Aracılığıyla paylaş

Microsoft Sentinel'de çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme

  • Şunlara uygulanır: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Veri kaynaklarınızı Microsoft Sentinel'e bağladıktan sonra, Microsoft Sentinel'deki çalışma kitaplarını kullanarak verileri görselleştirin ve izleyin. Microsoft Sentinel çalışma kitapları Azure İzleyici çalışma kitaplarını temel alır ve Azure'da zaten kullanılabilir olan araçlara günlükleriniz ve sorgularınız için analiz içeren tablolar ve grafikler ekler.

Microsoft Sentinel, verileriniz genelinde özel çalışma kitapları oluşturmanıza veya paketlenmiş çözümlerle veya içerik hub'ından tek başına içerik olarak kullanılabilen mevcut çalışma kitabı şablonlarını kullanmanıza olanak tanır. Her çalışma kitabı, diğer çalışma kitapları gibi bir Azure kaynağıdır ve kimlerin erişebileceğini tanımlamak ve sınırlamak için azure rol tabanlı erişim denetimi (RBAC) ile bunu atayabilirsiniz.

Bu makalede, çalışma kitaplarını kullanarak Verilerinizi Microsoft Sentinel'de görselleştirme açıklanmaktadır. Çalışma kitaplarını doğrudan Defender portalında düzenlemek Önizleme olarak yapılır.

Önemli

Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmayan müşteriler de dahil olmak üzere Microsoft Defender portalında genel olarak kullanılabilir.

Temmuz 2026'dan itibaren Azure portalında Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilecek ve yalnızca Defender portalında Microsoft Sentinel'i kullanacaktır. Temmuz 2025'den itibaren birçok yeni müşteri otomatik olarak eklenir ve Defender portalına yönlendirilir.

Azure portalında Hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel'in Azure portalını kullanımdan kaldırma.

Önkoşullar

  • Microsoft Sentinel çalışma alanının kaynak grubunda en az Çalışma Kitabı okuyucusu veya Çalışma kitabı katkıda bulunanı izinlerine sahip olmanız gerekir.

    Microsoft Sentinel'de gördüğünüz çalışma kitapları, Microsoft Sentinel çalışma alanının kaynak grubuna kaydedilir ve oluşturuldukları çalışma alanı tarafından etiketlenir.

  • Çalışma kitabı şablonu kullanmak için, çalışma kitabını içeren çözümü yükleyin veya çalışma kitabını İçerik Hub'ından tek başına bir öğe olarak yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

  • Defender portalında bir Azure Veri Gezgini veri kaynağıyla çalışıyorsanız Defender portalından Azure Veri Gezgini'ni yapılandırdığınızdan ve kimlik doğrulaması yaptığınızdan emin olun.

Şablondan çalışma kitabı oluşturma

Çalışma kitabı oluşturmak için içerik hub'ından yüklenen bir şablonu kullanın.

  1. Microsoft Sentinel'de Tehdit yönetimi > Çalışma Kitapları'nı seçin.

  2. Yüklü çalışma kitabı şablonlarının listesini görmek için Çalışma Kitapları sayfasında Şablonlar sekmesini seçin. Ayrıntılarını görüntülemek için bir şablon seçin.

    Bazı çalışma kitaplarının çalışması için belirli veri bağlantıları gerekir. Çalışma kitabını kaydetmeden önce Gerekli veri türleri alanı olup olmadığını denetleyin ve bu tür verilerin alındığından emin olun.

    Örneğin:

  3. Ayrıntılar bölmesinde Kaydet'i ve ardından çalışma kitabını kaydetmek istediğiniz konumu seçin. Bu eylem, ilgili şablona göre seçilen konumda bir Azure kaynağı oluşturur. Bu konuma yalnızca çalışma kitabının JSON dosyası kaydedilir ve veri kaydedilmez.

  4. Ayrıntılar bölmesinde Kaydedilmiş çalışma kitabını görüntüle'yi seçerek düzenlemek üzere açın.

  5. Çalışma kitabı açıkken Düzenle'yi seçerek çalışma kitabını ihtiyaçlarınıza göre özelleştirin.

    Kaydedilen çalışma kitabını gösteren ekran görüntüsü.

    Defender portalında çalışırken bazı görselleştirmeler yalnızca Azure portalında görüntülenebilir. Böyle durumlarda, çalışma kitabını Azure portalında açmak için Azure'da Aç'ı seçin.

    Örneğin, geçerli seçimden farklı bir zaman aralığına ilişkin verileri görüntülemek için TimeRange filtresini seçin. Belirli bir çalışma kitabı alanını düzenlemek için Düzenle'yi seçin veya öğeleri eklemek için üç noktayı (...) seçin ya da alanı taşıyın, kopyalayabilir veya kaldırabilirsiniz.

    Çalışma kitabınızı kopyalamak için Farklı kaydet'i seçin. Kopyayı aynı abonelik ve kaynak grubu altında başka bir adla kaydedin. Kopyalanan çalışma kitapları, Microsoft Sentinel > Tehdit Yönetimi > Çalışma Kitapları sayfasındaki Çalışma Kitaplarım sekmesinin altında da görüntülenir.

  6. İşiniz bittiğinde, değişikliklerinizi kaydetmek için Düzenleme Bitti'yi seçin.

Daha fazla bilgi için bkz.

Yeni çalışma kitabı oluşturma

Microsoft Sentinel'de sıfırdan bir çalışma kitabı oluşturun.

  1. Microsoft Sentinel'de Tehdit yönetimi > Çalışma Kitapları'nı ve ardından Çalışma kitabı ekle'yi seçin.

  2. Çalışma kitabını düzenlemek için Düzenle'yi seçin ve sonra metin, sorgu ve parametreleri gerektiği gibi ekleyin.

    Çalışma kitabını özelleştirme hakkında daha fazla bilgi için bkz. Azure İzleyici Çalışma Kitapları ile etkileşimli raporlar oluşturma.

    Yeni çalışma kitabını gösteren ekran görüntüsü.

  3. Sorgu oluştururken Veri kaynağını Günlükler ve Kaynak türü'nü Log Analytics olarak ayarlayın ve bir veya daha fazla çalışma alanı seçin.

    Sorgunuzun yerleşik bir tablo değil Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcısı kullanmasını öneririz. Sorgu daha sonra tek bir veri kaynağı yerine geçerli veya gelecekteki ilgili veri kaynaklarını destekleyecektir.

  4. Düzenlemelerinizi bitirdiğinizde Düzenleme tamamlandı'yı ve ardından Kaydet'i seçin. Yan bölmede, çalışma kitabınız için anlamlı bir ad girin ve çalışma alanınızın aboneliğini ve kaynak grubunu seçin.

  5. Azure portalında çalışırken, çalışma kitabını açmak için Simge Aç'ı seçerek çalışma alanınızdaki çalışma kitapları arasında geçiş yapın. Herhangi bir çalışma kitabının araç çubuğunda. Ekran, geçiş yapabileceğiniz diğer çalışma kitaplarının listesine geçer.

    Açmak istediğiniz çalışma kitabını seçin:

    Çalışma kitaplarının nasıl değiştirildiğini gösteren ekran görüntüsü.

Çalışma kitaplarınız için yeni kutucuklar oluşturma

Microsoft Sentinel çalışma kitabına özel kutucuk eklemek için önce log analytics'te kutucuğu oluşturun. Daha fazla bilgi için bkz . Log Analytics'te görsel veriler.

Kutucuk oluşturduktan sonra Sabitle'yi ve ardından kutucuğun görünmesini istediğiniz çalışma kitabını seçin.

Çalışma kitabı verilerinizi yenileme

Güncelleştirilmiş verileri görüntülemek için çalışma kitabınızı yenileyin. Araç çubuğunda aşağıdaki seçeneklerden birini belirleyin:

  • Çalışma kitabı verilerinizi el ile yenilemek için yenileyin.

  • Çalışma kitabınızı yapılandırılan bir aralıkta otomatik olarak yenilenmek üzere ayarlamak için otomatik yenileme.

    • Desteklenen otomatik yenileme aralıkları 5 dakikaile 1 gün arasında değişir.

    • Çalışma kitabını düzenlerken otomatik yenileme duraklatılır ve düzenleme modundan görünüm moduna her geçtiğinizde aralıklar yeniden başlatılır.

    • Verilerinizi el ile yenilerseniz otomatik yenileme aralıkları da yeniden başlatılır.

    Varsayılan olarak, otomatik yenileme kapalıdır. Otomatik yenilemeyi açtıysanız, perforamnce özelliğini iyileştirmek ve arka planda çalışmasını önlemek için not defterini her kapattığınızda yeniden kapatılır. Çalışma kitabını bir sonraki açışınızda otomatik yenilemeyi gerektiği gibi yeniden açın.

Çalışma kitabını yazdırmak veya PDF olarak kaydetmek için, çalışma kitabı başlığının sağındaki seçenekler menüsünü kullanın. Bu seçenekler yalnızca Azure portalında kullanılabilir. Defender portalında çalışıyorsanız, çalışma kitabını Azure portalında açmak için Azure'da Aç'ı seçin.

  1. İçeriği yazdır seçeneklerini belirleyin>.

  2. Yazdırma ekranında, yazdırma ayarlarınızı gerektiği gibi ayarlayın veya pdf olarak kaydet'i seçerek yerel olarak kaydedin.

    Örneğin:

    Çalışma kitabınızı yazdırmayı veya PDF olarak kaydetmeyi gösteren ekran görüntüsü.

Bir veya daha fazla çalışma kitabını silme

Çalışma kitaplarım sekmesinden hem kaydedilmiş şablonları hem de özelleştirilmiş çalışma kitaplarını silebilirsiniz. Şablonların kendileri silinemez.

Çalışma kitabını silmek için, Çalışma kitaplarım sekmesinde çalışma kitabını seçin ve ardından Sil'i seçin. Bu eylem, çalışma kitabı kaynağını ve şablonda yaptığınız değişiklikleri kaldırır. Özgün şablon kullanılabilir durumda kalır.

Çalışma kitabı önerileri

Bu bölüm, Microsoft Sentinel ile çalışma kitaplarını kullanmayla ilgili temel önerileri gözden geçirir.

Microsoft Entra Id çalışma kitapları ekleme

Microsoft Sentinel ile Microsoft Entra ID kullanıyorsanız, Microsoft Sentinel için Microsoft Entra çözümünü yüklemenizi ve aşağıdaki çalışma kitaplarını kullanmanızı öneririz:

  • Microsoft Entra oturum açma işlemleri , anomali olup olmadığını görmek için zaman içinde oturum açma işlemleri analiz eder. Bu çalışma kitabı uygulamalar, cihazlar ve konumlar tarafından başarısız oturum açma işlemleri sağlar, böylece olağan dışı bir şey olup olmadığını bir bakışta fark edebilirsiniz. Birden çok başarısız oturum açma işlemine dikkat edin.
  • Microsoft Entra denetim günlükleri , kullanıcılardaki değişiklikler (ekleme, kaldırma vb.), grup oluşturma ve değişiklikler gibi yönetici etkinliklerini analiz eder.

Güvenlik duvarı çalışma kitapları ekleme

Güvenlik duvarınız için bir çalışma kitabı eklemek üzere İçerik hub'ından uygun çözümü yüklemenizi öneririz.

Örneğin, Palo Alto çalışma kitaplarını eklemek için Microsoft Sentinel için Palo Alto güvenlik duvarı çözümünü yükleyin. Çalışma kitapları güvenlik duvarı trafiğinizi analiz ederek güvenlik duvarı verilerinizle tehdit olayları arasında bağıntılar sağlar ve varlıklar arasında şüpheli olayları vurgular.

Palo Alto çalışma kitabının ekran görüntüsü.

Farklı kullanımlar için farklı çalışma kitapları oluşturma

Çalışma kitaplarını kullanan her kişilik türü için kişi rolüne ve aradıkları role göre farklı görselleştirmeler oluşturmanızı öneririz. Örneğin, ağ yöneticiniz için güvenlik duvarı verilerini içeren bir çalışma kitabı oluşturun.

Alternatif olarak, çalışma kitaplarını ne sıklıkta bakmak istediğinize, günlük gözden geçirmek istediğiniz şeyler olup olmadığına ve saatte bir denetlemek istediğiniz diğer öğelere göre oluşturun. Örneğin, anomalileri aramak için saatte bir Microsoft Entra oturum açma işlemlerinize bakmak isteyebilirsiniz.

Haftalar boyunca trafik eğilimlerini karşılaştıran bir görselleştirme oluşturmak için aşağıdaki sorguyu kullanın. Ortamınıza bağlı olarak sorguyu çalıştırdığınız cihaz satıcısını ve veri kaynağını değiştirin.

Aşağıdaki örnek sorgu, Windows'tan SecurityEvent tablosunu kullanır. AzureActivity veya CommonSecurityLog tablosunda, başka bir güvenlik duvarında çalışacak şekilde değiştirmek isteyebilirsiniz.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Birden çok kaynaktan alınan verileri içeren örnek sorgu

Birden çok kaynaktan veri içeren bir sorgu oluşturmak isteyebilirsiniz. Örneğin, oluşturulan yeni kullanıcılar için Microsoft Entra denetim günlüklerine bakan bir sorgu oluşturun ve ardından kullanıcının oluşturulduktan sonra 24 saat içinde rol ataması değişiklikleri yapmaya başlayıp başlamadığını görmek için Azure günlüklerinizi kontrol edin. Bu şüpheli etkinlik aşağıdaki sorguyla bir görselleştirmede görünür:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Yukarıdaki örneklerde kullanılan aşağıdaki öğeler hakkında daha fazla bilgiyi Kusto belgelerinde bulabilirsiniz:

KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

Diğer kaynaklar:

Defender portalında çalışma kitaplarını düzenlemeyle ilgili bilinen sorunlar (Önizleme)

Çalışma kitaplarını doğrudan Defender portalında düzenleme şu anda Önizleme aşamasındadır ve şu anda aşağıdaki bilinen sorunları içerir:

  • Portalınız koyu moda ayarlanmış olsa bile gelişmiş düzenleyici açık modda görünebilir.
  • Özel uç nokta verileri, Defender portalında çalışma kitaplarını düzenlemek için desteklenmez.
  • Çalışma kitapları içindeki çalışma kitapları, Defender portalında düzenleme için desteklenmez.
  • Defender portalında çalışma kitapları için salt okunur paylaşım desteklenmez.
  • Deniz kızı diyagramları, Defender portalında çalışma kitaplarını düzenlemek için desteklenmez.

Daha fazla bilgi için bkz.

  • Last updated on