Alıştırma - Microsoft Sentinel Çalışma Kitaplarını kullanarak verileri görselleştirme

  • 8 dakika

Contoso'da çalışan bir güvenlik mühendisi olarak, Azure aboneliğinizde şüpheli etkinlikler fark eder ve Microsoft Sentinel çalışma kitaplarını kullanarak bu etkinliği analiz etmeye karar verirsiniz.

Alıştırma: Microsoft Sentinel Çalışma Kitapları ile verileri sorgulama ve görselleştirme

Microsoft Sentinel'deki günlükleri Azure Etkinlik bağlayıcısından analiz etmek istiyorsunuz. Bu verilerin görselleştirmesini daha fazla uygulamak ve özelleştirilmiş bir çalışma kitabına kaydetmek istiyorsunuz.

Bu alıştırmada günlükleri ve Microsoft Sentinel Çalışma Kitapları'nı keşfedin. Aşağıdaki görevleri gerçekleştirirsiniz:

  • Microsoft Sentinel Günlükleri sayfasında günlük verileriyle etkileşim kurun.
  • Önemli verileri görselleştirmek için özel bir çalışma kitabı oluşturma ve düzenleme.

Not

Bu alıştırmayı tamamlamadan önce Microsoft Sentinel Çalışma Kitapları ile verileri sorgulama ve görselleştirme birimini tamamlamış olmanız gerekir. Bunu yapmadıysanız şimdi tamamlayın ve daha sonra alıştırma adımlarına geçin.

1. Görev: Microsoft Sentinel'de Günlüklerle Çalışma

  1. Azure portalında Microsoft Sentinel'i arayıp seçin ve ardından daha önce oluşturulmuş Microsoft Sentinel çalışma alanını seçin.

  2. Microsoft Sentinel sayfasının Genel bölümünde Günlükler'i seçin.

    Not

    Günlükler sayfasını ilk kez açtığınızda, Sorgular penceresine yönlendirilebilirsiniz. Sorgular penceresini kapatın ve Yeni Sorgu 1 bölümüne dönün.

  3. Microsoft Sentinel | Günlükler sayfasındaki Tablolar bölmesi içinden, Türüne göre gruplandır: Çözüm açılır menüsünden Kategori'yi seçin.

  4. Tablolar bölmesinde, tablo listesinden Azure Kaynakları kategorisini genişletin, imleci Azure Etkinliği tablosunun üzerine getirin veya Tabloya gitmek için Sekme tuşunu kullanın ve ardından Verileri önizle'yi seçin.

  5. AzureActivity penceresinde Sorgu düzenleyicisinde bkz. seçeneğini belirleyin. Bu seçenek, verilerin önizlemesini görüntülemenizi ve sonuçların sorguyu çalıştırmadan önce beklediğiniz gibi olup olmadığını denetlemenizi sağlar.

    Tablolar bölmesinin ekran görüntüsü.

    Sorgu bölümünde sorgu yapısını gözlemleyebilirsiniz. Bu sorgu Azure Etkinlik günlüğündeki son 10 olayı arar ve gösterir. Sorgudaki ilk satır, AzureActivity sorguda kullanılan tabloyu belirtir. İkinci satır, son güne ait kayıtları filtreleyen bir where deyim içerir. Üçüncü satır, yalnızca son 10 olayı filtrelemek için başka bir deyim içerir.

    Sorgu sonuçları bölümünde sorgunun sonuçları gösterilir. Tablodaki değerleri gözden geçirmek için kayıtlardan herhangi birini genişletebilirsiniz. Sonuçları bir sütuna göre sıralamak için o sütunun adını seçin.

  6. Bir filtre koşulu sağlamak için sütunun yanındaki filtre simgesini seçin. Bu yaklaşım, sorguyu yeniden çalıştırdığınızda bu filtrenin temizlenmiş olması dışında, sorguya bir filtre koşulu eklemeye benzer. Sütunlar açılan menüsünü seçerseniz, görüntülemek istediğiniz tablodaki sütunları filtreleyebilirsiniz. Sütunları gruplandır'ı seçerek kayıtları belirli bir sütuna göre gruplandırabilirsiniz.

    Önceki öğelerin vurgulu olduğu Sorgu sonuçlarının ekran görüntüsü.

  7. Sol bölmede Sorgular sekmesini seçin. Bu bölmede sorgu penceresine ekleyebileceğiniz örnek sorgular yer alır. Kendi çalışma alanınızı kullanıyorsanız, birden çok kategoride çeşitli sorgularınız olmalıdır. Tanıtım ortamını kullanıyorsanız yalnızca tek bir Log Analytics çalışma alanı kategorisi görebilirsiniz.

    Not

    Aşağıdaki tanıtım ortamında sorgu yazma alıştırması yapmayı deneyebilirsiniz.

Görev 2: Microsoft Sentinel'de Çalışma Kitaplarıyla Çalışma

  1. Microsoft Sentinel sayfasındaki Tehdit Yönetimi bölümünde Çalışma Kitapları'nı seçin.

  2. Microsoft Sentinel'de | Çalışma kitapları sayfasında Şablonlar sekmesini seçin.

  3. Arama alanına Azure Etkinliği yazın ve seçin.

  4. Ayrıntılar bölmesinde, şablon için sağlanan bilgileri gözden geçirin ve kaydet'i seçin. Çalışma kitabını kaydet... penceresinde, hazırlık alıştırmasında seçtiğiniz konumu seçin ve ardından Tamam'ı seçin.

  5. Microsoft Sentinel'de | Çalışma kitapları sayfasında Çalışma kitaplarım sekmesini seçin. Kaydedilen şablonlar listesinden Azure Etkinliği'ni seçin. Ardından ayrıntılar bölmesinde Kaydedilmiş çalışma kitabını görüntüle'yi seçin.

  6. Azure Activity-sentinelname sayfasında, çalışma kitabının tüm öğelerini gözden geçirin. Öğelerden bazılarını seçerek çalışma kitabıyla etkileşimli çalışabilirsiniz.

  7. Azure Etkinlik tablosunda sunulan kayıtlar için farklı bir zaman aralığı seçmek için Zaman aralığı alanını seçin. Kayıtları olayları oluşturan kullanıcı veya hizmete göre filtrelemek için Arayan açılan menüsünü seçin. Olayları belirli bir kaynak grubuna göre filtrelemek için Kaynak Grubu açılan menüsünü seçin.

    Önceki öğelerin vurgulu olduğu Azure Etkinliği sayfasının ekran görüntüsü.

  8. Aşağı kaydırarak kullanıcılarınız veya güvenlik sorumlularınız tarafından çalıştırılan etkinlikleri görüntüleyen Çağıran etkinlikleri tablosuna gelin. Sütun üst bilgisindeki okları seçerek her sütundaki tablo verilerini sıralayın.

  9. Azure Activity-sentinelname sayfasındaki üst bilgi çubuğuna yukarı kaydırın. Çalışma kitabını düzenleme moduna geçmek için Düzenle seçeneğini belirleyin. Sayfada görüntülenen çeşitli Düzenleme seçeneklerini inceleyin.

  10. İlk Düzenle seçeneğini belirleyin. Bu eylem, çalışma kitabındaki adımlardan birinin düzenleme bölmesini görüntüler. Stili ayarlayarak ve farklı sırayla yeniden sıralayarak öğelerin sunularını özelleştirebilirsiniz.

  11. Metin, açılan liste, birden çok değer veya benzeri farklı türlerde başka parametreler ekleyebilirsiniz.

  12. Parametre ekle'yi seçin.

  13. Yeni Parametre sayfasında aşağıdaki değerleri girin:

    Veri Akışı Adı Açıklama
    Parametre adı Seviye
    Görünen ad Seviye
    Parametre türü Açılır menüden Drop down'i seçin.
    Gerekli? Bu onay kutusunu seçin.
    Birden çok seçime izin ver Bu onay kutusunu seçin.
    Birden çok seçimi sınırlama Bu onay kutusunu seçmeyin.
    Sınırlayıcı Varsayılan değerleri koruyun.
    Alıntı yaparken Varsayılan değerleri koruyun.
    Açıklama Bu parametre olayları düzeye göre filtreler.
    Parametreyi okuma modunda gizle Bu onay kutusunu seçmeyin.
    Veri alma Sorgu

  14. Log Analytics çalışma alanı Günlükleri Sorgusu bölümünde aşağıdaki sorguyu girin ve sorguyu çalıştır'ı seçin.

    AzureActivity
|summarize by Level

  15. Sorgu sonucunun düzeye göre iki tür olay döndürdüğünü onaylayın: Bilgi ve Uyarı.

    Yeni parametre ekleme adımlarını içeren Yeni Parametre bölmesinin ekran görüntüsü. Kaydet, Sorgu, Sorgu çalıştır seçenekleri ve AzureActivity bölümü ekran görüntüsünde vurgulanmıştır.

  16. Değişiklikleri işlemek için Kaydet'i seçin ve parametre adımının artık Düzey adlı bir parametre içerdiğine dikkat edin.

    İpucu

    Düzenleme modunda, düzenle seçeneğinin yanındaki üç nokta simgesini seçerek yeni bir açılan menü görüntüleyebilirsiniz. Bu menüde bu adımı çalışma kitabının farklı bölümlerine taşıyabilirsiniz. Ayrıca adımı kopyalayabilir veya çalışma kitabından kaldırabilirsiniz.

  17. Üst bilgi çubuğunda Kaydet simgesini seçerek özelleştirilmiş çalışma kitabını kaydedin.

  18. Başlık alanında, yeni çalışma kitabı için bir ad girin ve Kaydet'i seçin.

  19. Değişiklik yapmayı bitirdiğinizde Düzenleme Bitti'yi seçin.

    İpucu

    Yeni çalışma kitabınıza Microsoft Sentinel'den erişilebilir | Çalışma kitaplarım sekmesindeki Çalışma Kitapları bölmesi. Yeni çalışma kitabınız listede yoksa Yenile seçeneğini belirleyin.

Kaynakları temizleme

  1. Azure portalında Kaynak grupları için arama yapın.
  2. azure-sentinel-rg öğesini seçin.
  3. Üst bilgi çubuğunda Kaynak grubunu sil'i seçin.
  4. KAYNAK GRUBU ADI: yazın alanına azure-sentinel-rg kaynak grubunun adını girin ve Sil'i seçin.