AI+ML+SIEM = Azure Sentinel – Bölüm 2 – Kaynakları Bağlama (Office 365)
  1. Anasayfa
  2. Microsoft Azure
  3. Alakalı Konular

AI+ML+SIEM = Azure Sentinel – Bölüm 2 – Kaynakları Bağlama (Office 365)

Özgür Çebi tarafından
25/03/2019 Okuma süresi: 1dk, 42sn
0

Bu makaleye herkesin kullandığı, tanıdığı Office 365 hizmetini bağlayarak başlayalım. Bunun için ” Data connectors” ile ilerleyip “Office 365 Connector” ayarlarını yapıyoruz. Bu bağlantıyı sağlamak için Office 365 bağlayacağınız hesap “Global Admin” rolünde olması gerekiyor.

Resim-1

“Add Tenant” ile gerekli bilgileri girip, aşağıda paylaştığım izinler için onay vermeniz gerekiyor.

Resim-2

Bence buradaki en önemli nokta birden fazla Office 365 kiracı hesabını (tenant) ekleyebiliyorsunuz.

Böylece tek merkezden tüm aktivite kayıtlarını toplayıp analiz edebilirsiniz.

Sonraki seçenek ise hangi kayıtları toparlamak istediğinize göre belirleyeceğiniz sekme, Exchange ve Sharepoint kayıtlarını aktif edebilirsiniz.

Bu seçimi yaparken Exchange Online üzerinde “mailbox audit” konfigürasyonu kontrol etmenizi öneririm.

Bunun için Office 365 hizmetlerine PowerShell ile bağlanıp konfigürasyonu kontrol edip aktifleştirebiliriz.

Komutları aşağıda paylaştım.

  • $UserCredential = Get-Credential
  • Username – password
  • $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  • Import-PSSession $Session
  • Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled $true
  • Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  • Get-mailbox | select UserPrincipalName, auditenabled, AuditDelegate, AuditAdmin

Bu konfigurasyonu da doğruladıktan sonra artık Microsoft’un hazırladığı “dashboard” larını şecip kullanabiliyoruz.

Şu an için Office 365 hizmetleri özelinde 3 adet “Dashboard” bulunmakta;

Resim-3

Her biri farklı aktivite ile ilgili görünüm ile hazırlandığından hepsini aktif ettim. Şu an için toplamda 26 çözüm aktif edebiliyorsunuz ve çok hızlı bir şekilde bu sayının artacağına emin olabilirisiniz.

Exchange Online görümüne gittiğimizde biraz önce yaptığımız yönetici aktivitesi olan “Audit Log” konfigürasyonun yansıdığını görmeniz gerekiyor.

Resim-4

Bir sonraki makalede dataların toplandığı “Log Analytics workspace” ayarlarına ve sorgu diline göz atacağız.

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: Azure sentinel nedir, azure sentinel, azure siem,sentinel ile office 365 izleme, azure sentinel ayarları

Bu İçeriğe Tepkin Ne Oldu?
  • 0
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 0
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!
Etiketler
Özgür Çebi

1979 İstanbul doğumludur. Trakya Üni. Elektronik Bölümünü bitirdikten sonra sektörün önde gelen entegratör firmalarında çeşitli pozisyonlarda çalışmış şuan da Netaş’da Kurumsal Uygulama Çözümleri Danışmanı olarak çalışmaktadır. Yaklaşık olarak 12 yıldır Bilgi Teknolojileri sektörünün içerisinde hizmet vermekte olup özellikle son 7 yıldır profesyonel olarak Microsoft Teknolojileri üzerine uzmanlaşmıştır.

Yazarın Profili
İlginizi Çekebilir
041218_1120_AzureADConn1.png
15/04/2018
Azure AD Connect Kurulumu

Benzer Yazılar

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir