1. Ana Sayfa
  2. Microsoft Azure
  3. AI+ML+SIEM = Azure Sentinel – Bölüm 2 – Kaynakları Bağlama (Office 365)

AI+ML+SIEM = Azure Sentinel – Bölüm 2 – Kaynakları Bağlama (Office 365)

AI+ML+SIEM = Azure Sentinel – Bölüm 2 – Kaynakları Bağlama (Office 365)

Bu makaleye herkesin kullandığı, tanıdığı Office 365 hizmetini bağlayarak başlayalım. Bunun için ” Data connectors” ile ilerleyip “Office 365 Connector” ayarlarını yapıyoruz. Bu bağlantıyı sağlamak için Office 365 bağlayacağınız hesap “Global Admin” rolünde olması gerekiyor.

Resim-1

“Add Tenant” ile gerekli bilgileri girip, aşağıda paylaştığım izinler için onay vermeniz gerekiyor.

Resim-2

Bence buradaki en önemli nokta birden fazla Office 365 kiracı hesabını (tenant) ekleyebiliyorsunuz.

Böylece tek merkezden tüm aktivite kayıtlarını toplayıp analiz edebilirsiniz.

Sonraki seçenek ise hangi kayıtları toparlamak istediğinize göre belirleyeceğiniz sekme, Exchange ve Sharepoint kayıtlarını aktif edebilirsiniz.

Bu seçimi yaparken Exchange Online üzerinde “mailbox audit” konfigürasyonu kontrol etmenizi öneririm.

Bunun için Office 365 hizmetlerine PowerShell ile bağlanıp konfigürasyonu kontrol edip aktifleştirebiliriz.

Komutları aşağıda paylaştım.

  • $UserCredential = Get-Credential
  • Username – password
  • $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  • Import-PSSession $Session
  • Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled $true
  • Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  • Get-mailbox | select UserPrincipalName, auditenabled, AuditDelegate, AuditAdmin

Bu konfigurasyonu da doğruladıktan sonra artık Microsoft’un hazırladığı “dashboard” larını şecip kullanabiliyoruz.

Şu an için Office 365 hizmetleri özelinde 3 adet “Dashboard” bulunmakta;

Resim-3

Her biri farklı aktivite ile ilgili görünüm ile hazırlandığından hepsini aktif ettim. Şu an için toplamda 26 çözüm aktif edebiliyorsunuz ve çok hızlı bir şekilde bu sayının artacağına emin olabilirisiniz.

Exchange Online görümüne gittiğimizde biraz önce yaptığımız yönetici aktivitesi olan “Audit Log” konfigürasyonun yansıdığını görmeniz gerekiyor.

Resim-4

Bir sonraki makalede dataların toplandığı “Log Analytics workspace” ayarlarına ve sorgu diline göz atacağız.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: nedir, , ,, ayarları

Yorum Yap

Yazar Hakkında

1979 İstanbul doğumludur. Trakya Üni. Elektronik Bölümünü bitirdikten sonra sektörün önde gelen entegratör firmalarında çeşitli pozisyonlarda çalışmış şuan da Netaş’da Kurumsal Uygulama Çözümleri Danışmanı olarak çalışmaktadır. Yaklaşık olarak 12 yıldır Bilgi Teknolojileri sektörünün içerisinde hizmet vermekte olup özellikle son 7 yıldır profesyonel olarak Microsoft Teknolojileri üzerine uzmanlaşmıştır.

Yorum Yap