MS Azure Turkey

My Other Computer is Azure

Azure Sentinel

by · 04 Mart 2019

Geçtiğimiz günlerde yeni nesil bulut tabanlı SIEM ve SOAR çözümü olan Azure Sentinel duyuruldu. Henüz daha Preview olarak yayınlansa da bu makalede özelliklerinden bahsetmek istedim.

Azure Sentinel’e, öncelikle kaynakların bağlanması gerekir. Azure Sentinel; Microsoft Threat Protection çözümleri, Office 365, Azure AD, Azure ATP ve Microsoft Cloud App Security dahil olmak üzere kullanıma hazır ve gerçek zamanlı entegrasyon sağlayan birçok konektörle birlikte gelir. Ek olarak, Microsoft dışı çözümler için daha geniş güvenlik ekosistemine yerleşik konektörler vardır. Veri kaynaklarınızı Azure Sentinel ile bağlamak için ortak olay biçimini, Syslog veya REST-API’yi de kullanabilirsiniz.

Veri kaynaklarını bağladıktan sonra, veri kaynaklarınızdan ustalıkla oluşturulmuş gösterge panolarından oluşan bir galeriden seçim yapabilirsiniz. Her kontrol paneli tamamen özelleştirilebilir – kendi sorgularınız ekleyebilir veya sorguları değiştirebilir veya sıfırdan bir kontrol paneli oluşturabilirsiniz. Gösterge panoları, güvenlik analistlerinin bir saldırı sırasında neler olup bittiğini daha iyi anlamasına yardımcı olmak için gelişmiş analitikler kullanarak etkileşimli görselleştirme sağlar. Araştırma araçları, hızlı bir şekilde tehdit bağlamını geliştirmek için herhangi bir alanda, herhangi bir veriden derinlemesine dalmanıza olanak tanır.

Azure Sentinel, oluşan alarmları azaltmanıza, incelemeniz ve araştırmanız gereken uyarı sayısını en aza indirmenize yardımcı olmak için, uyarıları vakalarla ilişkilendirmek için analitik kullanır. Vakalar, birlikte araştırıp çözebileceğiniz, işlem yapılabilir olası bir tehdit oluşturan ilgili uyarı gruplarıdır. Yerleşik korelasyon kurallarını olduğu gibi kullanabilir veya kendi kurallarınızı oluşturmak için bunları bir başlangıç noktası olarak kullanabilirsiniz. Azure Sentinel ayrıca ağ davranışınızı haritalandırmak ve ardından kaynaklarınız arasında anormallikleri aramak için makine öğrenme kuralları sağlar. Bu analitikler, farklı varlıklar hakkındaki düşük kaliteli uyarıları potansiyel yüksek kaliteli güvenlik olaylarıyla birleştirerek noktaları birleştirir.

Makine öğreniminin (ML) ve kullanıcı analizinin yerel entegrasyonuyla Azure Sentinel, tehditleri hızlı bir şekilde tespit etmeye yardımcı olabilir. Azure Sentinel, kullanıcı davranışını analiz etmek ve Azure Sentinel ile Microsoft 365’teki uyarılarına ve şüpheli etkinlik modellerine dayanarak ilk önce hangi kullanıcıları araştırmanız gerektiğini önceliklendirmek için Azure Advanced Threat Protection ile sorunsuz bir şekilde bütünleşir.

Yaygın görevlerinizi otomatikleştirip, mevcut araçlarınızın yanı sıra Azure hizmetleriyle entegre olan playbook güvenlik düzenlemesini basitleştirebilirsiniz. Azure Logic Apps’i temel alan Azure Sentinel’in otomasyon ve düzenleme çözümü, yeni teknolojiler ve tehditler ortaya çıktıkça ölçeklenebilir otomasyonu sağlayan oldukça genişletilebilir bir mimari sunar. Azure Logic Apps ile playbook oluşturmak için, büyümekte olan yerleşik playbook galerisinden birini seçebilirsiniz. Bunlar, Azure functions gibi hizmetler için 200+ bağlayıcı içerir. Konektörler, kod, ServiceNow, Jira, Zendesk, HTTP istekleri, Microsoft Teams, Slack, Windows Defender ATP ve Cloud App Security’de herhangi bir özel mantık uygulamanıza izin verir. Örneğin, ServiceNow bilet sistemini kullanıyorsanız, iş akışlarınızı otomatikleştirmek ve belirli bir olay tespit edildiğinde ServiceNow’da bir bilet açmak için Azure Logic Apps kullanmak için sağlanan araçları kullanabilirsiniz.

Azure Sentinel derin araştırma araçları, potansiyel bir güvenlik tehdidinin kapsamını ve temel nedenini bulmanıza yardımcı olur. Belirli bir varlık için ilginç sorular sormak için etkileşimli grafikte bir varlık seçebilir ve tehdidin kök nedenini bulmak için bu varlık ve bağlantılarını inceleyebilirsiniz.

Bir uyarı tetiklenmeden önce, kuruluşunuzun veri kaynaklarındaki güvenlik tehditlerini proaktif olarak avlayabilmenizi sağlayan MITRE çerçevesine dayanan Azure Sentinel’in güçlü hunting ve sorgulama araçlarını kullanabilirsiniz. Hangi hunting sorgusunun olası saldırılar için yüksek değerli bilgiler sağladığını keşfettikten sonra, sorgunuza dayanarak özel algılama kuralları da oluşturabilir ve bu bilgileri güvenlik olayı yanıtlayanlar için uyarılar olarak yüzeylendirebilirsiniz. Hunting, ilginç etkinlikler için yer imleri oluşturabilir, daha sonra geri dönmenizi, başkalarıyla paylaşmanızı ve araştırmak için zorlayıcı bir durum oluşturmak için bunları ilişkilendiren diğer etkinliklerle gruplandırmanızı sağlar.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.