Makalemin bir önceki bölümünde yerleşik sistemlerimizin tek tek agent bazlı nasıl azure security center ortamına ekleneceğini göstermiştim. Ancak bu yöntem çok büyük organizasyonlarda biraz sorun olabilir. Örneğin büyük bir organizasyon olabilirsiniz ancak sahip olduğunuz tüm makineler yerine web sunucularınızı hem log analizi hem de güvenlik için izlemek isteyebilirsiniz, bu tür durumlarda makalemin ilk bölümündeki gibi agent bazlı bir yükleme ile çok hızlı bir şekilde bilgileri buluta çıkarabilirsiniz.
Ancak sahip olduğunuz istemci ve sunucu ortamı büyük ve bu ortam için hali hazırda Microsoft Advanced Threat Analytics kullanıyorsanız buradaki bilgileri hızlıca Microsoft Azure Security Center’ a yollamanız mümkün.
Peki hızlıca bu iki ürünü nasıl entegre ediyoruz bunu görelim.
Öncelikle Azure Security Center üzerinden Security Solutions bölümüne geliyoruz.
ATA kutucuğunun altındaki ADD linkine tıklıyoruz.
Burada hızlıca ATA üzerinde ne yapmamız gerektiği gösteriliyor.
Peki o zaman hızlıca bizde ATA konsoluna bağlanalım.
Konsolu açtıktan sonra sağ üst köşeden ayarlar bölümüne geliyoruz.
Daha sonra sol bölümden Syslog server kısmına tıklıyoruz.
IP olarak 127.0.0.1 yazıyoruz, port numarası olarak ise 5114 olarak yazıyoruz.
Daha sonra yine sol taraftaki menüden notification linkine tıklıyoruz
Buradaki tüm uyarıları aktif etmeniz önerilmektedir.
Daha sonra ayarları kayıt edip tekrar azure security center paneline dönüyoruz.
Son bölümde Download agent linkine tıklıyoruz ve aşağıdaki gibi tanıdık bir ekran bizi karşılıyor.
Hemen ATA üzerinden gelen logları saklayacağım workspace üzerinde add Computer diyerek temel kurulumu gerçekleştiriyorum.
Agent’ ı indirdikten sonra aşağıdaki adımları takip ederek kurulumunu tamamlıyoruz.
Kurulum sonrasında aşağıdaki gibi bir servisin çalıştığını göreceksiniz
Hemen aklınıza logların hangi port üzerinden gönderildiği gelebilir.
Gördüğünüz gibi 443 nolu port üzerinden MS sunucularına bağlanmaktadır.
Bu kurulumu yaptıktan sonra artık on-premde güvenlik ürünü olarak kullandığınız ATA çıktılarını azure security center için kaynak olarak göstermiş olduk. Bunun sonucu olarak merkezi olarak tek bir konsol üzerinden artık tüm güvenlik olaylarını görebileceğiz.
Öncelikle workspace kısmından logların geldiğini görebiliriz
Bir makalemin daha sonuna geldik umarım faydalı olmuştur. Bir sonraki makalemde görüşmek üzere.