Microsoft güvenlik uyarılarından otomatik olarak olay oluşturma
Bulut için Microsoft Defender Uygulamaları ve Kimlik için Microsoft Defender gibi Microsoft Sentinel'e bağlı Microsoft güvenlik çözümlerinde tetiklenen uyarılar, Microsoft Sentinel'de otomatik olarak olay oluşturmaz. Varsayılan olarak, bir Microsoft çözümünü Microsoft Sentinel'e bağladığınızda, bu hizmette oluşturulan tüm uyarılar alınıp Microsoft Sentinel çalışma alanınızdaki SecurityAlert tablosunda depolanır. Daha sonra bu verileri, Microsoft Sentinel'e alınan diğer ham veriler gibi kullanabilirsiniz.
Bu makaledeki yönergeleri izleyerek Microsoft Sentinel'i, bağlı bir Microsoft güvenlik çözümünde her uyarı tetiklendiğinde otomatik olarak olaylar oluşturacak şekilde kolayca yapılandırabilirsiniz.
Önemli
Aşağıdakiler varsa bu makale geçerli değildir:
- Microsoft Defender XDR olay tümleştirmesi etkinleştirildi veya
- Microsoft Sentinel birleşik güvenlik operasyonları platformuna eklendi.
Bu senaryolarda Microsoft Defender XDR, Microsoft hizmetleri'de oluşturulan uyarılardan olaylar oluşturur.
Microsoft Purview İçeriden Risk Yönetimi gibi Defender XDR ile tümleştirilmemiş diğer Microsoft güvenlik çözümleri veya ürünleri için olay oluşturma kuralları kullanıyorsanız ve Defender portalında birleşik güvenlik operasyonları platformuna eklemeyi planlıyorsanız, olay oluşturma kurallarınızı zamanlanmış analiz kurallarıyla değiştirin.
Önkoşullar
Microsoft Sentinel'deki Content Hub'dan uygun çözümü yükleyip veri bağlayıcısını ayarlayarak güvenlik çözümünüzü bağlayın. Daha fazla bilgi için bkz. Microsoft Sentinel kullanıma hazır içeriği ve Microsoft Sentinel veri bağlayıcılarını bulma ve yönetme.
Veri bağlayıcısında otomatik olay oluşturmayı etkinleştirme
Microsoft güvenlik çözümlerinden oluşturulan uyarılardan otomatik olarak olay oluşturmanın en doğrudan yolu, çözümün veri bağlayıcısını olaylar oluşturacak şekilde yapılandırmaktır:
Microsoft güvenlik çözümü veri kaynağını bağlayın.
Olay oluştur – Önerilen altında Etkinleştir'i seçerek bağlı güvenlik hizmetinde oluşturulan uyarılardan otomatik olarak olaylar oluşturan varsayılan analiz kuralını etkinleştirin. Ardından bu kuralı Analytics ve ardından Etkin kurallar altında düzenleyebilirsiniz.
Önemli
Bu bölümü gösterildiği gibi görmüyorsanız, büyük olasılıkla Microsoft Defender XDR bağlayıcınızda olay tümleştirmesini etkinleştirmişsinizdir veya Microsoft Sentinel'i Microsoft Defender portalındaki birleşik güvenlik işlemleri platformuna eklemişsinizdir.
Her iki durumda da, olaylarınız Microsoft Sentinel yerine Microsoft Defender bağıntı altyapısı tarafından oluşturulduğundan, bu makale ortamınız için geçerli değildir.
Microsoft Güvenlik şablonundan olay oluşturma kuralları oluşturma
Microsoft Sentinel, Microsoft Güvenlik kuralları oluşturmak için hazır kural şablonları sağlar. Her Microsoft kaynak çözümünün kendi şablonu vardır. Örneğin, Uç Nokta için Microsoft Defender için bir tane, Bulut için Microsoft Defender için bir tane vb. vardır. Ortamınızdaki çözümlere karşılık gelen ve olayları otomatik olarak oluşturmak istediğiniz her şablondan bir kural oluşturun. Hangi uyarıların olaylara neden olması gerektiğini filtrelemek için daha belirli seçenekler tanımlamak için kuralları değiştirin. Örneğin, Microsoft Sentinel olaylarını otomatik olarak yalnızca Kimlik için Microsoft Defender yüksek önem derecesine sahip uyarılardan oluşturmayı seçebilirsiniz.
Microsoft Sentinel gezinti menüsündeki Yapılandırma'nın altında Analiz'i seçin.
Tüm analiz kuralı şablonlarını görmek için Kural şablonları sekmesini seçin. Daha fazla kural şablonu bulmak için Microsoft Sentinel'de İçerik hub'ına gidin.
Microsoft uyarılarından olay oluşturmaya yönelik analiz kuralı şablonlarını görmek için Microsoft güvenlik kuralı türü listesini filtreleyin.
Olay oluşturmak istediğiniz uyarı kaynağının kural şablonunu seçin. Ardından ayrıntılar bölmesinde Kural oluştur'u seçin.
Olay oluşturacak uyarıları uyarı önem derecesine veya uyarının adında yer alan metne göre filtreleyerek kural ayrıntılarını değiştirin.
Örneğin, Microsoft güvenlik hizmeti alanında Kimlik için Microsoft Defender ve Önem derecesine göre filtrele alanında Yüksek'i seçerseniz, Microsoft Sentinel'de otomatik olarak yalnızca yüksek önem derecesine sahip güvenlik uyarıları güvenlik olayları oluşturur.
Diğer analiz kuralları türlerinde olduğu gibi, olaylar bu kural tarafından oluşturulduğunda çalıştırılan otomasyon kurallarını tanımlamak için Otomatik yanıt sekmesini seçin.
Sıfırdan olay oluşturma kuralları oluşturma
Ayrıca, farklı Microsoft güvenlik hizmetlerinden gelen uyarıları filtreleyen yeni bir Microsoft güvenlik kuralı da oluşturabilirsiniz. Analiz sayfasında Microsoft olay oluşturma kuralı oluştur'u > seçin.
Microsoft güvenlik hizmeti türü başına birden fazla Microsoft Güvenlik analizi kuralı oluşturabilirsiniz. Bu, birbirini dışlayan her kurala filtre uygularsanız yinelenen olaylar oluşturmaz.
Sonraki adımlar
- Microsoft Sentinel'i kullanmaya başlamak için Microsoft Azure aboneliğiniz olmalıdır. Bir aboneliğiniz yoksa ücretsiz deneme sürümü için kaydolabilirsiniz.
- Verilerinizi Microsoft Sentinel'e eklemeyi ve verilerinizle olası tehditler hakkında görünürlük elde etmeyi öğrenin.