Toplanan verileri görselleştirme

  • Makale

Bu makalede, Microsoft Sentinel'i kullanarak ortamınızda neler olup bittiğini hızla görüntülemeyi ve izlemeyi öğreneceksiniz. Veri kaynaklarınızı Microsoft Sentinel'e bağladıktan sonra, tüm bağlı veri kaynaklarınızda neler olduğunu öğrenebilmeniz için anında görselleştirme ve veri analizi elde edersiniz. Microsoft Sentinel, size Azure'da zaten mevcut olan araçların tüm gücünü sağlayan çalışma kitaplarının yanı sıra günlükleriniz ve sorgularınız için analiz sağlamak üzere yerleşik tablolar ve grafikler sağlar. Çalışma kitabı şablonlarını kullanabilir veya sıfırdan veya var olan bir çalışma kitabını temel alarak kolayca yeni bir çalışma kitabı oluşturabilirsiniz.

Görselleştirme alma

Ortamınızda olup bitenleri görselleştirmek ve analiz etmek için öncelikle genel bakış panosuna göz atarak kuruluşunuzun güvenlik duruşu hakkında bir fikir edinin. Microsoft Sentinel, gürültüyü azaltmanıza ve gözden geçirip araştırmanız gereken uyarı sayısını en aza indirmenize yardımcı olmak için uyarıları olaylarla ilişkilendirmek için bir füzyon tekniği kullanır. Olaylar, birlikte araştırıp çözebileceğiniz eyleme dönüştürülebilir bir olay oluşturan ilgili uyarı gruplarıdır.

Azure portalında Microsoft Sentinel'i ve ardından izlemek istediğiniz çalışma alanını seçin.

Screenshot of the Microsoft Sentinel overview page.

Panonun tüm bölümleri için verileri yenilemek istiyorsanız, panonun üst kısmındaki Yenile'yi seçin. Performansı artırmak için, panonun her bölümü için veriler önceden hesaplanır ve yenileme süresini her bölümün en üstünde görebilirsiniz.

Olay verilerini görüntüleme

Olaylar altında farklı türlerde olay verileri görürsünüz.

Screenshot of the Incidents section in the Microsoft Sentinel Overview page.

  • Sol üst kısımda son 24 saat içindeki yeni, etkin ve kapalı olay sayısını görürsünüz.
  • Sağ üst kısımda önem derecesine göre düzenlenmiş olayları ve sınıflandırmayı kapatarak kapatılan olayları görürsünüz.
  • Sol alttaki grafik, olay durumunu oluşturma zamanına göre dört saatlik aralıklarla ayırır.
  • Sağ alt kısımda, SOC verimliliği çalışma kitabına bir bağlantıyla bir olayı kabul etmek için ortalama süreyi ve ortalama kapanma süresini görebilirsiniz.

Otomasyon verilerini görüntüleme

Otomasyon altında farklı türlerde otomasyon verileri görürsünüz.

Screenshot of the Automation section in the Microsoft Sentinel Overview page.

  • En üstte otomasyon kuralları etkinliğinin özetini görürsünüz: Otomasyon tarafından kapatılan olaylar, otomasyonun kaydedildiği zaman ve ilgili playbook'ların durumu.
  • Özetin altında, bir grafik otomasyon tarafından gerçekleştirilen eylem sayısını eylem türüne göre özetler.
  • En altta, otomasyon dikey penceresinin bağlantısıyla etkin otomasyon kurallarının sayısını bulabilirsiniz.

Veri kayıtlarının, veri toplayıcıların ve tehdit bilgilerinin durumunu görüntüleme

Veri kayıtları, veri toplayıcıları ve tehdit bilgileriyle ilgili farklı veri türlerini Veriler altında görürsünüz.

Screenshot of the Data section in the Microsoft Sentinel Overview page.

  • Sol taraftaki grafikte, Microsoft Sentinel'in son 24 saat içinde topladığı kayıtların sayısı, önceki 24 saatle karşılaştırıldığında ve bu dönemde algılanan anomaliler gösterilir.
  • Sağ üst kısımda veri bağlayıcısı durumunun iyi durumda olmayan ve etkin bağlayıcılara bölünmüş bir özetini görürsünüz. İyi durumda olmayan bağlayıcılar , kaç bağlayıcıda hata olduğunu gösterir. Etkin bağlayıcılar , bağlayıcıya dahil edilen bir sorgu tarafından ölçüldükçe Microsoft Sentinel'e veri akışı yapılan bağlayıcılardır.
  • Microsoft Sentinel'de tehdit bilgileri kayıtlarını, güvenliğin aşılmış olduğunu gösteren göstergeyle sağ altta görebilirsiniz.

Analiz verilerini görüntüleme

Analiz kurallarıyla ilgili verileri Analiz altında görürsünüz.

Screenshot of the Analytics section in the Microsoft Sentinel Overview page.

Microsoft Sentinel'de etkin, devre dışı veya otomatik devre dışı durumuna göre analiz kurallarının sayısını görürsünüz.

Çalışma kitabı şablonlarını kullanma

Çalışma kitabı şablonları, bağlı veri kaynaklarınızdan tümleşik veriler sağlayarak bu hizmetlerde oluşturulan olayları ayrıntılı olarak incelemenizi sağlar. Çalışma kitabı şablonları arasında Microsoft Entra Id, Azure etkinlik olayları ve şirket içi yer alır. Bu veriler sunuculardaki Windows Olaylarından, birinci taraf uyarılarından, güvenlik duvarı trafik günlükleri, Office 365 ve Windows olaylarını temel alan güvenli olmayan protokoller dahil olmak üzere tüm üçüncü taraflardan alınan veriler olabilir. Çalışma kitapları, size kendi çalışma kitabınızı tasarlama konusunda gelişmiş özelleştirme ve esneklik sağlamak için Azure İzleyici Çalışma Kitaplarını temel alır. Daha fazla bilgi için bkz . Çalışma kitapları.

  1. Ayarlar altında Çalışma Kitapları'nı seçin. Çalışma kitaplarım'ın altında, kaydedilmiş tüm çalışma kitabınızı görebilirsiniz. Şablonlar'ın altında yüklü olan çalışma kitabı şablonlarını görebilirsiniz. Daha fazla çalışma kitabı şablonu bulmak için Microsoft Sentinel'deki İçerik hub'ına giderek ürün çözümlerini veya tek başına içeriği yükleyin.
  2. Her bir teklifin tüm listesini ve açıklamasını görmek için belirli bir çalışma kitabını arayın.
  3. Microsoft Sentinel ile çalışmaya başlamak için Microsoft Entra Id kullandığınızı varsayarsak, Microsoft Sentinel için Microsoft Entra çözümünü yüklemenizi ve aşağıdaki çalışma kitaplarını kullanmanızı öneririz:

    • Microsoft Entra Id: Aşağıdakilerden birini veya ikisini birden kullanın:

      • Microsoft Entra oturum açma işlemleri , anomali olup olmadığını görmek için zaman içinde oturum açma işlemleri analiz eder. Bu çalışma kitapları uygulamalar, cihazlar ve konumlar tarafından başarısız oturum açma işlemleri sağlar, böylece olağan dışı bir şey olduğunda bir bakışta fark edebilirsiniz. Birden çok başarısız oturum açma işlemine dikkat edin.
      • Microsoft Entra denetim günlükleri , kullanıcılardaki değişiklikler (ekleme, kaldırma vb.), grup oluşturma ve değişiklikler gibi yönetici etkinliklerini analiz eder.

    • Güvenlik duvarınız için bir çalışma kitabı eklemek için uygun çözümü yükleyin. Örneğin, Palo Alto çalışma kitaplarını eklemek için Microsoft Sentinel için Palo Alto güvenlik duvarı çözümünü yükleyin. Çalışma kitapları güvenlik duvarı trafiğinizi analiz ederek güvenlik duvarı verilerinizle tehdit olayları arasında bağıntılar sağlar ve varlıklar arasında şüpheli olayları vurgular. Çalışma kitapları, trafiğinizdeki eğilimler hakkında bilgi sağlar ve sonuçlarda detaya gitmenizi ve sonuçları filtrelemenizi sağlar.

      Palo Alto dashboard

Çalışma kitaplarını ana sorguyu query edit buttondüzenleyerek özelleştirebilirsiniz. Sorguyu orada düzenlemek için Log Analytics'e gitmek için düğmeye Log Analytics button tıklayabilir ve üç noktayı (...) seçip Kutucuk verilerini özelleştir'i seçerek ana zaman filtresini düzenleyebilir veya çalışma kitabından belirli kutucukları kaldırabilirsiniz.

Sorgularla çalışma hakkında daha fazla bilgi için bkz . Öğretici: Log Analytics'te görsel veriler

Yeni kutucuk ekleme

Yeni bir kutucuk eklemek isterseniz, bu kutucuğu oluşturduğunuz bir çalışma kitabına veya Microsoft Sentinel yerleşik çalışma kitabına ekleyebilirsiniz.

  1. Log Analytics'te, Log Analytics'teki Görsel verilerde bulunan yönergeleri kullanarak bir kutucuk oluşturun.
  2. Kutucuk oluşturulduktan sonra, Sabitle'nin altında kutucuğun görünmesini istediğiniz çalışma kitabını seçin.

Yeni çalışma kitapları oluşturma

Sıfırdan yeni bir çalışma kitabı oluşturabilir veya yeni çalışma kitabınızın temeli olarak bir çalışma kitabı şablonu kullanabilirsiniz.

  1. Sıfırdan yeni bir çalışma kitabı oluşturmak için Çalışma Kitapları'nı ve ardından +Yeni çalışma kitabı'nı seçin.
  2. Çalışma kitabının oluşturulduğu aboneliği seçin ve açıklayıcı bir ad verin. Her çalışma kitabı, diğer çalışma kitapları gibi bir Azure kaynağıdır ve kimlerin erişebileceğini tanımlamak ve sınırlamak için bu çalışma kitabına roller (Azure RBAC) atayabilirsiniz.
  3. Görselleştirmeleri sabitlemek üzere çalışma kitaplarınızda gösterilmesini sağlamak için bunu paylaşmanız gerekir. Paylaş'a ve ardından Kullanıcıları yönet'e tıklayın.
  4. Erişimi denetle ve Rol atamalarını diğer Tüm Azure kaynaklarında olduğu gibi kullanın. Daha fazla bilgi için bkz . Azure RBAC kullanarak Azure çalışma kitaplarını paylaşma.

Yeni çalışma kitabı örnekleri

Aşağıdaki örnek sorgu, haftalar boyunca trafik eğilimlerini karşılaştırmanızı sağlar. Sorguyu çalıştırdığınız cihaz satıcısını ve veri kaynağını kolayca değiştirebilirsiniz. Bu örnekte Windows'tan SecurityEvent kullanılır. Bunu AzureActivity veya CommonSecurityLog üzerinde başka bir güvenlik duvarında çalışacak şekilde değiştirebilirsiniz.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Birden çok kaynaktan veri içeren bir sorgu oluşturmak isteyebilirsiniz. Yeni oluşturulan yeni kullanıcılar için Microsoft Entra denetim günlüklerine bakan bir sorgu oluşturabilir ve ardından kullanıcının oluşturma işleminden sonraki 24 saat içinde rol ataması değişiklikleri yapmaya başlayıp başlamadığını görmek için Azure günlüklerinizi denetleyebilirsiniz. Bu şüpheli etkinlik bu panoda görünür:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Verilere bakan kişinin rolüne ve aradıkları şeye göre farklı çalışma kitapları oluşturabilirsiniz. Örneğin, ağ yöneticiniz için güvenlik duvarı verilerini içeren bir çalışma kitabı oluşturabilirsiniz. Ayrıca, çalışma kitaplarını ne sıklıkta bakmak istediğinize, günlük gözden geçirmek istediğiniz şeyler olup olmadığına ve saatte bir denetlemek istediğiniz diğer öğelere göre de oluşturabilirsiniz. Örneğin, anomalileri aramak için saatte bir Microsoft Entra oturum açma işlemlerinize bakmak isteyebilirsiniz.

Yeni algılamalar oluşturma

Kuruluşunuzdaki tehditleri araştırmak için Microsoft Sentinel'e bağladığınız veri kaynaklarında algılamalar oluşturun.

Yeni bir algılama oluşturduğunuzda, Microsoft güvenlik araştırmacıları tarafından hazırlanan ve bağlandığınız veri kaynaklarına uyarlanmış algılamalardan yararlanın.

Yüklü hazır algılamaları görüntülemek için Analiz'e ve ardından Kural şablonları'na gidin. Bu sekme, yüklü tüm Microsoft Sentinel kural şablonlarını içerir. Daha fazla kural şablonu bulmak için Microsoft Sentinel'deki İçerik hub'ına giderek ürün çözümlerini veya tek başına içeriği yükleyin.

Use built-in detections to find threats with Microsoft Sentinel

Kullanıma hazır algılamaları alma hakkında daha fazla bilgi için bkz . Yerleşik analiz alma.

Sonraki adımlar

Tehditleri kullanıma açık olarak algılayın ve tehditlere yanıtlarınızı otomatikleştirmek için özel tehdit algılama kuralları oluşturun.