Microsoft güvenlik uyarılarından otomatik olarak olay oluşturma

Microsoft Cloud App Security Azure Sentinel ve Kimlik için Microsoft Defender (eski adı Azure ATP) gibi Azure Sentinel'a bağlı Microsoft güvenlik çözümlerde tetiklenen uyarılar, güvenlik olaylarını otomatik olarak Azure Sentinel. Varsayılan olarak, bir Microsoft çözümünü Azure Sentinel'a bağ her uyarı, Azure Sentinel'de ham veri olarak Azure Sentinel çalışma alanınız içinde depolanır. Daha sonra bu verileri, veri kaynağınıza bağ bağ iki veri gibi Azure Sentinel.

Bu makaledeki yönergeleri Azure Sentinel, bağlı bir Microsoft güvenlik çözümünde her uyarı tetiklendiğinde güvenlik olaylarını otomatik olarak oluşturmak için güvenlik ayarlarını kolayca yapılandırabilirsiniz.

Önkoşullar

Güvenlik hizmeti uyarılarından olay oluşturulmasını etkinleştirmek için Microsoft güvenlik çözümlerini bağlamanız gerekir.

Microsoft Güvenlik olayı oluşturma analiz kurallarını kullanma

Güvenlik olaylarını gerçek zamanlı olarak otomatik Azure Sentinel microsoft güvenlik çözümlerinin hangilerini oluşturması gerektiğini seçmek için Azure Sentinel yerleşik kuralları kullanın. Ayrıca, Microsoft güvenlik çözümü tarafından oluşturulan uyarılardan hangilerinin güvenlik olayı oluşturması gerektiğini filtrelemek için daha belirli seçenekler tanımlamak üzere kuralları Azure Sentinel. Örneğin, yalnızca yüksek önem derecesine sahip Azure Sentinel Azure Defender uyarıları (eski adı Azure Güvenlik Merkezi) olan güvenlik olaylarını otomatik olarak oluşturabilirsiniz.

  1. Aşağıdaki Azure portal Analytics'Azure Sentinel seçin.

  2. Tüm yerleşik analiz kurallarını görmek için Kural şablonları sekmesini seçin.

    Kural şablonları

  3. Kullanmak istediğiniz Microsoft güvenlik analizi kural şablonunu seçin ve Kural oluştur'a tıklayın.

    Güvenlik analizi kuralı

  4. Kural ayrıntılarını değiştirebilir ve güvenlik olayı oluşturacak uyarıları uyarı önem derecesine veya uyarının adının içerdiği metne göre filtrelemeyi seçebilirsiniz.

    Örneğin, Microsoft güvenlik hizmeti alanında Azure Defender 'i (yine de Azure Güvenlik Merkezi olarak da anılır) seçerseniz ve Önem derecesine göre filtrele alanında Yüksek'i seçerseniz, yalnızca yüksek önem Azure Defender uyarıları güvenlik olaylarını otomatik olarak Azure Sentinel.

    Kural oluşturma sihirbazı

  5. +Oluştur'a tıklar ve Microsoft olay oluşturma kuralını seçerek farklı Microsoft güvenlik hizmetlerinden gelen uyarıları filtreleyeni bir Microsoft güvenlik kuralı da oluşturabilirsiniz.

    Olay oluşturma kuralı

    Microsoft güvenlik hizmeti türü başına birden fazla Microsoft Güvenlik analizi kuralı oluşturabilirsiniz. Her kural filtre olarak kullanılır, bu nedenle yinelenen olaylar oluşturmaz. Bir uyarı birden fazla Microsoft Güvenlik analizi kuralıyla eşlese bile yalnızca bir güvenlik olayı Azure Sentinel oluşturur.

Bağlantı sırasında olay oluşturmayı otomatik olarak etkinleştirme

Bir Microsoft güvenlik çözümüne bağlanarak, güvenlik çözümünden gelen uyarıların güvenlik çözümünde otomatik olarak güvenlik olayı oluşturması Azure Sentinel seçin.

  1. Bağlan Microsoft güvenlik çözümü veri kaynağıdır.

    Güvenlik olayları oluşturma

  2. Olay oluştur altında Etkinleştir'i seçerek bağlı güvenlik hizmette oluşturulan uyarılardan otomatik olarak olay oluşturan varsayılan analiz kuralını etkinleştirin. Ardından Bu kuralı Analiz ve ardından Etkin kurallar altında düzenleyebilirsiniz.

Sonraki adımlar