Buluta geçmek, her zaman güvenlik sorunlarından kurtulmak anlamına gelmez. Popülaritesi arttıkça, dürüst olmayan insanlar, kayıtsız kullanıcılardan bilgi ve kaynak çalma fırsatlarını görürler. Bulut hizmetlerine güvenen kuruluşlar, onlar için güvenlik önlemlerine ihtiyaç duyar.
Büyük bir işletmenin tipik olarak izlemesi gereken ve herhangi biri tehditlere maruz kalabilecek birçok hizmeti vardır. Altyapısı genelinde sorunları tanımlamanın bir yoluna ihtiyacı var. Koruyucu sistemlerin tüm ciddi sorunları yakalaması gerekir, ancak yöneticileri yanlış alarmlara boğmayacak kadar akıllı olmaları gerekir. Şu anda önizleme aşamasında olan yeni bir hizmet olan Azure Sentinel, yapay zeka ile geliştirilmiş tümleşik güvenlik yönetimi sağlayan bir SIEM’dir.
Azure’da Yerel SIEM
SIEM nedir? Terim, Güvenlik Bilgileri ve Olay Yönetimi anlamına gelir. Bir altyapıdaki güvenlik durumuna birleşik bir genel bakış sağlayan yazılımın adıdır. Bilgi, başta sistem günlükleri olmak üzere birçok kaynaktan gelir ve her şeyi kapsayan görünümler halinde düzenlenir. Gerçekten de işlevsellik, olay toplama, sorunların raporlanması ve çeşitli bilgi kaynaklarının tutarlı terminolojiyle eşleştirilmesini içerir.
Azure Sentinel, Azure’a özgü bir SIEM’dir. Azure hesabı olan herkes tarafından kullanılabilir. Başka bulut SIEM araçları da var ancak bu, Azure’u en iyi bilen kişilerden geliyor. Microsoft SIEM, birçok Azure hizmetiyle bütünleşir. Fiyatlandırma, diğer Azure hizmetlerine benzer; peşin maliyet yoktur ve bunun için fatura edilen miktar kullanıma bağlıdır.
Sentinel, Azure bulutunu izlemekle sınırlı değil. Diğer bulutlar ve şirket içi sistemler dahil olmak üzere herhangi bir kaynaktan günlük bilgilerini toplayabilir. Böylece bu, hibrit ve çoklu bulut altyapılarının tamamını kapsar.
Dashboard
Yöneticinin bakış açısından, Sentinel’in merkez üssü gösterge panosudur. Güvenlik durumuna bakmanın birçok yolunu sağlar. Araç çubuğu, bir zaman periyodundaki olay ve uyarıların yanı sıra yeni, araştırılan ve kapatılan olayların sayısı hakkında bilgi verir.
Araç çubuğunun altında bir dizi görünüm mevcuttur. Yönetici, bir dünya haritası üzerinde potansiyel olarak kötü amaçlı olayların coğrafi bir görünümünü elde edebilir. Aslında yerleşik panolar, Azure AD günlüklerini, güvenlik duvarı bilgilerini, güvenli olmayan protokolleri, Azure etkinliğini ve çok daha fazlasını içerir.
Özel panoların oluşturulması basittir ve yaratıcıları bunları rol tabanlı yetkilendirme kullanarak paylaşabilir. Böylece, BT’de farklı rollere sahip kişiler, tüm panolara veya yalnızca işleriyle ilgili olanlara erişebilir.
Yazılım Entegrasyonu
Sentinel, Azure Log Analytics üzerine kurulmuştur. Çeşitli güvenlik günlüklerinden bilgi toplar ve bilgileri yönetilebilir bir forma dönüştürür. En güçlü ilk vurgu Microsoft 365’tedir.
Sentinel’in bilgi topladığı veya yakında alabileceği hizmetler arasında Azure Kimlik Koruması, Microsoft Bulut Uygulama Güvenliği, Gelişmiş Tehdit Koruması ve Azure Bilgi Koruması yer alıyor. Cisco ASA ve çeşitli güvenlik duvarları gibi bazı üçüncü taraf araçlarla entegrasyon zaten mevcut.
Özel bağlayıcılar eklemek çok zor değil. Azure, Syslog biçimindeki veya Ortak Olay Biçimindeki herhangi bir girdiyle ilgilenebilir. REST API’si, diğer veri kaynaklarını bağlamayı kolaylaştırır.
Olayları Makine Öğrenimi ile İlişkilendirme
Sentinel, yerleşik makine öğrenimi ve Fusion adlı isteğe bağlı bir modül de dahil olmak üzere makine öğrenimiyle bilgileri daha yönetilebilir hale getirir. Üçüncü taraflar, “kendine ait bir makine öğrenimi” ekleyebilir. Alışılmadık bir IP adresinden oturum açma ve ardından büyük bir dosya indirme gibi özellikle şüpheli olan kalıpları tanırlar.
Bu özellikleri kullanarak, Sentinel büyük miktarda gelen bilgiyi alır ve vakalarla ilişkilendirir. Bir “vaka”, tümü aynı soruna işaret eden bir grup ilgili uyarıdır. Bu nedenle, bilgilerin vakalar halinde sunulması, yöneticilerin birçok gereksiz uyarı aldığı “uyarı yorgunluğunu” azaltır.
Otomasyon ve Orkestrasyon
Bir sorunla ilgili uyarı, yalnızca hızlı ve etkili bir yanıt alırsa yararlıdır. Sentinel, “playbooks” biçimindeki otomatik tehdit yanıtlarını destekler. Azure Logic Apps üzerinde oluşturulan Playbook’lar, durum gerektirdiğinde çalıştırılacak bir dizi yordam kurar. Yöneticiler, çalışma kitaplarını manuel olarak çalıştırabilir veya bunları başlatmak için tetikleyici olaylar ayarlayabilir. Bir çalışma kitabı, bir ticket açma, SMS veya e-posta uyarısı gönderme veya bir hesabı devre dışı bırakma gibi işlemleri gerçekleştirebilir. Genel durumlar için önceden tanımlanmış çalışma kitapları mevcuttur. Yöneticiler, Logic App araçlarını kullanarak kendilerininkini oluşturabilir.
Derinlemesine Araştırma
Sentinel’in heyecan verici bir özelliği, “avlanma” ve sorunların derinlemesine araştırılması yeteneğidir. İşlem, kontrol panelindeki vakalar sayfasından başlar. Vakalar, durum ve önem gibi kriterlere göre filtrelenebilir. Tek bir vakanın sayfası, oluşturulduğu uyarılar hakkında bilgi verir. Tetiklenen uyarıların gerekçelerini gösterir. Böylece bakan yönetici, vakayı birine atayabilir veya daha fazla bilgi almak için “İncele” butonuna tıklayabilir. Vakayı işlemek için standart bir prosedür başlatmak için bir çalışma kitabı çalıştırmak da mümkündür.
İnceleme sayfası bilgileri bir grafik olarak gösterir. Grafikteki düğümler, olaylar, bilgisayarlar ve kullanıcılar gibi varlıkları tanımlar. Yönetici, hakkında daha fazla bilgi almak ve ilgili varlıklarla bağlantıları görmek için herhangi bir varlığa tıklayabilir.
Avlanma yeteneği, veri kaynaklarından geçen bir arama ve sorgulama aracından oluşur. Azure Log Analytics sorgu dilini kullanır. Çok sayıda önceden tanımlanmış sorgu sağlanır. Birkaç örnek olarak, devre dışı bırakılmış hesaplara erişim girişimi, ayrıcalık gruplarındaki değişiklikler, başarısız oturum açmalar, anormal DNS istekleri vb. arayabilirler.