Varsayılan Microsoft Sentinel Çalışma Kitaplarını kullan
- 5 dakika
Microsoft Sentinel, kullanıma hazır çeşitli şablonlar sağlar. Bu şablonları kullanarak kendi çalışma kitabınızı oluşturabilir ve ardından bunu Contoso'nun gereksinimlerine göre değiştirebilirsiniz.
Microsoft Sentinel Çalışma Kitapları
Microsoft Sentinel'in verileri almak için kullandığı veri bağlayıcılarının çoğu kendi çalışma kitaplarıyla birlikte gelir. Çubuk ve pasta grafikler de dahil olmak üzere tabloları ve görselleştirmeleri kullanarak alınan veriler hakkında içgörüler elde edebilirsiniz. Önceden tanımlanmış şablonları kullanmak yerine sıfırdan kendi çalışma kitaplarınızı da oluşturabilirsiniz.
Çalışma kitabı sayfası
Microsoft Sentinel'in Çalışma Kitapları sayfasına gezinti bölmesinden erişebilirsiniz. Çalışma Kitapları sayfasında yeni bir çalışma kitabı ekleyebilir ve sağlanan kaydedilmiş çalışma kitaplarını ve şablonları gözden geçirebilirsiniz.
Şablonlar sekmesinde var olan çalışma kitabı şablonlarına erişebilirsiniz. Hızlı erişim için bazı çalışma kitaplarını kaydedebilirsiniz. Çalışma kitaplarım sekmesinde görünürler.
Şablonlar sekmesinde, var olan bir çalışma kitabını seçerek şablonla ilgili ek bilgiler içeren ayrıntılar bölmesini görüntüleyebilirsiniz. Ayrıntılar bölmesi, Microsoft Sentinel'e bağlanması gereken gerekli veri türleri ve veri bağlayıcıları hakkında da bilgi içerir. Raporun nasıl görüntüleyebileceğinizi de gözden geçirebilirsiniz.
Mevcut çalışma kitabı şablonunu gözden geçirme
Daha önce bahsedildiği gibi Contoso'nun güvenliği aşılmış kimlikler konusunda endişeleri vardır. Güvenlik yöneticisi olarak, Şablonlar bölümünde bu şablonu seçerek mevcut Microsoft Entra oturum açma günlükleri çalışma kitabını inceleyebilirsiniz. Ardından ayrıntılar bölmesinde Şablonu görüntüle'yi seçin.
Microsoft Entra oturum açma günlükleri çalışma kitabı, Microsoft Entra Id'deki oturum açma etkinliği hakkında önemli içgörüler sağlayabilen önceden tanımlanmış grafikler, grafikler ve tablolar içerir. Kullanıcılarınızın kullanıcı oturum açma bilgileri ve konumları, e-posta adresleri ve IP adresleri hakkında bilgiler bulabilirsiniz. Ayrıca başarısız etkinlikler ve hataları tetikleyen hatalar hakkındaki bilgileri de gözden geçirebilirsiniz.
Microsoft Entra oturum açma günlükleri sayfasında, zaman aralığını genişletebilir veya Microsoft Entra Id'de oturum açma ayrıcalıklarına sahip uygulamaları ve kullanıcıları filtreleyebilirsiniz. Örneğin Contoso, azure portalında oturum açabilen kullanıcıları tanımlamak istiyor, böylece verileri aşağıdaki gibi filtreleyebilirsiniz.
Contoso başarısız oturum açma girişimlerini belirlemekle ilgileniyor. Bilgi kutucuklarını seçip bir kutucuk veya satır seçerek şu gibi daha fazla bilgi görüntüleyerek bu hesapları görüntüleyebilirsiniz:
- Konuma göre oturum açma işlemleri. Bu bölüm, kullanıcının Microsoft Entra Id'de oturum açtığı konumu gösterir.
- Konum oturum açma ayrıntıları. Bu bölümde kullanıcılar, oturum açma durumları ve oturum açma girişiminin zamanı görüntülenir.
- Cihaza göre oturum açma işlemleri. Bu bölümde, kullanıcılar tarafından Microsoft Entra Id'de oturum açmak için kullanılan cihazlar listelenir.
- Cihaz oturum açma ayrıntıları. Bu bölümde belirli bir cihazda oturum açan kullanıcılar ve bunların oturum açma zamanları görüntülenir.
Arka plandaki bu bilgi kutucuğu, sorguyu çalıştırmak ve Microsoft Entra bağlayıcısından toplanan verileri filtrelemek için yapılandırılmıştır. Microsoft Sentinel daha anlamlı olan ve kullanıcı oturum açma girişimleri hakkında yararlı içgörüler sağlayan tabloları kullanarak toplanan verileri görselleştirir ve sunar.
Çalışma kitabı, Koşullu Erişim kullanarak oturum açan kullanıcıları gösteren diğer kutucukları içerir. Koşullu erişim durumu tablosunda, kimliklerini doğrulamak için çok faktörlü kimlik doğrulaması gerektiren kullanıcıları gözden geçirebilirsiniz.
Sayfanın geri kalanında etkileşimli tablolar ve grafikler de bulunur. Sunulan verileri filtrelemek için bazı satır veya kutucukları seçin. Bazı tablolar aşağıdaki ekran görüntüsünde gösterildiği gibi ilgili günlüklerin bağlantılarıyla oluşturulmuştur.
Not
Ayrıca sorgu adımını hızla alabilmek için özel veya paylaşılan panoya sabitleyebilirsiniz.
Çalışma kitabından sorguyu düzenleme
Örneğin Contoso, başarısız kullanıcı oturum açma işlemini gösteren daha fazla bilgi için günlüklerde arama yapmak istiyor. Microsoft Sentinel'in bilgileri filtrelemek için günlük sorgusunu gerçekleştirdiği Azure Veri Gezgini yönlendirilirler.
Kaydedilen çalışma kitaplarını keşfetme
Şablonlar sayfasında, şablonlardan birini seçip Kaydet'i seçerek var olan şablonlardan bir çalışma kitabını kaydedebilirsiniz. Çalışma kitabını kaydetmek istediğiniz yeri belirtmek için bir konum sağlamanız gerekir. Bu işlem, şablonun JSON dosyasıyla şablonu temel alan bir Azure kaynağı oluşturur.
Kaydedilen çalışma kitapları, çalışma kitaplarını özelleştirebileceğiniz Çalışma Kitaplarım sekmesinde bulunur. Kaydedilmiş çalışma kitaplarını Kaydedilen çalışma kitabını görüntüle seçeneğini seçerek açabilirsiniz. Bu eylem, şablon çalışma kitabı sayfasıyla aynı sayfayı açar, ancak bunu Contoso'nun gereksinimlerine göre özelleştirebilirsiniz.
Çalışma kitabını düzenleme modunda açmak için Düzenle'yi seçin. Öğeleri ekleyebilir veya kaldırabilir ve daha fazla özelleştirme sağlayabilirsiniz. Düzenleme modu, okuma modunda gizlenmiş olabilecek adımlar ve parametreler de dahil olmak üzere çalışma kitabının tüm içeriğini görüntüler.
Düzenleme modunda üst bilgi çubuğu, aşağıdaki ekran görüntüsünde gösterilen çeşitli seçenekleri içerir.
Düzenleme moduna geçtiğinizde, çalışma kitabınızın her bir yönüne karşılık gelen çeşitli Düzenleme seçeneklerine dikkat edin. Bu düzenleme seçeneklerinden birini seçerseniz, Microsoft Sentinel'in ilgili günlükten verileri filtrelemek için kullandığı sorguyu inceleyebilirsiniz.
Ayarlar simgesini seçtiğinizde, çalışma kitabında kullanmak istediğiniz diğer kaynakları sağlayabileceğiniz Ayarlar sayfası açılır. Ayrıca çalışma kitabının stilini değiştirebilir, etiketleme sağlayabilir veya bir öğeyi çalışma kitabına sabitleyebilirsiniz.
Sabitleme Seçeneklerini Göster'i seçerek çalışma kitabındaki farklı tabloların yerleşimini yeniden düzenleyebilirsiniz.
Gelişmiş özelleştirme için Gelişmiş Düzenleyici'yi seçerek geçerli çalışma kitabının JSON gösterimini açabilir ve metin düzenleyicisinde daha fazla özelleştirebilirsiniz. Değişikliklerinizi mevcut çalışma kitabına kaydedebileceğiniz gibi başka bir çalışma kitabına da kaydedebilirsiniz. Tüm özelleştirmeyi tamamladığınızda Düzenleme Bitti'yi seçerek düzenleme modundan çıkabilirsiniz.
GitHub'da Microsoft Sentinel deposunu keşfedin
Microsoft Sentinel deposu, ortamınızın güvenliğini sağlamanıza ve tehditleri algılamanıza yardımcı olmak için kullanıma açık algılamalar, keşif sorguları, avlanma sorguları, çalışma kitapları, playbook'lar ve daha fazlasını içerir. Microsoft ve Microsoft Sentinel topluluğu bu depoya katkıda bulunur.
Depo, algılama sorguları da dahil olmak üzere Microsoft Sentinel işlevselliğinin çeşitli alanları için katkıda bulunan içeriğe sahip klasörler içerir. Microsoft Sentinel çalışma alanınızda özel sorgular oluşturmak için bu sorgulardaki kodu kullanabilirsiniz.