Azure Veri Gezgini ile uzun süreli güvenlik günlüğü saklama

Bu çözüm, azure Veri Gezgini güvenlik günlüklerini uzun vadeli olarak depolar. Bu çözüm maliyetleri en aza indirir ve verileri sorgulamanız gerektiğinde kolay erişim sağlar.

Grafana ve Jupyter Notebooks , ilgili şirketlerin ticari markalarıdır. Bu işaretlerin kullanılması herhangi bir onay anlamına gelmez.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

Veri akışı

1. Bir kuruluş, SIEM ve SOAR için Sentinel ve Uç Nokta için Defender kullanır.

2. Uç Nokta için Defender, verileri Azure Event Hubs'a ve Azure Data Lake'e aktarmak için yerel işlevleri kullanır. Sentinel, cihazları izlemek için Uç Nokta için Defender verilerini alır.

3. Sentinel, Event Hubs ve Azure Data Lake'e veri aktarmak için Log Analytics'i veri platformu olarak kullanır.

4. Azure Veri Gezgini, düşük gecikme süresi ve yüksek aktarım hızına sahip verileri almak için Event Hubs, Azure Blob Depolama ve Azure Data Lake Storage bağlayıcılarını kullanır. Bu işlem, Azure Veri Gezgini alım işlem hattını tetikleyen Azure Event Grid'i kullanır.

5. Gerekirse, Azure Veri Gezgini güvenlik günlüklerini sürekli olarak Azure Depolama'ya aktarır. Bu günlükler sıkıştırılmış, bölümlenmiş Parquet biçimindedir ve sorgulanmaya hazırdır.

6. Mevzuat gereksinimlerini karşılamak için Azure Veri Gezgini arşivleme amacıyla önceden toplanmış verileri Data Lake Storage'a aktarır.

7. Log Analytics ve Sentinel, Azure Veri Gezgini ile hizmetler arası sorguları destekler. SOC analistleri bu özelliği güvenlik verileri üzerinde tam kapsamlı araştırmalar çalıştırmak için kullanır.

8. Azure Veri Gezgini verileri işlemeye, toplamaya ve analiz etmeye yönelik yerel özellikler sağlar.

9. Çeşitli araçlar, hızla içgörü sağlayan neredeyse gerçek zamanlı analiz panoları sağlar:

   • Azure Veri Gezgini panoları
   • Power BI
   • Grafana

Bileşenler

• Uç Nokta için Defender, kuruluşları cihazlar, kimlikler, uygulamalar, e-posta, veriler ve bulut iş yükleri genelindeki tehditlerden korur.

• Sentinel , bulutta yerel bir SIEM ve SOAR çözümüdür. Kuruluşlar genelindeki tehditleri algılamak, avlamak, önlemek ve yanıtlamak için gelişmiş yapay zeka ve güvenlik analizi kullanır.

• İzleyici , ortamlardaki ve Azure kaynaklarındaki verileri toplayan ve analiz eden bir hizmet olarak yazılım (SaaS) çözümüdür. Bu veriler, performans ölçümleri ve etkinlik günlükleri gibi uygulama telemetrisini içerir. İzleyici ayrıca uyarı işlevselliği de sunar.

• Log Analytics , İzleyici günlük verilerini sorgulamak ve incelemek için kullanabileceğiniz bir İzleyici hizmetidir. Log Analytics ayrıca sorgu sonuçlarını grafiklendirmeye ve istatistiksel olarak çözümlemeye yönelik özellikler de sağlar.

• Event Hubs , basit ve ölçeklenebilir tam olarak yönetilen, gerçek zamanlı bir veri alımı hizmetidir.

• Data Lake Storage , verilerin yerel ham biçiminde büyük miktarda veri barındıran ölçeklenebilir bir depolama deposudur. Bu veri gölü Blob Depolama'nın üzerine kurulmuştur ve verileri depolamak ve işlemek için işlevsellik sağlar.

• Azure Veri Gezgini hızlı, tam olarak yönetilen ve yüksek oranda ölçeklenebilir bir veri analizi platformudur. Bu bulut hizmetini, büyük hacimli veriler üzerinde gerçek zamanlı analiz için kullanabilirsiniz. Azure Veri Gezgini etkileşimli, geçici sorgular için iyileştirilmiştir. Uygulamalar, web siteleri, IoT cihazları ve diğer kaynaklardan farklı veri akışlarını işleyebilir.

• Azure Veri Gezgini panoları, Azure Veri Gezgini Web kullanıcı arabirimi sorgularından verileri yerel olarak içeri aktarır. Bu iyileştirilmiş panolar, sorgu sonuçlarını görüntülemek ve araştırmak için bir yol sağlar.

Alternatifler

• Güvenlik günlüklerinin uzun süreli depolaması için Azure Veri Gezgini kullanmak yerine Depolama'yı kullanabilirsiniz. Bu yaklaşım mimariyi basitleştirir ve maliyeti denetlemeye yardımcı olabilir. Bir dezavantaj, güvenlik denetimleri ve etkileşimli araştırma sorguları için günlükleri yeniden doldurma gereksinimidir. Azure Veri Gezgini ile bir ilkeyi değiştirerek verileri soğuk bölümden sık erişimli bölüme taşıyabilirsiniz. Bu işlev, veri keşfini hızlandırır.

• Bu çözümün bir diğer seçeneği de güvenlik değerinden bağımsız olarak tüm verileri Sentinel ve Azure Veri Gezgini aynı anda göndermektir. Bazı yineleme sonuçları, ancak maliyet tasarrufu önemli olabilir. Azure Veri Gezgini uzun süreli depolama sağladığından sentinel saklama maliyetlerinizi bu yaklaşımla azaltabilirsiniz.

• Log Analytics şu anda özel günlük tablolarını dışarı aktarmayı desteklememektedir. Bu senaryoda, Log Analytics çalışma alanlarından verileri dışarı aktarmak için Azure Logic Apps'i kullanabilirsiniz. Daha fazla bilgi için bkz . Logic Apps kullanarak Log Analytics çalışma alanından Azure Depolama'ya veri arşivle.

Senaryo ayrıntıları

Güvenlik günlükleri, tehditleri tanımlamak ve verilere erişmeye yönelik yetkisiz girişimleri takip etmek için kullanışlıdır. Güvenlik saldırıları keşfedilmeden önce başlayabilir. Sonuç olarak, uzun vadeli güvenlik günlüklerine erişim sahibi olmak önemlidir. Uzun süreli günlüklerin sorgulanması, tehditlerin etkisini belirlemek ve yasadışı erişim girişimlerinin yayılmasını araştırmak için kritik öneme sahiptir.

Bu makalede, güvenlik günlüklerinin uzun süreli saklaması için bir çözüm özetlenmiştir. Mimarinin merkezinde Azure Veri Gezgini yer alır. Bu hizmet, güvenlik verileri için en düşük maliyetle depolama sağlar ancak bu verileri sorgulayabileceğiniz bir biçimde tutar. Diğer ana bileşenler şunlardır:

• bu özellikler için Uç Nokta için Microsoft Defender ve Microsoft Sentinel:

  • Kapsamlı uç nokta güvenliği
  • Güvenlik bilgileri ve olay yönetimi (SIEM)
  • Güvenlik düzenleme otomatik yanıtı (SOAR)

• Sentinel güvenlik günlüklerinin kısa süreli depolanması için Log Analytics.

Olası kullanım örnekleri

Bu çözüm çeşitli senaryolar için geçerlidir. Özellikle, güvenlik operasyonları merkezi (SOC) analistleri aşağıdakiler için bu çözümü kullanabilir:

• Tam ölçekli araştırmalar.
• Adli analiz.
• Tehdit avcılığı.
• Güvenlik denetimleri.

Bir müşteri çözümün yararlılığına yönelik bir ifadede bulunur: "Neredeyse bir buçuk yıl önce bir Azure Veri Gezgini kümesi dağıttık. Son Solorigate veri ihlalinde, adli analiz için bir Azure Veri Gezgini kümesi kullandık. Microsoft Dart ekibi ayrıca araştırmayı tamamlamak için bir Azure Veri Gezgini kümesi kullandı. Uzun süreli güvenlik verilerini saklama, tam ölçekli veri araştırmalarında kritik öneme sahiptir."

İzleme yığını

Aşağıdaki diyagramda Azure izleme yığını gösterilmektedir:

• Sentinel, güvenlik günlüklerini depolamak ve SIEM ve SOAR çözümleri sağlamak için Log Analytics çalışma alanını kullanır.
• İzleme, BT varlıklarının durumunu izler ve gerektiğinde uyarılar gönderir.
• Azure Veri Gezgini Log Analytics çalışma alanları, İzleyici ve Sentinel için güvenlik günlüklerini depolayan temel bir veri platformu sağlar.

Ana özellikler

Aşağıdaki bölümlerde açıklandığı gibi çözümün ana özellikleri birçok avantaj sunar.

Uzun süreli sorgulanabilir veri deposu

Azure Veri Gezgini, depolama işlemi sırasında verileri dizine alır ve verileri sorgular için kullanılabilir hale getirir. Denetim ve araştırma çalıştırmaya odaklanmanız gerektiğinde verileri işlemeniz gerekmez. Verileri sorgulamak kolaydır.

Tam ölçekli adli analiz

Azure Veri Gezgini, Log Analytics ve Sentinel, hizmetler arası sorguları destekler. Sonuç olarak, tek bir sorguda bu hizmetlerden herhangi birinde depolanan verilere başvurabilirsiniz. SOC analistleri, tam kapsamlı araştırma çalıştırmak için Kusto sorgu dilini (KQL) kullanabilir. Ayrıca, tehdit avcılığı amacıyla Sentinel'de Azure Veri Gezgini sorgularını da kullanabilirsiniz. Daha fazla bilgi için bkz . Yenilikler: Sentinel Avcılığı ADX çapraz kaynak sorgularını destekler.

İsteğe bağlı veri önbelleğe alma

Azure Veri Gezgini pencere tabanlı çalışırken önbelleğe almayı destekler. Bu işlev, seçilen bir dönemdeki verileri sık erişimli önbelleğe taşımak için bir yol sağlar. Ardından veriler üzerinde hızlı sorgular çalıştırarak araştırmayı daha verimli hale getirebilirsiniz. Bu amaçla sık erişimli önbelleğe işlem düğümleri eklemeniz gerekebilir. Araştırma tamamlandıktan sonra sık erişimli önbellek ilkesini değiştirerek verileri soğuk bölüme taşıyabilirsiniz. Ayrıca kümeyi özgün boyutuna geri yükleyebilirsiniz.

Arşiv verilerine sürekli dışarı aktarma

Mevzuat gereksinimlerini karşılamak için bazı kuruluşların güvenlik günlüklerini sınırsız süreyle depolaması gerekir. Azure Veri Gezgini verilerin sürekli dışarı aktarımını destekler. Güvenlik günlüklerini Depolama'da depolayarak arşiv katmanı oluşturmak için bu özelliği kullanabilirsiniz.

Kanıtlanmış sorgu dili

Kusto sorgu dili Azure Veri Gezgini için yereldir. Bu dil Log Analytics çalışma alanlarında ve Sentinel tehdit avcılığı ortamlarında da kullanılabilir. Bu kullanılabilirlik, SOC analistleri için öğrenme eğrisini önemli ölçüde azaltır. Sentinel'de çalıştırdığınız sorgular, Azure Veri Gezgini kümelerinde depoladığınız veriler üzerinde de çalışır.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Bu çözümü uygularken aşağıdaki noktaları göz önünde bulundurun.

Ölçeklenebilirlik

Şu ölçeklenebilirlik sorunlarını göz önünde bulundurun:

Veri dışarı aktarma yöntemi

Log Analytics'ten büyük miktarda veri dışarı aktarmanız gerekiyorsa Event Hubs kapasite sınırlarına ulaşabilirsiniz. Bu durumdan kaçınmak için:

• Log Analytics'ten Blob Depolama'ya veri aktarın.
• Verileri düzenli aralıklarla Azure Veri Gezgini'a aktarmak için Azure Data Factory iş yüklerini kullanın.

Bu yöntemi kullanarak Data Factory'den verileri yalnızca veriler Sentinel veya Log Analytics'te saklama sınırına yaklaştığında kopyalayabilirsiniz. Sonuç olarak, verileri çoğaltmaktan kaçınabilirsiniz. Daha fazla bilgi için bkz. Log Analytics'ten Azure Veri Gezgini'a veri aktarma.

Sorgu kullanımı ve denetim hazırlığı

Genellikle verileri Azure Veri Gezgini kümenizdeki soğuk önbellekte tutarsınız. Bu yaklaşım küme maliyetinizi en aza indirir ve önceki aylara ait verileri içeren sorguların çoğu için yeterlidir. Ancak büyük veri aralıklarını sorguladığınızda kümenin ölçeğini genişletmeniz ve verileri sık erişimli önbelleğe yüklemeniz gerekebilir.

Bu amaçla sık erişimli önbellek ilkesinin sık erişimli pencere özelliğini kullanabilirsiniz. Bu özelliği, uzun vadeli verileri denetlerken de kullanabilirsiniz. Sık erişimli pencereyi kullandığınızda, sık erişimli önbellekte daha fazla veriye yer açmak için kümenizin ölçeğini artırmanız veya genişletmeniz gerekebilir. Büyük veri aralığını sorgulamayı tamamladıktan sonra, bilgi işlem maliyetinizi azaltmak için sık erişimli önbellek ilkesini değiştirin.

Azure Veri Gezgini kümenizde iyileştirilmiş otomatik ölçeklendirme özelliğini açarak, kümenizin boyutunu önbelleğe alma ilkesine göre iyileştirebilirsiniz. Azure Veri Gezgini'da soğuk verileri sorgulama hakkında daha fazla bilgi için bkz. Sık erişimli pencerelerle soğuk verileri sorgulama.

Performans verimliliği

Performans verimliliği, kullanıcılar tarafından anlamlı bir şekilde yerleştirilen talepleri karşılamak amacıyla iş yükünüzü ölçeklendirme becerisidir. Daha fazla bilgi için bkz . Performans verimliliği sütununa genel bakış.

Güvenlik verilerini uzun süre veya sınırsız bir süre depolamanız gerekiyorsa günlükleri Depolama'ya aktarın. Azure Veri Gezgini verilerin sürekli dışarı aktarımını destekler. Bu işlevi kullanarak verileri sıkıştırılmış, bölümlenmiş Parquet biçiminde Depolama'ya aktarabilirsiniz. Daha sonra bu verileri sorunsuz bir şekilde sorgulayabilirsiniz. Daha fazla bilgi için bkz . Sürekli veri dışarı aktarmaya genel bakış.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Azure Veri Gezgini kümesi maliyeti öncelikli olarak sık erişimli önbellekte veri depolamak için kullanılan bilgi işlem gücünü temel alır. Sık erişimli önbellek verilerindeki sorgular, soğuk önbellek sorgularına göre daha iyi performans sunar. Bu çözüm, verilerin çoğunu soğuk önbellekte depolayarak işlem maliyetini en aza indirir.

Bu çözümü ortamınızda çalıştırmanın maliyetini keşfetmek için Azure fiyatlandırma hesaplayıcısını kullanın.

Bu senaryoyu dağıtın

Dağıtımı otomatikleştirmek için bu PowerShell betiğini kullanın. Bu betik şu bileşenleri oluşturur:

• Hedef tablo
• Ham tablo
• Event Hubs kayıtlarının ham tabloya nasıl geldiğini tanımlayan tablo eşlemesi
• Bekletme ve güncelleştirme ilkeleri
• Event Hubs ad alanları
• Log Analytics çalışma alanında veri dışarı aktarma kuralları
• Event Hubs ile Azure Veri Gezgini ham veri tablosu arasındaki veri bağlantısı

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Deepak Agrawal | Ürün Yöneticisi

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• Uzun süreli günlük saklama için Azure Veri Gezgini’ni tümleştirme
• Microsoft Sentinel Günlüklerinizi Kolayca Uzun Süreli Depolamaya Taşıma
• Azure İzleyici kullanarak Azure Veri Gezgini çapraz kaynak sorgulama
• NASIL YAPıLıR: Microsoft Sentinel veri dışarı aktarmayı uzun vadeli depolama için yapılandırma
• Microsoft Sentinel günlüklerinin uzun süreli saklaması için Azure Veri Gezgini kullanma
• Yenilikler: Microsoft Sentinel Hunting, ADX çapraz kaynak sorgularını destekler
• Azure Veri Gezgini'da Microsoft Defender ATP tehdit avcılığı günlüklerini akışla aktarma
• Blog Serisi: Azure Veri Gezgini (ADX) ile Sınırsız Gelişmiş Avcılık

İlgili kaynaklar

• Azure Veri Gezgini izleme
• Azure Veri Gezgini etkileşimli analiz
• Azure Veri Gezgini ile büyük veri analizi