Microsoft Sentinel'in kullanıma açık içeriğini bulma ve yönetme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Microsoft Sentinel İçerik hub'ı, kullanıma açık (yerleşik) içeriği bulmak ve yönetmek için merkezi konumunuzdur. Burada, etki alanına veya sektöre göre uçtan uca ürünler için paketlenmiş çözümler bulabilirsiniz. GitHub depomuzda ve özellik dikey pencerelerinde barındırılan çok sayıda tek başına katkıya erişebilirsiniz.

  • Durum, içerik türü, destek, sağlayıcı ve kategoriye göre tutarlı bir filtreleme özellikleri kümesiyle çözümleri ve tek başına içeriği keşfedin.

  • Çalışma alanınıza tek seferde veya tek tek içerik yükleyin.

  • liste görünümünde içeriği görüntüleyin ve hangi çözümlerin güncelleştirmeleri olduğunu hızla görün. Tek başına içerik otomatik olarak güncelleştirilirken çözümlerin tümünü bir kerede güncelleştirin.

  • İçerik türlerini yüklemek ve en son değişiklikleri almak için bir çözümü yönetin.

  • En güncel şablona göre yeni etkin öğeler oluşturmak için tek başına içeriği yapılandırın.

Kendi çözümünüzü oluşturmak isteyen bir iş ortağıysanız, çözüm yazma ve yayımlama için Microsoft Sentinel Çözümleri Derleme Kılavuzu'na bakın.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

İçerik hub'ında tek başına içerik veya çözümleri yüklemek, güncelleştirmek ve silmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir.

Microsoft Sentinel için desteklenen diğer roller ve izinler hakkında daha fazla bilgi için bkz . Microsoft Sentinel'de İzinler.

İçerik bul

İçerik hub'ı yeni içerik bulmanın veya zaten yüklemiş olduğunuz çözümleri yönetmenin en iyi yolunu sunar.

  1. Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında İçerik hub'ı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.

    İçerik hub'ı sayfasında aranabilir bir kılavuz veya çözüm ve tek başına içerik listesi görüntülenir.

  2. Filtrelerden belirli değerleri seçerek veya Arama alanına içerik adının veya açıklamasının herhangi bir bölümünü girerek görüntülenen listeyi filtreleyin.

    Daha fazla bilgi için bkz . Microsoft Sentinel kullanıma hazır içerik ve çözümler için kategoriler.

  3. Bir çözüm hakkında daha fazla bilgi görüntülemek için Kart görünümünü seçin.

    Her içerik öğesi, buna uygulanan kategorileri, çözümler ise dahil edilen içerik türlerini gösterir. Örneğin, aşağıdaki görüntüde Cisco Umbrella çözümü kategorilerinden birini Güvenlik - Bulut Güvenliği olarak listeler ve bir veri bağlayıcısı, analiz kuralları, avlanma sorguları, playbook'lar ve daha fazlasını içerdiğini gösterir.

İçerik yükleme veya güncelleştirme

Tek başına içeriği ve çözümleri tek tek veya toplu olarak yükleyin. Toplu işlemler hakkında daha fazla bilgi için sonraki bölümdeki toplu yükleme ve güncelleştirme içeriği bölümüne bakın.

Dağıttığınız bir çözümün son dağıttığınız tarihten sonra güncelleştirmeleri varsa, liste görünümünde durum sütununda Güncelleştir gösterilir. Çözüm, sayfanın üst kısmındaki Güncelleştirmeler sayısına da eklenir.

Burada tek bir çözümün yüklenmesini gösteren bir örnek verilmiştır.

  1. İçerik hub'ında çözümü arayın ve seçin.

  2. Çözümler ayrıntıları bölmesinde, sağ alt kısımdan Ayrıntıları görüntüle'yi seçin.

  3. Oluştur veya Güncelleştir'i seçin.

  4. Temel Bilgiler sekmesinde, çözümü dağıtmak için aboneliği, kaynak grubunu ve çalışma alanını girin. Örneğin:

    Temel Bilgiler sekmesini gösteren bir çözüm yükleme sihirbazının ekran görüntüsü.

  5. İçerik bileşenlerinin her biri hakkında bilgi edinmek ve bazı durumlarda yapılandırmak üzere kalan sekmelerde gezinmek için İleri'yi seçin.

    Sekmeler, çözüm tarafından sunulan içeriğe karşılık gelir. Farklı çözümlerin farklı içerik türleri olabilir, bu nedenle her çözümde aynı sekmeleri göremeyebilirsiniz.

    Microsoft Sentinel'in sistemlerinizde kimlik doğrulaması görebilmesi için üçüncü taraf bir hizmete kimlik bilgileri girmeniz de istenebilir. Örneğin, playbook'larda, sisteminizde belirtildiği gibi yanıt eylemleri yapmak isteyebilirsiniz.

  6. Gözden Geçir + oluştur sekmesinde iletiyi bekleyinValidation Passed.

  7. Çözümü dağıtmak için Oluştur veya Güncelleştir'i seçin. Çözümü kod olarak dağıtmak için Otomasyon için şablon indir bağlantısını da seçebilirsiniz.

Çözümdeki her içerik türünün yapılandırılması için daha fazla adım gerekebilir. Daha fazla bilgi için bkz . Çözümde içerik öğelerini etkinleştirme.

İçeriği toplu yükleme ve güncelleştirme

İçerik hub'ı, varsayılan kart görünümüne ek olarak liste görünümünü de destekler. Birden çok çözümü ve tek başına içeriği aynı anda yüklemek için liste görünümünü seçin. Tek başına içerik otomatik olarak güncel tutulur. İçerik hub'ından yüklenen çözümlere veya tek başına içeriğe dayalı olarak oluşturulan tüm etkin veya özel içeriklere dokunulmaz.

  1. Öğeleri toplu olarak yüklemek veya güncelleştirmek için liste görünümüne geçin.

  2. Toplu olarak yüklemek veya güncelleştirmek istediğiniz içeriği bulmak için arama veya filtreleme.

  3. Yüklemek veya güncelleştirmek istediğiniz her çözüm veya tek başına içerik için onay kutusunu seçin.

  4. Yükle/Güncelleştir düğmesini seçin. Birden çok çözümün seçili olduğu ve yükleme işlemi devam eden çözüm listesi görünümünün ekran görüntüsü.

    Seçtiğiniz bir çözüm veya tek başına içerik zaten yüklenmiş veya güncelleştirilmişse, bu öğe üzerinde hiçbir işlem yapılmaz. Diğer öğelerin güncelleştirilmesi ve yüklenmesini engellemez.

  5. Yüklediğiniz her çözüm için Yönet'i seçin. Çözüm içindeki içerik türleri, yapılandırmanız için daha fazla bilgi gerektirebilir. Daha fazla bilgi için bkz . Çözümde içerik öğelerini etkinleştirme.

Çözümde içerik öğelerini etkinleştirme

yüklü çözümler için içerik öğelerini içerik hub'ından merkezi olarak yönetin.

  1. İçerik hub'ında, sürümün 2.0.0 veya üzeri olduğu yüklü bir çözüm seçin.

  2. Çözüm ayrıntıları sayfasında Yönet'i seçin.

    Azure Etkinlik içerik hub'ı çözümünün ayrıntılar sayfasındaki yönet düğmesinin ekran görüntüsü.

  3. İçerik öğelerinin listesini gözden geçirin.

    Azure Etkinlik çözümü için çözüm açıklamasının ve içerik öğelerinin listesinin ekran görüntüsü.

  4. Başlamak için bir içerik öğesi seçin.

Her içerik türünü yönetme

Aşağıdaki bölümlerde, bir çözümü yönetirken farklı içerik türleriyle çalışma hakkında bazı ipuçları sağlanır.

Veri bağlayıcı

Veri bağlayıcısını bağlamak için yapılandırma adımlarını tamamlayın.

  1. Bağlayıcı sayfasını aç'ı seçin.

  2. Veri bağlayıcısı yapılandırma adımlarını tamamlayın.

    Durumun kesildiği Azure Etkinlik çözümü için veri bağlayıcısı içerik öğesinin ekran görüntüsü.

    Veri bağlayıcısını yapılandırdıktan ve günlükler algılandıktan sonra durum Bağlan olarak değişir.

Analiz kuralı

Şablondan bir kural oluşturun veya var olan bir kuralı düzenleyin.

  1. Şablonu analiz şablonu galerisinde görüntüleyin.

  2. Şablon henüz kullanılmadıysa Kural oluştur'u seçin >ve analiz kuralını etkinleştirmek için adımları izleyin.

    Bir kural oluşturduktan sonra, şablondan oluşturulan etkin kuralların sayısı, Oluşturulan içerik sütununda gösterilir.

  3. Mevcut kuralı düzenlemek için etkin kurallar bağlantısını seçin. Örneğin, aşağıdaki görüntüdeki etkin kural bağlantısı İçerik oluşturuldu altındadır ve 2 öğe gösterir.

    Azure Etkinliği çözümündeki analiz kuralı içerik öğesinin ekran görüntüsü.

Tehdit avcılığı sorgusu

Sağlanan tehdit avcılığı sorgusunu çalıştırın veya özelleştirin.

  1. Hemen aramaya başlamak için, hızlı sonuçlar için ayrıntılar sayfasında Sorguyu çalıştır'ı seçin.

    Azure Etkinliği çözümündeki kopyalanmış tehdit avcılığı sorgusu içerik öğesinin ekran görüntüsü.

  2. Tehdit avcılığı sorgunuzu özelleştirmek için İçerik adı sütunundaki bağlantıyı seçin.

    Tehdit avcılığı galerisinden, üç nokta menüsüne giderek salt okunur tehdit avcılığı sorgu şablonunun bir kopyasını oluşturabilirsiniz. Bu şekilde oluşturulan tehdit avcılığı sorguları, içerik hub'ı Oluşturuldu içerik sütununda öğeler olarak görüntülenir.

Çalışma Kitabı

Şablondan oluşturulan bir çalışma kitabını özelleştirmek için çalışma kitabının bir örneğini oluşturun.

  1. Çalışma kitabını açmak ve görselleştirmeleri görmek için Şablonu görüntüle'yi seçin.

  2. Çalışma kitabı şablonunun bir örneğini oluşturmak için Kaydet'i seçin.

  3. Kaydedilen çalışma kitabını görüntüle'yi seçerek kaydedilmiş özelleştirilebilir çalışma kitabınızı görüntüleyin.

  4. Çalışma kitabını yönetmek için içerik hub'ından Oluşturulan içerik sütunundaki 1 öğe bağlantısını seçin.

    Azure Etkinliği çözümünde kaydedilen çalışma kitabı öğesinin ekran görüntüsü.

Ayrıştırıcı

Bir çözüm yüklendiğinde, dahil edilen tüm ayrıştırıcılar Log Analytics'te çalışma alanı işlevleri olarak eklenir.

  1. Log Analytics'i açmak ve işlev kodunu görüntülemek veya çalıştırmak için İşlev kodunu yükle'yi seçin.

  2. Log Analytics'i özel sorgunuza eklemeye hazır ayrıştırıcı adıyla açmak için Düzenleyicide kullan'ı seçin.

    Çözümdeki ayrıştırıcı içerik türünün ekran görüntüsü.

Playbook

Şablondan playbook oluşturun.

  1. Playbook'un İçerik adı bağlantısını seçin.

  2. Şablonu seçin ve Playbook oluştur'u seçin.

  3. Playbook oluşturulduktan sonra etkin playbook, Oluşturulan içerik sütununda gösterilir.

  4. Playbook'u yönetmek için etkin playbook 1 öğe bağlantısını seçin.

    Çözümdeki playbook türü içerik türünün ekran görüntüsü.

İçeriğiniz için destek modelini bulma

Her çözüm ve tek başına içerik öğesi, destek modelini Ayrıntılar bölmesinde, Microsoft'un veya iş ortağının adının listelendiği Destek kutusunda açıklar. Örneğin:

Çözümünüz için destek modelinizi nerede bulabileceğinizin ekran görüntüsü.

Destek birimiyle iletişim kurarken, çözümünüzle ilgili yayımcı, sağlayıcı ve plan kimliği değerleri gibi diğer ayrıntılara ihtiyacınız olabilir. Bu bilgileri Kullanım bilgileri ve destek sekmesindeki ayrıntılar sayfasında bulabilirsiniz.

Bir çözüm için kullanım ve destek ayrıntılarının ekran görüntüsü.

Sonraki adımlar

Bu belgede, Microsoft Sentinel için yerleşik çözümleri ve tek başına içeriği bulmayı ve dağıtmayı öğrendiniz.

Birçok çözüm, verilerinizi Microsoft Sentinel'e alma işlemine başlayabilmeniz için yapılandırmanız gereken veri bağlayıcılarını içerir. Her veri bağlayıcısının, Microsoft Sentinel'deki veri bağlayıcısı sayfasında ayrıntılı olarak yer alan kendi gereksinimleri vardır.

Daha fazla bilgi için bkz. veri kaynağınızı Bağlan.