Azure Sentinel & Bölüm3

AI+ML+SIEM = Azure Sentinel – Bölüm 3 – Kusto Query Language (KQL)

Azure Sentinel’i test etmeye karar verdiyseniz ön gereksinim olarak workspace oluşturmanız gerekmektedir.

Azure Sentinel

Öncelikle workspace nedir , niçin kullanılıyor ve teknolojisi nedir bunlardan kısaca bahsetmek istiyorum.

Azure Log Analytics özünde bir log toplama aracıdır. Toplanan verilerin konsolide edilmesi, birleştirilmesi ve analiz edilmesi için güçlü bir sorgu dili kullanır.

Microsoft Operations Management Suite (OMS) kullananların uzun süredir bildiği, Log Analytics yetenekleri sayesinde kendi alanında markalaşan başarılı bir çözümden bahsediyoruz.

Microsoft ; bir süre önce OMS paketine birçok yeni yetenek ekleyerek Azure Monitor çözümünü sundu ve Azure Log Analytics bu çözümün amiral gemisi olarak sürecine devam ediyor.

Azure Sentinel’de alt yapı olarak Log Analytics kullandığı için bu çözümü de anlamak ve gerektiğinde sorgu yazabilmek önemli bir hale geliyor.

Peki nedir bu sorgu dili diyorsanız ;

Azure Log Analytics ; Kusto Query Language (KQL) sorgu dilini kullanır. Bu sorgu dili “read-only” istekler göndererek sonucu en hızlı şekilde getirmeyi sağlayan big data için geliştirilen çözümdür.

Azure Log Analytics, Azure Security Center, Azure Application Insights, Windows Defender Advanced Threat Protection gibi servislerde bu sorgu dili kullanıldığından bu tip çözümleri kullanıyor ve ilgi duyuyorsanız Kusto Query Language (KQL) haşır neşir olmanızı öneririm.

Kullanımı gayet kolay ve hızlıca alışacağınız bu sorgu dili için ücretsiz olarak internet üzerinden eğitim alabileceğiniz bir kaynak mevcut. Pluralsight üzerinden aşağıdaki eğitim ile gerçekten iyi bir noktaya gelebilirsiniz.

https://app.pluralsight.com/library/courses/kusto-query-language-kql-from-scratch/table-of-contents

Kusto (KQL) öğrendiğimize göre ?

Azure Sentinel – Logs ‘sekmesi ile Kusto’yu kullanmaya başlayabiliriz.

Örnek senaryo olarak gün içerisinde aktivite yapan kullanıcıları listeleyelim.

Bunun için aşağıdaki sorguyu çalıştırabilirsiniz.

OfficeActivity

| where LogonUserDisplayName == “”

Azure Sentinel

Çıkan sonuçların üzerinde biraz daha araştırma yapıp çıktıyı daha anlamlı hale getirmek için birçok aktivite gerçekleştiren kullanıcıyı “UserID” ile belirterek biraz daha derinleşiyoruz.

OfficeActivity

| where LogonUserDisplayName == “”

| where UserId == “[email protected]

Azure Sentinel

Çıkan sonuçta da görüldüğü gibi Set-Mailbox komutu çalıştırılarak posta kutularında Audit ayarlarının yapıldığını görebiliyoruz.

Sentinel – Exchange Online Dashbord baktığımda ise şüpheli aktiviteler raporunda “set-mailbox” komutunun 7 kez çalıştırıldığını görebiliyorum.

Azure Sentinel

Arzu ederseniz bu çıktılar ile alarm set edebilir ya da desteklenen ITSM çözümleri ile entegre edebilirisiniz.

Aşağıdaki sorguyu Exchange üzerinde “set-mailbox” komutunu kullananları bulmak için kullanabilirsiniz.

OfficeActivity

| where OfficeWorkload == ‘Exchange’

| where Operation == “Set-Mailbox”

Bir sonraki makalede Azure Active Directory , Azure Information Protection gibi kaynakları ekleyip devam ediyor olacağız.

Faydalı olması dileğimle.

Makale serisinin diğer yazıları:

Azure Sentinel & Bölüm1 

Azure Sentinel & Bölüm2

Azure Sentinel & Bölüm4