Microsoft güvenlik uyarılarından otomatik olarak olay oluşturma

Microsoft Defender for Cloud Apps ve Kimlik için Microsoft Defender gibi Microsoft Sentinel'e bağlı Microsoft güvenlik çözümlerinde tetiklenen uyarılar, Microsoft Sentinel'de otomatik olarak olay oluşturmaz. Varsayılan olarak, bir Microsoft çözümünü Microsoft Sentinel'e bağladığınızda, bu hizmette oluşturulan tüm uyarılar Microsoft Sentinel çalışma alanınızdaki SecurityAlert tablosunda, Microsoft Sentinel'de ham veri olarak depolanır. Daha sonra bu verileri Microsoft Sentinel'e alınan diğer ham veriler gibi kullanabilirsiniz.

Microsoft Sentinel'i, bağlı bir Microsoft güvenlik çözümünde her uyarı tetiklendiğinde otomatik olarak olay oluşturacak şekilde yapılandırmak için bu makaledeki yönergeleri izleyebilirsiniz.

Önkoşullar

Microsoft Sentinel'de İçerik Hub'ından uygun çözümü yükleyip veri bağlayıcısını ayarlayarak güvenlik çözümünüzü bağlayın. Daha fazla bilgi için bkz. Microsoft Sentinel kullanıma hazır içeriği veMicrosoft Sentinel veri bağlayıcılarını bulma ve yönetme.

Microsoft Güvenlik olayı oluşturma analiz kurallarını kullanma

Hangi bağlı Microsoft güvenlik çözümlerinin Microsoft Sentinel olaylarını otomatik olarak oluşturacağını seçmek için Microsoft Sentinel'de bulunan kural şablonlarını kullanın. Ayrıca, Microsoft güvenlik çözümü tarafından oluşturulan uyarılardan hangilerinin Microsoft Sentinel'de olaylar oluşturması gerektiğini filtrelemeye yönelik daha belirli seçenekler tanımlamak için kuralları düzenleyebilirsiniz. Örneğin, Microsoft Sentinel olaylarını otomatik olarak yalnızca Bulut uyarıları için yüksek önem dereceli Microsoft Defender oluşturmayı seçebilirsiniz.

1. Microsoft Sentinel altındaki Azure portal Analiz'i seçin.

2. Tüm analiz kuralı şablonlarını görmek için Kural şablonları sekmesini seçin. Daha fazla kural şablonu bulmak için Microsoft Sentinel'de İçerik hub'ına gidin.

   

3. Kullanmak istediğiniz Microsoft güvenlik analizi kural şablonunu ve ardından Kural oluştur'u seçin.

   

4. Kural ayrıntılarını değiştirebilir ve olay oluşturacak uyarıları uyarı önem derecesine veya uyarının adında yer alan metne göre filtrelemeyi seçebilirsiniz.

   Örneğin, Microsoft güvenlik hizmeti alanında Bulut için Microsoft Defender ve Önem derecesine göre filtrele alanında Yüksek'i seçerseniz, Microsoft Sentinel'de yalnızca yüksek önem dereceli güvenlik uyarıları otomatik olarak olaylar oluşturur.

   

5. +Oluştur'a tıklayıp Microsoftolay oluşturma kuralı'nı seçerek farklı Microsoft güvenlik hizmetlerinden gelen uyarıları filtreleyen yeni bir Microsoft güvenlik kuralı da oluşturabilirsiniz.

   

   Microsoft güvenlik hizmeti türü başına birden fazla Microsoft Güvenlik analizi kuralı oluşturabilirsiniz. Bu, her kural filtre olarak kullanıldığından yinelenen olaylar oluşturmaz. Bir uyarı birden fazla Microsoft Güvenlik analizi kuralıyla eşleşse bile yalnızca bir Microsoft Sentinel olayı oluşturur.

Bağlantı sırasında olay oluşturmayı otomatik olarak etkinleştirme

Bir Microsoft güvenlik çözümü bağladığınızda, güvenlik çözümünden gelen uyarıların Microsoft Sentinel'de otomatik olarak olay oluşturmasını isteyip istemediğinizi seçebilirsiniz.

1. Microsoft güvenlik çözümü veri kaynağını bağlama.

   

2. Olay oluştur'un altında Etkinleştir'i seçerek bağlı güvenlik hizmetinde oluşturulan uyarılardan otomatik olarak olaylar oluşturan varsayılan analiz kuralını etkinleştirin. Ardından bu kuralı Analytics'in ve ardından Etkin kuralların altında düzenleyebilirsiniz.

Sonraki adımlar

• Microsoft Sentinel'i kullanmaya başlamak için Bir Microsoft Azure aboneliğine ihtiyacınız vardır. Aboneliğiniz yoksa ücretsiz deneme sürümü için kaydolabilirsiniz.
• Verilerinizi Microsoft Sentinel'e eklemeyi ve verilerinizle olası tehditler hakkında görünürlük elde etmeyi öğrenin.