Bu makaleye herkesin kullandığı, tanıdığı Office 365 hizmetini bağlayarak başlayalım. Bunun için ” Data connectors” ile ilerleyip “Office 365 Connector” ayarlarını yapıyoruz. Bu bağlantıyı sağlamak için Office 365 bağlayacağınız hesap “Global Admin” rolünde olması gerekiyor.
Resim-1
“Add Tenant” ile gerekli bilgileri girip, aşağıda paylaştığım izinler için onay vermeniz gerekiyor.
Resim-2
Bence buradaki en önemli nokta birden fazla Office 365 kiracı hesabını (tenant) ekleyebiliyorsunuz.
Böylece tek merkezden tüm aktivite kayıtlarını toplayıp analiz edebilirsiniz.
Sonraki seçenek ise hangi kayıtları toparlamak istediğinize göre belirleyeceğiniz sekme, Exchange ve Sharepoint kayıtlarını aktif edebilirsiniz.
Bu seçimi yaparken Exchange Online üzerinde “mailbox audit” konfigürasyonu kontrol etmenizi öneririm.
Bunun için Office 365 hizmetlerine PowerShell ile bağlanıp konfigürasyonu kontrol edip aktifleştirebiliriz.
Komutları aşağıda paylaştım.
- $UserCredential = Get-Credential
- Username – password
- $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
- Import-PSSession $Session
- Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled $true
- Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
- Get-mailbox | select UserPrincipalName, auditenabled, AuditDelegate, AuditAdmin
Bu konfigurasyonu da doğruladıktan sonra artık Microsoft’un hazırladığı “dashboard” larını şecip kullanabiliyoruz.
Şu an için Office 365 hizmetleri özelinde 3 adet “Dashboard” bulunmakta;
Resim-3
Her biri farklı aktivite ile ilgili görünüm ile hazırlandığından hepsini aktif ettim. Şu an için toplamda 26 çözüm aktif edebiliyorsunuz ve çok hızlı bir şekilde bu sayının artacağına emin olabilirisiniz.
Exchange Online görümüne gittiğimizde biraz önce yaptığımız yönetici aktivitesi olan “Audit Log” konfigürasyonun yansıdığını görmeniz gerekiyor.
Resim-4
Bir sonraki makalede dataların toplandığı “Log Analytics workspace” ayarlarına ve sorgu diline göz atacağız.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Azure sentinel nedir, azure sentinel, azure siem,sentinel ile office 365 izleme, azure sentinel ayarları