Anasayfa » Azure Sentinel Adım Adım Bulut SIEM Kullanımı – Bölüm8 – Incidents

Makaleyi Paylaş

Microsoft Azure

Azure Sentinel Adım Adım Bulut SIEM Kullanımı – Bölüm8 – Incidents

Makalemin bundan önceki bölümlerinden özellikle Microsoft sistemleri başta olmak üzere Sentinel için pek çok veri kaynağından nasıl logları toplayabileceğimizi anlatmıştım. Bu bölümde ise topladığımız bu verilerden anlamlı olayları nasıl oluşturabileceğimizi göreceğiz. Öncelikle bu konuda çok kafa karıştıran bir soru ile başlamak istiyorum. Alert ile Incident farkı nedir? Temel fark aslında Incident yani olay, bir den çok alert yani uyarı grubunun bir arada kullanıldığı ve aksiyon almanız gereken, çözmeniz ve araştırmanız gereken olaylara verilen isimdir. Ya da sözlük tabiri ile

Olaylar, birlikte araştırabileceğiniz ve çözebileceğiniz, eyleme geçirilebilir olası bir tehdit oluşturan ilgili uyarı gruplarıdır.

https://sozluk.cozumpark.com/azure-sentinel-incidents

Benim bizzat başıma gelen bir olayı paylaşarak örneklemek istiyorum;


Personel şirkete fiziksel olarak gelmiyor, kapı geçiş sisteminde kart okutması yok, vpn loglarında vpn yaptığına dair bir log yok anca local logon event id ile bir logon işlemi yakalanıyor, bu uyarı hızlıca bir olaya dönüştürülmeli çünkü anormal bir durum var.

Peki incident yani olay nasıl oluşur?

Öncelikle bunun temelde birkaç yöntem vardır. Birincisi Microsoft tarafından varsayılan olarak bize sunulan ve makalemin bir önceki bölümünde paylaştığım analytic kurallarının aktif edilmesi ile otomatik olarak oluşturulabilir.

İsterseniz otomatik gelen analitik kurallarını hızlıca hatırlayalım

Yukarıda görebileceğiniz gibi aktif 5 kuraldan 4 tanesi otomatik olarak sunulmaktadır. Bir önceki makalemde detay paylaşmıştım ve yine bir önceki makalemde anlattığım gibi isterseniz buraya sizde elle yeni kurallar ekleyebilirsiniz. Ben önek Event ID 4625 kuralını ekledim. Tabi ki bu kurallardan daha çok fazla sayıda var, tek yapmanız gereken aktifleştirmek.

Bir diğer yöntem ise Microsoft Cloud App Security, Azure Advanced Threat Protection ve benzeri Microsoft’ un güvenlik ürün çözümlerini Sentinel’ e bağlayarak onlardan gelen uyarıların otomatik olay oluşturmasını sağlayabilirsiniz. Varsayılan olarak bu güvenlik ürünlerinden gelen uyarılar bir olay oluşturmaz. Sentinel bu verileri Security Alert Table içerisinde saklar.

https://www.hakanuzuner.com/azure-sentinel-table

Yani bu güvenlik servisleri tarafından oluşturulan Alert – Uyarılar sentinel veri tabanında RAW veri olarak saklanır.

Eğer isterseniz her bir uyarı sonucunda bir olay oluşturulmasını sağlayabilirsiniz. Hatırlarsanız bir önceki makalemde analitik bölümünde elle kural eklemeyi göstermiştim ama bu diğer yöntemden bahsetmemiştim, isterseniz şimdi hızlıca o bölüme de değinelim.

Azure Sentinel üzerinde “Analytics” bölümüne gelelim, daha sonra “Rule templates” linkine tıklayalım. Burada varsayılan olarak tanımlanmış analitik kurallarını göreceksiniz.

Type bölümünde “Microsoft Security” yazan ve kullanmak istediğiniz herhangi bir kuralı seçin;

Daha sonra sağ bölümden Create Rule butonuna basın.

Örneğin ben Azure Security Center kuralını seçtim, bu bölümde mutlaka anlamlı bir açıklama tanımı, durumu, iş ihtiyacını için gerekli olan öncelik seçimi (yüksek, orta, düşük ve bilgi) ve bir olay oluşması için aslında başka bir alert gerekli ise onu tanımlamanız önemlidir.

Bir diğer yöntem ise connector üzerinden bu ayarı yapmaktır.

Bu sayede ilgili connector üzerinden toplanan loglar ile beraber olay tanımları otomatik yapılacaktır.

Peki olayların temelde hangi kaynaklardaki verilerden oluştuğunu gördüysek şimdi bir tane olay incelemesi yapalım.

Demo ortamı olduğu için mükemmel olaylar oluşturamadım ama en azından internete açık bir windows server’ ın tüm olay günlüklerini topladım ve sonra başarısız logon denemeleri olur ise bunu bana olay olarak ata dedim, bu kuralı nasıl yazdığımı merak ediyorsanız bir önceki makalemi inceleyebilirsiniz.

Tabi ki her olay ne yazık ki görsel olarak takip edilemeyebiliyor, özellikle bunun olması için sağ bölümde gördüğünüz gibi bir takım temel bilgilerin olması şart.

Örnek burada ip adresimiz veya url gibi bilgiler ne yazık ki yok.

Hemen altındaki view full details linkine tıklayalım.

Daha sonra AlertID ye tıklayalım

Burada ilgili olay hakkında detay görebiliyoruz.

Umarım faydalı bir yazı olmuştur, bir sonraki paylaşımımda görüşmek üzere.

Makaleyi Paylaş

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım.

Cevap bırakın

Email adresiniz gizli kalacak Zorunlu alanlar * olarak işaretlenmiştir

Bunları kullanabilirsinizHTML etiketler ve öznitelikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>