Microsoft Sentinel'de analiz kurallarınız için ince ayar önerileri alma

Önemli

Özel algılamalar artık Microsoft Sentinel SIEM Microsoft Defender XDR genelinde yeni kurallar oluşturmanın en iyi yoludur. Özel algılamalarla veri alımı maliyetlerini azaltabilir, sınırsız gerçek zamanlı algılama elde edebilir ve otomatik varlık eşlemesi ile Defender XDR verileri, işlevleri ve düzeltme eylemleriyle sorunsuz tümleştirmeden yararlanabilirsiniz. Daha fazla bilgi için bu blogu okuyun.

Önemli

Algılama ayarı şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya henüz genel kullanıma sunulmamış Azure özellikler için geçerli olan ek yasal koşullar için Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları'na bakın.

SIEM'inizdeki tehdit algılama kurallarının ince ayarlanması, tehdit algılama kapsamınızı en üst düzeye çıkarmak ve hatalı pozitif oranları en aza indirmek arasında zor, hassas ve sürekli bir dengeleme süreci olabilir. Microsoft Sentinel, makine öğrenmesini kullanarak hem veri kaynaklarınızdan gelen milyarlarca sinyali hem de zaman içindeki olaylara verilen yanıtları analiz ederek, desenleri tetikleyerek ve ayarlama ek yükünüzü önemli ölçüde azaltabilecek eyleme dönüştürülebilir öneriler ve içgörüler sağlayarak ve gerçek tehditleri algılamaya ve yanıtlamaya odaklanmanıza olanak tanıyarak bu süreci basitleştirir ve kolaylaştırır.

Ayarlama önerileri ve içgörüleri artık analiz kurallarınızda yerleşik olarak bulunur. Bu makalede bu içgörülerin ne gösterdiği ve önerileri nasıl uygulayabileceğiniz açıklanmaktadır.

Kural içgörülerini görüntüleme ve önerileri ayarlama

Microsoft Sentinel analiz kurallarınızdan herhangi biri için herhangi bir ayarlama önerisi olup olmadığını görmek için Microsoft Sentinel gezinti menüsünden Analiz'i seçin.

Önerileri olan tüm kurallar, burada gösterildiği gibi bir ampul simgesi görüntüler:

Öneri göstergesiyle analiz kurallarının listesinin ekran görüntüsü.

Diğer içgörülerle birlikte önerileri görüntülemek için kuralı düzenleyin. Analiz kuralı sihirbazının Kural mantığını ayarla sekmesinde, Sonuçlar benzetimi görüntüsünün altında birlikte görünürler.

Analiz kuralındaki içgörüleri ayarlama ekran görüntüsü.

İçgörü türleri

Ayarlama içgörüleri ekranı, kaydırabileceğiniz veya çekebileceğiniz ve her biri farklı bir şey gösteren çeşitli bölmelerden oluşur. İçgörülerin görüntülendiği zaman çerçevesi (14 gün) çerçevenin en üstünde gösterilir.

  1. İlk içgörü bölmesinde bazı istatistiksel bilgiler görüntülenir. Olay başına uyarı sayısı, açık olay sayısı ve kapalı olayların sayısı sınıflandırmaya göre gruplandırılır (doğru/yanlış pozitif). Bu içgörü, bu kural üzerindeki yükü anlamanıza ve herhangi bir ayarlamanın gerekli olup olmadığını anlamanıza yardımcı olur . Örneğin gruplandırma ayarlarının ayarlanması gerekip gerekmediğini anlayabilirsiniz.

    Kural verimliliği içgörüsünün ekran görüntüsü.

    Bu içgörü, Log Analytics sorgusunun sonucudur. Olay başına ortalama uyarıların seçilmesi sizi Log Analytics'te içgörü oluşturan sorguya götürür. Olayları aç'ı seçtiğinizde Olaylar dikey penceresi açılır.

  2. İkinci içgörü bölmesi, dışlanacak varlıkların listesini önerir. Bu varlıklar, kapattığınız olaylarla yüksek oranda ilişkilidir ve hatalı pozitif olarak sınıflandırılır. Listelenen her varlığın yanındaki artı işaretini seçerek bu kuralın gelecekteki yürütmelerinde sorgunun dışında tutun.

    Varlık dışlama önerisinin ekran görüntüsü.

    Bu öneri, Microsoft'un gelişmiş veri bilimi ve makine öğrenmesi modelleri tarafından oluşturulur. Bu bölmenin Ayarlama içgörüleri ekranına eklenmesi, gösterilecek önerilerin olmasına bağlıdır.

  3. Üçüncü içgörü bölmesi, bu kural tarafından oluşturulan tüm uyarılarda en sık görüntülenen dört eşlenmiş varlığı gösterir. Herhangi bir sonuç elde etmek için bu içgörü için kuralda varlık eşlemesi yapılandırılmalıdır. Bu içgörü, "öne çıkanları" ve dikkatleri diğer varlıklardan uzaklaştıran varlıkları fark etmenize yardımcı olabilir. Bu varlıkları farklı bir kuralda ayrı ayrı işlemek isteyebilir veya bunların hatalı pozitif veya başka bir kirlilik olduğuna karar verebilir ve bunları kuraldan dışlayabilirsiniz.

    En önemli varlıklar içgörülerinin ekran görüntüsü.

    Bu içgörü, Log Analytics sorgusunun sonucudur. Varlıklardan herhangi birini seçtiğinizde, sizi Log Analytics'te içgörü oluşturan sorguya götürür.

Sonraki adımlar

Daha fazla bilgi için bkz.:

  • Last updated on