Ekleme Microsoft Sentinel

Bu hızlı başlangıçta, Microsoft Sentinel etkinleştirip içerik hub'ından bir çözüm yükleyeceksiniz. Ardından, verileri Microsoft Sentinel almaya başlamak için bir veri bağlayıcısı ayarlayacaksınız.

Microsoft Sentinel, Microsoft Defender XDR hizmet-hizmet bağlayıcısı gibi Microsoft ürünleri için birçok veri bağlayıcısı ile birlikte gelir. Ayrıca Syslog veya Ortak Olay Biçimi (CEF) gibi Microsoft dışı ürünler için yerleşik bağlayıcıları etkinleştirebilirsiniz. Bu hızlı başlangıçta, Microsoft Sentinel için Azure Etkinliği çözümünde bulunan Azure Etkinliği veri bağlayıcısını kullanacaksınız.

API kullanarak Microsoft Sentinel eklemek için Sentinel Ekleme Durumlarının desteklenen en son sürümüne bakın.

Önkoşullar

• Etkin Azure Aboneliği. Hesabınız yoksa başlamadan önce ücretsiz bir hesap oluşturun.

• İzinler:

  • Microsoft Sentinel etkinleştirmek için, Microsoft Sentinel çalışma alanının bulunduğu abonelikte katkıda bulunan izinlerine sahip olmanız gerekir.

  • Microsoft Sentinel kullanmak için, çalışma alanının ait olduğu kaynak grubunda Microsoft Sentinel Katkıda Bulunan veya Microsoft Sentinel Okuyucu izinlerine sahip olmanız gerekir.

  • İçerik hub'ına çözüm yüklemek veya yönetmek için, çalışma alanının ait olduğu kaynak grubunda Microsoft Sentinel Katkıda Bulunan rolüne sahip olmanız gerekir.

  • Yeni bir Microsoft Sentinel müşterisiyseniz ve abonelik Sahibi veya Kullanıcı erişimi yöneticisi izinlerine sahipseniz çalışma alanınız otomatik olarak Defender portalına eklenir. Bu tür çalışma alanlarının kullanıcıları yalnızca Defender portalında Microsoft Sentinel kullanır.

• Microsoft Sentinel ücretli bir hizmettir. Fiyatlandırma seçeneklerini ve Microsoft Sentinel fiyatlandırma sayfasını gözden geçirin.

• Microsoft Sentinel bir üretim ortamına dağıtmadan önce, Microsoft Sentinel dağıtmak için ön dağıtım etkinliklerini ve önkoşullarını gözden geçirin.

Log Analytics çalışma alanı oluşturma

Microsoft Sentinel çalışma alanına eklenmelidir. Zaten bir Log Analytics çalışma alanınız varsa Log Analytics çalışma alanınıza Microsoft Sentinel ekleme bölümüne atlayın. Henüz bir Log Analytics çalışma alanınız yoksa, aşağıdaki yönergeleri kullanarak bir çalışma alanı oluşturabilir veya daha ayrıntılı bir açıklama için Log Analytics çalışma alanı oluşturma bölümüne gidin. Log Analytics çalışma alanları hakkında daha fazla bilgi için bkz. Azure İzleyici Günlükleri dağıtımınızı tasarlama.

Microsoft Sentinel için kullanılan Log Analytics çalışma alanında varsayılan olarak 30 gün bekletmeniz olabilir. Tüm Microsoft Sentinel işlevselliğini ve özelliklerini kullanabileceğinden emin olmak için saklama süresini 90 güne yükseltin. Azure İzleyici Günlüklerinde veri saklama ve arşiv ilkelerini yapılandırın.

1. Azure portalda oturum açın.

2. Microsoft Sentinel arayın ve seçin.
   

3. Oluştur’u seçin.

4. Yeni çalışma alanı oluştur'u seçin.

5. Abonelik>Kaynağı grubu'nun altında Yeni oluştur'u seçin. Kaynak grubunuz için bir ad girin ve Tamam'ı seçin.

6. Çalışma alanına bir ad verin ve bir bölge seçin, ardından Gözden Geçir + Oluştur'u seçin. ( Log Analytics'in hangi bölgelerde kullanılabildiğini görün.)

7. Doğrulama tamamlandıktan sonra Oluştur'u seçin. Dağıtımınız tamamlanana kadar bekleyin.

Log Analytics çalışma alanınıza Microsoft Sentinel ekleme

1. Azure portal Microsoft Sentinel arayın ve seçin.

2. Oluştur’u seçin.

3. Kullanmak istediğiniz çalışma alanını seçin ve Ekle'yi seçin. birden fazla çalışma alanında Microsoft Sentinel çalıştırabilirsiniz, ancak veriler tek bir çalışma alanında yalıtılır.

   • Bulut için Microsoft Defender tarafından oluşturulan varsayılan çalışma alanları listede gösterilmez. Bu çalışma alanlarına Microsoft Sentinel yükleyemezsiniz.
   • Çalışma alanına dağıtıldıktan sonra Microsoft Sentinel bu çalışma alanını başka bir kaynak grubuna veya aboneliğe taşımayı desteklemez.

Not

Çalışma alanınız Defender portalına otomatik olarak eklenmemişse, hem Microsoft Sentinel hem de diğer Microsoft güvenlik hizmetlerinde güvenlik işlemlerini (SecOps) yönetme konusunda birleşik bir deneyim için eklemenizi öneririz. Daha fazla bilgi için bkz. Defender portalına Microsoft Sentinel ekleme.

Çalışma alanınız otomatik olarak eklendiyse veya çalışma alanınızı şimdi eklemeye karar verirseniz, bu makaledeki yordamlara Defender portalından devam edebilirsiniz. Defender portalını ilk kez kullanıyorsanız işlem tamamlanırken birkaç dakika gecikme olacaktır.

Defender portalında erişim Microsoft Sentinel

Defender portalında Microsoft Sentinel erişmek için:

1. Defender portalında oturum açın.

   Defender portalına ilk kez erişişinizde kiracınızın sağlanması biraz zaman alır.

2. Sağlandıktan sonra gezinti bölmesinde kullanılabilir Microsoft Sentinel görürsünüz ve Microsoft Sentinel düğümler iç içe yerleştirilmiş olur. Örneğin:

   

3. Gezinti bölmesinde aşağı kaydırın ve Defender portalına eklenen ve kullanımınıza sunulan çalışma alanlarını görüntülemek için Ayarlar > Microsoft Sentinel > Çalışma Alanları'nı seçin.

Defender portalı, kiracı başına birincil çalışma alanı işlevi gören bir çalışma alanıyla birden çok çalışma alanını destekler. Daha fazla bilgi için bkz. Defender portalında birden çok Microsoft Sentinel çalışma alanı ve çok kiracılı yönetimi Microsoft Defender.

İçerik hub'ından çözüm yükleme

Microsoft Sentinel'deki içerik hub'ı, veri bağlayıcıları da dahil olmak üzere kullanıma alınmış içeriği bulmak ve yönetmek için merkezi bir konumdur. Bu hızlı başlangıç için Azure Etkinliği çözümünü yükleyin.

1. Microsoft Sentinel'da İçerik hub'ı sayfasına gidin ve Azure Etkinliği çözümünü bulun ve seçin.

   Defender portalı

   

   Azure portal

   

2. Yandaki çözüm ayrıntıları bölmesinde Yükle'yi seçin.

Veri bağlayıcısını ayarlama

Microsoft Sentinel hizmete bağlanarak ve olayları ve günlükleri Microsoft Sentinel ileterek hizmetlerden ve uygulamalardan veri alır. Bu hızlı başlangıçta, Azure Etkinliği verilerini Microsoft Sentinel iletmek için veri bağlayıcısını yükleyin.

1. Microsoft Sentinel YapılandırmaVerileri bağlayıcıları'nıseçin> ve Azure Etkinliği veri bağlayıcısını arayın ve seçin.

2. Bağlayıcı ayrıntıları bölmesinde Bağlayıcı sayfasını aç'ı seçin. Veri bağlayıcısını ayarlamak için Azure Etkinliği bağlayıcısı sayfasındaki yönergeleri kullanın.

   1. Atama sihirbazını Azure İlkesi başlat'ı seçin.

   2. Temel Bilgiler sekmesinde Kapsamı, Microsoft Sentinel gönderilecek etkinliği olan abonelik ve kaynak grubu olarak ayarlayın. Örneğin, Microsoft Sentinel örneğinizi içeren aboneliği seçin.

   3. Parametreler sekmesini seçin ve Birincil Log Analytics çalışma alanını ayarlayın. Bu, Microsoft Sentinel yüklü olduğu çalışma alanı olmalıdır.

   4. Gözden Geçir + oluştur ve Oluştur'u seçin.

Etkinlik verileri oluşturma

şimdi Microsoft Sentinel için Azure Etkinliği çözümüne dahil edilen bir kuralı etkinleştirerek bazı etkinlik verileri oluşturalım. Bu adım, içerik hub'ında içeriğin nasıl yönetileceğini de gösterir.

1. Microsoft Sentinel'da İçerik hub'ı seçin ve Azure Etkinliği çözümünde Şüpheli Kaynak dağıtım kuralı şablonunu arayın ve seçin.

2. Ayrıntılar bölmesinde Kural oluştur'u seçerek Analiz kuralı sihirbazını kullanarak yeni bir kural oluşturun.

3. Analiz kuralı sihirbazı - Yeni bir Zamanlanmış kural oluşturma sayfasında Durum'uEtkin olarak değiştirin.

   Bu sekmede ve sihirbazdaki diğer tüm sekmelerde varsayılan değerleri olduğu gibi bırakın.

4. Gözden geçir ve oluştur sekmesinde Oluştur'u seçin.

Microsoft Sentinel alınan verileri görüntüleme

artık Azure Etkinlik verileri bağlayıcısını etkinleştirdiğinize ve bazı etkinlik verileri oluşturduğunuza göre çalışma alanına eklenen etkinlik verilerini görüntüleyebilirsiniz.

1. Microsoft Sentinel YapılandırmaVerileri bağlayıcıları'nıseçin> ve Azure Etkinliği veri bağlayıcısını arayın ve seçin.

2. Bağlayıcı ayrıntıları bölmesinde Bağlayıcı sayfasını aç'ı seçin.

3. Veri bağlayıcısının durumunu gözden geçirin. Bağlı olmalıdır.

   

4. Hangi portalı kullandığınıza bağlı olarak devam etmek için bir sekme seçin:

   Defender portalı

   1. Gelişmiş tehdit avcılığı sayfasını açmak için Log Analytics'e git'i seçin.

   2. Bölmenin üst kısmındaki Yeni sorgu sekmesinin yanında yeni sorgu eklemek için sekmesini seçin + .

   3. Çalışma alanına alınan etkinlik tarihini görüntülemek için aşağıdaki sorguyu çalıştırın:

      AzureActivity
      

   Örneğin:

   

   Azure portal

   1. sorguya git'i seçerek Azure portal Günlükler sayfasını açın.

   2. Bölmenin üst kısmındaki Yeni sorgu 1 sekmesinin yanındaki yeni sorgu sekmesi eklemek için öğesini seçin + .

   3. Yan tarafta Basit moddanKQL moduna geçin ve çalışma alanına alınan etkinlik tarihini görüntülemek için aşağıdaki sorguyu çalıştırın:

      AzureActivity
      

   Örneğin:

   

---

Sonraki adımlar

Bu hızlı başlangıçta Microsoft Sentinel etkinleştirmiş ve içerik hub'ından bir çözüm yüklemişsinizdir. Ardından, verileri Microsoft Sentinel almaya başlamak için bir veri bağlayıcısı ayarlarsınız. Ayrıca çalışma alanında verileri görüntüleyerek verilerin alındığını da doğruladınız.

Defender portalına otomatik olarak eklenen yeni bir müşteriyseniz kullanıcılarınız yalnızca Defender portalında Microsoft Sentinel erişecektir. Microsoft Sentinel belgelerini kullanırken, belgelerin Defender portalı sürümünü seçtiğinizden emin olun.

• Panoları ve çalışma kitaplarını kullanarak topladığınız verileri görselleştirmek için bkz. Toplanan verileri görselleştirme.
• Analiz kurallarını kullanarak tehditleri algılamak için bkz. Öğretici: Microsoft Sentinel analiz kurallarını kullanarak tehditleri algılama.