Azure Sentinel'i kullanarak kurumsal güvenliği analiz etme

Tamamlandı

Finans kuruluşunuz sürekli müşteriler ve iş ortaklarıyla ilgileniyor. Kuruluşunuz dünyanın farklı bölgelerinde de faaliyet gösteriyor. Her gün çok sayıda işlem gerçekleşir. Her işlemin, işleme dahil olan cihaza ya da kullanıcılara ve işlem türüne bakılmaksızın izlenmesi ve korunması gerekiyor. Daha önceki araştırmanızı genişletmeniz, kuruluş genelinde güvenlik ve izlemeye odaklanmanız istendi.

Azure Sentinel'in kuruluşunuz genelinde güvenlik tehditlerini izlemeye ve yanıtlamaya nasıl yardımcı olduğunu ayrıntılarıyla açıklayacaksınız.

Azure Sentinel'i değerlendirme ölçütleri

Şunları yapmak Azure Sentinel kullanırsiniz:

  • Birden çok bulut ve şirket içi konumlar genelinde olabilecek, kuruluş hakkında ayrıntılı bir genel bakış elde.
  • Karmaşık ve birbirinden ayrı araçlara bağlı olmaktan kaçının.
  • Kuruluş genelindeki tehditleri belirlemek ve işlemek için uzmanlar tarafından yapılan kurumsal sınıf AI'yi kullanın.

Veri kaynaklarınıza bağlanma

Azure Sentinel kaynağını Azure portalında oluşturursunuz. Bu kaynağı oluşturma işlemi bir Log Analytics çalışma alanı oluşturmayı ve bunu Sentinel'e eklemeyi içerir.

Çalışma alanı oluşturmanın SCreenshot'ı.

Sentinel kaynağını oluşturduğunuzda kuruluşunuz için veri kaynaklarını bağlamanız gerekir. Sentinel, bağlayıcılar aracılığıyla Azure Active Directory ve Office 365 gibi Microsoft çözümleriyle tümleşiktir. Ayrıca Microsoft dışı çözümlerin bağlayıcılarını da içerir. Sentinel'in diğer veri kaynaklarına bağlanmanızı sağlayan bir de REST API'si vardır.

Sentinel panosunu kullanarak tüm veri bağlayıcılarınızı görüntüleyebilirsiniz.

Veri bağlayıcılarının ekran görüntüsü.

Veri kaynağınız için uygun veri bağlayıcısını seçin. Ardından bağlayıcınız için önkoşullara bakın ve veri kaynağınıza başarıyla bağlanmak için bunları ele alın.

Alınan verilerin SCreenshot'ı.

Veri kaynağını bağladığınızda günlükleriniz Sentinel'le eşitlenir. Bağlayıcınızın ALINAN VERİLER grafında toplanan verilerin özetini görürsünüz. Ayrıca kaynak için toplanmış olan farklı veri türleri de gösterilir. Örneğin Azure Active Directory bağlayıcısı sizin için oturum açma günlüklerini ve denetim günlüklerini toplar.

Kuruluşunuzu izlemek için uyarıları kullanma

Veri kaynaklarınız bağlandığında Sentinel kuruluşunuzu izlemeye başlar. Anomalileri ve tehditleri daha akıllı bir şekilde araştırmak için uyarı kuralları yapılandırabilirsiniz.

Uyarı haritasının SCreenshot'ı.

Uyarı kuralları oluşturmanız gerekir. Bu kurallar uyarı verilmesi gereken tehditleri ve etkinlikleri belirtmenize olanak tanır. Bunlara el ile yanıt verebilir veya otomatik yanıtlar için playbook'ları kullanabilirsiniz.

Tüm uyarıları görüntüleme ekran görüntüsü.

Sentinel panonuzun analiz bölmesinde elinizdeki tüm kuralları görüntüleyebilirsiniz. Ayrıca burada yeni kurallar da oluşturabilirsiniz.

Uyarı kuralı oluşturmanın SCreenshot'ı.

Bir kural oluşturduğunuzda bu kuralın en baştan etkinleştirilmesi veya devre dışı bırakılması gerektiğini belirtmelisiniz. Ayrıca uyarının önem derecesini ve kural sorgusunu da belirtirsiniz.

Örneğin, Azure'da şüpheli sayıda sanal makine oluşturul mu yoksa güncelleştiril mi olduğunu bulmak için aşağıdaki sorguyu çalıştırın. Ayrıca bu sorguyu, kaynaklar için şüpheli sayıda dağıtım olup olmadığını keşfetmek için de kullanırsınız.

AzureActivity
 | where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
 | where ActivityStatus == "Succeeded"
 | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

Sorgu zamanlama bölümünde sorgunun ne sıklıkta ve hangi veri dönemiyle araması gerektiğini ayarlayabilirsiniz. Uyarı eşiği bölümünde uyarının ne zaman tetikleneceğini belirtirsiniz.

Olayları araştırma

Sentinel, oluşturulmuş uyarılarınızı daha fazla araştırma yapmak için olaylarda bir araya getirir.

Olaylarınızı kaç tane kapatmış ve kaç tane açık kaldı gibi ayrıntıları görmek için Olaylar bölmesini kullanın. Ayrıca bu bölmeyi kullanarak olayın ne zaman gerçekleştiğini bulup önem derecesini belirlersiniz.

Olayları SCreenshot.

Araştırmaya başlamak için bir olay seçersiniz. Olayla ilgili bilgileri sağ tarafta görürsünüz. Daha fazla bilgi edinmek için Tam ayrıntıları görüntüle’yi seçin.

Olay ayrıntısı SCreenshot.

Bu olayla eşlenmiş birden çok varlık olduğunu görüyorsunuz. Bir olayı araştırmak istediğinizde, Yeni olan durum değerini Devam ediyor olarak ayarlar ve bunu bir sahibe atarsınız.

Olay sahibinin ekran görüntüsü.

Böylece artık araştırmaya hazırsınız. Araştır'ı seçtiğinizde bir araştırma haritası alırsınız. Bir olaya ve etkilenen kapsama neyin neden olduğunu daha iyi anlamak için haritayı kullanırsınız. Olayı çevreleyen verilerin bağıntısını sağlamak için de haritayı kullanırsınız.

Araştırma haritasının ekran görüntüsü.

Araştırma haritası olayda detaya gitmenize olanak tanır. Örneğin olayın bir parçası olduğu belirlenmiş kullanıcı hakkındaki ayrıntıları alabilirsiniz.

Varlığın SCreenshot'ı.

Bir varlığın üzerine gelirseniz Microsoft'un güvenlik analistleri ve uzmanları tarafından tasarlanmış inceleme sorgularının listesini de görürsünüz. İnceleme sorgularını kullanarak daha etkili bir araştırma yapabilirsiniz.

Keşif sorgularının ekran görüntüsü.

Araştırma haritası size belirli bir zamanda hangi olayın oluştuğunu anlamanıza yardımcı olan bir zaman çizelgesi de verir. Bir tehdidin zaman içinde izlemiş olabileceği yolu anlamak için zaman çizelgesi özelliğini kullanın.

Zaman çizelgesinin ekran görüntüsü.

Tehditlere playbook'larla yanıt verme

Playbook'lar Sentinel'de tehditleri otomatik olarak yanıtlamanıza yardımcı olabilir. Sentinel panonuzun Playbook'lar bölmesinde yeni playbook oluşturursunuz.

Sentinel playbook'larının ekran görüntüsü.

Mantıksal uygulama oluşturarak yeni bir playbook eklersiniz.

Mantıksal uygulama oluşturmanın SCreenshot'ı.

Azure Logic Apps Tasarımcısı'nı kullanarak yeni ve boş bir mantıksal uygulama yapılandırırsınız.

Logic Apps Designer'ın SCreenshot'ı.

İlgili bağlayıcıları Azure Sentinel tetikleyicilerini bulmak için ilgili bağlayıcıları ve tetikleyicileri bulun.

Arama sonuçlarının ekran Azure Sentinel.

İstediğiniz tetikleyiciyi seçin. Ardından Sentinel uyarısına bir yanıt tetiklendiğinde neler olması gerektiğini ayrıntılarıyla açıklayan bir adım adım işlem bir araya getirebilirsiniz. Böylece bir playbook yapılandırdınız.

Playbook'un tamamlandıktan sonra ekran görüntüsü.

Playbook'unuzu yapılandırdığınızda, bunun uyarı kurallarınıza işaret etmesini sağlayabilirsiniz. Örneğin aşağıdaki uyarı kuralı ProcessExecuted adlı playbook'u tetikler.

Playbook tetiklemenin SCreenshot'ı.

Bilginizi ölçün

1.

Azure Sentinel'i neden kullanabilirsiniz?

2.

Azure'da Azure Sentinel'i nasıl ayarlarsınız?

3.

Sentinel bir olay oluşturdu. Hangi kullanıcıların etkileneceğini nasıl araştırabilirsiniz?