Makalemin ikinci bölümünde kaldığımız yerden devam ediyoruz. İlk bölüm için aşağıdaki linki kullanabilirsiniz.
Hatırlarsanız ilk bölümde temel olarak Bulut temelli bir SIEM ürünü olan Sentinel’ e giriş yapmış ve hızlı bir şekilde hesap açma, workspace oluşturma ve Sentinel servisini aktifleştirmeyi görmüştük. Bu bölümde ise ikinci adım olan veri toplama işlemini göreceğiz. Aslında bu konuda pek çok örnek vermeyi düşünüyorum. Yani her bir bölümde bir firewall, Windows Server, bulut sistemleri, network aktif cihazları veya mevcut syslog server entegrasyonundan bahsedeceğim.
Peki bu bölümde ilk olarak ve tabiki çok kolay olması nedeni ile office 365 hesabınız için SIEM özelliğini nasıl kazandıracağımızı göreceğiz.
Bunun için ilk olarak Sentinel konsolumuzu açıyoruz.
Gördüğünüz gibi konsol veri anlamında boş, çünkü herhangi bir veri kaynağı bağlamadık. Peki konsolu incelediğimiz zaman hızlıca neler görüyoruz?
Sol bölümde en üstte ana ekran görünümü, yani bir nevi siem ürünü için ana ekran diyebiliriz. Hemen altında farklı kaynaklardan topladığımız logları görebileceğimiz “Logs” bölümü var. Altında ise haberler ve yönlendirme linkleri yer almaktadır.
Peki Threat management başlığı altına bakalım isterseniz. Incident adı üstüne siber olayları temsil etmektedir. Workbooks ise aslında sizin farklı kaynaklardan topladığınız verileri daha anlamlı hale getirmenizi sağlar. Yani bir SIEM düşünün kapı geçiş sisteminden dosya sunucusuna, mail sunucusundan güvenlik duvarına kadar çok farklı kaynaklardan veri toplamaktadır. En temel sorun bu kadar farklı veri kaynağı için ortak bir ekran veya ekranlar çok yeterli olmamaktadır. İşte tam bu noktada Microsoft Workbooks kavramı ile veriyi aldığınız kaynağa özel ekranlar sunmaktadır.
Bunu makalemin ilerleyen bölümlerinde daha detaylı göreceksiniz.
Hunting kısmı benim en beğendiğim bölüm, özetle topladığınız loglar üzerinde mevcut atak senaryolarını çalıştırıp olası saldırı veya siber olayları ya da risklerinizi size rapor olarak sunabiliyor. Bunu da yine veri topladıktan sonra inceleyeceğiz.
Peki gelelim biraz makalemizin konusuna, Notebooks dahil her bölüme makalemin içerisinde (serinin ilerleyen bölümlerinde) değineceğim. Peki “Data connectors” şu anda bizim için en önemli bölüm.
Gördüğünüz gibi hazır 40 adet connector var, benim kullandığım connector sayısı sıfır, bir tane de geliştirmekte olan connector olduğunu görüyoruz. Şimdi burada özellikle firewall kullanan pek çok müşterimin bir sorusu oluyor;
Hızlı bir şekilde connector listesine bakacak olursak pek çok üreticinin burada olduğunu görüyoruz. Peki sizin kullandığınız firewall veya örnek bir kapı geçiş sistemi burada yok, bu durumda Azure Sentinel sadece bu 40 üretici veya connector ile mi çalışıyor diye bir soru sorabilirsiniz.? Aslında aşağıdaki temel iki connector sayesinde mevcut siem veya log üreten her sistem ile konuşabildiğiniz söyleyebiliriz.
CEF
Ve Syslog.
Basitçe özetlemek gerekiyor ise, örnek X marka bir firewall kullanıyorsunuz ve burada connector göremediniz, hiç sorun değil mevcut firewall’ un loglarını mutlaka bir log sunucusuna alıyorsunuzdur. Bunun illa bir siem olmasına gerek yok, hatta ücretsiz bir syslog server bile olabilir. Daha sonra ister CEF ister Syslog connector ile bu logları buluta çıkarabilirsiniz.
Ben ilk olarak office 365 connector ile başlıyorum. Yani eğer office 365 müşterisiyseniz hızlıca office 365 üzerindeki tüm aktiviteleri Azure Sentinel içerisine alabilirsiniz.
Bunun için ön gereksinimler aşağıdaki gibidir;
- Azure Sentinel workspace için okuma ve yazma izinlerine sahip olmanız gerekir. Yani yetkili bir kullanıcı ile işe başlayın lütfen.
- Office 365 için global administrator veya security administrator yetkisine sahip olan bir kullanıcınız olmalı.
- Office 365 dağıtımınızın Azure Sentinel çalışma alanınızla aynı kiracı üzerinde olması gerekir. Yani azure ve office 365 hesaplarınız aynı “tenant” İngilizce yazdım ki daha anlaşılır oluyor o zaman olması şart.
Son olarak office 365 hesabınız için Unified audit logging açık olmalıdır. Bakınız https://docs.microsoft.com/en-us/microsoft-365/compliance/turn-audit-log-search-on-or-off?view=o365-worldwide
Open connector page linkine tıklayın.
Çıkan sayfadan öncelikle hangi servisleri izlemek istediğinizi seçin, örnek ben hem exchange server hem de SharePoint seçtim. Onedrive SharePoint içerisindeki bir özellik olduğu için onunda logları otomatik toplanacaktır.
Burada birkaç önemli konu var. Öncelikle Office 365 hesabı ile Azure Log Analytics workspace aynı tenant içerisinde olmalıdır, yani office 365 hesabınız ile aynı tenant – kiracı – hesap nasıl isimlendirirseniz bir azure üyeliğinizin de olması gereklidir. Ürün ilk ön izleme sürümünde iken böyle bir şart yoktu, yani connect diyerek size bir login sayfası çıkarıp istediğiniz bir office 365 hesabına bağlıyordu, yani belki ilerleyen zamanlarda yine bu özellik değişebilir. Ek olarak diğer office uygulamaları veya Teams loglarını da Sentinel ile korumak istiyorsanız aşağıdaki iki makaleyi inceleyebilirsiniz.
Bundan sonra yapmanız gereken tek şey biraz beklemek. Bu sayede loglar azure ekranına düşecektir. Bunun connector sayfasından da kontrol edebilirsiniz.
Gördüğünüz gibi henüz herhangi bir log gelmemiş.
Kısa bir süre sonra ise logların oluştuğunu göreceksiniz. Bunu isterseniz dashboard üzerinden de kontrol edebilirsiniz.
Tabi şu anda çok anlamlı raporlar yok, biraz sistemin log toplamasını bekleyelim.
Evet ben beklesem de gördüğünüz gibi log sayısı çok artmadı çünkü bu bir demo olduğu için üretebileceğim log sınırlı kaldı. Ama hızlıca neler görebiliyoruz ona bir bakalım.
Öncelikle logları bir kontrol edelim
Burada eğer kusto diline hâkim iseniz sorgunuzu kendiniz çekebilirsiniz veya bu şablonları kullanabilirsiniz.
Örnek bir kusto sorgusu ile son 30 gün için kullanıcı upload işlemlerine ait logları çektim.
Burada aklınıza bulut temelli bir siem olduğu için bu tür log toplama gecikmeleri gelebilir ister cloud üzerinde ister Onprem olsun aslında loglar azure data platform’ a aktarıldığı için mutlaka bir gecikme söz konusu. Bu gecikme genelde 2 ila 5 dakika arasında değişmektedir. Eğer bu konuda derinlemesine bir araştırma yapmak isterseniz aşağıdaki makaleyi okumanızı tavsiye ediyorum.
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-ingestion-time
Örnek sorgular ile gecikme sürelerini de öğrenebiliyoruz.
Peki şimdi ne yapıyoruz? Hatırlarsanız topladığımız pek çok log kaynağı için Microsoft bize özel ekranlar hazırlamıştı, şimdi isterseniz hızlıca loglar bir yandan toplanırken bizde bu ekranları ekleyelim. Bunun için Workbooks sekmesine gelip Exchange Online, Office 365 ve SharePoint & Onedrive şablonlarını kaydedelim. Tek yapmanız gereken bu şablonların üzerine tıklamak ve sağ ekrandan save etmek.
Ardından “My Workbooks” bölümünden aktif kullandığınız ekranları görebilirsiniz, bu ekranlara ulaşmak için ise sağ bölümden “View saved woorkbook” demeniz yeterli.
Örneğin en çok aktivite genelde SharePoint ve onedrive üzerinde olduğu için onu seçtikten sonra view template diyebilirsiniz.
Operations bölümünden istediğiniz veya tüm operasyonları seçebilirsiniz
Bunu seçtikten sonra aşağıdaki gibi bir ekran sizi karşılayacaktır.
Workbooks için aslında tam olarak anlatmak istediğim konu buydu, yani her bir log kaynağı için özel ekranlar. Bu bir dosya sunucusu olduğu için ona özel operasyonlar, yani hareketler veya aksiyonlar gibi düşünebilirsiniz görsel olarak listelenmektedir.
Rapor ekranı devam ediyor
Yine bu bölüm süper çünkü dosya isimlerini bile görebiliyorsunuz
Bunun gibi kullanabileceğiniz iki Workbooks daha var, örnek hızlı bir şekilde exchange online üzerinde ne olmuş ona bakabilirsiniz
Ya da Office 365 yani genel bir bakış için bu Workbooks’ u kullanabilirsiniz.
Özetle sanırım Azure Sentinel ve Workbooks konusu ile office 365 tarafının anlaşıldığını düşünüyorum. Tabiki her siem de olduğu gibi derin konular için yani örnek ekranda göremediğiniz ve bir siber olay incelemesi için gerekli olan aktiviteleri kusto sorgulama dili ile bulabilirsiniz.
Eğer ara yüz dışında kusto ile sorgulama yapmak istiyorsanız aşağıdaki link size yardımcı olacaktır.
https://github.com/briantjackett/log-analytics-samples
Makalemin ikinci bölümünün de sonuna geldim, umarım faydalı bir makale olmuştur.