Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Mevcut özel algılama kurallarının listesini görüntüleyebilir, önceki çalıştırmalarını denetleyebilir ve tetiklenen uyarıları gözden geçirebilirsiniz. Ayrıca bir kuralı isteğe bağlı olarak çalıştırabilir ve değiştirebilirsiniz.
İpucu
Özel algılamalar tarafından tetiklenen uyarılar, uyarılar ve olay API'leri üzerinden kullanılabilir. Daha fazla bilgi için bkz. Desteklenen Microsoft Defender XDR API'leri.
Birleşik Microsoft Defender portalına bir Microsoft Sentinel çalışma alanı eklemiş olan kullanıcılar için özel algılama kuralları listesi analiz kurallarını içerir. Aşağıdaki bölümler aksi belirtilmedikçe analiz kuralları için de geçerlidir.
Mevcut kuralları görüntüleme
Mevcut özel algılama kurallarınızı ve analiz kurallarınızı görüntülemek için Özel Tehdit Avcılığı>algılama kuralları'na gidin.
Filtre ekle'ye gidip filtrelemek istediğiniz sütunları seçip Ekle'yi seçerek herhangi bir sütun için filtreleyebilirsiniz. Seçilen sütunların her biri için Filtreler: öğesinin yanındaki ilgili hapı seçin, sütunları ve ardından Uygula'yı seçin.
Belirli kuralları aramak için sayfanın sağ üst kısmındaki arama kutusuna gidin ve aradığınız kuralın adını veya kural kimliğini girin.
Microsoft Defender için birden çok çalışma alanı ekleyen çok çalışma alanılı kuruluşlar için Çalışma Alanı Kimliği veya Çalışma Alanı adı sütunlarını kullanarak çalışma alanları için filtreleyebilirsiniz.
Sayfada tüm kurallar aşağıdaki çalıştırma bilgileriyle listelenir:
- Son çalıştırma - Sorgu eşleşmelerini denetlemek ve uyarılar oluşturmak için bir kuralın son çalıştırıldığı zaman
- Son çalıştırma durumu - Kuralın başarıyla çalıştırılıp çalıştırılmadığı (yalnızca özel algılama kuralları için)
- Sonraki çalıştırma - Bir sonraki zamanlanmış çalıştırma
- Durum - Kuralın açık mı yoksa kapalı mı olduğu
Kural ayrıntılarını görüntüleme, kuralı değiştirme ve kuralı çalıştırma
Özel algılama kuralı veya analiz kuralı hakkında kapsamlı bilgileri görüntülemek için Özel Algılama kuralları'na> gidin ve kuralın adını seçin. Daha sonra bilgiler, çalıştırma durumu ve kapsam dahil olmak üzere kural hakkındaki genel bilgileri görüntüleyebilirsiniz. Sayfa ayrıca tetiklenen uyarıların ve eylemlerin listesini de sağlar.
Bu sayfadan kural üzerinde aşağıdaki eylemleri de gerçekleştirebilirsiniz:
- Algılama kuralı sayfasını açma - tetiklenen uyarıları görüntülemek ve eylemleri gözden geçirmek için algılama kuralı sayfasını açar (yalnızca özel algılama kuralları için)
- Çalıştır - kuralı hemen çalıştırır; Bu, sonraki çalıştırmanın aralığını da sıfırlar (yalnızca özel algılama kuralları için)
- Düzenle - Sorguyu değiştirmeden kuralı değiştirmenize olanak tanır
- Sorguyu değiştirme - Sorguyu gelişmiş tehdit avcılığında düzenlemenize olanak tanır
- Açmak / Kapat - Kuralı etkinleştirmenize veya çalışmasını durdurmanıza olanak tanır
- Sil - kuralı kapatmanıza ve kaldırmanıza olanak tanır
Tetiklenen uyarıları görüntüleme ve yönetme
Kural ayrıntıları ekranında (Özel>Algılama algılamaları>[Kural adı]), kuralla eşleşmeler tarafından oluşturulan uyarıları listeleyen Tetiklenen uyarılar'a gidin. Bununla ilgili ayrıntılı bilgileri görüntülemek için bir uyarı seçin ve aşağıdaki eylemleri gerçekleştirin:
- Durumunu ve sınıflandırmasını ayarlayarak uyarıyı yönetme (doğru veya yanlış uyarı)
- Uyarıyı bir olaya bağlama
- Gelişmiş tehdit avcılığında uyarıyı tetikleyen sorguyu çalıştırma
Eylemleri gözden geçirme
Kural ayrıntıları ekranında (Özel> Algılamalar[Kural adı]), Kurallaeşleşmelere> göre gerçekleştirilen eylemleri listeleyen Tetiklenen eylemler'e gidin.
İpucu
Bilgileri hızla görüntülemek ve tablodaki bir öğe üzerinde işlem yapmak için tablonun sol tarafındaki [!] seçim sütununu kullanın.
Ayrıca bkz.
- Özel algılamalara genel bakış
- Gelişmiş avcılığa genel bakış
- Gelişmiş tehdit avcılığı sorgu dilini öğrenme
- gelişmiş tehdit avcılığı sorgularını Uç Nokta için Microsoft Defender geçirme
- Özel algılamalar için Microsoft Graph güvenlik API'si
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.