Microsoft Sentinel nasıl çalışır?

  • 10 dakika

Daha önce öğrendiğiniz gibi, Microsoft Sentinel uçtan uca güvenlik işlemlerini etkinleştirmenize yardımcı olur. Süreç, günlük alma ile başlar ve güvenlik uyarılarına otomatik yanıt verilene kadar devam eder.

Microsoft Sentinel'in temel özellikleri ve bileşenleri aşağıdadır.

Veri bağlayıcıları

Yapmanız gereken ilk şey, verilerinizin Microsoft Sentinel'e alınıp alınıp alınmamaktır. Veri bağlayıcıları tam olarak bunu yapmanıza olanak sağlar. Yalnızca bir düğmeyi seçerek, Azure etkinlik günlükleri gibi bazı hizmetleri ekleyebilirsiniz. Syslog gibi diğerleri ise çok az yapılandırma gerektirir. Aşağıdakilerle sınırlı kalmamak kaydıyla tüm senaryoları ve kaynakları kapsayan veri bağlayıcıları vardır:

  • syslog
  • Ortak Olay Biçimi (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (tehdit analizi için)
  • Azure
  • AWS hizmetleri

Screenshot that shows a partial list of data connectors in the Microsoft Sentinel UI in the Azure portal.

Günlük saklama

Microsoft Sentinel'e alındıktan sonra verileriniz Log Analytics kullanılarak depolanır. Log Analytics kullanmanın avantajları arasında, verilerinizi sorgulamak için Kusto Sorgu Dili’nin (KQL) kullanılabilmesi yer alır. KQL, verilerinize yakından bakma ve verilerinizden içgörüler elde etme konusunda size çok fazla güç sağlayan zengin bir sorgu dilidir.

Screenshot showing the Log Analytics interface in the Azure portal.

Çalışma Kitapları

Microsoft Sentinel'de verilerinizi görselleştirmek için çalışma kitaplarını kullanabilirsiniz. Çalışma kitaplarını panolar olarak düşünün. Panodaki her bileşen, verilerinizin temel alınan bir KQL sorgusu kullanılarak oluşturulur. Microsoft Sentinel'deki yerleşik çalışma kitaplarını kullanabilir ve bunları kendi gereksinimlerinizi karşılayacak şekilde düzenleyebilir veya sıfırdan kendi çalışma kitaplarınızı oluşturabilirsiniz. Azure İzleyici çalışma kitaplarını kullandıysanız, Sentinel'in çalışma kitaplarını izleme uygulaması olduğundan bu özellik size tanıdık gelecek.

Screenshot showing an example of a workbook in Microsoft Sentinel.

Analiz uyarıları

Şimdiye kadar, günlükleriniz ve bazı veri görselleştirmeleriniz oldu. Şimdi şüpheli bir durum oluştuğunda size bildirilmesi için verileriniz üzerinde bazı proaktif analizler yapmanız çok iyi olabilir. Sentinel çalışma alanınızda yerleşik analiz uyarılarını etkinleştirebilirsiniz. Bazılarını kendi gereksinimlerinize göre düzenleyebileceğiniz çeşitli uyarı türleri vardır. Bazı uyarılar, Microsoft’un özel mülkiyetindeki yerleşik makine öğrenmesi modelleridir. Ayrıca sıfırdan özel zamanlanmış uyarılar da oluşturabilirsiniz.

Screenshot showing some of the built-in analytics alerts available in a Microsoft Sentinel workbook.

Tehdit avcılığı

Bu modülde tehdit avcılığının ayrıntısına inmeyeceğiz. Ancak SOC analistlerinin şüpheli etkinliği avlaması gerektiğinde kullanabilecekleri bazı yerleşik avlanma sorguları vardır. Analistler kendi sorgularını da oluşturabilir. Sentinel, Azure Notebooks ile de tümleştirilir. Bu, verilerini avlamak için programlama dilinin tüm gücünden yararlanmak isteyen ileri düzey avcılar için örnek not defterleri sağlar.

Screenshot showing the threat-hunting interface in Microsoft Sentinel.

Olaylar ve araştırmalar

Etkinleştirdiğiniz bir uyarı tetiklendiğinde bir olay oluşturulur. Microsoft Sentinel'de, durumu değiştirme veya araştırma için kişilere olay atama gibi standart olay yönetimi görevlerini gerçekleştirebilirsiniz. Microsoft Sentinel ayrıca araştırma işlevlerine de sahiptir, bu nedenle varlıkları bir zaman çizelgesi boyunca günlük verileri arasında eşleyerek olayları görsel olarak araştırabilirsiniz.

Screenshot showing an incident-investigation graph within Microsoft Sentinel.

Otomasyon playbook'ları

Olaylara otomatik olarak yanıt verebilmeniz sayesinde, bazı güvenlik operasyonlarınızı otomatikleştirebilir ve SOC’nizi daha üretken hale getirebilirsiniz. Microsoft Sentinel, olaylara yanıt olarak otomatik iş akışları veya playbook'lar oluşturmanıza olanak tanır. Bu işlev, olay yönetimi, zenginleştirme, araştırma ve düzeltme işlemleri gerçekleştirmek için kullanılabilir. Bu yetenekler genellikle güvenlik düzenlemesi, otomasyonu ve yanıtı (SOAR) olarak adlandırılır.

Screenshot showing a Microsoft Sentinel Automation, with the Create options highlighted.

SOC Analisti olarak artık Microsoft Sentinel'in hedeflerinize ulaşmanıza nasıl yardımcı olabileceğini görmeye başlıyorsunuz. Örneğin, şunları yapabilirsiniz:

  • Bulut ve şirket içi ortamlarınızdan verileri alma.
  • Bu veriler üzerinde analiz gerçekleştirme.
  • Oluşan tüm olayları yönetme ve araştırma.
  • Akış planlarını kullanarak belki de otomatik olarak yanıt verme.

Başka bir deyişle Microsoft Sentinel, güvenlik operasyonlarınız için uçtan uca bir çözüm sunar.