Makalemin bundan önceki bölümünde temel olarak alert kavramından ve bu alert’ lerin oluşabilmesi için ortamdan verilerin hangi yöntemler ile çekildiğini ve nasıl değerlendirildiğini anlatmıştım. Tabiki mevcut sistemler için son derece yeterli olan alert mekanizması bazı müşteriler için geliştirilmeye açıktır. İşte bu nedenle Microsoft bizlere azure security center üzerinde kişiselleştirilmiş alert üretme şansı tanımaktadır.
Peki bize özel uyarıları nasıl oluşturuyoruz?
Öncelikle Azure Security Center ana ekranını açınca sol menüde Detection başlığı altında custom alerts linkini görüyoruz;
Buna tıkladığınız zaman sağ tarafta gördüğünüz gibi mevcut özel uyarılarınızı görünür. Tabiki bende hiç uyarı olmadığı için boş çıkıyor. Hemen isterseniz sizler ile beraber New custom alert rule butonuna basarak yeni bir özel uyarı tanımı yapalım.
Amacım bir kullanıcı alternatif bir kimlik kullanır ise bunun bana bildirilmesi. Bildiğiniz gibi event ID 4648’ in açıklaması; A logon was attempted using explicit credentials. Yani, Kullanıcı, bir sunucuya bağlanırken veya bir programı yerel olarak çalıştırırken alternatif kimlik bilgileri kullanır ise bu event oluşur. Örneğin bir kullanıcı bir paylaşıma bağlanırken farklı bir kullanıcının kimlik bilgilerini kullanması veya kısayol üzerinde shift-control-sağ tıklayarak farklı çalıştır seçeneği için yine benzer şekilde farklı bir yetki kullanır ise bu olay günlüğü oluşur.
Peki böyle bir kural için ne yapıyorum?
Öncelikle isim tanımlıyorum
Açıklama tanımlıyorum
bu olay için bir öncelik tanımlıyorum.
Daha sonra bende bir den çok subscription olduğu için hangi üyeliğim içerisindeki kaynaklardan gelen loglardan bu sorguyu alacağını seçiyorum, bir nevi hangi üyeliğim için bu kural çalışacak onu seçiyorum.
Üyelik ile beraber bilgilerin tutulduğu – logların tutulduğu birden çok workspace var ise (daha önceki makalelerimde bu kavramı anlatmıştım bakabilirsiniz) onu seçiyorum.
Daha sonra bu workspace içerisindeki logların arasından bana ne lazım ise onun sorgusunu hazırlıyorum, örneğin ben aşağıdaki gibi bir sorgu yazdım;
"SecurityEvent | where EventID == 4648"
İsterseniz yazdığınız kodu hemen bu bölümün altındaki “Execute your search query now” linki ile sorgulayabilirsiniz.
Alt bölümde ise sırası ile aşağıdaki ayarlar yer almaktadır;
Period;
Yukarıdaki sorunun hangi zaman aralığında çalışacağını seçiyoruz.
Evaluation;
Değerlendirme olarak isimlendirdiğimiz bu başlıkta bu kuralın değerlendirilmesi ve yürütülmesi gereken sıklığı seçiyoruz, yani veri ambarından sorgu çekme ayrı, çekilen bu verilerin derlenmesi ve gerekiyor ise uyarı üretilmesi ayrıdır.
Threshold;
Belirtilen zaman içerisinde örneğin benim sorgum için 4648 olayından kaç tane olur ise uyarı oluştursun noktasında karar veriyoruz. Örnek bu event çok kritiktir bir tane bile oluşur ise uyarı oluştur diyebileceğiniz gibi bir saat içerisinde 10 tane ve üstü olur ise bence bir sorun vardır diyerek özel bir uyarı oluşturmasını sağlayabilirsiniz.
Suppress Alerts;
Bu konuda ikinci bir alert göndermeden önce bekleyecek süreyi seçiyoruz. Örneğin bu olay saatte bir olmaya başladı ama yağmur gibi alertler geliyor, bu durumda her saat başı bunun gelmesi yerine bir alert üretildikten şu kadar dakika sonra yeni bir uyarı oluştur diyebilirsiniz. Yine bu tanımlayacağınız uyarılara göre değişiklik göstermektedir.
Bu son ayar ile özel uyarı oluşturmayı tamamlamış olduk.
İstersiniz hazırladığınız kuralın üzerine tıklayarak detayları görebilir veya değiştirebilirsiniz
Bir makalemin daha sonuna geldik umarım yararlı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.
Kaynak;
https://docs.microsoft.com/en-us/azure/security-center/security-center-custom-alert
