Microsoft Sentinel'de çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme

Veri kaynaklarınızı Microsoft Sentinel'e bağladıktan sonra, Microsoft Sentinel'deki çalışma kitaplarını kullanarak verileri görselleştirin ve izleyin. Microsoft Sentinel çalışma kitapları Azure İzleyici çalışma kitaplarını temel alır ve Azure'da zaten kullanılabilir olan araçlara günlükleriniz ve sorgularınız için analiz içeren tablolar ve grafikler ekler.

Microsoft Sentinel, verileriniz genelinde özel çalışma kitapları oluşturmanıza veya paketlenmiş çözümlerle veya içerik hub'ından tek başına içerik olarak kullanılabilen mevcut çalışma kitabı şablonlarını kullanmanıza olanak tanır. Her çalışma kitabı, diğer çalışma kitapları gibi bir Azure kaynağıdır ve kimlerin erişebileceğini tanımlamak ve sınırlamak için azure rol tabanlı erişim denetimi (RBAC) ile bunu atayabilirsiniz.

Bu makalede, çalışma kitaplarını kullanarak Verilerinizi Microsoft Sentinel'de görselleştirme açıklanmaktadır.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

  • Microsoft Sentinel çalışma alanının kaynak grubunda en az Çalışma Kitabı okuyucusu veya Çalışma kitabı katkıda bulunanı izinlerine sahip olmanız gerekir.

    Microsoft Sentinel'de gördüğünüz çalışma kitapları, Microsoft Sentinel çalışma alanının kaynak grubuna kaydedilir ve oluşturuldukları çalışma alanı tarafından etiketlenir.

  • Çalışma kitabı şablonu kullanmak için, çalışma kitabını içeren çözümü yükleyin veya çalışma kitabını İçerik Hub'ından tek başına bir öğe olarak yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

Şablondan çalışma kitabı oluşturma

Çalışma kitabı oluşturmak için içerik hub'ından yüklenen bir şablonu kullanın.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Çalışma Kitapları'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Çalışma Kitapları'nı seçin.

  2. Yüklü çalışma kitabı şablonlarının listesini görmek için Çalışma Kitapları'na gidin ve Şablonlar'ı seçin.

    Hangi şablonların bağlandığınız veri türleriyle ilgili olduğunu görmek için, varsa her çalışma kitabındaki Gerekli veri türleri alanını gözden geçirin.

  3. Şablon ayrıntıları bölmesinden ve şablon için JSON dosyasını kaydetmek istediğiniz konumdan Kaydet'i seçin. Bu eylem, ilgili şablonu temel alan bir Azure kaynağı oluşturur ve verileri değil çalışma kitabının JSON dosyasını kaydeder.

  4. Şablon ayrıntıları bölmesinde Kaydedilmiş çalışma kitabını görüntüle'yi seçin.

  5. Çalışma kitabını ihtiyaçlarınıza göre özelleştirmek için çalışma kitabı araç çubuğunda Düzenle düğmesini seçin.

    Kaydedilen çalışma kitabını gösteren ekran görüntüsü.

    Örneğin, geçerli seçimden farklı bir zaman aralığına ilişkin verileri görüntülemek için TimeRange filtresini seçin. Belirli bir çalışma kitabı alanını düzenlemek için Düzenle'yi seçin veya öğeleri eklemek için üç noktayı (...) seçin ya da alanı taşıyın, kopyalayabilir veya kaldırabilirsiniz.

    Çalışma kitabınızı kopyalamak için Farklı kaydet'i seçin. Kopyayı aynı abonelik ve kaynak grubu altında başka bir adla kaydedin. Kopyalanan çalışma kitapları Çalışma Kitaplarım sekmesinin altında görüntülenir.

  6. İşiniz bittiğinde, değişikliklerinizi kaydetmek için Kaydet'i seçin.

Daha fazla bilgi için bkz.

Yeni çalışma kitabı oluşturma

Microsoft Sentinel'de sıfırdan bir çalışma kitabı oluşturun.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Çalışma Kitapları'nı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Çalışma Kitapları'nı seçin.

  2. Çalışma kitabı ekle'yi seçin.

  3. Çalışma kitabını düzenlemek için Düzenle'yi seçin ve sonra metin, sorgu ve parametreleri gerektiği gibi ekleyin. Çalışma kitabını özelleştirme hakkında daha fazla bilgi için bkz. Azure İzleyici Çalışma Kitapları ile etkileşimli raporlar oluşturma.

    Yeni çalışma kitabını gösteren ekran görüntüsü.

  4. Sorgu oluştururken Veri kaynağını Günlükler ve Kaynak türü'nü Log Analytics olarak ayarlayın ve bir veya daha fazla çalışma alanı seçin.

    Sorgunuzun yerleşik bir tablo değil Gelişmiş Güvenlik Bilgileri Modeli (ASIM) ayrıştırıcısı kullanmasını öneririz. Sorgu daha sonra tek bir veri kaynağı yerine geçerli veya gelecekteki ilgili veri kaynaklarını destekleyecektir.

  5. Çalışma kitabınızı oluşturduktan sonra, çalışma kitabını Microsoft Sentinel çalışma alanınızın abonelik ve kaynak grubu altına kaydedin.

  6. Kuruluşunuzdaki diğer kişilerin çalışma kitabını kullanmasına izin vermek istiyorsanız, Kaydet'in altında Paylaşılan raporlar'ı seçin. Bu çalışma kitabının yalnızca sizin kullanımınıza sunulmasını istiyorsanız Raporlarım'ı seçin.

  7. Çalışma alanınızdaki çalışma kitapları arasında geçiş yapmak için herhangi bir çalışma kitabının araç çubuğunda Aç'ıÇalışma kitabını açma simgesi. seçin. Ekran, geçiş yapabileceğiniz diğer çalışma kitaplarının listesine geçer.

    Açmak istediğiniz çalışma kitabını seçin:

    Çalışma kitaplarını değiştirme.

Çalışma kitaplarınız için yeni kutucuklar oluşturma

Microsoft Sentinel çalışma kitabına özel kutucuk eklemek için önce log analytics'te kutucuğu oluşturun. Daha fazla bilgi için bkz . Log Analytics'te görsel veriler.

Kutucuk oluşturduktan sonra Sabitle'yi ve ardından kutucuğun görünmesini istediğiniz çalışma kitabını seçin.

Çalışma kitabı verilerinizi yenileme

Güncelleştirilmiş verileri görüntülemek için çalışma kitabınızı yenileyin. Araç çubuğunda aşağıdaki seçeneklerden birini belirleyin:

  • Çalışma kitabı verilerinizi el ile yenilemek için yenileyin.

  • Çalışma kitabınızı yapılandırılan bir aralıkta otomatik olarak yenilenmek üzere ayarlamak için otomatik yenileme.

    • Desteklenen otomatik yenileme aralıkları 5 dakika ile 1 gün arasında değişir.

    • Çalışma kitabını düzenlerken otomatik yenileme duraklatılır ve düzenleme modundan görünüm moduna her geçtiğinizde aralıklar yeniden başlatılır.

    • Verilerinizi el ile yenilerseniz otomatik yenileme aralıkları da yeniden başlatılır.

    Varsayılan olarak, otomatik yenileme kapalıdır. Performansı iyileştirmek için, çalışma kitabını her kapattığınızda otomatik yenileme kapatılır. Arka planda çalışmaz. Çalışma kitabını bir sonraki açışınızda otomatik yenilemeyi gerektiği gibi yeniden açın.

Çalışma kitabını yazdırmak veya PDF olarak kaydetmek için, çalışma kitabı başlığının sağındaki seçenekler menüsünü kullanın.

  1. İçeriği yazdır seçeneklerini belirleyin>.

  2. Yazdırma ekranında, yazdırma ayarlarınızı gerektiği gibi ayarlayın veya pdf olarak kaydet'i seçerek yerel olarak kaydedin.

    Örneğin:

    Çalışma kitabınızı yazdırmayı veya PDF olarak kaydetmeyi gösteren ekran görüntüsü.

Çalışma kitaplarını silme

Kaydedilmiş bir çalışma kitabını (kaydedilmiş şablon veya özelleştirilmiş çalışma kitabı) silmek için, silmek istediğiniz kaydedilmiş çalışma kitabını ve ardından Sil'i seçin. Bu eylem, kaydedilen çalışma kitabını kaldırır. Ayrıca çalışma kitabı kaynağını ve şablonda yaptığınız değişiklikleri de kaldırır. Özgün şablon kullanılabilir durumda kalır.

Çalışma kitabı önerileri

Bu bölümde, Microsoft Sentinel çalışma kitaplarını kullanmayla ilgili temel önerilerimiz incelanmaktadır.

Microsoft Entra Id çalışma kitapları ekleme

Microsoft Sentinel ile Microsoft Entra ID kullanıyorsanız, Microsoft Sentinel için Microsoft Entra çözümünü yüklemenizi ve aşağıdaki çalışma kitaplarını kullanmanızı öneririz:

  • Microsoft Entra oturum açma işlemleri , anomali olup olmadığını görmek için zaman içinde oturum açma işlemleri analiz eder. Bu çalışma kitabı uygulamalar, cihazlar ve konumlar tarafından başarısız oturum açma işlemleri sağlar, böylece olağan dışı bir şey olup olmadığını bir bakışta fark edebilirsiniz. Birden çok başarısız oturum açma işlemine dikkat edin.
  • Microsoft Entra denetim günlükleri , kullanıcılardaki değişiklikler (ekleme, kaldırma vb.), grup oluşturma ve değişiklikler gibi yönetici etkinliklerini analiz eder.

Güvenlik duvarı çalışma kitapları ekleme

Güvenlik duvarınız için bir çalışma kitabı eklemek üzere İçerik hub'ından uygun çözümü yüklemenizi öneririz.

Örneğin, Palo Alto çalışma kitaplarını eklemek için Microsoft Sentinel için Palo Alto güvenlik duvarı çözümünü yükleyin. Çalışma kitapları güvenlik duvarı trafiğinizi analiz ederek güvenlik duvarı verilerinizle tehdit olayları arasında bağıntılar sağlar ve varlıklar arasında şüpheli olayları vurgular.

Palo Alto çalışma kitabının ekran görüntüsü.

Farklı kullanımlar için farklı çalışma kitapları oluşturma

Çalışma kitaplarını kullanan her kişilik türü için kişi rolüne ve aradıkları role göre farklı görselleştirmeler oluşturmanızı öneririz. Örneğin, ağ yöneticiniz için güvenlik duvarı verilerini içeren bir çalışma kitabı oluşturun.

Alternatif olarak, çalışma kitaplarını ne sıklıkta bakmak istediğinize, günlük gözden geçirmek istediğiniz şeyler olup olmadığına ve saatte bir denetlemek istediğiniz diğer öğelere göre oluşturun. Örneğin, anomalileri aramak için saatte bir Microsoft Entra oturum açma işlemlerinize bakmak isteyebilirsiniz.

Haftalar boyunca trafik eğilimlerini karşılaştıran bir görselleştirme oluşturmak için aşağıdaki sorguyu kullanın. Ortamınıza bağlı olarak sorguyu çalıştırdığınız cihaz satıcısını ve veri kaynağını değiştirin.

Aşağıdaki örnek sorgu, Windows'tan SecurityEvent tablosunu kullanır. AzureActivity veya CommonSecurityLog tablosunda, başka bir güvenlik duvarında çalışacak şekilde değiştirmek isteyebilirsiniz.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Birden çok kaynaktan alınan verileri içeren örnek sorgu

Birden çok kaynaktan veri içeren bir sorgu oluşturmak isteyebilirsiniz. Örneğin, oluşturulan yeni kullanıcılar için Microsoft Entra denetim günlüklerine bakan bir sorgu oluşturun ve ardından kullanıcının oluşturulduktan sonra 24 saat içinde rol ataması değişiklikleri yapmaya başlayıp başlamadığını görmek için Azure günlüklerinizi kontrol edin. Bu şüpheli etkinlik aşağıdaki sorguyla bir görselleştirmede görünür:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Daha fazla bilgi için bkz.