Özet kurallarıyla Microsoft Sentinel verilerini toplama

Tüm günlük katmanlarında daha sorunsuz bir güvenlik işlemleri deneyimi için arka planda büyük veri kümelerini toplamak için Microsoft Sentinel özet kurallarını kullanın. Özet veriler özel günlük tablolarında önceden derlenmiştir ve düşük maliyetli günlük katmanlarından türetilen veriler üzerinde çalıştırılan sorgular da dahil olmak üzere hızlı sorgu performansı sağlar. Özet kuralları, verilerinizi aşağıdakiler için iyileştirmenize yardımcı olabilir:

• Güvenlik ve olay analizi, aydan aya veya yıllık iş raporları vb. için gereken analiz ve raporlar, özellikle de büyük veri kümeleri ve zaman aralıkları üzerinde.
• Daha az veya daha ucuz bir günlük katmanında ihtiyacınız olduğu sürece tutabileceğiniz ayrıntılı günlüklerde maliyet tasarrufu sağlar ve özetlenmiş verileri analiz ve raporlar için yalnızca bir Analytics tablosuna gönderirsiniz.
• Özetlenmiş paylaşılabilir verilerdeki gizlilik ayrıntılarını kaldırarak veya gizleyerek ve ham veri içeren tablolara erişimi sınırlayarak güvenlik ve veri gizliliği.

Microsoft Sentinel özet kuralı sonuçlarını Analytics veri planıyla özel tablolarda depolar. Veri planları ve depolama maliyetleri hakkında daha fazla bilgi için bkz . Tablo planlarını günlüğe kaydetme.

Bu makalede, Microsoft Sentinel'da özet kuralları oluşturma veya önceden oluşturulmuş özet kural şablonları dağıtma işlemleri açıklanır ve özet kurallarını kullanmaya yönelik yaygın senaryolara örnekler sağlanır.

Önemli

31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır. Temmuz 2025'te birçok yeni müşteri otomatik olarak eklenir ve Defender portalına yönlendirilir.

Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz. Taşıma Zamanı: Daha fazla güvenlik için Microsoft Sentinel Azure portal kullanımdan kaldırma.

Önkoşullar

Microsoft Sentinel özet kuralları oluşturmak için:

• Microsoft Sentinel en az bir çalışma alanında etkinleştirilmeli ve günlükleri etkin bir şekilde tüketmelidir.

• Microsoft Sentinel Katkıda Bulunan izinleriyle Microsoft Sentinel erişebilmeniz gerekir. Daha fazla bilgi için bkz. Microsoft Sentinel'de roller ve izinler.

• Microsoft Defender portalında özet kuralları oluşturmak için öncelikle çalışma alanınızı Defender portalına eklemeniz gerekir. Daha fazla bilgi için bkz. Microsoft Sentinel Microsoft Defender portalına bağlama.

Kuralınızı oluşturmadan önce Günlükler sayfasında özet kural sorgunuzu denemenizi öneririz. Sorgunun sorgu sınırına ulaşmadığını veya buna yakın olmadığını doğrulayın ve sorgunun istenen şemayı ve beklenen sonuçları oluşturup oluşturmadığını denetleyin. Sorgu sorgu sınırlarına yakınsa, bölme başına daha az veri işlemek için daha küçük binSize bir değer kullanmayı göz önünde bulundurun. Sorguyu daha az kayıt döndürecek veya daha yüksek birime sahip alanları kaldıracak şekilde de değiştirebilirsiniz.

Yeni bir özet kuralı oluşturma

Belirli bir büyük veri kümesini dinamik tabloya toplamak için yeni bir özet kuralı oluşturun. Toplanan veri kümenizin ham verilerden ne sıklıkta güncelleştirildiğini belirlemek için kural sıklığınızı yapılandırın.

1. Özet kuralı sihirbazını açın:

   • Defender portalında Microsoft Sentinel > Yapılandırma > Özeti kurallarını seçin.

   • Azure portal, Microsoft Sentinel gezinti menüsündeki Yapılandırma'nın altında Özet kuralları'nı seçin. Örneğin:

     

2. + Oluştur'u seçin ve aşağıdaki ayrıntıları girin:

   • Adı. Kuralınız için anlamlı bir ad girin.

   • Açıklama. İsteğe bağlı bir açıklama girin.

   • Hedef tablo. Verilerinizin toplandığı özel günlük tablosunu tanımlayın:

     • Var olan özel günlük tablosu'nu seçerseniz, kullanmak istediğiniz tabloyu seçin.

     • Yeni özel günlük tablosu'nu seçerseniz, tablonuz için anlamlı bir ad girin. Tam tablonuzun adı aşağıdaki söz dizimini kullanır: <tableName>_CL.

3. Geçmiş çalıştırmaların ve hataların görünürlüğünü elde etmek için çalışma alanınızda SummaryLogs tanılama ayarlarını etkinleştirmenizi öneririz. SummaryLogs tanılama ayarları etkin değilse, tanılama ayarları alanında bunları etkinleştirmeniz istenir.

   SummaryLogs tanılama ayarları zaten etkinse ancak ayarları değiştirmek istiyorsanız Gelişmiş tanılama ayarlarını yapılandır'ı seçin. Özet kuralı sihirbazı sayfasına geri döndüğünüzde, ayar ayrıntılarınızı yenilemek için Yenile'yi seçtiğinizden emin olun.

   Önemli

   SummaryLogs tanılama ayarının ek maliyetleri vardır. Daha fazla bilgi için bkz. Azure İzleyici'de tanılama ayarları.

4. Devam etmek için İleri: Özet mantığını >ayarla'yı seçin.

5. Özet mantığını ayarla sayfasında özet sorgunuzu girin. Örneğin, Google Cloud Platform'dan verileri özetlemek için şunları girmek isteyebilirsiniz:

   GCPAuditLogs
   | where ServiceName == 'pubsub.googleapis.com'
   | summarize count() by Severity
   

   Daha fazla bilgi için bkz. Azure İzleyici'de örnek özet kuralı senaryoları ve Kusto Sorgu Dili (KQL).

6. Yapılandırılan sorguyla topladığınız verilerin bir örneğini göstermek için Sonuçları önizleme'yi seçin.

7. Sorgu zamanlama alanında aşağıdaki ayrıntıları tanımlayın:

   • Kuralın ne sıklıkta çalışmasını istiyorsunuz?
   • Kuralın herhangi bir gecikme süresiyle (dakika cinsinden) çalışmasını isteyip istemediğiniz
   • Kuralın çalışmaya başlamasını istediğinizde

   Zamanlamada tanımlanan süreler, verilerinizdeki timegenerated sütunu temel alır

8. Özet kuralını tamamlamak için İleri: Gözden geçir + Kaydet oluştur'u >> seçin.

Mevcut özet kuralları, kural durumunuzu gözden geçirebileceğiniz Özet kuralları sayfasında listelenir. Her kural için, aşağıdaki eylemlerden herhangi birini yapmak için satırın sonundaki seçenekler menüsünü seçin:

• Sorguyu hemen çalıştıracak gibi kuralın geçerli verilerini Günlükler sayfasında görüntüleyin
• Seçili kural için çalıştırma geçmişini görüntüleme
• Kuralı devre dışı bırakın veya etkinleştirin.
• Kural yapılandırmasını düzenleme

Kuralı silmek için kural satırını seçin ve ardından sayfanın üst kısmındaki araç çubuğunda Sil'i seçin.

Not

Azure İzleyici, API veya Azure Kaynak İzleyicisi (ARM) şablonu aracılığıyla özet kuralları oluşturmayı da destekler. Daha fazla bilgi için bkz. Özet kuralı oluşturma veya güncelleştirme.

Önceden oluşturulmuş özet kural şablonlarını dağıtma

Özet kuralı şablonları, olduğu gibi dağıtabileceğiniz veya gereksinimlerinize göre özelleştirebileceğiniz önceden oluşturulmuş özet kurallarıdır.

Özet kural şablonu dağıtmak için:

1. İçerik hub'ını açın ve kullanılabilir özet kuralı şablonlarını görüntülemek için İçerik türünüÖzet kurallarına göre filtreleyin.

   

2. Bir özet kuralı şablonu seçin.

   Açıklama, özet sorgusu ve hedef tablo gibi alanları görüntüleyen özet kural şablonu hakkında bilgi içeren bir panel açılır.

   

3. Şablonu yüklemek için Yükle'yi seçin.

4. Özet kuralları sayfasında Şablonlar sekmesini seçin ve yüklediğiniz özet kuralını seçin.

   

5. Tüm alanların önceden doldurulduğu Özet kuralı sihirbazını açmak için Oluştur'u seçin.

6. Özet kuralı sihirbazını gözden geçirip Kaydet'i seçerek özet kuralını dağıtın.

   Özet kuralı sihirbazı hakkında daha fazla bilgi için bkz. Yeni özet kuralı oluşturma.

Microsoft Sentinel'de örnek özet kuralı senaryoları

Bu bölümde, Microsoft Sentinel'da özet kuralları oluşturmaya yönelik yaygın senaryolar ve her kuralın nasıl yapılandırıldığından ilgili önerilerimiz inceler. Daha fazla bilgi ve örnek için yardımcı günlük alımı için kullanılacak yardımcı tablodaki ham verilerden Microsoft Sentinel ve Günlük kaynaklarındaki Analiz tablosuna içgörüleri özetleme bölümüne bakın.

Ağ trafiğinizde kötü amaçlı bir IP adresini hızla bulma

Senaryo: Bir tehdit avcısısınız ve ekibinizin hedeflerinden biri, son 90 gün içinde etkin bir olaydan gelen ağ trafiği günlüklerinde kötü amaçlı bir IP adresinin etkileşime geçtiği tüm örnekleri belirlemektir.

Sınama: Microsoft Sentinel şu anda günde birden çok terabayt ağ günlüğü alır. Kötü amaçlı IP adresinin eşleşmelerini bulmak için hızlı bir şekilde bunlar arasında ilerlemeniz gerekir.

Çözüm: Aşağıdakileri yapmak için özet kuralları kullanmanızı öneririz:

1. , ve gibi FirstTimeSeenLastTimeSeenIPTypeönemli öznitelikleri listeleyen her biri dahil olmak üzere RemoteIPSourceIPMaliciousIPDestinationIPolayla ilgili her IP adresi için bir özet veri kümesi oluşturun.

   Özet veri kümesi, belirli bir IP adresini hızla aramanızı ve IP adresinin bulunduğu zaman aralığını daraltmanızı sağlar. Bu işlemi, arama yapılan olaylar 90 günden daha uzun bir süre önce gerçekleştiğinde bile yapabilirsiniz ve bu da çalışma alanı saklama süresinin ötesindedir.

   Bu örnekte, sorgunun süresi dolana kadar her gün yeni özet kayıtları eklemesi için özeti günlük çalışacak şekilde yapılandırın.

2. Özet veri kümesinde iki dakikadan kısa bir süre boyunca çalışan bir analiz kuralı oluşturun ve kötü amaçlı IP adresi şirket ağıyla etkileşime geçtiğinde belirli bir zaman aralığını hızla inceleyin.

   Farklı özet yük boyutlarını barındırmak için en az beş dakikalık çalışma aralıkları yapılandırıldığından emin olun. Bu, olay alımı gecikmesi olduğunda bile kayıp olmamasını sağlar.

   Örneğin:

   let csl_columnmatch=(column_name: string) {
   summarized_CommonSecurityLog
   | where isnotempty(column_name)
   | extend
       Date = format_datetime(TimeGenerated, "yyyy-MM-dd"),
       IPaddress = column_ifexists(column_name, ""),
       FieldName = column_name
   | extend IPType = iff(ipv4_is_private(IPaddress) == true, "Private", "Public")
   | where isnotempty(IPaddress)
   | project Date, TimeGenerated, IPaddress, FieldName, IPType, DeviceVendor
   | summarize count(), FirstTimeSeen = min(TimeGenerated), LastTimeSeen = min(TimeGenerated) by Date, IPaddress, FieldName, IPType, DeviceVendor
   };
   union csl_columnmatch("SourceIP")
       , csl_columnmatch("DestinationIP") 
       , csl_columnmatch("MaliciousIP")
       , csl_columnmatch("RemoteIP")
   // Further summarization can be done per IPaddress to remove duplicates per day on larger timeframe for the first run
   | summarize make_set(FieldName), make_set(DeviceVendor) by IPType, IPaddress
   

3. Saldırı hikayesini tamamlamak için sonraki bir aramayı veya diğer verilerle bağıntıyı çalıştırın.

Ağ verileriyle yapılan tehdit bilgileri eşleşmeleriyle ilgili uyarılar oluşturma

Gürültülü, yüksek hacimli ve düşük güvenlik değeri olan ağ verilerine karşı tehdit bilgileri eşleşmeleriyle ilgili uyarılar oluşturun.

Senaryo: Güvenlik duvarı günlükleri için bir tehdit bilgileri etki alanı adı listesinde ziyaret edilen sistemdeki etki alanı adlarıyla eşleşecek bir analiz kuralı oluşturmanız gerekir.

Veri kaynaklarının çoğu gürültülü ve yüksek hacimli ham günlüklerdir, ancak IP adresleri, Azure Güvenlik Duvarı trafiği, Trafiği fortigate vb. gibi daha düşük güvenlik değerlerine sahiptir. Günde yaklaşık 1 TB toplam hacim vardır.

Zorluk: Ayrı kurallar oluşturmak için birden çok mantıksal uygulama gerekir ve ek kurulum ve bakım ek yükü ve maliyetleri gerekir.

Çözüm: Aşağıdakileri yapmak için özet kuralları kullanmanızı öneririz:

1. Özet kuralı oluşturma:

   1. Yardımcı plan ile CommonSecurityLog olan CommonSecurityLog_CL tablosundan kaynak adres, hedef adres ve hedef bağlantı noktası gibi anahtar alanlarını ayıklamak için sorgunuzu genişletin.

   2. Kaynak adresimizle tüm eşleşmeleri belirlemek için etkin Tehdit Bilgileri Göstergelerine karşı iç arama gerçekleştirin. Bu sayede verilerinize bilinen tehditlerle çapraz başvuruda bulunabilirsiniz.

   3. Oluşturulan zaman, etkinlik türü ve kötü amaçlı kaynak IP'ler dahil olmak üzere ilgili bilgileri hedef ayrıntılarıyla birlikte projeleyin. Sorgunun çalıştırılmasını istediğiniz sıklığı ve MaliciousIPDetection gibi hedef tabloyu ayarlayın. Bu tablodaki sonuçlar analiz katmanındadır ve buna göre ücretlendirilir.

2. Uyarı oluşturma:

   Microsoft Sentinel'da MaliciousIPDetection tablosundan alınan sonuçlara göre uyarı veren bir analiz kuralı oluşturma. Bu adım, proaktif tehdit algılama ve olay yanıtı için çok önemlidir.

Örnek özet kuralı:

CommonSecurityLog_CL​
| extend sourceAddress = tostring(parse_json(Message).sourceAddress), destinationAddress = tostring(parse_json(Message).destinationAddress), destinationPort = tostring(parse_json(Message).destinationPort)​
| lookup kind=inner (ThreatIntelligenceIndicator | where Active == true ) on $left.sourceAddress == $right.NetworkIP​
| project TimeGenerated, Activity, Message, DeviceVendor, DeviceProduct, sourceMaliciousIP =sourceAddress, destinationAddress, destinationPort

İlgili içerik

• Özet kurallarıyla Log Analytics çalışma alanında veri toplama
• Maliyetleri planlama ve Microsoft Sentinel fiyatlandırma ve faturalamayı anlama
• Yardımcı Günlük alımı için kullanılacak günlük kaynakları
• Özet kuralları kısıtlamaları ve sınırlamaları