Microsoft Sentinel'de çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme

Veri kaynaklarınızı Microsoft Sentinel bağladıktan sonra, Microsoft Sentinel çalışma kitaplarını kullanarak verileri görselleştirin ve izleyin. Microsoft Sentinel çalışma kitapları Azure İzleme çalışma kitaplarını temel alır ve Azure'da zaten kullanılabilir olan araçlara günlükleriniz ve sorgularınız için analiz içeren tablolar ve grafikler ekler.

Microsoft Sentinel, verileriniz genelinde özel çalışma kitapları oluşturmanıza veya paketlenmiş çözümlerle veya içerik hub'ından tek başına içerik olarak kullanılabilen mevcut çalışma kitabı şablonlarını kullanmanıza olanak tanır. Her çalışma kitabı, diğerleri gibi Azure bir kaynaktır ve kimlerin erişebileceğini tanımlamak ve sınırlamak için Azure rol tabanlı erişim denetimi (RBAC) ile bunu atayabilirsiniz.

Önemli

31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.

Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.

Önkoşullar

• Microsoft Sentinel çalışma alanının kaynak grubunda en az Çalışma kitabı okuyucusu veya Çalışma kitabı katkıda bulunanı izinlerine sahip olmanız gerekir.

  Microsoft Sentinel'de gördüğünüz çalışma kitapları, Microsoft Sentinel çalışma alanının kaynak grubuna kaydedilir ve oluşturuldukları çalışma alanı tarafından etiketlenir.

• Çalışma kitabı şablonu kullanmak için, çalışma kitabını içeren çözümü yükleyin veya çalışma kitabını Content Hub'dan tek başına bir öğe olarak yükleyin. Daha fazla bilgi için bkz. kullanıma hazır Microsoft Sentinel içeriği bulma ve yönetme.

• Defender portalında Azure Veri Gezgini bir veri kaynağıyla çalışıyorsanız Defender portalından Azure Veri Gezgini için yapılandırmayı ve kimlik doğrulamayı unutmayın.

Şablondan çalışma kitabı oluşturma

Çalışma kitabı oluşturmak için içerik hub'ından yüklenen bir şablonu kullanın.

1. Microsoft Sentinel'da Tehdit yönetimi > Çalışma Kitapları'nı seçin.

2. Yüklü çalışma kitabı şablonları listesini görmek için Çalışma Kitapları sayfasında Şablonlar sekmesini seçin. Ayrıntılarını görüntülemek için bir şablon seçin.

   Bazı çalışma kitaplarının çalışması için belirli veri bağlantıları gerekir. Çalışma kitabını kaydetmeden önce Gerekli veri türleri alanını denetleyin ve bu tür verilerin alındığından emin olun.

   Örneğin:

   Defender portalı

   

   Azure portal

   

3. Ayrıntılar bölmesinde Kaydet'i ve ardından çalışma kitabını kaydetmek istediğiniz konumu seçin. Bu eylem, ilgili şablona göre seçilen konumda bir Azure kaynağı oluşturur. Bu konuma yalnızca çalışma kitabının JSON dosyası kaydedilir ve veri kaydedilmez.

4. Ayrıntılar bölmesinde Kaydedilmiş çalışma kitabını görüntüle'yi seçerek düzenlemek üzere açın.

5. Çalışma kitabı açıkken Düzenle'yi seçerek çalışma kitabını ihtiyaçlarınıza göre özelleştirin.

   Defender portalı

   

   Defender portalında çalışırken, bazı görselleştirmeler yalnızca Azure portal görüntülenebilir. Bu gibi durumlarda, çalışma kitabını Azure portal açmak için Azure Aç'ı seçin.

   Azure portal

   

   Örneğin, geçerli seçimden farklı bir zaman aralığına ilişkin verileri görüntülemek için TimeRange filtresini seçin. Belirli bir çalışma kitabı alanını düzenlemek için Düzenle'yi seçin veya öğeleri eklemek için üç noktayı (...) seçin ya da alanı taşıyın, kopyalayabilir veya kaldırabilirsiniz.

   Çalışma kitabınızı kopyalamak için Farklı kaydet'i seçin. Kopyayı aynı abonelik ve kaynak grubu altında başka bir adla kaydedin. Kopyalanan çalışma kitapları, Microsoft Sentinel > Tehdit yönetimi > Çalışma Kitapları sayfasındaki Çalışma Kitaplarım sekmesinin altında da görüntülenir.

6. İşiniz bittiğinde, değişikliklerinizi kaydetmek için Düzenleme Bitti'yi seçin.

Daha fazla bilgi için bkz.:

• çalışma kitaplarını izleme Azure etkileşimli raporlar oluşturma
• Öğretici: Log Analytics'te görsel veriler

Yeni çalışma kitabı oluşturma

Microsoft Sentinel'de sıfırdan bir çalışma kitabı oluşturun.

1. Microsoft Sentinel Tehdit yönetimi > Çalışma Kitapları'nı ve ardından Çalışma kitabı ekle'yi seçin.

2. Çalışma kitabını düzenlemek için Düzenle'yi seçin ve sonra metin, sorgu ve parametreleri gerektiği gibi ekleyin.

   Çalışma kitabını özelleştirme hakkında daha fazla bilgi için bkz. çalışma kitaplarını izleme Azure etkileşimli raporlar oluşturma.

   

3. Sorgu oluştururken Veri kaynağınıGünlükler ve Kaynak türü olarak Log Analytics olarak ayarlayın ve ardından bir veya daha fazla çalışma alanı seçin.

   Sorgunuzun yerleşik bir tablo değil Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcısı kullanmasını öneririz. Sorgu daha sonra tek bir veri kaynağı yerine geçerli veya gelecekteki ilgili veri kaynaklarını destekler.

4. Düzenlemelerinizi bitirdiğinizde Düzenleme tamamlandı'yı ve ardından Kaydet'i seçin. Yan bölmede, çalışma kitabınız için anlamlı bir ad girin ve çalışma alanınız için aboneliği ve kaynak grubunu seçin.

5. Azure portal çalışırken, çalışma kitabını açmak için Simge Aç'ı seçerek çalışma alanınızdaki çalışma kitapları arasında geçiş yapın araç çubuğunda. Ekran, geçiş yapabileceğiniz diğer çalışma kitaplarının listesine geçer.

   Açmak istediğiniz çalışma kitabını seçin:

   

Çalışma kitaplarınız için yeni kutucuklar oluşturma

Microsoft Sentinel çalışma kitabına özel kutucuk eklemek için önce kutucuğu Log Analytics'te oluşturun. Daha fazla bilgi için bkz. Log Analytics'te görsel veriler.

Kutucuk oluşturduktan sonra Sabitle'yi seçin ve ardından kutucuğun görünmesini istediğiniz çalışma kitabını seçin.

Çalışma kitabı verilerinizi yenileme

Güncelleştirilmiş verileri görüntülemek için çalışma kitabınızı yenileyin. Araç çubuğunda aşağıdaki seçeneklerden birini belirleyin:

• Çalışma kitabı verilerinizi el ile yenilemek için yenileyin.

• Çalışma kitabınızı yapılandırılan bir aralıkta otomatik olarak yenilenmek üzere ayarlamak için otomatik yenileme.

  • Desteklenen otomatik yenileme aralıkları 5 dakika ile 1 gün arasında değişir.

  • Bir çalışma kitabını düzenlerken otomatik yenileme duraklatılır ve düzenleme modundan görünüm moduna her geçiş yaptığınızda aralıklar yeniden başlatılır.

  • Verilerinizi el ile yenilerseniz otomatik yenileme aralıkları da yeniden başlatılır.

  Varsayılan olarak, otomatik yenileme kapalıdır. Otomatik yenilemeyi açtıysanız, kötü durumdan en iyi duruma getirmek ve arka planda çalışmasını önlemek için not defterini her kapatışınızda yeniden kapatılır. Çalışma kitabını bir sonraki açışınızda otomatik yenilemeyi gerektiği gibi yeniden açın.

Çalışma kitabını yazdırma veya PDF olarak kaydetme (yalnızca Azure portal)

Çalışma kitabını yazdırmak veya PDF olarak kaydetmek için, çalışma kitabı başlığının sağındaki seçenekler menüsünü kullanın. Bu seçenekler yalnızca Azure portal kullanılabilir. Defender portalında çalışıyorsanız çalışma kitabını Azure portal açmak için Azure aç'ı seçin.

1. İçerik yazdır seçeneklerini > belirleyin.

2. Yazdırma ekranında, yazdırma ayarlarınızı gerektiği gibi ayarlayın veya pdf olarak kaydet'i seçerek yerel olarak kaydedin.

   Örneğin:

   

Bir veya daha fazla çalışma kitabını silme

Hem kaydedilmiş şablonları hem de özelleştirilmiş çalışma kitaplarını Çalışma Kitaplarım sekmesinden silebilirsiniz. Şablonların kendileri silinemez.

Çalışma kitabını silmek için, Çalışma kitaplarım sekmesinde çalışma kitabını seçin ve ardından Sil'i seçin. Bu eylem, çalışma kitabı kaynağını ve şablonda yaptığınız değişiklikleri kaldırır. Özgün şablon kullanılabilir durumda kalır.

Çalışma kitabı önerileri

Bu bölümde, çalışma kitaplarını Microsoft Sentinel ile kullanmaya yönelik temel önerilerimiz inceler.

Microsoft Entra ID çalışma kitapları ekleme

Microsoft Sentinel ile Microsoft Entra ID kullanıyorsanız, Microsoft Sentinel için Microsoft Entra çözümünü yüklemenizi ve aşağıdaki çalışma kitaplarını kullanmanızı öneririz:

• Microsoft Entra oturum açma işlemleri, anomali olup olmadığını görmek için zaman içinde oturum açmaları analiz eder. Bu çalışma kitabı uygulamalar, cihazlar ve konumlar tarafından başarısız oturum açma işlemleri sağlar, böylece olağan dışı bir durum oluştuğunda bir bakışta fark edebilirsiniz. Birden çok başarısız oturum açma işlemine dikkat edin.
• Microsoft Entra denetim günlükleri, kullanıcılardaki değişiklikler (ekleme, kaldırma vb.), grup oluşturma ve değişiklikler gibi yönetici etkinliklerini analiz eder.

Güvenlik duvarı çalışma kitapları ekleme

Güvenlik duvarınız için bir çalışma kitabı eklemek üzere İçerik hub'ından uygun çözümü yüklemenizi öneririz.

Örneğin, Palo Alto çalışma kitaplarını eklemek üzere Microsoft Sentinel için Palo Alto güvenlik duvarı çözümünü yükleyin. Çalışma kitapları güvenlik duvarı trafiğinizi analiz ederek güvenlik duvarı verilerinizle tehdit olayları arasında bağıntılar sağlar ve varlıklar arasında şüpheli olayları vurgular.

Farklı kullanımlar için farklı çalışma kitapları oluşturma

Çalışma kitaplarını kullanan her kişilik türü için, kişinin rolüne ve aradıkları role göre farklı görselleştirmeler oluşturmanızı öneririz. Örneğin, ağ yöneticiniz için güvenlik duvarı verilerini içeren bir çalışma kitabı oluşturun.

Alternatif olarak, çalışma kitaplarını ne sıklıkta bakmak istediğinize, günlük gözden geçirmek istediğiniz şeyler olup olmadığına ve saatte bir denetlemek istediğiniz diğer öğelere göre oluşturun. Örneğin, anomalileri aramak için saatte bir Microsoft Entra oturum açma işlemlerinize bakmak isteyebilirsiniz.

Haftalar arasındaki trafik eğilimlerini karşılaştırmak için örnek sorgu

Haftalar boyunca trafik eğilimlerini karşılaştıran bir görselleştirme oluşturmak için aşağıdaki sorguyu kullanın. Ortamınıza bağlı olarak, sorguyu çalıştırdığınız cihaz satıcısını ve veri kaynağını değiştirin.

Aşağıdaki örnek sorgu, Windows'tan SecurityEvent tablosunu kullanır. AzureActivity veya CommonSecurityLog tablosunda başka bir güvenlik duvarında çalışacak şekilde değiştirmek isteyebilirsiniz.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Birden çok kaynaktan alınan verilerle örnek sorgu

Birden çok kaynaktan veri içeren bir sorgu oluşturmak isteyebilirsiniz. Örneğin, oluşturulan yeni kullanıcılar için denetim günlüklerini Microsoft Entra bir sorgu oluşturun ve ardından kullanıcının oluşturulduktan sonraki 24 saat içinde rol ataması değişiklikleri yapmaya başlayıp başlamadığını görmek için Azure günlüklerinizi denetler. Bu şüpheli etkinlik aşağıdaki sorguyla bir görselleştirmede görünür:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Yukarıdaki örneklerde kullanılan aşağıdaki öğeler hakkında daha fazla bilgi için Kusto belgelerine bakın:

• where işleci
• extend işleci
• project işleci
• project-away işleci
• join işleci
• summarize işleci
• ago() işlevi
• bin() işlevi
• iff() işlevi
• tostring() işlevi
• count() toplama işlevi

KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

Diğer kaynaklar:

• KQL hızlı başvurusu
• Kusto Sorgu Dili öğrenme kaynakları

İlgili makaleler

Daha fazla bilgi için bkz.:

• Yaygın olarak kullanılan Microsoft Sentinel çalışma kitapları

• çalışma kitaplarını izleme Azure