Microsoft Sentinel'de izleme listeleri oluşturma

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel'deki izleme listeleri, sağladığınız bir veri kaynağındaki verileri Microsoft Sentinel ortamınızdaki olaylarla ilişkilendirmenize olanak tanır. Örneğin, ortamınızdaki yüksek değerli varlıkların, sonlandırılan çalışanların veya hizmet hesaplarının listesini içeren bir izleme listesi oluşturabilirsiniz.

Yerel klasörden veya Azure Depolama hesabınızdan izleme listesi dosyasını karşıya yükleyin. İzleme listesi dosyası oluşturmak için, verilerinizle doldurmak için Microsoft Sentinel'den izleme listesi şablonlarından birini indirme seçeneğiniz vardır. Ardından, Microsoft Sentinel'de izleme listesini oluşturduğunuzda bu dosyayı karşıya yükleyin.

Yerel dosya yüklemeleri şu anda boyutu 3,8 MB'a kadar olan dosyalarla sınırlıdır. Boyutu 3,8 MB'ın üzerinde ve 500 MB'a kadar olan bir dosya büyük bir izleme listesi olarak kabul edilir. Dosyayı bir Azure Depolama hesabına yükleyin. İzleme listesi oluşturmadan önce izleme listelerinin sınırlamalarını gözden geçirin.

Önemli

İzleme listesi şablonlarının özellikleri ve Azure Depolama'daki bir dosyadan izleme listesi oluşturma özelliği şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Yerel klasörden izleme listesini karşıya yükleme

İzleme listesi oluşturmak için yerel makinenizden CSV dosyası yüklemenin iki yolu vardır.

• İzleme listesi şablonu olmadan oluşturduğunuz bir izleme listesi dosyası için: Yeni ekle'yi seçin ve gerekli bilgileri girin.
• Microsoft Sentinel'den indirilen bir şablondan oluşturulan izleme listesi dosyası için: İzleme listesi Şablonları (Önizleme) sekmesine gidin. Şablondan oluştur seçeneğini belirleyin. Azure sizin için ad, açıklama ve izleme listesi diğer adını önceden doldurur.

Oluşturduğunuz bir dosyadan izleme listesini karşıya yükleme

Dosyanızı oluşturmak için izleme listesi şablonu kullanmadıysanız,

1. Azure portalında Microsoft Sentinel için Yapılandırma'nın altında İzleme Listesi'ni seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>İzleme Listesi'ni seçin.

2. + Yeni'yi seçin.

   Azure portalı

   

   Defender portalı

   

3. Genel sayfasında, izleme listesinin adını, açıklamasını ve diğer adını belirtin.

   

4. İleri: Kaynak'ı seçin.

5. İzleme listesi verilerinizi karşıya yüklemek için aşağıdaki tabloda yer alan bilgileri kullanın.

   Alan	Açıklama
   Veri kümesi için bir tür seçin	Üst bilgi içeren CSV dosyası (.csv)
   Başlık içeren satırdan önceki satır sayısı	Veri dosyanızdaki üst bilgi satırından önceki satır sayısını girin.
   Dosya yükle	Veri dosyanızı sürükleyip bırakın veya Dosyalara gözat'ı seçin ve karşıya yüklenecek dosyayı seçin.
   Arama Tuşu	İzleme listenizde diğer verilerle birleştirme veya sık sık yapılan aramalar nesnesi olarak kullanmayı beklediğiniz bir sütunun adını girin. Örneğin, sunucu izleme listenizde ülke adları ve bunların ilgili iki harfli ülke kodları varsa ve ülke kodlarını arama veya birleşimler için sık sık kullanmayı bekliyorsanız, SearchKey olarak Code sütununu kullanın.

   Not

   CSV dosyanız 3,8 MB'tan büyükse Azure Depolama dosyasından büyük bir izleme listesi oluşturma yönergelerini kullanmanız gerekir.

6. İleri: Gözden Geçir ve Oluştur'u seçin.

   

7. Bilgileri gözden geçirin, doğru olduğunu doğrulayın, Doğrulama başarılı iletisini bekleyin ve oluştur'u seçin.

   

   İzleme listesi oluşturulduktan sonra bir bildirim görüntülenir.

İzleme listesinin oluşturulması ve yeni verilerin sorgularda kullanılabilir olması birkaç dakika sürebilir.

Şablondan oluşturulan izleme listesini karşıya yükleme (Önizleme)

Doldurdığınız bir şablondan izleme listesi oluşturmak için

1. Azure portalında Microsoft Sentinel için Yapılandırma'nın altında İzleme Listesi'ni seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>İzleme Listesi'ni seçin.

2. Şablonlar (Önizleme) sekmesini seçin.

3. Sağ bölmede şablonun ayrıntılarını görüntülemek için listeden uygun şablonu seçin.

4. Şablondan oluştur'u seçin.

   

5. Genel sekmesinde Ad, Açıklama ve İzleme Listesi Diğer Adı alanlarının tümünün salt okunur olduğuna dikkat edin.

6. Kaynak sekmesinde Dosyalara gözat'ı seçin ve şablondan oluşturduğunuz dosyayı seçin.

7. İleri: Gözden Geçir ve Oluştur'u> seçin.

8. İzleme listesi oluşturulduğunda bir Azure bildiriminin görünmesini izleyin.

İzleme listesinin oluşturulması ve yeni verilerin sorgularda kullanılabilir olması birkaç dakika sürebilir.

Azure Depolama dosyasından büyük bir izleme listesi oluşturma (önizleme)

Boyutu 500 MB'a kadar olan büyük bir izleme listenize sahipseniz izleme listesi dosyanızı Azure Depolama hesabınıza yükleyin. Ardından, izleme listesi verilerini almak üzere Microsoft Sentinel için paylaşılan erişim imzası URL'si oluşturun. Paylaşılan erişim imzası URL'si, depolama hesabınızdaki csv dosyası gibi bir kaynağın hem kaynak URI'sini hem de paylaşılan erişim imzası belirtecini içeren bir URI'dir. Son olarak, izleme listesini Microsoft Sentinel'deki çalışma alanınıza ekleyin.

Paylaşılan erişim imzaları hakkında daha fazla bilgi için bkz. Azure Depolama paylaşılan erişim imzası belirteci.

1. Adım: İzleme listesi dosyasını Azure Depolama'ye yükleme

Azure Depolama hesabınıza büyük bir izleme listesi dosyası yüklemek için AzCopy'yi veya Azure portalını kullanın.

1. Henüz bir Azure Depolama hesabınız yoksa bir depolama hesabı oluşturun. Depolama hesabı, Microsoft Sentinel'deki çalışma alanınızdan farklı bir kaynak grubunda veya bölgede olabilir.
2. İzleme listesi verilerinizi içeren csv dosyanızı depolama hesabına yüklemek için AzCopy'yi veya Azure portalını kullanın.

AzCopy ile dosyanızı karşıya yükleme

AzCopy v10 komut satırı yardımcı programını kullanarak dosyaları ve dizinleri Blob depolamaya yükleyin. Daha fazla bilgi edinmek için bkz . AzCopy kullanarak azure blob depolamaya dosya yükleme.

1. Henüz bir depolama kapsayıcınız yoksa aşağıdaki komutu çalıştırarak bir kapsayıcı oluşturun.

   azcopy make 
   https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
   

2. Ardından, dosyayı karşıya yüklemek için aşağıdaki komutu çalıştırın.

   azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
   

Azure portalında dosyanızı karşıya yükleme

AzCopy kullanmıyorsanız Azure portalını kullanarak dosyanızı karşıya yükleyin. İzleme listesi verilerinizi içeren csv dosyasını karşıya yüklemek için Azure portalında depolama hesabınıza gidin.

1. Henüz bir depolama kapsayıcınız yoksa bir kapsayıcı oluşturun. Kapsayıcıya genel erişim düzeyi için, düzeyin Özel (anonim erişim yok) olarak ayarlandığı varsayılan değeri öneririz.
2. Bir blok blobu yükleyerek csv dosyanızı depolama hesabına yükleyin.

2. Adım: Paylaşılan erişim imzası URL'si oluşturma

İzleme listesi verilerini almak için Microsoft Sentinel için paylaşılan erişim imzası URL'si oluşturun.

1. Azure portalında bloblar için SAS belirteçleri oluşturma'daki adımları izleyin.
2. Paylaşılan erişim imzası belirtecinin süre sonu süresini en az 6 saat olacak şekilde ayarlayın.
3. İzin verilen IP adresleri için varsayılan değeri boş bırakın.
4. Blob SAS URL'si değerini kopyalayın.

3. Adım: Azure'ı CORS sekmesine ekleme

SAS URI'sini kullanmadan önce Azure portalını Çıkış Noktaları Arası Kaynak Paylaşımı'na (CORS) ekleyin.

1. Depolama hesabı ayarları, Kaynak paylaşımı sayfasına gidin.
2. Blob hizmeti sekmesini seçin.
3. İzin verilen çıkış noktaları tablosuna ekleyin https://*.portal.azure.net .
4. ve OPTIONSiçin uygun İzin Verilen yöntemleriniGET seçin.
5. Yapılandırmayı kaydedin.

Daha fazla bilgi için bkz. Azure Depolama için CORS desteği.

4. Adım: İzleme listesini çalışma alanına ekleme

1. Azure portalında Microsoft Sentinel için Yapılandırma'nın altında İzleme Listesi'ni seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>İzleme Listesi'ni seçin.

2. + Yeni'yi seçin.

   

3. Genel sayfasında, izleme listesinin adını, açıklamasını ve diğer adını belirtin.

   

4. İleri: Kaynak'ı seçin.

5. İzleme listesi verilerinizi karşıya yüklemek için aşağıdaki tabloda yer alan bilgileri kullanın.

   Alan	Açıklama
   Source type	Azure Depolama (önizleme)
   Veri kümesi için bir tür seçin	Üst bilgi içeren CSV dosyası (.csv)
   Başlık içeren satırdan önceki satır sayısı	Veri dosyanızdaki üst bilgi satırından önceki satır sayısını girin.
   Blob SAS URL'si (Önizleme)	Oluşturduğunuz paylaşılan erişim URL'sini yapıştırın.
   Arama Tuşu	İzleme listenizde diğer verilerle birleştirme veya sık sık yapılan aramalar nesnesi olarak kullanmayı beklediğiniz bir sütunun adını girin. Örneğin, sunucu izleme listenizde ülke adları ve bunların ilgili iki harfli ülke kodları varsa ve ülke kodlarını arama veya birleşimler için sık sık kullanmayı bekliyorsanız, SearchKey olarak Code sütununu kullanın.

   Tüm bilgileri girdikten sonra sayfanız aşağıdaki görüntüye benzer olacaktır.

   

6. İleri: Gözden Geçir ve Oluştur'u seçin.

7. Bilgileri gözden geçirin, doğru olduğunu doğrulayın, Doğrulama başarılı iletisini bekleyin.

8. Oluştur'u belirleyin.

Büyük bir izleme listesinin oluşturulması ve yeni verilerin sorgularda kullanılabilir olması biraz zaman alabilir.

İzleme listesinin durumunu görüntüleme

Çalışma alanınızdaki izleme listesini seçerek durumu görüntüleyin.

1. Azure portalında Microsoft Sentinel için Yapılandırma'nın altında İzleme Listesi'ni seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>İzleme Listesi'ni seçin.

2. İzleme Listelerim sekmesinde izleme listesini seçin.

3. Ayrıntılar sayfasında Durum (Önizleme) bölümünü gözden geçirin.

   

4. Durum Başarılı olduğunda, bir sorguda izleme listesini kullanmak için Log Analytics'te Görüntüle'yi seçin. İzleme listesinin Log Analytics'te gösterilmesi birkaç dakika sürebilir.

   

İzleme listesi şablonunu indirme (önizleme)

Verilerinizle doldurmak için Microsoft Sentinel'den izleme listesi şablonlarından birini indirin. Ardından, Microsoft Sentinel'de izleme listesini oluşturduğunuzda bu dosyayı karşıya yükleyin.

Her yerleşik izleme listesi şablonunun, şablona eklenmiş CSV dosyasında listelenen kendi veri kümesi vardır. Daha fazla bilgi için bkz . Yerleşik izleme listesi şemaları.

İzleme listesi şablonlarından birini indirmek için

1. Azure portalında Microsoft Sentinel için Yapılandırma'nın altında İzleme Listesi'ni seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>İzleme Listesi'ni seçin.

2. Şablonlar (Önizleme) sekmesini seçin.

3. Sağ bölmede şablonun ayrıntılarını görüntülemek için listeden bir şablon seçin.

4. Satırın sonundaki üç noktayı ... seçin.

5. Şemayı İndir'i seçin.

   

6. Dosyanın yerel sürümünü doldurun ve yerel olarak CSV dosyası olarak kaydedin.

7. Bir şablondan oluşturulan izleme listesini karşıya yüklemek için adımları izleyin (Önizleme).

Log Analytics görünümünde silinmiş ve yeniden oluşturulmuş izleme listeleri

bir izleme listesini silip yeniden oluşturursanız, veri alımı için beş dakikalık SLA içinde Log Analytics'te hem silinmiş hem de yeniden oluşturulmuş girişleri görebilirsiniz. Bu girdileri Log Analytics'te daha uzun bir süre birlikte görürseniz bir destek bileti gönderin.

İlgili içerik

Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin
• Microsoft Sentinel ile tehditleri algılamaya başlama
• Verilerinizi izlemek için çalışma kitaplarını kullanın.
• İzleme listelerini yönetme
• İzleme listeleriyle sorgular ve algılama kuralları oluşturma