Azure Sentinel'i kullanarak güvenlik tehditlerini algılama ve müdahale etme

Tamamlandı

Büyük ölçekli sistemlerde güvenliği yönetmek için ayrılmış bir güvenlik bilgileri ve olay yönetimi (SIEM) sistemi kullanılabilir. SIEM, birçok farklı kaynaktan alınan güvenlik verilerini toplar (bu kaynakların açık standart günlüğe kaydetme biçimini desteklemesi şartıyla). Bu sistem ayrıca tehdit algılama ile müdahale için ek özellikler sunar.

Azure Sentinel, Microsoft'un bulut tabanlı SIEM sistemidir. Akıllı güvenlik analizi ve tehdit analizi özelliklerinden faydalanır.

Azure Sentinel'in özellikleri

Azure Sentinel şunları yapmanızı sağlar:

  • Büyük ölçekteki bulut verilerini toplama

    Hem şirket içi ortamda hem de birden fazla bulutta bulunan tüm kullanıcılardan, cihazlardan, uygulamalardan ve altyapı bileşenlerinden veri toplayın.

  • Daha önce algılanmayan tehditleri algılama

    Microsoft'un kapsamlı analiz ve tehdit analizi bilgilerinden faydalanarak hatalı pozitif sonuçları en aza indirin.

  • Tehditleri yapay zeka ile araştırma

    Microsoft'un uzun yıllar içinde geliştirdiği siber güvenlik deneyimlerinden faydalanarak şüpheli etkinlikleri büyük ölçekte araştırın.

  • Olaylara hızla müdahale edin

    Ortak görevlerin yerleşik düzenleme ve otomasyonunu kullanın.

Veri kaynaklarınıza bağlanma

Tailwind Traders, Azure Sentinel'in özelliklerini keşfetmeye karar veriyor. Şirketin ilk olarak veri kaynaklarını tanımlaması ve bunlarla bağlantı kurması gerekir.

Azure Sentinel, birçok farklı veri kaynağına bağlanarak güvenlik olayları açısından analiz gerçekleştirebilir. Bu bağlantılar, yerleşik bağlayıcılar veya sektör standardı günlük biçimleri ile API'ler aracılığıyla sağlanır.

  • Microsoft çözümlerine bağlanma

    Bağlayıcılar Microsoft Tehdit Koruması çözümleri, Microsoft 365 kaynakları (Office 365 dahil), Azure Active Directory ve Windows Defender Güvenlik Duvarı için gerçek zamanlı tümleştirme sunar.

  • Diğer hizmetlere ve çözümlere bağlanma

    AWS CloudTrail, Citrix Analytics (Security), Sophos XG Firewall, VMware Carbon Black Cloud ve Okta SSO gibi birçok Microsoft harici yaygın hizmet için bağlayıcılar sunulur.

  • Sektör standardı veri kaynaklarına bağlanma

    Azure Sentinel, Ortak Olay Biçimi (CEF) mesajlaşma standardı, Syslog veya REST API kullanan kaynaklarda bulunan verileri destekler.

Tehditleri algılama

Tailwind Traders'ın şüpheli durumların ortaya çıkması halinde bilgilendirilmesi gerekiyor. Şirket, tehditleri algılamak için hem yerleşik analiz özelliklerini hem de özel kuralları kullanmaya karar veriyor.

Yerleşik analizler, Microsoft güvenlik uzmanı ve analist ekibi tarafından bilinen tehditlere, yaygın saldırı vektörlerine ve şüpheli etkinlik yükseltme zincirlerine dayanarak tasarlanmış şablonları kullanır. Bu şablonlar özelleştirilebilir ve ortam genelinde tarama yaparak şüpheli görünen etkinlikleri tespit edebilir. Microsoft'a özgü algoritmaları temel alan makine öğrenmesi destekli davranış analizinden faydalanan şablonlar da vardır.

Özel analiz, ortamınızdaki belirli kriterleri aramak için oluşturduğunuz kurallardır. Sorgunun oluşturacağı sonuç sayısı için önizleme yapabilir (günlüğe kaydedilmiş geçmiş olaylara göre) ve sorgunun çalıştırılacağı zamanı belirleyebilirsiniz. Ayrıca uyarı eşiği de ayarlayabilirsiniz.

Araştırma ve müdahale etme

Azure Sentinel şüpheli olayları algıladığında Tailwind Traders ilgili uyarıları veya olayları (ilgili uyarılardan oluşan grup) araştırabilir. Araştırma grafı ile şirket, uyarıya doğrudan bağlı varlıklardan bilgileri gözden geçirebilirsiniz ve araştırmada yol gösterirken sık kullanılan keşif sorgularını görebilir.

Araştırma grafı, verilerde nasıl göründüğünü gösteren bir Azure Sentinel.

Azure Sentinel içinde örnek olay araştırma grafı.

Şirket ayrıca tehditlere yanıt Azure İzleyici playbook'ları da kullanacak. Örneğin ekip, ağa erişen kötü amaçlı IP adreslerini arayan bir uyarı ayarlayabilir ve aşağıdaki adımları gerçekleştiren bir çalışma kitabı oluşturabilir:

  1. Uyarı tetiklendiğinde BT sisteminde bir bilet açma.

  2. Güvenlik analistlerini olayla ilgili bilgilendirmek için Microsoft Teams veya Slack içindeki güvenlik operasyonu kanalında bir ileti gönderme.

  3. Uyarıda yer alan tüm bilgileri üst düzey ağ yöneticisine ve güvenlik yöneticisine gönderin. E-posta iletisi iki kullanıcı seçeneği düğmesi içerir: Engelle veya Yoksay.

Bir yönetici Engelle'yi seçtiklerinden, IP adresi güvenlik duvarında engellenir ve kullanıcı güvenlik duvarında Azure Active Directory. Bir yönetici Yoksay'ı seçerse uyarı Azure Sentinel ve OLAY, IT bilet sisteminde kapatılır.

Playbook, yöneticilerden bir yanıt aldığında da çalıştırmaya devam eder.

Playbook'lar, bir kural uyarı tetikleyene kadar el ile veya otomatik olarak çalıştırılabilir.