2. Adım. Microsoft Sentinel çalışma alanınızın mimarisini oluşturma
Microsoft Sentinel ortamını dağıtmak, güvenlik ve uyumluluk gereksinimlerinizi karşılayacak bir çalışma alanı yapılandırması tasarlamayı içerir. Sağlama işlemi Log Analytics çalışma alanları oluşturmayı ve uygun Microsoft Sentinel seçeneklerini yapılandırmayı içerir.
Bu makalede, Sıfır Güven ilkeleri için Microsoft Sentinel çalışma alanlarını tasarlama ve uygulama hakkında öneriler sağlanmaktadır.
1. Adım: İdare stratejisi tasarlama
Kuruluşunuzun birçok Azure aboneliği varsa, bu abonelikler için erişimi, ilkeleri ve uyumluluğu verimli bir şekilde yönetmek için bir yönteme ihtiyacınız olabilir. Yönetim grupları abonelikler için bir idare kapsamı sağlar. Aboneliklerinizi yönetim grupları içinde düzenlerken, bir yönetim grubu için yapılandırdığınız idare koşulları, içerdiği abonelikler için geçerlidir. Daha fazla bilgi için bkz . Kaynaklarınızı yönetim gruplarıyla düzenleme.
Örneğin, aşağıdaki diyagramdaki Microsoft Sentinel çalışma alanı, Microsoft Entra Id kiracısının bir parçası olan Platform yönetim grubunun altındaki Güvenlik aboneliğinde yer alır.
Güvenlik Azure aboneliği ve Microsoft Sentinel çalışma alanı, Platform yönetim grubuna uygulanan rol tabanlı erişim denetimini (RBAC) ve Azure ilkelerini devralır.
2. Adım: Log Analytics çalışma alanları oluşturma
Microsoft Sentinel'i kullanmak için ilk adım Log Analytics çalışma alanlarınızı oluşturmaktır. Tek bir Log Analytics çalışma alanı birçok ortam için yeterli olabilir, ancak birçok kuruluş maliyetleri iyileştirmek ve farklı iş gereksinimlerini daha iyi karşılamak için birden çok çalışma alanı oluşturur.
Microsoft Sentinel için veri sahipliği ve maliyet yönetimi için operasyonel ve güvenlik verileri için ayrı çalışma alanları oluşturmak en iyi yöntemdir. Örneğin, operasyonel ve güvenlik rollerini yöneten birden fazla kişi varsa, Sıfır Güven için ilk kararınız bu roller için ayrı çalışma alanları oluşturup oluşturmamaktır.
Defender portalında Microsoft Sentinel'e erişim sağlayan birleşik güvenlik operasyonları platformu yalnızca tek bir çalışma alanını destekler.
Daha fazla bilgi için bkz . Contoso'nun işlem ve güvenlik rolleri için ayrı çalışma alanları için örnek çözümü.
Log Analytics çalışma alanı tasarımında dikkat edilmesi gerekenler
Tek bir kiracı için, Microsoft Sentinel çalışma alanlarının yapılandırılması için iki yol vardır:
Tek bir Log Analytics çalışma alanına sahip tek kiracı. Bu durumda, çalışma alanı kiracı içindeki tüm kaynaklardaki günlükler için merkezi depo haline gelir.
Avantajlar:
- Günlüklerin merkezi birleştirilmesi.
- Bilgileri sorgulamak daha kolay.
- Log Analytics ve Microsoft Sentinel'e erişimi denetlemek için Azure rol tabanlı erişim denetimi (Azure RBAC). Daha fazla bilgi için bkz . Log Analytics çalışma alanlarına erişimi yönetme - Azure İzleyici ve Microsoft Sentinel'de roller ve izinler.
Dezavantajlar:
- İdare gereksinimlerini karşılamayabilir.
- Bölgeler arasında bant genişliği maliyeti vardır.
Bölgesel Log Analytics çalışma alanlarıyla tek kiracı.
Avantajlar:
- Bölgeler arası bant genişliği maliyeti yoktur.
- İdareyi karşılamak için gerekli olabilir.
- Ayrıntılı veri erişim denetimi.
- Ayrıntılı saklama ayarları.
- Faturalamayı böl.
Dezavantajlar:
- Merkezi cam bölmesi yok.
- Analizler, çalışma kitapları ve diğer yapılandırmalar birden çok kez dağıtılmalıdır.
Daha fazla bilgi için bkz . Log Analytics çalışma alanı mimarisi tasarlama.
3. Adım: Microsoft Sentinel çalışma alanının mimarisini oluşturma
Microsoft Sentinel'in eklenmesi için Log Analytics çalışma alanının seçilmesi gerekir. Microsoft Sentinel için Log Analytics'i ayarlama konusunda dikkat edilmesi gerekenler şunlardır:
Microsoft Sentinel kaynaklarını ve koleksiyona rol tabanlı erişimi yalıtmanıza olanak tanıyan idare amacıyla bir Güvenlik kaynak grubu oluşturun. Daha fazla bilgi için bkz . Log Analytics çalışma alanı mimarisi tasarlama.
Güvenlik kaynak grubunda bir Log Analytics çalışma alanı oluşturun ve Microsoft Sentinel'i buna ekleyin. Bu, ücretsiz deneme kapsamında günde 10 Gb'a kadar 31 günlük veri alımını otomatik olarak ücretsiz olarak sağlar.
Microsoft Sentinel'i destekleyen Log Analytics Çalışma Alanınızı en az 90 günlük saklama olarak ayarlayın.
Microsoft Sentinel'i bir Log Analytics çalışma alanına eklediğinizde, ek ücret ödemeden 90 günlük veri saklama süresi elde edersiniz ve günlük verilerinin 90 günlük aktarımından emin olursunuz. 90 gün sonra çalışma alanında toplam veri miktarı için maliyetler doğuracaksınız. Günlük verilerini kamu gereksinimlerine göre daha uzun süre saklamayı düşünebilirsiniz. Daha fazla bilgi için bkz . Log Analytics çalışma alanları oluşturma ve Hızlı Başlangıç: Microsoft Sentinel'de ekleme.
Microsoft Sentinel ile Sıfır Güven
Sıfır güven mimarisi uygulamak için çalışma alanını genişleterek çalışma alanları ve kiracılar arasında verilerinizi sorgulamayı ve analiz etmeyi göz önünde bulundurun. Kuruluşunuz için en iyi çalışma alanı tasarımını belirlemek için Örnek Microsoft Sentinel çalışma alanı tasarımlarını kullanın ve Microsoft Sentinel'i çalışma alanları ve kiracılar arasında genişletin.
Ayrıca, Bulut Rolleri ve İşlem Yönetimi açıklayıcı kılavuzunu ve Excel elektronik tablosunu (indirme) kullanın. Bu kılavuzda, Microsoft Sentinel için göz önünde bulundurulacak Sıfır Güven görevler şunlardır:
- İlişkili Microsoft Entra gruplarıyla Microsoft Sentinel RBAC rollerini tanımlayın.
- Microsoft Sentinel'e uygulanan erişim uygulamalarının kuruluşunuzun gereksinimlerini karşılamaya devam ettiğini doğrulayın.
- Müşteri tarafından yönetilen anahtarların kullanımını göz önünde bulundurun.
RBAC ile Sıfır Güven
Sıfır Güven uymak için, Azure RBAC'yi tüm Microsoft Sentinel ortamına erişim sağlamak yerine kullanıcılarınıza izin verilen kaynaklara göre yapılandırmanızı öneririz.
Aşağıdaki tabloda, Microsoft Sentinel'e özgü rollerden bazıları listelenmiştir.
Rol adı | Açıklama |
---|---|
Microsoft Sentinel Okuyucusu | Verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleyin. |
Microsoft Sentinel Yanıtlayıcısı | Microsoft Sentinel Okuyucu rolünün özelliklerine ek olarak, olayları yönetin (atama, kapatma vb.). Bu rol, kullanıcı güvenlik analisti türleri için geçerlidir. |
Microsoft Sentinel Playbook Operatörü | Playbook'ları listeleyin, görüntüleyin ve el ile çalıştırın. Bu rol, kullanıcı güvenlik analisti türleri için de geçerlidir. Bu rol, bir Microsoft Sentinel yanıtlayıcısına Microsoft Sentinel playbook'larını en az ayrıcalıkla çalıştırma olanağı vermek içindir. |
Microsoft Sentinel Katkıda Bulunanı | Microsoft Sentinel Playbook Operatörü rolünün özelliklerine ek olarak, çalışma kitapları, analiz kuralları ve diğer Microsoft Sentinel kaynaklarını oluşturun ve düzenleyin. Bu rol, kullanıcı güvenlik mühendisi türleri için geçerlidir. |
Microsoft Sentinel Otomasyonu Katkıda Bulunanı | Microsoft Sentinel'in otomasyon kurallarına playbook eklemesine izin verir. Kullanıcı hesapları için tasarlanmamıştır. |
Microsoft Sentinel'e özgü Azure rollerini atadığınızda, kullanıcılara başka amaçlarla atanmış olabilecek diğer Azure ve Log Analytics rolleriyle karşılaşabilirsiniz. Örneğin Log Analytics Katkıda Bulunanı ve Log Analytics Okuyucusu rolleri Log Analytics çalışma alanına erişim izni verir.
Daha fazla bilgi için bkz . Microsoft Sentinel'deki roller ve izinler ve Microsoft Sentinel verilerine erişimi kaynağa göre yönetme.
Azure Lighthouse ile çok kiracılı mimarilerde Sıfır Güven
Azure Lighthouse, kaynaklar arasında ölçeklenebilirlik, daha yüksek otomasyon ve gelişmiş idare ile çok kiracılı yönetim sağlar. Azure Lighthouse ile microsoft Entra kiracıları genelinde büyük ölçekte birden çok Microsoft Sentinel örneğini yönetebilirsiniz. İşte bir örnek.
Azure Lighthouse ile birden çok çalışma alanında sorgu çalıştırabilir veya bağlı veri kaynaklarınızdaki verileri görselleştirmek ve izlemek ve ek içgörüler elde etmek için çalışma kitapları oluşturabilirsiniz. Sıfır Güven ilkeleri göz önünde bulundurmak önemlidir. Bkz . Azure Lighthouse için en az ayrıcalık erişim denetimleri uygulamak için önerilen güvenlik uygulamaları .
Azure Lighthouse için en iyi güvenlik uygulamalarını uygularken aşağıdaki soruları göz önünde bulundurun:
- Veri sahipliği kimin sorumluluğundadır?
- Veri yalıtımı ve uyumluluk gereksinimleri nelerdir?
- Kiracılar arasında en az ayrıcalıkları nasıl uygulayacaksınız?
- Birden çok Microsoft Sentinel çalışma alanında birden çok veri bağlayıcısı nasıl yönetilecek?
- Office 365 ortamlarını izleme
- Kiracılar arasında playbook'lar, not defterleri, analiz kuralları gibi entelektüel özellikler nasıl korunur?
Microsoft Sentinel ve Azure Lighthouse'un en iyi güvenlik uygulamaları için bkz . Microsoft Sentinel çalışma alanlarını büyük ölçekte yönetme: Ayrıntılı Azure RBAC .
Çalışma alanınızı birleşik güvenlik operasyonları platformuna ekleme
Tek bir çalışma alanıyla çalışıyorsanız, Microsoft Defender portalında tüm Microsoft Sentinel verilerinizi XDR verileriyle birlikte görüntülemek için çalışma alanınızı birleşik güvenlik operasyonları platformuna eklemenizi öneririz.
Birleşik güvenlik operasyonları platformu ayrıca SAP sistemi için otomatik saldırı kesintisi, Defender Gelişmiş tehdit avcılığı sayfasından birleştirilmiş sorgular ve hem Microsoft Defender hem de Microsoft Sentinel genelinde birleştirilmiş olaylar ve varlıklar gibi gelişmiş özellikler sağlar.
Daha fazla bilgi için bkz.
- Microsoft Sentinel'i Microsoft Defender XDR'ye bağlama
- Microsoft Defender portalında Microsoft Sentinel
Önerilen eğitim
Eğitim içeriği şu anda birleşik güvenlik operasyonları platformunu kapsamaz.
Microsoft Sentinel'e giriş
Eğitim | Microsoft Sentinel'e giriş |
---|---|
Microsoft Sentinel'in bulut ve şirket içi verilerinizden değerli güvenlik içgörülerini hızlı bir şekilde almaya başlamanıza nasıl olanak sağladığını öğrenin. |
Microsoft Sentinel ortamınızı yapılandırma
Eğitim | Microsoft Sentinel ortamınızı yapılandırma |
---|---|
Microsoft Sentinel çalışma alanını düzgün yapılandırarak Microsoft Sentinel'i kullanmaya başlayın. |
Microsoft Sentinel çalışma alanlarını oluşturma ve yönetme
Eğitim | Microsoft Sentinel çalışma alanlarını oluşturma ve yönetme |
---|---|
Sisteminizi kuruluşunuzun güvenlik operasyonları gereksinimlerini karşılayacak şekilde yapılandırdığınızdan emin olmak için Microsoft Sentinel çalışma alanlarının mimarisi hakkında bilgi edinin. |
Sonraki adım
Microsoft Sentinel'i veri kaynaklarını almak ve olay algılamayı yapılandırmak için 3. Adımla devam edin.
Başvurular
Bu makalede bahsedilen hizmetler ve teknolojiler hakkında bilgi edinmek için bu bağlantılara bakın.
Hizmet alanı | Daha fazla bilgi edinin |
---|---|
Microsoft Sentinel | - Hızlı Başlangıç: Microsoft Sentinel'de ekleme - Microsoft Sentinel verilerine erişimi kaynağa göre yönetme |
Microsoft Sentinel idaresi | - Kaynaklarınızı yönetim gruplarıyla düzenleme - Microsoft Sentinel'de roller ve izinler |
Log Analytics çalışma alanları | - Log Analytics çalışma alanı mimarisi tasarlama - Log Analytics çalışma alanları için tasarım ölçütleri - Contoso'nun çözümü - Log Analytics çalışma alanlarına erişimi yönetme - Azure İzleyici - Log Analytics çalışma alanı mimarisi tasarlama - Log Analytics çalışma alanları oluşturma |
Microsoft Sentinel çalışma alanları ve Azure Lighthouse | - Microsoft Sentinel çalışma alanlarını büyük ölçekte yönetme: Ayrıntılı Azure RBAC - Önerilen güvenlik uygulamaları |