Tehditleri algılamak için özel analiz kuralları oluşturma

Veri kaynaklarınızı veri kaynaklarına Azure Sentinel ortamınıza yönelik tehditleri ve anormal davranışları keşfetmeye yardımcı olmak için özel analiz kuralları oluşturun.

Analiz kuralları ortamınız genelinde belirli olayları veya olay kümelerini arayabilir, belirli olay eşiklerine veya koşullarına ulaşıldığı zaman sizi uyarır, soC'nizin otomatik izleme ve düzeltme işlemleriyle tehditlerin öncelerini ve araştırmasını ve yanıtlaması için olaylar üretir.

İpucu

Özel kurallar oluştururken mevcut kuralları şablon veya başvuru olarak kullanın. Temel olarak mevcut kuralların kullanımı, gerekli değişiklikleri yapmadan önce mantığın çoğunun yeniden inşa sınanarak yardımcı olur.

  • Analiz kuralları oluşturma
  • Olayların ve uyarıların nasıl işlenmelerini tanımlama
  • Uyarıların ve güvenlik olaylarını oluşturmanın nasıl olduğunu tanımlama
  • Kurallarınız için otomatik tehdit yanıtlarını seçme

Zamanlanmış sorgu ile özel analiz kuralı oluşturma

  1. Ana gezinti Azure Sentinel Analytics'i seçin.

  2. Üstteki eylem çubuğunda +Oluştur'a ve zamanlanmış sorgu kuralı'nı seçin. Analiz kuralı sihirbazı açılır.

    Zamanlanmış sorgu oluşturma

Analiz kuralı sihirbazı - Genel sekmesi

  • Benzersiz bir Ad ve Açıklama girin.

  • Taktikler alanında kuralı sınıflandırmak için saldırı kategorilerinden birini seçebilirsiniz. Bunlar, MITRE ATT ve CK çerçevesinin& temelleridir.

  • Uyarı önem derecesine uygun şekilde ayarlayın.

  • Kuralı oluştururken Varsayılan olarak Etkindir ve siz oluşturmayı bitirdikten hemen sonra çalışır. Hemen çalıştırmak istemiyorsanız Devre Dışı'ı seçin; kural Etkin kurallar sekmenize eklenir ve ihtiyacınız olduğunda buradan etkinleştirebilirsiniz.

    Özel analiz kuralı oluşturmaya başlama

Kural sorgu mantığını tanımlama ve ayarları yapılandırma

Kural mantığını ayarla sekmesinde, doğrudan Kural sorgusu alanına bir sorgu yazabilir veya sorguyu Log Analytics'te oluşturabilir ve ardından kopyalayıp buraya yapıştırabilirsiniz.

  • Sorgular Kusto Sorgu Dili (KQL) ile yazılır. KQL kavramları ve sorguları hakkında daha fazla bilgi edinmekiçin bu kullanışlı hızlı başvuru kılavuzuna bakın.

  • Bu ekran görüntüsünde gösterilen örnek, başarısız oturum açma olaylarının türünü görüntülemek için SecurityEvent Windows sorgular.

    Sorgu kuralı mantığını ve ayarlarını yapılandırma

  • Burada, Azure Etkinliği'ne anormal sayıda kaynak oluşturulduğunda sizi uyaran başka bir örnek sorgu ve ardından yer alır.

    AzureActivity
    | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
    | where ActivityStatus == "Succeeded"
    | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
    

    Not

    Kural sorgusu en iyi yöntemleri:

    • Sorgu uzunluğu 1 ile 10.000 karakter arasında olmalıdır ve " search * " veya " " " union * içeremez. Sorgu uzunluğu sınırlamasını aşmak için kullanıcı tanımlı işlevleri kullanabilirsiniz.

    • Log Analytics sorgu penceresinde Azure Veri Gezgini için ADX işlevlerinin kullanımı desteklenmiyor.

    • İşlevi bir sorguda kullanırken sütunları " " kullanarak alanlar olarak projeler ve sütun mevcut değil ise bag_unpack project field1 sorgu başarısız olur. Bu durumlara karşı koruma için sütunu aşağıdaki gibi projeniz gerekir:

      • project field1 = column_ifexists("field1","")

Uyarı zenginleştirme

Önemli

Uyarı zenginleştirme özellikleri şu anda ÖNIZLE'dedir. Beta, önizleme veya başka bir sürümde henüz genel kullanılabilirlik aşamasında olan Azure özellikleri için geçerli olan ek yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

  • Sorgu sonuçlarınızdan tanınan varlıklara parametreleri eşlemek için Varlık eşleme Azure Sentinel bölümünü kullanın. Varlıklar, kuralların çıkışını (uyarılar ve olaylar) takip eden tüm araştırma işlemlerinin ve düzeltilen eylemlerin yapı taşları olarak görev yapan temel bilgilerle zenginleştirir. Bunlar ayrıca, Uyarı ayarları sekmesinde uyarıları birlikte güvenlik olayları olarak gruplandırma ölçütlerini de içerir.

    içinde varlıklar hakkında daha fazla bilgi Azure Sentinel.

    Geriye dönük uyumluluk hakkında önemli bilgiler Azure Sentinel eksiksiz varlık eşleme yönergeleri için bkz. Veri alanlarını Azure Sentinel varlıklarla eşleme.

  • Özel ayrıntılar yapılandırma bölümünü kullanarak sorgunuzdaki olay verileri öğelerini ayıklar ve bunları bu kural tarafından üretilen uyarılarda ortaya çıkararak uyarılarınız ve olaylarınıza anında olay içeriği görünürlüğü sağlar.

    Uyarılarda özel ayrıntıların ortaya çıktısı hakkında daha fazla bilgi edinmek için yönergelerin tamamlanmıştır.

  • Uyarının sunu ayrıntılarını gerçek içeriğine uyarlamak için Uyarı ayrıntıları yapılandırma bölümünü kullanın. Uyarı ayrıntıları, örneğin bir saldırganın IP adresini veya hesap adını uyarının başlığında görüntülemenize olanak sağlar; böylece olay kuyruğunda görünür ve size tehdit ortamınızı çok daha zengin ve daha net bir şekilde gösterir.

    Uyarı ayrıntılarınızı özelleştirmeyle ilgili tam yönergelere bakın.

Sorgu zamanlama ve uyarı eşiği

  • Sorgu zamanlama bölümünde aşağıdaki parametreleri ayarlayın:

    Sorgu zamanlaması ve olay gruplamayı ayarlama

    • Sorgunun ne sıklıkta çalıştır olduğunu (5 dakikada bir veya 14 günde bir) seyrek olarak kontrol etmek için Her sorguyu çalıştır'a ayarlayın.

    • Sorgu kapsamındaki verilerin zaman dönemini belirlemek için En son veri arama verilerini ayarlayın. Örneğin, son 10 dakikalık verileri veya son 6 saatlik verileri sorgular. En fazla 14 gündür.

      Not

      Sorgu aralıkları ve geri arama dönemi

      Bu iki ayar bir noktaya kadar birbirinden bağımsızdır. Bir sorguyu aralıktan daha uzun bir zaman aralığını kapsayan kısa bir aralıkta çalıştırabilirsiniz (aslında çakışan sorgular vardır), ancak kapsamı aşan bir aralıkta sorgu çalıştıramazsınız, aksi takdirde genel sorgu kapsamında boşluklar olur.

      Alımın gecikmesi

      Bir olayın kaynakta nesli ile Azure Sentinel'a veri alımı arasında meydana gelen gecikme süresini hesaba katarak ve veri yineleme olmadan tam kapsamı sağlamak için Azure Sentinel zamanlanmış analiz kurallarını zamanlanan saatlerinden beş dakikalık bir gecikmeyle çalıştırır.

      Bu gecikmenin neden gerekli olduğu ve bu sorunu nasıl çözeceğinin ayrıntılı teknik açıklaması için, " Zamanlanmış uyarı kurallarında alımı gecikmeyi işleme" konusunda Ron Marsiano'nunharikablog gönderisi Azure Sentinel bakın.

  • Kuralın duyarlılık düzeyini tanımlamak için Uyarı eşiği bölümünü kullanın. Örneğin, Sorgu sonucu sayısı Büyük olduğunda uyarı oluştur'a ayarlayın ve kuralın uyarı oluşturması için sorgu her çalıştır tarihinde 1000'den fazla sonuç döndürecekse 1000 sayısını girin. Bu gerekli bir alandır, dolayısıyla eşik ayarlamak istemiyorsanız (yani uyarının her olayı kaydetmesi için) sayı alanına 0 girin.

Sonuç benzetimi

Sihirbazın sağ tarafındaki Sonuçlar benzetimi alanında Geçerli verilerle test edin'i seçin. Azure Sentinel size sorgunun şu anda tanımlanmış olan zaman çizelgesine göre çalıştırılamayacak son 50 kez oluşturmuştur sonuçların (günlük olayları) grafiğini gösterir. Sorguyu değiştirirsiniz, grafı güncelleştirmek için Geçerli verilerle test'i yeniden seçin. Grafik, Sorgu zamanlama bölümündeki ayarlar tarafından belirlenen tanımlanan zaman dönemi içinde sonuçların sayısını gösterir.

Yukarıdaki ekran görüntüsünde sorgu için sonuç simülasyonu aşağıdaki gibi olabilir. Sol taraf varsayılan görünüm, sağ taraf ise grafikte zaman içinde bir noktanın üzerine gelindiğinde gördüğünüz değerdir.

Sonuç benzetimi ekran görüntüleri

Sorgunuz çok fazla veya çok sık uyarı tetiklese de, Sorgu zamanlama ve Uyarı eşiği bölümlerindeki ayarlarla denemeler yapın ve Geçerli verilerle test'i yeniden seçin.

Olay gruplama ve kural gizleme

Önemli

Olay gruplama şu anda ÖNIZLE'dedir. Beta, önizleme veya başka bir sürümde henüz genel kullanılabilirlik aşamasında olan Azure özellikleri için geçerli olan ek yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

  • Olay gruplama altında, olayların uyarı olarak gruplamalarını işlemenin iki yollarından birini seçin:

    • Tüm olayları tek bir uyarı olarak grupla (varsayılan ayar). Sorgu yukarıdaki belirtilen uyarı eşiğine göre daha fazla sonuç döndür olduğu sürece kural her çalıştırıla tek bir uyarı oluşturur. Uyarı, sonuçlarda döndürülen tüm olayların özetini içerir.

    • Her olay için bir uyarı tetikle. Kural, sorgu tarafından döndürülen her olay için benzersiz bir uyarı oluşturur. Olayların tek tek görüntülenebilir veya belirli parametrelere göre (kullanıcıya, ana bilgisayar adı veya başka bir parametreye göre) gruplanmaya yarar. Bu parametreleri sorguda tanımlayabilirsiniz.

      Şu anda bir kuralın oluşturabileceği uyarı sayısı üst sınırı 20'dir. Belirli bir kuralda Olay gruplama her olay için bir uyarı tetikle olarak ayarlanırsa ve kuralın sorgusu 20'den fazla olay döndürürse, ilk 19 olayın her biri benzersiz bir uyarı oluşturur ve 20. uyarı döndürülen olay kümenin tamamını özetler. Başka bir deyişle 20. uyarı, Tüm olayları tek bir uyarıda grupla seçeneği altında oluşturulan uyarıdır.

      Bu seçeneği belirtirseniz Azure Sentinel sonuçlarına yeni bir alan (OriginalQuery) eklersiniz. Mevcut Sorgu alanıyla yeni alanın karşılaştırması şu şekildedir:

      Alan adı Contains Sorguyu bu alanda çalıştırma
      sonuç...
      Sorgu Uyarının bu örneğini oluşturan olayın sıkıştırılmış kaydı Uyarının bu örneğini oluşturan olay
      OriginalQuery Analiz kuralında yazılan özgün   sorgu Sorgunun çalıştırlandığı zaman çerçevesinin, sorgu tarafından tanımlanan parametrelere uyan en son olayı

      Diğer bir deyişle, OriginalQuery alanı genellikle Query alanı gibi davranır. Bu ek alanın sonucu, aşağıdaki Sorun Giderme bölümündeki ilk öğe tarafından açıklanan sorunun çözülmüş olduğudur.

    Not

    Olaylarla uyarılar arasındaki fark nedir?

    • Olay, bir eylemin tek bir oluşumunun açıklamasıdır. Örneğin, bir günlük dosyasındaki tek bir giriş olay olarak sayılır. Bu bağlamda bir olay, analiz kuralında bir sorgu tarafından döndürülen tek bir sonucu ifade eder.

    • Uyarı, birlikte alınan ve güvenlik açısından önemli olan olayların bir koleksiyonudur. Bir uyarı, olayın önemli güvenlik etkileri varsa tek bir olay içerebilir; örneğin, ofis saatleri dışında yabancı bir ülkede yönetim oturumu açma.

    • Bu arada olaylar nedir? Azure Sentinel iç mantığı, uyarılardan veya uyarı gruplarından olaylar oluşturur. Olaylar kuyruğu, SOC analistlerinin çalışmalarında odak noktasıdır: triyama, araştırma ve düzeltme.

    Azure Sentinel bazı veri kaynaklarından ham olayları ve diğer kaynaklardan zaten işlenmiş uyarıları alan bir kaynaktır. Herhangi bir zamanda hangiyle ilgili olduğunu not etmek önemlidir.

  • Gizleme bölümünde, uyarı alındıktan sonra sorguyu çalıştırmayı durdur ayarını Açık durumuna döndürebilirsiniz. Uyarı alındıktan sonra sorgu aralığını aşan bir süre boyunca bu kuralın çalışması askıya alınarak askıya alın. Bunu açmak için Sorguyu çalıştırmayı durdur'a 24 saate kadar sorgunun çalışmama süresine ayarlayabilirsiniz.

Olay oluşturma ayarlarını yapılandırma

Olay Ayarlar sekmesinde, uyarıları eyleme değiştirilebilir olaylara Azure Sentinel ve nasıl dönüştüreceklerini seçebilirsiniz. Bu sekme tek başına bırak Azure Sentinel her uyarıdan ayrı bir olay oluşturabilirsiniz. Bu sekmede ayarları değiştirerek hiçbir olay oluşturulmaz veya birkaç uyarıyı tek bir olayda gruplayabilirsiniz.

Önemli

Olay ayarları sekmesi şu anda ÖNIZLE'dedir. Beta, önizleme veya başka bir sürümde henüz genel kullanılabilirlik aşamasında olan Azure özellikleri için geçerli olan ek yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Örnek:

Olay oluşturma ve uyarı gruplama ayarlarını tanımlama

Güvenlik olayı ayarları

Olay ayarları bölümünde, Bu analiz kuralı tarafından tetiklenen uyarılardan olay oluştur varsayılan olarak Etkin olarak ayarlanır. Bu, Azure Sentinel'nin kural tarafından tetiklenen her uyarıdan tek ve ayrı bir olay oluştur anlamına gelir.

  • Bu kuralın herhangi bir olayın oluşturulmasıyla sonuçlandırılmalarını istemiyorsanız (örneğin, bu kural yalnızca sonraki analiz için bilgi toplamaksa), bunu Devre Dışı olarak ayarlayın.

  • Her uyarı için bir uyarı yerine bir grup uyarıdan tek bir olay oluşturulacaksa sonraki bölüme bakın.

Uyarı gruplama

Uyarı gruplama bölümünde, 150'ye kadar benzer veya yinelenen uyarıdan (nota bakın) tek bir olay oluşturmak için Grupla ilgili uyarıları, bu analiz kuralı tarafından tetiklenen olaylar olarak Etkin olarak ayarlayın ve aşağıdaki parametreleri ayarlayın.

  • Grubu seçilen zaman çerçevesinde oluşturulan uyarılarla sınırla: Benzer veya yinelenen uyarıların birlikte gruplandırılama zaman dilimini belirler. Bu zaman çerçevesi içindeki tüm ilgili uyarılar topluca bir olay veya olay kümesi (aşağıdaki gruplama ayarlarına bağlı olarak) üretir. Bu zaman çerçevesinin dışındaki uyarılar ayrı bir olay veya olay kümesi oluşturacak.

  • Bu analiz kuralı tarafından tetiklenen uyarıları tek bir olayda grupla: Uyarıların birlikte gruplandırı temellerini seçin:

    Seçenek Açıklama
    Tüm varlıklar eş olursa uyarıları tek bir olayda grupla Eşlenen varlıkların her biri için aynı değerleri paylaşıyorsa uyarılar birlikte gruplanır (yukarıdaki Kural mantığını ayarla sekmesinde tanımlanır). Bu, önerilen ayardır.
    Bu kural tarafından tetiklenen tüm uyarıları tek bir olayda grupla Bu kural tarafından oluşturulan tüm uyarılar, aynı değerleri paylaşmasalar bile birlikte gruplandı.
    Seçilen varlıklar ve ayrıntılar eşdüz ise uyarıları tek bir olayda grupla Tüm eşlenen varlıklar, uyarı ayrıntıları ve ilgili açılan listelerden seçilen özel ayrıntılar için aynı değerleri paylaşıyorsa uyarılar birlikte gruplandı.

    Bu ayarı, örneğin kaynak veya hedef IP adreslerine göre ayrı olaylar oluşturmak veya belirli bir varlık ve önem derecesiyle eşan uyarıları grup oluşturmak istemeniz halinde kullanmak iyi olabilir.

    Not: Bu seçeneği tercih ederseniz kural için en az bir varlık türünü veya alanını seçmeniz gerekir. Aksi takdirde kural doğrulaması başarısız olur ve kural oluşturulmaz.
  • Kapalı eşleşen olayları yeniden açma: Bir olay çözümlendi ve kapatıldı ve daha sonra bu olayla ilgili olması gereken başka bir uyarı oluşturulursa, kapalı olayın yeniden açılmasını ve uyarının yeni bir olay oluşturması için Devre Dışı olarak bırakın.

    Not

    Tek bir olayda en fazla 150 uyarı gruplandı. 150'den fazla uyarı, bunları tek bir olay halinde gruplandıran bir kural tarafından oluşturulursa, özgün uyarıyla aynı olay ayrıntılarıyla yeni bir olay oluşturulur ve fazlalık uyarılar yeni olayda grup haline gelir.

Otomatik yanıtları ayarlama ve kuralı oluşturma

  1. Otomatik yanıtlar sekmesinde, bu analiz kuralı tarafından oluşturulan uyarıya veya uyarılara ya da uyarılar tarafından oluşturulan olayı temel alarak otomasyonu ayarlayın.

    • Uyarı tabanlı otomasyon için Uyarı otomasyonu altındaki açılan listeden bir uyarı oluşturulurken otomatik olarak çalıştırmak istediğiniz playbook'ları seçin.
    • Olay tabanlı otomasyon için Olay otomasyonu (önizleme) altında bir otomasyon kuralı seçin veya oluşturun. Bu otomasyon kurallarından playbook'ları (olay tetikleyicisi tabanlı olanlar) çağırabilir ve ayrıca triyazma, atama ve kapatmayı otomatik hale çağırabilirsiniz.
    • Playbook'lar ve otomasyon kuralları oluşturma hakkında daha fazla bilgi ve yönergeler için bkz. Tehdit yanıtlarını otomatikleştirme.
    • Uyarı tetikleyicisi veya olay tetikleyicisi kullanma hakkında daha fazla bilgi için bkz. Playbook'larda tetikleyicileri Azure Sentinel kullanma.

    Otomatik yanıt ayarlarını tanımlama

  2. Yeni uyarı kuralınız için tüm ayarları gözden geçirmek için Gözden geçir ve oluştur'a tıklayın. "Doğrulama başarılı oldu" iletisi görüntülendiğinde, uyarı kuralınızı başlatmak için Oluştur'a tıklayın.

    Tüm ayarları gözden geçirme ve kuralı oluşturma

Kuralı ve çıkışını görüntüleme

  • Yeni oluşturduğunuz özel kuralı ("Zamanlanmış" türünde) ana Analiz ekranındaki Etkin kurallar sekmesinin altında bulabilirsiniz. Bu listeden her kuralı etkinleştirebilirsiniz, devre dışı ekleyebilirsiniz veya silebilirsiniz.

  • Oluşturdukları uyarı kurallarının sonuçlarını görüntülemek için Olaylar sayfasına gidin. Burada olayları değerlendirme,araştırma ve tehditleri düzeltme.

  • Hatalı pozitif sonuçları dışlamak için kural sorgusunu güncelleştirebilirsiniz. Daha fazla bilgi için bkz. Azure Sentinel'da hatalı pozitifleri işleme.

Not

içinde oluşturulan Azure Sentinel Microsoft Graph Güvenlik aracılığıyla kullanılabilir. Daha fazla bilgi için Microsoft Graph Güvenlik uyarıları belgelerine bakın.

Kuralı ARM şablonuna aktarma

Kuralınızı kod olarak yönetecek ve dağıtacak şekilde paketleyebiliyorsanız, kuralı kolayca bir Azure Resource Manager (ARM) şablonuna aktarabilirsiniz. Ayrıca, kullanıcı arabiriminde görüntülemek ve düzenlemek için şablon dosyalarından kuralları içeri aktarabilirsiniz.

Sorun giderme

Sorun: Sorgu sonuçlarında hiçbir olay görünmüyor

Olay gruplama her olay için bir uyarı tetiklemek için ayarlanırsa, belirli senaryolarda sorgu sonuçlarını daha sonra görüntülerken (örneğin, bir olaydan gelen uyarılara geri dönerken) hiçbir sorgu sonucu görünmez. Bunun nedeni, olayın uyarıya olan bağlantısının belirli bir olay bilgisinin karmasını oluşturma ve sorguya karma eklenmesidir. Uyarının oluşturularak sorgu sonuçları değişmişse karma artık geçerli olmaz ve sonuç görüntülenmez.

Olayları görmek için kuralın sorgusundan karma satırı el ile kaldırın ve sorguyu çalıştırın.

Not

Bu sorun, bu olay gruplama seçeneği seçildiğinde sonuçlarına yeni bir alan olan OriginalQuery ek tarafından çözülmüştür. Yukarıdaki açıklamaya bakın.

Sorun: Zamanlanmış bir kural yürütülemedi veya adına AUTO DISABLED eklenmiş

Zamanlanmış bir sorgu kuralının çalıştırılamayamaz olması nadir bir durumdur ancak bu durum ortaya olabilir. Azure Sentinel türüne ve bu hataya neden olan durumlara bağlı olarak hataları geçici veya kalıcı olarak önden sınıflar.

Geçici hata

Geçici bir hata, geçici bir durum nedeniyle oluşur ve kısa süre sonra normale döner ve bu noktada kural yürütme başarılı olur. Geçici olarak sınıflanan Azure Sentinel bazı örnekler:

  • Bir kural sorgusunun çalışması çok uzun sürer ve zaman alır.
  • Veri kaynaklarıyla Log Analytics arasındaki veya Log Analytics ile Log Analytics arasındaki bağlantı Azure Sentinel.
  • Diğer tüm yeni ve bilinmeyen hatalar geçici olarak kabul edilir.

Geçici bir hata durumunda, Azure Sentinel önceden belirlendikten ve sürekli artan aralıklardan sonra kuralı bir noktaya kadar yürütmeye devam eder. Bundan sonra, kural yalnızca bir sonraki zamanlanan zamanında yeniden çalıştır. Bir kural, geçici bir hata nedeniyle hiçbir zaman otomatik olarak devre dışı bırakılamaz.

Kalıcı hata - kural otomatik olarak devre dışı bırakılmış

Kuralın çalışmasına olanak sağlayan koşullardaki bir değişiklik nedeniyle kalıcı bir hata oluşur ve insan müdahalesi olmadan eski durumlarına dönmez. Aşağıda, kalıcı olarak sınıflandırılan bazı hata örnekleri verilmiştir:

  • Hedef çalışma alanı (kural sorgusunun çalıştırılan çalışma alanı) silindi.
  • Hedef tablo (kural sorgusunun çalıştır olduğu) silindi.
  • Azure Sentinel çalışma alanında kaldırılmış.
  • Kural sorgusu tarafından kullanılan bir işlev artık geçerli değildir; değiştirilmiş veya kaldırılmıştır.
  • Kural sorgusunun veri kaynaklarından birinin izinleri değiştirildi.
  • Kural sorgusunun veri kaynaklarından biri silindi veya bağlantısı kesildi.

Aynı türde ve aynı kuralda önceden belirlenen sayıda ardışık kalıcı hata olması durumunda, Azure Sentinel yürütmeyi durdurur ve aşağıdaki adımları da alır:

  • Kuralı devre dışı bırakma.
  • Kuralın adının başına "AUTO DISABLED" sözcüklerini ekler.
  • Hatanın (ve devre dışı bırakmanın) nedenini kuralın açıklamasına ekler.

Kural listesini adına göre sıralaarak otomatik olarak devre dışı bırakılmış kuralların varlığını kolayca anlayabilirsiniz. Otomatik olarak devre dışı bırakılmış kurallar listenin en üstünde veya yakınında olur.

SOC yöneticileri, otomatik olarak devre dışı bırakılmış kuralların varlığı için kural listesini düzenli olarak kontrol edin.

Sonraki adımlar

Veri kaynaklarından gelen tehditleri algılamak Azure Sentinel analiz kurallarını kullanırken, ortamınız için tam güvenlik kapsamı sağlamak amacıyla bağlı veri kaynaklarınız ile ilişkili tüm kuralları etkinleştir olduğunuzdan emin olun. Analiz kurallarını etkinleştirmenin en verimli yolu, doğrudan ilgili kuralları listeleen veri bağlayıcısı sayfasındandır. Daha fazla bilgi için bkz. Bağlan kaynakları.

Ayrıca API ve PowerShell Azure Sentinel kuralları da gönderebilirsiniz,ancak bunun için ek çaba gerekir. API veya PowerShell kullanırken, kuralları etkinleştirmeden önce kuralları JSON'a aktarmalısınız. API veya PowerShell, her örnekte aynı ayarlarla birden çok Azure Sentinel örneğinde kuralları etkinleştirmeye yardımcı olabilir.

Daha fazla bilgi için bkz.

Daha fazla bilgi için bkz.

Ayrıca, özel bir bağlayıcı ile Yakınlaştırma'nın izlenmesinde özel analiz kuralları kullanma örneğinden bilgi edinin.