Azure Sentinel Yapılandırılması
Bir önceki makalemizde Microsoft’un bulut tabanlı SIEM çözümü olan Azure Sentinel hakkında giriş bilgileri vermiştik. http://www.msazureturkey.com/azure-sentinel/ Bu makalemizde de Azure Sentinel’i nasıl yapılandırabileceğimizi bahsedeceğim.
- Azure Portal ekranında arama bölümüne Azure Sentinel yazarak başlayalım.
- Bundan sonra kullanmak istediğiniz workspace’i seçmelisiniz veya yeni bir tane oluşturabilirsiniz. Azure Sentinel’i birden fazla çalışma alanında çalıştırabilirsiniz, ancak veriler tek bir çalışma alanına izole edilir.
- Bu entegrasyon sonunda artık kaynaklarımızı Azure Sentinel’e bağlamamız gerekiyor.
- Örneğimiz için Azure Active Directory için Azure AD Sign-in logs ve Azure AD Audit Logs’ları bağlıyoruz. Recommended dashboards bölümünden isterseniz dahsboardları da ekleyebilirsiniz.
- Bir sonraki kaynağımız için Security Events ekliyoruz.
- Azure Activity loglarını toplamak için connector’ü yapılandırıyoruz.
- Office 365 ile ilgili logları toplamak için Office 365 konektörünü ekliyoruz.
Yapılandırmalardan sonra bir süre verilerin toplanması için beklememiz gerekiyor. Daha sonra dashboardlarınız aşağıdaki gibi görülecektir.
Azure AD Sign-In
Azure AD Audit
Azure Activity
Office 365
Exchange Online
SharePoint & OneDrive