Bu makalede Microsoft Sentinel gibi bulut tabanlı bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümünün mevcut veya olası siber tehditleri algılamak, bağlam sağlamak ve yanıtları bilgilendirmek için tehdit göstergelerini nasıl kullanabileceği açıklanmıştır.
Siber tehdit bilgileri (CTI) açık kaynak veri akışları, tehdit bilgileri paylaşım toplulukları, ücretli zeka akışları ve kuruluşlar içindeki güvenlik araştırmaları gibi birçok kaynaktan gelebilir. CTI tehdit aktörlerinin motivasyonları, altyapısı ve teknikleri ile ilgili yazılı raporlardan IP adreslerinin, etki alanlarının ve dosya karmalarının belirli gözlemlerine kadar çeşitli aralıklarda olabilir. CTI olağan dışı etkinlikler için temel bağlam sağlar, bu nedenle güvenlik personeli insanları ve varlıkları korumak için hızlı bir şekilde harekete geçmektedir.
Microsoft Sentinel gibi SIEM çözümlerde en çok kullanılan CTI, bazen Tehlike Göstergeleri (IoCs)olarak da adlandırılan tehdit göstergesi verileridir. Tehdit göstergeleri URL'leri, dosya karmalarını, IP adreslerini ve diğer verileri kimlik avı, botnet veya kötü amaçlı yazılım gibi bilinen tehdit etkinlikleriyle ilişkilendirmek için kullanılır. Bu tehdit zekası biçimi genellikle taktiksel tehdit zekası olarak adlandırılan bir durumdur çünkügüvenlik ürünleri ve otomasyonu olası tehditleri korumak ve algılamak için büyük ölçekte kullanabilir. Microsoft Sentinel kötü amaçlı siber etkinlikleri algılamaya, yanıtlamaya ve CTI bağlamı sağlamaya yardımcı olabilir.
Olası kullanım örnekleri
- Bağlan etkinliklerini tanımlamak, analiz etmek ve yanıtlamak için genel sunuculardan açık kaynak tehdit göstergesi verilerine erişim sağlar.
- Tehdit göstergesi verilerine bağlanmak ve erişimi kontrol etmek için Microsoft Graph tiIndicators API'si ile mevcut tehdit bilgileri platformlarını veya özel çözümleri kullanın.
- Güvenlik araştırmacıları ve paydaşlar için CTI bağlamı ve raporlaması sağlama.
Mimari
Microsoft Sentinel'i aşağıdakiler için kullanabilirsiniz:
- Yapılandırılmış Tehdit Bilgileri İfadesi (STIX) ve Güvenilir Otomatik Exchange Zeka Bilgileri (TAXII) sunucularından veya herhangi bir tehdit zekası platformu (TIP) çözümünden tehdit göstergelerini içeri aktarma
- Tehdit göstergesi verilerini görüntüleme ve sorgulama
- CTI verilerinden güvenlik uyarıları, olaylar ve otomatik yanıtlar oluşturmak için analiz kuralları oluşturma
- Çalışma kitaplarında önemli CTI bilgilerini görselleştirme
Tehdit göstergesi veri bağlayıcıları
Microsoft Sentinel, veri bağlayıcılarını kullanarak diğer tüm olay verileri gibi tehdit göstergelerini içeri aktarıyor. Tehdit göstergeleri için iki Microsoft Sentinel veri bağlayıcısı Tehdit Zekası – TAXII ve Tehdit Bilgileri Platformları'dır. Kuruluşun tehdit göstergesi verilerini nereden alanlarına bağlı olarak veri bağlayıcılarını veya her ikisini birden kullanabilirsiniz. Verileri almak istediğiniz her çalışma alanında veri bağlayıcılarını etkinleştirin.
Tehdit Bilgileri – TAXII veri bağlayıcısı
CTI iletimi için en yaygın olarak benimsenen sektör standardı, STIX veri biçimi ve TAXII protokolüdür. Geçerli STIX/TAXII sürüm 2.x çözümlerinden tehdit göstergeleri alan kuruluşlar Tehdit Bilgileri – TAXII veri bağlayıcısı kullanarak tehdit göstergelerini Microsoft Sentinel'e aktarabilirsiniz. Yerleşik Microsoft Sentinel TAXII istemcisi, TAXII 2.x sunucularından tehdit zekası içeri aktarıyor.
STIX/TAXII tehdit göstergesi verilerini Microsoft Sentinel'e aktarmaya yönelik ayrıntılı yönergeler için bkz. TAXII veri bağlayıcısı ile tehdit göstergelerini içeri aktarma.
Tehdit Bilgileri Platformları veri bağlayıcısı
Birçok kuruluş ÇEŞITLI kaynaklardan gelen tehdit göstergesi akışlarını toplamak için MISP, Anomali ThreatStream, ThreatConnect veya Palo Alto Networks MineMeld gibi TIP çözümlerini kullanır. Kuruluşlar verileri seçmek için TIP'i kullanır, sonra ağ cihazları, gelişmiş tehdit koruma çözümleri veya Microsoft Sentinel gibi SIEM'ler gibi çeşitli güvenlik çözümlerine uygulanacak tehdit göstergelerini seçer. Tehdit Bilgileri Platformları veri bağlayıcısı, kuruluşların tümleşik TIP çözümlerini Microsoft Sentinel ile kullanmalarına olanak sağlar.
Tehdit Bilgileri Platformları veri bağlayıcısı, Microsoft Graph Security tiIndicators API'sini kullanır. Özel TIP'e sahip tüm kuruluşlar bu veri bağlayıcısını kullanarak tiIndicators API'sini kullanabilir ve Microsoft Sentinel'e ve Defender ATPgibi diğer Microsoft güvenlik çözümlerine gösterge gönderebilir.
İPUCU verilerini Microsoft Sentinel'e aktarmaya yönelik ayrıntılı yönergeler için bkz. Platformlar veri bağlayıcısı ile tehdit göstergelerini içeri aktarma.
Tehdit göstergesi günlükleri
Tehdit Bilgileri – TAXII veya Tehdit Bilgileri Platformları veri bağlayıcılarını kullanarak tehdit göstergelerini Microsoft Sentinel'e aktardıktan sonra, içeri aktarılan verileri tüm Microsoft Sentinel olay verilerini depolandığı Günlükler'de ThreatIntelligenceIndicator tablosunda görüntüleyebilirsiniz. Analytics ve Workbooks gibi Microsoft Sentinel özellikleri de bu tabloyu kullanır.
Tehdit göstergelerini görüntülemek için:
dosya Azure portalMicrosoft Sentinel'i arayın ve seçin.
Tehdit göstergelerini içe aktarmış olduğunuz çalışma alanını seçin.
Sol gezinti bölmesinde Günlükler'i seçin.
Tablolar sekmesindeThreatIntelligenceIndicator tablosu için arama yapın ve seçin.
Tablo verilerini görmek için
adının yanındaki önizleme verileri önizleme verileri simgesini seçin.Aşağıdaki örnekte olduğu gibi bilgilerigörmek için Sorgu düzenleyicisinde Gör'e ve ardından sonuçların sol tarafından açılan oku seçin:
Microsoft Sentinel Analytics
SIEM çözümlerinden tehdit göstergeleri için en önemli kullanım, güvenlik uyarıları, olaylar ve otomatik yanıtlar üretmek için olayları tehdit göstergeleriyle eşleştiren analizler yapmaktır. Microsoft Sentinel Analytics, uyarı oluşturmak için zaman çizelgesiyle tetiklenen analiz kuralları oluşturur. Kural parametrelerini sorgu olarak ifade ediyor ve kuralın ne sıklıkta çalıştırıldığından, hangi sorgu sonuçlarının güvenlik uyarıları ve olaylara neden olduğunu ve uyarılara otomatik yanıtları yapılandırabilirsiniz.
Sıfırdan veya olduğu gibi kullanabileceğiniz veya ihtiyaçlarınızı karşılayacak şekilde değiştirebilirsiniz yerleşik Microsoft Sentinel kural şablonları kümesinden yeni analiz kuralları oluşturabilirsiniz. Tehdit göstergeleriyle olay verileriyle eşan analiz kuralı şablonlarının hepsi TI haritası ile başlayarak başlıklıdırve hepsi benzer şekilde çalışır. Farklar hangi tehdit göstergelerini kullanmak için kullanılır: etki alanı, e-posta, dosya karması, IP adresi veya URL ve eşleşmesi gereken olay türleri. Her şablon, kuralın çalışması için gerekli veri kaynaklarını listeler, böylece Microsoft Sentinel'de zaten içe aktarılmış gerekli olaylara sahip olup ola bir bakışta görebilirsiniz.
Şablondan analiz kuralı oluşturmaya ilişkin ayrıntılı yönergeler için bkz. Şablondan Analiz kuralı oluşturma.
Microsoft Sentinel'de etkin analiz kuralları, Analiz bölümünün Etkin kurallar sekmesindedir. Etkin kuralları düzenleyebilir, etkinleştirebilirsiniz, devre dışı bırakılabilir, çoğaltılabilir veya silebilirsiniz.
Oluşturulan güvenlik uyarıları, Microsoft Sentinel'in Günlükler bölümündekiSecurityAlert tablosunda yer alır. Güvenlik uyarıları, Güvenlik olayları bölümünde yer alan güvenlik olayları da üretir. Güvenlik operasyonları ekipleri uygun yanıtları belirlemek için olayları triblere ve araştırır. Daha fazla bilgi için bkz. Öğretici: Microsoft Sentinel ile olayları araştırma.
Ayrıca, kurallar güvenlik uyarıları lendiğinde tetiklenen otomasyonu da anlayabilirsiniz. Microsoft Sentinel'de Otomasyon, Azure Logic Apps tarafından desteklenen Playbook'larıkullanır. Daha fazla bilgi için bkz. Öğretici: Microsoft Sentinel'de otomatik tehdit yanıtlarını ayarlama.
Microsoft Sentinel Tehdit Zekası Çalışma Kitabı
Çalışma kitapları, Microsoft Sentinel'in tüm yönleriyle ilgili içgörüler sağlayan güçlü etkileşimli panolar sağlar. Anahtar CTI bilgilerini görselleştirmek için bir Microsoft Sentinel çalışma kitabı kullanabilirsiniz. Sağlanan şablonlar bir başlangıç noktası sağlar ve şablonları iş gereksinimlerinize göre kolayca özelleştirebilir, birçok farklı veri kaynaklarını birleştiren yeni panolar oluşturabilir ve verilerinizi benzersiz yollarla görselleştirebilirsiniz. Microsoft Sentinel çalışma kitapları, çalışma Azure İzleyici temelalınarak temel alınarak kapsamlı belgeler ve şablonlar kullanılabilir.
Microsoft Sentinel Tehdit Bilgileri Çalışma Kitabını görüntüleme ve düzenleme hakkında ayrıntılı yönergeler için bkz. Tehdit Bilgileri Çalışma Kitabını görüntüleme ve düzenleme.
Dikkat edilmesi gerekenler
Microsoft Sentinel Tehdit Bilgileri veri bağlayıcıları şu anda genel önizlemededir. Bazı özellikler desteklenmiyor veya kısıtlı özelliklere sahip olabilir.
Microsoft Sentinel, kullanıcılara, gruplara ve Azure hizmetlerine katkıda bulunan,Okuyucu ve Yanıtlayan'a yerleşik roller atamak için Azure rol tabanlı erişim denetimi (Azure RBAC) kullanır. Bunlar Azure rolleri (Sahip, Katkıda Bulunan, Okuyucu) ve Log Analytics rolleri (Log Analytics okuyucusu, Log Analytics katkıda bulunanı) ile etkileşime olabilir. Özel roller oluşturabilir ve Microsoft Sentinel'de depoladık veriler üzerinde gelişmiş Azure RBAC kullanabilirsiniz. Daha fazla bilgi için bkz. Microsoft Sentinel'de İzinler.
Microsoft Sentinel, Log Analytics çalışma alanında ilk 31 Azure İzleyici ücretsizdir. Bundan sonra, alan ve depolaya veriler için Kullana Öde veya Kapasite Rezervasyonları modellerini kullanabilirsiniz. Ayrıntılar için bkz. Microsoft Sentinel fiyatlandırması.
Alternatifler
Tehdit göstergeleri, Tehdit Avcılığı ve Not Defterleri gibi diğer Microsoft Sentinel deneyimlerdekullanışlı bağlam sağlar. Not Defterleri'de CTI kullanma hakkında daha fazla bilgi içinbkz. Sentinel'de Jupyter Notebooks.
Özel BIR İPUCU olan tüm kuruluşlar, Defender ATP gibi diğer Microsoft güvenlik çözümlerine tehdit göstergeleri göndermek için Microsoft Graph Security tiIndicators API'sini kullanabilir.
Microsoft Sentinel, microsoft çözümlerine Microsoft Tehdit Koruması, Microsoft 365 ve Cloud Apps için Microsoft Defender gibi diğer birçok yerleşik veri bağlayıcısı sağlar. Microsoft dışı çözümler için daha geniş güvenlik ekosistemi için yerleşik bağlayıcılar da vardır. Veri kaynaklarınızı Microsoft Sentinel'e bağlamak için ortak olay biçimini, Syslog'u veya REST API da kullanabilirsiniz. Daha fazla bilgi için bkz. Bağlan kaynakları.
Dağıtım
Aşağıdaki bölümlerde aşağıdaki adımların nasıl gerçekleştir ekleri sağlanmıştır:
- Tehdit Zekası – TAXII ve Tehdit BilgileriPlatformları veri bağlayıcılarını etkinleştirin.
- CTI verilerinden güvenlik uyarıları ve olaylar oluşturmak için örnek bir Microsoft Sentinel Analytics kuralı oluşturun.
- Microsoft Sentinel Tehdit Zekası Çalışma Kitabını görüntüleme ve düzenleme.
TAXII veri bağlayıcısı ile tehdit göstergelerini içeri aktarma
TAXII 2.x sunucuları tehdit zekası koleksiyonlarını barındıran URL'ler olan API Köklerini tanıtıyor. Çalışmak istediğiniz TAXII sunucusu API'si Kök ve Koleksiyon Kimliği'nin zaten biliyorsanız, atlayıp Yalnızca Microsoft Sentinel'de TAXII bağlayıcısını etkinleştirebilirsiniz.
API Kökünü yoksa, bunu genellikle tehdit bilgileri sağlayıcısının belge sayfasından alabilirsiniz, ancak bazen yalnızca bulma uç noktası URL'si kullanılabilir. Bulma uç noktasını kullanarak API Kökü'ünü bulabilirsiniz. Aşağıdaki örnek Anomali Anomali ThreatStream TAXII 2.0 sunucusunun bulma uç noktasını kullanır.
Konuk kullanıcı adı ve parola konuk adını kullanarak bir tarayıcıdan ThreatStream TAXII 2.0 sunucu bulma uç noktasına gidin https://limo.anomali.com/taxii ve oturum açın.https://limo.anomali.com/taxii Oturum açma sonrasında aşağıdaki bilgileri görüyorsunuz:
{ "api_roots": [ "https://limo.anomali.com/api/v1/taxii2/feeds/", "https://limo.anomali.com/api/v1/taxii2/trusted_circles/", "https://limo.anomali.com/api/v1/taxii2/search_filters/" ], "contact": "info@anomali.com", "default": "https://limo.anomali.com/api/v1/taxii2/feeds/", "description": "TAXII 2.0 Server (guest)", "title": "ThreatStream Taxii 2.0 Server" }Koleksiyonlara göz atmak için, önceki adımda tarayıcınızdan edinilen API Kökü'ünü girin: https://limo.anomali.com/api/v1/taxii2/feeds/collections/ . Aşağıdakiler gibi bilgiler görüyorsunuz:
{ "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, ... { "can_read": true, "can_write": false, "description": "", "id": "41", "title": "CyberCrime" } ] }
Artık Microsoft Sentinel'i Anomali Anomali Anomali Tarafından sağlanan bir veya daha fazla TAXII sunucu koleksiyonuna bağlamak için ihtiyacınız olan bilgilere sahipsiniz. Örnek:
| API Kökü | Koleksiyon kimliği |
|---|---|
| Kimlik Avı Deposu | 107 |
| CyberCrime | 41 |
Microsoft Sentinel'de Tehdit Bilgileri – TAXII veri bağlayıcıyı etkinleştirmek için:
Içinde Azure portalMicrosoft Sentinel'i arayın ve seçin.
TAXII hizmetlerinden tehdit göstergelerini içeri aktarmayı istediğiniz çalışma alanını seçin.
Sol gezinti bölmesinden Veri bağlayıcıları'ı seçin, Tehdit Bilgileri – TAXII (Önizleme)araması ve seçin ve Bağlayıcı sayfasını aç'ı seçin.
Yapılandırma sayfasında koleksiyon başlığı, içeri aktarmayı istediğiniz API kök URL'si ve Koleksiyon Kimliği gibi kolay bir ad (sunucu için) ve gerekirse Kullanıcı adı ve Parola girin ve ekle'yi seçin.
Bağlantınızı yapılandırılan TAXII 2.0sunucuları listesi altında görüyorsunuz. Aynı veya farklı TAXII sunucularından bağlamak istediğiniz her koleksiyon için yapılandırmayı yineler.
Platformlar veri bağlayıcısı ile tehdit göstergelerini içeri aktarma
TiIndicators API'si, Microsoft Sentinel'e bağlanmak ve tehdit göstergelerini göndermek için İPUCU veya özel çözümünüzden Uygulama (istemci)Kimliği, Dizin (kiracı)kimliği ve istemci gizli dizinine ihtiyaç gösterir. Bu bilgileri almak için TIP veya çözüm uygulamasını Azure Active Directory (Azure AD) ve gerekli izinleri verin.
İlk olarak uygulamayı Azure AD'ye kaydedin:
dosya Azure portal, için arama ve Uygulama kayıtları veardından Yeni kayıt'ı seçin.
Uygulama kaydetme sayfasında, İpucu veya özel çözüm uygulama kaydınız için bir ad girin, yalnızca bu kuruluş dizininde hesaplar'ı seçin ve ardından Kaydol'a tıklayın.
Kayıt başarılı olduktan sonra, kayıtlı uygulamanın Genel Bakış sayfasından Uygulama (istemci) kimliği ve Dizin (kiracı) kimliği değerlerini kopyalayıp kaydedin.
Ardından TIP veya özel çözüm için Microsoft Graph tiIndicators API'sini bağlama ve tehdit göstergeleri gönderme izinleri verin. Bir Azure AD Genel Yöneticisinin de uygulama için kuruluşa onay ver gerekir.
Kayıtlı İpucu veya özel çözüm uygulamanın sol gezinti bölmesinden API izinleri'ni ve ardından İzin ekle'yi seçin.
API izinleri isteği sayfasında MicrosoftGraph'ı ve ardından Uygulama izinleri'ne tıklayın.
ThreatIndicators.ReadWrite.OwnedByaraması ve ardından İzin ekle'yi seçin.
Uygulamanın API izinleri sayfasında kiracınız > için yönetici onayı ver'i > kuruluşa onay verin. Hesabınız genel yönetici rolüne sahip değilseniz bu düğme devre dışı bırakılır. Bu adımı gerçekleştirmek için, kuruluştan bir Genel Yöneticiden izin isteme. Uygulamanıza onay verildiktan sonra, Durum altında yeşil bir onay işareti görüyorsanız.
İzinler ve onay verildikten sonra, uygulamanın sol gezinti bölmesinden Sertifikalar gizli dizileri'ni seçin ve Yeni istemci gizli dizi'yi seçin.
Uygulamanıza bir gizli API anahtarı almak için Ekle'yi seçin.
Bu sayfadan uzaklaştıktan sonra gizli bilgileri alamayanız için şimdi gizli gizli bilgileri kopyalayıp kaydetmeyi emin olun.
Tümleşik İPUCU veya özel çözümünüzde Uygulama (istemci) kimliği,Dizin (kiracı) kimliğive kaydedilen gizli istemci değerlerini girin. Microsoft Sentinel'i hedef olarak ayarlayın ve her gösterge için bir eylem ayarlayın. Uyarı, Microsoft Sentinel'in çoğu kullanım için en uygun eylemdir. Microsoft Graph api'si artık tehdit göstergelerini Microsoft Sentinel'e gönderir ve bu göstergeler, kuruluşta tüm Microsoft Sentinel çalışma alanları tarafından kullanılabilir.
Son olarak, microsoft sentinel tehdit bilgileri platformları veri bağlayıcısını etkinleştirebilirsiniz. İpucu veya özel çözüm tarafından Microsoft Graph api'si aracılığıyla gönderilen tehdit göstergelerini içeri aktarın:
- Içinde Azure portalMicrosoft Sentinel'i arayın ve seçin.
- İpucu veya özel çözümünüzden tehdit göstergelerini içeri aktarmayı istediğiniz çalışma alanını seçin.
- Sol gezinti bölmesinden Veri bağlayıcıları'ı seçin, Tehdit Bilgileri Platformları (Önizleme)için arama ve seçme ve Bağlayıcı sayfasını aç'ı seçin.
- Kayıt ve yapılandırma adımlarını zaten tamamlamış olduğunuz için Bağlan.
Birkaç dakika içinde İPUCU veya özel çözüm tehdit göstergelerinizin Microsoft Sentinel çalışma alanına akmaya başlaması gerekir.
Şablondan Analiz kuralı oluşturma
Bu örnekte, IPadresi türü tehdit göstergelerini tüm Azure Etkinliği IP adresi olaylarıyla karşılaştıran TI eşleme IP varlığı adlı kural şablonu AzureActivity kullanılır. Herhangi bir eşleşme, güvenlik operasyonları takımınız tarafından araştırma için bir güvenlik uyarısı ve buna karşılık gelen bir olay üretir.
Örnekte tehdit göstergelerini içeri aktarmaya yönelik tehdit bilgileri veri bağlayıcılarından birini veya ikisini birden, Azure abonelik düzeyi olaylarınızı içeri aktarmaya yönelik Azure Etkinlik veri bağlayıcısı'nın da kullanageldi. Bu analiz kuralını başarıyla kullanmak için her iki veri türüne de ihtiyacınız vardır.
Içinde Azure portalMicrosoft Sentinel'i arayın ve seçin.
Tehdit bilgileri veri bağlayıcısı ile tehdit göstergelerini içe aktarmış olduğunuz çalışma alanını seçin.
Sol gezinti bölmesinde Analiz'i seçin.
Kural şablonları sekmesinde, ip varlığını AzureActivity ile eşle (Önizleme) kuralı (Önizleme) içinarama yapın ve seçin ve ardından Kural oluştur'u seçin.
İlk Analiz kuralı sihirbazı - Şablon sayfasından yeni kural oluştur sayfasında, Kural Durumu'nda Etkin olarak ayarlanmış olduğundan emin olun ve kural adını veya açıklamasını istediğiniz gibi değiştirebilirsiniz. Sonraki: Kural mantığını ayarlayın'ı seçin.
Kural mantığı sayfası kuralın sorgusunu, eşleyecek varlıkları, kural zamanlamasını ve güvenlik uyarısı oluşturan sorgu sonuçlarının sayısını içerir. Şablon ayarları saatte bir çalışır, Azure olaylarından herhangi bir IP adresiyle eşleşen IP adresi IoC'lerini tanımlar ve tüm eşleşmeler için güvenlik uyarıları oluşturur. Bu ayarları tutabilirsiniz veya bu ayarların herhangi birini, ihtiyaçlarınızı karşılayacak şekilde değiştirebilirsiniz. Bitirdikten sonra Sonraki: Olay ayarları (Önizleme) öğesini seçin.
Olay ayarları (Önizleme)altında, Bu analiz kuralı tarafından tetiklenen uyarılardan olay oluştur seçeneğinin Etkin olarak ayarlanmış olduğundan emin olun ve Sonraki: Otomatik yanıt'ı seçin.
Bu adım, kural bir güvenlik uyarısı ıldığında tetiklenen otomasyonu yapılandırmaya olanak sağlar. Microsoft Sentinel'de Otomasyon, playbook'larıkullanır ve Azure Logic Apps. Daha fazla bilgi için bkz. Öğretici: Microsoft Sentinel'de otomatik tehdit yanıtlarını ayarlama. Bu örnek için, yalnızca Sonraki: Gözden Geçir'i seçinve ayarları gözden geçirdikten sonra Oluştur'a tıklayın.
Kuralınız oluşturulduğunda hemen etkinleştirildi ve bundan sonra normal bir zamanlamayla tetiklenir.
Tehdit Zekası Çalışma Kitabını görüntüleme ve düzenleme
Içinde Azure portalMicrosoft Sentinel'i arayın ve seçin.
Tehdit bilgileri veri bağlayıcısı ile tehdit göstergelerini içe aktarmış olduğunuz çalışma alanını seçin.
Sol gezinti bölmesinde Çalışma Kitapları'ı seçin.
Tehdit Zekası başlıklı çalışma kitabını arama ve seçme.
Gösterildiği gibi gerekli verilere ve bağlantılara sahip olduğundan emin olun ve Kaydet'i seçin.
Açılan pencerede bir konum seçin ve ardından Tamam'ı seçin. Bu adım çalışma kitabını kaydederek çalışma kitabını değiştirebilir ve değişikliklerinizi kaydedebilirsiniz.
Kaydedilen çalışma kitabını görüntüle'yi seçerek çalışma kitabını açın ve şablonun sağladığı varsayılan grafikleri açın.
Çalışma kitabını düzenlemek için sayfanın üst kısmında yer alan araç çubuğunda Düzenle'yi seçin. Herhangi bir grafiğin yanındaki Düzenle'yi seçerek bu grafiğin sorgusunu ve ayarlarını düzenleyebilirsiniz.
Tehdit türüne göre tehdit göstergelerini gösteren yeni bir grafik eklemek için:
Sayfanın üst kısmında Düzenle'yi seçin, sayfanın en altına kaydırın ve Ekle'yi veardından Sorgu ekle'yi seçin.
Log Analytics çalışma alanı Günlükler Sorgusualtına aşağıdaki sorguyu girin:
ThreatIntelligenceIndicator | summarize count() by ThreatTypeGörselleştirme açılan listesinde Çubuk grafik'i ve ardından Düzenleme bitti'yi seçin.
Sayfanın üst kısmında Düzenleme bitti'yi ve ardından Kaydet simgesini seçerek yeni grafiğinizi ve çalışma kitabınızı kaydedin.
Sonraki adımlar
Hem topluluk tarafından hem de GitHub katkıları görmek için microsoft sentinel'i ziyaret edin. Burada Microsoft Sentinel'in tüm özellik alanları hakkında yeni fikirler, şablonlar ve konuşmalar bulabilirsiniz.
Microsoft Sentinel çalışma kitapları, Azure İzleyici temel alınarak hazırlanmıştır, bu nedenle kapsamlı belgeler ve şablonlar kullanılabilir. Başlamak için harika bir yer, çalışma kitaplarını kullanarak etkileşimli Azure İzleyici oluşturmaktır. GitHub üzerinde çalışma kitabı Azure İzleyici zengin bir topluluk vardır.Burada ek şablonlar indirebilir ve kendi şablonlarınıza katkıda bulunabilirsiniz.