Verileri izleme ve görselleştirme

  • 5 dakika

Microsoft Sentinel Günlükleri, güvenlik bağlayıcılarından toplanan çeşitli günlüklere erişmenizi sağlar. Microsoft Sentinel bu günlükleri tümleşik bağlayıcılarından toplar ve Azure Log Analytics çalışma alanında depolar.

Log Analytics çalışma alanı

Log Analytics çalışma alanı verileri ve yapılandırma bilgilerini depolamak için kullanılan bir depodur. Önemli bilgileri filtrelemek için sorgular oluşturabilir, ardından bu bilgileri kullanarak analiz kuralları oluşturabilir ve tehditleri algılayabilirsiniz. Örneğin, Microsoft Sentinel Günlüklerini kullanarak birden çok kaynaktan veri arayabilir, büyük veri kümelerini toplayabilir ve olası güvenlik tehditlerini ve güvenlik açıklarını bulmak için karmaşık işlemler gerçekleştirebilirsiniz.

Microsoft Sentinel Günlükleri sayfasını keşfetme

Microsoft Sentinel Günlükleri sayfasında belirli günlükleri arayabilirsiniz. Microsoft Sentinel'de gezinti bölmesinde Günlükler'i seçerek sayfayı görüntüleyin.

Günlükler sayfasında şu ana bölümler vardır:

  • Sayfa üst bilgisi Sorgular, ayarlar ve yardım bölümünün bağlantılarını içerir.
  • Tablolar bölmesinde günlüklerden toplanan veriler her biri birden çok sütundan oluşan tablolarda görüntülenir.
  • Sorgu bölmesi kendi sorgu ifadelerinizi yazdığınız yerdir.
  • Sorgu sonucu bölmesinde sorgularınızın sonuçları görüntülenir.

Screenshot of the default Logs page that shows four elements: the Header bar, the Tables pane, the Queries pane, and the Query results/history pane.

Sorgular

Sayfa üst bilgisinde Sorgular bağlantısını seçtiğinizde yeni bir pencere açılır. Bu pencerede önceden tanımlanmış bazı örnek sorgular arasından seçim yapabilirsiniz. Sorgular açılan menüsünde bu sorguları şu ölçütlere göre filtreleyebilirsiniz:

  • Kategori
  • Sorgu Türü
  • Kaynak Türü
  • Çözüm
  • Konu

Önceden tanımlanmış bir sorgu başlatmak için Çalıştır'ı seçin. Bu eylem sizi sorgu bölmesine yönlendirir. Sorgu yapısını ve sonuçları gözlemleyebilirsiniz. Contoso'nun yetkisiz kullanıcılarla ilgili endişesini gidermek için önceden tanımlanmış Yetkisiz Kullanıcılar sorgusunu çalıştırın.

Screenshot that presents unauthorized users.

Sorgu Gezgini

Daha önce kaydedilmiş sorgularınıza erişmek için Sorgu Gezgini'ni kullanın. Ayrıca temelde verileri filtrelerken kullanabileceğiniz en yaygın sorguları filtreleyen bazı Çözüm Sorgularına da erişebilirsiniz. Çözüm Sorguları listesinde sorguyu çalıştırabilir veya yıldız sembolünü seçerek sorguyu sık kullanılan bölümüne yerleştirebilirsiniz.

Tablolar bölmesi

Tablolar bölmesi farklı çözümlerden gelen günlükleri tablolarda gruplandırır. Çözüm grubunu genişletebilir ve toplanan tüm günlükleri gözlemleyebilirsiniz. Ayrıca, tablolar bölmesinden günlüklerden birini de seçebilirsiniz. Verilerin önizlemesini görebilir veya bu günlüğü Sık Kullanılanlar bölümüne ekleyebilirsiniz.

Aşağıdaki ekran görüntüsü, Microsoft Sentinel çözümünde toplanan günlükleri görüntüler.

Screenshot displaying the Tables view.

Sorgular bölmesi

Sağladığınız ifadeye göre veri alan sorgular oluşturmak için Sorgular bölmesini kullanın. Sorgular bölmesi, öneriler sağlayarak ve sorgunun beklenen öğelerini otomatik olarak doldurarak doğru bir sorgu yazmanıza yardımcı olur.

Günlüklerden verileri alan bir sorgu yazmak için Kusto Sorgu Dili'nin (KQL) avantajlarından yararlanın. Aşağıdaki örnek, silinen sanal makineleri belirlemek için sorgularınızda KQL kodunu nasıl kullanacağınızı gösterir.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

Üst bilgi araç çubuğu

Üst bilgi araç çubuğu, aşağıdaki ekran görüntüsünde gösterildiği gibi sorguyla daha fazla etkileşim sağlar.

Screenshot of the header toolbar, with options described in the text following the image.

  • Sorgu bölmesinde Kaydet'i seçerek sorguyu kaydedin. Bu eylem, kaydedilen sorgunun ve kategorinin adını girmenizin istendiği yeni bir pencere açar. Kaydedilen sorgular sorgu gezgininde görüntülenir.

  • Zaman Aralığı alanında farklı bir zaman sağlayarak sorgunun sonuçlarının görüntülenmesini istediğiniz zaman aralığını değiştirebilirsiniz.

  • Sorgunun bağlantısını oluşturun ve Sorgu bağlantısını kopyala'yı seçerek diğer ekip üyeleriyle paylaşın. Sorgu metnini de kopyalayabilirsiniz.

  • Sorgu bölmesindeki üst bilgi araç çubuğundan Yeni Azure İzleyici uyarısı veya Yeni Microsoft Sentinel uyarısı oluşturabilirsiniz. Yeni bir Microsoft Sentinel uyarısı oluşturmayı tercih ederseniz analiz kuralı oluşturmak için sonraki adımlara yönlendirilirsiniz.

  • Sorguyu şu biçimlerden birinde dışarı aktarın:

    • CSV’ye aktar. Hem görünür hem de gizli tüm sütunları Microsoft Excel ile açabileceğiniz bir CSV dosyasına aktarın.
    • CSV’ye aktar - Görüntülenen Sütunlar. Yalnızca sorgunun sonuç pencerelerinde görüntülenen sütunları dışarı aktarın.
    • Power BI’a aktar (M sorgusu). Microsoft Power BI uygulamasıyla açabileceğiniz bir PowerBIQuery.txt dosyası oluşturun ve indirin.

    Sorgunun sonuçlarını hızla inceleyebilmek için bu sonuçları özel veya paylaşılan bir panoya sabitleyebilirsiniz.

  • Sorgunun daha rahat okunabilmesini sağlamak için üst bilgi araç çubuğundaki Sorguyu biçimlendir'i kullanabilirsiniz.

Dekont

Sorguyu dışarı aktarabilmeniz veya sabitleyebilmeniz için sorgu ifadesinin sorgu sonuç bölümünde veri oluşturması gerekir.

Sorgu sonuçları

Sonuçlar'ın altında sorgunun sonuçlarını gözlemleyebilirsiniz. Ayrıca, sonuçları grafik kullanarak sunabilir veya sorgu sonuçlarını filtrelemek için diğer sütunları gizleyebilir ve görüntüleyebilirsiniz.

Bilgilerinizi kontrol edin

1.

Yönetici daha önce kaydedilmiş olan bir sorguyu açmak istiyor. Microsoft Sentinel'de Günlükler sayfasını açtıktan sonra, yöneticinin aşağıdaki seçeneklerden hangisini seçmesi gerekir?

2.

Yönetici sorgudan bir analiz kuralı oluşturmak istiyor. Yöneticinin sorgular bölmesinden hangi seçeneği belirtmesi gerekiyor?