Microsoft Sentinel'de tehdit avcılığı

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Güvenlik analistleri ve araştırmacıları olarak, güvenlik tehditlerini arama konusunda proaktif olmak istiyorsunuz, ancak çeşitli sistemleriniz ve güvenlik gereçleriniz anlamlı olayları ayrıştırmak ve filtrelemek zor olabilecek veri dağlarını oluşturuyor. Microsoft Sentinel, kuruluşunuzun veri kaynakları genelinde güvenlik tehditlerini avlamak için güçlü tehdit avcılığı arama ve sorgu araçlarına sahiptir. Güvenlik analistlerinin, güvenlik uygulamalarınız veya hatta zamanlanmış analiz kurallarınız tarafından algılanmayan yeni anomalileri proaktif olarak aramalarına yardımcı olmak için, Microsoft Sentinel'in yerleşik tehdit avcılığı sorguları ağınızda zaten var olan verilerdeki sorunları bulmak için doğru soruları sorma konusunda size yol gösterir.

Örneğin, yerleşik bir sorgu altyapınızda çalışan en yaygın işlemler hakkında veri sağlar. Her çalıştırıldığında uyarı almak istemezsiniz. Tamamen masum olabilirler. Ancak olağan dışı bir durum olup olmadığını görmek için bazen sorguya göz atmak isteyebilirsiniz.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Yerleşik sorguları kullanma

Tehdit avcılığı panosu , çalışmaya başlamanızı ve tabloları ve sorgu dilini tanımanızı sağlamak için tasarlanmış hazır sorgu örnekleri sağlar. Sorgular, işlem oluşturma, DNS olayları veya diğer olay türleri gibi günlük tablolarında depolanan veriler üzerinde çalışır.

Yerleşik tehdit avcılığı sorguları, microsoft güvenlik araştırmacıları tarafından sürekli olarak geliştirilir. Hem yeni sorgular eklenir hem de yeni algılamaları aramanız ve yeni saldırıların başlangıçları için avlanmaya nereden başlayacağınızı saptamanız için bir giriş noktası sağlamak üzere mevcut sorgularda ince ayarlamalar yapılır.

Aşağıdaki eylemleri yapmak için güvenliği aşmadan önce, sırasında ve sonrasında sorguları kullanın:

• Bir olay gerçekleşmeden önce: Algılamaları beklemek yeterli değildir. Haftada en az bir kez çalışma alanınıza almakta olduğunuz veriyle ilgili tehdit avcılığı sorguları çalıştırarak proaktif eylemler gerçekleştirin.

  Proaktif avcılığınızın sonuçları, bir güvenliğin devam ettiğini doğrulayabilecek olaylarla ilgili erken içgörüler sağlar veya ortamınızda risk altında olan ve dikkat gerektiren daha zayıf alanlar gösterir.

• Güvenliği aşma sırasında: Belirli bir sorguyu sürekli çalıştırmak için canlı akışı kullanın ve sonuçları geldikçe sunun. Kullanıcı olaylarını etkin bir şekilde izlemeniz gerektiğinde, örneğin belirli bir gizliliğin hala gerçekleşip gerçekleşmediğini doğrulamanız gerekiyorsa, bir tehdit aktörünün bir sonraki eyleminin belirlenmesine yardımcı olmak için ve bir araştırmanın sonuna doğru güvenliğin gerçekten sona erdiğini doğrulamak için canlı akışı kullanın.

• Bir riskten sonra: Bir risk veya olay oluştuktan sonra, gelecekte benzer olayları önlemek için kapsamınızı ve içgörünüzü geliştirdiğinizden emin olun.

  • Mevcut sorgularınızı değiştirin veya riskten veya olaydan elde edilen içgörülere göre erken algılamaya yardımcı olacak yeni sorgular oluşturun.

  • Olası saldırılarla ilgili yüksek değerli içgörüler sağlayan bir tehdit avcılığı sorgusu keşfettiyseniz veya oluşturduysanız, bu sorguyu temel alan özel algılama kuralları oluşturun ve bu içgörüleri güvenlik olayı yanıtlayıcılarınıza uyarı olarak ortaya çıkarabilirsiniz.

    Sorgunun sonuçlarını görüntüleyin ve Yeni uyarı kuralı>Microsoft Sentinel uyarısı oluştur'u seçin. Sorgunuzu temel alan yeni bir kural oluşturmak için Analiz kuralı sihirbazını kullanın. Daha fazla bilgi için bkz . Tehditleri algılamak için özel analiz kuralları oluşturma.

Azure Veri Gezgini'da depolanan veriler üzerinde tehdit avcılığı ve canlı akış sorguları da oluşturabilirsiniz. Daha fazla bilgi için Azure İzleyici belgelerinde kaynaklar arası sorgu oluşturma ayrıntılarına bakın.

Daha fazla sorgu ve veri kaynağı bulmak için Microsoft Sentinel GitHub deposu gibi topluluk kaynaklarını kullanın.

Tehdit avcılığı panosunu kullanma

Tehdit avcılığı panosu tüm sorgularınızı veya seçili bir alt kümeyi tek bir seçimde çalıştırmanızı sağlar. Microsoft Sentinel portalında Tehdit Avcılığı'nı seçin.

Gösterilen tabloda, Microsoft'un güvenlik analistleri ekibi tarafından yazılan tüm sorgular ve oluşturduğunuz veya değiştirdiğiniz ek sorgular listelenir. Her sorgu, neyi avlayıp ne tür veriler üzerinde çalıştığına ilişkin bir açıklama sağlar. Bu sorgular MITRE ATT&CK taktiklerine göre gruplandırılır. Sağdaki simgeler, ilk erişim, kalıcılık ve sızdırma gibi tehdit türünü kategorilere ayırır. MITRE ATT&CK teknikleri Techniques sütununda gösterilir ve avlanma sorgusu tarafından tanımlanan belirli davranışı açıklar.

24 saatlik bir süre boyunca sonuç sayısına, ani artışlara veya sonuç sayısındaki değişikliğe bakarak avlanmaya nereden başlayacağını belirlemek için avcılık panosunu kullanın. Sık kullanılanlara, veri kaynağına, MITRE ATT&CK taktiğine veya tekniğine, sonuçlara, sonuç değişimlerine veya sonuç değişim yüzdesine göre sıralayın ve filtreleyin. Hala bağlı veri kaynaklarına ihtiyaç duyan sorguları görüntüleyin ve bu sorguların nasıl etkinleştirileceğine ilişkin öneriler alın.

Aşağıdaki tabloda, tehdit avcılığı panosunda kullanılabilen ayrıntılı eylemler açıklanmaktadır:

Eylem	Açıklama
Sorguların ortamınıza nasıl uygulandığını görün	Tüm sorguları çalıştır düğmesini seçin veya her satırın sol tarafındaki onay kutularını kullanarak sorguların bir alt kümesini seçin ve Seçili sorguları çalıştır düğmesini seçin. Sorgularınızın çalıştırılması, kaç sorgunun seçildiğine, zaman aralığına ve sorgulanan veri miktarına bağlı olarak birkaç saniye ile birkaç dakika arasında sürebilir.
Sonuç döndüren sorguları görüntüleme	Sorgularınızın çalışması tamamlandıktan sonra Sonuçlar filtresini kullanarak sonuç döndüren sorguları görüntüleyin: - Hangi sorguların en çok veya en az sonuç aldığını görmek için sıralayın. - Sonuçlar filtresinde Yok'a tıklayarak ortamınızda hiç etkin olmayan sorguları görüntüleyin. - Bu sorguyu etkin hale getirmek için hangi veri kaynaklarının gerekli olduğunu görmek için Yok'un yanındaki bilgi simgesinin (i) üzerine gelin.
Verilerinizdeki ani artışları belirleme	Sonuçlar deltası veya Sonuçlar değişim yüzdesine göre sıralama veya filtreleme yaparak verilerdeki ani artışları belirleyin. Son 24 saatin sonuçlarını önceki 24-48 saatin sonuçlarıyla karşılaştırır ve birimdeki büyük farkları veya göreli farkları vurgular.
MITRE ATT&CK taktiğine eşlenen sorguları görüntüleme	Tablonun en üstündeki MITRE ATT&CK taktik çubuğu, her MITRE ATT&CK taktiğine eşlenen sorgu sayısını listeler. Taktik çubuğu geçerli filtre kümesine göre dinamik olarak güncelleştirilir. Belirli bir sonuç sayısına, yüksek sonuç deltasına , YOK sonuçlarına veya başka bir filtre kümesine göre filtreleme yaptığınızda hangi MITRE ATT& CK taktiklerinin gösterileceğini görmenizi sağlar.
MITRE ATT&CK teknikleriyle eşlenen sorguları görüntüleme	Sorgular MITRE ATT&CK teknikleriyle de eşlenebilir. Teknik filtresini kullanarak MITRE ATT&CK tekniklerine göre filtreleyebilir veya sıralayabilirsiniz. Sorguyu açarak tekniğin MITRE ATT&CK açıklamasını görmek için tekniği seçebilirsiniz.
Sorguyu sık kullanılanlarınıza kaydetme	Sık kullanılanlarınıza kaydedilen sorgular, Tehdit Avcılığı sayfasına her erişildiğinde otomatik olarak çalıştırılır. Kendi avlanma sorgunuzu oluşturabilir veya mevcut bir tehdit avcılığı sorgu şablonunu kopyalayıp özelleştirebilirsiniz.
Sorgu çalıştırma	Sorguyu doğrudan tehdit avcılığı sayfasından çalıştırmak için tehdit avcılığı sorgu ayrıntıları sayfasında Sorguyu Çalıştır'ı seçin. Eşleşme sayısı tablo içinde Sonuçlar sütununda görüntülenir. Tehdit avcılığı sorgularının listesini ve bunların eşleşmelerini gözden geçirin.
Temel alınan sorguyu gözden geçirme	Sorgu ayrıntıları bölmesinde temel alınan sorguyu hızlı bir şekilde gözden geçirin. Sonuçları görmek için Sorgu sonuçlarını görüntüle bağlantısına (sorgu penceresinin altında) veya Sonuçları Görüntüle düğmesine (bölmenin en altında) tıklayabilirsiniz. Sorgu Günlükler (Log Analytics) sayfasını açar ve sorgunun altında sorgunun eşleşmelerini gözden geçirebilirsiniz.

Özel tehdit avcılığı sorgusu oluşturma

Sorgu oluşturun veya değiştirin ve sorguyu kendi sorgunuz olarak kaydedin veya aynı kiracıdaki kullanıcılarla paylaşın.

Yeni sorgu oluşturmak için:

1. Yeni sorgu'yu seçin.

2. Tüm boş alanları doldurun ve Oluştur'u seçin.

   1. Varlık türlerini, tanımlayıcıları ve sütunları seçerek varlık eşlemeleri oluşturun.

      

   2. Taktik, teknik ve alt tekniği (varsa) seçerek MITRE ATT&CK tekniklerini avcılık sorgularınıza eşleyin.

      

Var olan bir sorguyu kopyalamak ve değiştirmek için:

1. Tablodan değiştirmek istediğiniz tehdit avcılığı sorgusunu seçin.

2. Değiştirmek istediğiniz sorgunun satırında üç noktayı (...) ve ardından Sorguyu kopyala'yı seçin.

   

3. Sorguyu değiştirin ve Oluştur'u seçin.

Var olan bir özel sorguyu değiştirmek için:

1. Tablodan, değiştirmek istediğiniz tehdit avcılığı sorgusunu seçin. Yalnızca özel içerik kaynağından gelen sorgular düzenlenebilir. Diğer içerik kaynaklarının bu kaynakta düzenlenmesi gerekir.

2. Değiştirmek istediğiniz sorgunun satırında üç noktayı (...) ve ardından Sorguyu düzenle'yi seçin.

3. Güncelleştirilmiş sorguyla Özel sorgu alanını değiştirin. Bu belgelerin "Yeni sorgu oluşturmak için" bölümünde açıklandığı gibi varlık eşlemesini ve tekniklerini de değiştirebilirsiniz.

Örnek sorgu

Tipik bir sorgu, bir tablo veya ayrıştırıcı adıyla başlar ve ardından bir kanal karakteriyle ("|") ayrılmış bir dizi işleç izler.

Yukarıdaki örnekte SecurityEvent tablo adıyla başlayın ve gerektiğinde kanallı öğeler ekleyin.

1. Yalnızca önceki yedi güne ait kayıtları gözden geçirmek için bir zaman filtresi tanımlayın.

2. Sorguya yalnızca 4688 olay kimliğini göstermek için bir filtre ekleyin.

3. Komut satırındaki sorguya yalnızca cscript.exe örneklerini içerecek bir filtre ekleyin.

4. Yalnızca keşfetmek istediğiniz sütunları yansıtın ve sonuçları 1000 ile sınırlayın ve Sorguyu çalıştır'ı seçin.

5. Yeşil üçgeni seçin ve sorguyu çalıştırın. Sorguyu test edebilir ve anormal davranış aramak için çalıştırabilirsiniz.

Sorgunuzun yerleşik bir tablo değil Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcısı kullanmasını öneririz. Bu, sorgunun tek bir veri kaynağı yerine geçerli veya gelecekteki ilgili veri kaynaklarını desteklemesini sağlar.

Yer işaretleri oluşturma

Tehdit avcılığı ve araştırma işlemi sırasında olağan dışı veya şüpheli görünen sorgu sonuçlarıyla karşılaşabilirsiniz. Gelecekte araştırma amacıyla bir olay oluştururken veya zenginleştirirken bunlara başvurmak için bu öğelere yer işareti ekleyin. Olası kök nedenler, güvenlik ihlal göstergeleri veya diğer önemli olaylar gibi olaylar yer işareti olarak tetiklenmelidir. Yer işareti eklediğiniz önemli bir olay bir araştırmayı garanti edecek kadar ciddiyse, olayı bir olaya yükseltin.

• Sonuçlarınızda, korumak istediğiniz satırların onay kutularını işaretleyin ve Yer işareti ekle'yi seçin. Bu, satır sonuçlarını ve sonuçları oluşturan sorguyu içeren her işaretli satır, yer işareti için bir kayıt oluşturur. Her yer işaretine kendi etiketlerinizi ve notlarınızı ekleyebilirsiniz.

  • Zamanlanmış analiz kurallarında olduğu gibi, birden çok varlık türünü ve tanımlayıcıyı ayıklamak için yer işaretlerinizi varlık eşlemeleri ve belirli taktikleri ve teknikleri ilişkilendirmek için MITRE ATT&CK eşlemeleri ile zenginleştirebilirsiniz.
  • Yer işaretleri varsayılan olarak yer işaretli sonuçları oluşturan tehdit avcılığı sorgusuyla aynı varlığı ve MITRE ATT&CK tekniği eşlemelerini kullanır.

• Ana Tehdit Avcılığı sayfasındaki Yer İşaretleri sekmesine tıklayarak tüm yer işaretli bulguları görüntüleyin. Filtre uygulamak üzere sınıflandırmak için yer işaretlerine etiketler ekleyin. Örneğin, bir saldırı kampanyasını araştırıyorsanız kampanya için bir etiket oluşturabilir, etiketi ilgili yer işaretlerine uygulayabilir ve ardından tüm yer işaretlerini kampanyaya göre filtreleyebilirsiniz.

• Yer işaretini seçip ayrıntılar bölmesinde Araştır'a tıklayarak tek bir yer işaretli bulmayı araştırarak araştırma deneyimini açın. Ayrıca, listelenen bir varlığı doğrudan seçerek ilgili varlığın ilgili varlık sayfasını görüntüleyebilirsiniz.

  Ayrıca bir veya daha fazla yer işaretinden olay oluşturabilir veya var olan bir olaya bir veya daha fazla yer işareti ekleyebilirsiniz. Kullanmak istediğiniz yer işaretlerinin solundaki onay kutusunu seçin ve ardından Olay eylemleri>Yeni olay oluştur veya Var olan olaya ekle'yi seçin. Olayı diğerleri gibi önceliklendirme ve araştırma.

Daha fazla bilgi için bkz . Tehdit avcılığında yer işaretlerini kullanma.

Araştırmalara güç vermek için not defterlerini kullanma

Avcılık ve araştırmalarınız daha karmaşık hale geldiğinde, makine öğrenmesi, görselleştirmeler ve veri analizi ile etkinliğinizi geliştirmek için Microsoft Sentinel not defterlerini kullanın.

Not defterleri, tam kapsamlı bir araştırma gerçekleştirebileceğiniz kendi çekirdeğiyle birlikte bir tür sanal korumalı alan sağlar. Not defteriniz ham verileri, bu veriler üzerinde çalıştırdığınız kodu, sonuçları ve bunların görselleştirmelerini içerebilir. Not defterlerinizi, kuruluşunuzda yeniden kullanmak üzere başkalarıyla paylaşabilmek için kaydedin.

Not defterleri, avcılık veya araştırmanız kolayca anımsanamayacak, ayrıntıları görüntülenemeyecek kadar büyük olduğunda veya sorguları ve sonuçları kaydetmeniz gerektiğinde yararlı olabilir. Microsoft Sentinel, not defterleri oluşturmanıza ve paylaşmanıza yardımcı olmak için doğrudan Microsoft Sentinel Not Defterleri sayfasında tümleşik bir açık kaynak, etkileşimli geliştirme ve veri işleme ortamı olan Jupyter Notebooks'u sağlar.

Daha fazla bilgi için bkz.

• Güvenlik tehditlerini avlamak için Jupyter Notebook kullanma
• Jupyter Projesi belgeleri
• Jupyter tanıtım belgeleri.
• Infosec Jupyter Kitabı
• Gerçek Python öğreticileri

Aşağıdaki tabloda, Microsoft Sentinel'deki işlemlerinize yardımcı olmak için Jupyter not defterlerini kullanmanın bazı yöntemleri açıklanmaktadır:

Metot	Açıklama
Veri kalıcılığı, tekrarlanabilirlik ve geri izleme	Birçok sorgu ve sonuç kümesiyle çalışıyorsanız, büyük olasılıkla bazı çıkmazlarınız vardır. Hangi sorguların ve sonuçların tutuleceğine ve yararlı sonuçların tek bir raporda nasıl birikeceğine karar vermeniz gerekir. Jupyter Notebooks'u kullanarak sorguları ve verileri kaydedebilir, farklı değerlere veya tarihlere sahip sorguları yeniden çalıştırmak için değişkenleri kullanabilir veya sorgularınızı gelecekteki araştırmalarda yeniden çalıştırmak üzere kaydedebilirsiniz.
Betik oluşturma ve programlama	Jupyter Notebooks'u kullanarak sorgularınıza programlama ekleyin, örneğin: - Mantığınızı tek, muhtemelen karmaşık bir deyimle kodlamak için Kusto Sorgu Dili (KQL) veya SQL gibi bildirim temelli diller. - Bir dizi adımda mantık çalıştırmak için yordamsal programlama dilleri. Ara sonuçları görmenize ve hatalarını ayıklamanıza, sorgu dilinde kullanılamayabilecek işlevler eklemenize ve kısmi sonuçları daha sonraki işlem adımlarında yeniden kullanmanıza yardımcı olmak için mantığınızı adımlara bölün.
Dış verilere bağlantılar	Microsoft Sentinel tablolarında çoğu telemetri ve olay verileri olsa da, Jupyter Notebooks ağınız üzerinden veya bir dosyadan erişilebilen tüm verilere bağlanabilir. Jupyter Notebook'ları kullanmak aşağıdakiler gibi verileri eklemenize olanak tanır: - Coğrafi konum verileri veya tehdit bilgileri kaynakları gibi sahip olmadığınız dış hizmetlerdeki veriler - İnsan kaynağı veritabanları veya yüksek değerli varlık listeleri gibi yalnızca kuruluşunuzda depolanan hassas veriler - Henüz buluta geçirmediğiniz veriler.
Özelleştirilmiş veri işleme, makine öğrenmesi ve görselleştirme araçları	Jupyter Notebooks daha fazla görselleştirme, makine öğrenmesi kitaplığı ve veri işleme ve dönüştürme özellikleri sağlar. Örneğin, Jupyter Notebooks'u aşağıdaki Python özellikleriyle kullanın: - veri işleme, temizleme ve mühendislik için pandas - Görselleştirme için Matplotlib, HoloViews ve Plotly - Gelişmiş sayısal ve bilimsel işleme için NumPy ve SciPy - Makine öğrenmesi için scikit-learn - Derin öğrenme için TensorFlow, PyTorch ve Keras İpucu: Jupyter Notebooks birden çok dil çekirdeğini destekler. Farklı bir dil kullanarak tek tek hücrelerin yürütülmesine izin vererek aynı not defterindeki dilleri karıştırmak için sihirleri kullanın. Örneğin, bir PowerShell betik hücresi kullanarak verileri alabilir, Python'da verileri işleyebilir ve javascript kullanarak görselleştirme oluşturabilirsiniz.

MSTIC, Jupyter ve Python güvenlik araçları

Microsoft Tehdit Bilgileri Merkezi (MSTIC), çeşitli Microsoft platformları için güvenlik algılamaları yazan ve tehdit belirleme ve araştırma üzerinde çalışan microsoft güvenlik analistleri ve mühendislerinden oluşan bir ekiptir.

MSTIC, Jupyter Notebooks'ta bilgi güvenliği araştırmaları ve avcılık için bir kitaplık olan MSTICPy'yi oluşturmuştur. MSTICPy, not defteri oluşturmayı hızlandırmayı ve kullanıcıların Microsoft Sentinel'de not defterlerini okumasını kolaylaştıran yeniden kullanılabilir işlevler sağlar.

Örneğin, MSTICPy şunları yapabilir:

• Birden çok kaynaktan gelen günlük verilerini sorgulama.
• Tehdit bilgileri, coğrafi konumlar ve Azure kaynak verileriyle verileri zenginleştirin.
• Günlüklerden Etkinlik Göstergelerini (IoA) ayıklayın ve kodlanmış verileri açın.
• Anormal oturum algılama ve zaman serisi ayrıştırma gibi gelişmiş analizler yapın.
• Etkileşimli zaman çizelgeleri, işlem ağaçları ve çok boyutlu Dönüşüm Grafiklerini kullanarak verileri görselleştirin.

MSTICPy ayrıca sorgu süresi sınırlarını ayarlayan, listelerden öğeleri seçip görüntüleyen ve not defteri ortamını yapılandıran pencere öğeleri gibi zaman kazandıran bazı not defteri araçlarını da içerir.

Daha fazla bilgi için bkz.

• MSTICPy belgeleri
• Öğretici: Microsoft Sentinel'de Jupyter not defterlerini ve MSTICPy'i kullanmaya başlama
• Microsoft Sentinel'de Jupyter not defterleri ve MSTICPy için gelişmiş yapılandırmalar

Yararlı işleçler ve işlevler

Tehdit avcılığı sorguları, tehdit avcılığında bir üst düzeye çıkarmanız için gereken gücü ve esnekliği sağlayan IntelliSense diline sahip güçlü bir sorgu dili olan Kusto Sorgu Dili (KQL) içinde oluşturulur.

Analiz kurallarınızdaki ve Microsoft Sentinel'in başka bir yerindeki sorgular tarafından kullanılan dille aynıdır. Daha fazla bilgi için bkz . Sorgu Dili Başvurusu.

Aşağıdaki operatörler özellikle Microsoft Sentinel tehdit avcılığı sorgularında yararlıdır:

• where - Bir tabloyu koşula uyan satırların alt kümesine göre filtreleyin.

• summarize - Giriş tablosunun içeriğini toplayan bir tablo oluşturma.

• join - Her tabloda belirtilen sütunların değerlerini eşleştirerek yeni bir tablo oluşturmak için iki tablonun satırlarını birleştirin.

• count - Giriş kayıt kümesindeki kayıt sayısını döndürür.

• top - Belirtilen sütunlara göre sıralanmış ilk N kaydı döndürür.

• limit - Belirtilen satır sayısına kadar geri dönün.

• project - Eklenecek sütunları seçin, yeniden adlandırın veya bırakın ve yeni hesaplanan sütunlar ekleyin.

• extend - Hesaplanmış sütunlar oluşturun ve bunları sonuç kümesine ekler.

• makeset - İfadenin grupta aldığı ayrı değerler kümesinin dinamik (JSON) dizisini döndürür

• find - Bir tablo kümesinde koşulla eşleşen satırları bulun.

• adx() - Bu işlev, Microsoft Sentinel tehdit avcılığı deneyiminden ve Log Analytics'ten Azure Veri Gezgini veri kaynaklarının çapraz kaynak sorgularını gerçekleştirir. Daha fazla bilgi için bkz. Azure İzleyici kullanarak Azure Veri Gezgini çapraz kaynak sorgusu.

Sonraki adımlar

Bu makalede, Microsoft Sentinel ile bir avlanma araştırması çalıştırmayı öğrendiniz.

Daha fazla bilgi için bkz.

• Otomatik tehdit avcılığı kampanyaları çalıştırmak için not defterlerini kullanma
• Avlanma sırasında ilginç bilgileri kaydetmek için yer işaretlerini kullanma

Özel bağlayıcıyla Yakınlaştırma'ya izlenirken özel analiz kurallarını kullanma örneğinden bilgi edinin.