Yerel ve Bulut Kaynaklarınız İçin Güvenlik’te Tek Çözüm; Microsoft Azure Sentinel

Günümüzde bulut hizmetlerine geçiş gün geçtikçe artıyor ama bulut hizmetlerine geçmek, güvenlik sorunlarından kurtulmak anlamına gelmiyor. Bulut hizmetleri de şirket içi sistemler gibi saldırıların hedefinde olmaya devam ediyor. Bulut uygulamalarındaki bu popülerlik arttıkça, kötü amaçlı kişiler için dikkatsiz kullanıcılardan bilgi ve veri çalma fırsatları da artmaya devam ediyor. Bu noktada bulut hizmetleri kullanan kuruluşlar bu bilgi ve verilerini korumak için güvenlik önlemlerine ihtiyaç duyar.

Büyük bir şirketin genellikle takip etmesi gereken bir çok güvenlik hizmeti vardır ve bu hizmetlerden herhangi biri tehditlere açık olabilir. Güvenlik çözümlerinin bir şirketteki bütün ciddi sorunları tespit etmesi gerekiyor. Ayrıca bu çözümlerin bu işlemi yaparken güvenlik ekiplerini yanlış alarmlarla(False Positive) meşgul etmeyecek kadar akıllı olmaları kuruluş için büyük bir avantaj sağlar. İşte tam bu noktada Azure, yapay zeka ile geliştirilmiş entegre güvenlik yönetimi sağlayan bir SIEM ve SOAR hizmeti olan Sentinel’i sunuyor.

Azure Sentinel nedir?

Azure Sentinel kuruluşunuz için bir SIEM ve SOAR çözümünün birleştirilmesi gibi düşünülebilir. Azure Sentinel, hem yerel kaynaklarınızı, hem bulut uygulamalarınızı koruyarak tüm altyapınızı güvenli bir şekilde kullanma imkanı sunuyor. Sentinel, veri toplayarak, tehditleri tespit edip araştırarak ve hızla yanıt vererek akıllı güvenlik sağlamanın yanı sıra; tüm bunları yaparken yapay zeka ve makine öğrenmesi (Machine Learning) kullanarak kuruluşunuz için büyük bir avantaj sağlar.

· Neredeyse sınırsız veri toplama ve analizi

Azure Sentinel’de birçok veri kaynağı hazır şekilde bulunmaktadır ve bu kaynakları aktifleştirmek oldukça kolaydır. Öncelikle Office 365 gibi bir alt yapınız var ise zaten birkaç tıklama ile çok kolay bir şekilde Sentinel için Office 365 olaylarını toplayabilirsiniz. Bunun yanı sıra Sentinel, endüstri standartı haline gelmiş pek çok üreticinin ürünü ile sorunsuz bir şekilde entegre olabiliyor; Palo Alto Networks, F5, Symantec, Fortinet, and Check Point bu ürünlerden sadece birkaç tanesidir ve gün geçtikçe bu sayı artmaya devam ediyor.

· Tehdit algılama için Analiz ve Makine Öğrenimi

Veri kaynaklarında olduğu gibi kurallarda da Azure Sentinel size oldukça büyük bir kolaylık sağlıyor. Azure Sentinel 100’den fazla hazır uyarı kuralı barındırmakla birlikte, kendi kuralınızı da oluşturma imkanı sağlıyor. Kendi kurallarınız için Azure Sentinel’deki kural şablonlarını kullanabilir veya kurallarınızı kendi isteğinize göre yazabilirsiniz. Sentinel tehditleri ve anormallikleri doğru bir şekilde tanımlamak için kanıtlanmış Makine Öğrenimi modellerini kullanır. Microsoft bu konuda da size birkaç farklı Makine Öğrenimi seçeneği sunuyor.

· Daha hızlı avlanma, araştırma ve müdahale

Bildiğimiz üzere geleneksel tehdit avcılığı oldukça zaman alıyor ama Sentinel, bu görevi çok hızlı bir şekilde tamamlamak için çok kullanışlı (ve büyümeye devam eden) bir avlanma ve keşif sorguları koleksiyonu sunuyor. Sentinel ile daha fazla araştırma gerektiren uyarılar olay haline gelir ve etiketleme, yorumlar ve atamalar yardımıyla bu olayların oluşumunu hangi uyarıların tetiklediğine karar verebilirsiniz. Sentinel araştırma grafiği ön izlemesi gibi görseller kullanarak hangi tehditlerle ve nelerle uğraştığınızı daha kolay anlamanızı sağlıyor.

Azure Sentinel Nasıl Çalışır?

Azure Sentinel birkaç kolay adım ile çalışmaya başlar.

· Veri Kaynaklarınızı bağlayın

Azure Sentinel’i aktif ettikten sonra, ilk olarak veri kaynaklarınızı (data connectors) aktif etmeniz diğer bir deyişle Azure Sentinel’e bağlamanız gerekir. Azure Sentinel, Microsoft çözümleri için çok sayıda bağlayıcıyla sunulur. Microsoft 365 Defender çözümlerinin yanı sıra Office 365, Azure AD, Microsoft Defender for Identity ve Microsoft Cloud App Security gibi Microsoft 365 kaynaklarını Sentinel ile gerçek zamanlı olarak koruyabilirsiniz. Aynı zamanda Microsoft dışı çözümler için daha geniş güvenlik ekosistemine entegre bağlayıcılar vardır. Ayrıca, veri kaynaklarınızı Azure Sentinel ‘e bağlamak için ortak olay biçimi (CEF), Syslog veya REST API de kullanabilirsiniz.

· Çalışma Kitapları oluşturun

Veri kaynaklarınızı Azure Sentinel ‘e bağladıktan sonra verilerinizi incelemek için, özel çalışma kitapları oluşturma konusunda çok yönlülük sağlayan Azure İzleyici çalışma kitapları ve Azure Sentinel entegrasyonunu kullanabilirsiniz. Azure Sentinel, verileriniz genelinde özel çalışma kitapları oluşturmanızı sağlar. Ayrıca Sentinel bir veri kaynağını bağladığınızda verilerinize hızlı bir şekilde Öngörüler elde etmenizi sağlayan hazır çalışma kitabı şablonlarıyla birlikte gelir. Bu noktada verilerinizi daha ayrıntılı incelemek istediğiniz zaman bu şablonları kullanarak kendi çalışma kitaplarınızı da oluşturabiliyorsunuz

Bu iki adımdan sonra Azure Sentinel’in çalışma mantığını 4 ana başlık altında inceleyebiliriz:

Collect-Toplama

Azure Sentinel ile tüm güvenlik verilerini yerleşik bağlayıcılar (connectors), diğer Microsoft ürünleri ile olan doğal iletişim desteği ve endüstri standartı halinde gelmiş Common Event Format ve Syslog gibi log formatlarının desteklemesi sayesinde tüm kullanıcı, aygıt ve alt yapınızdan bilgileri kolay bir şekilde toplayabilirsiniz. Sadece birkaç tıklamayla Microsoft Office 365 verilerinizi ücretsiz olarak içe aktarabilir ve analiz için diğer güvenlik verileriyle birleştirebilirsiniz. Azure Sentinel, her gün 10 petabyte’ dan fazla veri işleyen ve milyonlarca kaydı saniyeler içinde sıralayabilen çok hızlı bir sorgu altyapısı sağlayan, kanıtlanmış ve ölçeklenebilir bir günlük analizi veri tabanı üzerine kurulmuş olan Azure Monitörünü kullanır.

Detect-Tespit Etme

Güvenlik uzmanları farklı ürünlerden gelen pek çok uyarının geleneksel korelasyon yöntemleri ile sadeleştirilmesine rağmen çok büyük bir yük altında karar vermek zorunda kalırlar. Alacakları kararlar bazen kesintiye neden olabilmektedir. Hatta bu nedenle çok fazla kesinti vermemek ya da false positive olarak isimlendirdiğimiz yanlış uyarıları bildirmemek adına güvenlik politikalarında sıkılaştırma yerine gevşeme yapabilirler.

Azure Sentinel ise milyonlarca düşük veya yüksek seviye güvenlik olaylarını, en son teknoloji olan, ölçeklenebilir makine öğrenme teknolojisini kullanarak gerektiği zamanda çok hızlı karar verebilmeniz için ihtiyacı olan kaynağı alıp ve sonucu ürettikten sonra bir daha ihtiyaç duyuncaya kadar tekrar düşük kaynak kullanımına devam eden bir yapıya sahiptir. Bu sayede gelen olayların sayısının artması veya azalması ürünün cevap verme süresini değiştirmemektedir.

Eğer hali hazırda kendi öğrenme modelleriniz var ise Azure Sentinel bu konuda da diğer rakiplerine göre çok farklı bir imkân sunuyor. Hali hazırda yıllardır Microsoft güvenlik mühendislerinin sağladığı öğrenme teknolojisini kullanan bu alt yapı eğer bu konuda tecrübeli iseniz Azure Machine Learning hizmetini kullanarak kendi modellerinizi Azure Sentinel’ e öğretebilirsiniz.

Investigate-Araştırma

Grafiksel ve Yapay zeka tabanlı araştırma, bir saldırının tam kapsamını ve etkisini anlamak için gereken süreyi azaltır. Saldırıları görselleştirebilir ve aynı gösterge tablosunda hızlı bir şekilde gerekli eylemleri gerçekleştirebilirsiniz.

Bu görsel analiz sayesinde olayın veya zafiyetin kök nedenini çok daha kolay bir şekilde tespit edebilirsiniz.

Respond-Cevap Verme

Yapay zeka, sorun bulma konusundaki odak noktanızı keskinleştirir. Bir sorunu çözdükten sonra aynı sorunları tekrar tekrar bulmaya devam etmek istemezsiniz. Bunun yerine bu sorunlara yanıtı otomatikleştirmek her zaman daha avantajlıdır. Azure Sentinel, birbiriyle bağlantılı olarak otomasyon (automation) ve orkestrayon (orchestration) özelliği sunmaktadır. Bu sayede herhangi bir kodlama bilmenize gerek kalmadan önceden tanımlanmış veya kendinizin yazabileceği “playbook” lar sayesinde kolayca bir olay için aksiyon alabilirsiniz. Hatta bu bölümde ServiceNow başta olmak üzere pek çok popüler, kurumsal süreç yönetim uygulaması ile konuşabilen bir özellik sunar. Bu sayede en basit anlamda otomatik case açma gibi işlemleri de yapabilirsiniz.

Azure Sentinel’in Önemli Özellikleri

· Yerleşik AI (Yapay Zeka)

Güvenlik ekipleri en önemli uyarılara odaklanmalı ve bu uyarılara olabildiğince çabuk yanıt vermelidir. Azure Sentinel, veri gürültüsünü ortadan kaldırmak, kişi kaynaklı hataları en aza indirmek ve kuruluşunuza önemli ölçüde zaman ve kaynaklar kazandırmak için yapay zeka ve makine öğrenimini kullanır.

· Eksiksiz entegrasyon

Azure Sentinel, çok çeşitli araç ve sistemleri entegre ederek operasyon ekiplerinin verimliliğinin artırmasına yardımcı olur. Olay yanıtlarını tek bir platformdan düzenleyip otomatikleştirerek zamandan tasarruf edilmesini sağlar.

· Sentinel analistler için sezgisel olan ve bir SOC içindeki tipik işlemleri kolaylaştırmak için oluşturulmuş gösterge tabloları ve kullanıcı ara yüzleri sunar.

· Bulutta yerel bir SIEM kullanmak, entegrasyon maliyetlerini kesinlikle azaltır ve kaynakları serbest bırakarak bu alanda da tasarruf ve verimliliği arttırır.