Microsoft Sentinel'de uyarılarda surface özel olay ayrıntıları

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Zamanlanmış sorgu analizi kuralları, Microsoft Sentinel'e bağlı veri kaynaklarından gelen olayları analiz eder ve bu olayların içeriği güvenlik açısından önemli olduğunda uyarılar üretir. Bu uyarılar, Microsoft Sentinel'in çeşitli altyapıları tarafından daha fazla analiz edilir, gruplandırılır ve filtrelenir ve soC analistlerinin dikkatini çeken olaylara damıtılır. Ancak analist olayı görüntülediğinde yalnızca bileşen uyarılarının özellikleri hemen görünür. Gerçek içeriğe (olaylarda yer alan bilgiler) gitmek için biraz araştırma yapılması gerekir.

Analiz kuralı sihirbazındaki özel ayrıntılar özelliğini kullanarak, olay verilerini bu olaylardan oluşan uyarılarda ortaya çıkararak olay verilerini uyarı özelliklerinin bir parçası yapabilirsiniz. Bu, olaylarınızda anında olay içeriği görünürlüğü sağlayarak önceliklendirme, araştırma, sonuç çıkarma ve çok daha fazla hız ve verimlilikle yanıt vermenizi sağlar.

Aşağıda ayrıntılı olarak sunulan yordam, analiz kuralı oluşturma sihirbazının bir parçasıdır. Burada, mevcut bir analiz kuralına özel ayrıntılar ekleme veya değiştirme senaryolarını ele almak için bağımsız olarak ele alınır.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Özel olay ayrıntılarını ortaya çıkar

1. Microsoft Sentinel'e eriştiğiniz portalda Analiz sayfasını girin:

   Azure portalı

   Microsoft Sentinel gezinti menüsünün Yapılandırma bölümünde Analiz'i seçin.

   Defender portalı

   Microsoft Defender gezinti menüsünden Microsoft Sentinel'i ve ardından Yapılandırma'yı genişletin. Analizler seçeneğini belirleyin.

2. Zamanlanmış bir sorgu kuralı seçin ve Düzenle'ye tıklayın. Ya da ekranın üst kısmındaki Zamanlanmış sorgu kuralı oluştur'a > tıklayarak yeni bir kural oluşturabilirsiniz.

3. Kural mantığı ayarla sekmesine tıklayın.

4. Uyarı zenginleştirme bölümünde Özel ayrıntılar'ı genişletin.

   

5. Şimdi genişletilmiş Özel ayrıntılar bölümünde, ortaya çıkarmanızı istediğiniz ayrıntılara karşılık gelen anahtar-değer çiftlerini ekleyin:

   1. Anahtar alanına, seçtiğiniz ve uyarılarda alan adı olarak görünecek bir ad girin.

   2. Değer alanında, açılan listeden uyarılarda yer almak istediğiniz olay parametresini seçin. Bu liste, kural sorgusunun konusu olan tablolardaki alanlara karşılık gelen değerlerle doldurulur.

      

6. Daha fazla ayrıntı görüntülemek için Yeni ekle'ye tıklayarak anahtar-değer çiftlerini tanımlamak için son adımları yineleyin.

   Fikrinizi değiştirirseniz veya bir hata yaptıysanız, bu ayrıntı için Değer açılan listesinin yanındaki çöp kutusu simgesine tıklayarak özel bir ayrıntıyı kaldırabilirsiniz.

7. Özel ayrıntıları tanımlamayı bitirdiğinizde Gözden geçir ve oluştur sekmesine tıklayın. Kural doğrulaması başarılı olduktan sonra Kaydet'e tıklayın.

   Not

   Hizmet sınırlamaları

   • Tek bir analiz kuralında en fazla 20 özel ayrıntı tanımlayabilirsiniz. Her özel ayrıntı en fazla 50 değer içerebilir.

   • Tek bir uyarıdaki tüm özel ayrıntılar ve bunların değerleri için birleşik boyut sınırı 2 KB'tır. Bu sınırı aşan değerler bırakılır.

Sonraki adımlar

Bu belgede, Microsoft Sentinel analiz kurallarını kullanarak özel ayrıntıları uyarılarda nasıl ortaya çıkarabileceğinizi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Uyarılarınızı zenginleştirmenin diğer yollarını keşfedin:
  • Microsoft Sentinel'de veri alanlarını varlıklarla eşleme
  • Microsoft Sentinel'de uyarı ayrıntılarını özelleştirme
• Zamanlanmış sorgu analizi kurallarında resmin tamamını alın.
• Microsoft Sentinel'deki varlıklar hakkında daha fazla bilgi edinin.