Az - Defender

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Microsoft Sentinel

Microsoft Sentinel, Azure’da bulut tabanlı bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) ve SOAR (Güvenlik Orkestrasyonu, Otomasyon ve Yanıt) çözümüdür.

Bir organizasyonun (yerel ve bulut) güvenlik verilerini tek bir platformda toplar ve potansiyel tehditleri tanımlamak için yerleşik analiz ve tehdit istihbaratı kullanır. Sentinel, Log Analytics (büyük log depolama ve sorgulama için) ve Logic Apps (otomatik iş akışları için) gibi Azure hizmetlerinden yararlanır; bu, talep üzerine ölçeklenebileceği ve Azure’un AI ve otomasyon yetenekleriyle entegre olabileceği anlamına gelir.

Özünde, Sentinel çeşitli kaynaklardan logları toplar ve analiz eder, anomalileri veya kötü niyetli faaliyetleri tespit eder ve güvenlik ekiplerinin tehditleri hızlı bir şekilde araştırmasına ve yanıt vermesine olanak tanır; tüm bunlar Azure portalı üzerinden, yerel SIEM altyapısına ihtiyaç duymadan gerçekleştirilir.

Microsoft Sentinel Yapılandırması

Sentinel’i bir Azure Log Analytics çalışma alanında etkinleştirerek başlarsınız (çalışma alanı, logların depolanacağı ve analiz edileceği yerdir). Başlamak için yüksek düzeyde adımlar aşağıda verilmiştir:

  1. Bir Çalışma Alanında Microsoft Sentinel’i Etkinleştir: Azure portalında, mevcut bir Log Analytics çalışma alanı oluşturun veya kullanın ve Microsoft Sentinel’i buna ekleyin. Bu, Sentinel’in yeteneklerini çalışma alanınıza dağıtır.
  2. Veri Kaynaklarını Bağla (Veri Bağlayıcıları): Sentinel etkinleştirildikten sonra, yerleşik veri bağlayıcılarını kullanarak veri kaynaklarınızı bağlayın. Entra ID logları, Office 365 veya hatta güvenlik duvarı logları olsun, Sentinel logları ve uyarıları otomatik olarak almaya başlar. Bu genellikle logları kullanılan log çalışma alanına göndermek için tanılama ayarları oluşturarak yapılır.
  3. Analitik Kuralları ve İçerik Uygula: Veriler akmaya başladığında, tehditleri tespit etmek için yerleşik analitik kuralları etkinleştirin veya özel kurallar oluşturun. Tespit yeteneklerinizi hızlandırmak için önceden paketlenmiş kural şablonları ve çalışma kitapları için İçerik Merkezi’ni kullanın.
  4. (İsteğe Bağlı) Otomasyonu Yapılandır: Olaylara otomatik olarak yanıt vermek için playbook’larla otomasyon kurun—örneğin, uyarı göndermek veya tehlikeye atılmış hesapları izole etmek—genel yanıtınızı artırır.

Ana Özellikler

  • Loglar: Loglar bölümü, Kusto Sorgu Dili (KQL) kullanarak verilerinize derinlemesine dalmanızı sağlayan Log Analytics sorgu arayüzünü açar. Bu alan, sorun giderme, adli analiz ve özel raporlama için kritik öneme sahiptir. Log olaylarını filtrelemek, farklı kaynaklar arasında verileri ilişkilendirmek ve bulgularınıza dayalı özel panolar veya uyarılar oluşturmak için sorgular yazabilir ve çalıştırabilirsiniz. Bu, Sentinel’in ham veri keşif merkezidir.
  • Arama: Arama aracı, güvenlik olaylarını, olayları ve hatta belirli log girişlerini hızlıca bulmanızı sağlayan birleşik bir arayüz sunar. Birden fazla bölümü manuel olarak gezmek yerine, anahtar kelimeler, IP adresleri veya kullanıcı adları yazarak ilgili tüm olayları anında çekebilirsiniz. Bu özellik, farklı bilgi parçalarını hızlıca birleştirmeniz gerektiğinde özellikle yararlıdır.
  • Olaylar: Olaylar bölümü, tüm gruplandırılmış uyarıları yönetilebilir vakalara merkezileştirir. Sentinel, ilgili uyarıları tek bir olayda toplar ve ciddiyet, zaman çizelgesi ve etkilenen kaynaklar gibi bağlam sağlar. Bir olay içinde, uyarılar arasındaki ilişkiyi haritalayan ayrıntılı bir araştırma grafiği görüntüleyebilirsiniz; bu, potansiyel bir tehdidin kapsamını ve etkisini anlamayı kolaylaştırır. Olay yönetimi ayrıca görev atama, durum güncelleme ve yanıt iş akışlarıyla entegrasyon seçeneklerini içerir.
  • Çalışma Kitapları: Çalışma kitapları, güvenlik verilerinizi görselleştirmenize ve analiz etmenize yardımcı olan özelleştirilebilir panolar ve raporlardır. Çeşitli grafikler, tablolar ve sorguları bir araya getirerek eğilimler ve kalıplar hakkında kapsamlı bir görünüm sunarlar. Örneğin, bir çalışma kitabını oturum açma etkinliklerinin zaman çizelgesini, IP adreslerinin coğrafi haritasını veya belirli uyarıların zaman içindeki sıklığını göstermek için kullanabilirsiniz. Çalışma kitapları, organizasyonunuzun özel izleme ihtiyaçlarına uygun olarak hem önceden oluşturulmuş hem de tamamen özelleştirilebilir.
  • Avcılık: Avcılık özelliği, standart uyarıları tetiklememiş olabilecek tehditleri bulmak için proaktif bir yaklaşım sunar. MITRE ATT&CK gibi çerçevelerle uyumlu önceden oluşturulmuş avcılık sorguları ile birlikte gelir, ancak özel sorgular yazmanıza da olanak tanır. Bu araç, gizli veya ortaya çıkan tehditleri keşfetmek isteyen ileri düzey analistler için idealdir; tarihsel ve gerçek zamanlı verileri, örneğin alışılmadık ağ kalıpları veya anormal kullanıcı davranışlarını keşfederek inceler.
  • Not Defterleri: Not Defterleri entegrasyonu ile Sentinel, gelişmiş veri analitiği ve otomatik araştırmalar için Jupyter Notebooks’u kullanır. Bu özellik, Sentinel verilerinize doğrudan Python kodu çalıştırmanıza olanak tanır; bu, makine öğrenimi analizleri yapmayı, özel görselleştirmeler oluşturmayı veya karmaşık araştırma görevlerini otomatikleştirmeyi mümkün kılar. Veri bilimcileri veya standart sorguların ötesinde derinlemesine analizler yapması gereken güvenlik analistleri için özellikle yararlıdır.
  • Varlık Davranışı: Varlık Davranışı sayfası, çevrenizdeki normal etkinlikler için Kullanıcı ve Varlık Davranış Analitiği (UEBA) kullanarak temel düzeyler oluşturur. Kullanıcılar, cihazlar ve IP adresleri için ayrıntılı profiller gösterir, tipik davranışlardan sapmaları vurgular. Örneğin, normalde düşük etkinlik gösteren bir hesap aniden yüksek hacimli veri transferleri gerçekleştirirse, bu sapma işaretlenecektir. Bu araç, davranışsal anormalliklere dayalı iç tehditleri veya tehlikeye atılmış kimlik bilgilerini tanımlamak için kritik öneme sahiptir.
  • Tehdit İstihbaratı: Tehdit İstihbaratı bölümü, kötü niyetli IP adresleri, URL’ler veya dosya hash’leri gibi dış tehdit göstergelerini iç verilerinizle yönetmenizi ve ilişkilendirmenizi sağlar. Dış istihbarat akışlarıyla entegre olarak, Sentinel otomatik olarak bilinen tehditlerle eşleşen olayları işaretleyebilir. Bu, daha geniş, bilinen kampanyaların bir parçası olan saldırıları hızlıca tespit etmenize ve yanıt vermenize yardımcı olur ve güvenlik uyarılarınıza bir katman daha bağlam ekler.
  • MITRE ATT&CK: MITRE ATT&CK bölümünde, Sentinel güvenlik verilerinizi ve tespit kurallarınızı yaygın olarak tanınan MITRE ATT&CK çerçevesine haritalar. Bu görünüm, çevrenizde hangi taktiklerin ve tekniklerin gözlemlendiğini anlamanıza, kapsama alanındaki potansiyel boşlukları tanımlamanıza ve tespit stratejinizi tanınmış saldırı kalıplarıyla uyumlu hale getirmenize yardımcı olur. Düşmanların çevrenize nasıl saldırabileceğini analiz etmenin yapılandırılmış bir yolunu sağlar ve savunma eylemlerini önceliklendirmeye yardımcı olur.
  • İçerik Merkezi: İçerik Merkezi, veri bağlayıcıları, analitik kurallar, çalışma kitapları ve playbook’lar dahil olmak üzere önceden paketlenmiş çözümlerin merkezi bir deposudur. Bu çözümler, dağıtımınızı hızlandırmak ve güvenlik duruşunuzu iyileştirmek için yaygın hizmetler (Office 365, Entra ID vb. gibi) için en iyi uygulama yapılandırmaları sunar. Bu içerik paketlerini gözden geçirebilir, yükleyebilir ve güncelleyebilirsiniz; bu, yeni teknolojileri Sentinel’e entegre etmeyi kolaylaştırır.
  • Depolar: Depolar özelliği (şu anda önizlemede) Sentinel içeriğiniz için sürüm kontrolü sağlar. GitHub veya Azure DevOps gibi kaynak kontrol sistemleriyle entegre olarak, analitik kurallarınızı, çalışma kitaplarınızı, playbook’larınızı ve diğer yapılandırmalarınızı kod olarak yönetmenizi sağlar. Bu yaklaşım, değişiklik yönetimini ve iş birliğini geliştirmenin yanı sıra, gerekirse önceki sürümlere geri dönmeyi de kolaylaştırır.
  • Çalışma Alanı Yönetimi: Microsoft Sentinel’in Çalışma Alanı yöneticisi, kullanıcıların bir veya daha fazla Azure kiracısı içinde birden fazla Microsoft Sentinel çalışma alanını merkezi olarak yönetmelerini sağlar. Merkezi çalışma alanı (Çalışma Alanı yöneticisi etkinleştirildiğinde), içerik öğelerini Üye çalışma alanlarına ölçekli olarak yayımlamak için bir araya getirebilir.
  • Veri Bağlayıcıları: Veri Bağlayıcıları sayfası, Sentinel’e veri getiren tüm mevcut bağlayıcıları listeler. Her bağlayıcı, belirli veri kaynakları için önceden yapılandırılmıştır (hem Microsoft hem de üçüncü taraf) ve bağlantı durumunu gösterir. Bir veri bağlayıcısını ayarlamak genellikle birkaç tıklama gerektirir; ardından Sentinel, o kaynaktan logları almaya ve analiz etmeye başlar. Bu alan, güvenlik izlemenizin kalitesi ve kapsamı, bağlı veri kaynaklarınızın aralığı ve yapılandırmasına bağlı olduğu için hayati öneme sahiptir.
  • Analitik: Analitik bölümünde, Sentinel’in uyarılarını güçlendiren tespit kurallarını oluşturur ve yönetirsiniz. Bu kurallar, log verilerinizde şüpheli kalıpları veya eşik ihlallerini tanımlamak için belirli bir zaman diliminde (veya gerçek zamanlı olarak) çalışan sorgulardır. Microsoft tarafından sağlanan yerleşik şablonlardan birini seçebilir veya KQL kullanarak kendi özel kurallarınızı oluşturabilirsiniz. Analitik kuralları, uyarıların nasıl ve ne zaman oluşturulacağını belirler ve olayların nasıl oluşturulup önceliklendirileceğini doğrudan etkiler.
  • İzleme Listesi: Microsoft Sentinel izleme listesi, Microsoft Sentinel ortamınızdaki olaylarla ilişkilendirmek için dış veri kaynaklarından veri toplamanızı sağlar. Oluşturulduktan sonra, izleme listelerini arama, tespit kuralları, tehdit avcılığı, çalışma kitapları ve yanıt playbook’larınızda kullanın.
  • Otomasyon: Otomasyon kuralları, olay yönetiminin tüm otomasyonunu merkezi olarak yönetmenizi sağlar. Otomasyon kuralları, Microsoft Sentinel’deki otomasyon kullanımını kolaylaştırır ve olay orkestrasyon süreçleriniz için karmaşık iş akışlarını basitleştirmenizi sağlar.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin