Azure Sentinel Genel Kullanımda: Bulutta Yeniden Tasarlanan Modern bir SIEM
Bu haftanın başlarında, Azure Sentinel’in artık genel olarak erişilebilir olduğu duyuruldu. Bu, bulut dönemi için Güvenlik Bilgileri ve Etkinlik Yönetimini (SIEM) yeniden tanımlama yolculuğunda önemli bir kilometre taşıdır. Azure Sentinel ile dünya çapındaki işletmeler artık güvenlik verilerindeki üstel büyümeye ayak uydurabilir, analist kaynakları eklemeden güvenlik sonuçlarını iyileştirebilir ve donanım ve operasyonel maliyetleri azaltabilir.
Önizleme sırasında 12.000’den fazla denemeden gelen geri bildirimler dahil olmak üzere müşteriler ve iş ortaklarının yardımıyla Azure Sentinel’i, Güvenlik Operasyon Merkezlerinin daha fazlasını başarmasını sağlamak için Azure ve AI’nın gücünü bir araya getirecek şekilde tasarlanmıştır. Bu hafta çevrimiçi olacak birçok yeni özellik var. Burada birkaç tanesinde değineceğim.
Azure Sentinel ile, tüm işletme için güvenliği artırma hedeflenmektedir. Birçok Microsoft ve Microsoft dışı veri kaynağı yerleşik olarak bulunur ve tek bir tıklamayla etkinleştirilebilir. Cloud App Security ve Information Protection gibi Microsoft hizmetleri için yeni bağlayıcılar, dijital mülkünüzdeki verileri almayı ve analiz etmeyi her zamankinden daha kolay hale getirmek için büyüyen bir üçüncü taraf bağlayıcılar listesine katılıyor. Çalışma kitapları verileriniz hakkında bilgi edinmek için zengin görselleştirme seçenekleri sunar. Mevcut bir çalışma kitabını kullanabilir veya değiştirebilir veya kendinizinkini oluşturabilirsiniz.
Artık 100’den fazla yerleşik uyarı kuralı arasından seçim yapabilir veya yeni uyarı sihirbazını kullanarak kendinizinkini oluşturabilirsiniz. Uyarılar tek bir olayla veya bir eşik değerine dayalı olarak veya farklı veri kümeleriyle (örneğin tehdit göstergeleriyle eşleşen olaylar) ilişkilendirilerek veya yerleşik makine öğrenme algoritmaları kullanılarak tetiklenebilir.
Müşterilere yapay zeka avantajlarını karmaşıklık olmadan sunan iki yeni Makine Öğrenimi yaklaşımını bulunmaktadır. İlk olarak, kötü niyetli SSH erişimlerini keşfetmek için Microsoft kimlik hizmetlerinde şüpheli girişleri tanımlamak için kanıtlanmış hazır Makine Öğrenimi modelleri uygulanır. Azure Sentinel, mevcut Makine Öğrenimi modellerinden aktarılan öğrenmeyi kullanarak tek bir veri kümesindeki anormallikleri doğru bir şekilde algılayabilir. Ayrıca, kill chain’deki farklı noktalara yayılan 35 farklı tehdidi tespit etmek için Azure AD anormal oturum açma bilgileri ve şüpheli Office 365 etkinlikleri gibi birden çok kaynaktan veri bağlamak için fusion adı verilen bir Makine Öğrenimi tekniği kullanlmaktadır.
Proaktif tehdit avı, Güvenlik Operasyon Merkezleri için kritik ancak zaman alıcı bir iştir. Azure Sentinel, Jupyter Notebook’larda kullanılmak üzere büyüyen bir av sorguları, keşif sorguları ve python kitaplıkları içeren zengin bir av arayüzü ile avlanmayı kolaylaştırıyor. İlgilenilen olayları tanımlamak ve daha sonra başvurmak üzere yer imlerine eklemek için bunları kullanabilirsiniz.
Olaylar (eski vakalar) daha fazla araştırma gerektiren bir veya daha fazla uyarı içerir. Olaylar artık etiketlemeyi, yorumları ve atamaları destekliyor. Yeni bir kural sihirbazı, hangi Microsoft uyarılarının olayların oluşturulmasını tetiklediğine karar vermenizi sağlar.
Yeni araştırma grafiği önizlemesini kullanarak, bir olayın kapsamını ve etkisini hızla anlamak için kullanıcılar, varlıklar, uygulamalar veya URL’ler gibi girişler, veri aktarımları veya uygulama kullanımı gibi ilgili etkinlikler arasındaki bağlantıları görselleştirebilir ve değiştirebilirsiniz.
Yeni eylemler ve playbooks Azure Logic Apps kullanarak olay otomasyonu ve iyileştirme sürecini basitleştirir. Bir kullanıcı işlemini doğrulamak, bir olayı coğrafi konum verileriyle zenginleştirmek, şüpheli bir kullanıcıyı engellemek ve bir Windows makinesini yalıtmak için bir e-posta gönderebilirsiniz.