Azure Sentinel & Bölüm1 

Bölüm 1  & Azure Sentinel Yetenekleri

BT ortamları, bulut kullanım senaryoları ile birlikte daha hızlı şekilde büyüyerek kurumlara birçok konuda esnek çözümler sağlıyor. Bununla birlikte gelen dağınık yapı özellikle güvenlik ekipleri için yönetimi zorlaştırıyor. Bu sebeple bilgi ve olay yönetimi (SIEM) her zamankinden daha önemli hale geldi.

Güvenlik terimlerine aşina olmayanlar için;

SIEM ‘i en kısa şekilde anlatmak gerekirse “Ne oldu” sorusuna “Bilmiyorum” cevabını vermemek için kullanılan teknolojilidir ?

SIEM çözümleri veri analizi, olay korelasyonu, veri toplama ve raporlamanın yanı sıra log yönetimi de sağlar.

Azure ve Office 365 gibi uzun süredir kullandığımız hizmetlerde bu konu nasıl çözümleniyordu sorusu aklınıza gelirse;

Office 365 “Güvenlik ve Uyumluluk” merkezindeki “Audit Log” çözümü ile kullanıcı ve yönetici aktivitelerini araştırıp gerektiğinde veriyi dışarıya çıkarma şansına sahipsiniz. Yalnız bu çözüm size 90 gün geriye kadar olan veriler üzerinde araştırma yapmanıza olanak sağlıyor.

Şu anda “Preview” olan özelliği ise E5 lisansına sahip olan kiracılar için ise 1 yıla dönük saklanabilecek.

Azure ’da ise kullanıcı, yönetici aktivitelerinden (90 günlük) , sanal sunucuların “diagnostics” kayıtlarına kadar Azure’da kullandığınız hemen hemen tüm servislerin operasyonel ,event,Access,alarm gibi bir çok kanaldan Azure portal, Azure CLI, PowerShell ve Azure Monitor REST API ile bir çok farklı yol ile kayıtları izleyip , verileri istediğiniz şekilde dışarıya alabilir yada eğer kullanıyorsanız SIEM çözümleri (Splunk, HP ArcSight, ve IBM QRadar) ile entegre edebilirsiniz.

Genel olarak açıkladığım bu yöntemlerin ortak noktası Cloud üzerinde oluşan verilerin dışarıya aktarılması ve şirket içi çözümlere entegre edilmesi yoluyla istenilen noktaya gelinmesini sağlıyordu.

O zaman şu soru yerinde olur, Nedir bu Azure Sentinel ?

Microsoft ‘un açıklaması şöyle “Azure Sentinel, işletmeler arasında giderek artan karmaşık saldırıların, artan alarmların, uzun soluklu çözüm sürelerinin stresini hafifleten kuşbakışı görünümünüzdür.”

Azure Sentinel Neler Yapabilir;

  • Veriyi şirket içi, bulut ortamı bakmadan bir çok farklı kanaldan toplayabilir
  • Microsoft’un analitik ve benzersiz tehdit zekasını kullanarak tehditleri tespit eder.
  • Yapay zekâ ile tehditleri araştırır
  • Tehditlere karşı en kısa sürede yanıt verip otomasyon sağlar.

Azure Sentinel Nedir ?

Azure Sentinel bu noktada bize neler katacak merak ediyorsanız;

Azure’da veya başka bir bulut çözümünde ya da kaynakların şirket içinde bulunup bulunmadıklarına bakmadan, uygulamalarınız, hizmetleriniz, altyapınız, ağlarınız ve kullanıcılarınızdaki tüm güvenlik kaynaklarının ve günlüklerinin sinyallerini ilişkilendirerek çalışır.

Yapay zekâ ve makine öğrenme metotları desteği ile gerçekten dikkatinizi vermeye değer anomaliler için uyarılar sağlar.

Sentinel ‘in veri toplandığı kanallara bakacak olursak,

Azure AD Identity Protection, Microsoft Cloud Application Security, Azure Security Center, Microsoft Graph Security API, DNS, Syslog F5, Palo Alto Networks, Checkpoint, Cisco ASA , F5 , AWS gibi bir çok kanalı konfigure edebiliyoruz.

Ayrıca Office 365 etkinlik verilerini Azure Sentinel’e ücretsiz olarak bağlayabiliyoruz.

Azure Sentinel Nedir ?

Şu an için Preview olan çözümü bu süre boyunca ücretsiz olarak kullanabilirsiniz.

Unutmadan; Microsoft, Azure Sentinel için Preview süresince herhangi SLA sağlamadığından prod ortamlara konumlandırmayı önermiyor.

Bir sonraki makalede Sentinel’i farklı kaynaklara bağlayıp yavaş yavaş veri toplayıp analiz için hazır hale getireceğiz.

Faydalı olması dileğimle…

Kaynaklar:

https://docs.microsoft.com/en-us/azure/security/azure-log-audit

https://docs.microsoft.com/en-us/office365/securitycompliance/search-the-audit-log-in-security-and-compliance

https://docs.microsoft.com/tr-tr/azure/sentinel/overview

https://www.msspalert.com/cybersecurity-services-and-products/siem/microsoft-azure-sentinel-beta-tests

Makale serisinin diğer yazıları:

Azure Sentinel & Bölüm2

Azure Sentinel & Bölüm3

http://www.azuredocs.com/azure-sentinel-bolum4/