Microsoft Sentinel'de uyarı ayrıntılarını özelleştirme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, uyarıların varsayılan özelliklerinin temel sorgu sonuçlarından alınan içerikle nasıl geçersiz kılınacakları açıklanmaktadır.

Zamanlanmış analiz kuralı oluşturma sürecinde, ilk adım olarak kural için bir ad ve açıklama tanımlarsınız ve buna önem derecesi ve MITRE ATT&CK taktikleri atarsınız. Belirli bir kural tarafından oluşturulan tüm uyarılar ve sonuç olarak oluşturulan tüm olaylar, uyarının belirli bir örneğinin içeriğine bakılmaksızın kuralda tanımlanan adı, açıklamayı, önem derecesini ve taktikleri devralır.

Uyarı ayrıntıları özelliğiyle uyarıların bu ve diğer varsayılan özelliklerini iki şekilde geçersiz kılabilirsiniz:

• Uyarılarınız için özel, değişken adlar ve açıklamalar oluşturun. Uyarınızın sorgu çıkışında içeriği uyarının her örneğinin adına veya açıklamasına dahil edilebilen alanları seçebilirsiniz. Seçili alanın belirli bir örnekte değeri yoksa, söz konusu örneğin uyarı ayrıntıları sihirbazın ilk sayfasında belirtilen varsayılan değerlere geri döner.

• Belirli bir uyarı örneğinin önem derecesini, taktiklerini ve diğer özelliklerini sorgu çıkışındaki ilgili alanların değerleriyle özelleştirin (aşağıdaki özelliklerin tam listesine bakın). Seçili alanlar boşsa veya alan veri türüyle eşleşmeyen değerlere sahipse, ilgili uyarı özellikleri varsayılanlarına (sihirbazın ilk sayfasında belirtilen taktikler ve önem derecesi için) geri döner.

Önemli

• Bazı uyarı ayrıntılarının özelleştirilebilirliği (aşağıda belirtilenlere bakın) şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
• Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Uyarı ayrıntıları özelliğini kullanmak için aşağıda ayrıntılarıyla belirtilen yordamı izleyin. Bu adımlar analiz kuralı oluşturma sihirbazının bir parçasıdır, ancak mevcut bir analiz kuralında uyarı ayrıntılarını ekleme veya değiştirme senaryolarını ele almak için burada bağımsız olarak ele alınır.

Uyarı ayrıntılarını özelleştirme

1. Microsoft Sentinel'e eriştiğiniz portalda Analiz sayfasını girin:

   Azure portalı

   Microsoft Sentinel gezinti menüsünün Yapılandırma bölümünde Analiz'i seçin.

   Defender portalı

   Microsoft Defender gezinti menüsünden Microsoft Sentinel'i ve ardından Yapılandırma'yı genişletin. Analizler seçeneğini belirleyin.

2. Zamanlanmış bir sorgu kuralı seçin ve Düzenle'yi seçin. İsterseniz ekranın üst kısmındaki Zamanlanmış sorgu kuralı oluştur'u > seçerek yeni bir kural oluşturabilirsiniz.

3. Kural mantığı ayarla sekmesini seçin.

4. Uyarı zenginleştirme bölümünde Uyarı ayrıntıları'nı genişletin.

   

5. Şimdi genişletilmiş Uyarı ayrıntıları bölümünde, uyarıda görüntülemek istediğiniz ayrıntılara karşılık gelen özellikleri içeren serbest metin ekleyin:

   1. Uyarı Adı Biçimi alanına, uyarının adı olarak görünmesini istediğiniz metni (uyarı metni) girin ve uyarı metninin parçası olmasını istediğiniz sorgu çıktı alanlarını çift köşeli ayraç içine ekleyin.

      Örnek: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Uyarı Açıklaması Biçimi alanında da aynısını yapın.

      Not

      Şu anda Uyarı Adı Biçimi ve Uyarı Açıklaması Biçimi alanlarında her birinde üç parametreyle sınırlısınız.

   3. Diğer varsayılan özellikleri geçersiz kılmak için Uyarı özelliği açılan listesinden bir uyarı özelliği seçin. Ardından, içeriklerini uyarı özelliğini doldurmak istediğiniz sorgu sonuçlarından Değer açılan listesinden alanı seçin.

   4. Daha fazla varsayılan özelliği geçersiz kılmak için + Yeni ekle'yi seçin ve önceki adımı yineleyin. Aşağıdaki özellikler geçersiz kılınabilir:

      Veri Akışı Adı	Açıklama
      AlertName	String
      Açıklama	String
      Uyarı Azmi	Aşağıdaki değerlerden biri: - Bilgi - Düşük - Medium - Yüksek
      Taktik	Aşağıdaki değerlerden biri: - Keşif - ResourceDevelopment - InitialAccess - Yürütme - Kalıcılık - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Bulma - LateralMovement - Koleksiyon - Sızdırma - CommandAndControl - Etki - PreAttack - ImpairProcessControl - InhibitResponseFunction
      Teknikler (Önizleme)	Aşağıdaki normal ifadeyle eşleşen bir dize: ^T(?<Digits>\d{4})$. Örneğin: T1234
      AlertLink (Önizleme)	String
      ConfidenceLevel (Önizleme)	Aşağıdaki değerlerden biri: - Düşük - Yüksek - Bilinmiyor
      ConfidenceScore (Önizleme)	Tamsayı, 0-1 arasında (dahil)
      ExtendedLinks (Önizleme)	String
      ProductComponentName (Önizleme)	String
      ProductName (Önizleme)	String
      ProviderName (Önizleme)	String
      DüzeltmeSteps (Önizleme)	String

   Fikrinizi değiştirirseniz veya bir hata yaptıysanız Uyarı özelliği/Değer çiftinin yanındaki çöp kutusu simgesine tıklayarak bir uyarı ayrıntısını kaldırabilir veya Uyarı Adı/Açıklama Biçimi alanlarından boş metni silebilirsiniz.

6. Uyarı ayrıntılarınızı özelleştirmeyi bitirdiğinizde, kuralı oluşturuyorsanız sihirbazdaki bir sonraki sekmeye geçin. Mevcut bir kuralı düzenliyorsanız Gözden geçir ve oluştur sekmesini seçin. Kural doğrulaması başarılı olduktan sonra Kaydet'i seçin.

   Not

   Hizmet sınırlamaları

   • Tüm uyarı ayrıntıları ve özel ayrıntılar için toplu olarak birleşik boyut sınırı 64 KB'tır.

Sonraki adımlar

Bu belgede, Microsoft Sentinel analiz kurallarında uyarı ayrıntılarını özelleştirmeyi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Uyarılarınızı zenginleştirmenin diğer yollarını keşfedin:
  • Microsoft Sentinel'de veri alanlarını varlıklarla eşleme
  • Microsoft Sentinel'de uyarılarda surface özel olay ayrıntıları
• Zamanlanmış sorgu analizi kurallarında resmin tamamını alın.
• Microsoft Sentinel'deki varlıklar hakkında daha fazla bilgi edinin.