Hızlı Başlangıç: Microsoft Sentinel'i Ekleme

Bu hızlı başlangıçta Microsoft Sentinel'i etkinleştirip içerik hub'ından bir çözüm yükleyeceksiniz. Ardından, Microsoft Sentinel'e veri alımına başlamak için bir veri bağlayıcısı ayarlayacaksınız.

Microsoft Sentinel, Microsoft Defender XDR hizmet-hizmet bağlayıcısı gibi Microsoft ürünleri için birçok veri bağlayıcısı ile birlikte gelir. Syslog veya Ortak Olay Biçimi (CEF) gibi Microsoft dışı ürünler için yerleşik bağlayıcıları da etkinleştirebilirsiniz. Bu hızlı başlangıçta, Microsoft Sentinel için Azure Etkinlik çözümünde bulunan Azure Etkinliği veri bağlayıcısını kullanacaksınız.

API'yi kullanarak Microsoft Sentinel'e eklemek için Sentinel Ekleme Durumlarının desteklenen en son sürümüne bakın.

Önkoşullar

Microsoft Sentinel'i etkinleştirme

Başlamak için Microsoft Sentinel'i var olan bir çalışma alanına ekleyin veya yeni bir çalışma alanı oluşturun.

  1. Azure Portal’ında oturum açın.

  2. Microsoft Sentinel'i arayın ve seçin.

    Microsoft Sentinel'i etkinleştirirken hizmet arama işleminin ekran görüntüsü.

  3. Oluştur'u belirleyin.

  4. Kullanmak istediğiniz çalışma alanını seçin veya yeni bir çalışma alanı oluşturun. Microsoft Sentinel'i birden fazla çalışma alanında çalıştırabilirsiniz, ancak veriler tek bir çalışma alanında yalıtılır.

    Microsoft Sentinel'i etkinleştirirken çalışma alanı seçme işleminin ekran görüntüsü.

    • Bulut için Microsoft Defender tarafından oluşturulan varsayılan çalışma alanları listede gösterilmez. Microsoft Sentinel'i bu çalışma alanlarına yükleyemezsiniz.
    • Bir çalışma alanına dağıtıldıktan sonra, Microsoft Sentinel bu çalışma alanının başka bir kaynak grubuna veya aboneliğe taşınmasını desteklemez .
  5. Ekle'yi seçin.

İçerik hub'ından çözüm yükleme

Microsoft Sentinel'deki içerik hub'ı, veri bağlayıcıları da dahil olmak üzere kullanıma açık içeriği bulmak ve yönetmek için merkezi bir konumdur. Bu hızlı başlangıç için Azure Etkinliği çözümünü yükleyin.

  1. Microsoft Sentinel'de İçerik hub'ı seçin.

  2. Azure Etkinlik çözümünü bulun ve seçin.

    Azure Etkinliği çözümünün seçili olduğu içerik hub'ının ekran görüntüsü.

  3. Sayfanın üst kısmındaki araç çubuğunda Yükle/Güncelleştir'i seçin.

Veri bağlayıcısını ayarlama

Microsoft Sentinel, hizmete bağlanarak ve olayları ve günlükleri Microsoft Sentinel'e ileterek hizmetlerden ve uygulamalardan veri alır. Bu hızlı başlangıçta, Azure Etkinliği verilerini Microsoft Sentinel'e iletmek için veri bağlayıcısını yükleyin.

  1. Microsoft Sentinel'de Veri bağlayıcıları'nı seçin.

  2. Azure Etkinlik veri bağlayıcısını arayın ve seçin.

  3. Bağlayıcının ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

  4. Bağlayıcıyı yapılandırma yönergelerini gözden geçirin.

  5. Atama sihirbazını Azure İlkesi başlat'ı seçin.

  6. Temel Bilgiler sekmesinde Kapsamı, Microsoft Sentinel'e gönderilecek etkinliği olan abonelik ve kaynak grubu olarak ayarlayın. Örneğin, Microsoft Sentinel örneğinizi içeren aboneliği seçin.

  7. Parametreler sekmesini seçin.

  8. Birincil Log Analytics çalışma alanını ayarlayın. Bu, Microsoft Sentinel'in yüklü olduğu çalışma alanı olmalıdır.

  9. Gözden geçir ve oluştur’u, ardından Oluştur’u seçin.

Etkinlik verileri oluşturma

Şimdi Microsoft Sentinel için Azure Etkinlik çözümünde yer alan bir kuralı etkinleştirerek bazı etkinlik verileri oluşturalım. Bu adım, içerik hub'ında içeriğin nasıl yönetileceğini de gösterir.

  1. Microsoft Sentinel'de İçerik hub'ı seçin.

  2. Azure Etkinlik çözümünü bulun ve seçin.

  3. Sağ taraftaki bölmeden Yönet'i seçin.

  4. Şüpheli Kaynak dağıtımı kural şablonunu bulun ve seçin.

  5. Yapılandırma'yı seçin.

  6. Kuralı ve Kural oluştur'u seçin.

  7. Genel sekmesinde, Durum seçeneğini etkin olarak değiştirin. Varsayılan değerlerin geri kalanını bırakın.

  8. Diğer sekmelerdeki varsayılan değerleri kabul edin.

  9. Gözden geçir ve oluştur sekmesinde Oluştur'u seçin.

Microsoft Sentinel'e alınan verileri görüntüleme

Azure Etkinlik veri bağlayıcısını etkinleştirdiğinize ve bazı etkinlik verileri oluşturduğunuza göre şimdi çalışma alanına eklenen etkinlik verilerini görüntüleyelim.

  1. Microsoft Sentinel'de Veri bağlayıcıları'nı seçin.

  2. Azure Etkinlik veri bağlayıcısını arayın ve seçin.

  3. Bağlayıcının ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

  4. Veri bağlayıcısının durumunu gözden geçirin. Bağlı olmalıdır.

    Durumu bağlı olarak gösterilen Azure Etkinliği için veri bağlayıcısının ekran görüntüsü.

  5. Grafiğin üzerindeki sol taraftaki bölmede Log Analytics'e git'i seçin.

  6. Bölmenin üst kısmındaki Yeni sorgu 1 sekmesinin yanında yeni sorgu eklemek için sekmesini seçin+.

  7. Sorgu bölmesinde aşağıdaki sorguyu çalıştırarak çalışma alanına alınan etkinlik tarihini görüntüleyin.

     AzureActivity
    

    Azure Etkinlik sorgusu için döndürülen sonuçları içeren günlük sorgusu penceresinin ekran görüntüsü.

Sonraki adımlar

Bu hızlı başlangıçta Microsoft Sentinel'i etkinleştirmiş ve içerik hub'ından bir çözüm yüklemişsinizdir. Ardından, Microsoft Sentinel'e veri alımını başlatmak için bir veri bağlayıcısı ayarlarsınız. Ayrıca çalışma alanında verileri görüntüleyerek verilerin alındığını da doğruladınız.

  • Panoları ve çalışma kitaplarını kullanarak topladığınız verileri görselleştirmek için bkz . Toplanan verileri görselleştirme.
  • Analiz kurallarını kullanarak tehditleri algılamak için bkz . Öğretici: Microsoft Sentinel'de analiz kurallarını kullanarak tehditleri algılama.