Microsoft Sentinel'de çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Veri kaynaklarınızı Microsoft Sentinel'e bağladıktan sonra, Microsoft Sentinel'deki çalışma kitaplarını kullanarak verileri görselleştirin ve izleyin. Microsoft Sentinel verileriniz genelinde özel çalışma kitapları oluşturmanıza veya paketlenmiş çözümlerle sağlanan mevcut çalışma kitabı şablonlarını kullanmanıza veya içerik hub'ından tek başına içerik olarak kullanmanıza olanak tanır. Bu şablonlar, bir veri kaynağına bağlanır bağlanmaz verileriniz arasında hızla içgörüler elde etmenize olanak sağlar.

Bu makalede, çalışma kitaplarını kullanarak Verilerinizi Microsoft Sentinel'de görselleştirme açıklanmaktadır.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

  • Microsoft Sentinel çalışma alanının kaynak grubunda en az Çalışma Kitabı okuyucusu veya Çalışma kitabı katkıda bulunanı izinlerine sahip olmanız gerekir.

    Microsoft Sentinel'de gördüğünüz çalışma kitapları, Microsoft Sentinel çalışma alanının kaynak grubuna kaydedilir ve oluşturuldukları çalışma alanı tarafından etiketlenir.

  • Çalışma kitabı şablonu kullanmak için, çalışma kitabını içeren çözümü yükleyin veya çalışma kitabını İçerik Hub'ından tek başına bir öğe olarak yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

Şablondan çalışma kitabı oluşturma

Çalışma kitabı oluşturmak için içerik hub'ından yüklenen bir şablonu kullanın.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Çalışma Kitapları'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Çalışma Kitapları'nı seçin.

  2. Yüklü çalışma kitabı şablonlarının listesini görmek için Çalışma Kitapları'na gidin ve Şablonlar'ı seçin.

    Hangi şablonların bağlandığınız veri türleriyle ilgili olduğunu görmek için, varsa her çalışma kitabındaki Gerekli veri türleri alanını gözden geçirin.

  3. Şablon ayrıntıları bölmesinden ve şablon için JSON dosyasını kaydetmek istediğiniz konumdan Kaydet'i seçin. Bu eylem, ilgili şablonu temel alan bir Azure kaynağı oluşturur ve verileri değil çalışma kitabının JSON dosyasını kaydeder.

  4. Şablon ayrıntıları bölmesinde Kaydedilmiş çalışma kitabını görüntüle'yi seçin.

  5. Çalışma kitabını ihtiyaçlarınıza göre özelleştirmek için çalışma kitabı araç çubuğunda Düzenle düğmesini seçin.

    Kaydedilen çalışma kitabını gösteren ekran görüntüsü.

    Çalışma kitabınızı kopyalamak için Düzenle'yi ve ardından Farklı kaydet'i seçin. Kopyayı aynı abonelik ve kaynak grubu altında başka bir adla kaydedin. Kopyalanan çalışma kitapları Çalışma Kitaplarım sekmesinin altında görüntülenir.

  6. İşiniz bittiğinde, değişikliklerinizi kaydetmek için Kaydet'i seçin.

Daha fazla bilgi için bkz. Azure İzleyici Çalışma Kitapları ile etkileşimli raporlar oluşturma.

Yeni çalışma kitabı oluşturma

Microsoft Sentinel'de sıfırdan bir çalışma kitabı oluşturun.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Çalışma Kitapları'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Çalışma Kitapları'nı seçin.

  2. Çalışma kitabı ekle'yi seçin.

  3. Çalışma kitabını düzenlemek için Düzenle'yi seçin ve sonra metin, sorgu ve parametreleri gerektiği gibi ekleyin. Çalışma kitabını özelleştirme hakkında daha fazla bilgi için bkz. Azure İzleyici Çalışma Kitapları ile etkileşimli raporlar oluşturma.

    Yeni çalışma kitabını gösteren ekran görüntüsü.

  4. Sorgu oluştururken Veri kaynağını Günlükler ve Kaynak türü'nü Log Analytics olarak ayarlayın ve bir veya daha fazla çalışma alanı seçin.

    Sorgunuzun yerleşik bir tablo değil Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcısı kullanmasını öneririz. Sorgu daha sonra tek bir veri kaynağı yerine geçerli veya gelecekteki ilgili veri kaynaklarını destekleyecektir.

  5. Çalışma kitabınızı oluşturduktan sonra, çalışma kitabını Microsoft Sentinel çalışma alanınızın abonelik ve kaynak grubu altına kaydedin.

  6. Kuruluşunuzdaki diğer kişilerin çalışma kitabını kullanmasına izin vermek istiyorsanız, Kaydet'in altında Paylaşılan raporlar'ı seçin. Bu çalışma kitabının yalnızca sizin kullanımınıza sunulmasını istiyorsanız Raporlarım'ı seçin.

  7. Çalışma alanınızdaki çalışma kitapları arasında geçiş yapmak için herhangi bir çalışma kitabının araç çubuğunda Aç'ıÇalışma kitabını açma simgesi. seçin. Ekran, geçiş yapabileceğiniz diğer çalışma kitaplarının listesine geçer.

    Açmak istediğiniz çalışma kitabını seçin:

    Çalışma kitaplarını değiştirme.

Çalışma kitabı verilerinizi yenileme

Güncelleştirilmiş verileri görüntülemek için çalışma kitabınızı yenileyin. Araç çubuğunda aşağıdaki seçeneklerden birini belirleyin:

  • Çalışma kitabı verilerinizi el ile yenilemek için yenileyin.

  • Çalışma kitabınızı yapılandırılan bir aralıkta otomatik olarak yenilenmek üzere ayarlamak için otomatik yenileme.

    • Desteklenen otomatik yenileme aralıkları 5 dakikaile 1 gün arasında değişir.

    • Çalışma kitabını düzenlerken otomatik yenileme duraklatılır ve düzenleme modundan görünüm moduna her geçtiğinizde aralıklar yeniden başlatılır.

    • Verilerinizi el ile yenilerseniz otomatik yenileme aralıkları da yeniden başlatılır.

    Varsayılan olarak, otomatik yenileme kapalıdır. Performansı iyileştirmek için, çalışma kitabını her kapattığınızda otomatik yenileme kapatılır. Arka planda çalışmaz. Çalışma kitabını bir sonraki açışınızda otomatik yenilemeyi gerektiği gibi yeniden açın.

Çalışma kitabını yazdırmak veya PDF olarak kaydetmek için, çalışma kitabı başlığının sağındaki seçenekler menüsünü kullanın.

  1. İçeriği yazdır seçeneklerini belirleyin>.

  2. Yazdırma ekranında, yazdırma ayarlarınızı gerektiği gibi ayarlayın veya pdf olarak kaydet'i seçerek yerel olarak kaydedin.

    Örneğin: Çalışma kitabınızı yazdırmayı veya PDF olarak kaydetmeyi gösteren ekran görüntüsü.

Çalışma kitaplarını silme

Kaydedilmiş bir çalışma kitabını (kaydedilmiş şablon veya özelleştirilmiş çalışma kitabı) silmek için, silmek istediğiniz kaydedilmiş çalışma kitabını ve ardından Sil'i seçin. Bu eylem, kaydedilen çalışma kitabını kaldırır. Ayrıca çalışma kitabı kaynağını ve şablonda yaptığınız değişiklikleri de kaldırır. Özgün şablon kullanılabilir durumda kalır.

Popüler yerleşik çalışma kitapları hakkında bilgi edinmek için bkz . Yaygın kullanılan Microsoft Sentinel çalışma kitapları.