgörüler sağlar. Bu bağlayıcıdaki veriler Purview'da veri riski grafları oluşturmak için kullanılır. Bu grafikleri etkinleştirdiyseniz, bu Bağlayıcıyı devre dışı bırakmak grafiklerin derlenmesini engeller. Veri riski grafiği hakkında bilgi edinin.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

---

Microsoft Entra ID Koruması

Tarafından desteklenir:Microsoft Corporation

Microsoft Entra ID Koruması, risk kullanıcılarını, risk olaylarını ve güvenlik açıklarını bir araya getirerek riski hemen düzeltme ve gelecekteki olayları otomatik olarak düzeltmek için ilkeler ayarlama olanağı sağlar. Hizmet, Microsoft'un tüketici kimliklerini koruma deneyimi üzerine kurulmuştur ve günde 13 milyardan fazla oturum açma işleminden gelen sinyalden muazzam bir doğruluk elde eder. Panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Microsoft Microsoft Entra ID Koruması uyarılarını Microsoft Sentinel ile tümleştirin. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Microsoft Entra ID Premium P1/P2 edinin

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityAlert	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Olay Günlüklerine Göre Microsoft Exchange Yönetici Denetim Günlükleri

Tarafından desteklenir:Community

[Seçenek 1] - Azure İzleyici Aracısı'nı kullanma - Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden tüm Exchange Denetim olaylarını akışla aktarabilirsiniz. Bu bağlantı panoları görüntülemenizi, özel uyarılar oluşturmanızı ve araştırmayı geliştirmenizi sağlar. Bu, Şirket İçi Exchange ortamınızla ilgili güvenlik içgörüleri sağlamak için Microsoft Exchange Güvenlik Çalışma Kitapları tarafından kullanılır

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Event	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Log Analytics kullanım dışı bırakılacaktır ve Azure olmayan VM'lerden veri toplamak için Arc Azure önerilir. Daha fazla bilgi edinin
• Ayrıntılı belgeler: >NOT: Yükleme yordamı ve kullanımıyla ilgili ayrıntılı belgelere buradan ulaşabilirsiniz

Kurulum Yönergeleri:

NOT: Bu çözüm, seçenekleri temel alır. Bu, bazı seçenekler çok yüksek hacimli veriler oluşturaaabildiği için hangi verilerin alınacağını seçmenize olanak tanır. Ne toplamak istediğinize bağlı olarak, Çalışma Kitaplarınızda, Analiz Kurallarınızda, Tehdit Avcılığı özelliklerinizde dağıtacağınız seçenekleri belirlersiniz. Her seçenek birbirinden bağımsızdır. Her seçenek hakkında daha fazla bilgi edinmek için: 'Microsoft Exchange Güvenliği' wiki

Bu Veri Bağlayıcısı, wiki'nin 1. seçeneğidir .

1. Microsoft Sentinel için günlükleri toplamak için gereken aracıları indirip yükleyin

Sunucu türü (Exchange Sunucuları, Exchange Sunucuları'na bağlı Etki Alanı Denetleyicileri veya tüm Etki Alanı Denetleyicileri) dağıtmak istediğiniz seçeneğe bağlıdır.

İzleyici Aracılarını Dağıtma

Bu adım yalnızca Exchange Sunucularınızı/Etki Alanı Denetleyicilerinizi ilk kez eklediğinizde gereklidir Azure Arc Aracısını Dağıtın Daha fazla bilgi edinin

2. [Seçenek 1] MS Exchange Yönetim Günlüğü koleksiyonu - MS Exchange Yönetici Veri Toplama Kurallarına göre olay günlüklerini denetleme

MS Exchange Yönetici Denetimi olay günlükleri Veri Toplama Kuralları (DCR) kullanılarak toplanır ve exchange ortamında yürütülen tüm Yönetim Cmdlet'lerinin depolanmasına olanak tanır.

DCR

Veri Toplama Kuralları Dağıtımı

Veri toplama kuralını etkinleştirme Microsoft Exchange Yönetici Denetim Olayları günlükleri yalnızca Windows aracılarından toplanır.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu (Tercih Edilen)

DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Adı 've/veya Diğer gerekli alanlar' girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

C. DCR oluşturma, Olay günlüğü yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun, Platform türü olarak Windows'ı seçin ve DCR'ye bir ad verin.
4. Kaynaklar sekmesinde Exchange Sunucuları'nı girin.
5. 'Topla ve teslim et' bölümünde bir Veri Kaynağı türü 'Windows Olay günlükleri' ekleyin ve 'Özel' seçeneğini belirleyin, ifade olarak 'MSExchange Management' yazın ve Ekleyin.
6. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

NOT: Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Ayrıştırıcılar çözümle otomatik olarak dağıtılır. Kusto İşlevleri diğer adını oluşturmak için adımları izleyin: ExchangeAdminAuditLogs

Çözüm dağıtımı sırasında ayrıştırıcılar otomatik olarak dağıtılır. El ile dağıtmak istiyorsanız aşağıdaki adımları izleyin

El ile Ayrıştırıcı Dağıtımı

1. Ayrıştırıcı dosyasını indirin

ExchangeAdminAuditLogs dosyasının en son sürümü

2. Ayrıştırıcı ExchangeAdminAuditLogs işlevi oluşturma

Microsoft Sentinel log analytics'inizin 'Günlükler' gezgininde dosyanın içeriğini Günlük gezginine kopyalayın

3. Ayrıştırıcı ExchangeAdminAuditLogs işlevini kaydetme

Kaydet düğmesine tıklayın. Bu ayrıştırıcı için parametre gerekmez. Yeniden kaydet'e tıklayın.

---

Microsoft Exchange HTTP Proxy Günlükleri

Tarafından desteklenir:Community

[Seçenek 7] - Azure İzleyici Aracısı'nı kullanma - Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden HTTP Proxy günlüklerini ve Güvenlik Olayı günlüklerini akışla aktarabilirsiniz. Bu bağlantı özel uyarılar oluşturmanıza ve araştırmayı geliştirmenize olanak tanır. Daha fazla bilgi edinin

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ExchangeHttpProxy_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Log Analytics kullanım dışı bırakılacaktır: Azure Log Analytics, Azure olmayan VM'lerden veri toplamak için kullanım dışı bırakılacaktır Azure Arc önerilir. Daha fazla bilgi edinin
• Ayrıntılı belgeler: >NOT: Yükleme yordamı ve kullanımıyla ilgili ayrıntılı belgelere buradan ulaşabilirsiniz

Kurulum Yönergeleri:

NOT: Bu çözüm, seçenekleri temel alır. Bu, bazı seçenekler çok yüksek hacimli veriler oluşturaaabildiği için hangi verilerin alınacağını seçmenize olanak tanır. Ne toplamak istediğinize bağlı olarak, Çalışma Kitaplarınızda, Analiz Kurallarınızda, Tehdit Avcılığı özelliklerinizde dağıtacağınız seçenekleri belirlersiniz. Her seçenek birbirinden bağımsızdır. Her seçenek hakkında daha fazla bilgi edinmek için: 'Microsoft Exchange Güvenliği' wiki

Bu Veri Bağlayıcısı, wiki'nin 7. seçeneğidir .

1. Microsoft Sentinel için günlükleri toplamak için gereken aracıları indirip yükleyin

Sunucu türü (Exchange Sunucuları, Exchange Sunucuları'na bağlı Etki Alanı Denetleyicileri veya tüm Etki Alanı Denetleyicileri) dağıtmak istediğiniz seçeneğe bağlıdır.

İzleyici Aracılarını Dağıtma

Bu adım yalnızca Exchange Sunucularınızı/Etki Alanı Denetleyicilerinizi ilk kez eklediğinizde gereklidir Azure Arc Aracısını Dağıtın Daha fazla bilgi edinin

2. [Seçenek 7] Exchange Sunucularının HTTP Proxy'si

Exchange Sunucularının HTTP Proxy'si akışının nasıl yapılacağını seçme

Veri Toplama Kuralları - Azure İzleyici Aracısı kullanıldığında

Veri toplama kuralını etkinleştirme İleti İzleme yalnızca Windows aracılarından toplanır.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu (Tercih Edilen Yöntem)

DCE ve DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. DCE'nin önerilen adını değiştirebilirsiniz.

4. Dağıtmak için Oluştur'a tıklayın.

B. Veri Bağlantısı Kuralını Dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. 've/veya Diğer gerekli alanlar' Çalışma Alanı Kimliğini girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

Özel Tablo Oluşturma - Açıklama

Özel Tablo, Azure portalı kullanılarak oluşturulamaz. Arm şablonu, PowerShell Betiği veya burada açıklanan başka bir yöntem kullanmanız gerekir.

ARM Şablonu Kullanarak Özel Tablo Oluşturma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu, Konum ve Analitik Çalışma Alanı Adı'nı seçin.

3. Dağıtmak için Oluştur'a tıklayın.

Cloud Shell'da PowerShell kullanarak Özel Tablo oluşturma

1. Azure portalı'ndan bir Cloud Shell açın.
2. Aşağıdaki betiği kopyalayıp yapıştırın ve Cloud Shell yürüterek tabloyu oluşturun. $tableParams = @' { "properties": { "schema": { "name": "ExchangeHttpProxy_CL", "columns": [ { "name": "AccountForestLatencyBreakup", "type": "string" }, { "name": "ActivityContextLifeTime", "type": "string" }, { "name": "ADLatency", "type": "string" }, { "name": "AnchorMailbox", "type": "string" }, { "name": "AuthenticatedUser", "type": "string" }, { "name": "AuthenticationType", "type": "string" }, { "name": "AuthModulePerfContext", "type": "string" }, { "name": "BackEndCookie", "type": "string" }, { "name": "BackEndGenericInfo", "type": "string" }, { "name": "BackendProcessingLatency", "type": "string" }, { "name": "BackendReqInitLatency", "type": "string" }, { "name": "BackendReqStreamLatency", "type": "string" }, { "name": "BackendRespInitLatency", "type": "string" }, { "name": "BackendRespStreamLatency", "type": "string" }, { "name": "BackEndStatus", "type": "string" }, { "name": "BuildVersion", "type": "string" }, { "name": "CalculateTargetBackEndLatency", "type": "string" }, { "name": "ClientIpAddress", "type": "string" }, { "name": "ClientReqStreamLatency", "type": "string" }, { "name": "ClientRequestId", "type": "string" }, { "name": "ClientRespStreamLatency", "type": "string" }, { "name": "CoreLatency", "type": "string" }, { "name": "DatabaseGuid", "type": "string" }, { "name": "EdgeTraceId", "type": "string" }, { "name": "ErrorCode", "type": "string" }, { "name": "GenericErrors", "type": "string" }, { "name": "GenericInfo", "type": "string" }, { "name": "GlsLatencyBreakup", "type": "string" }, { "name": "HandlerCompletionLatency", "type": "string" }, { "name": "HandlerToModuleSwitchingLatency", "type": "string" }, { "name": "HttpPipelineLatency", "type": "string" }, { "name": "HttpProxyOverhead", "type": "string" }, { "name": "HttpStatus", "type": "string" }, { "name": "IsAuthenticated", "type": "string" }, { "name": "KerberosAuthHeaderLatency", "type": "string" }, { "name": "MajorVersion", "type": "string" }, { "name": "Method", "type": "string" }, { "name": "MinorVersion", "type": "string" }, { "name": "ModuleToHandlerSwitchingLatency", "type": "string" }, { "name": "Organization", "type": "string" }, { "name": "PartitionEndpointLookupLatency", "type": "string" }, { "name": "Protocol", "type": "string" }, { "name": "ProtocolAction", "type": "string" }, { "name": "ProxyAction", "type": "string" }, { "name": "ProxyTime", "type": "string" }, { "name": "RequestBytes", "type": "string" }, { "name": "RequestHandlerLatency", "type": "string" }, { "name": "RequestId", "type": "string" }, { "name": "ResourceForestLatencyBreakup", "type": "string" }, { "name": "ResponseBytes", "type": "string" }, { "name": "RevisionVersion", "type": "string" }, { "name": "RouteRefresherLatency", "type": "string" }, { "name": "RoutingHint", "type": "string" }, { "name": "RoutingLatency", "type": "string" }, { "name": "RoutingStatus", "type": "string" }, { "name": "RoutingType", "type": "string" }, { "name": "ServerHostName", "type": "string" }, { "name": "ServerLocatorHost", "type": "string" }, { "name": "ServerLocatorLatency", "type": "string" }, { "name": "SharedCacheLatencyBreakup", "type": "string" }, { "name": "TargetOutstandingRequests", "type": "string" }, { "name": "TargetServer", "type": "string" }, { "name": "TargetServerVersion", "type": "string" }, { "name": "TotalAccountForestLatency", "type": "string" }, { "name": "TotalGlsLatency", "type": "string" }, { "name": "TotalRequestTime", "type": "string" }, { "name": "TotalResourceForestLatency", "type": "string" }, { "name": "TotalSharedCacheLatency", "type": "string" }, { "name": "UrlHost", "type": "string" }, { "name": "UrlQuery", "type": "string" }, { "name": "UrlStem", "type": "string" }, { "name": "UserADObjectGuid", "type": "string" }, { "name": "UserAgent", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "FilePath", "type": "string" } ] } } ' @
3. Aşağıdaki parametreleri kopyalayın, değiştirin, yapıştırın ve kendi değerlerinizle yürütun: $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
4. Tabloyu oluşturmak için Aşağıdaki Cmdlet'i yürütebilirsiniz: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Azure portalı'ndan Azure Veri toplama Uç Noktası'na gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun ve DCE'ye bir ad verin.
4. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

B. DCR oluşturma, Özel günlük yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. 'Oluştur' düğmesine tıklayın.
3. 'Temel Bilgiler' sekmesinde DCR-Option7-HTTPProxyLogs gibi Kural adını doldurun, daha önce oluşturulan uç noktayla 'Veri Toplama Uç Noktası'nı seçin ve diğer parametreleri doldurun.
4. Kaynaklar sekmesinde Exchange Sunucularınızı ekleyin.
5. Topla ve Teslim Et'e bir Veri Kaynağı türü 'Özel Metin günlükleri' ekleyin ve şu dosya desenini girin: 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\1Ews*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
6. Tablo Adı'nda 'ExchangeHttpProxy_CL' yazın.
7. Dönüştür alanına aşağıdaki KQL isteğini girin: kaynak | extend d = split(RawData,',') | extend DateTime=todatetime(d[0]),RequestId=tostring(d[1]) ,MajorVersion=tostring(d[2]) ,MinorVersion=tostring(d[3]) ,BuildVersion=tostring(d[4]) ,RevisionVersion=tostring(d[5]) ,ClientRequestId=tostring(d[6]) ,Protocol=tostringing(d[7]) ,UrlHost=tostring(d[8]) ,UrlStem=tostring(d[9]) ,ProtocolAction=tostring(d[10]) ,AuthenticationType=tostring(d[11]) ,IsAuthenticated=tostring(d[12]) ,AuthenticatedUser=tostring(d[13]) , , Organization=tostring(d[14]) ,AnchorMailbox=tostring(d[15]) ,UserAgent=tostring(d[16]) ,ClientIpAddress=tostring(d [17]) ,ServerHostName=tostring(d[18]) ,HttpStatus=tostring(d[19]) ,BackEndStatus=tostring(d[20]) ) ,ErrorCode=tostring(d[21]) ,Method=tostring(d[22]) ,ProxyAction=tostring(d[23]) ,TargetServer=tostring(d [24]) ,TargetServerVersion=tostring(d[25]) ,RoutingType=tostring(d[26]) ,RoutingHint=tostring(d[27]) , BackEndCookie=tostring(d[28]) ,ServerLocatorHost=tostring(d[29]) ,ServerLocatorLatency=tostring(d[30]) ,RequestBytes=tostring(d[31]) ,ResponseBytes=tostring(d[32]) ,TargetOutstandingRequests=tostring(d[33]) ,AuthModulePerfContext=tostring(d[34]) ,HttpPipelineLatency=tostring(d[35]) ,CalculateTargetBackEndLatency=tostring(d[36]) ,GlsLatencyBreakup=tostring(d[37]) ,TotalGlsLatency=tostring(d[38]) ,AccountForestLatencyBreakup=tostring(d[39]) , TotalAccountForestLatency=tostring(d[40]) ,ResourceForestLatencyBreakup=tostring(d[41]) ,TotalResourceForestLatency=tostring(d[42]) ,ADLatency=tostring(d[43]) ,SharedCacheLatencyBreakup=tostring(d[44]) ,TotalSharedCacheLatency=tostring(d[[44]) 45]) ,ActivityContextLifeTime=tostring(d[46]) ,ModuleToHandlerSwitchingLatency=tostring(d[47]) ,ClientReqStreamLatency=tostring(d[48]) ,BackendReqInitLatency=tostring(d[49]) ,BackendReqStreamLatency=tostring(d[50]) , BackendProcessingLatency=tostring(d[51]) ,BackendRespInitLatency=tostring(d[52]) ,BackendRespStreamLatency=tostring(d[53)]) ,ClientRespStreamLatency=tostring(d[54]) ,KerberosAuthHeaderLatency=tostring(d[55]) ,HandlerCompletionLatency=tostring(d[54)56]) ,RequestHandlerLatency=tostring(d[57]) ,HandlerToModuleSwitchingLatency=tostring(d[58]) ,ProxyTime=tostring(d[59]) ,CoreLatency=tostring(d[60]) ,RoutingLatency=tostring(d[61]) ,HttpProxyOverhead=tostring(d[62]) , TotalRequestTime=tostring(d[63]) ,RouteRefresherLatency=tostring(d[64]) ,UrlQuery=tostring(d[65]) ,BackEndGenericInfo=tostring(d[66]) ,GenericInfo=tostring(d[67]) ,GenericErrors=tostring(d[64]) 68]) ,EdgeTraceId=tostring(d[69]) ,DatabaseGuid=tostring(d[70]) ,UserADObjectGuid=tostring(d[71]) ,PartitionEndpointLookupLatency=tostring(d[72]) ,RoutingStatus=tostring(d[73]) | extend TimeGenerated = DateTime | project-away d,RawData,DateTime | project-away d,RawData,DateTime ve 'Hedef'e tıklayın.
8. 'Hedef'te bir hedef ekleyin ve daha önce Özel Tablo oluşturduğunuz Çalışma Alanını seçin
9. 'Veri kaynağı ekle'ye tıklayın.
10. Diğer gerekli parametreleri ve etiketleri doldurun ve DCR'yi oluşturun

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

---

Microsoft Exchange Günlükleri ve Olayları

Tarafından desteklenir:Community

[Seçenek 2] - Azure İzleyici Aracısı'nı kullanma - Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden tüm Exchange Güvenliği & Uygulama Olayı günlüklerini akışla aktarabilirsiniz. Bu bağlantı özel uyarılar oluşturmanıza ve araştırmayı geliştirmenize olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Event	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Log Analytics kullanım dışı bırakılacaktır: Azure Log Analytics, Azure olmayan VM'lerden veri toplamak için kullanım dışı bırakılacaktır Azure Arc önerilir. Daha fazla bilgi edinin
• Ayrıntılı belgeler: >NOT: Yükleme yordamı ve kullanımıyla ilgili ayrıntılı belgelere buradan ulaşabilirsiniz

Kurulum Yönergeleri:

NOT: Bu çözüm, seçenekleri temel alır. Bu, bazı seçenekler çok yüksek hacimli veriler oluşturaaabildiği için hangi verilerin alınacağını seçmenize olanak tanır. Ne toplamak istediğinize bağlı olarak, Çalışma Kitaplarınızda, Analiz Kurallarınızda, Tehdit Avcılığı özelliklerinizde dağıtacağınız seçenekleri belirlersiniz. Her seçenek birbirinden bağımsızdır. Her seçenek hakkında daha fazla bilgi edinmek için: 'Microsoft Exchange Güvenliği' wiki

Bu Veri Bağlayıcısı, wiki'nin 2. seçeneğidir .

1. Microsoft Sentinel için günlükleri toplamak için gereken aracıları indirip yükleyin

Sunucu türü (Exchange Sunucuları, Exchange Sunucuları'na bağlı Etki Alanı Denetleyicileri veya tüm Etki Alanı Denetleyicileri) dağıtmak istediğiniz seçeneğe bağlıdır.

İzleyici Aracılarını Dağıtma

Bu adım yalnızca Exchange Sunucularınızı/Etki Alanı Denetleyicilerinizi ilk kez eklediğinizde gereklidir Azure Arc Aracısını Dağıtın Daha fazla bilgi edinin

2. [Seçenek 2] Exchange Sunucularının Güvenlik/Uygulama/Sistem günlükleri

Exchange Sunucularının Güvenlik/Uygulama/Sistem günlükleri Veri Toplama Kuralları (DCR) kullanılarak toplanır.

Güvenlik Olay günlüğü koleksiyonu

Veri Toplama Kuralları - Güvenlik Olay günlükleri

Güvenlik Günlükleri için veri toplama kuralını etkinleştirme Güvenlik Olayları günlükleri yalnızca Windows aracılarından toplanır.

1. Kaynaklar sekmesine Exchange Sunucuları ekleyin.
2. Güvenlik günlüğü düzeyini seçin

Ortak düzey , gereken en düşük düzeydir. Lütfen DCR tanımında 'Ortak' veya 'Tüm Güvenlik Olayları' seçeneğini belirleyin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

Uygulama ve Sistem Olay günlüğü koleksiyonu

Veri toplama kuralını etkinleştirme

Uygulama ve Sistem Olayları günlükleri yalnızca Windows aracılarından toplanır.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu (Tercih edilen yöntem)

DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Adı 've/veya Diğer gerekli alanlar' girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

C. DCR oluşturma, Olay günlüğü yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun, Platform türü olarak Windows'ı seçin ve DCR'ye bir ad verin.
4. Kaynaklar sekmesinde Exchange Sunucuları'nı girin.
5. 'Toplama ve teslim et' bölümünde bir Veri Kaynağı türü 'Windows Olay günlükleri' ekleyin ve 'Temel' seçeneğini belirleyin.
6. Uygulama için 'Kritik', 'Hata' ve 'Uyarı'yı seçin. Sistem için Kritik/Hata/Uyarı/Bilgi'yi seçin.
7. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

---

Microsoft Exchange İleti İzleme Günlükleri

Tarafından desteklenir:Community

[Seçenek 6] - Azure İzleyici Aracısı'nı kullanma - Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden tüm Exchange İleti İzleme akışını yapabilirsiniz. Bu günlükler, Exchange ortamınızdaki iletilerin akışını izlemek için kullanılabilir. Bu veri bağlayıcısı , Microsoft Exchange Güvenliği wiki'sinin 6. seçeneğini temel alır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
MessageTrackingLog_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Log Analytics kullanım dışı bırakılacaktır: Azure Log Analytics, Azure olmayan VM'lerden veri toplamak için kullanım dışı bırakılacaktır Azure Arc önerilir. Daha fazla bilgi edinin
• Ayrıntılı belgeler: >NOT: Yükleme yordamı ve kullanımıyla ilgili ayrıntılı belgelere buradan ulaşabilirsiniz

Kurulum Yönergeleri:

NOT: Bu çözüm, seçenekleri temel alır. Bu, bazı seçenekler çok yüksek hacimli veriler oluşturaaabildiği için hangi verilerin alınacağını seçmenize olanak tanır. Ne toplamak istediğinize bağlı olarak, Çalışma Kitaplarınızda, Analiz Kurallarınızda, Tehdit Avcılığı özelliklerinizde dağıtacağınız seçenekleri belirlersiniz. Her seçenek birbirinden bağımsızdır. Her seçenek hakkında daha fazla bilgi edinmek için: 'Microsoft Exchange Güvenliği' wiki

Bu Veri Bağlayıcısı, wiki'nin 6. seçeneğidir .

1. Microsoft Sentinel için günlükleri toplamak için gereken aracıları indirip yükleyin

Sunucu türü (Exchange Sunucuları, Exchange Sunucuları'na bağlı Etki Alanı Denetleyicileri veya tüm Etki Alanı Denetleyicileri) dağıtmak istediğiniz seçeneğe bağlıdır.

İzleyici Aracılarını Dağıtma

Bu adım yalnızca Exchange Sunucularınızı/Etki Alanı Denetleyicilerinizi ilk kez eklediğinizde gereklidir Azure Arc Aracısını Dağıtın Daha fazla bilgi edinin

2. Exchange Sunucularının İleti İzlemesi

Exchange Sunucularının İleti İzleme akışının nasıl yapılacağını seçme

Veri Toplama Kuralları - Azure İzleyici Aracısı kullanıldığında

Veri toplama kuralını etkinleştirme İleti İzleme yalnızca Windows aracılarından toplanır.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

DCE ve DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. DCE'nin önerilen adını değiştirebilirsiniz.

4. Dağıtmak için Oluştur'a tıklayın.

B. Veri Bağlantı Kuralı ve Özel Tablo Dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. 've/veya Diğer gerekli alanlar' Çalışma Alanı Kimliğini girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

Özel Tablo Oluşturma - Açıklama

Özel Tablo, Azure portalı kullanılarak oluşturulamaz. Arm şablonu, PowerShell Betiği veya burada açıklanan başka bir yöntem kullanmanız gerekir.

ARM Şablonu Kullanarak Özel Tablo Oluşturma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu, Konum ve Analitik Çalışma Alanı Adı'nı seçin.

3. Dağıtmak için Oluştur'a tıklayın.

Cloud Shell'da PowerShell kullanarak Özel Tablo oluşturma

1. Azure portalı'ndan bir Cloud Shell açın.
2. Aşağıdaki betiği kopyalayıp yapıştırın ve Cloud Shell yürüterek tabloyu oluşturun. $tableParams = @' { "properties": { "schema": { "name": "MessageTrackingLog_CL", "columns": [ { "name": "directionality", "type": "string" }, { "name": "reference", "type": "string" }, { "name": "source", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "clientHostname", "type": "string" }, { "name": "clientIP", "type": "string" }, { "name": "connectorId", "type": "string" }, { "name": "customData", "type": "string" }, { "name": "eventId", "type": "string" }, { "name": "internalMessageId", "type": "string" }, { "name": "logId", "type": "string" }, { "name": "messageId", "type": "string" }, { "name": "messageInfo", "type": "string" }, { "name": "messageSubject", "type": "string" }, { "name": "networkMessageId", "type": "string" }, { "name": "originalClientIp", "type": "string" }, { "name": "originalServerIp", "type": "string" }, { "name": "recipientAddress", "type": "string" }, { "name": "recipientCount", "type": "string" }, { "name": "recipientStatus", "type": "string" }, { "name": "relatedRecipientAddress", "type": "string" }, { "name": "returnPath", "type": "string" }, { "name": "senderAddress", "type": "string" }, { "name": "senderHostname", "type": "string" }, { "name": "serverIp", "type": "string" }, { "name": "sourceContext", "type": "string" }, { "name": "schemaVersion", "type": "string" }, { "name": "messageTrackingTenantId", "type": "string" }, { "name": "totalBytes", "type": "string" }, { "name": "transportTrafficType", "type": "string" }, { "name": "FilePath", "type": "string" } ] } } } ' @
3. Aşağıdaki parametreleri kopyalayın, değiştirin, yapıştırın ve kendi değerlerinizle yürütun: $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
4. Tabloyu oluşturmak için Aşağıdaki Cmdlet'i yürütebilirsiniz: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Azure portalı'ndan Azure Veri toplama Uç Noktası'na gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun ve DCE'ye ESI-ExchangeServers gibi bir ad verin.
4. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

B. DCR oluşturma, Özel günlük yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. 'Oluştur' düğmesine tıklayın.
3. 'Temel Bilgiler' sekmesinde DCR-Option6-MessageTrackingLogs gibi Kural adını doldurun, daha önce oluşturulan uç noktayla 'Veri Toplama Uç Noktası'nı seçin ve diğer parametreleri doldurun.
4. Kaynaklar sekmesinde Exchange Sunucularınızı ekleyin.
5. Topla ve Teslim'e bir Veri Kaynağı türü 'Özel Metin günlükleri' ekleyin ve Tablo Adı'nda 'MessageTrackingLog_CL' dosya desenine 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log' girin. Dönüştürme alanına 6.in aşağıdaki KQL isteğini girin: kaynak | extend d = split(RawData,',') | extend TimeGenerated =todatetime(d[0]) ,clientIP =tostring(d[1]) ,clientHostname =tostring(d[2]) ,serverIp=tostring(d[3]) ,senderHostname=tostring(d[4]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) ,source=tostring(d[7]) ,eventId =tostring(d[8]) ,internalMessageId =tostring(d[9]) ,messageId =tostring(d[10]) ,networkMessageId =tostring(d[11]) ,recipientAddress=tostring(d[12]) ,recipientStatus=tostring(d[13]) , totalBytes=tostring(d[14]) ,recipientCount=tostring(d[15]) ,relatedRecipientAddress=tostring(d[16]) ,reference=tostring(d [17]) ,messageSubject =tostring(d[18]) ,senderAddress=tostring(d[19]) ,returnPath=tostring(d[20]) ,,messageInfo =tostring(d[21]) ,directionality=tostring(d[22]) ,messageTrackingTenantId =tostring(d[23]) ,originalClientIp =tostring(d[24]) ,originalServerIp =tostring(d[25]) ,customData=tostring(d[26]) ,transportTrafficType =tostring(d[27]) , logId =tostring(d[28]) ,schemaVersion=tostring(d[29]) | project-away d,RawData ve 'Hedef' seçeneğine tıklayın.
6. 'Hedef'te bir hedef ekleyin ve daha önce Özel Tablo oluşturduğunuz Çalışma Alanını seçin
7. 'Veri kaynağı ekle'ye tıklayın.
8. Diğer gerekli parametreleri ve etiketleri doldurun ve DCR'yi oluşturun

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

---

Microsoft Power Automate

Tarafından desteklenir:Microsoft Corporation

Power Automate, kullanıcıların dosyaları eşitlemek, bildirim almak, veri toplamak ve daha fazlası için uygulamalar ve hizmetler arasında otomatik iş akışları oluşturmasına yardımcı olan bir Microsoft hizmetidir. El ile gerçekleştirilen, tekrarlanan görevleri azaltarak ve üretkenliği artırarak görev otomasyonunu basitleştirir. Power Automate veri bağlayıcısı, Microsoft Sentinel oturum açma Microsoft Purview Denetim Power Automate etkinlik günlüklerini alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
PowerAutomateActivity	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Kiracı İzinleri: Çalışma alanının kiracısı üzerinde 'Güvenlik Yöneticisi' veya 'Genel Yönetici'.
• Micorosft Purview Denetimi: Microsoft Purview Denetim (Standart veya Premium) etkinleştirilmelidir.

Kurulum Yönergeleri:

Microsoft Power Automate denetim günlüklerini Microsoft Sentinel bağlama

Bu bağlayıcı, Power Automate denetim günlüklerinizi almak için Office Yönetim API'sini kullanır. Günlükler mevcut Microsoft Sentinel çalışma alanınızda depolanır ve işlenir. Verileri PowerAutomateActivity tablosunda bulabilirsiniz.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Microsoft Power Platform Yönetici Etkinliği

Tarafından desteklenir:Microsoft Corporation

Microsoft Power Platform, hem vatandaş hem de profesyonel geliştiricilerin en az kodlamayla özel uygulamalar oluşturulmasını, iş akışlarının otomasyonunu ve veri analizini mümkün kılarak iş süreçlerini kolaylaştırmasını sağlayan düşük kodlu/kodsuz bir pakettir. Power Platform Yönetici veri bağlayıcısı, Microsoft Sentinel oturum açma Microsoft Purview Denetim Power Platform yönetici etkinlik günlüklerini alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
PowerPlatformAdminActivity	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Kiracı İzinleri: Çalışma alanının kiracısı üzerinde 'Güvenlik Yöneticisi' veya 'Genel Yönetici'.
• Micorosft Purview Denetimi: Microsoft Purview Denetim (Standart veya Premium) etkinleştirilmelidir.

Kurulum Yönergeleri:

Microsoft Power Platform Yönetici Etkinlik denetim günlüklerini Microsoft Sentinel bağlama

Bu bağlayıcı, Power Platform yöneticisi denetim günlüklerinizi almak için Office Yönetim API'sini kullanır. Günlükler mevcut Microsoft Sentinel çalışma alanınızda depolanır ve işlenir. Verileri PowerPlatformAdminActivity tablosunda bulabilirsiniz.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Microsoft PowerBI

Tarafından desteklenir:Microsoft Corporation

Microsoft PowerBI, ilişkili olmayan veri kaynaklarınızı tutarlı, görsel açıdan çevreleyici ve etkileşimli içgörülere dönüştürmek için birlikte çalışan bir yazılım hizmetleri, uygulamalar ve bağlayıcı koleksiyonudur. Verileriniz bir Excel elektronik tablosu, bulut tabanlı ve şirket içi karma veri ambarlarından oluşan bir koleksiyon veya başka türde bir veri deposu olabilir. Bu bağlayıcı, PowerBI denetim günlüklerini Microsoft Sentinel akışla aktarmanıza olanak tanıyarak PowerBI ortamınızdaki kullanıcı etkinliklerini izlemenizi sağlar. Denetim verilerini tarih aralığına, kullanıcıya, panoya, rapora, veri kümesine ve etkinlik türüne göre filtreleyebilirsiniz.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
PowerBIActivity	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Microsoft Project

Tarafından desteklenir:Microsoft

Microsoft Project (MSP), bir proje yönetimi yazılımı çözümüdür. Planınıza bağlı olarak, Microsoft Project projeleri planlamanıza, görevler atamanıza, kaynakları yönetmenize, rapor oluşturmanıza ve daha birçok işlem yapmanıza olanak tanır. Bu bağlayıcı, proje etkinliklerinizi izlemek için Azure Project denetim günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ProjectActivity	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Microsoft Purview

Tarafından desteklenir:Microsoft Corporation

Microsoft Sentinel veri duyarlılığını zenginleştirmeyi etkinleştirmek için Microsoft Purview'a bağlanın. Microsoft Purview taramalarından veri sınıflandırma ve duyarlılık etiketi günlükleri çalışma kitapları, analiz kuralları ve daha fazlası aracılığıyla alınıp görselleştirilebilir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
PurviewDataSensitivityLogs	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Microsoft Purview'u Microsoft Sentinel'a bağlama

Azure portalı'nın içinde Purview kaynağınıza gidin:

1. Arama çubuğunda Purview hesaplarını arayın.
2. Sentinel ile ayarlanmasını istediğiniz hesabı seçin.

Microsoft Purview kaynağınızın içinde: 3. Tanılama Ayarları'nı seçin. 4. + Tanılama ayarı ekle'yi seçin. 5. Tanılama ayarı dikey penceresinde :

• Günlük Kategorisini DataSensitivityLogEvent olarak seçin.
• Log Analytics'e Gönder'i seçin.
• Günlük hedef çalışma alanını seçin. Bu, Microsoft Sentinel tarafından kullanılan çalışma alanıyla aynı olmalıdır.
• Kaydet'e tıklayın.

---

Microsoft Purview Bilgi Koruması

Tarafından desteklenir:Microsoft Corporation

Microsoft Purview Bilgi Koruması, hassas bilgileri nerede olursa olsun keşfetmenize, sınıflandırmanıza, korumanıza ve yönetmenize yardımcı olur. Bu özelliklerin kullanılması verilerinizi tanımanıza, hassas öğeleri tanımlamanıza ve verilerinizi daha iyi korumak için nasıl kullanıldıklarına dair görünürlük kazanmanıza olanak tanır. Duyarlılık etiketleri, koruma eylemleri sağlayan, şifreleme, erişim kısıtlamaları ve görsel işaretler uygulayan temel özelliktir. Panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Microsoft Purview Bilgi Koruması günlükleri Microsoft Sentinel ile tümleştirin. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
MicrosoftPurviewInformationProtection	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Mimecast Denetimi

Tarafından desteklenir:Mimecast

Mimecast Audit için veri bağlayıcısı, müşterilere Microsoft Sentinel içindeki denetim ve kimlik doğrulama olaylarıyla ilgili güvenlik olaylarına görünürlük sağlar. Veri bağlayıcısı, analistlerin kullanıcı etkinliğiyle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar.
Bağlayıcıya dahil edilen Mimecast ürünleri şunlardır: Denetim

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Audit_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Abonelik: Azure Bir uygulamayı Microsoft Entra ID kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Rest API başvurusunda API hakkında daha fazla bilgi edinmek için belgelere bakın

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

Azure portal --- Uygulama kayıtları --->> [your_app] --- Sertifikalar &> gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

ADIM 2 - Mimecast API Bağlayıcısı Dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Mimecast API yetkilendirme anahtarlarını veya Belirteci hazır bir şekilde kullanabilirsiniz.

ADIM 3 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. İstemci kimliği ve Kiracı Kimliği, TenableVM Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

4. ADIM - Microsoft Entra ID'da uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, TenableVM Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, TenableVM Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

5. ADIM - uygulamanızın Nesne Kimliğini Microsoft Entra ID

Uygulama kaydınızı oluşturduktan sonra Nesne Kimliğini almak için bu bölümdeki adımları izleyin:

1. Microsoft Entra ID gidin.
2. Soldaki menüden Kurumsal uygulamalar'ı seçin.
3. Yeni oluşturduğunuz uygulamayı listede bulun (sağladığınız ada göre arama yapabilirsiniz).
4. Uygulamaya tıklayın.
5. Genel bakış sayfasında Nesne Kimliğini kopyalayın. Bu, ARM şablonu rol atamanız için gereken AzureEntraObjectId değeridir .

Mimecast Denetim Verileri Bağlayıcısı'nı dağıtma:

Mimecast Denetim Verileri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

3. Aşağıdaki bilgileri girin:

   a. Konum - Veri toplama kurallarının ve veri toplama uç noktalarının dağıtılacağı konum

   b. WorkspaceName - Log Analytics çalışma alanının Microsoft Sentinel Çalışma Alanı Adını girin

   c. AzureClientID - Uygulama kaydı sırasında oluşturduğunuz Azure İstemci Kimliğini girin

   d. AzureClientSecret - İstemci gizli dizisini oluştururken oluşturduğunuz Azure gizli dizisini girin

   e. AzureTenantID - Azure Active Directory'nizin Azure Kiracı Kimliğini girin

   f. AzureEntraObjectID - Microsoft Entra Uygulamanızın Nesne kimliğini girin

   G. MimecastBaseURL - Mimecast API 2.0'ın Temel URL'sini girin (örn. https://api.services.mimecast.com)

   H. MimecastClientID - Kimlik doğrulaması için Mimecast İstemci Kimliğini girin

   i. MimecastClientSecret - Kimlik doğrulaması için Mimecast İstemci Gizli Anahtarı girin

   J. MimecastAuditTableName - Denetim verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Denetim'

   Kahraman. StartDate - Başlangıç tarihini 'yy-mm-dd' biçiminde girin. Tarih belirtmezseniz, son 60 güne ait veriler otomatik olarak getirilir. Tarihin geçmişte olduğundan ve düzgün biçimlendirildiğinden emin olun

   L. Zamanlama - Lütfen geçerli bir Quartz cron-ifadesi girin. (Örnek: 0 0 */1 * * *) Değeri boş tutmayın, en düşük değer 10 dakikadır

   M. LogLevel - Lütfen günlük düzeyi veya günlük önem derecesi değeri ekleyin. Varsayılan olarak BİlGİ olarak ayarlanır

   n. AppInsightsWorkspaceResourceId - 29 Şubat 2024'e kadar kullanımdan kaldırılan Klasik Application Insights'ı Log Analytic Çalışma Alanına geçirin. 'Kaynak Kimliği' özellik değerine sahip 'Log Analytic Workspace-->Properties' dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId'dir.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

---

Mimecast Denetim & Kimlik Doğrulaması (Azure İşlevleri kullanarak)

Tarafından desteklenir:Mimecast

Mimecast Denetim & Kimlik Doğrulaması için veri bağlayıcısı, müşterilere Microsoft Sentinel içindeki denetim ve kimlik doğrulama olaylarıyla ilgili güvenlik olaylarına görünürlük sağlar. Veri bağlayıcısı, analistlerin kullanıcı etkinliğiyle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar.
Bağlayıcıya dahil edilen Mimecast ürünleri şunlardır: Denetim & Kimlik Doğrulaması

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
MimecastAudit_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Mimecast API kimlik bilgileri: Tümleştirmeyi yapılandırmak için aşağıdaki bilgi parçalarına sahip olmanız gerekir:
• mimecastEmail: Ayrılmış bir Mimecast yönetici kullanıcısının Email adresi
• mimecastPassword: Ayrılmış Mimecast yönetici kullanıcısının parolası
• mimecastAppId: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Kimliği
• mimecastAppKey: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Anahtarı
• mimecastAccessKey: Ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı
• mimecastSecretKey: Ayrılmış Mimecast yönetici kullanıcısı için Gizli Anahtar
• mimecastBaseURL: Mimecast Bölgesel API Temel URL'si

Mimecast Uygulama Kimliği, Uygulama Anahtarı ve ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı ve Gizli Anahtarlar, Mimecast Yönetim Konsolu aracılığıyla edinilebilir: Yönetim | Hizmetler | API ve Platform Tümleştirmeleri.

Her bölge için Mimecast API'si Temel URL'si burada belgelenmiştir: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Kaynak grubu: Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.
• İşlevler uygulaması: Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması olması gerekir

1. Uygulama Kimliği
2. Kiracı Kimliği
3. İstemci Kimliği
4. İstemci Gizli Anahtarı

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

Azure portal --- Uygulama kayıtları --->> [your_app] --- Sertifikalar &> gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

ADIM 2 - Mimecast API Bağlayıcısı Dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve mimecast API yetkilendirme anahtarlarını veya Belirtecini hazır olarak kullanabilirsiniz.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Mimecast Denetim & Kimlik Doğrulama Veri Bağlayıcısı'nı dağıtın:

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki alanları girin:

• appName: Azure platformunda uygulama için kimlik olarak kullanılacak benzersiz dize
• objectId: Azure portal ---> Azure Active Directory --- profil -----> nesne kimliği --->> daha fazla bilgi
• appInsightsLocation(default): westeurope
• mimecastEmail: Bu integraion için ayrılmış kullanıcının Email adresi
• mimecastPassword: Ayrılmış kullanıcı için parola
• mimecastAppId: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından uygulama kimliği
• mimecastAppKey: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından Uygulama Anahtarı
• mimecastAccessKey: Ayrılmış Mimecast kullanıcısı için Erişim Anahtarı
• mimecastSecretKey: Ayrılmış Mimecast kullanıcısı için Gizli Anahtar
• mimecastBaseURL: Bölgesel Mimecast API'si Temel URL'si
• activeDirectoryAppId: Uygulama Kimliği ---> Uygulama kayıtları ---> [your_app] Azure portal --->
• activeDirectoryAppSecret: Azure portal ---> Uygulama kayıtları ---> [your_app] --- Sertifikalar &> gizli diziler ---> [your_app_secret]
• workspaceId: Azure portal ---> Log Analytics Çalışma Alanları ---> [Çalışma alanınız] --- Aracılar --->> Çalışma Alanı Kimliği (veya yukarıdan workspaceId değerini kopyalayabilirsiniz)
• workspaceKey:> Azure portal --- Log Analytics Çalışma Alanları ---> [Çalışma alanınız] ---> Aracılar ---> Birincil Anahtar (veya yukarıdan workspaceKey kopyalayabilirsiniz)
• AppInsightsWorkspaceResourceID : [Çalışma alanınız] --- Özellikler ---> Kaynak Kimliği ---> Log> Analytics Çalışma Alanları Azure portal --->

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

6. [your_resource_group>] ---> [your_resource_group] ---> [appName](tür: Depolama hesabı)>> --- Depolama Gezgini --- BLOB KAPSAYICILARI ---> Denetim denetim noktaları ---> makinenizde checkpoint.txt adlı boş dosyayı karşıya yükleme ve oluşturma Azure portal --- kaynak gruplarına gidin ve karşıya yüklemek üzere seçin (bu işlem SIEM günlükleri için date_range tutarlı bir durumda depolanması için yapılır)

---

Mimecast Farkındalık Eğitimi

Tarafından desteklenir:Mimecast

Mimecast Farkındalık Eğitimi için veri bağlayıcısı, müşterilere Microsoft Sentinel içindeki Hedeflenen Tehdit Koruması denetim teknolojileriyle ilgili güvenlik olaylarına görünürlük sağlar. Veri bağlayıcısı, analistlerin e-posta tabanlı tehditlerle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar.
Bağlayıcıya dahil edilen Mimecast ürünleri şunlardır:

• Performans Ayrıntıları
• Güvenli Puan Ayrıntıları
• Kullanıcı Verileri
• İzleme Listesi Ayrıntıları

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Awareness_Performance_Details_CL	Evet	Evet
Awareness_SafeScore_Details_CL	Evet	Evet
Awareness_User_Data_CL	Evet	Evet
Awareness_Watchlist_Details_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Abonelik: Azure Bir uygulamayı Microsoft Entra ID kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Rest API başvurusunda API hakkında daha fazla bilgi edinmek için belgelere bakın

Kurulum Yönergeleri:

Kaynak grubu

Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.

İşlevler uygulaması

Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması olması gerekir

1. Uygulama Kimliği
2. Kiracı Kimliği
3. İstemci Kimliği
4. İstemci Gizli Anahtarı
5. nesne kimliğini Entra

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. Mimecast Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak istemci kimliği ve Kiracı Kimliği gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

ADIM 2 - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, Mimecast Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, Mimecast Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3. ADIM - uygulamanızın Nesne Kimliğini Microsoft Entra ID

Uygulama kaydınızı oluşturduktan sonra Nesne Kimliğini almak için bu bölümdeki adımları izleyin:

1. Microsoft Entra ID gidin.
2. Soldaki menüden Kurumsal uygulamalar'ı seçin.
3. Yeni oluşturduğunuz uygulamayı listede bulun (sağladığınız ada göre arama yapabilirsiniz).
4. Uygulamaya tıklayın.
5. Genel bakış sayfasında Nesne Kimliğini kopyalayın. Bu, ARM şablonu rol atamanız için gereken AzureEntraObjectId değeridir .

ADIM 4 - Mimecast API Bağlayıcısı Dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Mimecast API yetkilendirme anahtarlarını veya Belirteci hazır bir şekilde kullanabilirsiniz.

Azure Resource Manager (ARM) Şablonu

Mimecast Farkındalık Eğitim Verileri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

3. Aşağıdaki bilgileri girin:

   a. Konum - Veri toplama kurallarının ve veri toplama uç noktalarının dağıtılacağı konum

   b. WorkspaceName - Log Analytics çalışma alanının Microsoft Sentinel Çalışma Alanı Adını girin

   c. AzureClientID - Uygulama kaydı sırasında oluşturduğunuz Azure İstemci Kimliğini girin

   d. AzureClientSecret - İstemci gizli dizisini oluştururken oluşturduğunuz Azure gizli dizisini girin

   e. AzureTenantID - Azure Active Directory'nizin Azure Kiracı Kimliğini girin

   f. AzureEntraObjectID - Microsoft Entra Uygulamanızın Nesne kimliğini girin

   G. MimecastBaseURL - Mimecast API 2.0'ın Temel URL'sini girin (örn. https://api.services.mimecast.com)

   H. MimecastClientID - Kimlik doğrulaması için Mimecast İstemci Kimliğini girin

   i. MimecastClientSecret - Kimlik doğrulaması için Mimecast İstemci Gizli Anahtarı girin

   J. MimecastAwarenessPerformanceDetailsTableName - Farkındalık Performansı Ayrıntıları verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Awareness_Performance_Details'

   Kahraman. MimecastAwarenessUserDataTableName - Farkındalık Kullanıcı Verileri verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Awareness_User_Data'

   L. MimecastAwarenessWatchlistDetailsTableName - Farkındalık İzleme Listesi Ayrıntıları verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Awareness_Watchlist_Details'

   M. MimecastAwarenessSafeScoreDetailsTableName - Awareness SafeScore Details verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Awareness_SafeScore_Details'

   n. StartDate - Başlangıç tarihini 'yy-mm-dd' biçiminde girin. Tarih belirtmezseniz, son 60 güne ait veriler otomatik olarak getirilir. Tarihin geçmişte olduğundan ve düzgün biçimlendirildiğinden emin olun

   o. Zamanlama - Lütfen geçerli bir Quartz cron-ifadesi girin. (Örnek: 0 0 */1 * * *) Değeri boş tutmayın, en düşük değer 10 dakikadır

   P. LogLevel - Lütfen günlük düzeyi veya günlük önem derecesi değeri ekleyin. Varsayılan olarak BİlGİ olarak ayarlanır

   S. AppInsightsWorkspaceResourceId - 29 Şubat 2024'e kadar kullanımdan kaldırılan Klasik Application Insights'ı Log Analytic Çalışma Alanına geçirin. 'Kaynak Kimliği' özellik değerine sahip 'Log Analytic Workspace-->Properties' dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId'dir.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

---

Mimecast Cloud Integrated

Tarafından desteklenir:Mimecast

Mimecast Cloud Integrated için veri bağlayıcısı, müşterilere Microsoft Sentinel içindeki Bulut Tümleşik denetim teknolojileriyle ilgili güvenlik olaylarına görünürlük sağlar. Veri bağlayıcısı, analistlerin e-posta tabanlı tehditlerle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Cloud_Integrated_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Abonelik: Azure Bir uygulamayı Microsoft Entra ID kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Rest API başvurusunda API hakkında daha fazla bilgi edinmek için belgelere bakın

Kurulum Yönergeleri:

Kaynak grubu

Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.

İşlevler uygulaması

Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması olması gerekir

1. Uygulama Kimliği
2. Kiracı Kimliği
3. İstemci Kimliği
4. İstemci Gizli Anahtarı

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

Azure portal --- Uygulama kayıtları --->> [your_app] --- Sertifikalar &> gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

ADIM 2 - Mimecast API Bağlayıcısı Dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Mimecast API yetkilendirme anahtarlarını veya Belirteci hazır bir şekilde kullanabilirsiniz.

ADIM 3 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. İstemci kimliği ve Kiracı Kimliği, TenableVM Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

4. ADIM - Microsoft Entra ID'da uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, TenableVM Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, TenableVM Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

5. ADIM - uygulamanızın Nesne Kimliğini Microsoft Entra ID

Uygulama kaydınızı oluşturduktan sonra Nesne Kimliğini almak için bu bölümdeki adımları izleyin:

1. Microsoft Entra ID gidin.
2. Soldaki menüden Kurumsal uygulamalar'ı seçin.
3. Yeni oluşturduğunuz uygulamayı listede bulun (sağladığınız ada göre arama yapabilirsiniz).
4. Uygulamaya tıklayın.
5. Genel bakış sayfasında Nesne Kimliğini kopyalayın. Bu, ARM şablonu rol atamanız için gereken AzureEntraObjectId değeridir .

Azure Resource Manager (ARM) Şablonu

Mimecast Bulut Tümleşik Veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

3. Aşağıdaki bilgileri girin:

   a. Konum - Veri toplama kurallarının ve veri toplama uç noktalarının dağıtılacağı konum

   b. WorkspaceName - Log Analytics çalışma alanının Microsoft Sentinel Çalışma Alanı Adını girin

   c. AzureClientID - Uygulama kaydı sırasında oluşturduğunuz Azure İstemci Kimliğini girin

   d. AzureClientSecret - İstemci gizli dizisini oluştururken oluşturduğunuz Azure gizli dizisini girin

   e. AzureTenantID - Azure Active Directory'nizin Azure Kiracı Kimliğini girin

   f. AzureEntraObjectID - Microsoft Entra Uygulamanızın Nesne kimliğini girin

   G. MimecastBaseURL - Mimecast API 2.0'ın Temel URL'sini girin (örn. https://api.services.mimecast.com)

   H. MimecastClientID - Kimlik doğrulaması için Mimecast İstemci Kimliğini girin

   i. MimecastClientSecret - Kimlik doğrulaması için Mimecast İstemci Gizli Anahtarı girin

   J. MimecastCITableName - Bulutla Tümleşik verileri depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Cloud_Integrated'

   Kahraman. StartDate - Başlangıç tarihini 'yy-mm-dd' biçiminde girin. Tarih belirtmezseniz, son 60 güne ait veriler otomatik olarak getirilir. Tarihin geçmişte olduğundan ve düzgün biçimlendirildiğinden emin olun

   L. Zamanlama - Lütfen geçerli bir Quartz cron-ifadesi girin. (Örnek: 0 0 */1 * * *) Değeri boş tutmayın, en düşük değer 10 dakikadır

   M. LogLevel - Lütfen günlük düzeyi veya günlük önem derecesi değeri ekleyin. Varsayılan olarak BİlGİ olarak ayarlanır

   n. AppInsightsWorkspaceResourceId - 29 Şubat 2024'e kadar kullanımdan kaldırılan Klasik Application Insights'ı Log Analytic Çalışma Alanına geçirin. 'Kaynak Kimliği' özellik değerine sahip 'Log Analytic Workspace-->Properties' dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId'dir.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

---

Microsoft için Mimecast Intelligence - Microsoft Sentinel (Azure İşlevleri kullanarak)

Tarafından desteklenir:Mimecast

Microsoft için Mimecast Intelligence veri bağlayıcısı, analistlerin e-posta tabanlı tehditlerle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve araştırma yanıt sürelerini azaltmasına olanak sağlamak için önceden oluşturulmuş panolarla Mimecast'ın e-posta denetleme teknolojilerinden seçilmiş bölgesel tehdit bilgileri sağlar.
Mimecast ürünleri ve özellikleri gerekli:

• Mimecast Secure Email Gateway
• Mimecast Threat Intelligence

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Mimecast API kimlik bilgileri: Tümleştirmeyi yapılandırmak için aşağıdaki bilgi parçalarına sahip olmanız gerekir:
• mimecastEmail: Ayrılmış bir Mimecast yönetici kullanıcısının Email adresi
• mimecastPassword: Ayrılmış Mimecast yönetici kullanıcısının parolası
• mimecastAppId: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Kimliği
• mimecastAppKey: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Anahtarı
• mimecastAccessKey: Ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı
• mimecastSecretKey: Ayrılmış Mimecast yönetici kullanıcısı için Gizli Anahtar
• mimecastBaseURL: Mimecast Bölgesel API Temel URL'si

Mimecast Uygulama Kimliği, Uygulama Anahtarı ve ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı ve Gizli Anahtarlar, Mimecast Yönetim Konsolu aracılığıyla edinilebilir: Yönetim | Hizmetler | API ve Platform Tümleştirmeleri.

Her bölge için Mimecast API'si Temel URL'si burada belgelenmiştir: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Kaynak grubu: Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.
• İşlevler uygulaması: Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması olması gerekir

1. Uygulama Kimliği
2. Kiracı Kimliği
3. İstemci Kimliği
4. İstemci Gizli Anahtarı

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

Azure portal --- Uygulama kayıtları --->> [your_app] --- Sertifikalar &> gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

ADIM 2 - Mimecast API Bağlayıcısı Dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve mimecast API yetkilendirme anahtarlarını veya Belirtecini hazır olarak kullanabilirsiniz.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Microsoft için Mimecast Intelligence'i etkinleştirme - Microsoft Sentinel Bağlayıcısı:

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki alanları girin:

• appName: Azure platformunda uygulama için kimlik olarak kullanılacak benzersiz dize
• objectId: Azure portal ---> Azure Active Directory --- profil -----> nesne kimliği --->> daha fazla bilgi
• appInsightsLocation(default): westeurope
• mimecastEmail: Bu integraion için ayrılmış kullanıcının Email adresi
• mimecastPassword: Ayrılmış kullanıcı için parola
• mimecastAppId: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından uygulama kimliği
• mimecastAppKey: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından Uygulama Anahtarı
• mimecastAccessKey: Ayrılmış Mimecast kullanıcısı için Erişim Anahtarı
• mimecastSecretKey: Ayrılmış Mimecast kullanıcısı için Gizli Anahtar
• mimecastBaseURL: Bölgesel Mimecast API'si Temel URL'si
• activeDirectoryAppId: Uygulama Kimliği ---> Uygulama kayıtları ---> [your_app] Azure portal --->
• activeDirectoryAppSecret: Azure portal ---> Uygulama kayıtları ---> [your_app] --- Sertifikalar &> gizli diziler ---> [your_app_secret]
• workspaceId: Azure portal ---> Log Analytics Çalışma Alanları ---> [Çalışma alanınız] --- Aracılar --->> Çalışma Alanı Kimliği (veya yukarıdan workspaceId değerini kopyalayabilirsiniz)
• workspaceKey:> Azure portal --- Log Analytics Çalışma Alanları ---> [Çalışma alanınız] ---> Aracılar ---> Birincil Anahtar (veya yukarıdan workspaceKey kopyalayabilirsiniz)
• AppInsightsWorkspaceResourceID : [Çalışma alanınız] --- Özellikler ---> Kaynak Kimliği ---> Log> Analytics Çalışma Alanları Azure portal --->

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

6. [your_resource_group>] ---> [appName](tür: Depolama hesabı) ---> Azure portal --- Kaynak gruplarına gidin --- Depolama Gezgini --->> BLOB KAPSAYICILARI ---> TIR denetim noktaları ---> makinenizde checkpoint.txt adlı boş dosyayı karşıya yükleyip oluşturun ve karşıya yüklemek için seçin (bu işlem, TIR günlükleri için date_range tutarlı durumda depolanması için yapılır)

Ek yapılandırma:

Tehdit Bilgileri Platformları Veri Bağlayıcısı'na bağlanın. Bağlayıcı sayfasındaki yönergeleri izleyin ve bağlan düğmesine tıklayın.

---

Mimecast Secure Email Gateway

Tarafından desteklenir:Mimecast

Mimecast Secure Email Gateway veri bağlayıcısı, Güvenli Email Ağ Geçidi'nden kolayca günlük toplamaya olanak sağlayarak Microsoft Sentinel içinde e-posta içgörülerini ve kullanıcı etkinliğini ortaya çıkarmasını sağlar. Veri bağlayıcısı, analistlerin e-posta tabanlı tehditlerle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar. Mimecast ürünleri ve özellikleri gerekli:

• Mimecast Cloud Gateway
• Mimecast Veri Sızıntısı Önleme

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Seg_Cg_CL	Evet	Evet
Seg_Dlp_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Abonelik: Azure Bir uygulamayı Microsoft Entra ID kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Rest API başvurusunda API hakkında daha fazla bilgi edinmek için belgelere bakın

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

Azure portal --- Uygulama kayıtları --->> [your_app] --- Sertifikalar &> gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

**ADIM 2 - Mimecast API Bağlayıcısı Dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Mimecast API yetkilendirme anahtarlarını veya Belirteci hazır bir şekilde kullanabilirsiniz.

ADIM 3 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. İstemci kimliği ve Kiracı Kimliği, TenableVM Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

4. ADIM - Microsoft Entra ID'da uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, TenableVM Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, TenableVM Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

5. ADIM - uygulamanızın Nesne Kimliğini Microsoft Entra ID

Uygulama kaydınızı oluşturduktan sonra Nesne Kimliğini almak için bu bölümdeki adımları izleyin:

1. Microsoft Entra ID gidin.
2. Soldaki menüden Kurumsal uygulamalar'ı seçin.
3. Yeni oluşturduğunuz uygulamayı listede bulun (sağladığınız ada göre arama yapabilirsiniz).
4. Uygulamaya tıklayın.
5. Genel bakış sayfasında Nesne Kimliğini kopyalayın. Bu, ARM şablonu rol atamanız için gereken AzureEntraObjectId değeridir .

Mimecast Secure Email Ağ Geçidi Veri Bağlayıcısı'nı dağıtın:

Mimecast Secure Email Gateway Data bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

3. Aşağıdaki bilgileri girin:

   a. Konum - Veri toplama kurallarının ve veri toplama uç noktalarının dağıtılacağı konum

   b. WorkspaceName - Log Analytics çalışma alanının Microsoft Sentinel Çalışma Alanı Adını girin

   c. AzureClientID - Uygulama kaydı sırasında oluşturduğunuz Azure İstemci Kimliğini girin

   d. AzureClientSecret - İstemci gizli dizisini oluştururken oluşturduğunuz Azure gizli dizisini girin

   e. AzureTenantID - Azure Active Directory'nizin Azure Kiracı Kimliğini girin

   f. AzureEntraObjectID - Microsoft Entra Uygulamanızın Nesne kimliğini girin

   G. MimecastBaseURL - Mimecast API 2.0'ın Temel URL'sini girin (örn. https://api.services.mimecast.com)

   H. MimecastClientID - Kimlik doğrulaması için Mimecast İstemci Kimliğini girin

   i. MimecastClientSecret - Kimlik doğrulaması için Mimecast İstemci Gizli Anahtarı girin

   J. MimecastCGTableName - CG verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Seg_Cg'

   Kahraman. MimecastDLPTableName - DLP verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Seg_Dlp'

   L. StartDate - Başlangıç tarihini 'yy-mm-dd' biçiminde girin. Tarih belirtmezseniz, son 60 güne ait veriler otomatik olarak getirilir. Tarihin geçmişte olduğundan ve düzgün biçimlendirildiğinden emin olun

   M. Zamanlama - Lütfen geçerli bir Quartz cron-ifadesi girin. (Örnek: 0 0 */1 * * *) Değeri boş tutmayın, en düşük değer 10 dakikadır

   n. LogLevel - Lütfen günlük düzeyi veya günlük önem derecesi değeri ekleyin. Varsayılan olarak BİlGİ olarak ayarlanır

   o. AppInsightsWorkspaceResourceId - 29 Şubat 2024'e kadar kullanımdan kaldırılan Klasik Application Insights'ı Log Analytic Çalışma Alanına geçirin. 'Kaynak Kimliği' özellik değerine sahip 'Log Analytic Workspace-->Properties' dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId'dir.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

---

Mimecast Secure Email Gateway (Azure İşlevleri kullanarak)

Tarafından desteklenir:Mimecast

Mimecast Secure Email Gateway veri bağlayıcısı, Güvenli Email Ağ Geçidi'nden kolayca günlük toplamaya olanak sağlayarak Microsoft Sentinel içinde e-posta içgörülerini ve kullanıcı etkinliğini ortaya çıkarmasını sağlar. Veri bağlayıcısı, analistlerin e-posta tabanlı tehditlerle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar. Mimecast ürünleri ve özellikleri gerekli:

• Mimecast Secure Email Gateway
• Mimecast Veri Sızıntısı Önleme

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
MimecastSIEM_CL	Hayır	Hayır
MimecastDLP_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Mimecast API kimlik bilgileri: Tümleştirmeyi yapılandırmak için aşağıdaki bilgi parçalarına sahip olmanız gerekir:
• mimecastEmail: Ayrılmış bir Mimecast yönetici kullanıcısının Email adresi
• mimecastPassword: Ayrılmış Mimecast yönetici kullanıcısının parolası
• mimecastAppId: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Kimliği
• mimecastAppKey: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Anahtarı
• mimecastAccessKey: Ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı
• mimecastSecretKey: Ayrılmış Mimecast yönetici kullanıcısı için Gizli Anahtar
• mimecastBaseURL: Mimecast Bölgesel API Temel URL'si

Mimecast Uygulama Kimliği, Uygulama Anahtarı ve ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı ve Gizli Anahtarlar, Mimecast Yönetim Konsolu aracılığıyla edinilebilir: Yönetim | Hizmetler | API ve Platform Tümleştirmeleri.

Her bölge için Mimecast API'si Temel URL'si burada belgelenmiştir: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

• Kaynak grubu: Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.
• İşlevler uygulaması: Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması olması gerekir

1. Uygulama Kimliği
2. Kiracı Kimliği
3. İstemci Kimliği
4. İstemci Gizli Anahtarı

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

Azure portal --- Uygulama kayıtları --->> [your_app] --- Sertifikalar &> gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

ADIM 2 - Mimecast API Bağlayıcısı Dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve mimecast API yetkilendirme anahtarlarını veya Belirtecini hazır olarak kullanabilirsiniz.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Mimecast Secure Email Ağ Geçidi Veri Bağlayıcısı'nı dağıtın:

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki alanları girin:

• appName: Azure platformunda uygulama için kimlik olarak kullanılacak benzersiz dize
• objectId: Azure portal ---> Azure Active Directory --- profil -----> nesne kimliği --->> daha fazla bilgi
• appInsightsLocation(default): westeurope
• mimecastEmail: Bu integraion için ayrılmış kullanıcının Email adresi
• mimecastPassword: Ayrılmış kullanıcı için parola
• mimecastAppId: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından uygulama kimliği
• mimecastAppKey: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından Uygulama Anahtarı
• mimecastAccessKey: Ayrılmış Mimecast kullanıcısı için Erişim Anahtarı
• mimecastSecretKey: Ayrılmış Mimecast kullanıcısı için Gizli Anahtar
• mimecastBaseURL: Bölgesel Mimecast API'si Temel URL'si
• activeDirectoryAppId: Uygulama Kimliği ---> Uygulama kayıtları ---> [your_app] Azure portal --->
• activeDirectoryAppSecret: Azure portal ---> Uygulama kayıtları ---> [your_app] --- Sertifikalar &> gizli diziler ---> [your_app_secret]
• workspaceId: Azure portal ---> Log Analytics Çalışma Alanları ---> [Çalışma alanınız] --- Aracılar --->> Çalışma Alanı Kimliği (veya yukarıdan workspaceId değerini kopyalayabilirsiniz)
• workspaceKey:> Azure portal --- Log Analytics Çalışma Alanları ---> [Çalışma alanınız] ---> Aracılar ---> Birincil Anahtar (veya yukarıdan workspaceKey kopyalayabilirsiniz)
• AppInsightsWorkspaceResourceID : [Çalışma alanınız] --- Özellikler ---> Kaynak Kimliği ---> Log> Analytics Çalışma Alanları Azure portal --->

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

6. [your_resource_group>] ---> [appName](tür: Depolama hesabı) ---> Azure portal --- Kaynak gruplarına gidin --->> DEPOLAMA GEZGINI --- BLOB KAPSAYICILARI ---> SIEM denetim noktaları ---> makinenizde checkpoint.txt adlı boş dosyayı karşıya yükleme ve oluşturma dlp-checkpoint.txt ve karşıya yükleme için seçin (bu işlem SIEM günlükleri için date_range tutarlı durumda depolanması için yapılır)

---

Mimecast Hedefli Tehdit Koruması

Tarafından desteklenir:Mimecast

Mimecast Hedefli Tehdit Koruması için veri bağlayıcısı, müşterilere Microsoft Sentinel içindeki Hedefli Tehdit Koruması denetim teknolojileriyle ilgili güvenlik olaylarına görünürlük sağlar. Veri bağlayıcısı, analistlerin e-posta tabanlı tehditlerle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar.
Bağlayıcıya dahil edilen Mimecast ürünleri şunlardır:

• URL Koruması
• Kimliğe Bürünme Koruması
• Ek Koruması

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Ttp_Url_CL	Evet	Evet
Ttp_Attachment_CL	Evet	Evet
Ttp_Impersonation_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Abonelik: Azure Bir uygulamayı Microsoft Entra ID kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Rest API başvurusunda API hakkında daha fazla bilgi edinmek için belgelere bakın

Kurulum Yönergeleri:

Kaynak grubu

Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.

İşlevler uygulaması

Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması olması gerekir

1. Uygulama Kimliği
2. Kiracı Kimliği
3. İstemci Kimliği
4. İstemci Gizli Anahtarı

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. Mimecast Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak istemci kimliği ve Kiracı Kimliği gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

ADIM 2 - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, Mimecast Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, Mimecast Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3. ADIM - uygulamanızın Nesne Kimliğini Microsoft Entra ID

Uygulama kaydınızı oluşturduktan sonra Nesne Kimliğini almak için bu bölümdeki adımları izleyin:

1. Microsoft Entra ID gidin.
2. Soldaki menüden Kurumsal uygulamalar'ı seçin.
3. Yeni oluşturduğunuz uygulamayı listede bulun (sağladığınız ada göre arama yapabilirsiniz).
4. Uygulamaya tıklayın.
5. Genel bakış sayfasında Nesne Kimliğini kopyalayın. Bu, ARM şablonu rol atamanız için gereken AzureEntraObjectId değeridir .

ADIM 4 - Mimecast API Bağlayıcısı Dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Mimecast API yetkilendirme anahtarlarını veya Belirteci hazır bir şekilde kullanabilirsiniz.

Azure Resource Manager (ARM) Şablonu

Mimecast Hedefli Tehdit Koruması Verileri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

3. Aşağıdaki bilgileri girin:

   a. Konum - Veri toplama kurallarının ve veri toplama uç noktalarının dağıtılacağı konum

   b. WorkspaceName - Log Analytics çalışma alanının Microsoft Sentinel Çalışma Alanı Adını girin

   c. AzureClientID - Uygulama kaydı sırasında oluşturduğunuz Azure İstemci Kimliğini girin

   d. AzureClientSecret - İstemci gizli dizisini oluştururken oluşturduğunuz Azure gizli dizisini girin

   e. AzureTenantID - Azure Active Directory'nizin Azure Kiracı Kimliğini girin

   f. AzureEntraObjectID - Microsoft Entra Uygulamanızın Nesne kimliğini girin

   G. MimecastBaseURL - Mimecast API 2.0'ın Temel URL'sini girin (örn. https://api.services.mimecast.com)

   H. MimecastClientID - Kimlik doğrulaması için Mimecast İstemci Kimliğini girin

   i. MimecastClientSecret - Kimlik doğrulaması için Mimecast İstemci Gizli Anahtarı girin

   J. StartDate - Başlangıç tarihini 'yy-mm-dd' biçiminde girin. Tarih belirtmezseniz, son 60 güne ait veriler otomatik olarak getirilir. Tarihin geçmişte olduğundan ve düzgün biçimlendirildiğinden emin olun

   Kahraman. MimecastTTPAttachmentTableName - TTP Eki verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Ttp_Attachment'

   L. MimecastTTPImpersonationTableName - TTP Kimliğe Bürünme verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Ttp_Impersonation'

   M. MimecastTTPUrlTableName - TTP Eki verilerini depolamak için kullanılan tablonun adını girin. Varsayılan değer 'Ttp_Url'

   n. Zamanlama - Lütfen geçerli bir Quartz cron-ifadesi girin. (Örnek: 0 0 */1 * * *) Değeri boş tutmayın, en düşük değer 10 dakikadır

   L. LogLevel - Lütfen günlük düzeyi veya günlük önem derecesi değeri ekleyin. Varsayılan olarak BİlGİ olarak ayarlanır

   o. AppInsightsWorkspaceResourceId - 29 Şubat 2024'e kadar kullanımdan kaldırılan Klasik Application Insights'ı Log Analytic Çalışma Alanına geçirin. 'Kaynak Kimliği' özellik değerine sahip 'Log Analytic Workspace-->Properties' dikey penceresini kullanın. Bu, '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' biçiminde olan tam bir resourceId'dir.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

---

Mimecast Hedefli Tehdit Koruması (Azure İşlevleri kullanarak)

Tarafından desteklenir:Mimecast

Mimecast Hedefli Tehdit Koruması için veri bağlayıcısı, müşterilere Microsoft Sentinel içindeki Hedefli Tehdit Koruması denetim teknolojileriyle ilgili güvenlik olaylarına görünürlük sağlar. Veri bağlayıcısı, analistlerin e-posta tabanlı tehditlerle ilgili içgörüleri görüntülemesine, olay bağıntısına yardımcı olması ve özel uyarı özellikleriyle birlikte araştırma yanıt sürelerini azaltmasına olanak sağlayan önceden oluşturulmuş panolar sağlar.
Bağlayıcıya dahil edilen Mimecast ürünleri şunlardır:

• URL Koruması
• Kimliğe Bürünme Koruması
• Ek Koruması

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
MimecastTTPUrl_CL	Hayır	Hayır
MimecastTTPAttachment_CL	Hayır	Hayır
MimecastTTPImpersonation_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Tümleştirmeyi yapılandırmak için aşağıdaki bilgi parçalarına sahip olmanız gerekir:
• mimecastEmail: Ayrılmış bir Mimecast yönetici kullanıcısının Email adresi
• mimecastPassword: Ayrılmış Mimecast yönetici kullanıcısının parolası
• mimecastAppId: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Kimliği
• mimecastAppKey: Mimecast ile kaydedilen Mimecast Microsoft Sentinel uygulamasının API Uygulama Anahtarı
• mimecastAccessKey: Ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı
• mimecastSecretKey: Ayrılmış Mimecast yönetici kullanıcısı için Gizli Anahtar
• mimecastBaseURL: Mimecast Bölgesel API Temel URL'si

Mimecast Uygulama Kimliği, Uygulama Anahtarı ve ayrılmış Mimecast yönetici kullanıcısı için Erişim Anahtarı ve Gizli Anahtarlar, Mimecast Yönetim Konsolu aracılığıyla edinilebilir: Yönetim | Hizmetler | API ve Platform Tümleştirmeleri.

Her bölge için Mimecast API'si Temel URL'si burada belgelenmiştir: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Kurulum Yönergeleri:

Kaynak grubu

Kullanacağınız abonelikle oluşturulmuş bir kaynak grubuna sahip olmanız gerekir.

İşlevler uygulaması

Bu bağlayıcının kullanması için kayıtlı bir Azure Uygulaması olması gerekir

1. Uygulama Kimliği
2. Kiracı Kimliği
3. İstemci Kimliği
4. İstemci Gizli Anahtarı

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere bir Mimecast API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Yapılandırma:

ADIM 1 - Mimecast API'sinin yapılandırma adımları

Azure portal --- Uygulama kayıtları --->> [your_app] --- Sertifikalar &> gizli diziler ---> Yeni istemci gizli dizisine gidin ve yeni bir gizli dizi oluşturun (Daha sonra önizlemesini yapamayacağınız için Değeri hemen güvenli bir yere kaydedin)

ADIM 2 - Mimecast API Bağlayıcısı Dağıtma

ÖNEMLİ: Mimecast API bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve mimecast API yetkilendirme anahtarlarını veya Belirtecini hazır olarak kullanabilirsiniz.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Mimecast Hedefli Tehdit Koruması Veri Bağlayıcısı'nı dağıtın:

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki alanları girin:

• appName: Azure platformunda uygulama için kimlik olarak kullanılacak benzersiz dize
• objectId: Azure portal ---> Azure Active Directory --- profil -----> nesne kimliği --->> daha fazla bilgi
• appInsightsLocation(default): westeurope
• mimecastEmail: Bu integraion için ayrılmış kullanıcının Email adresi
• mimecastPassword: Ayrılmış kullanıcı için parola
• mimecastAppId: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından uygulama kimliği
• mimecastAppKey: Mimecast ile kaydedilen Microsoft Sentinel uygulamasından Uygulama Anahtarı
• mimecastAccessKey: Ayrılmış Mimecast kullanıcısı için Erişim Anahtarı
• mimecastSecretKey: Ayrılmış Mimecast kullanıcısı için Gizli Anahtar
• mimecastBaseURL: Bölgesel Mimecast API'si Temel URL'si
• activeDirectoryAppId: Uygulama Kimliği ---> Uygulama kayıtları ---> [your_app] Azure portal --->
• activeDirectoryAppSecret: Azure portal ---> Uygulama kayıtları ---> [your_app] --- Sertifikalar &> gizli diziler ---> [your_app_secret]
• workspaceId: Azure portal ---> Log Analytics Çalışma Alanları ---> [Çalışma alanınız] --- Aracılar --->> Çalışma Alanı Kimliği (veya yukarıdan workspaceId değerini kopyalayabilirsiniz)
• workspaceKey:> Azure portal --- Log Analytics Çalışma Alanları ---> [Çalışma alanınız] ---> Aracılar ---> Birincil Anahtar (veya yukarıdan workspaceKey kopyalayabilirsiniz)
• AppInsightsWorkspaceResourceID : [Çalışma alanınız] --- Özellikler ---> Kaynak Kimliği ---> Log> Analytics Çalışma Alanları Azure portal --->

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

6. [your_resource_group>] ---> [your_resource_group] ---> [appName](tür: Depolama hesabı)>> --- Depolama Gezgini --- BLOB KAPSAYICILARI ---> TTP denetim noktaları ---> makinenizde attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt adlı boş dosyaları karşıya yükleme ve oluşturma Azure portal --- kaynak gruplarına gidin ve bunları karşıya yüklemek için seçin (bu işlem TTP günlükleri için date_range tutarlı durumda depolanması için yapılır)

---

MISP2Sentinel

Tarafından desteklenir:Community

Bu çözüm, TEHDIT göstergelerini MISP'ten Karşıya Yükleme Göstergeleri REST API'sini kullanarak otomatik olarak Microsoft Sentinel göndermenize olanak tanıyan MISP2Sentinel bağlayıcısını yükler. Çözümü yükledikten sonra Çözüm yönetme görünümündeki yönergeleri izleyerek bu veri bağlayıcısını yapılandırın ve etkinleştirin.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Yükleme ve kurulum yönergeleri

MISP'yi Microsoft Sentinel bağlayıcısına yüklemek ve yapılandırmak için bu GitHub deposundaki belgeleri kullanın:

https://github.com/cudeso/misp2sentinel

---

MongoDB Atlas Günlükleri

Tarafından desteklenir:MongoDB

MongoDBAtlas Logs bağlayıcısı MongoDB Atlas veritabanı günlüklerini MongoDB Atlas Yönetim API'si aracılığıyla Microsoft Sentinel'a yükleme olanağı sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı, belirtilen konaklar ve belirtilen proje için bir dizi veritabanı günlük iletisi alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
MDBALogTable_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: MongoDB Atlas hizmet hesabı İstemci Kimliği ve İstemci Gizli Anahtarı gereklidir. Daha fazla bilgi için bkz. hizmet hesabı oluşturma

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere 'MongoDB Atlas'a bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Bağlayıcıyı dağıtmadan önce çalışma alanının Microsoft Sentinel eklendiğinden emin olun.

ADIM 1 - 'MongoDB Atlas Yönetim API'sinin yapılandırma adımları

1. MongoDB Atlas hizmet hesabı oluşturmak için bu yönergeleri izleyin.
2. Oluşturduğunuz İstemci Kimliği ve İstemci Gizli Anahtarı'nı, ayrıca sonraki adımlar için gereken Grup Kimliğini (Proje) ve her Küme Kimliğini (Konak Adı) kopyalayın.
3. Diğer ayrıntılar için MongoDB Atlas API belgelerine bakın .
4. İstemci gizli dizisi bağlayıcıya bir Azure anahtar kasası aracılığıyla veya doğrudan bağlayıcıya geçirilebilir.
5. Anahtar kasası seçeneğini kullanmak istiyorsanız, mongodb-client-secret adlı bir gizli dizi ve gizli anahtarınız gizli dizi değeri olarak kaydedilmiş bir Kasa Erişim İlkesi kullanarak bir anahtar kasası oluşturun.

ADIM 2 - 'MongoDB Atlas Günlükleri' bağlayıcısını ve ilişkili Azure İşlevini dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   portal.azure.com

3. ADIM - Bağlayıcı parametrelerini ayarlama

1. Tercih edilen Aboneliği ve mevcut bir Kaynak Grubunu seçin.
2. Kaynak grubuna ait mevcut bir Log Analytics Çalışma Alanı Kaynak Kimliğini girin.
3. İleri'ye tıklayın.
4. MongoDB Grup Kimliği'ni, her biri ayrı bir satırda yer alan en fazla 10 MongoDB Küme Kimliği listesini ve MongoDB İstemci Kimliği'ni girin.
5. Kimlik Doğrulama Yöntemi için İstemci Gizli Anahtarı'nı seçin ve istemci gizli anahtarı değerinize veya Key Vault kopyalayıp anahtar kasanızın adına kopyalayın. İleri'ye tıklayın.
6. MongoDB filtrelerini gözden geçirin. En az bir kategoriden günlükleri seçin. İleri'ye tıklayın.
7. Zamanlamayı gözden geçirin. İleri'ye tıklayın.
8. Ayarları gözden geçirin ve Oluştur'a tıklayın.

---

MuleSoft Cloudhub (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

MuleSoft Cloudhub veri bağlayıcısı, Cloudhub API'sini kullanarak Cloudhub uygulamalarından günlükleri alma ve REST API aracılığıyla Microsoft Sentinel daha fazla olay alma özelliği sağlar. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
MuleSoft_Cloudhub_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: API çağrıları yapmak için MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername ve MuleSoftPassword gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere Azure Blob Depolama API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen MuleSoftCloudhub gibi çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.

Not: Bu veri bağlayıcısı, CloudHub 2.0 uygulamasının değil Platform API'sini kullanarak yalnızca CloudHub uygulamasının günlüklerini getirir

ADIM 1 - MuleSoft Cloudhub API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

1. Belgeleri kullanarak MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername ve MuleSoftPassword'u edinin.
2. Veri bağlayıcısında kullanmak için kimlik bilgilerini kaydedin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: MuleSoft Cloudhub veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Tempate kullanarak MuleSoft Cloudhub veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername ve MuleSoftPassword girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

MuleSoft Cloudhub veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, MuleSoftXXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. İlgili dize değerleriyle (büyük/küçük harfe duyarlı) aşağıdaki uygulama ayarlarının her birini tek tek ekleyin: MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

NC Koruması

Tarafından desteklenir:archTIS

NC Koruma Veri Bağlayıcısı (archtis.com), kullanıcı etkinlik günlüklerini ve olaylarını Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, izleme ve araştırma özelliklerini geliştirmek için kullanıcı etkinlik günlüklerini ve olaylarını Microsoft Sentinel NC Koruması'na görünürlük sağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
NCProtectUAL_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• NC Koruması: O365 için çalışan bir NC Koruması örneğine sahip olmanız gerekir. Lütfen bizimle iletişime geçin.

Kurulum Yönergeleri:

1. Azure Kiracınıza NC Koruması yükleme
2. NC Koruma Yönetimi sitesinde oturum açın
3. Sol taraftaki gezinti menüsünden Genel -> Kullanıcı Etkinliği İzleme'yi seçin
4. SIEM'yi Etkinleştir onay kutusunu işaretleyin ve Yapılandır düğmesine tıklayın
5. Uygulama olarak Microsoft Sentinel seçin ve aşağıdaki bilgileri kullanarak yapılandırmayı tamamlayın
6. Bağlantıyı etkinleştirmek için Kaydet'e tıklayın

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Netskope Uyarıları ve Olayları

Tarafından desteklenir:Netskope

Netskope Güvenlik Uyarıları ve Olayları

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
NetskopeAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Netskope kuruluş url'si: Netskope veri bağlayıcısı, kuruluşunuzun url'sini sağlamanızı gerektirir. Netskope portalında oturum açarak kuruluşunuzun url'sini bulabilirsiniz.
• Netskope API anahtarı: Netskope veri bağlayıcısı geçerli bir API anahtarı sağlamanızı gerektirir. Netskope belgelerini izleyerek bir tane oluşturabilirsiniz.

Kurulum Yönergeleri:

ADIM 1 - Netskope API anahtarı oluşturun.

Bu adımla ilgili yönergeler için Netskope belgelerini izleyin.

ADIM 2 - Netskope ürün Ayrıntılarınızı girin

Netskope kuruluş url'nizi & API Belirtecinizi aşağıya girin:

• Kuruluş Url'si: (Kuruluşunuzun url'sini girin)
• API Anahtarı: (API Anahtarınızı girin) İsteğE BAĞLI: API'nin kullandığı dizini belirtin.

Dizini yapılandırmak isteğe bağlıdır ve yalnızca gelişmiş senaryolarda gereklidir. Netskope olayları almak için bir dizin kullanır. Bazı gelişmiş durumlarda (olayı birden çok Microsoft Sentinel çalışma alanında kullanmak veya dizini yalnızca son verileri almak için önceden yönlendirmek), müşteri dizin üzerinde doğrudan denetim sahibi olmak isteyebilir.

• Dizin: (NetskopeCCF)

3. ADIM - Bağlan'a tıklayın

Yukarıdaki tüm alanların doğru doldurulduğunu doğrulayın. Netskope'u Microsoft Sentinel bağlamak için Bağlan'a basın.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Netskope Veri Bağlayıcısı

Tarafından desteklenir:Netskope

Netskope veri bağlayıcısı aşağıdaki özellikleri sağlar:

1. NetskopeToAzureStorage :

• Netskope'dan Netskope Uyarıları ve Olayları verilerini alın ve Azure depolama alanına alın. 2. StorageToSentinel :
• Azure depolama alanından Netskope Uyarıları ve Olayları verilerini alın ve Log Analytics çalışma alanında özel günlük tablosuna alın. 3. WebTxMetrics :
• Netskope'dan WebTxMetrics verilerini alın ve Log Analytics çalışma alanında özel günlük tablosuna alın.

REST API'lerinin diğer ayrıntıları için aşağıdaki belgelere bakın:

1. Netskope API belgeleri:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure depolama belgeleri: /azure/storage/common/storage-introduction 3. Microsoft log analytics belgeleri: /azure/azure-monitor/logs/log-analytics-overview

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
alertscompromisedcredentialdata_CL	Hayır	Hayır
alertsctepdata_CL	Hayır	Hayır
alertsdlpdata_CL	Hayır	Hayır
alertsmalsitedata_CL	Hayır	Hayır
alertsmalwaredata_CL	Hayır	Hayır
alertspolicydata_CL	Hayır	Hayır
alertsquarantinedata_CL	Hayır	Hayır
alertsremediationdata_CL	Hayır	Hayır
alertssecurityassessmentdata_CL	Hayır	Hayır
alertsubadata_CL	Hayır	Hayır
eventsapplicationdata_CL	Hayır	Hayır
eventsauditdata_CL	Hayır	Hayır
eventsconnectiondata_CL	Hayır	Hayır
eventsincidentdata_CL	Hayır	Hayır
eventsnetworkdata_CL	Hayır	Hayır
eventspagedata_CL	Hayır	Hayır
Netskope_WebTx_metrics_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Azure Aboneliği: Azure Bir uygulamayı azure active directory() hizmetine kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Netskope Kiracısı ve Netskope API Belirteci gereklidir. Rest API başvurusunda API hakkında daha fazla bilgi edinmek için belgelere bakın

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, Uyarılar ve Olaylar verilerini özel günlük tablosuna çekmek üzere Netskope API'lerine bağlanmak için Azure İşlevleri kullanır. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. İstemci kimliği ve Kiracı Kimliği, TriggersSync playbook'unun yürütülmesi için yapılandırma parametreleri olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

ADIM 2 - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, TriggersSync playbook'unun yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, TriggersSync playbook'unun yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3. ADIM - Microsoft Entra ID'de uygulamaya Katkıda Bulunan rolü atama

Rolü atamak için bu bölümdeki adımları izleyin:

1. Azure portal Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
2. Sol panelden Erişim denetimine (IAM) gidin.
3. Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
4. Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
5. Erişim ata bölümünde öğesini seçinUser, group, or service principal.
6. Üye ekle'ye tıklayın ve oluşturduğunuz uygulama adınızı yazın ve seçin.
7. Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.

Başvuru bağlantısı:/azure/role-based-access-control/role-assignments-portal

ADIM 4 - Netskope hesabı için Kimlik Bilgileri oluşturma/alma adımları

Netskope Konak Adı ve Netskope API Belirteci oluşturmak/almak için bu bölümdeki adımları izleyin:

1. Netskope Kiracınızda oturum açın ve sol gezinti çubuğundaki Ayarlar menüsüne gidin.
2. Araçlar'a ve ardından REST API v2'ye tıklayın
3. Şimdi yeni belirteç düğmesine tıklayın. Ardından belirteç adı, süre sonu süresi ve veri getirmek istediğiniz uç noktaları ister.
4. Bu işlem tamamlandıktan sonra kaydet düğmesine tıklayın, belirteç oluşturulur. Belirteci kopyalayın ve daha fazla kullanım için güvenli bir yere kaydedin.

5. ADIM - Netskope Uyarıları ve Olay Verileri Toplama için azure işlevlerini oluşturma adımları

ÖNEMLİ: Netskope veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve Netskope API Yetkilendirme Anahtarlarına sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

ARM şablonunu kullanarak Netskope olaylarının ve uyarı verilerinin Sentinel alımı için işlev uygulamalarını dağıtın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin: Netskope HostName Netskope API Belirteci Uyarıları ve Olay Düzeyi Çalışma Alanı Kimliği Çalışma Alanı Anahtarı'nı getirmek istediğiniz uç nokta için Uyarılar ve Olaylar türleri açılan listesinde Evet'i seçin

4. Gözden Geçir+Oluştur'a tıklayın.

5. Doğrulamadan sonra dağıtmak için Oluştur'a tıklayın.

---

Netskope Web İşlem Bağlayıcısı (Blob Depolama aracılığıyla)

Tarafından desteklenir:Netskope

Netskope Web transaction bağlayıcısı, Codeless Connector Framework (CCF) kullanarak Azure Blob Depolama aracılığıyla Netskope Günlük Akışı'ndan web işlem günlüklerini Microsoft Sentinel alır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
NetskopeWebTransactions_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Abonelik izinleri: Veri akışı kaynaklarını oluşturmak için izinlere ihtiyacınız vardır:
• depolama kuyrukları (bildirim kuyruğu ve teslim edilemeyen ileti kuyruğu)
• event grid konusu ve aboneliği (bildirim kuyruğuna 'blob oluşturma olayı' bildirimleri göndermek için)
• rol atamaları (blob kapsayıcısına ve depolama kuyruklarına Microsoft Sentinel uygulama erişimi vermek için.)
• Depolama Hesabı Ağ Yapılandırması: Azure Blob Depolama hesabındaki ağ kısıtlamaları (güvenlik duvarı/IP kuralları) Azure Depolama güvenlik duvarı kısıtlamaları ve sınırlamaları nedeniyle bu bağlayıcı için desteklenmez:
• IP ağ kurallarının depolama hesabıyla aynı Azure bölgeden gelen istekler üzerindehiçbir etkisi yoktur.
• BU hizmetler iletişim için özel Azure IP adresleri kullandığından, IP ağ kuralları aynı bölgede dağıtılan Azure hizmetlerine erişimikısıtlayamaz.
• Sanal ağ hizmet uç noktası kuralları eşleştirilmiş bir bölgedeki istemciler için geçerli değildir.

Depolama hesabının Ağ dikey penceresinin Tüm ağlardan etkinleştirildi olarak ayarlandığından emin olun.

• Depolama Hesabı Rol Atamaları: Aşağıdaki Azure RBAC rolleri, blob kapsayıcınızı içeren Depolama Hesabı'nda Microsoft Sentinel kurumsal uygulama hizmet sorumlusuna (aşağıda görüntülenir) atanmalıdır:
• Depolama Blob VerileriNe Katkıda Bulunanı — kapsayıcıdan blob verilerini okumak için gereklidir.
• Depolama Kuyruğu VerileriNe Katkıda Bulunanı — bildirim ve teslim edilemeyen kuyruk iletilerini yönetmek için gereklidir.

Bu rolleri atamak için: Depolama Hesabı → Access Control (IAM) → Rol ataması ekle'ye gidin, aşağıda gösterilen hizmet sorumlusu kimliğini arayın ve her iki rolü de atayın.

• Netskope'dan blob kapsayıcınıza veri toplama: Netskope Günlük Akışı belgelerindeki adımları izleyerek Netskope'u Web İşlem günlüklerini Azure Blob Depolama kapsayıcınıza akışla aktaracak şekilde yapılandırın.

Kurulum Yönergeleri:

Netskope WebTx Günlüklerini Microsoft Sentinel bağlama

Microsoft Sentinel için Netskope WebTx Günlüklerini etkinleştirmek için aşağıdaki gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

• Veri toplamak istediğiniz blob kapsayıcı URL'si:
• Kapsayıcıdaki bloblar klasörü adı. Isteğe bağlı.:
• Blob kapsayıcısının depolama hesabı konumu:
• Blob kapsayıcısının depolama hesabı kaynak grubu adı:
• Blob kapsayıcısının depolama hesabı abonelik kimliği:
• Varsa blob kapsayıcısının depolama hesabının olay kılavuzu konu adı. değilse boş tutun.:
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Netskope Web İşlemleri Veri Bağlayıcısı

Tarafından desteklenir:Netskope

Netskope Web İşlemleri veri bağlayıcısı, Google Pubsublite'dan Netskope Web İşlemleri verilerini çekmek, verileri işlemek ve işlenen verileri Log Analytics'e almak için bir docker görüntüsünün işlevselliğini sağlar. Bu veri bağlayıcısının bir parçası olarak Log Analytics'te biri Web İşlemleri verileri, diğeri yürütme sırasında karşılaşılan hatalar için olmak üzere iki tablo oluşturulacaktır.

Web İşlemleriyle ilgili diğer ayrıntılar için aşağıdaki belgelere bakın:

1. Netskope Web İşlemleri belgeleri:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
NetskopeWebtxData_CL	Hayır	Hayır
NetskopeWebtxErrors_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Azure Abonelik: Azure Bir uygulamayı Microsoft Entra ID kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Compute izinleri: Azure VM'ler için okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. VM'leri Azure.
• TransactionEvents Kimlik Bilgileri ve İzinleri: Netskope Kiracısı ve Netskope API Belirteci gereklidir. Daha fazla bilgi için bkz . İşlem Olayları.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, sanal makineye dağıtılacak bir docker görüntüsü kullanarak Netskope Web İşlemleri verilerini alma işlevini sağlar (VM'Azure/Şirket İçi VM). Ayrıntılar için Azure VM fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Netskope hesabı için Kimlik Bilgileri oluşturma/alma adımları

Netskope Konak Adı ve Netskope API Belirteci oluşturmak/almak için bu bölümdeki adımları izleyin:

1. Netskope Kiracınızda oturum açın ve sol gezinti çubuğundaki Ayarlar menüsüne gidin.
2. Araçlar'a ve ardından REST API v2'ye tıklayın
3. Şimdi yeni belirteç düğmesine tıklayın. Ardından belirteç adı, süre sonu süresi ve veri getirmek istediğiniz uç noktaları ister.
4. Bu işlem tamamlandıktan sonra kaydet düğmesine tıklayın, belirteç oluşturulur. Belirteci kopyalayın ve daha fazla kullanım için güvenli bir yere kaydedin.

ADIM 2 - Netskope Web İşlemleri verilerini almak için docker tabanlı veri bağlayıcısını dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Netskope veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nın (aşağıdakilerden kopyalanabilir) yanı sıra Netskope API Yetkilendirme Anahtarlarının da (belirteçte işlem olayları için izinler olduğundan emin olun]) hazır olarak kullanılabilir duruma getirin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - VM dağıtmak için Azure Resource Manager (ARM) Şablonu Kullanma [Önerilen]

ARM şablonunu kullanarak bir Azure VM dağıtın, önkoşulları yükleyin ve yürütmeyi başlatın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin: Docker Görüntü Adı (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions) Netskope HostName Netskope API Belirteci Arama Zaman Damgası (Pubsublite işaretçisini aramak istediğiniz dönem zaman damgası boş bırakılabilir) Çalışma Alanı Kimliği Çalışma Alanı Anahtar Geri Alma Yeniden Deneme Sayısı (Yürütmeyi yeniden başlatmadan önce belirteçle ilgili hataların yeniden deneme sayısı.)
   Geri Çekilme Uyku Süresi (Yeniden denemeden önce uyunacak saniye sayısı) Boşta Kalma Zaman Aşımı (Yürütmeyi yeniden başlatmadan önce Web İşlemleri Verileri için beklenmesi gereken saniye sayısı) VM Adı Kimlik Doğrulama Türü Yönetici Parola veya Anahtar DNS Etiket Ön Eki Ubuntu İşletim Sistemi Sürüm Konumu VM Boyutu Alt Ağ Adı Ağ Güvenlik Grubu Adı Güvenlik Türü

4. Gözden Geçir+Oluştur'a tıklayın.

5. Doğrulamadan sonra dağıtmak için Oluştur'a tıklayın.

Seçenek 2 - Önceden oluşturulmuş sanal makinede El ile Dağıtım

Docker tabanlı veri bağlayıcısını önceden oluşturulmuş bir sanal makineye el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Docker'ı yükleme ve docker görüntüsü çekme

NOT: VM'nin Linux tabanlı (tercihen Ubuntu) olduğundan emin olun.

1. Öncelikle sanal makineye SSH eklemeniz gerekir.

2. Şimdi docker altyapısını yükleyin.

3. Şimdi şu komutu kullanarak docker hub'ından docker görüntüsünü çekin: 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.

4. Docker görüntüsünü çalıştırmak için şu komutu kullanın: 'sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'. mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions öğesini görüntü kimliğiyle değiştirebilirsiniz. Burada docker_persistent_volume, dosyaların depolanacağı sanal makinede oluşturulacak klasörün adıdır.

5. Parametreleri Yapılandırma

6. Docker görüntüsü çalıştırıldıktan sonra gerekli parametreler istenir.

7. Aşağıdaki uygulama ayarlarının her birini ilgili değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: Netskope HostName Netskope API Belirteci Arama Zaman Damgası (pubsublite işaretçisini aramak istediğiniz dönem zaman damgası boş bırakılabilir) Çalışma Alanı Kimliği Çalışma Alanı Anahtarı Geri Çekilme Yeniden Deneme Sayısı (Yürütmeyi yeniden başlatmadan önce belirteçle ilgili hataların yeniden deneme sayısı.)
   Geri Çekilme Uyku Süresi (Yeniden denemeden önce uyunacak saniye sayısı) Boşta Kalma Zaman Aşımı (Yürütmeyi yeniden başlatmadan önce Web İşlemleri Verileri için beklenmesi gereken saniye sayısı)

8. Artık yürütme başlatıldı ancak etkileşimli modda olduğundan kabuk durdurulamaz. Arka plan işlemi olarak çalıştırmak için Ctrl+C tuşlarına basarak geçerli yürütmeyi durdurun ve şu komutu kullanın: 'sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.

9. Docker kapsayıcısını durdurma

10. Çalışan docker kapsayıcılarını listelemek için 'sudo docker container ps' komutunu kullanın. Kapsayıcı kimliğinizi not edin.

11. Şimdi şu komutu kullanarak kapsayıcıyı durdurun: 'sudo docker stop <container-id>'.

---

Ağ Güvenlik Grupları

Tarafından desteklenir:Microsoft Corporation

Azure ağ güvenlik grupları (NSG), Azure bir sanal ağdaki Azure kaynaklardan gelen ve gelen ağ trafiğini filtrelemenize olanak tanır. Ağ güvenlik grubu, bir sanal ağ alt ağına, ağ arabirimine veya her ikisine yönelik trafiğe izin veren veya trafiği reddeden kurallar içerir.

NSG için günlüğe kaydetmeyi etkinleştirdiğinizde, aşağıdaki türlerdeki kaynak günlüğü bilgilerini toplayabilirsiniz:

• Olay: NSG kurallarının MAC adresine göre VM'lere uygulandığı girişler günlüğe kaydedilir.
• Kural sayacı: Trafiği reddetmek veya trafiğe izin vermek için her NSG kuralının kaç kez uygulandığına ilişkin girdiler içerir. Bu kuralların durumu her 300 saniyede bir toplanır.

Bu bağlayıcı, NSG tanılama günlüklerinizi Microsoft Sentinel akışla aktarmanıza olanak tanıyarak tüm örneklerinizdeki etkinlikleri sürekli olarak izlemenizi sağlar. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
AzureDiagnostics	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

NordPass

Tarafından desteklenir:NordPass

NordPass'ı API aracılığıyla Microsoft Sentinel SIEM ile tümleştirmek, Etkinlik Günlüğü verilerini NordPass'tan Microsoft Sentinel'a otomatik olarak aktarmanıza ve öğe etkinliği, tüm oturum açma girişimleri ve güvenlik bildirimleri gibi gerçek zamanlı içgörüler elde etmenize olanak sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
NordPassEventLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure İşlevleri dağıtabilmeniz için kaynak grubunun ve Log Analytics çalışma alanının oluşturulduğundan ve aynı bölgede bulunduğundan emin olun.
• Oluşturulan Log Analytics çalışma alanına Microsoft Sentinel ekleyin.
• Azure İşlevleri tümleştirmesini tamamlamak için NordPass Yönetici Paneli'nde bir Microsoft Sentinel API URL'si ve belirteci oluşturun. Bunun için NordPass Enterprise hesabına ihtiyacınız olduğunu lütfen unutmayın.
• Önemli: Bu bağlayıcı, Etkinlik Günlüklerini NordPass'tan Microsoft Sentinel almak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Daha fazla bilgi için Azure İşlevleri fiyatlandırma sayfasına bakın.

Kurulum Yönergeleri:

Microsoft Sentinel kurulumuna devam etmek için

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Başarılı dağıtımdan sonra sistemin etkinlik günlüğü verilerini varsayılan olarak her 1 dakikada bir çektiğini lütfen unutmayın.

---

Obsidian Datasharing Connector

Tarafından desteklenir:Obsidian Security

Obsidian Datasharing bağlayıcısı, Microsoft Sentinel'da Obsidian Datasharing'den ham olay verilerini okuma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ObsidianActivity_CL	Hayır	Hayır
ObsidianThreat_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı, Obsidian Datasharing'in Microsoft Analytics Çalışma Alanında kullandığı tablolardaki verileri okur. Obsidian Datasharing'de veri iletme seçeneği etkinleştirildiyse ham olay verileri Microsoft Sentinel Alma API'sine gönderilir.

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablolarının ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Günlüklerinizi çalışma alanına gönderme

Makinenizi günlükleri çalışma alanına gönderecek şekilde yapılandırmak için aşağıdaki parametreleri kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Etkinlik Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Tehdit Stream Adı: <yükleme zamanında sağlanan değişken değeri>

---

Okta Tek Sign-On (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Okta Tek Sign-On (SSO) veri bağlayıcısı, Denetim ve olay günlüklerini Okta Sysem Günlük API'sinden Microsoft Sentinel alma özelliği sağlar. Veri bağlayıcısı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni kullanır ve olayları getirmek için Okta Sistem Günlüğü API'sini kullanır. Bağlayıcı, alınan güvenlik olayı verilerini özel sütunlar halinde ayrıştıran DCR tabanlı alma süresi dönüştürmelerini destekler, böylece sorguların yeniden ayrıştırması gerekmez ve böylece daha iyi performans elde edilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OktaSSO	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Okta API Belirteci: Okta API belirteci. Okta Sistem Günlüğü API'si hakkında daha fazla bilgi edinmek için belgelere bakın oluşturmak için aşağıdaki yönergeleri izleyin.

Kurulum Yönergeleri:

Microsoft Sentinel için Okta Tek Sign-On etkinleştirmek için aşağıdaki gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Onapsis Defend: Intel & Eşleşmeyen SAP Tehdit Algılamayı Microsoft Sentinel Ile Tümleştirme

Tarafından desteklenir:Onapsis

Benzersiz açıklara, sıfır güne ve tehdit aktörü etkinliğine derin görünürlükle güvenlik ekiplerini güçlendirin; şüpheli kullanıcı veya insider davranışı; hassas veri indirmeleri; güvenlik denetimi ihlalleri; ve daha fazlası - hepsi Onapsis'teki SAP uzmanları tarafından zenginleştirilmiş.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Onapsis_Defend_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kurallarında İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Veri toplama kuralı (DCR) ve veri toplama uç noktası (DCE) kaynakları oluşturacağız. Ayrıca bir Microsoft Entra uygulama kaydı oluşturacak ve gerekli izinleri ona atayacağız.

Azure kaynaklarının otomatik dağıtımı "Anında iletme bağlayıcısı kaynaklarını dağıt" seçeneğine tıklanması DCR ve DCE kaynaklarının oluşturulmasını tetikler. Ardından istemci gizli anahtarıyla bir Microsoft Entra uygulama kaydı oluşturur ve DCR üzerinde izinler verir. Bu kurulum, verilerin OAuth v2 istemci kimlik bilgileri kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Onapsis Savunma Tümleştirmesi'nde veri toplama uç noktası ayrıntılarını ve kimlik doğrulama bilgilerini koruyun

Veri toplama uç noktası URL'sini ve kimlik doğrulama bilgilerini Onapsis Defend Tümleştirme yöneticisiyle paylaşarak Onapsis Savunma Tümleştirmesini veri toplama uç noktasına veri gönderecek şekilde yapılandırın.

• Kiracı Kimliği | Kiracı Kimliği:< yükleme zamanında sağlanan değişken değeri olarak yapılandırmak için bu değeri kullanın>
• Entra Uygulama Kimliği | İstemci Kimliği<: yükleme zamanında sağlanan değişken değeri için bu değeri kullanın>
• Entra Uygulama Gizli Dizisi | Belirteç için bu değeri kullanın: <yükleme zamanında sağlanan değişken değeri>
• LogIngestionURL | URL parametresi için şu değeri kullanın: <yükleme zamanında sağlanan değişken değeri>
• DCR Sabit Kimliği | DCR_ID parametresi için bu değeri kullanın: <yükleme zamanında sağlanan değişken değeri>

---

OneLogin IAM Platformu (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

OneLogin veri bağlayıcısı, OneLogin Olayları API'sini ve OneLogin Kullanıcıları API'sini kullanarak yaygın OneLogin IAM Platformu olaylarını REST API aracılığıyla Microsoft Sentinel alma özelliği sağlar. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OneLoginEventsV2_CL	Evet	Evet
OneLoginUsersV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• OneLogin IAM API Kimlik Bilgileri: API Kimlik Bilgileri oluşturmak için burada sağlanan belge bağlantısını izleyin, Buraya tıklayın. API kimlik bilgilerini oluşturmak için hesap sahibi veya yönetici hesap türüne sahip olduğundan emin olun. API Kimlik Bilgilerini oluşturduktan sonra İstemci Kimliğinizi ve gizli anahtarınızı alırsınız.

Kurulum Yönergeleri:

OneLogin IAM Platform'u Microsoft Sentinel bağlama

OneLogin IAM'den Microsoft Sentinel veri almak için, aşağıdaki Etki Alanı Ekle düğmesine tıklamanız ve ardından ayrıntıları doldurmak için bir açılır pencere almanız, gerekli bilgileri sağlamanız ve Bağlan'a tıklamanız gerekir. Kılavuzda bağlı etki alanı uç noktalarını görebilirsiniz.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

OneTrust

Tarafından desteklenir:OneTrust, LLC

Microsoft Sentinel için OneTrust bağlayıcısı, hassas verilerin Google Cloud ve oneTrust tarafından desteklenen diğer veri kaynakları genelinde nerede bulunduğuna veya düzeltildiğine ilişkin neredeyse gerçek zamanlı görünürlüğe sahip olma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OneTrustMetadataV3_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı, OneTrust'ın Microsoft Analytics Çalışma Alanı'nda kullandığı tablolardaki verileri okur. OneTrust'ın veri iletme seçeneği etkinse ham olay verileri Microsoft Sentinel Alma API'sine gönderilebilir.

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablolarının ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Günlüklerinizi çalışma alanına gönderme

Makinenizi günlükleri çalışma alanına gönderecek şekilde yapılandırmak için aşağıdaki parametreleri kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• OneTrust Metadata Stream Name: <yükleme zamanında sağlanan değişken değeri>

---

Open Systems Data Connector

Tarafından desteklenir:Open Systems

Open Systems Logs API Microsoft Sentinel Connector, Open Systems Logs API'sini kullanarak Open Systems günlüklerini Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OpenSystemsZtnaLogs_CL	Evet	Evet
OpenSystemsFirewallLogs_CL	Hayır	Hayır
OpenSystemsAuthenticationLogs_CL	Hayır	Hayır
OpenSystemsProxyLogs_CL	Hayır	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Container Apps, DCR'ler ve DCE'ler: Azure Container Apps, Yönetilen Ortamlar, Veri Toplama Kuralları (DCR) ve Veri Toplama Uç Noktalarını (DCE) dağıtma izinleri gereklidir. Bu durum genellikle abonelikte veya kaynak grubunda 'Katkıda Bulunan' rolüne sahip olma kapsamındadır.
• Rol Atama İzinleri: Rol atamaları oluşturma izinleri (dcr'lerde özellikle 'İzleme Ölçümleri Yayımcısı' ) dağıtan kullanıcı veya hizmet sorumlusu için gereklidir.
• ARM Şablonu için Gerekli Kimlik Bilgileri: Dağıtım sırasında şunları sağlamanız gerekir: Open Systems Logs API uç noktası ve bağlantı dizesi ve Hizmet Sorumlusu kimlik bilgileri (İstemci Kimliği, İstemci Gizli Anahtarı, Nesne/Sorumlu Kimliği).
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Gerekirse özel önkoşullar, aksi takdirde bu gümrük etiketini silin: Özel önkoşullar için açıklama

Kurulum Yönergeleri:

ADIM 1: Önkoşullar

Devam etmeden önce aşağıdaki bilgilere ve izinlere sahip olduğunuzdan emin olun:

1. Sistem Günlükleri API uç noktasını ve bağlantı Dizesini açın.
2. Hizmet Sorumlusu kimlik bilgileri (İstemci Kimliği, İstemci Gizli Anahtarı, Nesne/Asıl Kimlik).
3. Azure Container Apps, Yönetilen Ortamlar, Veri Toplama Kuralları (DCR), Veri Toplama Uç Noktaları (DCE) dağıtma ve Rol Atamaları oluşturma (genellikle abonelikte veya kaynak grubunda 'Katkıda Bulunan' rolü) oluşturma izinleri.

ADIM 2: Bağlayıcıyı Dağıtma

Veri toplama kuralı ve ilişkili bileşenler de dahil olmak üzere veri işleme kaynaklarını ayarlamak için ARM şablonunu dağıtın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın. Bu sizi Azure portal götürür.

   aka.ms

2. Azure portal istediğiniz Aboneliği, Kaynak Grubunu ve Bölgeyi seçin.

3. Dağıtım sihirbazı tarafından istendiğinde önkoşullar adımında toplananlar (Open Systems Logs API ayrıntıları, Hizmet Sorumlusu kimlik bilgileri vb.) dahil olmak üzere gerekli parametreleri sağlayın.

4. Koşulları gözden geçirin ve gözden geçir + oluştur'a ve ardından Oluştur'a tıklayarak dağıtımı başlatın.

ADIM 3: Dağıtım Sonrası Doğrulama

Başarılı dağıtımdan sonra:

1. İşlemciyi çalıştıran Azure Container App'in 'Çalışıyor' durumunda olduğunu doğrulayın.
2. OpenSystemsZtnaLogs_CLGelen veriler için Log Analytics çalışma alanınızdaki , OpenSystemsFirewallLogs_CL, OpenSystemsAuthenticationLogs_CLve OpenSystemsProxyLogs_CL tablolarını denetleyin. İlk kurulumdan sonra günlüklerin görünmesi biraz zaman alabilir.
3. Günlüklerinizi görüntülemek ve çözümlemek için bu veri bağlayıcısı sayfasının 'Sonraki Adımlar' sekmesinde sağlanan örnek sorguları kullanın.

---

OpenAI (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

OpenAI veri bağlayıcısı denetim günlüklerini, sohbet tamamlama verilerini veya her ikisini de OpenAI kuruluşunuzdan OpenAI API'sini kullanarak Microsoft Sentinel almanızı sağlar. Her veri türü ayrı bir REST API poller kullanır ve farklı bir API anahtar türü gerektirir: denetim günlükleri (kullanıcı eylemleri, API anahtar yönetimi, kuruluş değişiklikleri, güvenlik olayları) kuruluş düzeyinde bir yönetici API anahtarı gerektirirken, sohbet tamamlamaları (model kullanımı, belirteç tüketimi, performans ölçümleri) proje düzeyinde bir API anahtarı gerektirir. Bir veya her iki veri türünü bağımsız olarak yapılandırabilirsiniz. Denetim günlükleri özel OpenAIAuditLogs_CL tablosuna toplanır (OpenAIAuditLogs ayrıştırıcısı tarafından diğer ad kullanılır). Sohbet tamamlamaları, güvenlik izleme, uyumluluk analizi ve kullanım izleme için ASimAgentEventLogs standart ASIM tablosuna (OpenAIChatCompletions ayrıştırıcısı tarafından diğer adıyla) normalleştirilir. Daha fazla bilgi için OpenAI API belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OpenAIAuditLogs	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• OpenAI API erişimi: Her veri türü farklı bir API anahtar türü gerektirir. Denetim günlükleri için kuruluş düzeyinde yönetici API anahtarı gereklidir; bunlar OpenAI kuruluş ayarlarınızda oluşturulabilir. Sohbet tamamlamaları için proje düzeyinde bir API anahtarı gereklidir; bunlar OpenAI panosundaki belirli bir proje altında oluşturulabilir. Denetim günlüklerini, sohbet tamamlamalarını veya her ikisini de bağımsız olarak yapılandırabilirsiniz.

Kurulum Yönergeleri:

Bağlantı Bilgileri

OpenAI'nin API'sinden veri toplamak için kullanılan bağlantılarla ilgili ayrıntılar.

• Denetim Günlükleri (OpenAIAuditLogs):
• Kuruluş düzeyinde yönetici API anahtarlarını kullanın.
• OpenAI kuruluş ayarlarınızda denetim günlüğü etkinleştirilmelidir. Kuruluş sahipleri, denetim günlüğünü etkinleştirmek için OpenAI'lere Organization settings>>Data controlsData retention gidebilir.
• OpenAI denetim günlüğü etkinleştirildikten sonra OpenAI desteğine başvurmadan devre dışı bırakılamaz.
• Sohbet Tamamlamaları (ASimAgentEventLogs):
• Proje düzeyinde API anahtarlarını kullanın.
• Yalnızca parametresi ayarlanmış true şekilde oluşturulan store sohbet tamamlamaları toplanır.
• Sohbet tamamlamaları ASimAgentEventLogs ASIM standart tablosunda normalleştirilir.
• Bu bağlayıcı etkinken depolanan sohbet tamamlamalarını silmek, veri toplama durumunu sıfırlamak için bağlantıyı kesmenizi ve yeniden bağlanmanızı gerektirebilir.

OpenAI Denetim Günlükleri Bağlantısı Ekle

OpenAI API'sinden denetim günlükleri verilerini toplamak için OpenAI API kimlik bilgilerinizi girin.

OpenAI Sohbet Tamamlamaları Bağlantısı Ekle

OpenAI API'sinden sohbet tamamlama verilerini toplamak için OpenAI API kimlik bilgilerinizi girin.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Oracle Bulut Altyapısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Oracle Bulut Altyapısı (OCI) veri bağlayıcısı, OCI Akış REST API'sini kullanarak OCI günlüklerini OCI Stream'den Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OCI_LogsV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• OCI Akış API'sine erişim: BIR API İmzalama Anahtarları aracılığıyla OCI Akış API'sine erişim gereklidir.

Kurulum Yönergeleri:

Microsoft Sentinel'da Olay günlüklerini toplamaya başlamak için OCI Akış API'sine bağlanma

1. OCI konsolunda oturum açın ve gezinti menüsüne erişin.
2. Gezinti menüsünde "Analytics & AI" -> "Streaming" seçeneğine gidin.
3. "Stream Oluştur"a tıklayın.
4. Mevcut bir "Stream Havuzu" seçin veya yeni bir havuz oluşturun.
5. Aşağıdaki ayrıntıları girin:
   • "Stream Adı"
   • "Bekletme"
   • "Bölüm Sayısı"
   • "Toplam Yazma Hızı"
   • "Toplam Okuma Hızı" (veri hacminize göre)
6. Gezinti menüsünde "Günlük" -> "Hizmet Bağlayıcıları" seçeneğine gidin.
7. "Hizmet Bağlayıcısı Oluştur"a tıklayın.
8. Aşağıdaki ayrıntıları girin:
   • "Bağlayıcı Adı"
   • "Açıklama"
   • "Kaynak Bölmesi"
9. "Kaynak": "Günlük" öğesini seçin.
10. "Hedef": "Akış"ı seçin.
11. (İsteğe bağlı) Yalnızca gerekli günlüklerin akışını yapmak için "Günlük Grubu", "Filtreler" yapılandırın veya bir "özel arama sorgusu" kullanın.
12. Daha önce oluşturulan akışı seçerek "Hedef" öğesini yapılandırın.
13. "Oluştur"a tıklayın.
14. Özel Anahtar ve API Anahtarı Yapılandırma Dosyası oluşturmak için belgeleri izleyin. Pem Dosyasını kaydedin, tümceciği geçirin (İsteğe bağlı, API imzalama anahtarı çiftini oluşturmak için OCI konsolu kullanılırken ayarlanmaz) ve bağlanırken kullanmak üzere güvenli bir yerde parmak izi.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Orca Güvenlik Uyarıları

Tarafından desteklenir:Orca Güvenliği

Orca Güvenlik Uyarıları bağlayıcısı, Uyarı günlüklerini kolayca Microsoft Sentinel dışarı aktarmanıza olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
OrcaAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Orca Güvenlik Uyarıları günlüklerini Microsoft Sentinel ile tümleştirme yönergelerini izleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Palo Alto Cortex XDR

Tarafından desteklenir:Microsoft Corporation

Palo Alto Cortex XDR veri bağlayıcısı, Palo Alto Cortex XDR API'sinden günlüklerin Microsoft Sentinel alınmasına olanak tanır. Veri bağlayıcısı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni üzerine kurulmuştur. Günlükleri getirmek için Palo Alto Cortex XDR API'sini kullanır ve alınan güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alım süresi dönüşümlerini destekler, böylece sorguların yeniden ayrıştırması gerekmez ve böylece daha iyi performans elde edilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
PaloAltoCortexXDR_Incidents_CL	Evet	Evet
PaloAltoCortexXDR_Endpoints_CL	Evet	Evet
PaloAltoCortexXDR_Audit_Management_CL	Evet	Evet
PaloAltoCortexXDR_Audit_Agent_CL	Evet	Evet
PaloAltoCortexXDR_Alerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Palo Alto Cortex XDR API'sinin yapılandırma adımları Kimlik bilgilerini almak için yönergeleri izleyin. API anahtarı oluşturmak için bu kılavuzu da izleyebilirsiniz.

1. API URL 1.1'i alın. Yönetici kullanıcı kimlik bilgileri 1.2 ile Palo Alto Cortex XDR [Yönetim Konsolu] oturumu açın. [Yönetim Konsolu]'nda [Ayarlar] -> [Yapılandırmalar] 1.3'e tıklayın. [Tümleştirmeler] altında [API Anahtarları] öğesine tıklayın. 1.4. [Ayarlar] Sayfasında sağ üst köşedeki [API URL'sini Kopyala] seçeneğine tıklayın.

2. API Belirteci 2.1'i alın. Palo Alto Cortex XDR [Yönetim Konsolu]nda Yönetici kullanıcı kimlik bilgileri 2.2 ile oturum açın. [Yönetim Konsolu] içinde [Ayarlar] -> [Yapılandırmalar] 2.3'e tıklayın. [Tümleştirmeler] altında [API Anahtarları] öğesine tıklayın. 2.4. [Ayarlar] Sayfasında sağ üst köşedeki [Yeni Anahtar] seçeneğine tıklayın. 2.5. Güvenlik düzeyini, rolü seçin, Standart'ı seçin ve [Oluştur] 2.6'ya tıklayın. API Belirtecini kopyalayın; oluşturulduktan sonra [API Belirteci Kimliği] Kimlik sütununun altında bulunabilir

• Temel API URL'si: (https://api-example.xdr.au.paloaltonetworks.com)
• API Anahtar Kimliği: (API Kimliği)
• API Belirteci: (API Belirteci)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Palo Alto Cortex Xpanse (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Palo Alto Cortex Xpanse veri bağlayıcısı uyarı verilerini Microsoft Sentinel alır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CortexXpanseAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Palo Alto Xpanse'i Microsoft Sentinel'a bağlama

Palo Alto Cortex Xpanse'ten Microsoft Sentinel veri almak için Etki Alanı Ekle'ye tıklayın. Açılır pencerede gerekli ayrıntıları doldurun ve Bağlan'a tıklayın. Aşağıdaki kılavuzda bağlı etki alanı uç noktalarını görürsünüz. Kimlik Doğrulama Kimliği ve API Anahtarını almak için Cortex Xpanse portalında Ayarlar → Yapılandırma → Tümleştirmeleri → API Anahtarları'na gidin ve yeni kimlik bilgileri oluşturun.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Palo Alto Prisma Cloud CSPM (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Palo Alto Prisma Bulut CSPM veri bağlayıcısı, Palo Alto Prisma Bulut CSPM örneğine bağlanmanızı ve Uyarıları () denetim günlüklerini(https://pan.dev/prisma-cloud/api/cspm/alerts/https://pan.dev/prisma-cloud/api/cspm/audit-logs/) Microsoft Sentinel & almanızı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
PaloAltoPrismaCloudAlertV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Palo Alto Prisma Cloud CSPM Olaylarını Microsoft Sentinel bağlama

Prisma Bulut Erişim Anahtarı, Gizli Anahtar ve Temel URL'yi edinme hakkında daha fazla bilgi edinmek için lütfenbağlayıcı öğreticisine bakın, aşağıdaki gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

• Prisma Bulut Erişim Anahtarı: (Erişim Anahtarı Girin)
• Prisma Bulut Gizli Anahtarı: (Gizli Anahtar Girin)
• Prisma Bulut Tabanı URL'si: (https://api2.eu.prismacloud.io)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak
• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Palo Alto Prisma Cloud CWPP (REST API kullanarak)

Tarafından desteklenir:Microsoft Corporation

Palo Alto Prisma Cloud CWPP veri bağlayıcısı, Palo Alto Prisma Cloud CWPP örneğine bağlanmanızı ve uyarıları Microsoft Sentinel almanızı sağlar. Veri bağlayıcısı, Microsoft Sentinel Codeless Connector Framework'te oluşturulur ve güvenlik olaylarını getirmek için Prisma Bulut API'sini kullanır ve alınan güvenlik olayı verilerini özel sütunlar halinde ayrıştıran DCR tabanlı alım süresi dönüştürmelerini destekler, böylece sorguların yeniden ayrıştırması gerekmez ve böylece daha iyi performans elde edilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
PrismaCloudCompute_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• PrismaCloudCompute API Anahtarı: Palo Alto Prisma Cloud CWPP İzleyici API'si kullanıcı adı ve parolası gereklidir. Daha fazla bilgi için bkz. PrismaCloudCompute SIEM API'sini derleme.

Kurulum Yönergeleri:

Palo Alto Prisma Cloud CWPP Güvenlik Olaylarını Microsoft Sentinel'a bağlama

Microsoft Sentinel için Palo Alto Prisma Cloud CWPP Güvenlik Olaylarını etkinleştirmek için aşağıdaki gerekli bilgileri sağlayın ve Bağlan'a tıklayın.

• Konsolun yolu: (europe-west3.cloud.twistlock.com/{sasid})
• Prisma Erişim Anahtarı (API): (Prisma Erişim Anahtarı (API))
• Gizli Dizi: (Gizli Dizi)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Pathlock Inc.: SAP için Tehdit Algılama ve Yanıt

Tarafından desteklenir:Pathlock Inc.

SAP için Microsoft Sentinel Çözümü ile Pathlock Tehdit Algılama ve Yanıt (TD&R) tümleştirmesi, SAP güvenlik olaylarında birleşik, gerçek zamanlı görünürlük sağlayarak kuruluşların tüm SAP manzaralarında tehditleri algılamasına ve üzerinde işlem gerçekleştirmesine olanak tanır. Bu kullanıma hazır tümleştirme, Güvenlik İşlem Merkezleri'nin (SOC) SAP'ye özgü uyarıları kuruluş genelindeki telemetriyle ilişkilendirmesine olanak tanır ve BT güvenliğini iş süreçleriyle bağlayan eyleme dönüştürülebilir zeka oluşturur.

Pathlock'un bağlayıcısı SAP için amaca yöneliktir ve varsayılan olarak yalnızca güvenlikle ilgili olayları iletir ve gerektiğinde tüm günlük kaynaklarını iletme esnekliğini korurken veri hacmini ve kirliliği en aza indirir. Her olay iş süreci bağlamı ile zenginleştirilmiştir ve SAP analizi için Microsoft Sentinel Çözümün operasyonel desenleri gerçek tehditlerden ayırt etmesine ve gerçekten önemli olan şeylere öncelik vermesine olanak sağlar.

Bu duyarlık odaklı yaklaşım, güvenlik ekiplerinin hatalı pozitif sonuçları önemli ölçüde azaltmasına, araştırmalara odaklanmasına ve ortalama algılama süresini (MTTD) ve ortalama yanıt verme süresini (MTTR) hızlandırmasına yardımcı olur. Pathlock kitaplığı 70'ten fazla günlük kaynağında 1.500'den fazla SAP'ye özgü algılama imzasından oluşur, çözüm karmaşık saldırı davranışlarını, yapılandırma zayıflıklarını ve erişim anomalilerini ortaya çıkarır.

Pathlock, iş bağlamı zekasını gelişmiş analizlerle birleştirerek kuruluşların karmaşıklık veya yedekli izleme katmanları eklemeden algılama doğruluğunu güçlendirmesine, yanıt eylemlerini kolaylaştırmalarına ve SAP ortamlarında sürekli denetim sağlamalarına olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ABAPAuditLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kurallarında İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Veri toplama kuralı (DCR) ve veri toplama uç noktası (DCE) kaynakları oluşturacağız. Ayrıca bir Microsoft Entra uygulama kaydı oluşturacak ve gerekli izinleri ona atayacağız.

Azure kaynaklarının otomatik dağıtımı "Anında iletme bağlayıcısı kaynaklarını dağıt" seçeneğine tıklanması DCR ve DCE kaynaklarının oluşturulmasını tetikler. Ardından istemci gizli anahtarıyla bir Microsoft Entra uygulama kaydı oluşturur ve DCR üzerinde izinler verir. Bu kurulum, verilerin OAuth v2 istemci kimlik bilgileri kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Pathlock'un Siber Güvenlik Uygulama Denetimlerinin merkezi örneğinizde veri toplama uç noktası ayrıntılarını ve kimlik doğrulama bilgilerini koruyun: Tehdit Algılama ve Yanıt

Veri toplama uç noktasına veri göndermek için Tehdit Algılama ve Yanıt'ta tak çalıştır iletmeyi yapılandırmak için veri toplama uç noktası URL'sini ve kimlik doğrulama bilgilerini Pathlock yöneticisiyle paylaşın. Destek gerekiyorsa Pathlock ile iletişime geçmekten çekinmeyin.

• LogIngestionAPI kimlik bilgisinde Kiracı Kimliği olarak yapılandırmak için bu değeri kullanın.: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• IFlow'u dağıtırken LogsIngestionURL parametresini yapılandırmak için bu değeri kullanın.< Yükleme zamanında sağlanan değişken değeri>
• DCR Sabit Kimliği: <yükleme zamanında sağlanan değişken değeri>

---

Çevre 81 Etkinlik Günlükleri

Tarafından desteklenir:Çevre 81

Çevre 81 Etkinlik Günlükleri bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Çevre 81 etkinlik günlüklerinizi kolayca Microsoft Sentinel bağlamanıza olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Perimeter81_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Aşağıdaki değerleri not edin ve Çevre 81 etkinlik günlüklerinizi Microsoft Sentinel bağlamak için buradaki yönergeleri izleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Fosfor Cihazları

Tarafından desteklenir:Fosfor Inc.

FosforLu Cihaz Bağlayıcısı, Fosfor REST API'si aracılığıyla cihaz veri günlüklerini Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, Fosfor'a kayıtlı cihazlara görünürlük sağlar. Bu Veri Bağlayıcısı, ilgili uyarıların yanı sıra cihaz bilgilerini de çeker.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Phosphorus_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• REST API Kimlik Bilgileri/izinleri: Fosfor API Anahtarı gereklidir. Lütfen Kullanıcıyla ilişkilendirilmiş API Anahtarının Ayarları Yönet izinlerinin etkinleştirildiğinden emin olun.

Ayarları Yönet izinlerini etkinleştirmek için bu yönergeleri izleyin.

1. Fosfor Uygulamasında oturum açın
2. 'Ayarlar' -> 'Gruplar' seçeneğine gidin
3. Tümleştirme kullanıcısının bir parçası olduğu Grubu seçin
4. 'Ürün Eylemleri' seçeneğine gidin ve> 'Ayarları Yönet' iznini açın.

Kurulum Yönergeleri:

ADIM 1 - Fosfor API'sinin yapılandırma adımları

Fosfor API anahtarı oluşturmak için bu yönergeleri izleyin.

1. Fosfor örneğinizde oturum açın
2. Ayarlar -> API'ye gidin
3. API anahtarı henüz oluşturulmadıysa, API anahtarını oluşturmak için Ekle düğmesine basın
4. API anahtarı artık Fosfor Cihazı bağlayıcı yapılandırması sırasında kopyalanabilir ve kullanılabilir

Fosfor Uygulamasını Microsoft Sentinel ile bağlama

ADIM 2 - Aşağıdaki ayrıntıları doldurun

ÖNEMLİ: Fosfor Cihazı veri bağlayıcısını dağıtmadan önce, Fosfor Örneği Etki Alanı Adı'nın yanı sıra Fosfor API'leri Anahtarlarını da kullanıma hazır hale geçirin

---

Ping One (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Bu bağlayıcı, denetim etkinlik günlüklerini PingOne Identity platformundan Kodsuz Bağlayıcı Çerçevesi kullanarak Microsoft Sentinel alır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
PingOne_AuditActivitiesV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Ping One bağlayıcısını Microsoft Sentinel bağlama

PingOne'a bağlanmadan önce aşağıdaki önkoşulların tamamlandığından emin olun. İstemci kimlik bilgilerini ve ortam kimliğini alma da dahil olmak üzere ayrıntılı kurulum yönergeleri için belgeye bakın.

1. İstemci Kimlik Bilgileri İstemci kimliğiniz ve gizli anahtarınız da dahil olmak üzere istemci kimlik bilgilerine ihtiyacınız olacaktır.

2. Ortam Kimliği
   Belirteç oluşturmak ve denetim etkinlikleri uç noktasından günlükleri toplamak için

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Prancer Veri Bağlayıcısı

Tarafından desteklenir:Prancer PenSuiteAI Tümleştirmesi

Prancer Veri Bağlayıcısı, Microsoft Sentinel aracılığıyla işlenmek üzere Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] ve PAC verilerini alma özelliği sağlar. Daha fazla bilgi için Prancer Belgeleri'ne bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
prancer_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Bağlantı gerekiyorsa özel önkoşullar ekleyin - değilse gümrükleri silin: Herhangi bir özel önkoşul için açıklama

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft sentinel'e çekmek üzere Prancer REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

1. ADIM: Azure bulut bağlayıcısı ile tarama ayarlamak için Prancer Belge Sitesi'ndeki belgeleri izleyin.

2. ADIM: Tarama oluşturulduktan sonra tarama için 'Üçüncü Bölüm Tümleştirmeleri' menüsüne gidin ve Sentinel seçin.

3. ADIM: Oluşturma, yapılandırma sihirbazını izleyerek sonuçların Azure nereye gönderileceğini seçin.

4. ADIM: Veriler işlenmek üzere Microsoft Sentinel beslenmeye başlamalıdır.

---

Premium Microsoft Defender Tehdit Analizi

Tarafından desteklenir:Microsoft Corporation

Microsoft Sentinel, izleme, uyarı ve avcılığı etkinleştirmek için Microsoft tarafından oluşturulan tehdit bilgilerini içeri aktarma olanağı sağlar. Bu veri bağlayıcısını Kullanarak Risk Göstergelerini (ICS) Premium Microsoft Defender Tehdit Analizi'dan (MDTI) Microsoft Sentinel'a aktarın. Tehdit göstergeleri IP adreslerini, etki alanlarını, URL'leri ve dosya karmalarını vb. içerebilir. Not: Bu ücretli bir bağlayıcıdır. Verileri kullanmak ve almak için lütfen İş Ortağı Merkezi'nden "MDTI API Erişimi" SKU'su satın alın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

İsteğe Bağlı ProofPoint Email Güvenliği (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Proofpoint, Inc.

proofpoint On Demand Email Security veri bağlayıcısı, İsteğe Bağlı Proofpoint Email Koruması verilerini alma olanağı sağlar, kullanıcıların ileti izlenebilirliğini denetlemesine, e-posta etkinliğini, tehditlerini ve saldırganlar ve kötü niyetli insider'lar tarafından veri sızdırmasını izlemesine olanak tanır. Bağlayıcı, kuruluşunuzdaki olayları hızlandırılmış bir şekilde gözden geçirme, son etkinlikler için saatlik artışlarla olay günlüğü dosyalarını alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ProofpointPODMailLog_CL	Evet	Evet
ProofpointPODMessage_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Websocket API Kimlik Bilgileri/izinleri: ProofpointClusterID ve ProofpointToken gereklidir. Daha fazla bilgi için bkz. API.

Kurulum Yönergeleri:

Proofpoint POD Websocket API'sinin yapılandırma adımları

PoD Günlük API'si aynı anda birden fazla oturum için aynı belirtecin kullanılmasına izin vermez, bu nedenle belirtecinizin hiçbir yerde kullanılmadığından emin olun.

Proofpoint Websocket API hizmeti, Uzak Syslog İletme lisansı gerektirir. PoD Günlük API'sini etkinleştirme ve denetleme ile ilgili belgelere bakın. Küme kimliğinizi ve güvenlik belirtecinizi sağlamanız gerekir.

1. Küme kimliği 1.1'i alın. Yönetici kullanıcı kimlik bilgileriyle [Yönetim Konsolu] yazım denetleme noktasında oturum açın

   1.2. Yönetim Konsolu'nda küme kimliği sağ üst köşede görüntülenir.

2. API belirteci 2.1'i alın. Yönetici kullanıcı kimlik bilgileriyle [Yönetim Konsolu] yazım denetleme noktasında oturum açın

2.2. Yönetim Konsolu'nda Ayarlar -> API Anahtar Yönetimi'ne tıklayın

2.3. API Anahtar Yönetimi altında PoD Günlüğü sekmesine tıklayın.

2.4. Yeni bir API anahtarı alın veya oluşturun.

• Küme Kimliği: (cluster_id)
• API Anahtarı: (API Anahtarı)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

İsteğe Bağlı ProofPoint Email Güvenliği (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

proofpoint On Demand Email Security veri bağlayıcısı, İsteğe Bağlı Proofpoint Email Koruması verilerini alma olanağı sağlar, kullanıcıların ileti izlenebilirliğini denetlemesine, e-posta etkinliğini, tehditlerini ve saldırganlar ve kötü niyetli insider'lar tarafından veri sızdırmasını izlemesine olanak tanır. Bağlayıcı, kuruluşunuzdaki olayları hızlandırılmış bir şekilde gözden geçirme, son etkinlikler için saatlik artışlarla olay günlüğü dosyalarını alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ProofpointPODMailLog_CL	Evet	Evet
ProofpointPODMessage_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Websocket API Kimlik Bilgileri/izinleri: ProofpointClusterID ve ProofpointToken gereklidir. Daha fazla bilgi için bkz. API.

Kurulum Yönergeleri:

Proofpoint POD Websocket API'sinin yapılandırma adımları

PoD Günlük API'si aynı anda birden fazla oturum için aynı belirtecin kullanılmasına izin vermez, bu nedenle belirtecinizin hiçbir yerde kullanılmadığından emin olun.

Proofpoint Websocket API hizmeti, Uzak Syslog İletme lisansı gerektirir. PoD Günlük API'sini etkinleştirme ve denetleme ile ilgili belgelere bakın. Küme kimliğinizi ve güvenlik belirtecinizi sağlamanız gerekir.

1. Küme kimliği 1.1'i alın. Yönetici kullanıcı kimlik bilgileriyle [Yönetim Konsolu] yazım denetleme noktasında oturum açın

   1.2. Yönetim Konsolu'nda küme kimliği sağ üst köşede görüntülenir.

2. API belirteci 2.1'i alın. Yönetici kullanıcı kimlik bilgileriyle [Yönetim Konsolu] yazım denetleme noktasında oturum açın

2.2. Yönetim Konsolu'nda Ayarlar -> API Anahtar Yönetimi'ne tıklayın

2.3. API Anahtar Yönetimi altında PoD Günlüğü sekmesine tıklayın.

2.4. Yeni bir API anahtarı alın veya oluşturun.

• Küme Kimliği: (cluster_id)
• API Anahtarı: (API Anahtarı)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Proofpoint TAP (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Proofpoint, Inc.

Proofpoint Hedefli Saldırı Koruması (TAP) bağlayıcısı, Proofpoint TAP günlüklerini ve olaylarını Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, panoları görüntülemek, özel uyarılar oluşturmak ve izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel İleti ve Tıklama olayları hakkında görünürlük sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ProofPointTAPMessagesDeliveredV2_CL	Evet	Evet
ProofPointTAPMessagesBlockedV2_CL	Evet	Evet
ProofPointTAPClicksPermittedV2_CL	Evet	Evet
ProofPointTAPClicksBlockedV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Proofpoint TAP API Anahtarı: Proofpoint'in SIEM API'sine erişmek için Bir Proofpoint TAP API hizmet sorumlusu ve gizli dizisi gerekir. Daha fazla bilgi için bkz . Proofpoint SIEM API'si.

Kurulum Yönergeleri:

Proofpoint TAP API'sinin yapılandırma adımları

1. Proofpoint TAP panosunda oturum açın
2. Ayarlar'a gidin ve Bağlı Uygulamalar sekmesine gidin
3. Yeni Kimlik Bilgisi Oluştur'a tıklayın
4. Bir ad girin ve Oluştur'a tıklayın
5. Hizmet Sorumlusu ve Gizli Dizi değerlerini kopyalama

NOT: Bu bağlayıcı, Microsoft Sentinel Çözümü ile dağıtılan beklenen ProofpointTAPEvent işlevinin çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.

• Hizmet Sorumlusu: (123456)
• Gizli dizi: (123456)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Proofpoint TAP (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Proofpoint Hedefli Saldırı Koruması (TAP) bağlayıcısı, Proofpoint TAP günlüklerini ve olaylarını Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, panoları görüntülemek, özel uyarılar oluşturmak ve izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel İleti ve Tıklama olayları hakkında görünürlük sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ProofPointTAPMessagesDeliveredV2_CL	Evet	Evet
ProofPointTAPMessagesBlockedV2_CL	Evet	Evet
ProofPointTAPClicksPermittedV2_CL	Evet	Evet
ProofPointTAPClicksBlockedV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Proofpoint TAP API Anahtarı: Proofpoint'in SIEM API'sine erişmek için Bir Proofpoint TAP API hizmet sorumlusu ve gizli dizisi gerekir. Daha fazla bilgi için bkz . Proofpoint SIEM API'si.

Kurulum Yönergeleri:

Proofpoint TAP API'sinin yapılandırma adımları

1. Proofpoint TAP panosunda oturum açın
2. Ayarlar'a gidin ve Bağlı Uygulamalar sekmesine gidin
3. Yeni Kimlik Bilgisi Oluştur'a tıklayın
4. Bir ad girin ve Oluştur'a tıklayın
5. Hizmet Sorumlusu ve Gizli Dizi değerlerini kopyalama

NOT: Bu bağlayıcı, Microsoft Sentinel Çözümü ile dağıtılan beklenen ProofpointTAPEvent işlevinin çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.

• Hizmet Sorumlusu: (123456)
• Gizli dizi: (123456)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

QscoutAppEventsConnector (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Quokka

Qscout uygulama olaylarını Microsoft Sentinel alma

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
QscoutAppEvents_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Qscout Kuruluş Kimliği: API, Qscout'ta kuruluşunuzun kimliğini gerektirir.
• Qscout Kuruluş API Anahtarı: API, Qscout'ta kuruluşunuzun API anahtarını gerektirir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, Qscout uygulama olayları akışına bağlanmak ve verileri Microsoft Sentinel almak için Kodsuz Bağlayıcı Çerçevesi 'ni (CCF) kullanır

Aşağıdaki gerekli değerleri sağlayın:

• Qscout Kuruluş Kimliği: (123456)
• Qscout Kuruluş API Anahtarı: (abcdxyz)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Qualys Bilgi Bankası (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Qualys API'sinin 4.0 sürümünü kullanarak Qualys Bilgi Bankası Güvenlik Açığı Verilerini Microsoft Sentinel alın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
QualysKnowledgeBase	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Qualys API erişimi: Bilgi Bankası uç noktalarına okuma erişimi olan bir Qualys Kullanıcı Hesabı gerektirir.

Kurulum Yönergeleri:

1. Adım: Kimlik Bilgilerini Ayarlama Qualys Bilgi Bankası'ndan veri alımını etkinleştirmek için Qualys API kimlik bilgilerinizi sağlayın.

Qualys VM'den veri toplamak için aşağıdaki kaynakları sağlamanız gerekir:

• API Kimlik Bilgileri: Bilgi Bankası API'sine okuma erişimi olan bir hesabın kullanıcı adı ve parolası. Gereken tam izinleri Qualys API belgelerinde bulabilirsiniz.

• API Sunucusu URL'si: Bölgenize özgü Qualys API sunucusu URL'si. Bölgeniz için tam API sunucusu URL'sini burada bulabilirsiniz

• API Server URL'si: (API Server URL'sini girin)

• Kullanıcı adı: (Qualys kullanıcı adını girin)

• Parola: (Qualys parolanızı veya belirtecinizi girin) 2. Adım: İsteğe Bağlı Filtreleri Ayarlama

Hangi güvenlik açıklarının alınacaklarını özelleştirmek için isteğe bağlı filtreleri yapılandırın. Qualys API belgelerinde kullanılabilir filtreler hakkında daha fazla bilgi edinin.

2a. Düzeltme Eki Durumuna Göre Filtrele Yalnızca düzeltme eki uygulanabilir veya düzeltme eki uygulanabilir olmayan güvenlik açıklarını göstermeyi seçin.

2b. Bulma Yöntemine ve Kimlik Doğrulama Türlerine Göre Filtrele Yalnızca belirli bir bulma yöntemine atanmış veya belirli kimlik doğrulama türlerine sahip güvenlik açıklarını almayı seçin.

• Bulma Kimlik Doğrulama Türleri: (örneğin, Windows, Oracle, Unix, SNMP (virgülle ayrılmış)) 3. Adım: Yapılandırma ayarlarınızı gözden geçirin ve etkinleştirin ve bağlayıcının Qualys Bilgi Bankası verilerini Microsoft Sentinel almaya başlamasını sağlayın.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Qualys VM KnowledgeBase (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Qualys Güvenlik Açığı Yönetimi (VM) KnowledgeBase (KB) bağlayıcısı, Qualys KB'deki en son güvenlik açığı verilerini Microsoft Sentinel alma özelliği sağlar.

Bu veriler , Qualys Güvenlik Açığı Yönetimi (VM) veri bağlayıcısı tarafından bulunan güvenlik açığı algılamalarını ilişkilendirmek ve zenginleştirmek için kullanılabilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
QualysKB_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Qualys API Anahtarı: Qualys VM API'sinde kullanıcı adı ve parola gereklidir. Daha fazla bilgi için bkz . Qualys VM API'si.

Kurulum Yönergeleri:

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Log Analytics'te işlev kodunu görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve QualysVM Bilgi Bankası diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın. Sorgunun ikinci satırında QualysVM Bilgi Bankası cihazlarınızın ana bilgisayar adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto işlev diğer adı QualysKB'yi kullanma adımlarını izleyin

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Qualys API'sinin yapılandırma adımları

1. Qualys Güvenlik Açığı Yönetimi konsolunda bir yönetici hesabıyla oturum açın, Kullanıcılar sekmesini ve Kullanıcılar alt sekmesini seçin.
2. Yeni açılan menüsüne tıklayın ve Kullanıcılar'ı seçin.
3. API hesabı için bir kullanıcı adı ve parola oluşturun.
4. Kullanıcı Rolleri sekmesinde hesap rolünün Yönetici olarak ayarlandığından ve GUI ve API'ye erişime izin verildiğinden emin olun
5. Yönetici hesabının oturumunu kapatın ve doğrulama için yeni API kimlik bilgileriyle konsolda oturum açın, ardından API hesabında oturumu kapatın.
6. Bir yönetici hesabı kullanarak konsolda yeniden oturum açın ve API hesaplarını Kullanıcı Rolleri'nde değiştirerek GUI'ye erişimi kaldırın.
7. Tüm değişiklikleri kaydedin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Qualys KB bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Qualys API kullanıcı adı ve parolasına sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Tempate kullanarak Qualys KB bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, API Kullanıcı Adı, API Parolası girin, URI'yi ve ek URI Filtre Parametrelerini güncelleştirin (Bu değer her parametre arasında bir "&" simgesi içermelidir ve boşluk içermemelidir)

• Bölgenize karşılık gelen URI'yi girin. API Server URL'lerinin tam listesine buradan ulaşabilirsiniz
• Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
5. Dağıtmak için Satın Al'a tıklayın.

• Not: Depolama hesabı adı alındığından dağıtım başarısız olduysa İşlev Adı'nı benzersiz bir değerle değiştirin ve yeniden dağıtın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Bu yöntem, Qualys KB bağlayıcısını Azure İşlevi ile el ile dağıtmak için adım adım yönergeler sağlar.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki yedi (7) uygulama ayarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: apiUsername apiPassword workspaceID çalışma alanıKey uri filtresiParameters logAnalyticsUri (isteğe bağlı)

• Bölgenize karşılık gelen URI'yi girin. API Sunucusu URL'lerinin tam listesine buradan ulaşabilirsiniz. Değerin uri aşağıdaki şemayı izlemesi gerekir: https://<API Server>/api/2.0
• Değişkeni için filterParameters URI'ye eklenmesi gereken tüm ek filtre parametrelerini ekleyin. Değer filterParameter her parametre arasında bir "&" simgesi içermeli ve boşluk içermemelidir.
• Not: Azure Key Vault kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.
• Temsilci olarak atanan bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Qualys Güvenlik Açığı Yönetimi (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Qualys Güvenlik Açığı Yönetimi (VM) veri bağlayıcısı, Qualys API aracılığıyla güvenlik açığı konak algılama verilerini Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, vulerability taramalarından konak algılama verilerine görünürlük sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
QualysHostDetectionV3_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• API erişimi ve rolleri: Qualys VM kullanıcısının Okuyucu veya üzeri bir rolü olduğundan emin olun. Rol Okuyucu ise, hesap için API erişiminin etkinleştirildiğinden emin olun. Denetçi rolünün API'ye erişmesi desteklenmez. Daha fazla ayrıntı için Qualys VM Konak Algılama API'sine ve Kullanıcı rolü Karşılaştırma belgesine bakın.

Kurulum Yönergeleri:

Qualys Güvenlik Açığı Yönetimi'ni Microsoft Sentinel bağlama

NOT: Konak tabanlı Algılamalar için veri toplamak için tablodaki DetectionList sütununu genişletin.

Qualys VM'den veri toplamak için aşağıdaki kaynakları sağlamanız gerekir

1. API Kimlik Bilgileri Qualys VM'sinden veri toplamak için Kullanıcı Adınız ve Parolanız da dahil olmak üzere Qualys API kimlik bilgilerine ihtiyacınız olacaktır.

2. API Sunucusu URL'si Qualys VM'sinden veri toplamak için bölgenize özgü Qualys API sunucusu URL'sine ihtiyacınız olacaktır. Bölgeniz için tam API sunucusu URL'sini burada bulabilirsiniz

• Qualys API Kullanıcı Adı: (UserName Girin)
• Qualys API Parolası: (Parola girin)
• Qualys API Sunucusu URL'si: (API Sunucusu URL'sini girin)

3. Kesme Sınırı API çağrısı başına alınacak en fazla konak kaydı sayısını yapılandırın (20-5000 aralığı). Daha yüksek değerler performansı artırabilir ancak API yanıt sürelerini etkileyebilir.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

AMA aracılığıyla Radiflow iSID

Tarafından desteklenir:Radiflow

iSID, her biri belirli bir ağ etkinliği türüyle ilgili benzersiz bir özellik sunan birden çok güvenlik paketi kullanarak topoloji ve davranış değişiklikleri için dağıtılmış ICS ağlarının kesintiye uğramadan izlenmesini sağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
RadiflowEvent	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan [RadiflowEvent] adlı kusto işlevini temel alan ayrıştırıcıya bağlıdır.

1. Veri bağlayıcısını yapılandırma adımlarını izleyin

A. Adım. AMA veri bağlayıcısı aracılığıyla Ortak Olay Biçimini (CEF) yapılandırma

Not:- CEF günlükleri yalnızca Linux Aracılarından toplanır

1. Microsoft Sentinel çalışma alanı ---> yapılandırma ---> Veri bağlayıcısı dikey penceresine gidin.

2. "AMA aracılığıyla Ortak Olay Biçimi (CEF)" veri bağlayıcısını arayın ve açın.

3. Gerekli günlük olanaklarını toplamak için yapılandırılmış mevcut bir DCR olup olmadığını denetleyin, Yeni bir DCR (Veri Toplama Kuralı) oluşturun.

   Not:- AMA aracısının en az 1,27 sürümünü yüklemeniz önerilir Daha fazla bilgi edinin ve günlük uyumsuzluğuna neden olabileceğinden yinelenen DCR olmadığından emin olun.

4. MAKINEde CEF toplayıcısını yapılandırmak için CEF aracılığıyla AMA veri bağlayıcısı sayfasında sağlanan komutu çalıştırın.

Adım B. ISID'yi CEF kullanarak günlük gönderecek şekilde yapılandırma

CEF kullanarak günlük iletmeyi yapılandırma:

1. Yapılandırma menüsünün Sistem Bildirimleri bölümüne gidin.

2. Syslog'un altında +Ekle'yi seçin.

3. Yeni Syslog Sunucusu iletişim kutusunda adı, uzak sunucu IP'sini, Bağlantı Noktasını, Aktarım'ı belirtin ve Biçim - CEF'yi seçin.

4. Syslog Ekle iletişim kutusundan çıkmak için Uygula'ya basın.

Adım C. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin CommonSecurityLog şeması kullanılarak alınp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının verileri çalışma alanınıza aktarması yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python --version

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir

• Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

**2. Makinenizin güvenliğini sağlama **

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

---

Rapid7 Insight Platform Güvenlik Açığı Yönetim Raporları (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Rapid7 Insight VM Raporu veri bağlayıcısı, Rapid7 Insight platformundan (bulutta yönetilen) REST API aracılığıyla Tarama raporlarını ve güvenlik açığı verilerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
NexposeInsightVMCloud_assets_CL	Hayır	Hayır
NexposeInsightVMCloud_vulnerabilities_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri: REST API için InsightVMAPIKey gereklidir. Daha fazla bilgi için bkz. API. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Insight VM API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan Beklenen InsightVMAssets ve InsightVMVulnerabilities gibi çalışması için Kusto İşlevini temel alan ayrıştırıcılara bağlıdır.

ADIM 1 - Insight VM Bulutu için yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Çalışma Alanı veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Rapid7 Insight Güvenlik Açığı Yönetim Raporu veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. InsightVMAPIKey girin, InsightVMCloudRegion'u seçin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Rapid7 Insight Vulnerability Management Report veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
3. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin:
   InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

3. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Rapid7 Insight Platform Güvenlik Açığı Yönetim Raporları (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Rapid7 Insight VM Raporu veri bağlayıcısı, Rapid7 Insight platformundan (bulutta yönetilen) REST API aracılığıyla Tarama raporlarını ve güvenlik açığı verilerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Rapid7InsightVMCloudAssets	Evet	Evet
Rapid7InsightVMCloudVulnerabilities	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• REST API Kimlik Bilgileri: REST API için InsightVMAPIKey gereklidir. Daha fazla bilgi için bkz. API. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin

Kurulum Yönergeleri:

Rapid7 InsightVM bağlayıcısını yapılandırmak için yönergeleri izleyin.

Not: Not: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan Beklenen InsightVMAssets ve InsightVMVulnerabilities gibi çalışması için Kusto İşlevine dayalı ayrıştırıcılara bağlıdır.

1. Rapid7 Insight VM bulutu için yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

1. Rapid7 InsightVM'de bir API Anahtarı oluşturun.
2. Bölgenizi ve API Anahtarınızı not edin.

• Bölge: (biz, ab vb.)
• API Anahtarı: (API Anahtarı)

2. Bağlan

Rapid7 Insight VM bağlayıcısını etkinleştirin.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Red Sift Olayları (CCF Anında İletme)

Tarafından desteklenir:Red Sift

Red Sift bağlayıcısı, DCE + DCR ile CCF anında iletme modelini kullanarak Red Sift kimlik doğrulamasını ve e-posta adli olaylarını Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
RedSiftAuth_CL	Hayır	Hayır
RedSiftEmailForensics_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

OAuth istemci kimlik bilgileri için kullanılan DCE, DCR, özel tablo ve Entra uygulama kaydını dağıtın.

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablolarının ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Red Sift web kancasını yapılandırma

Red Sift'i olayları Microsoft Sentinel gönderecek şekilde yapılandırmak için aşağıdaki parametreleri kullanın. Her olay türü için uygun akış adını kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Kimlik Doğrulama Olayları Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Email Adli Olaylar Stream Adı: <yükleme zamanında sağlanan değişken değeri>

---

RSA Id Plus Yönetici Günlükleri Bağlayıcısı

Tarafından desteklenir:RSA Destek Ekibi

RSA Id Plus AdminLogs Bağlayıcısı, Bulut Yönetici Konsolu Denetim Olaylarını Bulut Yönetici API'lerini kullanarak Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
RSAIDPlus_AdminLogs_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• RSA Kimliği Artı API Kimlik Doğrulaması: Yönetici API'lerine erişmek için istemcinin Eski Yönetim API'si anahtarıyla imzalanmış geçerli bir Base64URL kodlanmış JWT belirteci gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek için RSA ID Plus Cloud Yönetici API'lerine bağlanmak için Kodsuz Bağlayıcı Çerçevesi 'ni (CCF) kullanır.

1. ADIM - Bulut Yönetici Konsolunda Eski Yönetici API İstemcisi Oluşturma.

Bu sayfada belirtilen adımları izleyin.

ADIM 2 - Base64URL kodlu JWT Belirtecini oluşturun.

'Eski Yönetim API'si' başlığı altında bu sayfada belirtilen adımları izleyin.

3. ADIM - Yönetici olay günlüklerini Microsoft Sentinel almaya başlamak için Bulut Yönetici API'sini yapılandırın.

Aşağıdaki gerekli değerleri sağlayın:

• Yönetici API URL'si: (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs>)
• JWT Belirteci: (JWT Belirtecinizi girin)

4. ADIM - Bağlan'a tıklayın

Yukarıdaki tüm alanların doğru doldurulduğunu doğrulayın. Bağlayıcıyı başlatmak için Bağlan'a basın.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Rubrik Security Cloud veri bağlayıcısı (Azure İşlevleri kullanarak)

Tarafından desteklenir:Rubrik

Rubrik Security Cloud veri bağlayıcısı, güvenlik operasyonları ekiplerinin Rubrik'in Veri Gözlemlenebilirliği hizmetlerindeki içgörüleri Microsoft Sentinel tümleştirmesine olanak tanır. İçgörüler fidye yazılımı ve toplu silme ile ilişkili anormal dosya sistemi davranışını belirlemeyi, fidye yazılımı saldırısının patlama yarıçapını değerlendirmeyi ve olası olayları önceliklendirmek ve daha hızlı araştırmak için hassas veri işleçlerini içerir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Rubrik_Anomaly_Data_CL	Evet	Evet
Rubrik_Ransomware_Data_CL	Evet	Evet
Rubrik_ThreatHunt_Data_CL	Evet	Evet
Rubrik_Events_Data_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel göndererek Rubrik web kancasına bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Rubrik Microsoft Sentinel veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nı (aşağıdakilerden kopyalanabilir) hazır...

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Rubrik bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin: İşlev Adı Çalışma Alanı Kimliği Çalışma Alanı Anahtarı AnomalileriTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Rubrik Microsoft Sentinel veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, RubrikXXXXXX).

   e. Çalışma zamanı seçin: Python 3.8 veya üzerini seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: WorkspaceID WorkspaceKey AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://< CustomerId.ods.opinsights.azure.us>.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Dağıtım Sonrası adımları

1) İşlev uygulaması uç noktasını alma

1. Azure işlevine Genel Bakış sayfasına gidin ve "İşlevler" sekmesine tıklayın.
2. "RubrikHttpStarter" adlı işleve tıklayın.
3. "GetFunctionurl" bölümüne gidin ve işlev url'sini kopyalayın.

2) Microsoft Sentinel'a veri göndermek için RubrikSecurityCloud'da bir web kancası ekleyin.

Olay bilgilerini almaya başlamak için Rubrik Kullanıcı Kılavuzu yönergelerini izleyerek Web Kancası Ekleme

1. web kancası Sağlayıcısı olarak Microsoft Sentinel seçin
2. İstenen Web Kancası adını girin
3. Kopyalanan İşlev url'sinden URL bölümünü web kancası URL uç noktası olarak girin ve Rubrik Microsoft Sentinel Çözümü için {functionname} yerine "RubrikAnomalyOrchestrator" yazın
4. Anomali olarak EventType'ı seçin
5. Aşağıdaki önem derecelerini seçin: Kritik, Uyarı, Bilgilendirici
6. "RubrikEventsOrchestrator" çalıştırılırken isterseniz birden çok günlük türü seçin
7. Anomali Algılama Analizi, Tehdit Avı ve Diğer Olaylar için web kancaları eklemek için aynı adımları yineleyin.

NOT: Anomali Algılama Analizi, Tehdit Avı ve Diğer Olaylar için web kancaları eklerken, kopyalanan işlev url'sinde {functionname} yerine sırasıyla "RubrikRansomwareOrchestrator", "RubrikThreatHuntOrchestrator" ve "RubrikEventsOrchestrator" değerlerini yazın.

Artık rubrik Web kancası yapılandırmasıyla işimiz bitti. Web kancası olayları tetikledikten sonra, "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL" ve "Rubrik_Events_Data_CL" adlı ilgili LogAnalytics çalışma alanı tablosunda Anomali, Anomali Algılama Analizi, Tehdit Avı olaylarını ve Diğer Olayları görebilmeniz gerekir.

---

SaaS Güvenliği

Tarafından desteklenir:Valence Security

REST API arabirimi aracılığıyla Log Analytics Azure Valence SaaS güvenlik platformunu bağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ValenceAlert_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

1. Adım: Ayrıntılı belgeleri okuyun

Yükleme işlemi Valence Security'nin bilgi bankası ayrıntılı olarak belgelenmiştir. Kullanıcı, tümleştirmenin yüklenmesini ve hatalarını ayıklamayı anlamak için bu belgelere daha fazla başvurmalıdır.

2. Adım: Çalışma alanı erişim kimlik bilgilerini alma

İlk yükleme adımı, Microsoft Sentinel platformundan hem Çalışma Alanı Kimliğinizi hem de Birincil Anahtarınızı almaktır. Aşağıda gösterilen değerleri kopyalayın ve API günlük ileticisi tümleştirmesinin yapılandırması için kaydedin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

3. Adım: Valence Güvenlik Platformu'nda Sentinel tümleştirmesini yapılandırma

Valence Security Platform yöneticisi olarak yapılandırma ekranına gidin, SIEM Tümleştirme kartında Bağlan'a tıklayın ve Microsoft Sentinel'yi seçin. Önceki adımdaki değerleri yapıştırın ve Bağlan'a tıklayın. Valence bağlantıyı test eder, böylece başarı bildirildiğinde bağlantı çalıştı.

---

Salesforce Denetim Günlükleri (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Salesforce Denetim Günlükleri veri bağlayıcısı, Salesforce kuruluşunuzdaki yönetim değişikliklerini ve yapılandırma değişikliklerini REST API aracılığıyla Microsoft Sentinel alma olanağı sağlar. Bağlayıcı, Kurulum Denetim İzi ve Oturum Açma Geçmişi olaylarını kuruluşunuzun yapılandırmasında yapılan değişiklikleri izleyen Microsoft Sentinel alma olanağı sağlayarak güvenlik ve uyumluluk görünürlüğünü korumanıza yardımcı olur.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SalesforceAuditTrail	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Salesforce Service Cloud API erişimi: Bağlı Uygulama aracılığıyla Salesforce Service Cloud API'sine erişim gereklidir.

Kurulum Yönergeleri:

Salesforce'u Microsoft Sentinel bağlama

OAuth için Salesforce'ta Bağlı Uygulama Oluşturma ve OAuth 2.0 İstemci Kimlik Bilgileri Akışı için Bağlı Uygulama Yapılandırma'yı izleyerek Salesforce Hizmeti Bulut API'sine erişimi olan bir Bağlı Uygulama oluşturun. Bu yönergeler aracılığıyla Tüketici Anahtarı ve Tüketici Gizli Anahtarı'nı almanız gerekir. Salesforce Etki Alanı adı için Kurulum'a gidin, Hızlı Bul kutusuna Etki Alanım yazın ve etki alanı ayrıntılarınızı görüntülemek için Etki Alanım'ı seçin. Etki alanı adını sondaki eğik çizgi olmadan girdiğinizden emin olun (ör. https://your-domain.my.salesforce.com). Aşağıdaki formu bu bilgilerle doldurun.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

SalesForce Real-Time Olay İzleme Bağlayıcısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Salesforce Real-Time Olay İzleme (RTEM) Bağlayıcısı, Olay Depolama için Nesne kullanarak Salesforce gerçek zamanlı olaylarınızla ilgili bilgileri REST API aracılığıyla Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, kuruluşunuzdaki olayları hızlandırılmış bir şekilde gözden geçirme, son etkinlikler için gerçek zamanlı olay verileri alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SalesForceRealTimeEventMonitoring_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Salesforce Olay İzleme API'sine erişim: Bağlı uygulama aracılığıyla Salesforce Olay İzleme API'sine erişim gereklidir.

Kurulum Yönergeleri:

Microsoft Sentinel'da gerçek zamanlı olay izleme günlüklerini toplamaya başlamak için Salesforce Olay İzleme'ye bağlanın

Salesforce Olay İzleme API'sine erişimi olan bir Bağlı Uygulama oluşturmak için OAuth için Salesforce'ta Bağlı Uygulama Oluşturma ve OAuth 2.0 İstemci Kimlik Bilgileri Akışı için Bağlı Uygulama Yapılandırma'yı izleyin. Bu yönergeler aracılığıyla Tüketici Anahtarı ve Tüketici Gizli Anahtarı'nı almanız gerekir. Salesforce Etki Alanı adı için Kurulum'a gidin, Hızlı Bul kutusuna Etki Alanım yazın ve etki alanı ayrıntılarınızı görüntülemek için Etki Alanım'ı seçin. Etki alanı adını sondaki eğik çizgi olmadan girdiğinizden emin olun (ör. https://your-domain.my.salesforce.com). Aşağıdaki formu bu bilgilerle doldurun.

Not: Gerekli Eklenti aboneliği: Bu bağlayıcının çalışması için Salesforce hesabınız Salesforce Shield veya Salesforce Olay İzleme eklenti aboneliklerini içermelidir.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Salesforce Service Cloud (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Salesforce Service Cloud veri bağlayıcısı, Salesforce operasyonel etkinliklerinizle ilgili bilgileri REST API aracılığıyla Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, kuruluşunuzdaki olayları hızlandırılmış bir şekilde gözden geçirme, son etkinlikler için saatlik artışlarla olay günlüğü dosyalarını alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SalesforceServiceCloudV3_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Salesforce Service Cloud API erişimi: Bağlı Uygulama aracılığıyla Salesforce Service Cloud API'sine erişim gereklidir.

Kurulum Yönergeleri:

Microsoft Sentinel'da olay günlüklerini toplamaya başlamak için Salesforce Service Cloud API'sine bağlanın

OAuth için Salesforce'ta Bağlı Uygulama Oluşturma ve OAuth 2.0 İstemci Kimlik Bilgileri Akışı için Bağlı Uygulama Yapılandırma'yı izleyerek Salesforce Hizmeti Bulut API'sine erişimi olan bir Bağlı Uygulama oluşturun. Bu yönergeler aracılığıyla Tüketici Anahtarı ve Tüketici Gizli Anahtarı'nı almanız gerekir. Salesforce Etki Alanı adı için Kurulum'a gidin, Hızlı Bul kutusuna Etki Alanım yazın ve etki alanı ayrıntılarınızı görüntülemek için Etki Alanım'ı seçin. Etki alanı adını sondaki eğik çizgi olmadan girdiğinizden emin olun (ör. https://your-domain.my.salesforce.com). Aşağıdaki formu bu bilgilerle doldurun.

Not : Not: Çözüm sürümü 3.2.0 ve üzeri SalesforceServiceCloudV3_CL tablosunu kullanır. Ayrıştırıcı buna göre güncelleştirildi.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Samsung Knox Asset Intelligence

Tarafından desteklenir:Samsung Electronics Co., Ltd.

Samsung Knox Varlık Yönetim Bilgileri Veri Bağlayıcısı, Çalışma Kitabı şablonunu kullanarak özelleştirilmiş içgörüleri görüntülemek ve Analiz Kuralları şablonlarına göre olayları tanımlamak için mobil güvenlik olaylarınızı ve günlüklerinizi merkezileştirmenize olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Samsung_Knox_Audit_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Entra uygulaması: bir Entra uygulamasının 'Microsoft Metrics Publisher' rolüyle kaydedilmesi ve sağlanması ve güvenli veri aktarımı için kimlik bilgileri olarak Sertifika veya İstemci Gizli Anahtarı ile yapılandırılması gerekir. Entra Uygulama oluşturma, kayıt ve kimlik bilgisi yapılandırması hakkında daha fazla bilgi edinmek için Günlük alımı öğreticisine bakın.

Kurulum Yönergeleri:

Bu Veri Bağlayıcısı, Güvenlik olaylarını Samsung Knox Varlık Yönetim Bilgileri (KAI) çözümünden Microsoft Sentinel göndermek için Microsoft Günlük Alımı API'sini kullanır.

ADIM 1 - Entra Uygulaması oluşturma ve kaydetme

Not: Bu Veri Bağlayıcısı Sertifika tabanlı veya İstemci Gizli Anahtarı tabanlı kimlik doğrulamayı destekleyebilir. Sertifika tabanlı kimlik doğrulaması için KAI belge portalından Samsung CA imzalı sertifikayı (ortak anahtar) indirebilirsiniz. gizli dizi tabanlı istemci kimlik doğrulaması için, Entra uygulama kaydı sırasında gizli diziyi oluşturabilirsiniz. İstemci Gizli Anahtarı değerini oluşturulur oluşturulmaz kopyaladığınızdan emin olun.

ÖNEMLİ: Kiracı (Dizin) Kimliği ve İstemci (Uygulama) Kimliği değerlerini kaydedin. gizli dizi tabanlı istemci kimlik doğrulaması etkinleştirildiyse, Entra uygulamasıyla ilişkili gizli diziyi (Gizli Dizi Değeri) kaydedin.

2. ADIM - Aşağıdaki Azure Resource Manager (ARM) şablonunu kullanarak bu Veri Bağlayıcısı dağıtımını otomatikleştirin

ÖNEMLİ: Veri Bağlayıcısı'nı dağıtmadan önce, Microsoft Sentinel (aynı zamanda Log Analytics) örneğinizle ilişkili aşağıdaki Çalışma Alanı adını kopyalayın.

• Çalışma Alanı Adı: <yükleme zamanında sağlanan değişken değeri>

1. Samsung Knox Intelligence Çözümünü yüklemek için aşağıdaki düğmeye tıklayın.

   aka.ms\n2. Şu gerekli alanları sağlayın: Log Analytics Çalışma Alanı Adı, Log Analytics Çalışma Alanı Konumu, Log Analytics Çalışma Alanı Aboneliği (Kimlik) ve Log Analytics Çalışma Alanı Kaynak Grubu.

3. ADIM - Microsoft Sentinel Veri Toplama ayrıntılarını alma

ARM şablonu dağıtıldıktan sonra Veri Toplama Kuralları https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionrules? bölümüne gidin ve Sabit Kimlik (DCR) ve Veri Toplama Uç Noktası (DCE) ile ilişkili değerleri kaydedin.

ÖNEMLİ: Uçtan uca tümleştirmeyi etkinleştirmek için, Samsung Knox Varlık Yönetim Bilgileri portalında yapılandırma için Microsoft Sentinel DCE ve DCR ile ilgili bilgiler gereklidir (4. ADIM).

ADIM 1'de oluşturulan Entra Uygulamasının DCE'ye veri göndermek için oluşturulan DCR'yi kullanma izinlerine sahip olduğundan emin olun. İzinleri uygun şekilde atamak için lütfen /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-the-dcr bölümüne bakın.

4. ADIM - Microsoft Sentinel'ı Belirli Knox Güvenlik Olaylarını Uyarı olarak gönderecek şekilde yapılandırmak için Samsung Knox Varlık Yönetim Bilgileri çözümüne bağlanma

1. Knox Varlık Yönetim Bilgileri yönetim portalında oturum açın ve Pano Ayarları'na gidin; bu, Portalın sağ üst köşesinde bulunur.

Not: Oturum açma kullanıcısının 'Güvenlik' ve 'Pano görünümünü ve veri toplamayı yönetme' izinlerine erişimi olduğundan emin olun.

2. Microsoft Sentinel Tümleştirme ve Knox Güvenlik Günlükleri ayarlarını görüntülemek için Güvenlik sekmesine tıklayın.

3. Güvenlik İşlemleri Tümleştirme sayfasında , 'Microsoft Sentinel Tümleştirmeyi Etkinleştir' seçeneğini açın ve gerekli alanlara uygun değerleri girin.

a. Kullanılan kimlik doğrulama yöntemine bağlı olarak, Entra uygulamasını kaydederken ADIM 1'den kaydedilen bilgilere bakın.

b. Microsoft Sentinel DCE ve DCR için 3. ADIM'dan kaydedilen bilgilere bakın.

4. 'Bağlantıyı Test Et'e tıklayın ve bağlantının başarılı olduğundan emin olun.

5. Kaydetmeden önce, Temel veya Gelişmiş yapılandırma (varsayılan: Temel) seçeneğini belirleyerek Knox Güvenlik Günlüklerini yapılandırın.

6. Microsoft Sentinel tümleştirmesini tamamlamak için 'Kaydet'e tıklayın.

---

SAP BTP

Tarafından desteklenir:Microsoft Corporation

SAP İş Teknolojisi Platformu (SAP BTP), tek bir birleşik ortamda veri yönetimi, analiz, yapay zeka, uygulama geliştirme, otomasyon ve tümleştirmeyi bir araya getirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SAPBTPAuditLog_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Denetim Alma API'si için İstemci Kimliği ve İstemci Gizli Anahtarı: BTP'de API erişimini etkinleştirin.

Kurulum Yönergeleri:

1. Adım - SAP BTP Denetim Alma API'sine yönelik yapılandırma adımları

SAP tarafından sağlanan adımları izleyin . Bkz. Cloud Foundry Ortamında Genel Hesaplar için Denetim Günlüğü Alma API'si. URL'yi (Denetim Alma API'si URL'si), uaa.url'yi (Kullanıcı Hesabı ve Kimlik Doğrulama Sunucusu url'si) ve ilişkili uaa.clientid değerini not alın.

NOT:Sağlanan araçları kullanarak BTP alt hesaplarını toplu olarak ekleyebilirsiniz.

SAP BTP'den Microsoft Sentinel olayları bağlama

OAuth istemci kimlik bilgilerini kullanarak bağlanma

Althesaplar

Her satır bağlı bir alt hesabı temsil eder

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

SAP Enterprise Threat Detection, cloud edition

Tarafından desteklenir:SAP

SAP Enterprise Threat Detection, cloud edition (ETD) veri bağlayıcısı, etd'den Microsoft Sentinel güvenlik uyarılarının alımına olanak sağlayarak çapraz bağıntı, uyarı ve tehdit avcılığını destekler.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SAPETDAlerts_CL	Evet	Evet
SAPETDInvestigations_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• ETD Alma API'si için İstemci Kimliği ve İstemci Gizli Anahtarı: ETD'de API erişimini etkinleştirin.

Kurulum Yönergeleri:

1. Adım - SAP ETD Denetim Alma API'sine yönelik yapılandırma adımları

SAP tarafından sağlanan adımları izleyerek ETD belgelerine bakın. URL'yi (Denetim Alma API'si URL'si), uaa.url'yi (Kullanıcı Hesabı ve Kimlik Doğrulama Sunucusu url'si) ve ilişkili uaa.clientid değerini not alın.

NOT: SAP tarafından sağlanan adımları izleyerek bir veya daha fazla ETD alt hesabı ekleyebilirsiniz. Her alt hesap için bir bağlantı ekleyin.

IPUCU: Ek bilgi için paylaşılan blog serisini kullanın.

SAP ETD'den Microsoft Sentinel olayları bağlama

OAuth istemci kimlik bilgilerini kullanarak bağlanma

ETD hesapları

Her satır bağlı bir ETD hesabını temsil eder

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

SAP LogServ (RISE), S/4HANA Cloud özel sürümü

Tarafından desteklenir:SAP

SAP LogServ günlükleri toplama, depolama, iletme ve erişime yönelik bir SAP Enterprise Cloud Services (ECS) hizmetidir. LogServ kayıtlı bir müşteri tarafından kullanılan tüm sistem, uygulama ve ECS hizmetlerinden gelen günlükleri merkezileştirir.
Ana Özellikler şunlardır:
Neredeyse Gerçek Zamanlı Günlük Koleksiyonu: SIEM çözümü olarak Microsoft Sentinel tümleştirme özelliğiyle.
LogServ, sistem sağlayıcısı olarak SAP ECS'nin sahip olduğu günlük türleriyle Microsoft Sentinel'daki mevcut SAP uygulama katmanı tehdit izleme ve algılamalarını tamamlar. Buna SAP Güvenlik Denetim Günlüğü (AS ABAP), HANA veritabanı, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, işletim sistemi, SAP Gateway, 3. taraf Veritabanı, Ağ, DNS, Proxy, Güvenlik Duvarı gibi günlükler dahildir

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SAPLogServ_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kurallarında İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Veri toplama kuralı (DCR) ve veri toplama uç noktası (DCE) kaynakları oluşturacağız. Ayrıca bir Microsoft Entra uygulama kaydı oluşturacak ve gerekli izinleri ona atayacağız.

Azure kaynaklarının otomatik dağıtımı "Anında iletme bağlayıcısı kaynaklarını dağıt" seçeneğine tıklanması DCR ve DCE kaynaklarının oluşturulmasını tetikler. Ardından istemci gizli anahtarıyla bir Microsoft Entra uygulama kaydı oluşturur ve DCR üzerinde izinler verir. Bu kurulum, verilerin OAuth v2 istemci kimlik bilgileri kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. SAP LogServ'de veri toplama uç noktası ayrıntılarını ve kimlik doğrulama bilgilerini koruyun

SAP LogServ'i veri toplama uç noktasına veri gönderecek şekilde yapılandırmak için veri toplama uç noktası URL'sini ve kimlik doğrulama bilgilerini SAP LogServ yöneticisiyle paylaşın.

Bu blog serisinden daha fazla bilgi edinin.

• LogIngestionAPI kimlik bilgisinde Kiracı Kimliği olarak yapılandırmak için bu değeri kullanın.: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• IFlow'u dağıtırken LogsIngestionURL parametresini yapılandırmak için bu değeri kullanın.< Yükleme zamanında sağlanan değişken değeri>
• DCR Sabit Kimliği: <yükleme zamanında sağlanan değişken değeri>

---

SAP S/4HANA Cloud Public Edition

Tarafından desteklenir:SAP

SAP S/4HANA Cloud Public Edition (SAP ile BÜYÜME) veri bağlayıcısı SAP'nin güvenlik denetim günlüğünün SAP için Microsoft Sentinel Çözümü'ne alınıp çapraz bağıntı, uyarı ve tehdit avcılığını destekler. Alternatif kimlik doğrulama mekanizmaları mı arıyorsunuz? Buraya bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ABAPAuditLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Denetim Alma API'si için İstemci Kimliği ve İstemci Gizli Anahtarı: BTP'de API erişimini etkinleştirin.
• SAP içerik paketi için Microsoft Sentinel (60'tan fazla analiz kuralı, çalışma kitabı, ayrıştırıcı ve daha fazlası): Microsoft Sentinel içerik hub'ından dağıtın.

Kurulum Yönergeleri:

1. Adım - SAP S/4HANA Cloud Public Edition için yapılandırma adımları

SAP S/4HANA Cloud Public Edition'a bağlanmak için şunları yapmanız gerekir:

1. İletişim senaryosu SAP_COM_0750 için iletişim düzenlemesi yapılandırma

2. SAP S/4HANA Cloud Public Edition kiracı API'si URL'si

3. SAP S/4HANA Bulut sisteminiz için geçerli iletişim kullanıcısı (kullanıcı adı ve parola)

4. OData hizmetleri aracılığıyla denetim günlüğü verilerine erişmek için uygun yetkilendirmeler

NOT: Bu bağlayıcı Temel kimlik doğrulamayı destekler. Alternatif kimlik doğrulama mekanizmaları mı arıyorsunuz? Buraya bakın

SAP S/4HANA Cloud Public Edition'dan SAP için Microsoft Sentinel Çözümüne olayları bağlama

Temel kimlik doğrulaması kullanarak bağlanma

S/4HANA Cloud Public Edition bağlantıları

Her satır bağlı bir S/4HANA Cloud Public Edition sistemini temsil eder

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

SAP için SecurityBridge Çözümü

Tarafından desteklenir:SecurityBridge

SecurityBridge, sap ortamlarında gerçek zamanlı izleme ve tehdit algılamayı etkinleştirerek Microsoft Sentinel ile sorunsuz bir şekilde tümleştirerek SAP güvenliğini geliştirir. Bu tümleştirme, Güvenlik İşlem Merkezleri'nin (SOC' ler) SAP güvenlik olaylarını diğer kurumsal verilerle birleştirmesine olanak sağlayarak tehdit ortamının birleşik bir görünümünü sağlar. AI destekli analizlerden ve Microsoft'un Security Copilot yararlanan SecurityBridge, ABAP kod tarama ve yapılandırma değerlendirmeleri de dahil olmak üzere SAP uygulamalarındaki gelişmiş saldırı düzenlerini ve güvenlik açıklarını tanımlar. Çözüm, ister şirket içinde, ister bulutta ister karma ortamlarda olsun karmaşık SAP ortamlarında ölçeklenebilir dağıtımları destekler. SecurityBridge, BT ve SAP güvenlik ekipleri arasındaki boşluğu köprüleyerek kuruluşların tehditleri proaktif olarak algılamasını, araştırmasını ve yanıtlamasını ve genel güvenlik duruşunu geliştirmesini sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ABAPAuditLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kurallarında İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Veri toplama kuralı (DCR) ve veri toplama uç noktası (DCE) kaynakları oluşturacağız. Ayrıca bir Microsoft Entra uygulama kaydı oluşturacak ve gerekli izinleri ona atayacağız.

Azure kaynaklarının otomatik dağıtımı "Anında iletme bağlayıcısı kaynaklarını dağıt" seçeneğine tıklanması DCR ve DCE kaynaklarının oluşturulmasını tetikler. Ardından istemci gizli anahtarıyla bir Microsoft Entra uygulama kaydı oluşturur ve DCR üzerinde izinler verir. Bu kurulum, verilerin OAuth v2 istemci kimlik bilgileri kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. SecurityBridge'de veri toplama uç noktası ayrıntılarını ve kimlik doğrulama bilgilerini koruyun

Veri toplama uç noktası URL'sini ve kimlik doğrulama bilgilerini SecurityBridge yöneticisiyle paylaşarak Securitybridge'i veri toplama uç noktasına veri gönderecek şekilde yapılandırın.

KB Sayfamızdan daha fazla bilgi edinin https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface

• LogIngestionAPI kimlik bilgisinde Kiracı Kimliği olarak yapılandırmak için bu değeri kullanın.: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• IFlow'u dağıtırken LogsIngestionURL parametresini yapılandırmak için bu değeri kullanın.< Yükleme zamanında sağlanan değişken değeri>
• DCR Sabit Kimliği: <yükleme zamanında sağlanan değişken değeri>
• SAP Stream kimliği için Sentinel: <yükleme zamanında sağlanan değişken değeri>
• SecurityBridge_CL Stream Kimliği: <yükleme zamanında sağlanan değişken değeri>

---

Semperis Şimşek Günlükleri

Tarafından desteklenir:Semperis

Semperis Lightning bağlayıcısı, Semperis Lightning kimlik güvenlik verilerini Microsoft Sentinel almak için Azure İşlevleri kullanır. Bağlayıcı bir Azure İşlevi dağıtır ve araştırma ve tehdit avcılığı için verileri özel Log Analytics tablolarına toplar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
LightningTier0Nodes_CL	Hayır	Hayır
LightningAttackPaths_CL	Hayır	Hayır
LightningIOEResults_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Semperis Lightning API kimlik bilgileri: Bağlayıcının kimliğini Semperis Lightning olarak doğrulamak için bir Semperis Lightning API Anahtarı ve seçili Bölge (na veya eu) gerekir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, Semperis Lightning'e bağlanmak ve verileri Microsoft Sentinel çekmek için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

Bağlayıcıyı dağıtmadan önce çalışma alanının Microsoft Sentinel eklendiğinden emin olun.

ADIM 1 - Semperis Lightning için erişimi yapılandırma

1. Semperis Lightning kiracınızda oturum açın.
2. Bağlayıcı erişimi için geçerli bir Semperis API Anahtarı oluşturun veya alın.
3. Dağıtım sırasında kullanılmak üzere Semperis Bölgesi değerinizi (Kuzey Amerika için veya Avrupa için ab için) onaylayın.

ADIM 2 - 'Semperis Lightning Logs' bağlayıcısını ve ilişkili Azure İşlevini dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

3. ADIM - Bağlayıcı parametrelerini ayarlama

1. Tercih edilen Aboneliği ve mevcut bir Kaynak Grubunu seçin.
2. Kaynak grubuna ait mevcut bir Log Analytics Çalışma Alanı Kaynak Kimliğini girin.
3. İleri'ye tıklayın.
4. Semperis API Anahtarınızı girin ve Semperis Bölgesi'ni seçin.
5. İsteğe bağlı olarak Bağlayıcı Zamanlamasını ayarlayın (varsayılan: 1 saatte bir).
6. Ayarları gözden geçirin ve Oluştur'a tıklayın.

---

SentinelOne (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

SentinelOne veri bağlayıcısı, SentinelOne API'sinden günlüklerin Microsoft Sentinel'a alımına olanak tanır. Veri bağlayıcısı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni üzerine kurulmuştur. Günlükleri getirmek için SentinelOne API'sini kullanır ve alınan güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alma süresi dönüşümlerini destekler, böylece sorguların yeniden ayrıştırması gerekmez ve böylece daha iyi performans elde edilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SentinelOneActivities_CL	Evet	Evet
SentinelOneAgents_CL	Evet	Evet
SentinelOneGroups_CL	Evet	Evet
SentinelOneThreats_CL	Evet	Evet
SentinelOneAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

SentinelOne API'sinin yapılandırma adımları Kimlik bilgilerini almak için yönergeleri izleyin. API anahtarı oluşturmak için kılavuzu da izleyebilirsiniz.

1. SentinelOne Yönetim URL'si 1.1'i alın. Yönetici kullanıcı kimlik bilgileri 1.2 ile SentinelOne [Yönetim Konsolu] oturumu açın. [Yönetim Konsolu] içinde yukarıdaki URL bağlantısını URL yolu olmadan kopyalayın.

2. API Belirteci 2.1'i alın. Yönetici kullanıcı kimlik bilgileri 2.2 ile SentinelOne [Yönetim Konsolu] oturumu açın. [Yönetim Konsolu] içinde [Ayarlar] 2.3'e tıklayın. [Ayarlar] görünümünde [KULLANICILAR] seçeneğine tıklayın. 2.4. [KULLANICILAR] sayfasında [Hizmet Kullanıcıları] - [Eylemler] ->> [Yeni hizmet kullanıcısı oluştur] öğesine tıklayın. 2.5. [Sona erme tarihi] ve [kapsam] (siteye göre) öğesini seçin ve [Kullanıcı Oluştur] seçeneğine tıklayın. 2.6. [Hizmet Kullanıcısı] oluşturulduktan sonra sayfadan [API Belirteci] öğesini kopyalayın ve [Kaydet] tuşuna basın

• SentinelOne Yönetim URL'si: (https://example.sentinelone.net/)
• API Belirteci: (API Belirteci)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Seraphic Web Güvenliği

Tarafından desteklenir:Seraphic Security

Seraphic Web Güvenliği veri bağlayıcısı, Seraphic Web Güvenliği olaylarını ve uyarılarını Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SeraphicWebSecurity_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Seraphic API anahtarı: Seraphic Web Güvenliği kiracınıza bağlı Microsoft Sentinel için API anahtarı. Kiracınız için bu API anahtarını almak için Seraphic Konsolunuzda Tümleştirmeler sayfasını ziyaret edin.

Kurulum Yönergeleri:

Seraphic Web Security'yi bağlama

Microsoft Sentinel için tümleştirme adını, Seraphic tümleştirme URL'sini ve çalışma alanı adınızı ekleyin:

---

Silverfort Yönetici Konsolu

Tarafından desteklenir:Silverfort

Silverfort ITDR Yönetici Konsolu bağlayıcı çözümü, Silverfort olaylarının alımına ve Microsoft Sentinel oturum açmasına olanak tanır. Silverfort, Ortak Olay Biçimi (CEF) kullanarak syslog tabanlı olaylar ve günlüğe kaydetme sağlar. Silverfort ITDR Yönetici Konsolu CEF verilerinizi Microsoft Sentinel'a ileterek Sentinels'in arama & silverfort verilerinde bağıntı, uyarı ve tehdit bilgileri zenginleştirmelerinden yararlanabilirsiniz. Daha fazla bilgi için lütfen Silverfort ile iletişime geçin veya Silverfort belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommonSecurityLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

1. Syslog aracı yapılandırmasını Linux

Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve bunları Microsoft Sentinel iletmek için Linux aracısını yükleyin ve yapılandırın.

Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin

1.1 Linux makinesi seçme veya oluşturma

Microsoft Sentinel güvenlik çözümünüz ile bu makinenin şirket içi ortamınızda, Azure veya diğer bulutlarda olabileceğini Microsoft Sentinel ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun.

1.2 CEF toplayıcısını Linux makinesine yükleyin

Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.

• CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

2. Ortak Olay Biçimi (CEF) günlüklerini Syslog aracısına iletme

Güvenlik çözümünüzü, Proxy makinesine CEF biçiminde Syslog iletileri gönderecek şekilde ayarlayın. Günlükleri makinenin IP adresindeki 514 TCP bağlantı noktasına gönderdiğinizden emin olun.

3. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin CommonSecurityLog şeması kullanılarak alınp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının verileri çalışma alanınıza aktarması yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir

• Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

**4. Makinenizin güvenliğini sağlama **

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

---

SlackAudit (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

SlackAudit veri bağlayıcısı, REST API aracılığıyla Slack Denetim günlüklerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SlackAuditV2_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• UserName, SlackAudit API Anahtarı & Eylem Türü: Erişim Belirtecini Oluşturmak için Slack'te yeni bir uygulama oluşturun, ardından gerekli kapsamları ekleyin ve yeniden yönlendirme URL'sini yapılandırın. Erişim belirteci, kullanıcı adı ve eylem adı sınırı oluşturma hakkında ayrıntılı yönergeler için bağlantıya bakın.

Kurulum Yönergeleri:

**SlackAudit'i Microsoft Sentinel bağlama

**

SlackAudit'ten Microsoft Sentinel veri almak için, aşağıdaki Etki Alanı Ekle düğmesine tıklamanız ve ardından ayrıntıları doldurmak için bir açılır pencere almanız, gerekli bilgileri sağlamanız ve Bağlan'a tıklamanız gerekir. Kullanıcı adlarını ve kılavuzda bağlı eylemleri görebilirsiniz.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Snowflake (Codeless Connector Framework aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Snowflake veri bağlayıcısı Snowflake Oturum Açma Geçmişi Günlükleri, Sorgu Geçmişi Günlükleri, Kullanıcı Verme Günlükleri, Rol Verme Günlükleri, Yükleme Geçmişi Günlükleri, Gerçekleştirilmiş Görünüm Yenileme Geçmişi Günlükleri, Rol Günlükleri, Tablo Günlükleri, Tablo Depolama Ölçümleri Günlükleri, Kullanıcı Günlükleri'ni Snowflake SQL API'sini kullanarak Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Snowflake SQL API belgelerine bakın .

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SnowflakeLogin_CL	Evet	Evet
SnowflakeQuery_CL	Evet	Evet
SnowflakeUserGrant_CL	Evet	Evet
SnowflakeRoleGrant_CL	Evet	Evet
SnowflakeLoad_CL	Evet	Evet
SnowflakeMaterializedView_CL	Evet	Evet
SnowflakeRoles_CL	Evet	Evet
SnowflakeTables_CL	Evet	Evet
SnowflakeTableStorageMetrics_CL	Evet	Evet
SnowflakeUsers_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Snowflake'i Microsoft Sentinel bağlama

NOT: Verilerin her alan için ayrı sütunlarda sunulduğundan emin olmak için Snowflake() işlevini kullanarak ayrıştırıcıyı yürütür

Snowflake'ten veri toplamak için aşağıdaki kaynakları sağlamanız gerekir

1. Hesap Tanımlayıcısı Snowflake'ten veri toplamak için Snowflake Hesap Tanımlayıcısı gerekir.

2. Programlı Erişim Belirteci Snowflake'ten veri toplamak için Snowflake Programlı Erişim Belirteci gerekir

Hesap Tanımlayıcısı ve Programlı Erişim Belirteci alma hakkında ayrıntılı yönergeler için bağlayıcı öğreticisine bakın.

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

SOC Prime Platform Denetim Günlükleri Veri Bağlayıcısı

Tarafından desteklenir:SOC Prime

SOC Prime Denetim Günlükleri veri bağlayıcısı, SOC Prime Platform API'sinden günlüklerin Microsoft Sentinel alınabilmesini sağlar. Veri bağlayıcısı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni üzerine kurulmuştur. SOC Prime platform denetim günlüklerini getirmek için SOC Prime Platform API'sini kullanır ve alınan güvenlik verilerini özel bir tabloya ayrıştıran DCR tabanlı alım süresi dönüşümlerini destekler ve böylece daha iyi performans sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SOCPrimeAuditLogs_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

SOC Prime Platform API'sinin yapılandırma adımları Kimlik bilgilerini almak için yönergeleri izleyin. Kişisel API anahtarı oluşturmak için de bu kılavuzu izleyebilirsiniz.

API Anahtarını Alma

1. SOC Prime Platformu'nda oturum açın
2. [Hesap] simgesine tıklayın -> [Platform Ayarları] -> [API]
3. [Yeni Anahtar Ekle] öğesine tıklayın
4. Görüntülenen kalıcıda anahtarınıza anlamlı bir ad verin, son kullanma tarihini ve anahtarın erişim sağladığı ürün API'lerini ayarlayın
5. [Oluştur] öğesine tıklayın
6. Anahtarı kopyalayın ve güvenli bir yere kaydedin. Bu kalıcıyı kapattıktan sonra bir daha görüntüleyemezsiniz

• SOC Prime API Anahtarı: (API Anahtarı)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Sonrai Veri Bağlayıcısı

Tarafından desteklenir:YOK

Sonrai Security ile tümleştirmek ve doğrudan Microsoft Sentinel gönderilen Sonrai biletlerini almak için bu veri bağlayıcısını kullanın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Sonrai_Tickets_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Sonrai Güvenlik Veri Bağlayıcısı

1. Sonrai Güvenlik panosuna gidin.
2. Sol alt panelde tümleştirmeler'e tıklayın.
3. Kullanılabilir Tümleştirmeler listesinden Microsoft Sentinel'ı seçin.
4. Aşağıda verilen bilgileri kullanarak formu doldurun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Sophos Endpoint Protection (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Sophos Endpoint Protection veri bağlayıcısı, Sophos olaylarını ve Sophos uyarılarını Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Sophos Central Yönetici belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SophosEPEvents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Sophos Endpoint Protection API erişimi: Hizmet sorumlusu aracılığıyla Sophos Endpoint Protection API'sine erişim gereklidir.

Kurulum Yönergeleri:

Microsoft Sentinel'de olay ve uyarı günlüklerini toplamaya başlamak için Sophos Endpoint Protection API'sine bağlanın

Sophos API'sine erişimi olan bir hizmet sorumlusu oluşturmak için Sophos yönergelerini izleyin. Hizmet Sorumlusu ReadOnly rolüne ihtiyaç duyar. Bu yönergeler aracılığıyla İstemci Kimliği, İstemci Gizli Anahtarı, Kiracı Kimliği ve veri bölgesini almanız gerekir. Formu bu bilgilerle doldurun.

• Sophos Kiracı Kimliği: (Sophos Kiracı Kimliği)
• Sophos Kiracı Veri Bölgesi: (eu01, eu02, us01, us02 veya us03)
• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

Symantec Tümleşik Siber Savunma Değişimi

Tarafından desteklenir:Microsoft Corporation

Symantec ICDx bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Symantec güvenlik çözümleri günlüklerinizi kolayca Microsoft Sentinel bağlamanıza olanak tanır. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SymantecICDx_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Symantec ICDx'i yapılandırma ve bağlama

1. ICDx gezinti çubuğunda Yapılandırma'ya tıklayın.
2. Yapılandırma ekranının üst kısmında İleticiler'e tıklayın ve Microsoft Sentinel (Log Analytics) öğesinin yanındaki Ekle'ye tıklayın.
3. Açılan Microsoft Sentinel (Log Analytics) penceresinde Gelişmiş Göster'e tıklayın. Gelişmiş özellikleri ayarlamak için belgelere bakın.
4. İletici için bir ad ayarladığınızdan ve hedef Azure altında şu gerekli alanları ayarladığınızdan emin olun:

• Çalışma Alanı Kimliği: Microsoft Sentinel portalı bağlayıcı sayfasından Çalışma Alanı Kimliğini yapıştırın.
• Birincil Anahtar: Microsoft Sentinel portalı bağlayıcı sayfasından Birincil Anahtarı yapıştırın.
• Özel Günlük Adı: Olayları ilettiğiniz Microsoft Azure portal Log Analytics çalışma alanına özel günlük adını yazın. Varsayılan değer SymantecICDx'tir.

5. Kaydet'e tıklayın ve ileticiyi başlatmak için Seçenekler > Diğer'e gidin ve Başlat'a tıklayın.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Synqly Tümleştirme Bağlayıcısı

Tarafından desteklenir:Synqly

Synqly bağlayıcısı, Azure Günlükleri Alımı API'sini kullanarak Synqly tümleştirmelerinden güvenlik olaylarını Microsoft Sentinel gönderme özelliği sağlar. Olaylar, Microsoft Sentinel analizler, çalışma kitapları ve avcılık sorguları ile kullanılmak üzere ASIM (Gelişmiş Güvenlik Bilgileri Modeli) tablolarında otomatik olarak normalleştirilir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra ID: Uygulama kayıtları oluşturmak için Uygulama Geliştirici rolü (veya üzeri).
• Microsoft Azure: DCR dağıtmak ve İzleme Ölçümleri Yayımcısı rolü atamak için kaynak grubunda Sahip veya Kullanıcı Erişimi Yöneticisi rolü.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı, Synqly tümleştirmelerinden Microsoft Sentinel güvenlik olaylarının anında iletme tabanlı alımını sağlar. Olaylar otomatik olarak ASIM (Gelişmiş Güvenlik Bilgileri Modeli) tablolarına normalleştirilir.

Bağlayıcı Kaynaklarını Dağıtma "Dağıt" seçeneğine tıklayarak bir Veri Toplama Kuralı (DCR), Veri Toplama Uç Noktası (DCE) ve Microsoft Sentinel güvenli bir şekilde veri göndermek için gerekli izinlere sahip Entra uygulama oluşturur.

2. Ek İzinler Verme (Kullanım Örneğine Göre)

Synqly'yi Microsoft Sentinel ile nasıl kullanmayı planladığınıza bağlı olarak ek roller gerekebilir.

Havuz Bağlayıcısı (Yalnızca Yazma): Ek izin gerekmez. SIEM Bağlayıcısı (Okuma/Yazma): katkıda bulunan Microsoft Sentinel atama rolünü log analytics çalışma alanınızdaki Azure kullanıcı arabirimi aracılığıyla Entra uygulamasına ekleyin.

Ayrıntılı kurulum kılavuzları için Synqly belgelerine bakın.

3. Günlüklerinizi çalışma alanına gönderme

Synqly tümleştirmenize bu parametreleri sağlayın. Synqly hizmeti, desteklenen 10 ASIM şemasından birine (Authentication, AuditEvent, Dhcp, Dns, FileEvent, NetworkSession, ProcessEvent, RegistryEvent, UserManagement, WebSession) biçimlendirme olayları dahil olmak üzere veri alımının teknik ayrıntılarını otomatik olarak işler.

Önemli: Desteklenmeyen şema türlerine sahip olaylar Azure tarafından sessizce bırakılır. Beklenen veriler görünmüyorsa, Synqly tümleştirme sağlayıcınıza yukarıda listelenen desteklenen şema türlerinden biriyle olayların gönderildiğini doğrulayın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Stream Adı: <yükleme zamanında sağlanan değişken değeri>

---

AMA aracılığıyla Syslog

Tarafından desteklenir:Microsoft Corporation

Syslog, Linux yaygın olarak kullanılan bir olay günlüğü protokolüdür. Uygulamalar yerel makinede depolanabilen veya bir Syslog toplayıcısına teslim edilebilen iletiler gönderir. Linux aracısı yüklendiğinde, yerel Syslog daemon'unu iletileri aracıya iletecek şekilde yapılandırılır. Aracı daha sonra iletiyi çalışma alanına gönderir.

Daha fazla bilgi edinin >

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Syslog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

TacitRed Güvenliği Aşılmış Kimlik Bilgileri

Tarafından desteklenir:Data443 Risk Azaltma, Inc.

Common Connector Framework (CCF) kullanarak TacitRed'den güvenliği aşılmış kimlik bilgileri bulgularını alma.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
TacitRed_Findings_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• TacitRed API Anahtarı: Azure Key Vault depolanan veya dağıtım zamanında sağlanan API anahtarı.

Kurulum Yönergeleri:

TacitRed Güvenliği Aşılmış Kimlik Bilgilerini Bağlama

TacitRed bağlayıcısını etkinleştirmek için aşağıda API anahtarınızı sağlayın ve Bağlan'a tıklayın.

Gelişmiş güvenlik için API anahtarını depolamak ve almak için Key Vault tümleştirmesini etkinleştirebilirsiniz.

• TacitRed API Anahtarı: (TacitRed API anahtarınızı girin)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Talon Insights

Tarafından desteklenir:Talon Security

Talon Güvenlik Günlükleri bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Talon olaylarınızı ve denetim günlüklerinizi Microsoft Sentinel kolayca bağlamanıza olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Talon_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Aşağıdaki değerleri not edin ve Talon Güvenlik olaylarınızı ve denetim günlüklerinizi Microsoft Sentinel bağlamak için buradaki yönergeleri izleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Tanium'un CCF Anında İletme Bağlayıcısı

Tarafından desteklenir:Tanium Inc.

Bu veri akışları, analistlerin olayları zenginleştirebilmesi, uç nokta riskini ve durumunu görselleştirmesi, araştırma ve yanıt iş akışlarını otomatikleştirmesi için çalışma kitapları ve playbook'lar Microsoft Sentinel. Tanium hakkında daha fazla ayrıntı için https://www.tanium.com/contact-us/

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
TaniumComplyCompliance_CL	Hayır	Hayır
TaniumComplyVulnerabilities_CL	Hayır	Hayır
TaniumDefenderHealth_CL	Hayır	Hayır
TaniumDiscoverUnmanagedAssets_CL	Hayır	Hayır
TaniumHighUptime_CL	Hayır	Hayır
TaniumPatchCoverageStatus_CL	Hayır	Hayır
TaniumPatchListApplicability_CL	Hayır	Hayır
TaniumPatchListCompliance_CL	Hayır	Hayır
TaniumSCCMClientHealth_CL	Hayır	Hayır
TaniumThreatResponse_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Bu bağlayıcı, Tanium Server'ınızın Temel Envanter verilerini Azure İzleme Alımı API'sini kullanarak doğrudan Microsoft Sentinel göndermesini sağlar.

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablosunun ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, Tanium verilerinin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Tanium Bağlantılarını Yapılandırma

Tanium Bağlantılarınızı çalışma alanına veri göndermek üzere yapılandırmak için aşağıdaki parametreleri kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Uyumluluk Bulguları Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Uyumluluk Güvenlik Açıkları Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Defender Sistem Durumu Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Yönetilmeyen Varlıkların Sistem Durumu Günlüklerini bulma Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Yüksek Çalışma Süresi Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Düzeltme Eki Kapsamı Durum Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Düzeltme Eki Listesi Uygulanabilirlik Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Düzeltme Eki Listesi Uyumluluk Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• SCCM İstemci Sistem Durumu Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>
• Tehdit Yanıtı Uyarıları Günlükleri Stream Adı: <yükleme zamanında sağlanan değişken değeri>

3. Tanium'da Bağlantı Oluşturma

veri bağlayıcısını Azure başarıyla dağıttıktan sonra, Bağlanma Modülü'ndeki Tanium sunucunuzda gerekli bağlantıyı oluşturun. Connect modülü hakkında daha fazla bilgi için bkz. Tanium Yardımı

1. Bağlantı içeri aktarma dosyasını indirin.
2. Yer tutucuları yukarıda görüntülenen parametrelerle değiştirin.
3. Tanium Sunucunuzda Connect Modülünü açın.
4. Yeni bağlantıları içeri aktarmak için içeri aktarma işlevini kullanın.

---

Team Cymru Scout Veri Bağlayıcısı (Azure İşlevleri kullanarak)

Tarafından desteklenir:Team Cymru

TeamCymruScout Veri Bağlayıcısı, kullanıcıların team Cymru Scout IP'sini, etki alanı ve hesap kullanım verilerini zenginleştirme amacıyla Microsoft Sentinel getirmesine olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Cymru_Scout_Domain_Data_CL	Hayır	Hayır
Cymru_Scout_IP_Data_Foundation_CL	Hayır	Hayır
Cymru_Scout_IP_Data_Details_CL	Hayır	Hayır
Cymru_Scout_IP_Data_Communications_CL	Hayır	Hayır
Cymru_Scout_IP_Data_PDNS_CL	Hayır	Hayır
Cymru_Scout_IP_Data_Fingerprints_CL	Hayır	Hayır
Cymru_Scout_IP_Data_OpenPorts_CL	Hayır	Hayır
Cymru_Scout_IP_Data_x509_CL	Hayır	Hayır
Cymru_Scout_IP_Data_Summary_Details_CL	Hayır	Hayır
Cymru_Scout_IP_Data_Summary_PDNS_CL	Hayır	Hayır
Cymru_Scout_IP_Data_Summary_OpenPorts_CL	Hayır	Hayır
Cymru_Scout_IP_Data_Summary_Certs_CL	Hayır	Hayır
Cymru_Scout_IP_Data_Summary_Fingerprints_CL	Hayır	Hayır
Cymru_Scout_Account_Usage_Data_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Kayıtlı uygulamaya rol atama izni: Microsoft Entra ID'de kayıtlı uygulamaya rol atama izni gereklidir.
• Team Cymru Scout Kimlik Bilgileri/izinleri: Team Cymru Scout hesabı kimlik bilgileri (Kullanıcı adı, Parola) gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Team Cymru Scout API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Team Cymru Scout API Anahtarı Oluşturma Adımları

Team Cymru Scout API Anahtarı oluşturmak için bu yönergeleri izleyin.

1. Alternatif yetkilendirme biçimi olarak kullanılacak bir API anahtarı oluşturmak için API Anahtarları belgesine bakın.

ADIM 2 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. TeamCymruScout Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak istemci kimliği ve Kiracı Kimliği gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

3. ADIM - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, TeamCymruScout Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. TeamCymruScout Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gizli dizi değeri gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

4. ADIM - uygulamanızın Nesne Kimliğini Microsoft Entra ID

Uygulama kaydınızı oluşturduktan sonra Nesne Kimliğini almak için bu bölümdeki adımları izleyin:

1. Microsoft Entra ID gidin.
2. Soldaki menüden Kurumsal uygulamalar'ı seçin.
3. Yeni oluşturduğunuz uygulamayı listede bulun (sağladığınız ada göre arama yapabilirsiniz).
4. Uygulamaya tıklayın.
5. Genel bakış sayfasında Nesne Kimliğini kopyalayın. Bu, ARM şablonu rol atamanız için gereken AzureEntraObjectId değeridir .

ADIM 5 - Microsoft Entra ID'de uygulamaya Katkıda Bulunan rolü atama

Rolü atamak için bu bölümdeki adımları izleyin:

1. Azure portal Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
2. Sol panelden Erişim denetimine (IAM) gidin.
3. Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
4. Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
5. Erişim ata bölümünde öğesini seçinUser, group, or service principal.
6. Üye ekle'ye tıklayın ve oluşturduğunuz uygulama adınızı yazın ve seçin.
7. Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.

Başvuru bağlantısı:/azure/role-based-access-control/role-assignments-portal

ADIM 6 - İzleme Listesindeki dizinlerle csv'yi karşıya yükleme

İzleme listesinde göstergeler içeren csv dosyasını karşıya yüklemek için bu bölümdeki adımları izleyin:

1. Azure portal Microsoft Sentinel gidin ve çalışma alanınızı seçin.
2. Sol panelden Yapılandırma bölümünün altındaki İzleme Listesi'ne gidin.
3. TeamCymruScoutDomainData'ya tıklayın ve ardından Güncelleştirme izleme listesinden Toplu güncelleştirme'yi seçin.
4. Dosya girişini karşıya yükleme bölümünde etki alanı göstergeleriyle csv dosyalarınızı karşıya yükleyin ve İleri: Gözden Geçir+Oluştur'a tıklayın.
5. Doğrulama başarılı olduktan sonra Güncelleştir'e tıklayın.
6. Ip göstergeleri için TeamCymruScoutIPData izleme listesini güncelleştirmek için aynı adımları izleyin.

Başvuru bağlantısı:İzleme listesini toplu güncelleştirme

ADIM 7 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: TeamCymruScout veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı(aşağıdakilerden kopyalanabilir) ve TeamCymruScout Kimlik Bilgileri'ne sahip olun.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

TeamCymruScout veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin: Konum WorkspaceName İşlev Adı TeamCymruScoutBaseURL AuthenticationType Kullanıcı Adı Parolası APIKey IPValues DomainValues APIType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

TeamCymruScout veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. CymruScoutXXXXX).

   e. Çalışma zamanı seçin: Python 3.12 veya üzerini seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini kendi değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: CymruScoutBaseURL AuthenticationType TeamCymruScoutUsername TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_TABLES

12. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Tenable Identity Exposure

Tarafından desteklenir:Tenable

Tenable Identity Exposure bağlayıcısı, Maruz Kalma Göstergeleri, Saldırı Göstergeleri ve iz akışı günlüklerinin Microsoft Sentinel alınmasına olanak tanır. Farklı çalışma kitapları ve veri ayrıştırıcıları, günlükleri daha kolay işlemenize ve Active Directory ortamınızı izlemenize olanak tanır. Analiz şablonları farklı olaylar, maruz kalmalar ve saldırılarla ilgili yanıtları otomatikleştirmenize olanak sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Tenable_IE_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• TenableIE Yapılandırmasına Erişim: Syslog uyarı altyapısını yapılandırma izinleri

Kurulum Yönergeleri:

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan kusto işlevinin beklendiği gibi çalışması için afad_parser bağlıdır.

1. Syslog sunucusunu yapılandırma

Öncelikle TenableIE'nin günlükleri göndereceği bir linux Syslog sunucusuna ihtiyacınız olacaktır. Genellikle Ubuntu üzerinde rsyslog çalıştırabilirsiniz. Daha sonra bu sunucuyu istediğiniz gibi yapılandırabilirsiniz, ancak TenableIE günlüklerinin ayrı bir dosyada çıkışını yapabilmeniz önerilir.

Rsyslog'u TenableIE IP adresinizden günlükleri kabul etmek için yapılandırın. Aşağıdaki seçeneklerden birini belirleyin:

Seçenek 1: AllowedSender yönergesi kullanma

Bu yapılandırma, hangi konakların günlükleri ağ düzeyinde syslog sunucunuza gönderebileceğini kısıtlar. Yetkisiz bağlantıları işlemeden önce reddederken daha güvenlidir.

1. Yapılandırma dosyasını indirin: 80-tenable-allowedsender.conf
2. Sudo modunda çalıştırın: sudo -i
3. TenableIE IP adresinizi ayarlayın: export TENABLE_IE_IP={Enter your IP address}
4. İndirilen yapılandırma dosyasındaki komutları yürütme
5. Rsyslog'un yeniden başlatılması: systemctl restart rsyslog

Seçenek 2: Günlükleri kaynak IP'ye göre filtreleme (Birden çok syslog kaynağına sahip ortamlar için)

Bu yapılandırma tüm gelen günlükleri kabul eder ancak yalnızca belirtilen TenableIE IP adresinden gelen günlükleri işler. Aynı syslog sunucusuna günlük gönderen birden çok syslog sunucunuz veya uygulamanız olduğunda ve yalnızca TenableIE günlüklerini seçmeli olarak işlemek istediğinizde bu özellikle yararlıdır.

1. Yapılandırma dosyasını indirin: 80-tenable-filter.conf
2. Sudo modunda çalıştırın: sudo -i
3. TenableIE IP adresinizi ayarlayın: export TENABLE_IE_IP={Enter your IP address}
4. İndirilen yapılandırma dosyasındaki komutları yürütme
5. Rsyslog'un yeniden başlatılması: systemctl restart rsyslog

2. Linux için Microsoft aracısını yükleme ve ekleme

OMS aracısı TenableIE syslog olaylarını alır ve Microsoft Sentinel içinde yayımlar:

Aracının yükleneceği yeri seçin:

Azure Linux Sanal Makinesine aracı yükleme

Aracıyı yüklenecek makineyi seçin ve bağlan'a tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

aracıyı Azure Linux olmayan bir Makineye yükleme

Aracıyı ilgili makineye indirin ve yönergeleri izleyin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

3. Syslog sunucusundaki aracı günlüklerini denetleyin

tail -f /var/opt/microsoft/omsagent/log/omsagent.log

4. Syslog sunucunuza günlük göndermek için TenableIE'yi yapılandırın

TenableIE portalınızda Sistem, Yapılandırma ve ardından Syslog'a gidin. Buradan Syslog sunucunuza doğru yeni bir Syslog uyarısı oluşturabilirsiniz.

Bu işlem tamamlandıktan sonra günlüklerin sunucunuzda ayrı bir dosyada doğru şekilde toplanıp toplanmadığını denetleyin (bunu yapmak için TenableIE'deki Syslog uyarı yapılandırmasındaki Yapılandırmayı test et düğmesini kullanabilirsiniz). Hızlı Başlangıç şablonunu kullandıysanız, Syslog sunucusu varsayılan olarak TLS olmadan UDP'de 514 ve TCP'de 1514 bağlantı noktasını dinler.

Not: Adım 1'in her iki yapılandırma seçeneği de syslog sunucusunu hem UDP hem de TCP bağlantıları için bağlantı noktası 514'te dinleyecek şekilde yapılandırılır.

5. Özel günlükleri yapılandırma

Aracıyı günlükleri toplayacak şekilde yapılandırın.

1. Microsoft Sentinel yapılandırma - Ayarlar -> Çalışma alanı ayarları ->> Özel günlükler'e gidin.
2. Özel günlük ekle'ye tıklayın.
3. Syslog sunucusunu çalıştıran Linux makinesinden örnek bir TenableIE.log Syslog dosyasını karşıya yükleyin ve İleri'ye tıklayın
4. Henüz geçerli değilse kayıt sınırlayıcısını Yeni Satır olarak ayarlayın ve İleri'ye tıklayın.
5. Linux'ı seçin ve Syslog dosyasının dosya yolunu girin, + ve ardından İleri'ye tıklayın. Dosyanın /var/log/TenableIE.log varsayılan konumu, Tenable 3.1.0 sürümünüz <varsa, bu Linux dosya konumunu /var/log/AlsidForAD.logda eklemeniz gerekir.
6. AdıTenable_IE_CL olarak ayarlayın (Azure adın sonuna otomatik olarak _CL ekler, yalnızca bir tane olmalıdır, adın Tenable_IE_CL_CL olmadığından emin olun).
7. İleri'ye tıklayın, bir özgeçmiş görürsünüz ve ardından Oluştur'a tıklayın

6. Keyfini çıkarın!

Artık günlükleri Tenable_IE_CL tablosunda alabilmeniz gerekir; günlük verileri tüm sorgu örnekleri, çalışma kitapları ve analiz şablonları tarafından kullanılan afad_parser() işlevi kullanılarak ayrıştırılabilir.

---

Tenable Vulnerability Management (Azure İşlevleri kullanarak)

Tarafından desteklenir:Tenable

TVM veri bağlayıcısı, TVM REST API'lerini kullanarak Varlık, Güvenlik Açığı, Uyumluluk, WAS varlıkları ve WAS güvenlik açıkları verilerini Microsoft Sentinel alma olanağı sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı, olası güvenlik risklerini incelemeye, bilgi işlem varlıklarınızla ilgili içgörü elde etmeye, yapılandırma sorunlarını tanılamaya ve daha fazlasına yardımcı olan veri alma olanağı sağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Tenable_VM_Asset_CL	Evet	Evet
Tenable_VM_Vuln_CL	Evet	Evet
Tenable_VM_Compliance_CL	Evet	Evet
Tenable_WAS_Asset_CL	Evet	Evet
Tenable_WAS_Vuln_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Tenable REST API'sine erişmek için hem TenableAccessKey hem de TenableSecretKey gereklidir. Daha fazla bilgi için bkz. API. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin .

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, varlıkları, güvenlik açıklarını ve uyumluluğu (seçildiyse) düzenli aralıklarla Microsoft Sentinel çekmek için TenableVM API'sine bağlanmak için Azure Dayanıklı İşlevler kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, güvenlik açıkları için TenableVM ayrıştırıcısına ve Microsoft Sentinel Çözümü ile dağıtılan Kusto İşlevini temel alan varlıklar için Bir TenableVM ayrıştırıcısına bağlıdır.

ADIM 1 - TenableVM için yapılandırma adımları

Gerekli API kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. İstemci kimliği ve Kiracı Kimliği, TenableVM Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

3. ADIM - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak adlandırılan istemci gizli dizisi, TenableVM Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, TenableVM Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

4. ADIM - uygulamanızın Nesne Kimliğini Microsoft Entra ID

Uygulama kaydınızı oluşturduktan sonra Nesne Kimliğini almak için bu bölümdeki adımları izleyin:

1. Microsoft Entra ID gidin.
2. Soldaki menüden Kurumsal uygulamalar'ı seçin.
3. Yeni oluşturduğunuz uygulamayı listede bulun (sağladığınız ada göre arama yapabilirsiniz).
4. Uygulamaya tıklayın.
5. Genel bakış sayfasında Nesne Kimliğini kopyalayın. Bu, ARM şablonu rol atamanız için gereken AzureEntraObjectId değeridir .

5. ADIM - Bağlayıcıyı ve ilişkili Azure İşlev Uygulamasını dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak TenableVM Güvenlik Açığı Yönetim Raporu veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu, İşlevUygulama Adı ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin:

   a. WorkspaceName - Log Analytics Çalışma Alanı'nın Çalışma Alanı Adını girin.

   b. TenableAccessKey - Tenable API'sini kullanmak için Erişim anahtarını girin.

   c. TenableSecretKey - Kimlik Doğrulaması için Tenable Gizli Anahtar girin.

   d. AzureClientID - Azure İstemci Kimliğini girin.

   e. AzureClientSecret - Azure İstemci Gizli Anahtarı girin.

   f. TenantID - Yukarıdaki adımlardan alınan Kiracı Kimliğini girin.

   G. AzureEntraObjectId - Yukarıdaki adımlardan alınan nesne kimliğini Azure girin.

   H. LowestSeveritytoStore - Depo için en düşük güvenlik açığı önem derecesi. İzin Verilen Değerler: Bilgi, Düşük, Orta, Yüksek, Kritik. Varsayılan değer Bilgi'dir.

   i. ComplianceDataIngestion - Tenable VM'den Uyumluluk verileri alımını etkinleştirmek istiyorsanız true'yu seçin. Varsayılan değer false'tur.

   J. WASAssetDataIngestion - Tenable VM'den WAS Varlığı veri alımını etkinleştirmek istiyorsanız true'yu seçin. Varsayılan değer false'tur.

   Kahraman. WASVulnerabilityDataIngestion - Tenable VM'den WAS Güvenlik Açığı veri alımını etkinleştirmek istiyorsanız true'yu seçin. Varsayılan değer false'tur.

   L. LowestSeveritytoStoreWAS - WAS için depolanan en düşük Güvenlik Açığı önem derecesi. İzin Verilen Değerler: Bilgi, Düşük, Orta, Yüksek, Kritik. Varsayılan değer Bilgi'dir.

   M. TenableExportScheduleInMinutes - Tenable VM'den yeni dışarı aktarma işi oluşturmak için dakikalar içinde zamanlayın. Varsayılan değer 1440'tır.

   n. AssetTableName - Varlık Verileri günlüklerini depolamak için kullanılan tablonun adını girin.

   o. VulnTableName - Güvenlik Açığı Veri günlüklerini depolamak için kullanılan tablonun adını girin.

   P. ComplianceTableName - Uyumluluk Verileri günlüklerini depolamak için kullanılan tablonun adını girin.

   S. WASAssetTableName - WAS Varlık Veri günlüklerini depolamak için kullanılan tablonun adını girin.

   R. WASVulnTableName - WAS Güvenlik Açığı Veri günlüklerini depolamak için kullanılan tablonun adını girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

TenableVM Güvenlik Açığı Yönetim Raporu veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin TenableVMXXXXX).

   e. Çalışma zamanı seçin: Python 3.12'yi seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin:

    a. WorkspaceName - Log Analytics Çalışma Alanı'nın Çalışma Alanı Adını girin.

    b. TenableAccessKey - Tenable API'sini kullanmak için Erişim anahtarını girin.

    c. TenableSecretKey - Kimlik Doğrulaması için Tenable Gizli Anahtar girin.

    d. AzureClientID - Azure İstemci Kimliğini girin.

    e. AzureClientSecret - Azure İstemci Gizli Anahtarı girin.

    f. TenantID - Yukarıdaki adımlardan alınan Kiracı Kimliğini girin.

    G. AzureEntraObjectId - Yukarıdaki adımlardan alınan nesne kimliğini Azure girin.

    H. LowestSeveritytoStore - Depo için en düşük güvenlik açığı önem derecesi. İzin Verilen Değerler: Bilgi, Düşük, Orta, Yüksek, Kritik. Varsayılan değer Bilgi'dir.

    i. ComplianceDataIngestion - Tenable VM'den Uyumluluk verileri alımını etkinleştirmek istiyorsanız true'yu seçin. Varsayılan değer false'tur.

    J. WASAssetDataIngestion - Tenable VM'den WAS Varlığı veri alımını etkinleştirmek istiyorsanız true'yu seçin. Varsayılan değer false'tur.

    Kahraman. WASVulnerabilityDataIngestion - Tenable VM'den WAS Güvenlik Açığı veri alımını etkinleştirmek istiyorsanız true'yu seçin. Varsayılan değer false'tur.

    L. LowestSeveritytoStoreWAS - WAS için depolanan en düşük Güvenlik Açığı önem derecesi. İzin Verilen Değerler: Bilgi, Düşük, Orta, Yüksek, Kritik. Varsayılan değer Bilgi'dir.

    M. TenableExportScheduleInMinutes - Tenable VM'den yeni dışarı aktarma işi oluşturmak için dakikalar içinde zamanlayın. Varsayılan değer 1440'tır.

    n. AssetTableName - Varlık Verileri günlüklerini depolamak için kullanılan tablonun adını girin.

    o. VulnTableName - Güvenlik Açığı Veri günlüklerini depolamak için kullanılan tablonun adını girin.

    P. ComplianceTableName - Uyumluluk Verileri günlüklerini depolamak için kullanılan tablonun adını girin.

    S. WASAssetTableName - WAS Varlık Veri günlüklerini depolamak için kullanılan tablonun adını girin.

    R. WASVulnTableName - WAS Güvenlik Açığı Veri günlüklerini depolamak için kullanılan tablonun adını girin.

    S. PyTenableUAVendor - Değer Microsoft olarak ayarlanmalıdır.

    T. PyTenableUAProduct - Değer Microsoft Sentinel olarak ayarlanmalıdır.

    U. PyTenableUABuild - Değer 3.1.0 olarak ayarlanmalıdır.

12. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Bulut için kiracı tabanlı Microsoft Defender

Tarafından desteklenir:Microsoft Corporation

Bulut için Microsoft Defender, Azure, hibrit ve çok bulutlu iş yüklerindeki tehditleri algılamanızı ve hızlı bir şekilde yanıtlamanızı sağlayan bir güvenlik yönetimi aracıdır. Bu bağlayıcı, MDC güvenlik uyarılarınızı Microsoft 365 Defender'dan Microsoft Sentinel'a akışla aktarmanıza olanak tanır. Böylece bulut kaynaklarınızdaki, cihazlarınızdaki ve kimliklerinizdeki noktaları birbirine bağlayan XDR bağıntılarının avantajlarından yararlanabilir ve çalışma kitaplarındaki verileri görüntüleyebilir, sorguları sorgulayabilir ve olayları araştırabilir ve yanıtlayabilirsiniz. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityAlert	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Bulut için Kiracı tabanlı Microsoft Defender Microsoft Sentinel bağlama

Bu bağlayıcıyı bağladıktan sonra, Bulut abonelikleri için tüm Microsoft Defender uyarıları bu Microsoft Sentinel çalışma alanına gönderilir.

Bulut için Microsoft Defender uyarılarınız Microsoft 365 Defender üzerinden akışa bağlanır. Uyarıların olaylara otomatik olarak gruplanmasından yararlanmak için Microsoft 365 Defender olay bağlayıcısını bağlayın. Olaylar, olaylar kuyruğunda görüntülenebilir.

---

TheHive (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

TheHive veri bağlayıcısı, TheHive güvenlik olayı yanıt platformu verilerini REST API aracılığıyla Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı, TheHive'den servis talepleri, görevler ve uyarılar alma ve bunları Microsoft Sentinel'de görselleştirme olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
TheHiveData	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• TheHive API erişimi: TheHive API Sürüm 4 ve üzeri erişim, TheHive API için gereklidir.

Kurulum Yönergeleri:

1. Yapılandırma

TheHive bağlayıcısını yapılandırmak için yönergeleri izleyin.

• TheHive Temel URL'si: (TheHive örneği temel URL'si (ör. https://thehive.example.com)) TheHive kullanıcı profili ayarlarınızdan API Anahtarını alın. (veya bu amaç için oluşturulmuş adanmış bir kullanıcı)

• Api Anahtarı: (TheHive API için API anahtarı)

2. Bağlan

TheHive bağlayıcısını etkinleştirin.

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Theom

Tarafından desteklenir:Theom

Theom Data Connector, kuruluşların Theom ortamlarını Microsoft Sentinel bağlamasına olanak tanır. Bu çözüm kullanıcıların veri güvenliği riskleriyle ilgili uyarılar almasına, olayları oluşturup zenginleştirmesine, istatistikleri denetlemesine ve Microsoft Sentinel'de SOAR playbook'larını tetiklemesine olanak tanır

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
TheomAlerts_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

1. Theom UI Konsolu'nda yan çubuktaki Yönet -> Uyarılar'a tıklayın.
2. Sentinel sekmesini seçin.
3. Yapılandırmayı etkinleştirmek için Etkin düğmesine tıklayın.
4. Anahtarı farklı girin PrimaryAuthorization Token
5. Farklı girin Endpoint URLhttps://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01
6. Şuna tıklayın: SAVE SETTINGS

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Tehdit bilgileri - TAXII

Tarafından desteklenir:Microsoft Corporation

Microsoft Sentinel, tehdit bilgilerinizi kullanarak izleme, uyarı ve avcılık özelliklerini etkinleştirmek için TAXII 2.0 ve 2.1 veri kaynaklarıyla tümleşir. Desteklenen STIX nesne türlerini TAXII sunucularından Microsoft Sentinel göndermek için bu bağlayıcıyı kullanın. Tehdit göstergeleri IP adreslerini, etki alanlarını, URL'leri ve dosya karmalarını içerebilir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın>.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Tehdit Bilgileri Platformları

Tarafından desteklenir:Microsoft Corporation

Microsoft Sentinel, tehdit zekanızı kullanarak izleme, uyarı ve avlanmayı etkinleştirmek için Microsoft Graph Güvenlik API'si veri kaynaklarıyla tümleşir. Tehdit Analizi Platformunuzdan (TIP) Microsoft Sentinel tehdit göstergeleri göndermek için bu bağlayıcıyı kullanın; örneğin Threat Connect, Palo Alto Networks MindMeld, MISP veya diğer tümleşik uygulamalar. Tehdit göstergeleri IP adreslerini, etki alanlarını, URL'leri ve dosya karmalarını içerebilir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın>.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Tehdit Bilgileri Karşıya Yükleme API'si (Önizleme)

Tarafından desteklenir:Microsoft Corporation

Microsoft Sentinel Threat Connect, Palo Alto Networks MineMeld, MISP veya diğer tümleşik uygulamalar gibi Tehdit Zekası Platformunuzdan (TIP) tehdit zekası getirmek için bir veri düzlemi API'si sunar. Tehdit göstergeleri IP adreslerini, etki alanlarını, URL'leri, dosya karmalarını ve e-posta adreslerini içerebilir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

**Tehdit bilgileri veri kaynaklarınızı aşağıdakilerden biriyle Microsoft Sentinel bağlayabilirsiniz: **

Threat Connect, Palo Alto Networks MineMeld, MISP ve diğerleri gibi tümleşik bir Tehdit Analizi Platformu (TIP) kullanma.

Microsoft Sentinel veri düzlemi API'sini doğrudan başka bir uygulamadan çağırma.

• Not: Veriler bir API çağrısı yapılarak alınacağından bağlayıcının 'Durumu' burada 'Bağlı' olarak gösterilmez.

**Tehdit Bilgilerinize Bağlanmak için Şu Adımları Izleyin: **

1. erişim belirtecini Microsoft Entra ID alma

API'lere istek göndermek için Microsoft Entra ID erişim belirteci almanız gerekir. Şu sayfada yönergeleri izleyebilirsiniz: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

• Not: Lütfen kapsam değeriyle Microsoft Entra ID erişim belirteci isteyin: [variables('managementUri')]

2. STIX nesnelerini Sentinel gönderme

Karşıya Yükleme API'mizi çağırarak desteklenen STIX nesne türlerini gönderebilirsiniz. API hakkında daha fazla bilgi için buraya tıklayın.

HTTP yöntemi: POST

Uç nokta: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01-preview

WorkspaceID: STIX nesnelerinin karşıya yüklendiği çalışma alanı.

Üst Bilgi Değeri 1: "Yetkilendirme" = "Taşıyıcı [Microsoft Entra ID 1. adımdan Erişim Belirteci]"

Üst Bilgi Değeri 2: "Content-Type" = "application/json"

Gövde: Gövde, STIX nesneleri dizisi içeren bir JSON nesnesidir.

---

Güvenlik Bağlayıcısı aktarma (Azure İşlevleri kullanarak)

Tarafından desteklenir:Transmit Security

[İletim Güvenliği] veri bağlayıcısı, rest API aracılığıyla Microsoft Sentinel ortak İletme Güvenlik API'si olaylarını alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
TransmitSecurityActivity_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API İstemci Kimliği: TransmitSecurityClientID gereklidir. üzerinde API hakkında daha fazla bilgi edinmek için belgelere https://developer.transmitsecurity.com/bakın.
• REST API İstemci Gizli Anahtarı: TransmitSecurityClientSecret gereklidir. üzerinde API hakkında daha fazla bilgi edinmek için belgelere https://developer.transmitsecurity.com/bakın.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere İletme Güvenlik API'si bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - İletme Güvenlik API'si yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

1. İletim Güvenliği Portalı'nda oturum açın.
2. Bir yönetim uygulaması yapılandırın. Uygulamaya uygun bir ad verin; örneğin, MyAzureSentinelCollector.
3. Veri bağlayıcısında kullanmak üzere yeni kullanıcının kimlik bilgilerini kaydedin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: İletim Güvenliği veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak İletim Güvenliği veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun.

3. TransmitSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityPullEndpoint, TransmitSecurityTokenEndpoint girin ve dağıtın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile İletim Güvenliği veri bağlayıcısını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT:VS Code'Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin.

   Henüz oturum açmadıysanız Etkinlik çubuğundaki Azure simgesini seçin ve ardından Azure: İşlevler alanında Azure oturum aç'ı seçin.

   Zaten oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme).

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır.

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Ortam değişkenleri'ne tıklayın.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin:

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityPullEndpoint
    • TransmitSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (isteğe bağlı)

• Ayrılmış bir bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Uygula'ya tıklayın.

---

Trellix Endpoint Security (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Trellix Endpoint Security veri bağlayıcısı, güvenlik olaylarını Trellix ePO'dan (ePolicy Orchestrator) Microsoft Sentinel almanıza olanak tanır. Bu bağlayıcı OAuth2 istemci kimlik bilgileri kimlik doğrulamasını kullanır ve tehdit algılamaları, çözümleyici bilgileri, kaynak ve hedef sistem ayrıntıları ve tehdit yanıtı eylemleri gibi kapsamlı uç nokta güvenlik verilerini toplamak için sayfalandırmayı otomatik olarak işler.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
TrellixEvents	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

1. API Yapılandırması

Trellix ePO API bağlantınızı yapılandırın.

• API Temel URL'si: (https://api.manage.trellix.com) Kimlik Doğrulaması

Kimlik doğrulaması için API anahtarınızı sağlayın. Bu, x-api-key üst bilgisinde gönderilir.

• API Anahtarı: (API anahtarınızı girin)

Not: API anahtarı güvenli bir şekilde depolanır ve Trellix ePO API'siyle kimlik doğrulaması için kullanılır.

2. Kimlik Doğrulama Yapılandırması

OAuth2 kimlik doğrulama kimlik bilgilerini yapılandırın.

• Belirteç uç noktası: (https://iam.cloud.trellix.com/iam/v1.0/token) OAuth2 Yapılandırması API erişimi için OAuth2 istemci kimlik bilgilerini yapılandırın. Trellix API yetkilendirme modeli hakkında bilgi için bkz. https://developer.manage.trellix.com/public/mvision/docs/umam

• İstemci Kimliği: (İstemci kimliğiniz)

• İstemci Gizli Anahtarı: (İstemci gizli anahtarınız)

Not: OAuth2 kimlik doğrulaması API uç noktalarınıza güvenli erişim sağlar.

3. Bağlayıcıyı Etkinleştir

Trellix Endpoint Security bağlayıcısını etkinleştirme

Bağlayıcı Etkinleştirme

Yapılandırmanızı gözden geçirin ve bağlayıcının güvenlik olaylarını toplamaya başlamasını sağlayın.

• Bağlantı Sonrası Bağlantıyı Etkinleştir/Devre Dışı Bırak

Bağlandıktan sonra , Veri bağlayıcıları sayfasında bağlayıcı durumunu izleyin. Veriler 5-10 dakika içinde görünmeye başlamalıdır.

---

Trend Vision One (Azure İşlevleri kullanarak)

Tarafından desteklenir:Trend Micro

Trend Vision One bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve izleme ve araştırma özelliklerini geliştirmek için Workbench uyarı verilerinizi kolayca Microsoft Sentinel bağlamanıza olanak tanır. Bu, kuruluşunuzun ağları/sistemleri hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Trend Vision One bağlayıcısı şu bölgelerde Microsoft Sentinel desteklenir: Doğu Avustralya, Güneydoğu Avustralya, Güney Brezilya, Orta Kanada, Doğu Kanada, Orta Hindistan, Orta ABD, Doğu Asya, Doğu ABD, Doğu ABD 2, Orta Fransa, Doğu Japonya, Orta Kore, Orta Kuzey ABD, Kuzey Avrupa, Norveç Doğu, Güney Afrika Kuzey, Orta Güney ABD, Güneydoğu Asya, İsveç Orta, Kuzey İsviçre, BAE Kuzey, Güney Birleşik Krallık, Birleşik Krallık Batı, Batı Avrupa, Batı ABD, Batı ABD 2, Batı ABD 3.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
TrendMicro_XDR_WORKBENCH_CL	Hayır	Hayır
TrendMicro_XDR_RCA_Task_CL	Hayır	Hayır
TrendMicro_XDR_RCA_Result_CL	Hayır	Hayır
TrendMicro_XDR_OAT_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Trend Vision One API Belirteci: Trend Vision One API Belirteci gereklidir. Trend Vision One API'si hakkında daha fazla bilgi edinmek için belgelere bakın.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Trend Vision One API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Trend Vision One API'si için yapılandırma adımları

Hesap ve API kimlik doğrulama belirteci oluşturmak için bu yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki dağıtım seçeneğini kullanın

ÖNEMLİ: Trend Vision One bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Eğilim Görüntü İşleme One API Yetkilendirme Belirteci'ne sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Azure Resource Manager (ARM) Şablon Dağıtımı

Bu yöntem, ARM Tempate kullanarak Trend Vision One bağlayıcısının otomatik dağıtımını sağlar.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Benzersiz bir İşlev Adı, Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, API Belirteci ve Bölge Kodu girin.

• Not: Trend Vision One örneğinizin dağıtıldığı yere göre uygun bölge kodunu sağlayın: us, eu, au, in, sg, jp
• Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
5. Dağıtmak için Satın Al'a tıklayın.

---

Tropico Güvenliği - Uyarılar

Tarafından desteklenir:TROPICO Security

OCSF Güvenlik Bulma biçiminde Tropico Güvenlik Platformu'ndan güvenlik uyarıları alın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
{{graphQueriesTableName}}	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Tropico Security Platform'u bağlama

Tropico Ayarları'ndan salt okunur API anahtarınızı girin.

• API Anahtarı: (trop_xxxx...)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Tropico Security - Olaylar

Tarafından desteklenir:TROPICO Security

Tropico Güvenlik Platformu'ndan güvenlik olaylarını OCSF Güvenlik Bulma biçiminde alın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
{{graphQueriesTableName}}	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Tropico Security Platform'u bağlama

Tropico Ayarları'ndan salt okunur API anahtarınızı girin.

• API Anahtarı: (trop_xxxx...)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Tropico Security - Olaylar

Tarafından desteklenir:TROPICO Security

Tropico Güvenlik Platformu'ndan saldırgan oturumu olaylarını alın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
{{graphQueriesTableName}}	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Tropico Security Platform'u bağlama

Tropico Ayarları'ndan salt okunur API anahtarınızı girin.

• API Anahtarı: (trop_xxxx...)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Upwind Logs Loader (Alma API'si)

Tarafından desteklenir:Upwind

Upwind Günlükleri Yükleyicisi veri bağlayıcısı, upwind bulut güvenlik platformundaki işlem platformu varlıklarını bir Azure İşlevi ve Azure İzleme Alımı API'sini (DCE/DCR) kullanarak Microsoft Sentinel özel bir tabloya alır.

Upwind, bulut duruşuyla canlı iş yükü bağlamı arasında bağıntı kurarak çalışma zamanı destekli bulut güvenliği sağlar. Bu bağlayıcı, upwind envanterinizi (AWS, GCP ve Azure genelindeki işlem platformu varlıkları) doğrudan bağıntı, avcılık ve olay zenginleştirme için Microsoft Sentinel sunar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
UpwindLogsAssets_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Upwind API Kimlik Bilgileri: Upwind API istemci kimliği ve istemci gizli dizisi gereklidir. Bunları Ayarlar → API Anahtarları altından Upwind platformunuzdan alın. İstemci kimlik bilgileri, taşıyıcı belirteci almak için kimlik https://auth.upwind.io/oauth/token doğrulaması yapmak için kullanılır.
• Upwind Kuruluş Kimliği: Upwind Kuruluş Kimliğiniz gereklidir. Bunu Upwind platformunda Ayarlar → Kuruluş altında bulabilirsiniz.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, Upwind günlüklerini Microsoft Sentinel göndermek için Azure İşlevleri ve Azure İzleme Alımı API'sini (DCE/DCR) kullanır. ARM şablonu otomatik olarak Veri Toplama Uç Noktası, özel günlük tablosu (UpwindLogsAssets_CL), Veri Toplama Kuralı ve rol ataması oluşturur. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasını ve Azure İzleme fiyatlandırma sayfasını gözden geçirin.

(İsteğe bağlı) Dağıtım sırasında, Upwind istemci gizli dizinizi güvenli bir şekilde depolamak için kimlik doğrulama yöntemi olarak Key Vault seçin. Mevcut bir Key Vault adı sağlayabilir veya şablonun yeni bir ad oluşturmasına izin vekleyebilirsiniz. Kullanıcı tarafından atanan yönetilen kimlik, gerekli Key Vault erişim ilkeleriyle otomatik olarak yapılandırılır.

1. ADIM – Upwind API kimlik bilgilerini alma

1. Upwind platformunda oturum açın.
2. Ayarlar → API Anahtarları'na gidin.
3. Yeni bir API anahtarı oluşturun ve İstemci Kimliği ile İstemci Gizli Anahtarı'nı not edin.
4. Ayarlar → Kuruluş'a gidin ve Kuruluş kimliğinizi not edin.

ADIM 2 – Azure İşlev Uygulamasını Dağıtma

Azure için Dağıt'a tıklayın ve parametreleri doldurun. Şablon otomatik olarak DCE, tablo, UpwindLogs_CL DCR, rol ataması ve İşlev Uygulaması oluşturur.

aka.ms

Doldurulacak parametreler:

Parametre	Açıklama
WorkspaceName	Log Analytics / Microsoft Sentinel çalışma alanınızın adı
UpwindOrgId	1. Adım'dan Upwind Kuruluş Kimliği
UpwindClientId	1. Adım'dan Upwind API İstemci Kimliği
UpwindClientSecret	1. Adımdan Upwind API İstemci Gizli Anahtarı
AppInsightsWorkspaceResourceID	Log Analytics çalışma alanının Tam Kaynak Kimliği ( Log Analytics çalışma alanından → Özellikler)

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>

---

Vaikora AI Aracısı Davranış Sinyalleri

Tarafından desteklenir:Data443 Risk Azaltma, Inc.

Kodsuz Bağlayıcı Çerçevesi 'ni (CCF) kullanarak Vaikora API'sinden Microsoft Sentinel'a yapay zeka aracısı davranış sinyallerini alın. Ortamınızdaki şüpheli yapay zeka etkinliğini algılamak için aracı eylemlerini, ilke kararlarını, anomali puanlarını ve risk düzeylerini izleyin.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Vaikora_AgentSignals_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Vaikora API Anahtarı: Eylemler uç noktasına okuma erişimi olan bir Vaikora API anahtarı (vk_xxxxx). Bunu Ayarlar > API Anahtarları altındaki Vaikora panonuzdan alın.

Kurulum Yönergeleri:

Vaikora AI Aracısı Davranış Sinyallerini Bağlama

Vaikora bağlayıcısını etkinleştirmek için aşağıdaki Vaikora API anahtarınızı girin ve Bağlan'a tıklayın. Aracı Kimliği isteğe bağlıdır; alma işlemini tek bir aracıyla kapsamak için kullanın veya anahtarın görebileceği tüm aracılardan eylemleri almak için boş bırakın.

API anahtarınız, Ayarlar > API Anahtarları altındaki Vaikora panosunda bulunur. Aracı Kimliği, her aracının ayrıntı sayfasında gösterilen UUID'dir.

• Vaikora API Anahtarı: (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
• Vaikora Aracı Kimliği (isteğe bağlı): (Tüm aracıları izlemek için boş bırakın)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Valimail Yapılandırma Olaylarını Zorla

Tarafından desteklenir:Valimail

Valimail Yapılandırma Olayları veri bağlayıcısı, e-posta etki alanının yapılandırma olaylarının Valimail Raporlama API'sinden Microsoft Sentinel'a alımına olanak tanır. Veri bağlayıcısı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni üzerine kurulmuştur.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ValimailEnforceEvents_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Valimail Olayları API'sinin yapılandırma adımları Raporlama API'sinin kimlik bilgileri kümesi oluşturmak için kılavuzdaki yönergeleri izleyin. Oluşturulan İstemci Kimliğini ve Uygulama Kimliği anahtarlarını depolayın.

• İstemci Hesabı Bilgi Kutusu: (Hesap bilgi kutusu)
• API İstemci Kimliği: (İstemci Kimliği Kimlik Bilgileri)
• API Uygulama Kimliği: (Uygulama Kimliği Kimlik Bilgileri)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Varonis Purview Anında İletme Bağlayıcısı

Tarafından desteklenir:Varonis

Varonis Purview bağlayıcısı, Varonis'ten Microsoft Purview'a kaynakları eşitleme özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
VaronisResources_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir

Kurulum Yönergeleri:

1. Varonis Resoources alımını ayarlamak için bunu çalıştırın

Bu, verileri DCR'ye güvenli bir şekilde göndermek için gerekli Log Analytics tablolarını, Veri Toplama Kuralı'nı (DCR) ve bir Entra uygulamasını oluşturur.

Entra Uygulaması ile Otomatik Yapılandırma ve Güvenli Veri Alımı "Dağıt" seçeneğine tıklanması Log Analytics tablolarının ve veri toplama kuralının (DCR) oluşturulmasını tetikler. Ardından bir Entra uygulaması oluşturur, DCR'yi buna bağlar ve uygulamaya girilen gizli diziyi ayarlar. Bu kurulum, verilerin Entra belirteci kullanılarak DCR'ye güvenli bir şekilde gönderilmesini sağlar.

2. Günlüklerinizi çalışma alanına gönderme

Varonis tümleştirmeleri panonuzda Varonis Purview Bağlayıcısını yapılandırmak için aşağıdaki parametreleri kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kaydı Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası Uri'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Kaynak Stream Adı: <yükleme zamanında sağlanan değişken değeri>

---

Varonis SaaS

Tarafından desteklenir:Varonis

Varonis SaaS, Varonis Uyarılarını Microsoft Sentinel alma özelliği sağlar.

Varonis, veri erişimi için derin veri görünürlüğünü, sınıflandırma özelliklerini ve otomatik düzeltmeyi önceliklendirir. Varonis, verileriniz için tek bir öncelikli risk görünümü oluşturur, böylece içeriden gelen tehditlere ve siber saldırılara karşı riski proaktif ve sistematik olarak ortadan kaldırabilirsiniz.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
VaronisAlerts_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, uyarıları Microsoft Sentinel çekmek üzere Varonis DatAlert hizmetine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

Azure işlevi ve ilgili hizmetler yüklemesi için şunu kullanın:

portal.azure.com

ADIM 1 - Varonis DatAlert Uç Nokta API'sinin kimlik bilgilerini alın.

İstemci Kimliği ve API anahtarını oluşturmak için:

1. Varonis Web Arabirimi'ni başlatın.
2. Yapılandırma -> API Anahtarları'na gidin. API Anahtarları sayfası görüntülenir.
3. API Anahtarı Oluştur'a tıklayın. Sağ tarafta Yeni API Anahtarı Ekle ayarları görüntülenir.
4. Adı ve açıklamayı girin.
5. Anahtar Oluştur düğmesine tıklayın.
6. API anahtarı gizli dizisini kopyalayın ve kullanışlı bir konuma kaydedin. Yeniden kopyalayamazsınız.

Daha fazla bilgi için bkz. Varonis Belgeleri

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtın.

• Çalışma Alanı Adı: <yükleme zamanında sağlanan değişken değeri>

Arm Şablonu kullanarak veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Azure dağıt düğmesine tıklayın.

   portal.azure.com

2. Tercih edilen Abonelik, Kaynak Grubu, Bölge, Depolama Hesabı Türü'nü seçin.

3. Log Analytics Çalışma Alanı Adı, Varonis FQDN, Varonis SaaS API Anahtarı girin.

4. Gözden Geçir + Oluştur, Oluştur'a tıklayın.

---

Vectra XDR (Azure İşlevleri kullanarak)

Tarafından desteklenir:Vectra Desteği

Vectra XDR bağlayıcısı Vectra REST API aracılığıyla Vectra Algılamaları, Denetimler, Varlık Puanlama, Kilitleme, Sistem Durumu ve Varlıklar verilerini Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine https://support.vectra.ai/s/article/KB-VS-1666 bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Detections_Data_CL	Evet	Evet
Audits_Data_CL	Evet	Evet
Entity_Scoring_Data_CL	Evet	Evet
Lockdown_Data_CL	Evet	Evet
Health_Data_CL	Evet	Evet
Entities_Data_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Sistem Durumu, Varlık Puanlaması, Varlıklar, Algılamalar, Kilitleme ve Denetim verileri toplama için Vectra İstemci Kimliği ve İstemci Gizli Anahtarı gereklidir. üzerinde API hakkında daha fazla bilgi edinmek için belgelere https://support.vectra.ai/s/article/KB-VS-1666bakın.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Vectra API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto işlevleri diğer adı, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown ve VectraHealth oluşturmak için Algılama Ayrıştırıcısı, Denetim Ayrıştırıcısı, Varlık PuanlamaAyrıştırıcısı, Kilitleme Ayrıştırıcısı ve Sistem Durumu Ayrıştırıcısı için bu adımları izleyin.

ADIM 1 - Vectra API Kimlik Bilgileri için yapılandırma adımları

Vectra İstemci Kimliği ve İstemci Gizli Anahtarı oluşturmak için bu yönergeleri izleyin.

1. Vectra portalınızda oturum açın
2. Yönet -> API İstemcileri'ne gidin
3. YENI bir istemci oluşturmak için API İstemcileri sayfasından 'API İstemcisi Ekle'yi seçin.
4. İstemci Adı ekleyin, Rol'e tıklayın ve istemci kimlik bilgilerinizi almak için Kimlik Bilgileri Oluştur'a tıklayın.
5. Güvenli hale getirmek için İstemci Kimliğinizi ve Gizli Anahtarınızı kaydettiğinizden emin olun. Vectra API'sinden erişim belirteci almak için bu iki bilgiye ihtiyacınız olacaktır. Tüm Vectra API uç noktalarına istekte bulunmak için erişim belirteci gereklidir.

ADIM 2 - Microsoft Entra ID'da Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portal bir Uygulama kaydı gerekir. Microsoft Entra ID'da yeni uygulama oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portalda oturum açın.
2. Microsoft Entra ID arayın ve seçin.
3. Yönet'in altında Yeni kayıt'ı Uygulama kayıtları > seçin.
4. Uygulamanız için bir görünen Ad girin.
5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
6. Kayıt tamamlandığında, Azure portal uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini ve Kiracı Kimliğini görürsünüz. İstemci kimliği ve Kiracı Kimliği, Vectra Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametreleri olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

3. ADIM - Microsoft Entra ID'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak da adlandırılan istemci gizli dizisi, Vectra Veri Bağlayıcısı'nın yürütülmesi için gereken bir dize değeridir. Yeni bir İstemci Gizli Anahtarı oluşturmak için bu bölümdeki adımları izleyin:

1. Azure portal, Uygulama kayıtları uygulamanızı seçin.
2. Sertifikalar & gizli diziler > İstemci gizli dizileri Yeni istemci gizli dizisi'ni >seçin.
3. Gizli anahtarınız için bir açıklama ekleyin.
4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
5. Ekle'yi seçin.
6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, siz bu sayfadan ayrıldıktan sonra bir daha görüntülenmez. Gizli dizi değeri, Vectra Veri Bağlayıcısı'nın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

4. ADIM - uygulamanızın Nesne Kimliğini Microsoft Entra ID

Uygulama kaydınızı oluşturduktan sonra Nesne Kimliğini almak için bu bölümdeki adımları izleyin:

1. Microsoft Entra ID gidin.
2. Soldaki menüden Kurumsal uygulamalar'ı seçin.
3. Yeni oluşturduğunuz uygulamayı listede bulun (sağladığınız ada göre arama yapabilirsiniz).
4. Uygulamaya tıklayın.
5. Genel bakış sayfasında Nesne Kimliğini kopyalayın. Bu, ARM şablonu rol atamanız için gereken AzureEntraObjectId değeridir .

ADIM 5 - Microsoft Entra ID'de uygulamaya Katkıda Bulunan rolü atama

Rolü atamak için bu bölümdeki adımları izleyin:

1. Azure portal Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
2. Sol panelden Erişim denetimine (IAM) gidin.
3. Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
4. Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
5. Erişim ata bölümünde öğesini seçinUser, group, or service principal.
6. Üye ekle'ye tıklayın ve oluşturduğunuz uygulama adınızı yazın ve seçin.
7. Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.

Başvuru bağlantısı:/azure/role-based-access-control/role-assignments-portal

ADIM 6 - Keyvault oluşturma

Yeni bir Keyvault oluşturmak için bu yönergeleri izleyin.

1. Azure portal Anahtar kasaları'na gidin ve Oluştur'a tıklayın.
2. Subsciption, Resource Group öğesini seçin ve keyvault öğesinin benzersiz adını sağlayın.

7. ADIM - Keyvault'ta Erişim İlkesi Oluşturma

Keyvault'ta erişim ilkesi oluşturmak için bu yönergeleri izleyin.

1. Keyvaults'a gidin, keyvault'unuzu seçin, sol taraftaki panelde Erişim ilkeleri'ne gidin, oluştur'a tıklayın.
2. Gizli dizi izinleri & tüm anahtarları seçin. İleri'ye tıklayın.
3. Asıl bölümde, ADIM - 2'de oluşturulan uygulama adına göre arama. İleri'ye tıklayın.

Not: Key Vault Erişim Yapılandırmasındaki İzin modelinin 'Kasa erişim ilkesi' olarak ayarlandığından emin olun

8. ADIM - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Vectra veri bağlayıcısını dağıtmadan önce Vectra API Yetkilendirme Kimlik Bilgileri'ni kullanıma hazır hale...

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Vectra bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki bilgileri girin: İşlev Adı Çalışma Alanı Adı Vectra Temel URL'si (https://< vectra-portal-url>) Vectra İstemci Kimliği - Health Vectra İstemci Gizli Anahtarı - Health Vectra İstemci Kimliği - Varlık Puanlama Vectra İstemci Gizli Anahtarı - Varlık Puanlama Vectra İstemci Kimliği - Algılamalar Vectra İstemci Gizli Anahtarı - Algılamalar Vectra İstemci Kimliği - Denetimler Vectra İstemci Gizli Anahtarı - Denetimler Vectra İstemci Kimliği - Vectra İstemci Gizli Anahtarını Kilitleme - Vectra İstemci Kimliğini Kilitleme - Host-Entity Vectra İstemci Gizli Anahtarı - Host-Entity Vectra İstemci Kimliği - Account-Entity Vectra İstemci Gizli Anahtarı - Account-Entity Key Vault Adı Azure İstemci Kimliği Azure İstemci Gizli Kiracı Kimliği Azure Entra ObjectID StartTime (MM/DD/YYYY SS:MM:SS Biçiminde) Puan Azaltma Denetimleri Tablo Adı Algılamaları Tablo Adı Tablo Adı Puanlama Tablo Adı Kilitleme Tablo Adı Sistem Durumu Tablo Adı Varlıklar Tablo Adı Algılama günlük düzeyinden Grup Ayrıntılarını Dışla (Varsayılan: BİlGİ) Kilitleme Sistem Durumu Zamanlaması Algılamaları Zamanlama Denetimleri Zamanlama Varlık Puanlama Zamanlama Varlıkları Zamanlaması

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Vectra veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, VECTRAXXXXXX).

   e. Çalışma zamanı seçin: Python 3.8 veya üzerini seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini tek tek ekleyin, ilgili değerleriyle (büyük/küçük harfe duyarlı): Çalışma Alanı Kimliği Çalışma Alanı Anahtarı Vectra Temel URL'si (https://< vectra-portal-url>) Vectra İstemci Kimliği - Sistem Durumu Vectra İstemci Gizli Anahtarı - Sistem Durumu Vectra İstemci Kimliği - Varlık Puanlama VecTra İstemci Gizli Anahtarı - Varlık Puanlama Vectra İstemci Kimliği - Algılamalar Vectra İstemci Gizli Anahtarı - Algılamalar Vectra İstemci Kimliği - Denetimler Vectra İstemci Gizli Anahtarı - Denetimler Vectra İstemci Kimliği - Vectra İstemci Gizli Anahtarını Kilitleme - Kilitleme Vectra İstemci Kimliği - Host-Entity Vectra İstemci Gizli Anahtarı - Host-Entity Vectra İstemci Kimliği - Account-Entity Vectra İstemci Gizli Anahtarı - Account-Entity Key Vault Adı Azure İstemci Kimliği Azure İstemci Gizli Kiracı Kimliği StartTime (AA/GG/YYYY SS:DD:SS Biçiminde) Puan Azaltma Denetimlerini Ekle Tablo Adı Algılamaları Tablo Adı Varlık Puanlama Tablo Adı Kilitleme Tablo Adı Sistem Durumu Tablo Adı Varlıklar Tablo Adı Günlük Düzeyi (Varsayılan: BİlGİ) Kilitleme Sistem Durumu Zamanlaması Algılamaları Zamanlama Denetimleri Zamanlama Varlık Puanlama Zamanlama Varlıkları Zamanlama logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Veeam Veri Bağlayıcısı (Azure İşlevleri kullanarak)

Tarafından desteklenir:Veeam Software

Veeam Data Connector, veeam telemetri verilerini birden çok özel tablodan Microsoft Sentinel almanızı sağlar.

Bağlayıcı kapsamlı izleme ve güvenlik analizi sağlamak için Veeam Backup & Çoğaltma, Veeam ONE ve Coveware platformlarıyla tümleştirmeyi destekler. Veriler Azure İşlevleri aracılığıyla toplanır ve ayrılmış Veri Toplama Kuralları (DCR) ve Veri Toplama Uç Noktaları (DCE) ile özel Log Analytics tablolarında depolanır.

Özel Tablolar Dahil:

• VeeamMalwareEvents_CL: Veeam Backup & Çoğaltma'dan kötü amaçlı yazılım algılama olayları
• VeeamSecurityComplianceAnalyzer_CL: Veeam yedekleme altyapısı bileşenlerinden toplanan Güvenlik & Uyumluluk Çözümleyicisi sonuçları
• VeeamAuthorizationEvents_CL: Yetkilendirme ve kimlik doğrulama olayları
• VeeamOneTriggeredAlarms_CL: Veeam ONE sunucularından tetiklenen alarmlar
• VeeamCovewareFindings_CL: Coveware çözümünden güvenlik bulguları
• VeeamSessions_CL: Veeam oturumları

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
VeeamMalwareEvents_CL	Evet	Evet
VeeamSecurityComplianceAnalyzer_CL	Evet	Evet
VeeamOneTriggeredAlarms_CL	Evet	Evet
VeeamAuthorizationEvents_CL	Evet	Evet
VeeamCovewareFindings_CL	Evet	Evet
VeeamSessions_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Veeam Altyapı Erişimi: Veeam Backup & Çoğaltma REST API'sine ve Veeam ONE izleme platformuna erişim gereklidir. Bu, doğru kimlik doğrulama kimlik bilgilerini ve ağ bağlantısını içerir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, Veeam API'lerine bağlanmak ve verileri Microsoft Sentinel özel tablolara çekmek için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

ADIM 1 - Veeam Veri Bağlayıcısı ve ilişkili Azure İşlevleri için dağıtım seçeneğini belirleyin

ÖNEMLİ: Veeam Data Connector'ı dağıtmadan önce Çalışma Alanı Adı'nı hazırlayın (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Adı: <yükleme zamanında sağlanan değişken değeri>

Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak Veeam veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   portal.azure.com

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Microsoft Sentinel Çalışma Alanı Adını girin.

4. Gözden Geçir + Oluştur, Oluştur'a tıklayın.

---

VersasecCms

Tarafından desteklenir:Versasec Desteği

VersasecCms veri bağlayıcısı, günlüklerin Microsoft Sentinel alınmasına olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
VersasecCmsSysLogs_CL	Hayır	Hayır
VersasecCmsErrorLogs_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Yapılandırma

VersasecCms için kimlik bilgilerini girin.

• Yönetim URL'si:
• API Temel Yolu:
• API Belirteci:
• Yoklama Aralığı (Dakika):
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Microsoft Sentinel için VirtualMetric DataStream

Tarafından desteklenir:VirtualMetric

VirtualMetric DataStream bağlayıcısı, güvenlik telemetrisini Microsoft Sentinel almak için Veri Toplama Kuralları dağıtır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommonSecurityLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Uygulama Kaydı veya Azure Yönetilen Kimlik: VirtualMetric DataStream, kimlik doğrulaması yapmak ve günlükleri Microsoft Sentinel göndermek için Entra kimliği gerektirir. İstemci Kimliği ve İstemci Gizli Anahtarı ile Uygulama Kaydı oluşturma veya kimlik bilgisi yönetimi olmadan gelişmiş güvenlik için Azure Yönetilen Kimlik'i kullanma arasında seçim yapabilirsiniz.
• Kaynak Grubu Rol Ataması: Seçilen kimlik (Uygulama Kaydı veya Yönetilen Kimlik) şu rollere sahip Veri Toplama Uç Noktasını içeren kaynak grubuna atanmalıdır: İzleme Ölçümleri Yayımcısı (günlük alımı için) ve İzleme Okuyucusu (akış yapılandırmasını okumak için).

Kurulum Yönergeleri:

Microsoft Sentinel için VirtualMetric DataStream'i yapılandırma

Microsoft Sentinel veri göndermek için VirtualMetric DataStream'i yapılandırın.

Uygulamayı Microsoft Entra ID Kaydetme (İsteğe Bağlı)

Kimlik doğrulama yönteminizi seçin: A Seçeneği: Yönetilen Kimlik Azure Kullanma (Önerilen)

• Kimlik doğrulaması için Azure Yönetilen Kimlik kullanmayı planlıyorsanız bu adımı atlayın.
• Azure Yönetilen Kimlik, kimlik bilgilerini yönetmeden daha güvenli bir kimlik doğrulama yöntemi sağlar.

B Seçeneği: Hizmet Sorumlusu Uygulaması Kaydetme

1. Microsoft Entra ID sayfasını açın:

   • Microsoft Entra ID kayıt sayfasını yeni bir sekmede açmak için sağlanan bağlantıya tıklayın.
   • Uygulama Yöneticisi veya Genel Yönetici izinlerine sahip bir hesapla oturum açtığınızdan emin olun.

2. Yeni Uygulama Oluştur:

   • Microsoft Entra ID portalında sol taraftaki gezinti bölmesinden Uygulama kayıtları seçin.
   • + Yeni kayıt'a tıklayın.
   • Aşağıdaki alanları doldurun:

• Ad: Uygulama için açıklayıcı bir ad girin (örneğin, "VirtualMetric ASIM Bağlayıcısı").
• Desteklenen hesap türleri: Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin (Tek kiracı).
• Yeniden yönlendirme URI'si: Bu değeri boş bırakın.
  • Uygulamayı oluşturmak için Kaydet'e tıklayın.

3. Uygulama ve Kiracı Kimliklerini Kopyalama:

   • Uygulama kaydedildikten sonra Genel Bakış sayfasında Uygulama (istemci) Kimliği ve Dizin (kiracı) Kimliği değerlerini not edin. VirtualMetric DataStream yapılandırması için bunlara ihtiyacınız olacaktır.

4. İstemci Gizli Anahtarı Oluşturma:

   • Sertifikalar & gizli dizileri bölümünde + Yeni istemci gizli dizisi'ne tıklayın.
   • Bir açıklama ekleyin (örneğin, 'VirtualMetric ASIM Gizli Dizisi') ve uygun bir sona erme süresi ayarlayın.
   • Ekle'ye tıklayın.
   • İstemci gizli anahtarı değerini hemen kopyalayın, aksi takdirde yeniden gösterilmez. Bunu VirtualMetric DataStream yapılandırması için güvenli bir şekilde depolayın.

Gerekli İzinleri Ata

Kaynak grubunda seçtiğiniz kimlik doğrulama yöntemine (Hizmet Sorumlusu veya Yönetilen Kimlik) gerekli rolleri atayın.

Hizmet Sorumlusu için (1. Adımı tamamladıysanız):

1. Kaynak Grubunuz'a gidin:

   • Azure portalını açın ve Log Analytics Çalışma Alanınızı içeren ve Veri Toplama Kurallarının (DCR) dağıtılacağı Kaynak Grubuna gidin.

2. İzleme Ölçümleri Yayımcısı Rolünü Atayın:

   • Kaynak Grubu'nda, sol taraftaki menüden Erişim denetimine (IAM) tıklayın.
   • + Ekle'ye tıklayın ve Rol ataması ekle'yi seçin.
   • Rol sekmesinde İzleme Ölçümleri Yayımcısı'nı arayın ve seçin.
   • Üyeler sekmesine gitmek için İleri'ye tıklayın.
   • Erişim ata'nın altında Kullanıcı, grup veya hizmet sorumlusu'na tıklayın.
   • + Üyeleri seç'e tıklayın ve kayıtlı uygulamanızı ada veya istemci kimliğine göre arayın.
   • Uygulamanızı seçin ve Seç'e tıklayın.
   • Ödevi tamamlamak için Gözden Geçir + ata'ya iki kez tıklayın.

3. İzleme Okuyucusu Rolünü Atayın:

   • İzleme Okuyucusu rolünü atamak için aynı işlemi yineleyin:
   • + Ekle'ye tıklayın ve Rol ataması ekle'yi seçin.
   • Rol sekmesinde İzleme Okuyucusu'nı arayın ve seçin.
   • Yukarıdakiyle aynı üye seçim işlemini izleyin.
   • Ödevi tamamlamak için Gözden Geçir + ata'ya iki kez tıklayın. Azure Yönetilen Kimlik için:

4. Yönetilen Kimliğinizi Oluşturma veya Tanımlama:

   • Sistem tarafından atanan Yönetilen Kimlik kullanıyorsanız: Azure kaynağınızda (VM, App Service vb.) etkinleştirin.
   • Kullanıcı Tarafından Atanan Yönetilen Kimlik kullanılıyorsa: Yoksa kaynak grubunuzda bir tane oluşturun.

5. İzleme Ölçümleri Yayımcısı Rolünü Atayın:

   • Yukarıdaki adımların aynısını, ancak Üyeler sekmesinde izleyin:
   • Erişim ata'nın altında Yönetilen kimlik'i seçin.
   • + Üyeleri seç'e tıklayın ve uygun yönetilen kimlik türünü seçin ve kimliğinizi seçin.
   • Seç'e tıklayın, ardından tamamlamak için Gözden geçir + iki kez ata'ya tıklayın.

6. İzleme Okuyucusu Rolünü Atayın:

   • İzleme Okuyucusu rolünü aynı yönetilen kimliğe atamak için işlemi yineleyin. Gerekli İzin Özeti: Atanan roller aşağıdaki özellikleri sağlar:

• İzleme Ölçümleri Yayımcısı: Veri Toplama Uç Noktalarına (DCE) veri yazma ve Veri Toplama Kuralları (DCR) aracılığıyla telemetri gönderme
• İzleme Okuyucusu: ASIM tablo alımı için akış yapılandırmasını okuma ve Log Analytics çalışma alanına erişme

Azure Altyapısını Dağıtma

ARM şablonumuzu kullanarak Microsoft Sentinel tablolar için gerekli Veri Toplama Uç Noktasını (DCE) ve Veri Toplama Kurallarını (DCR) dağıtın.

1. Azure dağıtın:

   • Gerekli altyapıyı otomatik olarak dağıtmak için aşağıdaki Azure dağıt düğmesine tıklayın:
   • portal.azure.com
   • Bu işlem, dağıtımı başlatmak için doğrudan Azure portal götürür.

2. Dağıtım Parametrelerini Yapılandırma:

   • Özel dağıtım sayfasında aşağıdaki ayarları yapılandırın:

   Proje ayrıntıları:

   • Abonelik: Açılan listeden Azure aboneliğinizi seçin
   • Kaynak grubu: Mevcut bir kaynak grubunu seçin veya Yeni oluştur'a tıklayarak yeni bir Örnek ayrıntıları oluşturun:
   • Bölge: Log Analytics çalışma alanınızın bulunduğu Azure bölgeyi seçin (ör. Batı Avrupa)
   • Çalışma alanı: Log Analytics çalışma alanı adınızı girin
   • DCE Adı: Veri Toplama Uç Noktası için bir ad belirtin (örneğin, "vmetric-dce")
   • DCR Adı Ön Eki: Veri Toplama Kuralları için bir ön ek sağlayın (örneğin, "vmetric-dcr")

3. Dağıtımı tamamlayın:

   • Şablonu doğrulamak için Gözden Geçir + oluştur'a tıklayın.
   • Parametreleri gözden geçirin ve kaynakları dağıtmak için Oluştur'a tıklayın.
   • Dağıtımın tamamlanmasını bekleyin (genellikle 2-5 dakika sürer).

4. Dağıtılan Kaynakları Doğrulama:

   • Dağıtımdan sonra aşağıdaki kaynakların oluşturulduğunu doğrulayın:

• Veri Toplama Uç Noktası (DCE): Azure portal > İzleyici > Veri Toplama Uç Noktalarını Denetleyin
• Veri Toplama Kuralları (DCR): Portal > İzleyici > Veri Toplama Kurallarını Azure Denetleyin
  • DCE Günlükleri Alma URI'sini DCE Genel Bakış sayfasından kopyalayın (biçim: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • DCE Genel Bakış sayfasından DCE Kaynak Kimliğini kopyalayın (biçim: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Her DCR için Genel Bakış sayfasındaki Sabit Kimliği not alın; VirtualMetric DataStream yapılandırması için bunlara ihtiyacınız olacaktır.

VirtualMetric DataStream Tümleştirmeyi Yapılandırma

Microsoft Sentinel tablolarına güvenlik telemetrisi göndermek için VirtualMetric DataStream'i ayarlayın.

1. Access VirtualMetric DataStream Yapılandırması:

   • VirtualMetric DataStream yönetim konsolunuzda oturum açın.
   • Filo Yönetimi > Hedefleri bölümüne gidin.
   • Yeni hedef ekle düğmesine tıklayın.
   • Hedefi Microsoft Sentinel seçin.

2. Genel Ayarları Yapılandır:

   • Ad: Hedefiniz için bir ad girin (örneğin, "cus01-ms-sentinel")
   • Açıklama: İsteğe bağlı olarak hedef yapılandırma için bir açıklama sağlayın

3. Azure Kimlik Doğrulamasını Yapılandırma (1. Adıma göre seçin): Hizmet Sorumlusu Kimlik Doğrulaması için:

   • Azure için Yönetilen Kimlik: Devre Dışı Bırak
   • Kiracı Kimliği: Adım 1'den Dizin (kiracı) Kimliğini girin
   • İstemci Kimliği: Adım 1'den Uygulama (istemci) Kimliğini girin
   • İstemci Gizli Anahtarı: Azure Yönetilen Kimlik için 1. Adımdaki istemci gizli anahtarı değerini girin:
   • Azure için Yönetilen Kimlik: Etkin olarak ayarlayın

4. Stream Özelliklerini Yapılandırma:

   • Uç nokta: Yapılandırma yönteminizi seçin:

• El ile akış yapılandırması için: DCE Günlükleri Alma URI'sini girin (biçim: https://<dce-name>.<region>.ingest.monitor.azure.com)
• Otomatik akış algılama için: DCE Kaynak Kimliğini girin (biçim: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Akışlar: Otomatik akış algılama için Otomatik'i seçin veya gerekirse belirli akışları yapılandırın

5. Microsoft Sentinel'de Veri Alımını Doğrulama:
   • Log Analytics Çalışma Alanınıza geri dönün
   • Verilerin alındığını onaylamak için ASIM tablolarında örnek sorgular çalıştırın:

     ASimNetworkSessionLogs
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Yeni veri kaynakları ve olay sayıları için Microsoft Sentinel Genel Bakış panosuna bakın.

---

Microsoft Sentinel veri gölü için VirtualMetric DataStream

Tarafından desteklenir:VirtualMetric

VirtualMetric DataStream bağlayıcısı, güvenlik telemetrisini Microsoft Sentinel veri gölüne almak için Veri Toplama Kuralları dağıtır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommonSecurityLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Uygulama Kaydı veya yönetilen kimliği Azure: VirtualMetric DataStream, kimlik doğrulaması yapmak ve günlükleri Microsoft Sentinel data lake'e göndermek için Entra kimliği gerektirir. İstemci Kimliği ve İstemci Gizli Anahtarı ile Uygulama Kaydı oluşturma veya kimlik bilgisi yönetimi olmadan gelişmiş güvenlik için Azure Yönetilen Kimlik'i kullanma arasında seçim yapabilirsiniz.
• Kaynak Grubu Rol Ataması: Seçilen kimlik (Uygulama Kaydı veya Yönetilen Kimlik) şu rollere sahip Veri Toplama Uç Noktasını içeren kaynak grubuna atanmalıdır: İzleme Ölçümleri Yayımcısı (günlük alımı için) ve İzleme Okuyucusu (akış yapılandırmasını okumak için).

Kurulum Yönergeleri:

Microsoft Sentinel veri gölü için VirtualMetric DataStream'i yapılandırma

Veri göndermek üzere Microsoft Sentinel data lake için VirtualMetric DataStream'i yapılandırın.

Uygulamayı Microsoft Entra ID Kaydetme (İsteğe Bağlı)

Kimlik doğrulama yönteminizi seçin: A Seçeneği: Yönetilen Kimlik Azure Kullanma (Önerilen)

• Kimlik doğrulaması için Azure Yönetilen Kimlik kullanmayı planlıyorsanız bu adımı atlayın.
• Azure Yönetilen Kimlik, kimlik bilgilerini yönetmeden daha güvenli bir kimlik doğrulama yöntemi sağlar.

B Seçeneği: Hizmet Sorumlusu Uygulaması Kaydetme

1. Microsoft Entra ID sayfasını açın:

   • Microsoft Entra ID kayıt sayfasını yeni bir sekmede açmak için sağlanan bağlantıya tıklayın.
   • Uygulama Yöneticisi veya Genel Yönetici izinlerine sahip bir hesapla oturum açtığınızdan emin olun.

2. Yeni Uygulama Oluştur:

   • Microsoft Entra ID portalında sol taraftaki gezinti bölmesinden Uygulama kayıtları seçin.
   • + Yeni kayıt'a tıklayın.
   • Aşağıdaki alanları doldurun:

• Ad: Uygulama için açıklayıcı bir ad girin (örneğin, "VirtualMetric ASIM Bağlayıcısı").
• Desteklenen hesap türleri: Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin (Tek kiracı).
• Yeniden yönlendirme URI'si: Bu değeri boş bırakın.
  • Uygulamayı oluşturmak için Kaydet'e tıklayın.

3. Uygulama ve Kiracı Kimliklerini Kopyalama:

   • Uygulama kaydedildikten sonra Genel Bakış sayfasında Uygulama (istemci) Kimliği ve Dizin (kiracı) Kimliği değerlerini not edin. VirtualMetric DataStream yapılandırması için bunlara ihtiyacınız olacaktır.

4. İstemci Gizli Anahtarı Oluşturma:

   • Sertifikalar & gizli dizileri bölümünde + Yeni istemci gizli dizisi'ne tıklayın.
   • Bir açıklama ekleyin (örneğin, 'VirtualMetric ASIM Gizli Dizisi') ve uygun bir sona erme süresi ayarlayın.
   • Ekle'ye tıklayın.
   • İstemci gizli anahtarı değerini hemen kopyalayın, aksi takdirde yeniden gösterilmez. Bunu VirtualMetric DataStream yapılandırması için güvenli bir şekilde depolayın.

Gerekli İzinleri Ata

Kaynak grubunda seçtiğiniz kimlik doğrulama yöntemine (Hizmet Sorumlusu veya Yönetilen Kimlik) gerekli rolleri atayın.

Hizmet Sorumlusu için (1. Adımı tamamladıysanız):

1. Kaynak Grubunuz'a gidin:

   • Azure portalını açın ve Log Analytics Çalışma Alanınızı içeren ve Veri Toplama Kurallarının (DCR) dağıtılacağı Kaynak Grubuna gidin.

2. İzleme Ölçümleri Yayımcısı Rolünü Atayın:

   • Kaynak Grubu'nda, sol taraftaki menüden Erişim denetimine (IAM) tıklayın.
   • + Ekle'ye tıklayın ve Rol ataması ekle'yi seçin.
   • Rol sekmesinde İzleme Ölçümleri Yayımcısı'nı arayın ve seçin.
   • Üyeler sekmesine gitmek için İleri'ye tıklayın.
   • Erişim ata'nın altında Kullanıcı, grup veya hizmet sorumlusu'na tıklayın.
   • + Üyeleri seç'e tıklayın ve kayıtlı uygulamanızı ada veya istemci kimliğine göre arayın.
   • Uygulamanızı seçin ve Seç'e tıklayın.
   • Ödevi tamamlamak için Gözden Geçir + ata'ya iki kez tıklayın.

3. İzleme Okuyucusu Rolünü Atayın:

   • İzleme Okuyucusu rolünü atamak için aynı işlemi yineleyin:
   • + Ekle'ye tıklayın ve Rol ataması ekle'yi seçin.
   • Rol sekmesinde İzleme Okuyucusu'nı arayın ve seçin.
   • Yukarıdakiyle aynı üye seçim işlemini izleyin.
   • Ödevi tamamlamak için Gözden Geçir + ata'ya iki kez tıklayın. Azure Yönetilen Kimlik için:

4. Yönetilen Kimliğinizi Oluşturma veya Tanımlama:

   • Sistem tarafından atanan Yönetilen Kimlik kullanıyorsanız: Azure kaynağınızda (VM, App Service vb.) etkinleştirin.
   • Kullanıcı Tarafından Atanan Yönetilen Kimlik kullanılıyorsa: Yoksa kaynak grubunuzda bir tane oluşturun.

5. İzleme Ölçümleri Yayımcısı Rolünü Atayın:

   • Yukarıdaki adımların aynısını, ancak Üyeler sekmesinde izleyin:
   • Erişim ata'nın altında Yönetilen kimlik'i seçin.
   • + Üyeleri seç'e tıklayın ve uygun yönetilen kimlik türünü seçin ve kimliğinizi seçin.
   • Seç'e tıklayın, ardından tamamlamak için Gözden geçir + iki kez ata'ya tıklayın.

6. İzleme Okuyucusu Rolünü Atayın:

   • İzleme Okuyucusu rolünü aynı yönetilen kimliğe atamak için işlemi yineleyin. Gerekli İzin Özeti: Atanan roller aşağıdaki özellikleri sağlar:

• İzleme Ölçümleri Yayımcısı: Veri Toplama Uç Noktalarına (DCE) veri yazma ve Veri Toplama Kuralları (DCR) aracılığıyla telemetri gönderme
• İzleme Okuyucusu: ASIM tablo alımı için akış yapılandırmasını okuma ve Log Analytics çalışma alanına erişme

Azure Altyapısını Dağıtma

ARM şablonumuzu kullanarak veri gölü tablolarını Microsoft Sentinel için gerekli Veri Toplama Uç Noktasını (DCE) ve Veri Toplama Kurallarını (DCR) dağıtın.

1. Azure dağıtın:

   • Gerekli altyapıyı otomatik olarak dağıtmak için aşağıdaki Azure dağıt düğmesine tıklayın:
   • portal.azure.com
   • Bu işlem, dağıtımı başlatmak için doğrudan Azure portal götürür.

2. Dağıtım Parametrelerini Yapılandırma:

   • Özel dağıtım sayfasında aşağıdaki ayarları yapılandırın:

   Proje ayrıntıları:

   • Abonelik: Açılan listeden Azure aboneliğinizi seçin
   • Kaynak grubu: Mevcut bir kaynak grubunu seçin veya Yeni oluştur'a tıklayarak yeni bir Örnek ayrıntıları oluşturun:
   • Bölge: Log Analytics çalışma alanınızın bulunduğu Azure bölgeyi seçin (ör. Batı Avrupa)
   • Çalışma alanı: Log Analytics çalışma alanı adınızı girin
   • DCE Adı: Veri Toplama Uç Noktası için bir ad belirtin (örneğin, "vmetric-dce")
   • DCR Adı Ön Eki: Veri Toplama Kuralları için bir ön ek sağlayın (örneğin, "vmetric-dcr")

3. Dağıtımı tamamlayın:

   • Şablonu doğrulamak için Gözden Geçir + oluştur'a tıklayın.
   • Parametreleri gözden geçirin ve kaynakları dağıtmak için Oluştur'a tıklayın.
   • Dağıtımın tamamlanmasını bekleyin (genellikle 2-5 dakika sürer).

4. Dağıtılan Kaynakları Doğrulama:

   • Dağıtımdan sonra aşağıdaki kaynakların oluşturulduğunu doğrulayın:

• Veri Toplama Uç Noktası (DCE): Azure portal > İzleyici > Veri Toplama Uç Noktalarını Denetleyin
• Veri Toplama Kuralları (DCR): Portal > İzleyici > Veri Toplama Kurallarını Azure Denetleyin
  • DCE Günlükleri Alma URI'sini DCE Genel Bakış sayfasından kopyalayın (biçim: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • DCE Genel Bakış sayfasından DCE Kaynak Kimliğini kopyalayın (biçim: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Her DCR için Genel Bakış sayfasındaki Sabit Kimliği not alın; VirtualMetric DataStream yapılandırması için bunlara ihtiyacınız olacaktır.

VirtualMetric DataStream Tümleştirmeyi Yapılandırma

Microsoft Sentinel data lake tablolarına güvenlik telemetrisi göndermek için VirtualMetric DataStream'i ayarlayın.

1. Access VirtualMetric DataStream Yapılandırması:

   • VirtualMetric DataStream yönetim konsolunuzda oturum açın.
   • Filo Yönetimi > Hedefleri bölümüne gidin.
   • Yeni hedef ekle düğmesine tıklayın.
   • Hedefi Microsoft Sentinel seçin.

2. Genel Ayarları Yapılandır:

   • Ad: Hedefiniz için bir ad girin (örneğin, "cus01-ms-sentinel")
   • Açıklama: İsteğe bağlı olarak hedef yapılandırma için bir açıklama sağlayın

3. Azure Kimlik Doğrulamasını Yapılandırma (1. Adıma göre seçin): Hizmet Sorumlusu Kimlik Doğrulaması için:

   • Azure için Yönetilen Kimlik: Devre Dışı Bırak
   • Kiracı Kimliği: Adım 1'den Dizin (kiracı) Kimliğini girin
   • İstemci Kimliği: Adım 1'den Uygulama (istemci) Kimliğini girin
   • İstemci Gizli Anahtarı: Azure Yönetilen Kimlik için 1. Adımdaki istemci gizli anahtarı değerini girin:
   • Azure için Yönetilen Kimlik: Etkin olarak ayarlayın

4. Stream Özelliklerini Yapılandırma:

   • Uç nokta: Yapılandırma yönteminizi seçin:

• El ile akış yapılandırması için: DCE Günlükleri Alma URI'sini girin (biçim: https://<dce-name>.<region>.ingest.monitor.azure.com)
• Otomatik akış algılama için: DCE Kaynak Kimliğini girin (biçim: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
  • Akışlar: Otomatik akış algılama için Otomatik'i seçin veya gerekirse belirli akışları yapılandırın

5. Microsoft Sentinel veri gölünde Veri Alımını doğrulama:
   • Log Analytics Çalışma Alanınıza geri dönün
   • Verilerin alındığını onaylamak için ASIM tablolarında örnek sorgular çalıştırın:

     ASimNetworkSessionLogs
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Yeni veri kaynakları ve olay sayıları için Microsoft Sentinel Genel Bakış panosuna bakın.

---

VirtualMetric Director Proxy

Tarafından desteklenir:VirtualMetric

VirtualMetric Director Proxy, VirtualMetric DataStream'i Microsoft Sentinel, Azure Veri Gezgini ve Azure Depolama gibi Azure hizmetleriyle güvenli bir şekilde köprü yapmak için bir Azure İşlev Uygulaması dağıtır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommonSecurityLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure İşlev Uygulaması: Azure İşlev Uygulaması, Yönetici Ara Sunucusunu barındırmak için dağıtılmalıdır. İşlev Uygulamasını oluşturmak ve yönetmek için kaynak grubunuzdaki Microsoft.Web/sites kaynaklarında okuma, yazma ve silme izinleri gerekir.
• VirtualMetric DataStream Yapılandırması: Yönetici Proxy'sine bağlanmak için VirtualMetric DataStream'in kimlik doğrulaması kimlik bilgileriyle yapılandırılmış olması gerekir. Yönetici Ara Sunucusu, VirtualMetric DataStream ile Azure hizmetleri arasında güvenli bir köprü görevi görür.
• Hedef Azure Hizmetleri: Microsoft Sentinel Veri Toplama Uç Noktaları, Azure Veri Gezgini kümeleri veya Azure Depolama hesapları gibi hedef Azure hizmetlerinizi yapılandırın.

Kurulum Yönergeleri:

VirtualMetric Director Proxy'lerini dağıtma

VirtualMetric DataStream ile Microsoft Sentinel arasında güvenli bir proxy işlevi görecek Azure İşlev Uygulamasını dağıtın.

Önkoşullar ve Dağıtım Sırası

Önerilen Dağıtım Sırası:

En iyi yapılandırma için önce hedef bağlayıcıları dağıtmayı göz önünde bulundurun:

1. Microsoft Sentinel Bağlayıcısını Dağıtma: Gerekli Veri Toplama Uç Noktalarını ve Kurallarını oluşturmak için önce Microsoft Sentinel bağlayıcısı için VirtualMetric DataStream'i dağıtın.

2. data lake Connector Microsoft Sentinel dağıtma (isteğe bağlı): Microsoft Sentinel veri gölü tabloları kullanıyorsanız, Microsoft Sentinel data lake bağlayıcısı için VirtualMetric DataStream'i dağıtın.

3. Yönetici Ara Sunucusunu Dağıtma (bu adım): Ardından, Yönetici Ara Sunucusu Microsoft Sentinel hedeflerinizle yapılandırılabilir. Not: Bu sipariş önerilir ancak gerekli değildir. Yönetici Proxy'sini bağımsız olarak dağıtabilir ve daha sonra hedeflerinizle yapılandırabilirsiniz.

Azure İşlev Uygulamasını Dağıtma

Azure Dağıt düğmesini kullanarak VirtualMetric Director Proxy Azure İşlev Uygulamasını dağıtın.

1. Azure dağıtın:

   • İşlev Uygulamasını dağıtmak için aşağıdaki Azure dağıt düğmesine tıklayın:
   • portal.azure.com

2. Dağıtım Parametrelerini Yapılandırma:

   • Abonelik: Azure aboneliğinizi seçin
   • Kaynak Grubu: Microsoft Sentinel çalışma alanınızla aynı kaynak grubunu seçin veya yeni bir tane oluşturun
   • Bölge: Azure bölgesini seçin (Microsoft Sentinel çalışma alanı bölgenizle eşleşmelidir)
   • İşlev Uygulaması Adı: İşlev Uygulaması için benzersiz bir ad sağlayın (örneğin, "vmetric-director-proxy")

3. Dağıtımı Tamamla:

   • Parametreleri doğrulamak için Gözden Geçir + oluştur'a tıklayın
   • İşlev Uygulamasını dağıtmak için Oluştur'a tıklayın
   • Dağıtımın tamamlanmasını bekleyin (genellikle 3-5 dakika)
   • İşlev Uygulaması URL'sine dikkat edin: https://<function-app-name>.azurewebsites.net

İşlev Uygulaması İzinlerini Yapılandırma

Microsoft Sentinel kaynaklarına erişmek için İşlev Uygulamasının yönetilen kimliğine gerekli izinleri atayın.

1. yönetilen kimliği System-Assigned etkinleştirme:

   • Azure portalında dağıtılan İşlev Uygulamanıza gidin
   • Ayarlar'ın altında Kimlik'e gidin
   • Sistem tarafından atanan kimlik için Durumu Açık duruma getirin
   • Kaydet'e tıklayın ve onaylayın

2. Kaynak Grubu'na gidin:

   • Microsoft Sentinel çalışma alanınızı ve Veri Toplama Uç Noktalarını içeren kaynak grubuna gidin

3. Gerekli Rolleri Ata:

   • Açık Erişim denetimi (IAM)
   • + Rol ataması ekle'ye > tıklayın
   • İşlev Uygulamasının sistem tarafından atanan yönetilen kimliğine aşağıdaki rolleri atayın:

• Ölçüm Yayımcısını İzleme: Veri Toplama Uç Noktalarına veri göndermek için
• İzleme Okuyucusu: Veri Toplama Kuralları yapılandırmasını okumak için

4. İşlev Uygulaması Kimliği'ni seçin:

   • Üyeler sekmesinde Yönetilen kimlik'i seçin
   • İşlev Uygulaması'nı seçin ve dağıtılan Director Proxy İşlev Uygulamanızı seçin
   • Rol atamasını tamamlama

5. İşlev Uygulaması Erişim Belirteci Alma (İşlev Anahtarı kimlik doğrulaması için isteğe bağlı):

   • İşlev Uygulamanıza gidin
   • İşlevler'in altında Uygulama anahtarları'na gidin
   • Varsayılan konak anahtarını kopyalama veya kimlik doğrulaması için yeni bir işlev anahtarı oluşturma

VirtualMetric DataStream Tümleştirmeyi Yapılandırma

Güvenlik telemetrisini Yönetici Ara Sunucusu aracılığıyla Microsoft Sentinel göndermek için VirtualMetric DataStream'i ayarlayın.

1. Access VirtualMetric DataStream Yapılandırması:

   • VirtualMetric DataStream yönetim konsolunuzda oturum açın
   • Hedefler bölümüne gidin
   • Microsoft Sentinel Hedefleri'ne tıklayın
   • Yeni hedef ekle'ye tıklayın veya mevcut Microsoft Sentinel hedeflerini düzenleyin

2. Genel Ayarları Yapılandır:

   • Ad: Hedefiniz için bir ad girin (örneğin, "sentinel-with-proxy")
   • Açıklama: İsteğe bağlı olarak hedef yapılandırma için bir açıklama sağlayın

3. Azure Kimlik Doğrulamasını Yapılandırma: Hizmet Sorumlusu Kimlik Doğrulaması için:

   • Azure için Yönetilen Kimlik: Devre Dışı Bırak
   • Kiracı Kimliği: Azure Active Directory kiracı kimliğinizi girin
   • İstemci Kimliği: Hizmet sorumlusu uygulama kimliğinizi girin
   • İstemci Gizli Anahtarı: Azure Yönetilen Kimlik için hizmet sorumlusu istemci gizli dizinizi girin:
   • Azure için Yönetilen Kimlik: Etkin olarak ayarlayın

4. Yönetici Ara Sunucusunu Yapılandırma (Azure Özellikler sekmesinde):

   • Uç Nokta Adresi: Adım 2'den İşlev Uygulaması URL'sini girin (biçim: https://<function-app-name>.azurewebsites.net)
   • Erişim Belirteci: Adım 3'ten İşlev Uygulaması ana bilgisayar anahtarını girin (Yönetilen Kimlik kullanılıyorsa isteğe bağlı)

5. Stream Özelliklerini Yapılandırma:

   • Uç nokta: DCE Günlükleri Alma URI'sini girin (biçim: https://<dce-name>.<region>.ingest.monitor.azure.com)
   • Akışlar: Otomatik akış algılama için Otomatik'i seçin veya gerekirse belirli akışları yapılandırın

6. Microsoft Sentinel'de Veri Alımını Doğrulama:

   • Log Analytics Çalışma Alanınıza geri dönün
   • Verilerin alındığını onaylamak için örnek sorgular çalıştırın:

     CommonSecurityLog
     | where TimeGenerated > ago(1h)
     | take 10
     

   • Yeni veri kaynakları ve olay sayıları için Microsoft Sentinel Genel Bakış panosunu gözden geçirin

---

VMRayThreatIntelligence (Azure İşlevleri kullanarak)

Tarafından desteklenir:VMRay

VMRayThreatIntelligence bağlayıcısı, VMRay'e yapılan tüm gönderimler için tehdit bilgilerini otomatik olarak oluşturur ve besler; böylece Sentinel tehdit algılama ve olay yanıtı iyileştirilir. Bu sorunsuz tümleştirme, ekiplerin ortaya çıkan tehditleri proaktif olarak ele almalarını sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ThreatIntelligenceIndicator	Evet	Hayır

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Aboneliği: Azure Bir uygulamayı azure active directory() hizmetine kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip abonelik gereklidir.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: VMRay API Anahtarı gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, VMRay Tehdit GÇ'lerini Microsoft Sentinel çekmek üzere VMRay API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

VMRay Tehdit Bilgileri Bağlayıcısı'nı dağıtma

1. Gerekli tüm önkoşullara sahip olduğunuzdan emin olun: İstemci Kimliği, Kiracı Kimliği, İstemci Gizli Anahtarı, VMRay API Anahtarı ve VMRay Temel URL'si.

2. İstemci Kimliği, İstemci Gizli Anahtarı ve Kiracı Kimliği'ni almak için şu yönergeleri izleyin

3. Esnek Tüketim Planı için aşağıdaki Azure dağıt düğmesine tıklayın:

   aka.ms

4. Premium Plan için aşağıdaki Azure dağıt düğmesine tıklayın:

   aka.ms.

---

AWS S3 aracılığıyla VMware Carbon Black Cloud (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft

AWS S3 aracılığıyla VMware Carbon Black Cloud veri bağlayıcısı, AWS S3 aracılığıyla izleme listesi, uyarılar, kimlik doğrulama ve uç nokta olaylarını alma ve bunları ASIM normalleştirilmiş tablolarına akışla aktarma özelliği sağlar. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CarbonBlack_Alerts_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Ortam: Şu AWS kaynaklarını tanımlayıp yapılandırmış olmanız gerekir: S3, Basit Kuyruk Hizmeti (SQS), IAM rolleri ve izin ilkeleri
• Ortam: Aws S3 demetlerine iletilen bir Veri oluşturmak için karbon siyah hesabına ve gerekli izinlere sahip olmanız gerekir. Daha fazla bilgi için bkz . Karbon Siyah Veri İleticisi Belgeleri

Kurulum Yönergeleri:

1. AWS CloudFormation Dağıtımı AWS'ye erişimi yapılandırmak için AWS ortamını S3 demetinden Log Analytics Çalışma Alanınıza günlük gönderecek şekilde ayarlamak için iki şablon oluşturulmuştur.

Her şablon için AWS'de Stack oluşturun:

1. AWS CloudFormation Stacks'e gidin
2. AWS'de 'Şablon dosyasını karşıya yükle' seçeneğini belirleyin ve 'Dosya seç'e tıklayın. İndirilen şablonu seçme
3. 'İleri' ve 'Yığın oluştur' seçeneğine tıklayın

• Şablon 1: OpenID connect kimlik doğrulaması dağıtımı: <yükleme zamanında sağlanan değişken değeri>
• Şablon 2: AWS Carbon Black kaynakları dağıtımı: <Yükleme zamanında> sağlanan değişken değer 'Şablon 2: AWS Carbon Black kaynak dağıtımı' şablonunu dağıtırken birkaç parametre sağlamanız gerekir

• Yığın Adı: Seçtiğiniz bir yığın adı (AWS'deki yığınlar listesinde görünür)
• Rol Adı: 'OIDC_' ön eki ile başlamalıdır, varsayılan değere sahiptir.
• Demet Adı: Seçtiğiniz demet adı, zaten bir demetiniz varsa adı buraya yapıştırın
• CreateNewBucket: Bu bağlayıcı için kullanmak istediğiniz bir demet zaten varsa, bu seçenek için 'false' seçeneğini belirleyin, aksi takdirde bu yığından 'Demet Adı' içine girdiğiniz adı içeren bir demet oluşturulur.
• Bölge: Burası, Carbon Black'in haritasını temel alan AWS kaynaklarının bölgesidir. Daha fazla bilgi için lütfen Carbon Black belgelerine bakın.
• SQSQueuePrefix: Yığın birden çok kuyruk oluşturur; bu ön ek her birine eklenir.
• WorkspaceID: Aşağıda sağlanan Çalışma Alanı Kimliğini kullanın.

• Çalışma Alanı Kimliği: <Yükleme zamanında> sağlanan değişken değeri Dağıtım tamamlandıktan sonra 'Çıkışlar' sekmesine gidin; şunları görürsünüz: Rol ARN'si, S3 demeti ve 4 SQS kaynağı oluşturuldu. Bir sonraki adımda Carbon Black'in veri ileticilerini ve veri bağlayıcısını yapılandırırken bu kaynaklara ihtiyacınız olacaktır.

2. Carbon Black veri ileticisi yapılandırması Tüm AWS kaynakları oluşturulduktan sonra, olayları Microsoft Sentinel almak üzere AWS demetlerine iletmek üzere Carbon Black'i yapılandırmanız gerekir. Carbon Black'in 'Veri İleticiler' oluşturma belgelerini izleyin Önerilen ilk seçeneği kullanın. Demet adı girmeniz istendiğinde, önceki adımda oluşturulan demeti kullanın. Her iletici için 'S3 ön eki' eklemeniz gerekecektir, lütfen şu eşlemeyi kullanın:

   Olay türü	S3 ön eki
   Uyarı	karbon-siyah-bulut ileticisi/Uyarılar
   Kimlik Doğrulama Olayları	carbon-black-cloud-forwarder/Auth
   Uç Nokta Olayları	karbon-siyah-bulut ileticisi/Uç Nokta
   İzleme Listesi İsabet	carbon-black-cloud-forwarder/watchlist

2.1. Veri ileticinizi test etme (İsteğe bağlı) Veri ileticinin beklendiği gibi yapılandırıldığını doğrulamak için, Carbon Black'in portalında yeni oluşturduğunuz veri ileticisini arayın ve 'Eylemler' sütununun altındaki 'Test İleticisi' düğmesine tıklayın; bu işlem S3 Demetinde bir 'HealthCheck' dosyası oluşturur ve hemen göründüğünü görmeniz gerekir.

3. Yeni toplayıcıları bağlama AWS S3'ün Microsoft Sentinel için etkinleştirilmesi için 'Yeni toplayıcı ekle' düğmesine tıklayın, gerekli bilgileri doldurun, 1. adımda ARN rolü ve SQS URL'si oluşturulur, doğru SQS URL'sini girmeniz ve açılan listeden uygun olay türünü seçmeniz gerektiğini unutmayın; örneğin Uyarı olaylarını almak istiyorsanız Uyarılar SQS URL'sini kopyalamanız ve 'Uyarılar' olay türünü seçmeniz gerekir açılan menü

• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

AMA aracılığıyla Windows DNS Olayları

Tarafından desteklenir:Microsoft Corporation

Windows DNS günlük bağlayıcısı, Azure İzleme aracısını (AMA) kullanarak windows DNS sunucularınızdaki tüm analiz günlüklerini kolayca filtrelemenize ve Microsoft Sentinel çalışma alanınıza akışla aktarmanıza olanak tanır. Bu verilerin Microsoft Sentinel olması, aşağıdakiler gibi sorunları ve güvenlik tehditlerini belirlemenize yardımcı olur:

• Kötü amaçlı etki alanı adları çözümlenmeye çalışılıyor.
• Eski kaynak kayıtları.
• Sık sorgulanan etki alanı adları ve konuşkan DNS istemcileri.
• DNS sunucusunda gerçekleştirilen saldırılar.

Windows DNS sunucularınıza yönelik aşağıdaki içgörüleri Microsoft Sentinel alabilirsiniz:

• Tüm günlükler tek bir yerde merkezileştirilir.
• DNS sunucularında istek yükü.
• Dinamik DNS kayıt hataları.

Windows DNS olayları Gelişmiş SIEM Bilgi Modeli (ASIM) tarafından desteklenir ve ASimDnsActivityLogs tablosuna veri akışı yapar. Daha fazla bilgi edinin.

Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ASimDnsActivityLogs	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Windows Güvenlik Duvarı

Tarafından desteklenir:Microsoft Corporation

Windows Güvenlik Duvarı, sisteminize İnternet'ten gelen bilgileri filtreleyen ve zararlı olabilecek programları engelleyen bir Microsoft Windows uygulamasıdır. Yazılım çoğu programın güvenlik duvarı üzerinden iletişim kurmasını engeller. Kullanıcılar, güvenlik duvarı üzerinden iletişim kurmasına izin vermek için izin verilen programlar listesine bir program ekler. Genel ağ kullanırken, Windows Güvenlik Duvarı bilgisayarınıza bağlanmaya yönelik tüm istenmeyen girişimleri engelleyerek sistemin güvenliğini de sağlayabilir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

AMA aracılığıyla Windows Güvenlik Duvarı Olayları

Tarafından desteklenir:Microsoft Corporation

Windows Güvenlik Duvarı, sisteminize İnternet'ten gelen bilgileri filtreleyen ve zararlı olabilecek programları engelleyen bir Microsoft Windows uygulamasıdır. Güvenlik duvarı yazılımı çoğu programın güvenlik duvarı üzerinden iletişim kurmasını engeller. Makinelerinizden toplanan Windows Güvenlik Duvarı uygulama günlüklerinizin akışını yapmak için Azure İzleyici aracısını (AMA) kullanarak bu günlükleri Microsoft Sentinel çalışma alanına akışla aktarın.

AMA'nın günlükleri toplaması için oluşturulan veri toplama kuralıyla (DCR) bağlantılı olması için yapılandırılmış bir veri toplama uç noktası (DCE) gerekir. Bu bağlayıcı için, çalışma alanıyla aynı bölgede otomatik olarak bir DCE oluşturulur. Aynı bölgede depolanan bir DCE'yi zaten kullanıyorsanız, varsayılan oluşturulan DCE'yi değiştirebilir ve mevcut DCE'nizi API aracılığıyla kullanabilirsiniz. DCE'ler kaynaklarınızda kaynak adında SentinelDCE ön eki ile bulunabilir.

Daha fazla bilgi için aşağıdaki makalelere bakın:

• Azure İzleyici'de veri toplama uç noktaları
• Microsoft Sentinel belgeleri

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı

Veri toplama kuralı desteği: Şu anda desteklenmiyor

---

Windows İletilen Olaylar

Tarafından desteklenir:Microsoft Corporation

tüm Windows Olay İletme (WEF) günlüklerini Azure İzleyici Aracısı (AMA) kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows Sunucularından akışla aktarabilirsiniz. Bu bağlantı panoları görüntülemenizi, özel uyarılar oluşturmanızı ve araştırmayı geliştirmenizi sağlar. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
WindowsEvent	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

AMA aracılığıyla olayları Windows Güvenliği

Tarafından desteklenir:Microsoft Corporation

Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden tüm güvenlik olaylarının akışını yapabilirsiniz. Bu bağlantı panoları görüntülemenizi, özel uyarılar oluşturmanızı ve araştırmayı geliştirmenizi sağlar. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityEvent	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

WithSecure Elements API'si (Azure İşlevi)

Tarafından desteklenir:WithSecure

WithSecure Elements, riski, karmaşıklığı ve verimsizliği azaltmak için tasarlanmış birleştirilmiş bulut tabanlı siber güvenlik platformudur.

Güvenliğinizi uç noktalarınızdan bulut uygulamalarınıza yükseltin. Hedefli saldırılardan sıfır günlük fidye yazılımına kadar her tür siber tehdide karşı kendinizi kollayın.

WithSecure Elements, tümü tek bir güvenlik merkezi aracılığıyla yönetilen ve izlenen güçlü tahmine dayalı, önleyici ve duyarlı güvenlik özelliklerini birleştirir. Modüler yapımız ve esnek fiyatlandırma modellerimiz size gelişme özgürlüğü verir. Uzmanlığımız ve içgörülerimiz sayesinde her zaman güçleneceksiniz ve asla yalnız kalmayacaksınız.

Microsoft Sentinel tümleştirmesi sayesinde, WithSecure Elements çözümündeki güvenlik olayları verilerini diğer kaynaklardan alınan verilerle ilişkilendirerek ortamınızın tamamına zengin bir genel bakış sağlayabilir ve tehditlere daha hızlı tepki vekleyebilirsiniz.

Bu çözümle Azure İşlev kiracınıza dağıtılır ve WithSecure Elements güvenlik olayları için düzenli aralıklarla yoklama yapılır.

Daha fazla bilgi için şu adreste bulunan web sitemizi ziyaret edin: https://www.withsecure.com.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
WsSecurityEvents_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• WithSecure Elements API istemci kimlik bilgileri: İstemci kimlik bilgileri gereklidir. Daha fazla bilgi edinmek için belgelere bakın.

Kurulum Yönergeleri:

1. WithSecure Elements API kimlik bilgileri oluşturma

Öğeler API'si kimlik bilgileri oluşturmak için kullanıcı kılavuzunu izleyin. Kimlik bilgilerini güvenli bir yere kaydedin.

2. Microsoft Entra uygulama oluşturma

Yeni Microsoft Entra uygulaması ve kimlik bilgileri oluşturun. Dizin (kiracı) Kimliği, Nesne Kimliği, Uygulama (istemci) Kimliği ve İstemci Gizli Anahtarı (istemci kimlik bilgileri alanından) yönergeleri izleyin ve değerleri depolayın. gizli diziyi güvenli bir yerde depolamayı unutmayın.

3. İşlev Uygulamasını Dağıtma

NOT: Bu bağlayıcı, WithSecure Öğeleri'nden günlükleri çekmek için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Microsoft Entra istemci kimlik bilgilerini ve WithSecure Elements API istemci kimlik bilgilerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ÖNEMLİ: WithSecure Elements bağlayıcısını dağıtmadan önce Çalışma Alanı Adı'na (aşağıdakilerden kopyalanabilir), Microsoft Entra (Dizin (kiracı) Kimliği, Nesne Kimliği, Uygulama (istemci) Kimliği ve İstemci Gizli Anahtarı) verilerinin yanı sıra WithSecure Elements istemci kimlik bilgilerine de sahip olun.

• Çalışma Alanı Adı: <yükleme zamanında sağlanan değişken değeri>

Bağlayıcıyla ilgili tüm kaynakları dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Entra İstemci Kimliği, Entra İstemci Gizli Anahtarı, Entra Kiracı Kimliği, Öğeler API İstemci Kimliği, Öğeler API İstemci Gizli Anahtarı girin.

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın. 4. İsteğe bağlı alanları da doldurabilirsiniz: Öğeler API'si URL'si, Altyapı, Altyapı Grubu. Özel bir durumunuz yoksa, Öğeler API'si URL'sinin varsayılan değerini kullanın. Altyapı ve Altyapı Grubu , güvenlik olayları istek parametreleriyle eşlenir, yalnızca belirli bir altyapı veya altyapı grubundan gelen olaylarla ilgileniyorsanız, tüm güvenlik olaylarının alanlardan varsayılan değerlerle ayrılmasını istiyorsanız bu parametreleri doldurun. 5. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 6. Dağıtmak için Satın Al'a tıklayın.

---

Wiz (Azure İşlevleri kullanarak)

Tarafından desteklenir:Wiz

Wiz bağlayıcısı Wiz Sorunlarını, Güvenlik Açığı Bulgularını ve Denetim günlüklerini kolayca Microsoft Sentinel göndermenizi sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL)	Hayır	Hayır
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL)	Hayır	Hayır
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL)	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Wiz Hizmet Hesabı kimlik bilgileri: Wiz hizmet hesabı istemci kimliğinizin ve gizli anahtarınızın, API uç nokta URL'nizin ve kimlik doğrulama URL'nizin olduğundan emin olun. Yönergeler Wiz belgelerinde bulunabilir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı: Wiz Sorunlarını, Güvenlik Açığı Bulgularını ve Denetim Günlüklerini Microsoft Sentinel çekmek için Wiz API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın. Tüm gerekli parametrelerin gizli dizi olarak depolandığı bir Azure Key Vault oluşturur.

ADIM 1 - Wiz kimlik bilgilerinizi alma

Gerekli kimlik bilgilerini almak için Wiz belgelerindeki yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtma

ÖNEMLİ: Wiz Bağlayıcısı'nı dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve önceki adımdaki Wiz kimlik bilgilerine sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1: Azure Resource Manager (ARM) Şablonunu kullanarak dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Aşağıdaki parametreleri girin:

• Yeni kaynaklar için KeyVaultName ve FunctionName'i seçin

• Adım 1'den şu Wiz kimlik bilgilerini girin: WizAuthUrl, WizEndpointUrl, WizClientId ve WizClientSecret

• AzureLogsAnalyticsWorkspaceId ve AzureLogAnalyticsWorkspaceSharedKey Çalışma Alanı kimlik bilgilerini girin

• Microsoft Sentinel göndermek istediğiniz Wiz veri türlerini seçin, Wiz Sorunları, Güvenlik Açığı Bulguları ve Denetim Günlükleri'nden en az birini seçin.

• (isteğe bağlı) IssuesQueryFilter, VulnerbailitiesQueryFilter ve AuditLogsQueryFilter eklemek için Wiz belgelerini izleyin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2: Azure İşlevinin El ile Dağıtımı

Bağlayıcıyı el ile dağıtmak için Wiz belgelerini izleyin.

---

Workday Kullanıcı Etkinliği

Tarafından desteklenir:Microsoft Corporation

Workday Kullanıcı Etkinliği veri bağlayıcısı, Kullanıcı Etkinlik Günlüklerini Workday API'sinden Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ASimAuditEventLogs	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Workday Kullanıcı Etkinliği API'sine erişim: Oauth aracılığıyla Workday kullanıcı etkinliği API'sine erişim gereklidir. API İstemcisi şu kapsama sahip olmalıdır: Sistem ve Sistem Denetimi izinlerine sahip bir hesap tarafından yetkilendirilmesi gerekir.

Kurulum Yönergeleri:

Microsoft Sentinel'da kullanıcı etkinlik günlüklerini toplamaya başlamak için Workday'e bağlanın

1. Workday'de "Kiracı Kurulumunu Düzenle - Güvenlik" görevine erişin, "OAuth 2.0 Ayarları" bölümünü doğrulayın, "OAuth 2.0 İstemcileri Etkin" onay kutusunun işaretlendiğinden emin olun.
2. Workday'de "Kiracı Kurulumunu Düzenle - Sistem" görevine erişin, "Kullanıcı Etkinliği Günlüğü" bölümünü doğrulayın, "Kullanıcı Etkinlik Günlüğünü Etkinleştir" onay kutusunun işaretlendiğinden emin olun.
3. Workday'de "API İstemcisini Kaydet" görevine erişin.
4. İstemci Adını tanımlayın, "İstemci Verme Türü"nü seçin: "Yetkilendirme Kodu Verme" ve ardından "Erişim Belirteci Türü": "Taşıyıcı"
5. Aşağıdaki formda bulunan "Yeniden Yönlendirme URI'sini" girin
6. "Kapsam (İşlevsel Alanlar)" bölümünde "Sistem" öğesini seçin ve alt kısımdaki Tamam'a tıklayın
7. Sayfadan uzaklaşmadan önce İstemci Kimliği ve gizli dizisini kopyalayın ve güvenli bir şekilde depolayın.
8. Sentinel bağlayıcı sayfasında, önceki adımdaki İstemci Kimliği ve İstemci Gizli Anahtarı ile birlikte gerekli Belirteç, Yetkilendirme ve Kullanıcı Etkinlik Günlükleri Uç Noktalarını sağlayın. Ardından "Bağlan"a tıklayın.
9. API istemcisinin OAuth2 kimlik doğrulamasını ve yetkilendirmesini tamamlamak için bir Workday açılır penceresi görüntülenir. Burada Workday'de "Sistem Denetimi" izinlerine sahip Workday hesabı için kimlik bilgilerini sağlamanız gerekir (Workday hesabı veya Tümleştirme Sistemi Kullanıcısı olabilir).
10. Bu işlem tamamlandıktan sonra, API istemcinizi yetkilendirmek için ileti görüntülenir

• Belirteç Uç Noktası: (https://wd2-impl-services1.workday.com/ccx/oauth2/{tenantName}/token)
• Yetkilendirme Uç Noktası: (https://impl.workday.com/{tenantName}/authorize)
• **Kullanıcı Etkinlik Günlükleri Uç Noktası, /activityLogging **: (https://wd2-impl-services1.workday.com/ccx/api/privacy/v1/{tenantName}/activityLogging) ile biter

---

Facebook çalışma alanı (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Workplace veri bağlayıcısı, yaygın Workplace olaylarını Web Kancaları aracılığıyla Microsoft Sentinel alma özelliği sağlar. Web kancaları, özel tümleştirme uygulamalarının Çalışma Alanı'ndaki olaylara abone olmasını ve güncelleştirmeleri gerçek zamanlı olarak almasını sağlar. Çalışma Alanı'nda bir değişiklik gerçekleştiğinde, olay bilgilerini içeren bir HTTPS POST isteği geri arama veri bağlayıcısı URL'sine gönderilir. Daha fazla bilgi için Web kancaları belgelerine bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Workplace_Facebook_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Web Kancaları Kimlik Bilgileri/izinleri: WorkplaceAppSecret, WorkplaceVerifyToken, Geri Çağırma URL'si, çalışan Web kancaları için gereklidir. Web kancalarını yapılandırma, izinleri yapılandırma hakkında daha fazla bilgi edinmek için belgelere bakın.

Kurulum Yönergeleri:

NOT: Bu veri bağlayıcısı, günlüklerini Microsoft Sentinel çekmek üzere günlükleri olan POST isteklerini beklemek için HTTP Tetikleyicisine dayalı Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlevleri Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve WorkplaceFacebook diğer adını arayın ve işlev kodunu yükleyin veya sorgunun ikinci satırına tıklayın, Workplace Facebook cihazlarınızın ana bilgisayar adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

ADIM 1 - Çalışma Alanı için yapılandırma adımları

Web Kancalarını yapılandırmak için yönergeleri izleyin.

1. Yönetici kullanıcı kimlik bilgileriyle Çalışma Alanı'nda oturum açın.
2. Yönetici panelinde Tümleştirmeler'e tıklayın.
3. Tümleştirmeler görünümünde Özel tümleştirme oluştur'a tıklayın
4. Adı ve açıklamayı girin ve Oluştur'a tıklayın.
5. Tümleştirme ayrıntıları panelinde Uygulama gizli dizisini ve kopyalama'yı gösterin.
6. Tümleştirme izinleri yatay penceresinde tüm okuma izinlerini ayarlayın. Ayrıntılar için izin sayfasına bakın.
7. Şimdi Azure İşlevini Dağıtma adımlarını (Seçenek 1 veya 2'de listelenmiştir) izlemek için ADIM 2'ye geçin.
8. İstenen parametreleri girin ve ayrıca tercih edilen bir Belirteç girin. Bu Belirteci kopyalayın / Yaklaşan adım için not edin.
9. Azure İşlevleri dağıtımı başarıyla tamamlandıktan sonra İşlev Uygulaması sayfasını açın, uygulamanızı seçin, İşlevler'e gidin, İşlev URL'sini Al'a tıklayın ve bunu kopyalayın / Yaklaşan adım için not edin.
10. Facebook'den Workplace'e Geri dön. Her Sekmedeki Web kancalarını yapılandır panelinde Geri Arama URL'sini yukarıdaki 9. noktaya kopyaladığınız değerle ayarlayın ve Belirteci, Azure İşlevleri dağıtımının 2. adımı sırasında elde edilen 8. noktaya kopyaladığınız değerle doğrulayın.
11. Kaydet'e tıklayın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevleri dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Çalışma Alanı veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Workplace veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. WorkplaceVerifyToken (herhangi bir ifade olabilir, 1. ADIM için kopyalayıp kaydedebilir), WorkplaceAppSecret ve deploy girin. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın. 6. Açık İşlev Uygulaması sayfasını dağıtdıktan sonra uygulamanızı seçin, İşlevler'e gidin ve İşlev Url'sini al'a tıklayın kopyalayın ve 1. ADIM'dan p.7'yi izleyin.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Sophos Endpoint Protection veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.
3. İlgili dize değerleriyle (büyük/küçük harfe duyarlı) aşağıdaki uygulama ayarlarını tek tek ekleyin: WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

XBOW Güvenlik Platformu (Azure İşlevi aracılığıyla)

Tarafından desteklenir:XBOW

XBOW veri bağlayıcısı, XBOW Güvenlik Platformu'ndan varlık anlık görüntülerini, güvenlik açığı bulgularını ve değerlendirme etkinliğini Microsoft Sentinel alır. bir Azure İşlevi XBOW API'sini bir zamanlayıcıda yoklar ve varlık JSON anlık görüntülerini XbowAssets_CLiçine , zenginleştirilmiş bulgulara (kanıt, PoC tarifleri, etki ve azaltmalarla) ve Azure İzleme Alımı API'sini (DCE/DCR) XbowFindings_CLkullanarak değerlendirme yaşam döngüsü olaylarını içine XbowAssessments_CLgönderir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
XbowAssets_CL	Hayır	Hayır
XbowFindings_CL	Hayır	Hayır
XbowAssessments_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• XBOW API Belirteci: XBOW Kişisel Erişim Belirteci gereklidir. XBOW konsolundaAyarlar > Kişisel Erişim Belirteçleri altında bir tane oluşturun. Belirteci izlemek istediğiniz kuruluşun kapsamına ekleyin.
• XBOW Kuruluş Kimliği: XBOW hesabınızdaki Kuruluş Kimliği. Bunu XBOW konsol URL'sinde veya API aracılığıyla bulun.
• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Gerekirse özel önkoşullar, aksi takdirde bu gümrük etiketini silin: Özel önkoşullar için açıklama
• Azure AD Uygulama Kaydı: Azure AD Uygulama Kaydı (hizmet sorumlusu) gerekir. Veri Toplama Kuralı'nda (DCR) İzleme Ölçümleri Yayımcısı rolünü dağıtımdan sonra bu Uygulama Kaydına el ile atamanız gerekir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı XBOW varlıklarını, bulgularını ve değerlendirmelerini Microsoft Sentinel almak için Azure İşlevleri ve Azure İzleme Alımı API'sini (DCE/DCR) kullanır. ARM şablonu otomatik olarak Veri Toplama Uç Noktası, özel günlük tabloları (XbowAssets_CL, XbowFindings_CLve XbowAssessments_CL), Veri Toplama Kuralı ve İşlev Uygulaması oluşturur. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasını ve Azure İzleme fiyatlandırma sayfasını gözden geçirin.

(İsteğe Bağlı Adım) XBOW API Belirteci ve Uygulama Kaydı kimlik bilgilerinizi Azure Key Vault güvenli bir şekilde depolayın. Azure İşlev Uygulaması ile Azure Key Vault başvuruları kullanmak için bu yönergeleri izleyin.

ADIM 1 – XBOW API Belirteci Oluşturma

1. Yönetici erişimiyle XBOW konsolunda oturum açın.
2. Profil simgenize (sağ üst) tıklayın ve Ayarlar'ı seçin.
3. Sol kenar çubuğunda Kişisel Erişim Belirteçleri'ne tıklayın.
4. Yeni belirteç oluştur'a tıklayın, bir ad girin ve kuruluş kapsamını seçin.
5. Belirtecinizi kopyalayın ve güvenli bir şekilde depolayın; bir daha gösterilmez.
6. Kuruluşunuzu görüntülerken XBOW konsolundan veya URL'den Kuruluş Kimliğinizi not edin.

ADIM 2 – Azure AD Uygulama Kaydı Oluşturma ve DCR Rolü Verme

1. Azure portalı'ndaAzure Active Directory > Uygulama kayıtları > Yeni kayıt'a gidin.
2. Bir ad (ör. Xbow-Sentinel-Connector) girin ve kaydolun.
3. Sertifikalar & gizli diziler altında yeni bir istemci gizli dizisi oluşturun. Kiracı Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarı'nı not edin.
4. Aşağıdaki 3. Adımı kullanarak bağlayıcıyı dağıtın ve buraya dönün.
5. Dağıtılan Veri Toplama Kuralı'nı açın (dağıtım çıkışlarından veya kaynak grubunda arayarak).
6. Erişim denetimi (IAM) > Rol ataması ekle'ye gidin.
7. Rol İzleme Ölçümleri Yayımcısı'nı seçin.
8. Yukarıda oluşturulan Uygulama Kaydı'na (hizmet sorumlusu) erişim atayın.
9. Alımı doğrulamadan önce RBAC yayılması için birkaç dakika bekleyin.

ADIM 3 – Azure İşlev Uygulamasını Dağıtma

Azure için Dağıt'a tıklayın ve parametreleri doldurun. Şablon otomatik olarak Veri Toplama Uç Noktası, XbowAssets_CL, XbowFindings_CLve tabloları, Veri Toplama Kuralı ve XbowAssessments_CL İşlev Uygulaması oluşturur.

aka.ms

Doldurulacak parametreler:

Parametre	Açıklama
WorkspaceName	Log Analytics / Microsoft Sentinel çalışma alanınızın adı
XbowApiToken	1. Adımdan XBOW Kişisel Erişim Belirteci
XbowOrgId	1. Adımdan XBOW Kuruluş Kimliği
TenantId	2. Adımdan Kiracı Kimliğini Azure AD
ClientId	2. Adımdan Uygulama Kaydı İstemci Kimliği
ClientSecret	2. Adımdan Uygulama Kaydı İstemci Gizli Anahtarı
AppInsightsWorkspaceResourceID	Log Analytics çalışma alanının Tam Kaynak Kimliği ( Log Analytics çalışma alanı > Özellikleri'nden)
FunctionAppLocation	İşlev Uygulaması kaynakları için isteğe bağlı Azure bölgesi (varsayılan olarak Kaynak Grubu konumuna ayarlanır)

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>

---

Sıfır Ağlar Segmenti (Anında İletme)

Tarafından desteklenir:Zero Networks

Sıfır Ağlar Segmenti anında iletme bağlayıcısı, Sıfır Ağların Denetimleri, Ağ Etkinliklerini, Kimlik Etkinliklerini ve RPC Etkinliklerini doğrudan Microsoft Sentinel gerçek zamanlı olarak göndermesine olanak tanır. Bir Veri Toplama Kuralı (DCR) ve Microsoft Entra uygulaması oluşturmak için bağlayıcıyı dağıtın; ardından Zero Networks uygulamanızı olayları göndermek için bağlantı ayrıntılarıyla yapılandırın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ZNAudit_CL	Evet	Evet
ZNNetworkActivity_CL	Evet	Evet
ZNIdentityActivity_CL	Evet	Evet
ZNRPCActivity_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft Entra: Microsoft Entra ID'da uygulama kaydı oluşturma izni. Genellikle Entra Kimliği Uygulama Geliştirici rolü veya üzeri gerekir.
• Microsoft Azure: Veri toplama kuralında (DCR) İzleme Ölçümleri Yayımcısı rolü atama izni. Genellikle Azure RBAC Sahibi veya Kullanıcı Erişimi Yöneticisi rolü gerektirir.

Kurulum Yönergeleri:

1. ARM Kaynakları Oluşturma ve Gerekli İzinleri Sağlama

Log Analytics tablosu, Veri Toplama Kuralı (DCR), Veri Toplama Uç Noktası (DCE) ve Microsoft Entra uygulaması oluşturmak için anında iletme bağlayıcısını dağıtın. Ardından Sıfır Ağlar uygulamanızı bağlantı ayrıntılarıyla yapılandırın.

Otomatik Yapılandırma "Dağıt" seçeneğine tıklanması bir DCR ve DCE oluşturur, ardından istemci gizli anahtarıyla bir Microsoft Entra uygulama kaydı oluşturur ve DCR üzerinde izinler verir. Uygulamanız daha sonra OAuth 2.0 istemci kimlik bilgilerini kullanarak verileri güvenli bir şekilde gönderebilir.

2. Sıfır Ağ Uygulamanızı Yapılandırma

Sıfır Ağlar uygulamanızı Denetimler, Ağ Etkinlikleri, Kimlik Etkinlikleri ve RPC Etkinlikleri'ni Microsoft Sentinel göndermek üzere yapılandırmak için aşağıdaki değerleri kullanın.

• Kiracı Kimliği (Dizin Kimliği): <Yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Kimliği: <yükleme zamanında sağlanan değişken değeri>
• Entra Uygulama Gizli Anahtarı: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Uç Noktası URI'si: <yükleme zamanında sağlanan değişken değeri>
• Veri Toplama Kuralı Sabit Kimliği: <yükleme zamanında sağlanan değişken değer>
• Stream: Denetimler: <Yükleme zamanında sağlanan değişken değeri>
• Stream: Ağ Etkinlikleri: <Yükleme zamanında sağlanan değişken değeri>
• Stream: Kimlik Etkinlikleri: <yükleme zamanında sağlanan değişken değeri>
• Stream: RPC Etkinlikleri: <yükleme zamanında sağlanan değişken değeri>

---

Sıfır Ağlar Segment Denetimi

Tarafından desteklenir:Zero Networks

Sıfır Ağlar Segment Denetimi veri bağlayıcısı, REST API aracılığıyla sıfır ağ denetimi olaylarını Microsoft Sentinel alma özelliği sağlar. Bu veri bağlayıcısı yerel Microsoft Sentinel yoklama özelliğini kullanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ZNSegmentAuditNativePoller_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Sıfır Ağlar API Belirteci: REST API için ZeroNetworksAPIToken gereklidir. API Kılavuzu'na bakın ve kimlik bilgilerini alma yönergelerini izleyin.

Kurulum Yönergeleri:

Sıfır Ağları Microsoft Sentinel bağlama

Sıfır Ağlar API'si URL'sini (örneğin portal.zeronetworks.com) girin. Bağlayıcı otomatik olarak https:// ve /api/v1/audit ekler. Ardından API anahtarınızı sağlayın ve Bağlan'a tıklayın.

• Sıfır Ağlar API'si URL'si: (portal.zeronetworks.com)
• ApiKey: (ApiKey)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak
• Veri Bağlayıcıları Kılavuzu (portalda yapılandır)

---

ZeroFox CTI

Tarafından desteklenir:ZeroFox

ZeroFox CTI veri bağlayıcıları, farklı ZeroFox siber tehdit bilgileri uyarılarını Microsoft Sentinel alma özelliği sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ZeroFox_CTI_advanced_dark_web_CL	Hayır	Hayır
ZeroFox_CTI_botnet_CL	Hayır	Hayır
ZeroFox_CTI_breaches_CL	Hayır	Hayır
ZeroFox_CTI_C2_CL	Hayır	Hayır
ZeroFox_CTI_compromised_credentials_CL	Hayır	Hayır
ZeroFox_CTI_credit_cards_CL	Hayır	Hayır
ZeroFox_CTI_dark_web_CL	Hayır	Hayır
ZeroFox_CTI_discord_CL	Hayır	Hayır
ZeroFox_CTI_disruption_CL	Hayır	Hayır
ZeroFox_CTI_email_addresses_CL	Hayır	Hayır
ZeroFox_CTI_exploits_CL	Hayır	Hayır
ZeroFox_CTI_irc_CL	Hayır	Hayır
ZeroFox_CTI_malware_CL	Hayır	Hayır
ZeroFox_CTI_national_ids_CL	Hayır	Hayır
ZeroFox_CTI_phishing_CL	Hayır	Hayır
ZeroFox_CTI_phone_numbers_CL	Hayır	Hayır
ZeroFox_CTI_ransomware_CL	Hayır	Hayır
ZeroFox_CTI_telegram_CL	Hayır	Hayır
ZeroFox_CTI_threat_actors_CL	Hayır	Hayır
ZeroFox_CTI_vulnerabilities_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• ZeroFox API Kimlik Bilgileri/izinleri: ZeroFox Kullanıcı Adı, ZeroFox Kişisel Erişim Belirteci , ZeroFox CTI REST API için gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlükleri Microsoft Sentinel çekmek üzere ZeroFox CTI REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - ZeroFox kimlik bilgilerinin alınması:

Günlüğe kaydetmeyi ayarlamak ve kimlik bilgilerini almak için bu yönergeleri izleyin.

1. ZeroFox'un web sitesinde oturum açın. kullanıcı adınızı ve parolanızı kullanarak 2 - Ayarlar düğmesine tıklayın ve Veri Bağlayıcıları Bölümü'ne gidin. 3 - KULLANıCı adınız ile birlikte kullanılacak kişisel erişim belirtecini almak için API DATA FEEDS sekmesini seçin ve sayfanın en altına gidin, API Bilgileri kutusunda Sıfırla'yı>> seçin<<.

ADIM 2 - Azure Resource Manager şablonunu kullanarak Azure İşlevi veri bağlayıcılarını dağıtın:

ÖNEMLİ: ZeroFox CTI veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği'ne ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Kaynakları dağıtım için hazırlama.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu, Log analytics Çalışma Alanı ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, ZeroFox Kullanıcı Adı, ZeroFox Kişisel Erişim Belirteci girin

5. Dağıtmak için Gözden Geçir + Oluştur'a tıklayın.

---

ZeroFox Enterprise - Uyarılar (CCF Yoklama)

Tarafından desteklenir:ZeroFox

ZeroFox API'sinden uyarılar toplar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ZeroFoxAlertPoller_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• ZeroFox Kişisel Erişim Belirteci (PAT): Bir ZeroFox PAT gereklidir. Bunu Veri Bağlayıcıları API'leri> Veri Akışları'nda alabilirsiniz.

Kurulum Yönergeleri:

ZeroFox'u Microsoft Sentinel bağlama

ZeroFox'u Microsoft Sentinel bağlama

• ZeroFox PAT' nizi sağlayın: (Zerofox PAT)
• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Zimperium Mobile Threat Defense

Tarafından desteklenir:Zimperium

Zimperium Mobile Threat Defense bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Zimperium tehdit günlüğünü Microsoft Sentinel bağlamanızı sağlar. Bu, kuruluşunuzun mobil tehdit ortamı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ZimperiumThreatLog_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Kurulum Yönergeleri:

Zimperium MTD'yi yapılandırma ve bağlama

1. zConsole'da gezinti çubuğunda Yönet'e tıklayın.
2. Tümleştirmeler sekmesine tıklayın.
3. Tehdit Raporlama düğmesine ve ardından Tümleştirme Ekle düğmesine tıklayın.
4. Tümleştirmeyi Oluşturma:

• Kullanılabilir tümleştirmelerden Microsoft Microsoft Sentinel'ı seçin.
• Aşağıdaki alanlardan çalışma alanı kimliğinizi ve birincil anahtarınızı girin, İleri'ye tıklayın.
• Microsoft Sentinel tümleştirmeniz için bir ad girin.
• Microsoft Sentinel göndermek istediğiniz tehdit verileri için bir Filtre Düzeyi seçin.
• Son'a tıklayın

5. Ek yönergeler için lütfen Zimperium müşteri destek portalına bakın.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

Raporları Yakınlaştır (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Yakınlaştırma Raporları veri bağlayıcısı, REST API aracılığıyla Yakınlaştırma Raporları olaylarını Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Zoom_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: Zoom API için AccountID, ClientID ve ClientSecret gereklidir. Daha fazla bilgi için bkz . Yakınlaştırma API'si. Zoom API yapılandırmaları yönergelerini izleyin.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Yakınlaştırma API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve Diğer adı Zoom olarak arayın ve işlev kodunu yükleyin veya buraya tıklayın. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

ADIM 1 - Yakınlaştırma API'sine yönelik yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Yakınlaştırma Raporları veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Yakınlaştırma Denetimi veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. AccountID, ClientID, ClientSecret, WorkspaceID, WorkspaceKey, İşlev Adı girin ve Gözden Geçir + oluştur'a tıklayın. 4. Son olarak dağıtmak için Oluştur'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Yakınlaştırma Raporları veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, ZoomXXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.
3. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: AccountID ClientID ClientSecret WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı) Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.
4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Yakınlaştırma Raporları Bağlayıcısı (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)

Tarafından desteklenir:Microsoft Corporation

Yakınlaştırma Raporları veri bağlayıcısı, Zoom REST API v2 aracılığıyla Yakınlaştırma Raporları verilerini Microsoft Sentinel almanızı sağlayarak kuruluşunuz genelinde Yakınlaştırma kullanımını izlemenize ve denetlemenize olanak tanır. Bu bağlayıcı, kimlik doğrulaması için sunucudan sunucuya OAuth hesabı kimlik bilgilerini kullanır ve toplantı istatistikleri ve kullanım ölçümleri için Günlük Kullanım Raporları, etkin/etkin olmayan kullanıcı konak bilgileri için Kullanıcı Raporları, telefon kullanım istatistikleri için Telefon Raporları, bulut depolama ve kayıt kullanımı için Bulut Kayıt Kullanım Raporları, yönetim işlemleri için İşlem Günlükleri ve denetim izi gibi birden çok rapor türünün alımını destekler. ve Kullanıcı oturum açma/oturum kapatma etkinlikleri için Etkinlik Günlükleri. Her rapor türü, NextPageToken kullanılarak otomatik sayfalandırma desteğine sahip ayrı bir yoklama yapılandırmasında toplanır. Veri bağlayıcısı Microsoft Sentinel Kodsuz Bağlayıcı Çerçevesi'ni temel alır ve iyileştirilmiş sorgu performansı için DCR tabanlı alım süresi dönüşümlerini destekler.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
ZoomV2_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Yakınlaştırma API'sine erişim: Hesap kimlik bilgileriyle Zoom REST API v2 erişimi

Kurulum Yönergeleri:

1. Yakınlaştırma Yapılandırması

Sunucudan Sunucuya OAuth Uygulamasını yapılandırma ve kimlik bilgilerini toplama

1. Adım: Yakınlaştırma Sunucusundan Sunucuya OAuth Uygulamasını ayarlayın, Uygulama oluşturma'yı izleyin. Lütfen uygulamanıza Raporlar ile ilgili kapsamlar eklediğinizden emin olun:

• report:read:list_users:admin
• report:read:cloud_recording:admin
• report:read:daily_usage:admin
• report:read:operation_logs:admin
• report:read:telephone:admin
• report:read:user_activities:admin

Daha fazla bilgi için bkz. Sunucudan Sunucuya OAuth Belgeleri ve Raporlar API'leri.

2. Adım: Uygulama Kimlik Bilgilerinizi Alma

Uygulama kimlik bilgilerinizi (Hesap Kimliği, İstemci Kimliği ve Gizli Anahtar) Zoom Uygulama Marketi'nde sayfanızda Personal app management bulun

Güvenlik Notları

• Hesap Kimliği, İstemci Kimliği ve İstemci Gizli Anahtarını güvenli bir şekilde depolama

• Gelişmiş güvenlik için kimlik bilgilerini düzenli olarak döndürme

  • İstemci Kimliği: (Zoom Uygulaması İstemci Kimliği)
  • İstemci Gizli Anahtarı: (Yakınlaştırma Uygulaması İstemci Gizli Dizisi)
  • Hesap Kimliği: (Yakınlaştırma Hesabı Kimliğiniz)
  • Belirteç Temel URL'si: (https://zoom.us/oauth/token)
  • API Temel URL'si: (https://api.zoom.us/v2)

2. Bağlan

Yakınlaştırma Raporları bağlayıcısını etkinleştirme

Bağlayıcıyı etkinleştirme

2. Adımda bulunan Yakınlaştırma Uygulaması kimlik bilgilerinizi gözden geçirin, ardından bağlayıcının Yakınlaştırma Raporları verilerini toplamaya başlamasını etkinleştirin.

Izleme

Şu sorguları kullanarak veri gelişini denetleyin:

Tüm rapor türlerini denetleyin:

ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType

Belirli bir rapor türünü denetleyin:

ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10

Bağlayıcı durumunu izleme:

ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc

• Bağlantıyı Etkinleştir/Devre Dışı Bırak

---

Kullanım dışı Sentinel veri bağlayıcıları

Not

Aşağıdaki tabloda kullanım dışı bırakılmış ve eski veri bağlayıcıları listelenmiştir. Kullanım dışı bağlayıcılar artık desteklenmiyor.

[Kullanım dışı] Auth0 Günlükleri (Azure İşlevi kullanarak) (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Auth0 Günlükleri (Azure İşlev kullanarak) veri bağlayıcısı, Auth0 günlük olaylarını Microsoft Sentinel alma özelliği sağlar

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Auth0AM_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: API belirteci gereklidir. Daha fazla bilgi için bkz. API belirteci

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Auth0 Yönetim API'lerine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

1. ADIM - Auth0 Yönetim API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

1. Auth0 Panosu'nda Uygulamalar Uygulamaları'na >gidin.
2. Uygulamanızı seçin. Bu, en az okuma:günlükler ve okuma:logs_users izinleriyle yapılandırılmış bir "Makineden Makineye" Uygulaması olmalıdır.
3. Etki Alanı, İstemci Kimliği, İstemci Gizli Dizilerini Kopyalama

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Auth0 Erişim Yönetimi veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Şablonu kullanarak Auth0 Erişim Yönetimi veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. Domain, ClientID, Client Secret, AzureSentinelWorkspaceId, AzureSentinelSharedKey girin. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Auth0 Erişim Yönetimi veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, Auth0AMXXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: ETKİALANI CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

[Kullanım dışı] GitHub Enterprise Denetim Günlüğü

Tarafından desteklenir:Microsoft Corporation

GitHub denetim günlüğü bağlayıcısı, GitHub günlüklerini Microsoft Sentinel alma özelliği sağlar. GitHub denetim günlüklerini Microsoft Sentinel bağlayarak bu verileri çalışma kitaplarında görüntüleyebilir, özel uyarılar oluşturmak için kullanabilir ve araştırma sürecinizi geliştirebilirsiniz.

Not: GitHub abonesi olayları Microsoft Sentinel almak istiyorsanız lütfen "Veri Bağlayıcıları" galerisindeki GitHub (Web Kancalarını kullanarak) Bağlayıcısı'na bakın.

NOT: Bu veri bağlayıcısı kullanım dışı bırakıldı, kullanım dışı bırakılan HTTP Veri Toplayıcı API'siyle alımın yerini alan çözümde bulunan CCF veri bağlayıcısına geçmeyi göz önünde bulundurun.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
GitHubAuditLogPolling_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• GitHub API'sinin kişisel erişim belirteci: Kuruluş denetim günlüğünde yoklamayı etkinleştirmek için bir GitHub kişisel erişim belirtecine ihtiyacınız vardır. 'read:org' kapsamına sahip klasik bir belirteç veya 'Yönetim: Salt okunur' kapsamına sahip ayrıntılı bir belirteç kullanabilirsiniz.
• GitHub Enterprise türü: Bu bağlayıcı yalnızca GitHub Enterprise Cloud ile çalışır; GitHub Enterprise Server'ı desteklemez.

Kurulum Yönergeleri:

GitHub Enterprise Kuruluş düzeyinde Denetim Günlüğü'nü Microsoft Sentinel bağlama

GitHub denetim günlüklerini etkinleştirin. Kişisel erişim belirtecinizi oluşturmak veya bulmak için bu kılavuzu izleyin.

---

[Kullanım dışı] Eski Aracı aracılığıyla Infoblox SOC Insight Veri Bağlayıcısı

Tarafından desteklenir:Infoblox

Infoblox SOC Insight Veri Bağlayıcısı, Infoblox BloxOne SOC Insight verilerinizi Microsoft Sentinel ile kolayca bağlamanızı sağlar. Günlüklerinizi Microsoft Sentinel bağlayarak, her günlük için arama & bağıntı, uyarı ve tehdit bilgileri zenginleştirmelerinden yararlanabilirsiniz.

Bu veri bağlayıcısı, eski Log Analytics aracısını kullanarak Log Analytics Çalışma Alanınıza Infoblox SOC Insight CDC günlüklerini alır.

Microsoft, Infoblox SOC Insight Data Connector'ın AMA Connector aracılığıyla yüklenmesini önerir. Eski bağlayıcı, 31 Ağustos 2024'te kullanımdan kaldırılacak olan ve yalnızca AMA'nın desteklenmediği yerlerde yüklenmesi gereken Log Analytics aracısını kullanır.

MMA ve AMA'nın aynı makinede kullanılması günlük yinelemesine ve ek alım maliyetine neden olabilir. Diğer ayrıntılar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CommonSecurityLog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Kurulum Yönergeleri:

Çalışma Alanı Anahtarları

Playbook'ları bu çözümün bir parçası olarak kullanmak için, kolaylık sağlamak için aşağıda Çalışma Alanı Kimliğinizi ve Çalışma Alanı Birincil Anahtarınızı bulun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Çalışma Alanı Anahtarı: <Yükleme zamanında sağlanan değişken değeri>

Çözümleyicileri

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan InfobloxCDC_SOCInsights olarak adlandırılan beklendiği gibi çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.

SOC İçgörüleri

Bu veri bağlayıcısı Infoblox BloxOne Threat Defense SOC Insights erişiminiz olduğunu varsayar. SOC İçgörüleri hakkında daha fazla bilgiyi burada bulabilirsiniz.

Infoblox Bulut Veri Bağlayıcısı

Bu veri bağlayıcısı, Infoblox Cloud Services Portalı'nda (CSP) bir Infoblox Veri Bağlayıcısı konağı oluşturulduğunu ve yapılandırıldığını varsayar. Infoblox Veri Bağlayıcısı BloxOne Threat Defense'in bir özelliği olduğundan, uygun bir BloxOne Threat Defense aboneliğine erişim gereklidir. Daha fazla bilgi ve lisans gereksinimleri için bu hızlı başlangıç kılavuzuna bakın.

1. Syslog aracı yapılandırmasını Linux

Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve bunları Microsoft Sentinel iletmek için Linux aracısını yükleyin ve yapılandırın.

Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin

1.1 Linux makinesi seçme veya oluşturma

Microsoft Sentinel güvenlik çözümünüz ile bu makinenin şirket içi ortamınızda, Azure veya diğer bulutlarda olabileceğini Microsoft Sentinel ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun.

1.2 CEF toplayıcısını Linux makinesine yükleyin

Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.

• CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

2. Infoblox Cloud Services Portalı'nın içinde Infoblox BloxOne'ı, Syslog aracısına iletmek üzere Infoblox Bulut Veri Bağlayıcısı'na CEF Syslog verileri gönderecek şekilde yapılandırın

Infoblox CDC'yi Linux Syslog aracısı aracılığıyla Microsoft Sentinel'a BloxOne verileri gönderecek şekilde yapılandırmak için aşağıdaki adımları izleyin.

1. Veri Bağlayıcısını Yönet'e >gidin.
2. En üstteki Hedef Yapılandırma sekmesine tıklayın.
3. Syslog Oluştur'a >tıklayın.

• Ad: Yeni Hedefe Microsoft-Sentinel-Destination gibi anlamlı bir ad verin.
• Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
• Durum: Durumu Etkin olarak ayarlayın.
• Biçim: Biçimi CEF olarak ayarlayın.
• FQDN/IP: Linux aracısının yüklü olduğu Linux cihazın IP adresini girin.
• Bağlantı noktası: Bağlantı noktası numarasını 514 olarak bırakın.
• Protokol: Uygunsa istenen protokolü ve CA sertifikayı seçin.
• Kaydet & Kapat'a tıklayın.

4. Üst kısımdaki Trafik Akışı Yapılandırması sekmesine tıklayın.
5. Oluştur'a tıklayın.

• Ad: Yeni Trafik Akışına Microsoft-Sentinel-Flow gibi anlamlı bir ad verin.
• Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
• Durum: Durumu Etkin olarak ayarlayın.
• Hizmet Örneği bölümünü genişletin.
• Hizmet Örneği: Veri Bağlayıcısı hizmetinin etkinleştirildiği istediğiniz Hizmet Örneğini seçin.
• Kaynak Yapılandırması bölümünü genişletin.
• Kaynak: BloxOne Bulut Kaynağı'ı seçin.
• İç Bildirimler Günlük Türü'nü seçin.
• Hedef Yapılandırma bölümünü genişletin.
• Yeni oluşturduğunuz Hedef'i seçin.
• Kaydet & Kapat'a tıklayın.

6. Yapılandırmanın etkinleştirilmesi için biraz zaman tanıyın.

3. Bağlantıyı doğrulama

Bağlantınızı doğrulamak için yönergeleri izleyin:

Günlüklerin CommonSecurityLog şeması kullanılarak alınp alınmadığını denetlemek için Log Analytics'i açın.

Bağlantının verileri çalışma alanınıza aktarması yaklaşık 20 dakika sürebilir.

Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:

1. Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version

2. Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir

• Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:: <yükleme zamanında sağlanan değişken değeri>

**4. Makinenizin güvenliğini sağlama **

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun

Daha fazla bilgi edinin >

---

[Kullanım dışı] IONIX Güvenlik Günlükleri (Anında İletme)

Tarafından desteklenir:IONIX

⚠️ Bu bağlayıcı kullanım dışıdır ve Haziran 2026'da kaldırılacaktır. Lütfen IONIX portalında el ile yapılandırma gerektirmeden otomatik günlük yoklama sağlayan yeni 'IONIX Güvenlik Günlükleri (Kodsuz Bağlayıcı Çerçevesi aracılığıyla)' bağlayıcısını kullanın.

---

IONIX Güvenlik Günlükleri veri bağlayıcısı günlükleri doğrudan IONIX sisteminden Sentinel alır. Bağlayıcı, kullanıcıların verilerini görselleştirmesine, uyarılar ve olaylar oluşturmasına ve güvenlik araştırmalarını iyileştirmesine olanak tanır.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CyberpionActionItems_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• IONIX Aboneliği: IONIX günlükleri için bir abonelik ve hesap gereklidir. Buradan bir tane edinilebilir.

Kurulum Yönergeleri:

IONIX Güvenlik Uyarılarını Sentinel ile tümleştirmek için yönergeleri izleyin.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

---

[Kullanım dışı] Uyanık

Tarafından desteklenir:Lookout

Lookout veri bağlayıcısı, Lookout olaylarını Mobil Risk API'sini kullanarak Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Lookout veri bağlayıcısı, olası güvenlik risklerini ve daha fazlasını incelemeye yardımcı olan olayları alma olanağı sağlar.

NOT: Bu veri bağlayıcısı kullanım dışı bırakıldı, kullanım dışı bırakılan HTTP Veri Toplayıcı API'siyle alımın yerini alan çözümde bulunan CCF veri bağlayıcısına geçmeyi göz önünde bulundurun.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Lookout_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Mobil Risk API'sinde Kimlik Bilgileri/izinleri: Mobil Risk API'sindeEnterpriseName & ApiKey gereklidir. Daha fazla bilgi için bkz. API. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin .

Kurulum Yönergeleri:

NOT: Bu Lookout veri bağlayıcısı, olaylarını Microsoft Sentinel çekmek üzere Mobil Risk API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen LookoutEvents gibi çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.

ADIM 1 - Mobil Risk API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Lookout veri bağlayıcısını ve ilişkili Azure İşlevini dağıtmak için aşağıdaki yönergeleri izleyin

ÖNEMLİ:Lookout veri bağlayıcısının dağıtımına başlamadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Anahtarı'nın hazır olduğundan emin olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Çalışma Alanı Anahtarı: <Yükleme zamanında sağlanan değişken değeri>

Azure Resource Manager (ARM) Şablonu

ARM Şablonu kullanarak Lookout veri bağlayıcısının otomatik dağıtımı için aşağıdaki adımları izleyin.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. İşlev Adı, Çalışma Alanı Kimliği,Çalışma Alanı Anahtarı, Kurumsal Ad & API Anahtarı girin ve dağıtın. 4. Dağıtmak için Oluştur'a tıklayın.

---

[Kullanım dışı] Microsoft Exchange Günlükleri ve Olayları

Tarafından desteklenir:Community

Kullanım dışı bırakıldı, 'ESI-Opt' veri bağlantılarını kullanın. Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden tüm Exchange Denetim olaylarını, IIS Günlüklerini, HTTP Proxy günlüklerini ve Güvenlik Olayı günlüklerini akışla aktarabilirsiniz. Bu bağlantı panoları görüntülemenizi, özel uyarılar oluşturmanızı ve araştırmayı geliştirmenizi sağlar. Bu, Şirket İçi Exchange ortamınızla ilgili güvenlik içgörüleri sağlamak için Microsoft Exchange Güvenlik Çalışma Kitapları tarafından kullanılır

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Event	Evet	Hayır
SecurityEvent	Evet	Evet
W3CIISLog	Evet	Hayır
MessageTrackingLog_CL	Evet	Evet
ExchangeHttpProxy_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Azure Log Analytics kullanım dışı bırakılacaktır ve Azure olmayan VM'lerden veri toplamak için Arc Azure önerilir. Daha fazla bilgi edinin
• Ayrıntılı belgeler: >NOT: Yükleme yordamı ve kullanımıyla ilgili ayrıntılı belgelere buradan ulaşabilirsiniz

Kurulum Yönergeleri:

NOT: Bu çözüm, seçenekleri temel alır. Bu, bazı seçenekler çok yüksek hacimli veriler oluşturaaabildiği için hangi verilerin alınacağını seçmenize olanak tanır. Ne toplamak istediğinize bağlı olarak, Çalışma Kitaplarınızda, Analiz Kurallarınızda, Tehdit Avcılığı özelliklerinizde dağıtacağınız seçenekleri belirlersiniz. Her seçenek birbirinden bağımsızdır. Her seçenek hakkında daha fazla bilgi edinmek için: 'Microsoft Exchange Güvenliği' wiki

1. Microsoft Sentinel için günlükleri toplamak için gereken aracıları indirip yükleyin

Sunucu türü (Exchange Sunucuları, Exchange Sunucuları'na bağlı Etki Alanı Denetleyicileri veya tüm Etki Alanı Denetleyicileri) dağıtmak istediğiniz seçeneğe bağlıdır.

İzleyici Aracılarını Dağıtma

Bu adım yalnızca Exchange Sunucularınızı/Etki Alanı Denetleyicilerinizi ilk kez eklediğinizde gereklidir

Günlükleri toplamak için sunucularınıza yüklemek istediğiniz aracıyı seçin:

[Tercih edilen] Azure Arc aracılığıyla Aracıyı Azure İzleme

Azure Arc Aracısını Dağıtma Daha fazla bilgi edinin

Azure Log Analytics Aracısı yükleme (08.31.2024 tarihinde kullanım dışı)

1. Azure Log Analytics Aracısı'nı indirin ve aşağıdaki bağlantıda dağıtım yöntemini seçin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

2. Belirtilen seçenekleri izleyerek log injestion dağıtma

[Seçenek 1] MS Exchange Yönetim Günlüğü koleksiyonu

MS Exchange Yönetici Denetim olay günlüklerinin akışının nasıl yapılacağını seçme

MS Exchange Yönetici Denetim olay günlükleri

Veri Toplama Kuralları - Azure İzleyici Aracısı kullanıldığında

Veri toplama kuralını etkinleştirme Microsoft Exchange Yönetici Denetim Olayları günlükleri yalnızca Windows aracılarından toplanır.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Adı 've/veya Diğer gerekli alanlar' girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

C. DCR oluşturma, Olay günlüğü yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun, Platform türü olarak Windows'ı seçin ve DCR'ye bir ad verin.
4. Kaynaklar sekmesinde Exchange Sunucuları'nı girin.
5. 'Topla ve teslim et' bölümünde bir Veri Kaynağı türü 'Windows Olay günlükleri' ekleyin ve 'Özel' seçeneğini belirleyin, ifade olarak 'MSExchange Management' yazın ve Ekleyin.
6. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

Veri Toplama Kuralları - Eski Azure Log Analytics Aracısı kullanıldığında

Toplanacak günlükleri yapılandırma

Toplamak istediğiniz Olayları ve önem derecelerini yapılandırın.

1. Çalışma alanı Eski aracı yönetimi'nin altında Windows Olay günlükleri'ne tıklayın.
2. Windows olay günlüğü ekle'ye tıklayın ve günlük adı olarak MSExchange Management yazın.
3. Hata, Uyarı ve Bilgi türlerini toplama
4. Kaydet'e tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

[Seçenek 2] Exchange Sunucularının Güvenlik/Uygulama/Sistem günlükleri

Exchange Sunucularının Güvenlik/Uygulama/Sistem günlüklerinin akışının nasıl yapılacağını seçme

Güvenlik Olay günlüğü koleksiyonu

Veri Toplama Kuralları - Güvenlik Olay günlükleri

Güvenlik Günlükleri için veri toplama kuralını etkinleştirme Güvenlik Olayları günlükleri yalnızca Windows aracılarından toplanır.

1. Kaynaklar sekmesine Exchange Sunucuları ekleyin.
2. Güvenlik günlüğü düzeyini seçin

Ortak düzey , gereken en düşük düzeydir. Lütfen DCR tanımında 'Ortak' veya 'Tüm Güvenlik Olayları' seçeneğini belirleyin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

Uygulama ve Sistem Olay günlüğü koleksiyonu

Veri Toplama Kuralları - Azure İzleyici Aracısı kullanıldığında

Veri toplama kuralını etkinleştirme Uygulama ve Sistem Olayları günlükleri yalnızca Windows aracılarından toplanır.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Adı 've/veya Diğer gerekli alanlar' girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

C. DCR oluşturma, Olay günlüğü yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun, Platform türü olarak Windows'ı seçin ve DCR'ye bir ad verin.
4. Kaynaklar sekmesinde Exchange Sunucuları'nı girin.
5. 'Toplama ve teslim et' bölümünde bir Veri Kaynağı türü 'Windows Olay günlükleri' ekleyin ve 'Temel' seçeneğini belirleyin.
6. Uygulama için 'Kritik', 'Hata' ve 'Uyarı'yı seçin. Sistem için Kritik/Hata/Uyarı/Bilgi'yi seçin.
7. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

Veri Toplama Kuralları - Eski Azure Log Analytics Aracısı kullanıldığında

Toplanacak günlükleri yapılandırma

Toplamak istediğiniz Olayları ve önem derecelerini yapılandırın.

1. Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından Windows Olay günlükleri'ne tıklayın.
2. Windows olay günlüğü ekle'ye tıklayın ve Uygulama'yı günlük adı olarak arayın.
3. Windows olay günlüğü ekle'ye tıklayın ve Sistem'i günlük adı olarak arayın.
4. Hata Topla (tümü için), Uyarı (tümü için) ve Bilgi (Sistem için) türleri
5. Kaydet'e tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

[Seçenek 3 ve 4] Etki Alanı Denetleyicilerinin güvenlik günlükleri

Etki Alanı Denetleyicilerinin Güvenlik günlüklerinin akışının nasıl yapılacağını seçin. Seçenek 3'i uygulamak istiyorsanız, exchange sunucularıyla aynı sitede DC'yi seçmeniz yeterlidir. Seçenek 4'i uygulamak istiyorsanız, ormanınızın tüm DC'lerini seçebilirsiniz.

[Seçenek 3] Sonraki adım için yalnızca Exchange Sunucuları ile aynı sitedeki Etki Alanı Denetleyicilerini listeleme

Bu, alınan veri miktarını sınırlar ancak bazı olaylar algılanamaz.

[Seçenek 4] Sonraki adım için Active-Directory Ormanınızın tüm Etki Alanı Denetleyicilerini listeleme

Bu, tüm güvenlik olaylarının toplanmasına olanak tanır

Güvenlik Olay günlüğü koleksiyonu

Veri Toplama Kuralları - Güvenlik Olay günlükleri

Güvenlik Günlükleri için veri toplama kuralını etkinleştirme Güvenlik Olayları günlükleri yalnızca Windows aracılarından toplanır.

1. Kaynaklar sekmesinde seçili DC'leri ekleyin.
2. Güvenlik günlüğü düzeyini seçin

Ortak düzey , gereken en düşük düzeydir. Lütfen DCR tanımında 'Ortak' veya 'Tüm Güvenlik Olayları' seçeneğini belirleyin.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

[Seçenek 5] Exchange Sunucularının IIS günlükleri

Exchange Sunucularının IIS günlüklerinin akışının nasıl yapılacağını seçme

Veri Toplama Kuralları - Azure İzleyici Aracısı kullanıldığında

Veri toplama kuralını etkinleştirme IIS günlükleri yalnızca Windows aracılarından toplanır.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

DCE ve DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. DCE'nin önerilen adını değiştirebilirsiniz.

4. Dağıtmak için Oluştur'a tıklayın.

B. Veri Bağlantısı Kuralını Dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. 've/veya Diğer gerekli alanlar' Çalışma Alanı Kimliğini girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Azure portalı'ndan Azure Veri toplama Uç Noktası'na gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun ve DCE'ye bir ad verin.
4. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

B. DCR oluşturma, IIS günlüğü yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun, Platform türü olarak Windows'ı seçin ve DCR'ye bir ad verin. Oluşturulan DCE'yi seçin.
4. Kaynaklar sekmesinde Exchange Sunucuları'nı girin.
5. 'Toplama ve teslim etme' bölümünde bir Veri Kaynağı türü 'IIS günlükleri' ekleyin (IIS Günlükleri yolu varsayılan olarak yapılandırılmışsa bir yol girmeyin). 'Veri kaynağı ekle' seçeneğine tıklayın
6. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

Veri Toplama Kuralları - Eski Azure Log Analytics Aracısı kullanıldığında

Toplanacak günlükleri yapılandırma

Toplamak istediğiniz Olayları ve önem derecelerini yapılandırın.

1. Çalışma alanı gelişmiş ayarları Yapılandırma'nın altında Veri'yi ve ardından IIS Günlükleri'yi seçin.
2. W3C biçimli IIS günlük dosyalarını toplama seçeneğini işaretleyin
3. Kaydet'e tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

[Seçenek 6] Exchange Sunucularının İleti İzlemesi

Exchange Sunucularının İleti İzleme akışının nasıl yapılacağını seçme

Veri Toplama Kuralları - Azure İzleyici Aracısı kullanıldığında

Veri toplama kuralını etkinleştirme İleti İzleme yalnızca Windows aracılarından toplanır.

Not: Dikkat, İzleyici Aracısı'ndaki özel günlükler Önizleme aşamasındadır. Dağıtım şu an için beklendiği gibi çalışmıyor (Mart 2023).

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

DCE ve DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. DCE'nin önerilen adını değiştirebilirsiniz.

4. Dağıtmak için Oluştur'a tıklayın.

B. Veri Bağlantı Kuralı ve Özel Tablo Dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. 've/veya Diğer gerekli alanlar' Çalışma Alanı Kimliğini girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Azure portalı'ndan Azure Veri toplama Uç Noktası'na gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun ve DCE'ye ESI-ExchangeServers gibi bir ad verin.
4. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

B. Özel DCR Tablosu Oluşturma

1. Örnek dosyayı Microsoft Sentinel GitHub'dan indirin.

2. Azure portalı'ndan Çalışma Alanı Analizi'ne gidin ve hedef Çalışma Alanınızı seçin.

3. 'Tablolar'a tıklayın, üstteki + Oluştur'a tıklayın ve Yeni Özel günlük (DCR Tabanlı) öğesini seçin.

4. Temel Bilgiler sekmesinde Tablo adına MessageTrackingLog yazın, DCR-Option6-MessageTrackingLogs (örneğin) adlı bir Veri Toplama kuralı oluşturun ve daha önce oluşturulan Veri koleksiyonu Uç Noktasını seçin.

5. Şema ve Dönüştürme sekmesinde indirilen örnek dosyayı seçin ve Dönüştürme Düzenleyicisi'ne tıklayın.

6. Dönüştürme alanına şu KQL isteğini girin: kaynak | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']

7. 'Çalıştır'a ve 'Uygula'ya tıklayın.

8. İleri'ye ve ardından Oluştur'a tıklayın.

C. Oluşturulan DCR'yi değiştirme, Özel Günlük Yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. DCR-Option6-MessageTrackingLogs gibi önceden oluşturulmuş DCR'yi seçin.
3. Kaynaklar sekmesinde Exchange Sunucuları'nı girin.
4. Veri Kaynakları'nda bir Veri Kaynağı türü 'Özel Metin günlükleri' ekleyin ve Tablo Adı'nda 'MessageTrackingLog_CL' dosya desenine 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log' girin. Dönüştürme alanına şu KQL isteğini girin: kaynak | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp 6.in = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
5. 'Veri kaynağı ekle'ye tıklayın.

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

Veri Toplama Kuralları - Eski Azure Log Analytics Aracısı kullanıldığında

Toplanacak günlükleri yapılandırma

1. Çalışma alanı Ayarları bölümü altında Tablolar'ı seçin, + Oluştur'a tıklayın ve Yeni özel günlük (MMA Tabanlı) seçeneğine tıklayın.
2. Örnek dosya MessageTracking Sample'ı seçin ve İleri'ye tıklayın
3. Windows yazın ve C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log yolunu girin. İleri'yi tıklatın.
4. Tablo adı olarak MessageTrackingLog yazın ve İleri'ye tıklayın.
5. Kaydet'e tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

[Seçenek 7] Exchange Sunucularının HTTP Proxy'si

Exchange Sunucularının HTTP Proxy'si akışının nasıl yapılacağını seçme

Veri Toplama Kuralları - Azure İzleyici Aracısı kullanıldığında

Veri toplama kuralını etkinleştirme İleti İzleme yalnızca Windows aracılarından toplanır.

Not: Dikkat, İzleyici Aracısı'ndaki özel günlükler Önizleme aşamasındadır. Dağıtım şu an için beklendiği gibi çalışmıyor (Mart 2023).

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

DCE ve DCR'nin otomatik dağıtımı için bu yöntemi kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. DCE'nin önerilen adını değiştirebilirsiniz.

4. Dağıtmak için Oluştur'a tıklayın.

B. Veri Bağlantısı Kuralını Dağıtma

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. 've/veya Diğer gerekli alanlar' Çalışma Alanı Kimliğini girin.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure Otomasyonu El ile Dağıtımı

Bir Veri Toplama Kuralını el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

C. DCE Oluşturma (Exchange Sunucuları için henüz oluşturulmadıysa)

1. Azure portalı'ndan Azure Veri toplama Uç Noktası'na gidin.
2. Üst kısımdaki + Oluştur'a tıklayın.
3. Temel Bilgiler sekmesinde gerekli alanları doldurun ve DCE'ye bir ad verin.
4. 'Diğer tercih edilebilir yapılandırma değişikliklerini yap', gerekirse Oluştur'a tıklayın.

B. Özel DCR Tablosu Oluşturma

1. Örnek dosyayı Microsoft Sentinel GitHub'dan indirin.
2. Azure portalı'ndan Çalışma Alanı Analizi'ne gidin ve hedef Çalışma Alanınızı seçin.
3. 'Tablolar'a tıklayın, üstteki + Oluştur'a tıklayın ve Yeni Özel günlük (DCR Tabanlı) öğesini seçin.
4. Temel Bilgiler sekmesinde, Tablo adına ExchangeHttpProxy yazın, DCR-Option7-HTTPProxyLogs (örneğin) adlı bir Veri Toplama kuralı oluşturun ve daha önce oluşturulan Veri toplama Uç Noktasını seçin.
5. Şema ve Dönüştürme sekmesinde indirilen örnek dosyayı seçin ve Dönüştürme Düzenleyicisi'ne tıklayın.
6. Dönüştürme alanına aşağıdaki KQL isteğini girin: *source | extend TimeGenerated = todatetime(DateTime) | project-away DateTime

8. 'Çalıştır'a ve 'Uygula'ya tıklayın.
9. İleri'ye ve ardından Oluştur'a tıklayın.

C. Oluşturulan DCR'yi değiştirme, Özel Günlük Yazma

1. Azure portalı'ndan Azure Veri toplama kurallarına gidin.
2. DCR-Option7-HTTPProxyLogs gibi önceden oluşturulmuş DCR'yi seçin.
3. Kaynaklar sekmesinde Exchange Sunucuları'nı girin.
4. Veri Kaynakları'nda bir Veri Kaynağı türü 'Özel Metin günlükleri' ekleyin ve Tablo Adı'nda 'ExchangeHttpProxy_CL' dosya desenine 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log' girin. Dönüştürme 6.in şu KQL isteğini girin: source | extend TimeGenerated = todatetime(DateTime) | project-away DateTime
5. 'Veri kaynağı ekle'ye tıklayın.

DCR'yi tüm Exchange Sunucularına atama

Tüm Exchange Sunucularınızı DCR'ye ekleme

Veri Toplama Kuralları - Eski Azure Log Analytics Aracısı kullanıldığında

Toplanacak günlükleri yapılandırma

1. Çalışma alanı Ayarları bölümü altında Tablolar'ı seçin, + Oluştur'a tıklayın ve Yeni özel günlük (MMA Tabanlı) seçeneğine tıklayın.
2. Örnek dosya MessageTracking Sample'ı seçin ve İleri'ye tıklayın
3. Windows yazın ve C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log, C:\Program Files\Microsoft\Exchange Server\V15\ Logging\HttpProxy\Oab*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log ve C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log. İleri'yi tıklatın.
4. Tablo adı olarak ExchangeHttpProxy yazın ve İleri'ye tıklayın.
5. Kaydet'e tıklayın.

• Yükleme Aracısı: <Yükleme zamanında sağlanan değişken değeri>

NOT: Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Ayrıştırıcılar çözümle otomatik olarak dağıtılır. Kusto İşlevleri diğer adını oluşturmak için adımları izleyin: ExchangeAdminAuditLogs

Çözüm dağıtımı sırasında ayrıştırıcılar otomatik olarak dağıtılır. El ile dağıtmak istiyorsanız aşağıdaki adımları izleyin

El ile Ayrıştırıcı Dağıtımı

1. Ayrıştırıcı dosyasını indirin

ExchangeAdminAuditLogs dosyasının en son sürümü

2. Ayrıştırıcı ExchangeAdminAuditLogs işlevi oluşturma

Microsoft Sentinel log analytics'inizin 'Günlükler' gezgininde dosyanın içeriğini Günlük gezginine kopyalayın

3. Ayrıştırıcı ExchangeAdminAuditLogs işlevini kaydetme

Kaydet düğmesine tıklayın. Bu ayrıştırıcı için parametre gerekmez. Yeniden kaydet'e tıklayın.

---

[Kullanım dışı] Okta Tek Sign-On (Azure İşlevi kullanarak) (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Okta Tek Sign-On (SSO) (Azure İşlevi kullanarak) bağlayıcısı, Denetim ve olay günlüklerini Okta API'sinden Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, panoları görüntülemek, özel uyarılar oluşturmak ve izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel bu günlük türlerine görünürlük sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Okta_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• Okta API Belirteci: Okta API Belirteci gereklidir. Okta Sistem Günlüğü API'si hakkında daha fazla bilgi edinmek için belgelere bakın.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Okta SSO'ya bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

NOT: Bu bağlayıcı güncelleştirildi, daha önce önceki bir sürümü dağıttıysanız ve güncelleştirmek istiyorsanız, lütfen bu sürümü yeniden dağıtmadan önce mevcut Okta Azure İşlevini silin.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - Okta SSO API'sinin yapılandırma adımları

API Belirteci oluşturmak için bu yönergeleri izleyin.

Not - Okta tarafından uygulanan hız sınırı kısıtlamaları hakkında daha fazla bilgi için lütfen belgelere bakın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Okta SSO bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve okta SSO API Yetkilendirme Belirteci'ne sahip olun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Bu yöntem, ARM Tempate kullanarak Okta SSO bağlayıcısının otomatik dağıtımını sağlar.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, API Belirteci ve URI girin.

• Değer için aşağıdaki şemayı uri kullanın: https://<OktaDomain>/api/v1/logs?since= değerini etki alanınızla değiştirin <OktaDomain> . Okta etki alanı ad alanınızı tanımlama hakkında daha fazla bilgi için buraya tıklayın. URI'ye saat değeri eklemeye gerek yoktur, İşlev Uygulaması günlüklerin ilk başlangıç saatini geçerli UTC tarihi için UTC 0:00'a dinamik olarak doğru biçimde URI'ye saat değeri olarak ekler.
• Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Okta SSO bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
3. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
4. Aşağıdaki beş (5) uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: apiToken workspaceID workspaceKey uri logAnalyticsUri (isteğe bağlı)

• Değer için aşağıdaki şemayı uri kullanın: https://<OktaDomain>/api/v1/logs?since= değerini etki alanınızla değiştirin <OktaDomain> . Okta etki alanı ad alanınızı tanımlama hakkında daha fazla bilgi için buraya tıklayın. URI'ye saat değeri eklemeye gerek yoktur, İşlev Uygulaması günlüklerin ilk başlangıç saatini geçerli UTC tarihi için UTC 0:00'a dinamik olarak doğru biçimde URI'ye saat değeri olarak ekler.
• Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.
• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://< CustomerId.ods.opinsights.azure.us>.

5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

[Kullanım dışı] SentinelOne (Azure İşlevi kullanarak) (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

SentinelOne veri bağlayıcısı Tehditler, Aracılar, Uygulamalar, Etkinlikler, İlkeler, Gruplar gibi yaygın SentinelOne sunucu nesnelerini REST API aracılığıyla Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için API belgelerine https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview bakın. Bağlayıcı olası güvenlik risklerini değerlendirmek, işbirliğini izlemek ve yapılandırma sorunlarını tanılamak ve gidermek için olay alma olanağı sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SentinelOne_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: SentinelOneAPIToken gereklidir. üzerinde API hakkında daha fazla bilgi edinmek için belgelere https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewbakın.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere SentinelOne API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve SentinelOne diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

ADIM 1 - SentinelOne API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

1. Yönetici kullanıcı kimlik bilgileriyle SentinelOne Yönetim Konsolu'nda oturum açın.
2. Yönetim Konsolu'nda Ayarlar'a tıklayın.
3. AYARLAR görünümünde KULLANICILAR'a tıklayın
4. Yeni Kullanıcı'ya tıklayın.
5. Yeni konsol kullanıcısının bilgilerini girin.
6. Rol'de Yönetici'ı seçin.
7. KAYDET'e tıklayın
8. Veri bağlayıcısında kullanmak üzere yeni kullanıcının kimlik bilgilerini kaydedin.

NOT :- Yönetici erişim özel roller kullanılarak temsilci seçilebilir. Özel RBAC hakkında daha fazla bilgi edinmek için lütfen SentinelOne belgelerini gözden geçirin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: SentinelOne veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak SentinelOne Denetim veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. SentinelOneAPIToken, SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

SentinelOne Raporları veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'ı başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız, Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Oturum aç'ı seçerek Azure Oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'de yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, SOneXXXXXX).

   e. Çalışma zamanı seçin: Python 3.11'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan ve dağıtım paketi uygulandıktan sonra bir bildirim görüntülenir.

7. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.

8. İşlev Uygulamasını Yapılandırma

9. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

10. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.

11. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

[Kullanım dışı] Sophos Endpoint Protection (Azure İşlevi kullanarak) (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft Corporation

Sophos Endpoint Protection veri bağlayıcısı, Sophos olaylarını Microsoft Sentinel alma özelliği sağlar. Daha fazla bilgi için Sophos Central Yönetici belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SophosEP_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• REST API Kimlik Bilgileri/izinleri: API belirteci gereklidir. Daha fazla bilgi için bkz. API belirteci

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere Sophos Central API'lerine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen SophosEPEvent işlevinin çalışması için Kusto İşlevini temel alan ayrıştırıcıya bağlıdır.

ADIM 1 - Sophos Central API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

1. Sophos Central Yönetici'da Genel Ayarlar > API Belirteç Yönetimi'ne gidin.
2. Yeni belirteç oluşturmak için ekranın sağ üst köşesinden Belirteç ekle'ye tıklayın.
3. Bir belirteç adı seçin ve Kaydet'e tıklayın. Bu belirtecin API Belirteci Özeti görüntülenir.
4. API Erişim URL'nizi + Üst Bilgileri API Belirteci Özeti bölümünden panonuza kopyalamak için Kopyala'ya tıklayın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Sophos Endpoint Protection veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Sophos Endpoint Protection veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. Sophos API Erişim URL'si ve Üst Bilgileri, AzureSentinelWorkspaceId, AzureSentinelSharedKey girin. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Sophos Endpoint Protection veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Adım - İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. Adım - İşlev Uygulamasını Yapılandırma

1. İşlev Uygulaması yapılandırması için Azure portalı'na gidin.
2. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
3. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.
4. İlgili dize değerleriyle (büyük/küçük harfe duyarlı) aşağıdaki uygulama ayarlarının her birini tek tek ekleyin: SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

5. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

[Kullanım dışı] VMware Carbon Black Cloud (Azure İşlevi kullanılarak) (Azure İşlevleri kullanarak)

Tarafından desteklenir:Microsoft

VMware Carbon Black Cloud bağlayıcısı, Karbon Siyahı verilerini Microsoft Sentinel alma özelliği sağlar. Bağlayıcı, panoları görüntülemek, özel uyarılar oluşturmak ve izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel Denetim, Bildirim ve Olay günlüklerine görünürlük sağlar.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
CarbonBlackEvents_CL	Hayır	Hayır
CarbonBlackNotifications_CL	Hayır	Hayır
CarbonBlackAuditLogs_CL	Hayır	Hayır

Veri toplama kuralı desteği: Şu anda desteklenmiyor

Önkoşullar:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Daha fazla bilgi için bkz. Azure İşlevleri.
• VMware Carbon Black API Anahtarları: Karbon Siyah API'leri ve/veya SIEM Düzeyi API Anahtarları gereklidir. Karbon Siyahı API'si hakkında daha fazla bilgi edinmek için belgelere bakın.
• Denetim ve Olay günlükleri için Karbon Siyah API erişim düzeyi API Kimliği ve Anahtarı gereklidir.
• Bildirim uyarıları için Karbon Siyah SIEM erişim düzeyi API Kimliği ve Anahtarı gereklidir.
• Amazon S3 REST API Kimlik Bilgileri/izinleri: AMAZON S3 REST API'si için AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, AWS S3 Bucket Adı, AWS S3 Demetindeki Klasör Adı gereklidir.

Kurulum Yönergeleri:

NOT: Bu bağlayıcı, günlüklerini Microsoft Sentinel çekmek üzere VMware Carbon Black'e bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - VMware Carbon Black API yapılandırma adımları

API Anahtarı oluşturmak için bu yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: VMware Carbon Black bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve VMware Carbon Black API Yetkilendirme Anahtarlarını(lar) hazır bulundurun.

• Çalışma Alanı Kimliği: <Yükleme zamanında sağlanan değişken değeri>
• Birincil Anahtar: <Yükleme zamanında sağlanan değişken değeri>

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Bu yöntem, ARM Tempate kullanarak VMware Carbon Black bağlayıcısının otomatik dağıtımını sağlar.

1. Aşağıdaki Azure dağıt düğmesine tıklayın.

   aka.msaka.ms

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, Günlük Türleri, API Kimlikleri, API Anahtarları, Karbon Siyah Kuruluş Anahtarı, S3 Demet Adı, AWS Erişim Anahtarı Kimliği, AWS Gizli Erişim Anahtarı, EventPrefixFolderName,AlertPrefixFolderName girin ve URI'yi doğrulayın.

• Bölgenize karşılık gelen URI'yi girin. API URL'lerinin tam listesi burada bulunabilir
• Varsayılan Zaman Aralığı , verilerin son beş (5) dakikasını çekecek şekilde ayarlanır. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisi'nin uygun şekilde değiştirilmesi önerilir (function.json dosyasında dağıtım sonrası).
• Carbon Black, Bildirim uyarılarını almak için ayrı bir API Kimliği/Anahtarları kümesi gerektirir. SIEM API Kimliği/Anahtar değerlerini girin veya gerekli değilse boş bırakın.
• Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.

4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

VMware Carbon Black bağlayıcısını Azure İşlevleri ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Oluşturma

2. Azure portalı'ndan İşlev Uygulaması'na gidin ve + Ekle'yi seçin.

3. Temel Bilgiler sekmesinde Çalışma zamanı yığınının Powershell Core olarak ayarlandığından emin olun.

4. Barındırma sekmesinde Tüketim (Sunucusuz) plan türünün seçili olduğundan emin olun.

5. Gerekirse diğer tercih edilebilir yapılandırma değişikliklerini yapın ve Oluştur'a tıklayın.

6. İşlev Uygulama Kodunu İçeri Aktar

7. Yeni oluşturulan İşlev Uygulamasında sol bölmedeki İşlevler'i seçin ve + Ekle'ye tıklayın.

8. Zamanlayıcı Tetikleyicisi'ne tıklayın.

9. Benzersiz bir İşlev Adı girin ve gerekirse cron zamanlamasını değiştirin. Varsayılan değer, İşlev Uygulamasını 5 dakikada bir çalıştıracak şekilde ayarlanır. (Not: Zamanlayıcı tetikleyicisi, çakışan verileri önlemek için aşağıdaki değerle eşleşmelidir timeInterval ), Oluştur'a tıklayın.

10. Sol bölmede Kod + Test'e tıklayın.

11. İşlev Uygulama Kodu'nu kopyalayın ve İşlev Uygulaması run.ps1 düzenleyicisine yapıştırın.

12. Kaydet'e tıklayın.

13. İşlev Uygulamasını Yapılandırma

14. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.

15. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

16. Aşağıdaki on üç uygulama ayarlarının her birini tek tek on altı (13-16) uygulama ayarına ekleyin, ilgili dize değerleriyle (büyük/küçük harfe duyarlı): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (İsteğe bağlı) SIEMapiKey (İsteğe bağlı) logAnalyticsUri (isteğe bağlı)

• Bölgenize karşılık gelen URI'yi girin. API URL'lerinin tam listesine buradan ulaşabilirsiniz. Değerin uri aşağıdaki şemayı izlemesi gerekir: https://<API URL>.conferdeploy.net - URI'ye bir zaman soneki eklemeniz gerekmez, İşlev Uygulaması saat değerini URI'ye dinamik olarak uygun biçimde ekler.
• timeInterval (dakika cinsinden) değerini varsayılan değerine 5 ayarlayarak her 5 dakikanın varsayılan Zamanlayıcı Tetikleyicisine karşılık gelir. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisinin uygun şekilde değiştirilmesi önerilir.
• Carbon Black, Bildirim uyarılarını almak için ayrı bir API Kimliği/Anahtarları kümesi gerektirir. SIEMapiId Gerekirse ve SIEMapiKey değerlerini girin veya gerekli değilse atlayın.
• Not: Azure Key Vault kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Daha fazla ayrıntı için Key Vault başvuru belgelerine bakın.
• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri aşağıdaki biçimde belirtin:https://<CustomerId>.ods.opinsights.azure.us

4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

---

Island Enterprise Browser Yönetici Olayları (Eski)

Tarafından desteklenir:Island

Bu eski bir bağlayıcıdır ve artık önerilmez. Lütfen tek bir bağlayıcıdaki kullanıcı, yönetici ve sistem olaylarını destekleyen Island Enterprise Browser V2 Veri Bağlayıcısı'nı kullanın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Island_Admin_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Ada API Anahtarı: Ada API anahtarı gereklidir.

Kurulum Yönergeleri:

Ada'yı Microsoft Sentinel'a bağlama

Bu eski bir bağlayıcıdır. Tam kurulum yönergeleri için resmi Ada belgelerine bakın (Ada Yönetim Konsolu'nda oturum açmanız gerekir).

---

Island Enterprise Browser Kullanıcı Olayları (Eski)

Tarafından desteklenir:Island

Bu eski bir bağlayıcıdır ve artık önerilmez. Lütfen tek bir bağlayıcıdaki kullanıcı, yönetici ve sistem olaylarını destekleyen Island Enterprise Browser V2 Veri Bağlayıcısı'nı kullanın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Island_User_CL	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

Önkoşullar:

• Ada API Anahtarı: Ada API anahtarı gereklidir.

Kurulum Yönergeleri:

Ada'yı Microsoft Sentinel'a bağlama

Bu eski bir bağlayıcıdır. Tam kurulum yönergeleri için resmi Ada belgelerine bakın (Ada Yönetim Konsolu'nda oturum açmanız gerekir).

---

Eski Aracı Aracılığıyla Güvenlik Olayları

Tarafından desteklenir:Microsoft Corporation

Windows aracısını kullanarak Microsoft Sentinel çalışma alanınıza bağlı Windows makinelerinden tüm güvenlik olaylarının akışını yapabilirsiniz. Bu bağlantı panoları görüntülemenizi, özel uyarılar oluşturmanızı ve araştırmayı geliştirmenizi sağlar. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityEvent	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Bulut için abonelik tabanlı Microsoft Defender (Eski)

Tarafından desteklenir:Microsoft Corporation

Bulut için Microsoft Defender, Azure, hibrit ve çok bulutlu iş yüklerindeki tehditleri algılamanızı ve hızlı bir şekilde yanıtlamanızı sağlayan bir güvenlik yönetimi aracıdır. Bu bağlayıcı, güvenlik uyarılarınızı Bulut için Microsoft Defender'dan Microsoft Sentinel'a akışla aktarmanıza olanak tanır; böylece çalışma kitaplarındaki Defender verilerini görüntüleyebilir, uyarı oluşturmak için sorgulayabilir, olayları araştırıp yanıtlayabilirsiniz.

Daha fazla bilgi için>

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
SecurityAlert	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Eski Aracı aracılığıyla Syslog

Tarafından desteklenir:Microsoft Corporation

Syslog, Linux yaygın olarak kullanılan bir olay günlüğü protokolüdür. Uygulamalar yerel makinede depolanabilen veya bir Syslog toplayıcısına teslim edilebilen iletiler gönderir. Linux aracısı yüklendiğinde, yerel Syslog daemon'unu iletileri aracıya iletecek şekilde yapılandırılır. Aracı daha sonra iletiyi çalışma alanına gönderir.

Daha fazla bilgi edinin >

Log Analytics tabloları:

Tablo	DCR desteği	Yalnızca göl alımı
Syslog	Evet	Evet

Veri toplama kuralı desteği:Çalışma alanı dönüşümü DCR

---

Sonraki adımlar

Daha fazla bilgi için bkz.:

• Microsoft Sentinel çözüm kataloğu
• Microsoft Sentinel'de tehdit bilgileri tümleştirmesi