Microsoft Sentinel nasıl çalışır?

  • 10 dakika

Microsoft Sentinel, uçtan uca güvenlik işlemlerini etkinleştirmenize yardımcı olur. Süreç, günlük alma ile başlar ve güvenlik uyarılarına otomatik yanıt verilene kadar devam eder.

Microsoft Sentinel'in temel özellikleri ve bileşenleri aşağıdadır.

Veri bağlayıcıları

Yapmanız gereken ilk şey, verilerinizin Microsoft Sentinel'e alınıp alınıp alınmamaktır. Veri bağlayıcıları tam olarak bunu yapmanıza olanak sağlar. İlk olarak İçerik hub'ı çözümlerini yükleyerek Veri bağlayıcılarını bağlarsınız. Yüklendikten sonra, yalnızca bir düğme seçerek Azure etkinlik günlükleri gibi bazı hizmetleri ekleyebilirsiniz. Syslog gibi diğerleri daha fazla yapılandırma gerektirir. Aşağıdakilerle sınırlı kalmamak kaydıyla tüm senaryoları ve kaynakları kapsayan veri bağlayıcıları vardır:

  • syslog
  • Ortak Olay Biçimi (CEF)
  • Trusted Automated eXchange of Indicator Information (TAXII) (tehdit analizi için)
  • Azure Etkinliği
  • Microsoft Defender hizmetleri
  • Amazon Web Services (AWS) ve Google Cloud Platform (GCP)

Azure portalındaki Microsoft Sentinel kullanıcı arabirimindeki veri bağlayıcılarının kısmi listesini gösteren ekran görüntüsü.

Günlük saklama

Veriler Microsoft Sentinel'e alındıktan sonra Log Analytics çalışma alanında depolanır. Log Analytics kullanmanın avantajları arasında, verilerinizi sorgulamak için Kusto Sorgu Dili’nin (KQL) kullanılabilmesi yer alır. KQL, verilerinize yakından bakma ve verilerinizden içgörüler elde etme konusunda size çok fazla güç sağlayan zengin bir sorgu dilidir.

Azure portalında Log Analytics arabirimini gösteren ekran görüntüsü.

Çalışma Kitapları

Microsoft Sentinel'de verilerinizi görselleştirmek için çalışma kitaplarını kullanabilirsiniz. Çalışma kitaplarını panolar olarak düşünün. Panodaki her bileşen, verilerinizin temel alınan bir KQL sorgusu kullanılarak oluşturulur. Microsoft Sentinel'deki yerleşik çalışma kitaplarını kullanabilir ve bunları kendi gereksinimlerinizi karşılayacak şekilde düzenleyebilir veya sıfırdan kendi çalışma kitaplarınızı oluşturabilirsiniz. Azure İzleyici çalışma kitaplarını kullandıysanız, Sentinel'in İzleyici çalışma kitaplarını uygulaması olduğundan bu özellik size tanıdık geliyordur.

Microsoft Sentinel'de bir çalışma kitabı örneğini gösteren ekran görüntüsü.

Analiz uyarıları

Şimdiye kadar, günlükleriniz ve bazı veri görselleştirmeleriniz oldu. Şimdi şüpheli bir durum oluştuğunda size bildirilmesi için verileriniz üzerinde bazı proaktif analizler yapmanız çok iyi olabilir. Sentinel çalışma alanınızda yerleşik analiz uyarılarını etkinleştirebilirsiniz. Bazılarını kendi gereksinimlerinize göre düzenleyebileceğiniz çeşitli uyarı türleri vardır. Bazı uyarılar, Microsoft’un özel mülkiyetindeki yerleşik makine öğrenmesi modelleridir. Ayrıca sıfırdan özel zamanlanmış uyarılar da oluşturabilirsiniz.

Microsoft Sentinel çalışma kitabında bulunan bazı yerleşik analiz uyarılarını gösteren ekran görüntüsü.

Tehdit avcılığı

Bu modülde tehdit avcılığının ayrıntısına inmeyeceğiz. Ancak, SOC analistlerinin şüpheli etkinlikleri avlaması gerekiyorsa, birçok İçerik hub'ı çözümü kullanabilecekleri yerleşik tehdit avcılığı sorguları sağlar. Analistler kendi sorgularını da oluşturabilir. Sentinel, Azure Notebooks ile de tümleştirilir. Bu, verilerini avlamak için programlama dilinin tüm gücünden yararlanmak isteyen ileri düzey avcılar için örnek not defterleri sağlar.

Microsoft Sentinel'de tehdit avcılığı arabirimini gösteren ekran görüntüsü.

Olaylar ve araştırmalar

Uyarılar tetiklendiğinde bir olay oluşturulur. Microsoft Sentinel'de, durumu değiştirme veya araştırma için kişilere olay atama gibi standart olay yönetimi görevlerini gerçekleştirebilirsiniz. Microsoft Sentinel ayrıca araştırma işlevlerine de sahiptir, bu nedenle varlıkları bir zaman çizelgesi boyunca günlük verileri arasında eşleyerek olayları görsel olarak araştırabilirsiniz.

Microsoft Sentinel içindeki olay araştırma grafiğini gösteren ekran görüntüsü.

Otomasyon playbook'ları

Olaylara otomatik olarak yanıt verebilmeniz sayesinde, bazı güvenlik operasyonlarınızı otomatikleştirebilir ve SOC’nizi daha üretken hale getirebilirsiniz. Microsoft Sentinel, olaylara yanıt olarak otomatik iş akışları veya playbook'lar oluşturmanıza olanak tanır. Bu işlev, olay yönetimi, zenginleştirme, araştırma ve düzeltme işlemleri gerçekleştirmek için kullanılabilir. Bu yetenekler genellikle güvenlik düzenlemesi, otomasyonu ve yanıtı (SOAR) olarak adlandırılır.

Microsoft Sentinel Otomasyonu'na ilişkin Oluştur seçeneklerinin vurgulandığı ekran görüntüsü.

SOC Analisti olarak artık Microsoft Sentinel'in hedeflerinize ulaşmanıza nasıl yardımcı olabileceğini görmeye başlıyorsunuz. Örneğin, şunları yapabilirsiniz:

  • Bulut ve şirket içi ortamlarınızdan verileri alma.
  • Bu veriler üzerinde analiz gerçekleştirme.
  • Oluşan tüm olayları yönetme ve araştırma.
  • Playbook'ları kullanarak otomatik olarak yanıt verin.

Başka bir deyişle Microsoft Sentinel, güvenlik operasyonlarınız için uçtan uca bir çözüm sunar.