1. Ana Sayfa
  2. Microsoft Azure
  3. Azure Sentinel – Bölüm 3 – Kusto Query Language (KQL)

Azure Sentinel – Bölüm 3 – Kusto Query Language (KQL)

032619_0738_AzureSentin4.png

’i test etmeye karar verdiyseniz ön gereksinim olarak workspace oluşturmanız gerekmektedir.

Resim-1

Öncelikle workspace nedir , niçin kullanılıyor ve teknolojisi nedir bunlardan kısaca bahsetmek istiyorum.

Azure Log Analytics özünde bir log toplama aracıdır. Toplanan verilerin konsolide edilmesi, birleştirilmesi ve analiz edilmesi için güçlü bir sorgu dili kullanır.

Microsoft Operations Management Suite (OMS) kullananların uzun süredir bildiği, Log Analytics yetenekleri sayesinde kendi alanında markalaşan başarılı bir çözümden bahsediyoruz.

Microsoft ; bir süre önce OMS paketine birçok yeni yetenek ekleyerek Azure Monitor çözümünü sundu ve Azure Log Analytics bu çözümün amiral gemisi olarak sürecine devam ediyor.

Azure Sentinel’de alt yapı olarak Log Analytics kullandığı için bu çözümü de anlamak ve gerektiğinde sorgu yazabilmek önemli bir hale geliyor.

Peki nedir bu sorgu dili diyorsanız ;

Azure Log Analytics ; (KQL) sorgu dilini kullanır. Bu sorgu dili “read-only” istekler göndererek sonucu en hızlı şekilde getirmeyi sağlayan “big data” için geliştirilen çözümdür.

Azure Log Analytics, Azure Security Center, Azure Application Insights, Windows Defender Advanced Threat Protection gibi servislerde bu sorgu dili kullanıldığından bu tip çözümleri kullanıyor ve ilgi duyuyorsanız Kusto Query Language (KQL) haşır neşir olmanızı öneririm.

Kullanımı gayet kolay ve hızlıca alışacağınız bu sorgu dili için ücretsiz olarak internet üzerinden eğitim alabileceğiniz bir kaynak mevcut. Pluralsight üzerinden aşağıdaki eğitim ile gerçekten iyi bir noktaya gelebilirsiniz.

https://app.pluralsight.com/library/courses/kusto-query-language-kql-from-scratch/table-of-contents

Kusto (KQL) öğrendiğimize göre

Azure Sentinel – Logs ‘sekmesi ile Kusto’yu kullanmaya başlayabiliriz.

Örnek senaryo olarak gün içerisinde aktivite yapan kullanıcıları listeleyelim.

Bunun için aşağıdaki sorguyu çalıştırabilirsiniz.

OfficeActivity

| where LogonUserDisplayName == “”

Resim-2

Çıkan sonuçların üzerinde biraz daha araştırma yapıp çıktıyı daha anlamlı hale getirmek için birçok aktivite gerçekleştiren kullanıcıyı “UserID” ile belirterek biraz daha derinleşiyoruz.

OfficeActivity

| where LogonUserDisplayName == “”

| where UserId == “ozgur@microsoftdemocenter.com”

Resim-3

Çıkan sonuçta da görüldüğü gibi Set-Mailbox komutu çalıştırılarak posta kutularında Audit ayarlarının yapıldığını görebiliyoruz.

Sentinel – Exchange Online Dashbord baktığımda ise şüpheli aktiviteler raporunda “set-mailbox” komutunun 7 kez çalıştırıldığını görebiliyorum.

Resim-4

Arzu ederseniz bu çıktılar ile alarm set edebilir ya da desteklenen ITSM çözümleri ile entegre edebilirisiniz.

Aşağıdaki sorguyu Exchange üzerinde “set-mailbox” komutunu kullananları bulmak için kullanabilirsiniz.

OfficeActivity

| where OfficeWorkload == ‘Exchange’

| where Operation == “Set-Mailbox”

Bir sonraki makalede Azure Active Directory , Azure Information Protection gibi kaynakları ekleyip devam ediyor olacağız.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: , azure sentinel, kusto query language nedi, kusto query language

Yorum Yap

Yazar Hakkında

1979 İstanbul doğumludur. Trakya Üni. Elektronik Bölümünü bitirdikten sonra sektörün önde gelen entegratör firmalarında çeşitli pozisyonlarda çalışmış şuan da Netaş’da Kurumsal Uygulama Çözümleri Danışmanı olarak çalışmaktadır. Yaklaşık olarak 12 yıldır Bilgi Teknolojileri sektörünün içerisinde hizmet vermekte olup özellikle son 7 yıldır profesyonel olarak Microsoft Teknolojileri üzerine uzmanlaşmıştır.

Yorum Yap