Veri bağlantısı yöntemlerini göz önünde bulundurun

  • 10 dakika

Kavram kanıtı ortamını dağıtmak için aracıları kullanan bağlantıların yerleşik bağlayıcılardan nasıl farklı olduğunu da anlamanız gerekir.

Syslog veya CEF aracılarını kullanarak çeşitli kaynaklara Bağlan

Microsoft Sentinel'i bir aracı ve Syslog protokolü kullanarak gerçek zamanlı günlük akışı gerçekleştirebilen herhangi bir veri kaynağına Bağlan.

Çoğu gereç, günlük ve günlük verilerini içeren olay iletileri göndermek için Syslog protokollerini kullanır. Günlük biçimi değişir, ancak çoğu gereç günlük verileri için CEF tabanlı biçimi destekler.

CEF'nin Syslog'a göre avantajı, verilerin normalleştirilmesini sağlamasıdır. Bu, Sentinel kullanarak analiz için daha kullanışlı hale getirir. Diğer birçok Güvenlik Bilgileri ve Olay Yönetimi ürününden farklı olarak Sentinel, ayrıştırılmamış Syslog olaylarını alabilir ve sorgu zamanı ayrıştırma kullanarak bunlar üzerinde analiz gerçekleştirebilir.

Microsoft Sentinel aracısı, CEF biçimli günlükleri Log Analytics'in alabildiği bir biçime dönüştürür. Alet türüne bağlı olarak, aracı doğrudan alete veya ayrılmış Linux tabanlı bir günlük ileticisine yüklenir. Microsoft Sentinel aracısı aslında Azure İzleyici Log Analytics aracısıdır.

Linux için aracı, Linux makinesinin yüksek hacimli Syslog olayları toplamasını beklemediğiniz sürece Olayları Kullanıcı Veri Birimi Protokolü (UDP) üzerinden Syslog daemon'dan alır. Bu durumda, Syslog daemon'dan aracıya İletim Denetimi Protokolü (TCP) üzerinden gönderilirler. Aracı daha sonra verileri Log Analytics'e gönderir. Aracı verileri önbelleğe alır ve bu da aracı ile bulut arasındaki iletişim sorunları durumunda veri kaybını önlemeye yardımcı olur.

Log Analytics aracısı sunuculardan ve uç noktalardan farklı olay türleri toplayabilir. Microsoft Sentinel veri bağlayıcıları aracılığıyla etkinleştirildikten sonra olaylar, çalışma alanına veri gönderecek şekilde yapılandırılmış her aracı tarafından toplanır.

Aracı aracılığıyla bağlanma desteği şu cihazları ve çözümleri içerir:

  • Veri kaybı önleme (DLP) çözümleri
  • Tehdit bilgileri sağlayıcıları
  • Etki Alanı Adı Sistemi (DNS) hizmetleri
  • MBAM/Bitlocker günlükleri
  • Internet Information Services
  • Linux sunucuları
  • Microsoft Endpoint Configuration Manager
  • Microsoft SQL Server
  • Sistem İzleyicisi (Sysmon)
  • Diğer bulut sağlayıcıları

Güvenlik duvarları, internet proxy'leri ve uç noktalar

  • Vectra Cognito
  • Denetim Noktası
  • Cisco ASA
  • ExtraHop Reveal(x)
  • F5 ASM
  • Forcepoint ürünleri
  • Fortinet
  • Palo Alto Networks
  • One Identity Safeguard
  • Diğer CEF gereçleri
  • Diğer Syslog gereçleri
  • Trend Micro Deep Security
  • Zscaler

Dış alet bağlantı seçenekleri

Bir dış gereci Microsoft Sentinel'e bağlamak için, aracının aletle Microsoft Sentinel arasındaki iletişimi desteklemek için ayrılmış bir Azure sanal makinesine (VM) veya şirket içi sisteme dağıtılması gerekir. Aracıyı otomatik olarak veya el ile dağıtabilirsiniz. Otomatik dağıtım yalnızca ayrılmış makineniz Azure'da oluşturduğunuz yeni bir VM olduğunda kullanılabilir.

Aşağıdaki diyagramda, Syslog verilerini Microsoft Sentinel aracısını çalıştıran ayrılmış bir Azure VM'ye gönderen şirket içi sistemler gösterilmektedir.

Diagram of the data flow between on-premises systems that use automatic deployment of the Syslog agent.

Alternatif olarak aracıyı mevcut bir Azure VM'sine, başka bir buluttaki vm'ye veya şirket içi makineye el ile dağıtabilirsiniz. Aşağıdaki diyagramda Syslog verilerini Microsoft Sentinel aracısını çalıştıran ayrılmış bir şirket içi sisteme gönderen şirket içi sistemler gösterilmektedir.

Diagram of the data flow between on-premises systems that use manual deployment of the Syslog agent.

Güvenlik konuları

Bir sistemin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığınızdan emin olun. Ağınızı kurumsal ağ güvenlik ilkesiyle uyumlu olacak şekilde yapılandırmak için, daemon'daki bağlantı noktalarını ve protokolleri gereksinimlerinizle uyumlu olacak şekilde değiştirin.

VM'lerinizin ve depolama verilerinizin güvenliğini sağlamaya yardımcı olan bazı Azure güvenlik hizmetleri ve özellikleri şunlardır:

  • Kötü amaçlı yazılımdan koruma: Azure Cloud Services ve Sanal Makineler için Microsoft Kötü Amaçlı Yazılımdan Koruma, virüsleri, casus yazılımları ve diğer kötü amaçlı yazılımları tanımlamaya ve kaldırmaya yardımcı olmak için kullanabileceğiniz ücretsiz, gerçek zamanlı koruma sağlar.

  • Bulut için Microsoft Defender: Bulut için Defender VM'lerinize yönelik tehditleri önlemeye, algılamaya ve yanıtlamaya yardımcı olur.

  • Şifreleme: Azure Disk Şifrelemesi işletim sistemi düzeyinde şifreleme sağlar ve sunucu tarafı şifrelemesi platform düzeyinde gerçekleşir.

  • Azure Key Vault ve SSH anahtarları: Azure Key Vault, erişim ilkeleri ve denetim geçmişi üzerinde tam denetime sahip merkezi gizli dizi yönetimi sağlayan bir hizmettir.

  • Azure kaynakları için yönetilen kimlikler: Azure kaynakları için yönetilen kimlikler, Azure hizmetlerine Microsoft Entra Id'de otomatik olarak yönetilen bir kimlik sağlar.

  • İlkeler: İlkeler, kuruluşun kuruluş genelinde çeşitli kuralları ve kuralları zorunlu kılabilmesini sağlar.

  • RBAC: Azure RBAC, ekibinizdeki görevleri ayırmanıza olanak tanır. Ayrıca VM'nize erişimi işlerini yapması gereken kullanıcılarla sınırlayabilirsiniz.