Microsoft Sentinel'de veri alanlarını varlıklarla eşleme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Varlık eşlemesi, zamanlanmış sorgu analizi kurallarının yapılandırılmasının ayrılmaz bir parçasıdır. Kuralların çıkışını (uyarılar ve olaylar), izleyen tüm araştırma işlemlerinin ve düzeltici eylemlerin yapı taşları olarak hizmet veren temel bilgilerle zenginleştirir.

Aşağıda ayrıntılı olarak sunulan yordam, analiz kuralı oluşturma sihirbazının bir parçasıdır. Var olan bir analiz kuralında varlık eşlemeleri ekleme veya değiştirme senaryolarını ele almak için burada bağımsız olarak ele alınıyor.

Önemli

• Geriye dönük uyumluluk ve varlık eşlemesinin yeni ve eski sürümleri arasındaki farklar hakkında önemli bilgiler için bu belgenin sonundaki "Yeni sürüme ilişkin notlar" bölümüne bakın.
• Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Varlıkları eşleme

1. Microsoft Sentinel'e eriştiğiniz portalda Analiz sayfasını girin:

   Azure portalı

   Microsoft Sentinel gezinti menüsünün Yapılandırma bölümünde Analiz'i seçin.

   Defender portalı

   Microsoft Defender gezinti menüsünden Microsoft Sentinel'i ve ardından Yapılandırma'yı genişletin. Analizler seçeneğini belirleyin.

2. Zamanlanmış bir sorgu kuralı seçin ve ayrıntılar bölmesinden Düzenle'yi seçin. Ya da ekranın üst kısmındaki Zamanlanmış sorgu kuralı oluştur'a > tıklayarak yeni bir kural oluşturabilirsiniz.

3. Kural mantığı ayarla sekmesini seçin. Yeni bir kural varsa, Kural sorgusu penceresine bir sorgu yazın.

4. Uyarı geliştirme bölümünde Varlık eşlemesi'ni genişletin.

   

5. Şimdi genişletilmiş Varlık eşlemesi bölümünde Yeni varlık ekle'yi seçin.

   

6. Varlık açılan listesinden bir varlık türü seçin.

   

7. Varlık için bir tanımlayıcı seçin. Tanımlayıcılar, varlığı yeterince tanımlayabilen özniteliklerdir. Tanımlayıcı açılan listesinden birini seçin ve ardından Değer açılan listesinden tanımlayıcıya karşılık gelecek bir veri alanı seçin. Bazı özel durumlar dışında, Değer listesi kural sorgusunun konusu olarak tanımlanan tablodaki veri alanlarıyla doldurulur.

   Belirli bir varlık eşlemesi için en fazla üç tanımlayıcı tanımlayabilirsiniz. Bazı tanımlayıcılar gereklidir, diğerleri isteğe bağlıdır. En az bir gerekli tanımlayıcı seçmelisiniz. Aksi takdirde, hangi tanımlayıcıların gerekli olduğunu size bir uyarı iletisiyle bildirir. En iyi sonuçlar için (maksimum benzersiz tanımlama için) mümkün olduğunda güçlü tanımlayıcılar kullanmanız gerekir ve birden çok güçlü tanımlayıcı kullanmak veri kaynakları arasında daha fazla bağıntı sağlar. Kullanılabilir varlıkların ve tanımlayıcıların tam listesine bakın.

   

8. Daha fazla varlığı eşlemek için Yeni varlık ekle'yi seçin. Tek bir analiz kuralında en fazla on varlık eşlemesi tanımlayabilirsiniz. Aynı türden birden fazla eşleme de yapabilirsiniz. Örneğin, biri kaynak IP adresi alanından, biri de hedef IP adresi alanından olmak üzere iki IP varlığı eşleyebilirsiniz. Bu şekilde ikisini de izleyebilirsiniz.

   Fikrinizi değiştirirseniz veya bir hata yaptıysanız, varlık açılan listesinin yanındaki çöp kutusu simgesine tıklayarak varlık eşlemesini kaldırabilirsiniz.

9. Varlıkları eşlemeyi bitirdiğinizde Gözden geçir ve oluştur sekmesine tıklayın. Kural doğrulaması başarılı olduktan sonra Kaydet'e tıklayın.

Not

• Tek bir uyarıda toplu olarak en fazla 500 varlık tanımlanabilir ve kuralda tanımlanan tüm varlık eşlemeleri arasında eşit olarak bölünebilir.

  • Örneğin, kuralda iki varlık eşlemesi tanımlanmışsa, her eşleme en fazla 250 varlığı tanımlayabilir; beş eşleme tanımlanırsa, her biri en fazla 100 varlık tanımlayabilir ve bu şekilde devam edebilir.
  • Tek bir varlık türünün (örneğin, kaynak IP ve hedef IP) birden çok eşlemesi ayrı ayrı sayılır.
  • Bir uyarı bu sınırı aşan öğeler içeriyorsa, bu fazla öğeler tanınmaz ve varlık olarak ayıklanmaz.

• Bir uyarının tüm varlıklar alanı (Varlıklar alanı) için boyut sınırı 64 KB'tır.

  • 64 KB'tan büyük olan varlıklar alanları kesilir. Varlıklar tanımlandıkça, alan boyutu 64 KB'a ulaşana kadar tek tek uyarıya eklenir ve henüz tanımlanamayan varlıklar uyarıdan bırakılır.

Yeni sürümle ilgili notlar

• Yeni sürüm genel kullanıma sunulduğundan (GA), eski sürümü kullanmak için özellik bayrağı geçici çözümü artık kullanılamaz.

• Eski sürümü kullanarak bu analiz kuralı için daha önce varlık eşlemeleri tanımladıysanız, bunlar otomatik olarak yeni sürüme dönüştürülür.

Sonraki adımlar

Bu belgede, Microsoft Sentinel analiz kurallarında veri alanlarını varlıklarla eşlemeyi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Uyarılarınızı zenginleştirmenin diğer yollarını keşfedin:
  • Microsoft Sentinel'de uyarılarda surface özel olay ayrıntıları
  • Microsoft Sentinel'de uyarı ayrıntılarını özelleştirme
• Zamanlanmış sorgu analizi kurallarında resmin tamamını alın.
• Microsoft Sentinel'deki varlıklar hakkında daha fazla bilgi edinin.