Azure Sentinel Adım Adım Bulut SIEM Kullanımı – Bölüm3 – Azure Activity ve Azure AD Audit
Makalemin üçüncü bölümünden herkese selamlar. Hatırlarsanız ilk bölümde temel olarak Bulut temelli bir SIEM ürünü olan Sentinel’ e giriş yapmış ve hızlı bir şekilde hesap açma, workspace oluşturma ve Sentinel servisini aktifleştirmeyi görmüştük. İkinci bölümde ise veri toplama işlemini görmüştük. Veri kaynağı olarak Office 365 kullanmıştık. Bu bölümde ise veri toplamaya devam edeceğiz, bu sefer veri kaynağı Azure olacak. Aslında bu konuda pek çok örnek vermeyi düşünüyorum. Yani her bir bölümde bir firewall, Windows Server, bulut sistemleri, network aktif cihazları veya mevcut syslog server entegrasyonundan bahsedeceğim.
Makalemin ilk iki bölümüne aşağıdaki linker’ den ulaşabilirsiniz.
https://www.hakanuzuner.com/azure-sentinel-adim-adim-bulut-siem-kullanimi-bolum1
https://www.hakanuzuner.com/azure-sentinel-adim-adim-bulut-siem-kullanimi-bolum2-office-365-audit
Artık data connectors kavramını bildiğimiz için bu sefer hızlı bir şekilde yeni bir kaynak seçelim.
Data connectors linkine tıklayalım ve sonra aşağıdaki menüden sırasıyla
Azure Active Directory ve tüm Azure ile başlayan kaynakları seçelim.
Tabiki her bir connector penceresi bir miktar farklı olacaktır. Yukarıda Azure Active Directory ekranını görüyoruz. Aşağıda ise Azure Activity ekranını görüyoruz.
Örneğin burada ek bir ayar yapmamız gerektiğiniz görüyoruz. “Configure Azure Activity logs” linkine tıklayalım.
Burada benim sahip olduğum abonelikler listelendi, siz hangi aboneliğin aktivitelerini izlemek istiyorsanız onu seçin.
Connect dememiz yeterli.
Bu şekilde istediğiniz kadar Azure ile başlayan kaynağı ekleyebilirsiniz. Her bir ekranı paylaşıp süreci uzatmak istemiyorum ama sanırım mantığı anladınız, takip etmek istediğiniz kaynağı seçiyoruz ve bağlıyoruz. Ben iki tane kaynak için birebir ekran paylaşımını yaptım.
Örneğin aşağıdaki ekran’ da Azure Security Center için,
Ancak gördüğünüz gibi Azure Security Center loglarının da sentinel SIEM ürünü tarafından toplanması için öncelikle ilgili üyelik için en azından Azure Security Center Standart tier açık olmalı, tabi bu da para demek arkadaşlar.
Bu kapalı olan hesaplarımdan birisi. Microsoft Azure Sponsorship ise açık olan ve şu anda SIEM’ e bağladığım hesabım;
Peki bu şekilde ilgili kaynakları ekledikten sonra biraz bekliyoruz, malum aktivite oluşması ve bunların toplanması biraz zaman alabilir.
Kısa bir süre bekledikten sonra 185 tane azure aktivitesi olduğunu görüyoruz. Hızlı bir şekilde Workbooks açalım;
Gördüğünüz gibi azure üzerinde gerçekleştirilen tüm aktiviteleri ve bunu kimin yaptığını görebiliyoruz.
Detay için logları kontrol edebiliriz;
Gördüğünüz gibi soldaki filtre bölümü çok kullanışlı.
Sağ bölümde aksiyonların özet bilgisini alabiliyoruz;
Makalemin başında Azure AD içinde log topladığımız söylemiştim hızlıca Azure AD Audit Logs workbooks’ u açabiliriz.
Gördüğünüz gibi kullanıcı silme ve ekleme gibi temel işlemleri ana ekrandan takip edebiliyoruz. Aynı ekranda bu işlemlerin başarılı mı yoksa başarısız mı olduğunu da görebilirsiniz.
Evet makalemin bu bölümünde de Azure Sentinel ile temel azure aktivitelerini takip etmiş olduk. Bir sonraki makalemde görüşmek üzere.
