Microsoft Azure Sentine, Microsoft’un Cloud ortamda sunduğu Olay Yönetimi (SIEM), Security Orkestrayon ve SOAR çözümü olarak tanımlanmaktadır.
Azure Sentinel, Microsoft’un sunduğu bulutta yerel bir Güvenlik Bilgileri Olay Yönetimi (SIEM) ve Güvenlik Orkestrasyonu, Otomasyonu ve Yanıtı (SOAR) çözümüdür.
Azure Sentine, Cloud ortamda yeni nesil güvenlik işlemleri oluşturmaya yardımcı olan yerel bir çözümdür. Kuruluş genelinde güvenlik analizi ve tehdit istihbaratı sağlamaktadır. Sentinel aslında tehditleri oluşmadan ve kuruluşunuzun ciddi hasar almadan önce durdurmaya yardımcı olabilir.
Tüm kuruluşunuzda bulunan veri kaynaklarına bağlanabilmektedir. Veri kaynakları kullanıcılardan cihazlara, farklı veritabanlarına hatta farklı tenantlara kadar bağlanabilmektedir.
Bulutta yerel olarak, güvenlik operasyonları ekibini altyapıyı izleme, bakım ve ölçeklendirme ek yükünden kurtarır ve güvenlik gereksinimlerinizi tamamlamak için yüksek performans ve hızlar sağlar. Kullanılan ve analiz için alınan verilerin hacmine göre faturalandırılan tutar için ödeme yaparsınız. Bu veriler Azure İzleyici Log Analytics çalışma alanında depolanır.
Azure Sentinel, tüm Azure hizmetleri üzerine kurulmuştur ve daha önce de belirtildiği gibi, yapay zeka (AI) ile araştırma ve tehdit algılamayı zenginleştirmektedir.
Öte yandan Azure Sentinel, hedeflenen saldırıların ve veri ihlallerinin erken tespiti ve önlenmesi için olay verilerini gerçek zamanlı olarak analiz etmeye yönelik bulutta yerel bir SIEM ve SOAR çözümüdür. Azure Sentinel, reaktif bir yaklaşım benimseyen Azure Güvenlik Merkezi’ne kıyasla tehditleri tanımlamak için proaktif bir yaklaşım benimser.
Azure Sentinel Nasıl Çalışmakta?
Cihazların ve servislerin verilerini, connector yardımıyla Sentinel’a yönlendirilmesi gerekmektedir. Teknik olarak, veriler Azure Log Analytics’e akmaktadır. Çalışma kitapları verileri, sorunları ve eğilimleri görselleştirmek ve belirli sorguların oluşturulmasına yardımcı olmaktadır.
Azure Sentinel’i etkinleştirdiğiniz anda default olan sorguları kullanabiliyorsunuz, yani ilk başta sorgu veya kural oluşturmanız gerekmiyor. İlerleyen zamanlarda senaryonuza göre daha spesifik senaryolalar kullanabilirsiniz.
Log Analytics – Azure Sentinel’e alınan tüm veriler bir Log Analytics çalışma alanından gelmelidir. Çalışma alanı temel olarak çeşitli kaynaklardan gelen tüm verilerinizi tutan sınırsız bir depolama kapsayıcısıdır. Azure Sentinel için oluşturulan tek bir ayrılmış çalışma alanına sahip olmanız önerilir.
Çalışma kitapları: Yerleşik çalışma kitapları, verileri hemen değerlendirmenize olanak tanır. Verilerinizi istediğiniz şekilde görüntülemenize olanak tanıyan özel çalışma kitapları da oluşturulabilir.
Analytics – Potansiyel tehditleri keşfetmek amacıyla alınan tüm verilerde arama yapmak için oluşturulabilen özel kural kümeleridir. Microsoft Defender ATP ve Cloud App Security gibi Microsoft kaynaklarına bağlantıların yanı sıra önceden oluşturulmuş birçok kural sağlanır. Sorgulara dayalı olarak ek özel kurallar oluşturulabilir.
Olaylar – Analytics kural kümelerine göre oluşturulan uyarılardır. Bir olay birden çok uyarı içerebilir. Araştırma grafiğini kullanarak ek maruz kalma alanları olup olmadığını belirlemek için daha fazla araştırmaya izin verirler.
