1. Ana Sayfa
  2. Microsoft Azure
  3. AI+ML+SIEM = Azure Sentinel – Azure Sentinel Yetenekleri – Bölüm 1

AI+ML+SIEM = Azure Sentinel – Azure Sentinel Yetenekleri – Bölüm 1

AI+ML+SIEM = Azure Sentinel – Azure Sentinel Yetenekleri – Bölüm 1

BT ortamları, bulut kullanım senaryoları ile birlikte daha hızlı şekilde büyüyerek kurumlara birçok konuda esnek çözümler sağlıyor. Bununla birlikte gelen dağınık yapı özellikle güvenlik ekipleri için yönetimi zorlaştırıyor. Bu sebeple bilgi ve olay yönetimi (SIEM) her zamankinden daha önemli hale geldi.

Güvenlik terimlerine aşina olmayanlar için;

SIEM ‘i en kısa şekilde anlatmak gerekirse “Ne oldu” sorusuna “Bilmiyorum” cevabını vermemek için kullanılan teknolojidir.

SIEM çözümleri veri analizi, olay korelasyonu, veri toplama ve raporlamanın yanı sıra log yönetimide sağlar.

Azure ve Office 365 gibi uzun süredir kullandığımız hizmetlerde bu konu nasıl çözümleniyordu sorusu aklınıza gelirse;

Office 365 “Güvenlik ve Uyumluluk” merkezindeki “Audit Log” çözümü ile kullanıcı ve yönetici aktivitelerini araştırıp gerektiğinde veriyi dışarıya çıkarma şansına sahipsiniz. Yalnız bu çözüm size 90 gün geriye kadar olan veriler üzerinde araştırma yapmanıza olanak sağlıyor.

Şu anda “Preview” olan özelliği ise E5 lisansına sahip olan kiracılar için ise 1 yıla dönük saklanabilecek.

Azure ‘da ise kullanıcı, yönetici aktivitelerinden (90 günlük) , sanal sunucuların “diagnostics” kayıtlarına kadar Azure’da kullandığınız hemen hemen tüm servislerin operasyonel ,event,Access,alarm gibi bir çok kanaldan Azure portal, Azure CLI, PowerShell ve Azure Monitor REST API ile bir çok farklı yol ile kayıtları izleyip , verileri istediğiniz şekilde dışarıya alabilir yada eğer kullanıyorsanız SIEM çözümleri (Splunk, HP ArcSight, ve IBM QRadar) ile entegre edebilirsiniz.

Genel olarak açıkladığım bu yöntemlerin ortak noktası Cloud üzerinde oluşan verilerin dışarıya aktarılması ve şirket içi çözümlere entegre edilmesi yoluyla istenilen noktaya gelinmesini sağlıyordu.

O zaman şu soru yerinde olur, Nedir bu ?

Microsoft ‘un açıklaması şöyle “Azure Sentinel, işletmeler arasında giderek artan karmaşık saldırıların, artan alarmların, uzun soluklu çözüm sürelerinin stresini hafifleten kuşbakışı görünümünüzdür.”

Neler Yapabilir;

  • Veriyi şirket içi, bulut ortamı bakmadan birçok farklı kanaldan toplayabilir
  • Microsoft’un analitik ve benzersiz tehdit zekasını kullanarak tehditleri tespit eder.
  • Yapay zekâ ile tehditleri araştırır
  • Tehditlere karşı en kısa sürede yanıt verip otomasyon sağlar.


Resim-1

Azure Sentinel bu noktada bize neler katacak merak ediyorsanız;

Azure’da veya başka bir bulut çözümünde ya da kaynakların şirket içinde bulunup bulunmadıklarına bakmadan, uygulamalarınız, hizmetleriniz, altyapınız, ağlarınız ve kullanıcılarınızdaki tüm güvenlik kaynaklarının ve günlüklerinin sinyallerini ilişkilendirerek çalışır.

Yapay zekâ ve makine öğrenme metotları desteği ile gerçekten dikkatinizi vermeye değer anomaliler için uyarılar sağlar.

Sentinel ‘in veri toplandığı kanallara bakacak olursak,

Azure AD Identity Protection, Microsoft Cloud Application Security, Azure Security Center, Microsoft Graph Security API, DNS, Syslog F5, Palo Alto Networks, Checkpoint, Cisco ASA , F5 , AWS gibi bir çok kanalı konfigure edebiliyoruz.

Ayrıca Office 365 etkinlik verilerini Azure Sentinel‘e ücretsiz olarak bağlayabiliyoruz.


Resim-2

Şu an için Preview olan çözümü bu süre boyunca ücretsiz olarak kullanabilirsiniz.

Unutmadan; Microsoft, Azure Sentinel için Preview süresince herhangi SLA sağlamadığından Prod ortamlara konumlandırmayı önermiyor.

Bir sonraki makalede Sentinel’i farklı kaynaklara bağlayıp yavaş yavaş veri toplayıp analiz için hazır hale getireceğiz.

Faydalı olması dileğimle…

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

https://www.mshowto.org

https://docs.microsoft.com/en-us/azure/security/azure-log-audit

https://docs.microsoft.com/en-us/office365/securitycompliance/search-the-audit-log-in-security-and-compliance

https://docs.microsoft.com/tr-tr/azure/sentinel/overview

https://www.msspalert.com/cybersecurity-services-and-products/siem/microsoft-azure-sentinel-beta-tests/

TAGs : Azure Sentinel, , , , , , , ,

Yorum Yap

Yazar Hakkında

1979 İstanbul doğumludur. Trakya Üni. Elektronik Bölümünü bitirdikten sonra sektörün önde gelen entegratör firmalarında çeşitli pozisyonlarda çalışmış şuan da Netaş’da Kurumsal Uygulama Çözümleri Danışmanı olarak çalışmaktadır. Yaklaşık olarak 12 yıldır Bilgi Teknolojileri sektörünün içerisinde hizmet vermekte olup özellikle son 7 yıldır profesyonel olarak Microsoft Teknolojileri üzerine uzmanlaşmıştır.

Yorum Yap