Azure Sentinel Yapılandırılması

Bir önceki makalemizde Microsoft’un bulut tabanlı SIEM çözümü olan Azure Sentinel hakkında giriş bilgileri vermiştik. http://www.msazureturkey.com/azure-sentinel/ Bu makalemizde de Azure Sentinel’i nasıl yapılandırabileceğimizi bahsedeceğim.

  • Azure Portal ekranında arama bölümüne Azure Sentinel yazarak başlayalım.
  • Bundan sonra kullanmak istediğiniz workspace’i seçmelisiniz veya yeni bir tane oluşturabilirsiniz. Azure Sentinel’i birden fazla çalışma alanında çalıştırabilirsiniz, ancak veriler tek bir çalışma alanına izole edilir.
  • Bu entegrasyon sonunda artık kaynaklarımızı Azure Sentinel’e bağlamamız gerekiyor.
  • Örneğimiz için Azure Active Directory için Azure AD Sign-in logs ve Azure AD Audit Logs’ları bağlıyoruz. Recommended dashboards bölümünden isterseniz dahsboardları da ekleyebilirsiniz.
  • Bir sonraki kaynağımız için Security Events ekliyoruz.
  • Azure Activity loglarını toplamak için connector’ü yapılandırıyoruz.
  • Office 365 ile ilgili logları toplamak için Office 365 konektörünü ekliyoruz.

Yapılandırmalardan sonra bir süre verilerin toplanması için beklememiz gerekiyor. Daha sonra dashboardlarınız aşağıdaki gibi görülecektir.

Azure AD Sign-In

Azure AD Audit

Azure Activity

Office 365

Exchange Online

SharePoint & OneDrive

Facebooktwitterredditpinterestlinkedinmailby feather

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.