Sıfırdan zamanlanmış analiz kuralı oluşturma

Bağlayıcıları ve diğer etkinlik verilerini dijital varlığınızda toplamanın diğer araçlarını ayarladınız. Şimdi etkinlik desenlerini algılamak ve bu desenlere uymayan ve bir güvenlik tehdidini temsil edebilecek etkinlikleri keşfetmek için tüm bu verileri incelemeniz gerekir.

Microsoft Sentinel ve İçerik hub'ında sağlanan birçok çözüm, en yaygın kullanılan analiz kuralı türlerine yönelik şablonlar sunar ve bu şablonları kullanarak bunları belirli senaryolarınıza uyacak şekilde özelleştirmeniz kesinlikle önerilir. Ancak tamamen farklı bir şeye ihtiyacınız olabilir, bu nedenle bu durumda analiz kuralı sihirbazını kullanarak sıfırdan bir kural oluşturabilirsiniz.

Not

SOC iyileştirme sayfasında SOC iyileştirme önerisinin ayrıntılarını gözden geçiriyor ve bu sayfanın Daha fazla bilgi edinin bağlantısını takip ediyorsanız, önerilen analiz kurallarının listesini arıyor olabilirsiniz. Bu durumda, iyileştirme ayrıntıları sekmesinin en altına gidin ve söz konusu öneriye özgü önerilen kuralları bulup yüklemek için İçerik hub'ına Git'i seçin. Daha fazla bilgi için bkz. SOC iyileştirme kullanım akışı.

Bu bölümde, Analiz kuralı sihirbazını kullanma da dahil olmak üzere sıfırdan analiz kuralı oluşturma işlemi açıklanmaktadır. Hem Azure portal hem de Defender portalında sihirbaza erişmek için ekran görüntüleri ve yol tarifleri içerir.

Önemli

31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.

Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.

Önkoşullar

  • Microsoft Sentinel Katkıda Bulunan rolüne veya Log Analytics çalışma alanınızda ve kaynak grubunda yazma izinleri içeren başka bir role veya izin kümesine sahip olmanız gerekir.

  • Veri bilimi ve analizi ile Kusto Sorgu Dili en azından temel düzeyde bilgi sahibi olmanız gerekir.

  • Analiz kuralı sihirbazını ve kullanılabilen tüm yapılandırma seçeneklerini tanımanız gerekir. Daha fazla bilgi için bkz. Microsoft Sentinel zamanlanmış analiz kuralları.

Sorgunuzu tasarlayın ve oluşturun

Başka bir şey yapmadan önce, kuralınızın Log Analytics çalışma alanınızdaki bir veya daha fazla tabloyu sorgulamak için kullanacağı bir sorguyu Kusto Sorgu Dili (KQL) içinde tasarlamanız ve oluşturmanız gerekir.

  1. Olağan dışı veya şüpheli etkinlikleri algılamak için aramak istediğiniz bir veri kaynağını veya bir veri kaynağı kümesini belirleyin. Bu kaynaklardan verilerin alındığı Log Analytics tablosunun adını bulun. Tablo adını bu kaynağın veri bağlayıcısının sayfasında bulabilirsiniz. Sorgunuzun temeli olarak bu tablo adını (veya bunu temel alan bir işlevi) kullanın.

  2. Bu sorgunun tabloda ne tür bir analiz gerçekleştirmesini istediğinize karar verin. Bu karar, sorguda hangi komutları ve işlevleri kullanmanız gerektiğini belirler.

  3. Sorgu sonuçlarından hangi veri öğelerini (alanlar, sütunlar) istediğinize karar verin. Bu karar, sorgunun çıkışını nasıl yapılandırabileceğinizi belirler.

    Önemli

    Zamanlanmış analiz kuralları, geriye dönük inceleme süresi için referans olarak bunu kullandığından, sorgunuzun TimeGenerated sütununu döndürdüğünden emin olun. TimeGenerated, geriye dönük referans olarak işlev gördüğünden, kural yalnızca TimeGenerated değeri belirtilen geriye dönük inceleme aralığı içinde yer alan kayıtları değerlendirir.

  4. Günlükler ekranında sorgularınızı derleyin ve test edin. Memnun olduğunuzda, sorguyu kuralınızda kullanmak üzere kaydedin.

Daha fazla bilgi için bkz.:

Analiz kuralınızı oluşturma

Aşağıdaki yordamda, Azure portalını veya Defender portalını kullanarak zamanlanmış analiz kuralının nasıl oluşturulacağı açıklanmaktadır.

Zamanlanmış sorgu kuralı oluşturmaya başlama

Başlamak için Microsoft Sentinel'deki Analiz sayfasına giderek zamanlanmış bir analiz kuralı oluşturun.

  1. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Configuration>Analytics'i seçin. Azure portal Microsoft Sentinel için Yapılandırma'nınaltındaAnaliz'i seçin.

  2. +Oluştur'u ve zamanlanmış sorgu kuralı'nı seçin.

Kuralı adlandırın ve genel bilgileri tanımlayın

Azure portal aşamalar sekme olarak görünür. Defender portalında, bir zaman çizelgesinde kilometre taşları olarak görünürler.

  1. Kuralınız için aşağıdaki bilgileri girin.

    Alan Açıklama
    Ad Kuralınız için benzersiz bir ad. Bu alan yalnızca düz metni destekler. Adda yer alan URL'lerin düzgün görüntülenmesi için yüzde kodlaması biçiminde olması gerekir.
    Açıklama Kuralınız için serbest metin açıklaması.
    Microsoft Sentinel Defender portalına eklendiyse, bu alan yalnızca düz metni destekler. Açıklamaya dahil edilen TÜM URL'lerin düzgün görüntülenmesi için yüzde kodlama biçimini izlemesi gerekir.
    Önem Derecesi Kural gerçek bir pozitifse, kuralı tetikleyen etkinliğin hedef ortamda sahip olabileceği etkiyi eşleştirin.

    Bilgilendirici: Sisteminiz üzerinde hiçbir etkisi yoktur, ancak bilgiler bir tehdit aktörü tarafından planlanan gelecekteki adımları gösteriyor olabilir.
    Düşük: Anında etki asgari düzeydedir. Bir tehdit aktörü, bir ortamı etkilemeden önce büyük olasılıkla birden çok adım gerçekleştirmesi gerekebilir.
    Orta: Tehdit aktörü bu etkinlikle ortamı biraz etkileyebilir, ancak kapsamı sınırlı olabilir veya ek etkinlik gerektirebilir.
    Yüksek: Tanımlanan etkinlik, tehdit aktöre ortamda eylem gerçekleştirmek için geniş kapsamlı erişim sağlar veya ortam üzerindeki etki tarafından tetikler.
    MITRE ATT&CK Kuralınız için geçerli olan tehdit etkinliklerini seçin. Açılan listede sunulan MITRE ATT&CK taktikleri ve teknikleri arasından seçim yapın. Birden çok seçim yapabilirsiniz.

    MITRE ATT&CK tehdit ortamı kapsamınızı en üst düzeye çıkarma hakkında daha fazla bilgi için bkz. MITRE ATT&CK® çerçevesinin güvenlik kapsamını anlama.
    Durum Etkin: Kural oluşturma işleminden hemen sonra veya zamanlamayı seçtiğiniz tarih ve saatte (şu anda ÖNİzLEME aşamasındadır) çalışır.
    Devre dışı: Kural oluşturulur ancak çalıştırılmaz. Daha sonra ihtiyacınız olduğunda Etkin kurallar sekmenizden etkinleştirin.
  2. İleri: Kural mantığını ayarla'yı seçin.


Kural mantığını tanımlama

Oluşturduğunuz Kusto sorgusunu eklemek de dahil olmak üzere kural mantığını ayarlayın.

  1. Kural sorgusunu ve uyarı geliştirme yapılandırmasını girin.

    Ayar Açıklama
    Kural sorgusu Tasarladığınız, oluşturduğunuz ve test ettiğiniz sorguyu Kural sorgusu penceresine yapıştırın. Bu pencerede yaptığınız her değişiklik anında doğrulanır, bu nedenle herhangi bir hata varsa pencerenin hemen altında bir gösterge görürsünüz.
    Varlıkları eşleştir Varlık eşlemesini genişletin ve sorgu sonuçlarınızdaki alanlara Microsoft Sentinel tarafından tanınan en fazla 10 varlık türü tanımlayın. Bu eşleme, tanımlanan varlıkları Microsoft Sentinel güvenlik uyarısı şemasındaki Varlıklar alanıyla tümleştirir.

    Varlıkları eşleme hakkında tam yönergeler için bkz. veri alanlarını Microsoft Sentinel'deki varlıklarla eşleme.
    Uyarılarınızda özel ayrıntıları görüntüleyin Özel ayrıntılar'ı genişletin ve uyarılarınızda özel ayrıntılar olarak görüntülemek istediğiniz sorgu sonuçlarınızdaki alanları tanımlayın. Bu alanlar, sonuçta ortaya çıkan tüm olaylarda da görünür.

    Özel ayrıntıların görüntülenmesine ilişkin tüm yönergeler için bkz. Microsoft Sentinel’deki uyarılarda özel olay ayrıntılarını görüntüleme.
    Uyarı ayrıntılarını özelleştirme Uyarı ayrıntılarını genişletin ve her bir uyarıdaki çeşitli alanların içeriğine göre standart olmayan uyarı özelliklerini özelleştirin. Örneğin, uyarı adını veya açıklamasını uyarıda öne çıkan bir kullanıcı adı veya IP adresi içerecek şekilde özelleştirin.

    Uyarı ayrıntılarını özelleştirmeyle ilgili tüm yönergeler için bkz. Microsoft Sentinel'da uyarı ayrıntılarını özelleştirme.
  2. Sorguyu zamanlayın ve kapsamına ekleyin.Sorgu zamanlama bölümünde aşağıdaki parametreleri ayarlayın:

    Ayar Açıklama / Seçenekler
    Her sorguyu çalıştırma Sorgu aralığını denetler: sorgunun çalışma sıklığı.
    İzin verilen aralık: 5 dakika ile 14 gün arasında.
    En son veri arama Geri arama dönemini belirler: sorgunun kapsadığı zaman aralığı.
    İzin verilen aralık: 5 dakika ile 14 gün arasında.
    Sorgu aralığına eşit veya daha uzun olmalıdır.
    Çalıştırmaya başlama Otomatik olarak: Kural oluşturulduktan hemen sonra ilk kez ve sorgu aralığında bundan sonra çalışır.
    Belirli bir zamanda (Önizleme): Kuralın ilk kez çalıştırılacak bir tarih ve saat ayarlayın; ardından sorgu aralığında çalışır.
    İzin verilen aralık: Kural oluşturma (veya etkinleştirme) süresinden 10 dakika ile 30 gün sonra.
  3. Uyarı oluşturma eşiğini ayarlayın.

    Kuralın duyarlılık düzeyini tanımlamak için Uyarı eşiği bölümünü kullanın. Örneğin, en az 100 eşiği ayarlayın:

    Ayar Açıklama
    Sorgu sonucu sayısı olduğunda uyarı oluşturma Büyüktür
    Olay sayısı 100

    Eşik ayarlamak istemiyorsanız sayı alanına girin 0 .

  4. Olay gruplandırma ayarlarını yapın.

    Olay gruplandırma'nın altında, olaylarınuyarılara gruplanması için iki yoldan birini seçin:

    Ayar Davranış
    Tüm olayları tek bir uyarıda gruplandırma
    (varsayılan)
    Sorgu yukarıdaki belirtilen uyarı eşiğinden daha fazla sonuç döndürdüğü sürece kural her çalıştığında tek bir uyarı oluşturur. Bu tek uyarı, sorgu sonuçlarında döndürülen tüm olayları özetler.
    Her olay için bir uyarı tetikleme Kural, sorgu tarafından döndürülen her olay için benzersiz bir uyarı oluşturur. Bu seçenek, olayların tek tek görüntülenmesini istiyorsanız veya bunları kullanıcı, konak adı veya başka bir şeye göre belirli parametrelere göre gruplandırmak istiyorsanız kullanışlıdır. Bu parametreleri sorguda tanımlayabilirsiniz.
  5. Bir uyarı oluşturulduktan sonra kuralı geçici olarak devre dışı bırakın.

    Uyarı oluşturulursa bir kuralı sonraki çalışma zamanının ötesinde engellemek için Uyarı oluşturulduktan sonra sorguyu çalıştırmayı durdur ayarını Açık duruma getirin. Bunu açarsanız, Sorguyu şu sürenin sonunda durdur seçeneğini, sorgunun ne kadar süre sonra durdurulacağını belirtecek şekilde en fazla 24 saat olarak ayarlayın.

  6. Sorgu ve mantık ayarlarının sonuçlarının benzetimini yapın.

    Sonuçlar benzetimi alanında Geçerli verilerle test et'i seçerek geçerli verilerinizde çalıştırılıyorsa kural sonuçlarınızın nasıl görüneceğini görün. Microsoft Sentinel tanımlanan zamanlamayı kullanarak kuralın geçerli verilerde 50 kez çalıştırılmasının benzetimini oluşturur ve sonuçların bir grafiğini (günlük olayları) gösterir. Sorguyu değiştirirseniz grafiği güncelleştirmek için Geçerli verilerle test et'i yeniden seçin. Grafik, Sorgu zamanlama bölümündeki ayarlar tarafından tanımlanan zaman aralığındaki sonuçların sayısını gösterir.

  7. İleri: Olay ayarları'nı seçin.

Olay oluşturma ayarlarını yapılandırma

Olay ayarları sekmesinde, Microsoft Sentinel uyarıları eyleme dönüştürülebilir olaylara dönüştürip dönüştürmediğini ve uyarıların olaylarda birlikte gruplandırılıp gruplandırılmayacağını ve nasıl gruplandırılmayacağını seçin.

  1. Olay oluşturmayı etkinleştirin.

    Olay ayarları bölümünde, Bu analiz kuralı tarafından tetiklenen uyarılardan güvenlik olayları oluştur seçeneği varsayılan olarak Etkin olarak ayarlanır; başka bir deyişle Microsoft Sentinel kural tarafından tetiklenen her uyarıdan tek bir ayrı olay oluşturur.

    • Bu kuralın herhangi bir olay oluşturmasını istemiyorsanız (örneğin, bu kural yalnızca sonraki analiz için bilgi toplamak içinse), bu seçeneği Devre Dışı olarak ayarlayın.

      Önemli

      Microsoft Defender portalına Microsoft Sentinel eklerseniz bu ayarı Etkin olarak bırakın.

      • Bu senaryoda olayları Microsoft Sentinel değil, Microsoft Defender XDR oluşturur.
      • Bu olaylar hem Azure hem de Defender portallarındaki olay kuyruğunda görünür.
      • Azure portalında yeni olaylar, olay sağlayıcısı adı olarak "Microsoft XDR" ile görüntülenir.
    • Her uyarı için bir olay yerine bir uyarı grubundan tek bir olay oluşturulmasını istiyorsanız sonraki adıma bakın.

  2. Uyarı gruplandırma ayarlarını yapın.

    Uyarı gruplandırma bölümünde, 150'ye kadar benzer veya yinelenen uyarıdan oluşan bir gruptan tek bir olay oluşturulmasını istiyorsanız (nota bakın), bu analiz kuralı tarafından tetiklenen Grupla ilgili uyarıları Etkin olarak ayarlayın ve aşağıdaki parametreleri ayarlayın.

    1. Grubu seçili zaman dilimi içinde oluşturulan uyarılarla sınırlayın: Benzer veya yinelenen uyarıların birlikte gruplandırıldığı zaman dilimini ayarlayın. Bu zaman çerçevesi dışındaki uyarılar ayrı bir olay veya olay kümesi oluşturur.

    2. Bu analiz kuralı tarafından tetiklenen uyarıları tek bir olayda gruplandırma yöntemi: Uyarıların nasıl birlikte gruplandırılacağını seçin:

      Seçenek Açıklama
      Tüm varlıklar eşleşirse uyarıları tek bir olay halinde gruplandırma Eşlenen varlıkların her biri için aynı değerleri paylaşıyorlarsa uyarılar birlikte gruplandırılır (yukarıdaki Kural mantığını ayarla sekmesinde tanımlanır). Bu, önerilen ayardır.
      Bu kural tarafından tetiklenen tüm uyarıları tek bir olay halinde gruplandırma Bu kural tarafından oluşturulan tüm uyarılar, aynı değerleri paylaşmasalar bile birlikte gruplandırılır.
      Seçilen varlıklar ve ayrıntılar eşleşiyorsa uyarıları tek bir olay halinde gruplandırma İlgili açılan listelerden seçilen tüm eşlenen varlıklar, uyarı ayrıntıları ve özel ayrıntılar için aynı değerleri paylaşıyorlarsa, uyarılar birlikte gruplandırılır.
    3. Kapatılan eşleşen olayları yeniden açma: Bir olay çözülür ve kapatılırsa ve daha sonra bu olaya ait olması gereken başka bir uyarı oluşturulursa, kapatılan olayın yeniden açılmasını istiyorsanız bu ayarı Etkin olarak ayarlayın ve uyarının yeni bir olay oluşturmasını istiyorsanız Devre Dışı olarak bırakın.

      Microsoft Defender portalına Microsoft Sentinel eklendiğinde kapatılan eşleşen olayları yeniden aç seçeneği kullanılamaz.

    Önemli

    Microsoft Sentinel Microsoft Defender portalına eklerseniz, uyarı gruplandırma ayarları yalnızca olayın oluşturulduğu anda geçerli olur.

    Bu senaryoda uyarı bağıntısının sorumlusu Defender portalının bağıntı altyapısı olduğundan, bu ayarları ilk yönergeler olarak kabul eder, ancak bu ayarları dikkate almayan uyarı bağıntısı hakkında da kararlar alabilir.

    Bu nedenle, uyarıların olaylar halinde gruplanması genellikle bu ayarlara göre beklediğinizden farklı olabilir.

    Not

    En fazla 150 uyarı tek bir olay halinde gruplandırılabilir.

    • Olay, yalnızca tüm uyarılar oluşturulduktan sonra oluşturulur. Tüm uyarılar oluşturuldukten hemen sonra olaya eklenir.

    • Bunları tek bir olayda gruplandıran bir kural tarafından 150'den fazla uyarı oluşturulursa, özgün olayla aynı olay ayrıntılarıyla yeni bir olay oluşturulur ve fazla uyarılar yeni olayda gruplandırılır.

  3. İleri: Otomatik yanıt'ı seçin.

Otomatik yanıtları gözden geçirme veya ekleme

  1. Otomatik yanıtlar sekmesinde, listede görüntülenen otomasyon kurallarına bakın. Mevcut kuralların kapsamında olmayan yanıtlar eklemek istiyorsanız iki seçeneğiniz vardır:

    • Eklenen yanıtın birçok kurala veya tümüne uygulanmasını istiyorsanız var olan bir kuralı düzenleyin.
    • Yalnızca bu analiz kuralına uygulanan yeni bir otomasyon kuralı oluşturmak için Yeni ekle'yi seçin.

    Otomasyon kurallarını ne için kullanabileceğiniz hakkında daha fazla bilgi edinmek için bkz. Otomasyon kurallarıyla Microsoft Sentinel tehdit yanıtlarını otomatikleştirme.

    • Ekranın alt kısmındaki Uyarı otomasyonu (klasik) altında, eski yöntem kullanılarak bir uyarı oluşturulduğunda otomatik olarak çalışacak şekilde yapılandırdığınız playbook'ları görürsünüz.
      • Haziran 2023 itibarıyla, bu listeye playbook ekleyemezsiniz. Burada zaten listelenen Playbook'lar , Mart 2026'da geçerli olmak üzere bu yöntem kullanım dışı bırakılana kadar çalışmaya devam eder.

      • Burada hala listelenen playbook'larınız varsa, uyarının oluşturduğu tetikleyiciyi temel alan bir otomasyon kuralı oluşturun ve otomasyon kuralından playbook'u çağırın. Bu adımı tamamladıktan sonra, burada listelenen playbook satırının sonundaki üç nokta simgesini seçin ve ardından Kaldır seçeneğini belirleyin. Ayrıntılı yönergeler için bkz. Microsoft Sentinel uyarı tetiklemeli playbook’lerinizi otomasyon kurallarına geçirme.

  2. Yeni analiz kuralınızın tüm ayarlarını gözden geçirmek için İleri: Gözden geçir ve oluştur'u seçin.

Yapılandırmayı doğrulama ve kuralı oluşturma

  1. "Doğrulama başarılı" iletisi görüntülendiğinde Oluştur'u seçin.

  2. Bunun yerine bir hata görüntülenirse, hatanın oluştuğu sihirbaz sekmesindeki kırmızı X’i bulun ve seçin.

  3. Hatayı düzeltin ve doğrulamayı yeniden çalıştırmak için Gözden Geçir ve oluştur sekmesine dönün.

Kuralı ve çıktısını görüntüleyin

Kural tanımını görüntüleme

Yeni oluşturduğunuz özel kuralı ("Zamanlanan" türündeki) ana Analiz ekranındaki Etkin kurallar sekmesinin altındaki tabloda bulabilirsiniz. Bu listeden her kuralı etkinleştirebilir, devre dışı bırakabilir veya silebilirsiniz.

Kuralın sonuçlarını görüntüleme

Defender portalında oluşturduğunuz analiz kurallarının sonuçlarını görüntülemek için gezinti menüsünde Araştırma & yanıtı'nı genişletin ve ardından Olaylar & uyarılar'ı seçin. Olayları, olayları önceliklendirmek, araştırmak ve tehditleri düzeltmek için kullanabileceğiniz Olaylar sayfasında görüntüleyin. Uyarılar sayfasında tek tek uyarıları görüntüleyin.

Azure portal olaylar sayfasının ekran görüntüsü.

Kuralı ince ayarla

Kural çalıştırıldıktan sonra, gürültüyü azaltmak ve algılama kalitesini artırmak için ayarlayın.

Not

Microsoft Sentinel'de oluşturulan uyarılar Microsoft Graph Güvenliği aracılığıyla kullanılabilir. Daha fazla bilgi için Microsoft Graph Güvenlik uyarıları belgelerine bakın.

Kuralı ARM şablonuna aktarma

Kuralınızı kod olarak yönetilecek ve dağıtılacak şekilde paketlemek istiyorsanız, kuralı kolayca bir Azure Resource Manager (ARM) şablonuna aktarabilirsiniz. Ayrıca, kullanıcı arabiriminde görüntülemek ve düzenlemek için şablon dosyalarından kuralları içeri aktarabilirsiniz.

Sonraki adımlar

Microsoft Sentinel tehditlerini algılamak için analiz kurallarını kullanırken, ortamınız için tam güvenlik kapsamı sağlamak için bağlı veri kaynaklarınızla ilişkili tüm kuralları etkinleştirdiğinizden emin olun.

Kural etkinleştirmeyi otomatikleştirmek için, Microsoft Sentinel REST API ve Az.SecurityInsights PowerShell modülü aracılığıyla Microsoft Sentinel kuralları gönderin, ancak bunu yapmak fazladan çaba gerektirir. API veya PowerShell kullanırken, kuralları etkinleştirmeden önce kuralları JSON'a dışarı aktarmanız gerekir. API veya PowerShell, her örnekte aynı ayarlara sahip birden çok Microsoft Sentinel örneğinde kuralları etkinleştirirken yararlı olabilir.

Daha fazla bilgi için bkz.:

Ayrıca, özel bir Microsoft Sentinel bağlayıcısı ile Yakınlaştırma'yı izlerken özel analiz kurallarını kullanma örneğinden de bilgi edinin.