Sıfırdan özel analiz kuralı oluşturma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dijital varlığınız genelinde etkinlik verilerini toplamak için bağlayıcılar ve diğer yöntemler ayarladınız. Şimdi etkinlik desenlerini algılamak ve bu desenlere uymayan ve bir güvenlik tehdidini temsil edebilecek etkinlikleri keşfetmek için tüm bu verileri incelemeniz gerekir.

Microsoft Sentinel ve İçerik hub'ında sağlanan birçok çözüm, en yaygın kullanılan analiz kuralları türleri için şablonlar sunar ve bu şablonları kullanarak bunları belirli senaryolarınıza uyacak şekilde özelleştirmeniz kesinlikle önerilir. Ancak tamamen farklı bir şeye ihtiyacınız olabilir, bu durumda analiz kuralı sihirbazını kullanarak sıfırdan bir kural oluşturabilirsiniz.

Bu makalede Analiz kuralı sihirbazında size yol gösterilir ve kullanılabilir tüm seçenekler açıklanır. Microsoft Defender abonesi olmayan Microsoft Sentinel kullanıcıları ve Microsoft Defender birleşik güvenlik operasyonları platformu kullanıcıları için Defender portalında sihirbaza erişmek için ekran görüntüleri ve yol tarifleri bulunur.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

  • Microsoft Sentinel Katkıda Bulunanı rolüne veya Log Analytics çalışma alanınızda ve kaynak grubunda yazma izinleri içeren başka bir role veya izin kümesine sahip olmanız gerekir.

Sorgunuzu tasarlama ve oluşturma

Başka bir işlem gerçekleştirmeden önce, kuralınızın Log Analytics çalışma alanınızdaki bir veya daha fazla tabloyu sorgulamak için kullanacağı bir sorguyu Kusto Sorgu Dili (KQL) içinde tasarlamanız ve oluşturmanız gerekir.

  1. Olağan dışı veya şüpheli etkinlikleri algılamak için aramak istediğiniz bir veri kaynağını belirleyin. Bu kaynaktan verilerin alındığı Log Analytics tablosunun adını bulun. Tablo adını bu kaynağın veri bağlayıcısının sayfasında bulabilirsiniz. Sorgunuzun temeli olarak bu tablo adını (veya buna dayalı bir işlevi) kullanın.

  2. Bu sorgunun tabloda ne tür bir analiz gerçekleştirmesini istediğinize karar verin. Bu karar, sorguda hangi komutları ve işlevleri kullanmanız gerektiğini belirler.

  3. Sorgu sonuçlarından hangi veri öğelerini (alanlar, sütunlar) istediğinize karar verin. Bu karar, sorgunun çıkışını nasıl yapılandırabileceğinizi belirler.

Analiz kuralı sorguları için en iyi yöntemler

Kusto sorguları oluşturma hakkında daha fazla yardım için bkz. Microsoft Sentinel'de Kusto Sorgu Dili ve Kusto Sorgu Dili sorguları için en iyi yöntemler.

Günlükler ekranında sorgularınızı derleyin ve test edin. Memnun olduğunuzda, sorguyu kuralınızda kullanmak üzere kaydedin.

Analiz kuralınızı oluşturma

Bu bölümde, Azure veya Defender portallarını kullanarak bir kuralın nasıl oluşturulacağı açıklanır.

Analiz kuralı sihirbazını başlatma

  1. Microsoft Sentinel gezinti menüsünün Yapılandırma bölümünde Analiz'i seçin.

  2. Üstteki eylem çubuğunda +Oluştur'u ve zamanlanmış sorgu kuralı'nı seçin. Bu işlem Analiz kuralı sihirbazını açar.

    Azure portalında Analiz ekranının ekran görüntüsü.

Kuralı adlandırın ve genel bilgileri tanımlayın

Azure portalında aşamalar görsel olarak sekme olarak gösterilir. Defender portalında, bunlar görsel olarak bir zaman çizelgesinde kilometre taşları olarak gösterilir. Örnekler için aşağıdaki ekran görüntülerine bakın.

  1. Benzersiz bir Ad ve Açıklama girin.

  2. Kuralı tetikleyen etkinliğin hedef ortamdaki etkisiyle eşleşen uyarı Önem Derecesi'ni uygun şekilde ayarlayın, kural gerçek bir pozitif olmalıdır.

    Önem Derecesi Açıklama
    Bilgi Sisteminiz üzerinde hiçbir etkisi yoktur, ancak bilgiler bir tehdit aktörü tarafından planlanan gelecekteki adımları gösteriyor olabilir.
    Düşük Hemen etki en az olacaktır. Bir tehdit aktörü, bir ortamı etkilemeden önce büyük olasılıkla birden çok adım gerçekleştirmesi gerekir.
    Medium Tehdit aktörü bu etkinlikle ortamı etkileyebilir, ancak kapsamı sınırlı olabilir veya ek etkinlik gerektirir.
    Yüksek Tanımlanan etkinlik, tehdit aktörlerine ortam üzerinde eylem gerçekleştirmek için geniş kapsamlı erişim sağlar veya ortam üzerindeki etki nedeniyle tetikler.

    Önem düzeyi varsayılanları geçerli veya çevresel etki düzeyinin garantisi değildir. Uyarının belirli bir örneğinin önem derecesini, taktiklerini ve diğer özelliklerini, sorgu çıkışındaki ilgili alanların değerleriyle özelleştirmek için uyarı ayrıntılarını özelleştirin.

    Microsoft Sentinel analiz kuralı şablonları için önem derecesi tanımları yalnızca analiz kuralları tarafından oluşturulan uyarılar için geçerlidir. Diğer hizmetlerden alınan uyarılar için önem derecesi kaynak güvenlik hizmeti tarafından tanımlanır.

  3. Taktikler ve teknikler alanında, kuralın sınıflandırıldığı tehdit etkinlikleri kategorileri arasından seçim yapabilirsiniz. Bunlar, MITRE ATT&CK çerçevesinin taktiklerini ve tekniklerini temel alır.

    MITRE ATT&CK taktikleri ve teknikleri ile eşlenen kurallar tarafından algılanan uyarılardan oluşturulan olaylar kuralın eşlemesini otomatik olarak devralır.

    MITRE ATT&CK tehdit ortamı kapsamınızı en üst düzeye çıkarma hakkında daha fazla bilgi için bkz . MITRE ATT&CK® çerçevesinin güvenlik kapsamını anlama

  4. Kuralı oluşturduğunuzda, Kuralın Durumu varsayılan olarak Etkin olur; bu, siz kuralı oluşturmayı tamamladıktan hemen sonra çalıştırılacağı anlamına gelir. Hemen çalışmasını istemiyorsanız Devre Dışı'nı seçin; kural Etkin kurallar sekmenize eklenir ve ihtiyacınız olduğunda buradan etkinleştirebilirsiniz.

    Not

    Şu anda önizleme aşamasında olan başka bir yöntem de kuralı hemen çalıştırmadan oluşturmaktır. Kuralı ilk olarak belirli bir tarih ve saatte çalışacak şekilde zamanlayabilirsiniz. Aşağıdaki Sorguyu zamanlama ve kapsam bölümüne bakın.

  5. İleri: Kural mantığını ayarla'yı seçin.

Kural mantığını tanımlama

  1. Kuralınız için bir sorgu girin.

    Tasarladığınız, oluşturduğunuz ve test ettiğiniz sorguyu Kural sorgu penceresine yapıştırın. Bu pencerede yaptığınız her değişiklik anında doğrulanır, bu nedenle herhangi bir hata varsa pencerenin hemen altında bir gösterge görürsünüz.

  2. Varlıkları eşleme.

    Varlıklar tehditleri algılamak ve araştırmak için gereklidir. Microsoft Sentinel tarafından tanınan varlık türlerini sorgu sonuçlarınızdaki alanlarla eşleyin. Bu eşleme, bulunan varlıkları uyarı şemanızdaki Varlıklar alanıyla tümleştirir.

    Varlıkları eşleme hakkında tam yönergeler için bkz . Microsoft Sentinel'de veri alanlarını varlıklarla eşleme.

  3. Uyarılarınızdaki özel ayrıntıları ortaya çıkar.

    Varsayılan olarak, sorgu sonuçlarında ham olaylarda detaya gitmeden olaylarda yalnızca uyarı varlıkları ve meta veriler görünür. Bu adım, sorgu sonuçlarınızdaki diğer alanları alır ve bunları uyarılarınızdaki ExtendedProperties alanıyla tümleştirerek uyarılarınızın önünde ve bu uyarılardan oluşturulan tüm olaylarda görüntülenmesine neden olur.

    Özel ayrıntıları ekleme hakkında eksiksiz yönergeler için bkz . Microsoft Sentinel'deki uyarılarda Surface özel olay ayrıntıları.

  4. Uyarı ayrıntılarını özelleştirin.

    Bu ayar, standart olmayan uyarı özelliklerini her bir uyarıdaki çeşitli alanların içeriğine göre özelleştirmenize olanak tanır. Bu özelleştirmeler, uyarılarınızdaki ExtendedProperties alanıyla tümleştirilir. Örneğin, uyarı adını veya açıklamasını uyarıda öne çıkan bir kullanıcı adı veya IP adresi içerecek şekilde özelleştirebilirsiniz.

    Uyarı ayrıntılarını özelleştirmeyle ilgili tüm yönergeler için bkz . Microsoft Sentinel'de uyarı ayrıntılarını özelleştirme.

  5. Sorguyu zamanlayın ve kapsamına ekleyin.

    1. Sorgu zamanlama bölümünde aşağıdaki parametreleri ayarlayın:

      Ayar Davranış
      Her sorguyu çalıştırma Sorgu aralığını denetler: sorgunun ne sıklıkta çalıştırıldığından.
      En son veri arama Geri arama dönemini belirler: sorgunun kapsadığı zaman aralığı.

      • Bu parametrelerin her ikisi için de izin verilen aralık 5 dakikadan 14 güne kadardır.

      • Sorgu aralığı, geri arama süresinden kısa veya buna eşit olmalıdır. Daha kısaysa, sorgu dönemleri çakışır ve bu da sonuçların yinelenmelerine neden olabilir. Kural doğrulaması, geri arama döneminden daha uzun bir aralık ayarlamanıza izin vermez, ancak bu da kapsamınızda boşluklara neden olur.

    2. Çalıştırmayı başlat'ı ayarlayın:

      Ayar Davranış
      Otomatik olarak Kural, oluşturulduktan hemen sonra ilk kez çalıştırılır ve bundan sonra Her ayarı çalıştır sorgusunda ayarlanan aralıkta çalışır.
      Belirli bir zamanda (Önizleme) Kuralın ilk kez çalışması için bir tarih ve saat ayarlayın; bundan sonra her ayarı çalıştır sorgusunda ayarlanan aralıkta çalışacaktır.

      • Başlangıç çalışma süresi, kural oluşturma (veya etkinleştirme) tarihinden sonraki 10 dakika ile 30 gün arasında olmalıdır.

      • Çalışmaya başla ayarının altındaki metin satırı (soldaki bilgi simgesiyle) geçerli sorgu zamanlama ve geri arama ayarlarını özetler.

        Gelişmiş zamanlama iki durumlu düğmesinin ve ayarlarının ekran görüntüsü.

    Not

    Alım gecikmesi

    Bir olayın kaynakta oluşturulmasıyla Microsoft Sentinel'e alımı arasında oluşabilecek gecikme süresini hesaba katmak ve veri yinelemesi olmadan eksiksiz bir kapsama sahip olmak için Microsoft Sentinel, zamanlanmış analiz kurallarını zamanlanan zamanından beş dakikalık bir gecikmeyle çalıştırır.

    Daha fazla bilgi için bkz . Zamanlanmış analiz kurallarında alım gecikmesini işleme.

  6. Uyarı oluşturmak için eşiği ayarlayın.

    Kuralın duyarlılık düzeyini tanımlamak için Uyarı eşiği bölümünü kullanın.

    • Sorgu sonucusayısı büyüktür olarak ayarlandığında Uyarı oluştur'u ayarlayın ve kuralın uyarı oluşturması için sorgunun zaman aralığında bulunması gereken en az olay sayısını girin.
    • Bu gerekli bir alandır, dolayısıyla bir eşik ayarlamak istemiyorsanız ( belirli bir zaman aralığındaki tek bir olay için bile uyarıyı tetiklemek istiyorsanız) sayı alanına girin 0 .

  7. Olay gruplandırma ayarlarını yapın.

    Olay gruplandırma'nın altında, olayları uyarılar halinde gruplandırmayı işlemek için iki yoldan birini seçin:

    Ayar Davranış
    Tüm olayları tek bir uyarıda gruplandırma
    (varsayılan)    		 Sorgu yukarıdaki belirtilen uyarı eşiğinden daha fazla sonuç döndürdüğü sürece kural her çalıştığında tek bir uyarı oluşturur. Bu tek uyarı, sorgu sonuçlarında döndürülen tüm olayları özetler.
    Her olay için uyarı tetikleme Kural, sorgu tarafından döndürülen her olay için benzersiz bir uyarı oluşturur. Bu, olayların tek tek görüntülenmesini istiyorsanız veya bunları kullanıcı, konak adı veya başka bir şeye göre belirli parametrelere göre gruplandırmak istiyorsanız kullanışlıdır. Bu parametreleri sorguda tanımlayabilirsiniz.

    Analiz kuralları en fazla 150 uyarı oluşturabilir. Olay gruplandırma, Her olay için uyarı tetikle olarak ayarlanırsa ve kuralın sorgusu 150'den fazla olay döndürürse, ilk 149 olay benzersiz bir uyarı oluşturur (149 uyarı için) ve 150. uyarı döndürülen olaylar kümesinin tamamını özetler. Başka bir deyişle, Olay gruplandırma tüm olayları tek bir uyarıda gruplandır olarak ayarlansaydı 150. uyarı oluşturulurdu.

  8. Uyarı oluşturulduktan sonra kuralı geçici olarak gizleme.

    Gizleme bölümünde Uyarı oluşturulduktan sonra sorguyu çalıştırmayı durdur ayarını Açık duruma getirebilirsiniz. Uyarı aldığınızda, sorgu aralığını aşan bir süre boyunca bu kuralın işlemini askıya almak istersiniz. Bunu açarsanız, Sorguyu çalıştırmayı durdur ayarını, sorgunun çalışmayı durdurma süresi (24 saate kadar) olarak ayarlamanız gerekir.

  9. Sorgu ve mantık ayarlarının sonuçlarının benzetimini yapın.

    Sonuçlar benzetimi alanında Geçerli verilerle test et'i seçtiğinizde Microsoft Sentinel, sorgunun şu anda tanımlanmış olan zamanlamaya göre son 50 kez çalıştırılacağı sonuçların (günlük olayları) grafiğini gösterir. Sorguyu değiştirirseniz grafiği güncelleştirmek için Geçerli verilerle yeniden test et'i seçin. Grafik, Sorgu zamanlama bölümündeki ayarlar tarafından belirlenen tanımlı zaman aralığına göre sonuç sayısını gösterir.

    Yukarıdaki ekran görüntüsünde sorgu için sonuç benzetimi aşağıdaki gibi görünebilir. Sol taraf varsayılan görünümdür ve sağ taraf grafikte belirli bir noktanın üzerine geldiğinizde gördüğünüz görünümdür.

    Sonuç benzetimi ekran görüntüleri

    Sorgunuzun çok fazla veya çok sık uyarı tetiklediğini görürseniz Sorgu zamanlama ve Uyarı eşiği bölümlerindeki ayarlarla denemeler yapabilir ve Geçerli verilerle test et'i yeniden seçebilirsiniz.

  10. İleri: Olay ayarları'nı seçin.

Olay oluşturma ayarlarını yapılandırma

Olay ayarları sekmesinde Microsoft Sentinel'in uyarıları eyleme dönüştürülebilir olaylara dönüştürip dönüştürmediğini ve uyarıların olaylarda birlikte gruplandırılıp gruplandırılmayacağını ve nasıl gruplandırılmayacağını seçin.

  1. Olay oluşturmayı etkinleştirin.

    Olay ayarları bölümünde, Bu analiz kuralı tarafından tetiklenen uyarılardan olay oluşturma varsayılan olarak Etkin olarak ayarlanır; bu da Microsoft Sentinel'in kural tarafından tetiklenen her uyarıdan tek ve ayrı bir olay oluşturacağı anlamına gelir.

    • Bu kuralın herhangi bir olayın oluşturulmasına neden olmasını istemiyorsanız (örneğin, bu kural yalnızca sonraki analiz için bilgi toplamak içinse), bunu Devre Dışı olarak ayarlayın.

      Önemli

      Microsoft Sentinel'i Microsoft Defender portalındaki birleşik güvenlik işlemleri platformuna eklediyseniz ve bu kural Microsoft 365 veya Microsoft Defender kaynaklarından uyarıları sorgulayıp oluşturuyorsa, bu ayarı Devre Dışı olarak ayarlamanız gerekir.

    • Her uyarı için bir olay yerine bir uyarı grubundan tek bir olay oluşturulmasını istiyorsanız sonraki bölüme bakın.

  2. Uyarı gruplandırma ayarlarını yapın.

    Uyarı gruplandırma bölümünde, en fazla 150 benzer veya yinelenen uyarıdan oluşan bir gruptan tek bir olay oluşturulmasını istiyorsanız (nota bakın), bu analiz kuralı tarafından tetiklenen Grupla ilgili uyarıları Etkin olarakayarlayın ve aşağıdaki parametreleri ayarlayın.

    1. Grubu seçilen zaman dilimi içinde oluşturulan uyarılarla sınırlayın: Benzer veya yinelenen uyarıların birlikte gruplandırılacağı zaman dilimini belirleyin. Bu zaman dilimi içindeki ilgili tüm uyarılar topluca bir olay veya bir dizi olay oluşturur (aşağıdaki gruplandırma ayarlarına bağlı olarak). Bu zaman çerçevesi dışındaki uyarılar ayrı bir olay veya olay kümesi oluşturur.

    2. Bu analiz kuralı tarafından tetiklenen uyarıları tek bir olay halinde gruplandırın: Uyarıların birlikte gruplandırılacağı temeli seçin:

      Seçenek Açıklama
      Tüm varlıklar eşleşiyorsa uyarıları tek bir olay halinde gruplandırma Eşlenen varlıkların her biri için aynı değerleri paylaşıyorlarsa uyarılar birlikte gruplandırılır (yukarıdaki Kural mantığını ayarla sekmesinde tanımlanır). Önerilen ayar budur.
      Bu kural tarafından tetiklenen tüm uyarıları tek bir olay halinde gruplandırma Bu kural tarafından oluşturulan tüm uyarılar, aynı değerleri paylaşmasalar bile birlikte gruplandırılır.
      Seçilen varlıklar ve ayrıntılar eşleşiyorsa uyarıları tek bir olay halinde gruplandırma Uyarılar, eşlenen tüm varlıklar, uyarı ayrıntıları ve ilgili açılan listelerden seçilen özel ayrıntılar için aynı değerleri paylaşıyorsa birlikte gruplandırılır.

      Örneğin, kaynak veya hedef IP adreslerine göre ayrı olaylar oluşturmak veya belirli bir varlık ve önem derecesiyle eşleşen uyarıları gruplandırmak istiyorsanız bu ayarı kullanmak isteyebilirsiniz.

      Not: Bu seçeneği belirlediğinizde, kural için en az bir varlık türünün veya alanın seçili olması gerekir. Aksi takdirde kural doğrulaması başarısız olur ve kural oluşturulmaz.

    3. Kapatılan eşleşen olayları yeniden açma: Bir olay çözülmüş ve kapatılmışsa ve daha sonra bu olaya ait olması gereken başka bir uyarı oluşturulduysa, kapatılan olayın yeniden açılmasını istiyorsanız bu ayarı Etkin olarak ayarlayın ve uyarının yeni bir olay oluşturmasını istiyorsanız Devre Dışı olarak bırakın.

    Not

    En fazla 150 uyarı tek bir olay halinde gruplandırılabilir.

    • Olay yalnızca tüm uyarılar oluşturulduktan sonra oluşturulur. Tüm uyarılar, oluşturuldukten hemen sonra olaya eklenir.

    • Bunları tek bir olay halinde gruplandıran bir kural tarafından 150'den fazla uyarı oluşturulursa, özgün olayla aynı olay ayrıntılarıyla yeni bir olay oluşturulur ve fazla uyarılar yeni olayda gruplandırılır.

  3. İleri: Otomatik yanıt'ı seçin.

Otomatik yanıtları ayarlama ve kuralı oluşturma

Otomatik yanıtlar sekmesinde, otomasyon kurallarını kullanarak otomatik yanıtları üç durumdan herhangi birinde gerçekleşecek şekilde ayarlayabilirsiniz:

  • Bu analiz kuralı tarafından bir uyarı oluşturulduğunda.
  • Bu analiz kuralı tarafından oluşturulan uyarılardan bir olay oluşturulduğunda.
  • Bir olay bu analiz kuralı tarafından oluşturulan uyarılarla güncelleştirildiğinde.

Otomasyon kuralları altında görüntülenen kılavuz, bu analiz kuralına zaten uygulanan otomasyon kurallarını gösterir (bu kurallarda tanımlanan koşulları karşılaması nedeniyle). Her satırın sonundaki kuralın adını veya üç nokta simgesini seçerek bunlardan herhangi birini düzenleyebilirsiniz. Alternatif olarak, Yeniekle'yi seçerek yeni bir otomasyon kuralı oluşturabilirsiniz.

Temel önceliklendirme, atama, iş akışı ve olayların kapatılmasını gerçekleştirmek için otomasyon kurallarını kullanın.

Daha karmaşık görevleri otomatikleştirin ve bu otomasyon kurallarından playbook'ları çağırarak tehditleri düzeltmek için uzak sistemlerden yanıtları çağırabilirsiniz. Olaylar ve tek tek uyarılar için playbook'ları çağırabilirsiniz.

  • Playbook'lar ve otomasyon kuralları oluşturma hakkında daha fazla bilgi ve yönergeler için bkz . Tehdit yanıtlarını otomatikleştirme.

  • Olay tetikleyicisinin ne zaman kullanılacağı, olay güncelleştirilmiş tetikleyicisi veya oluşturulan uyarı tetikleyicisi hakkında daha fazla bilgi için bkz. Microsoft Sentinel playbook'larında tetikleyicileri ve eylemleri kullanma.

  • Ekranın alt kısmındaki Uyarı otomasyonu (klasik) altında, eski yöntem kullanılarak bir uyarı oluşturulduğunda otomatik olarak çalışacak şekilde yapılandırdığınız playbook'ları görürsünüz.

    • Haziran 2023 itibarıyla bu listeye artık playbook ekleyemezsiniz. Burada zaten listelenen Playbook'lar, Mart 2026'da geçerli olmak üzere bu yöntem kullanımdan kaldırılana kadar çalışmaya devam edecektir.

    • Burada listelenmiş playbook'larınız varsa, bunun yerine uyarının oluşturduğu tetikleyiciyi temel alan bir otomasyon kuralı oluşturmanız ve playbook'u otomasyon kuralından çağırmanız gerekir. Bunu yaptıktan sonra, burada listelenen playbook satırının sonundaki üç noktayı seçin ve Kaldır'ı seçin. Tam yönergeler için bkz . Microsoft Sentinel uyarı tetikleyicisi playbook'larınızı otomasyon kurallarına geçirme.

Yeni analiz kuralınızın tüm ayarlarını gözden geçirmek için İleri: Gözden geçir ve oluştur'u seçin. "Doğrulama başarılı oldu" iletisi görüntülendiğinde Oluştur'u seçin.

Kuralı ve çıkışını görüntüleme

Kural tanımını görüntüleyin:

  • Yeni oluşturduğunuz özel kuralı ("Zamanlanmış" türünde) ana Analiz ekranındaki Etkin kurallar sekmesinin altındaki tabloda bulabilirsiniz. Bu listeden her kuralı etkinleştirebilir, devre dışı bırakabilir veya silebilirsiniz.

Kuralın sonuçlarını görüntüleyin:

  • Azure portalında oluşturduğunuz analiz kurallarının sonuçlarını görüntülemek için Olaylar sayfasına gidin; burada olayları önceliklendileyebilir, araştırabilir ve tehditleri düzeltebilirsiniz.

Kuralı ayarlayın:

  • Hatalı pozitif sonuçları dışlamak için kural sorgusunu güncelleştirebilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel'de hatalı pozitif sonuçları işleme.

Not

Microsoft Sentinel'de oluşturulan uyarılar Microsoft Graph Güvenliği aracılığıyla kullanılabilir. Daha fazla bilgi için Microsoft Graph Güvenlik uyarıları belgelerine bakın.

Kuralı ARM şablonuna aktarma

Kuralınızı yönetilecek ve kod olarak dağıtılacak şekilde paketlemek istiyorsanız, kuralı kolayca bir Azure Resource Manager (ARM) şablonuna aktarabilirsiniz. Ayrıca, kullanıcı arabiriminde görüntülemek ve düzenlemek için şablon dosyalarından kuralları içeri aktarabilirsiniz.

Sonraki adımlar

Microsoft Sentinel'den gelen tehditleri algılamak için analiz kurallarını kullanırken, ortamınız için tam güvenlik kapsamı sağlamak için bağlı veri kaynaklarınızla ilişkili tüm kuralları etkinleştirdiğinizden emin olun.

Kural etkinleştirmeyi otomatikleştirmek için api ve PowerShell aracılığıyla Microsoft Sentinel'e kurallar gönderin, ancak bunu yapmak için ek çaba gerekir. API veya PowerShell kullanırken, kuralları etkinleştirmeden önce kuralları JSON'a aktarmanız gerekir. API veya PowerShell, Microsoft Sentinel'in birden çok örneğinde kuralları her örnekte aynı ayarlarla etkinleştirirken yararlı olabilir.

Daha fazla bilgi için bkz.

Ayrıca, özel bağlayıcıyla Yakınlaştırma'yı izlerken özel analiz kurallarını kullanma örneğinden de bilgi edinin.