Azure Sentinel Adım Adım Bulut SIEM Kullanımı – Bölüm9 – Playbooks
Azure Sentinel, Microsoft’un bulut temelli SIEM/SOAR ürünüdür. Malum bende son 8 bölümdür bu ürünü sizlere detaylandırmaya çalışıyorum. SIEM/SOAR ürünlerini yakından inceleyenler, kullananlar veya bu konuda danışmanlık yapanların çok iyi bildiği gibi bu tür ürünlerde “respond to threats” yani olası bir tehdide karşı cevap, aksiyon çok önemlidir. Pek çok güvenlik ürünü artık yapay zekayı bünyesine entegre ederek daha otomatize olmaya çalışıyor, çünkü günümüzde ataklar çok daha sofistike ve bu nedenle insan eli ile ayıklama, kontrol etmek her geçen gün daha da zorlaşıyor.
Playbooks tam bu noktada Sentinel ürününe tehditlere karşı otomasyon yeteneği kazandırmaktadır. Temel görevleri ve iş akışlarını zamanlamak, otomatikleştirmek ve düzenlemek için otomasyon adımlarını çalıştırmanıza olanak tanır. Tabi ki bu yeni bir şey değil ancak gerek yerleşik gerekse geleneksel sistemlerde bu tür otomasyonlar için ciddi manada Python, C# ve PowerShell gibi belirli programlama dillerine hâkim olmanız gerekiyordu, Playbooks ise sadece sürükle bırak yöntemi ile son derece kolay bir şekilde otomasyon desteği sunmaktadır.
Temel olarak bir alert oluştuğunda buna karşılık çalıştırılabilen bir prosedürler koleksiyonudur. Oluşturduğunuz bu güvenlik çalışma kitapları (Türkçesi de çok anlamlı olmuyor ama) isterseniz elle isterseniz otomatik çalışmaktadır. Yani genelde bu kısmı atlayabiliyor insanlar, sürekli bir tetiklemenin otomatik olması gerekmiyor, sizin için örneğin bir süreç vardır ve bunu elle istediğiniz zaman tetiklemek istiyor olabilirsiniz.
Azure Sentinel Playbooks temelde Azure Logic Apps kullanır. Yani bu Logic Apps ‘in tüm gücünü, özelleştirilebilirliğini ve yerleşik şablonlarını kullanabileceğiniz anlamına geliyor. Burada yine önemli bir konu her bir Playbooks aslında belirli azure üyeliği için oluşturulmasına rağmen siz bu sayede tüm playbook’ ları görebilirsiniz.
Peki bu kadar giriş bölümünden sonra isterseniz yavaş yavaş uygulama bölümüne geçelim. Bunun için hızlı bir şekilde azure Sentinel panelini açıyoruz ve sol bölümden “Playbooks” linkine tıklıyoruz.
Gördüğünüz gibi hiçbir playbook tanımlı değil, hızlıca bir tane tanımlamak için Add Playbook linkine tıklayalım.
Not: Eğer bu işlemleri global admin ile yapmak istemiyor veya tanımlı playbook’ lar için erişim yetkileri vermek istiyorsanız aşağıdaki tabloyu incelemenizi öneririm;
Daha fazla bilgi için, https://docs.microsoft.com/en-us/azure/sentinel/roles#roles-and-allowed-actions
Sizi yukarıdaki gibi bir ekran karşılayacaktır. Öncelikle bir Logic App oluşturmanız gerekli. Makalemin başında Azure Sentinel Playbooks’ un aslında alt yapıda Logic App kullandığını söylemiştim.
Bu ekranda pek çok şablon olduğunu görebilirsiniz. İsterseniz mevcut bir şablon üzerinden isterseniz Blank Logic App diyerek sıfırdan bir şablon kullanabilirsiniz. Biz sıfırdan bir şablon oluşturalım.
Örnek benim internete açık ve tuzak için kurduğum bir RDP makinesi var, yani sürekli olarak atak alıyor ve bende bu ip adreslerini sentinel üzerinde topluyorum. Bunun zaten makale serimi eğer başından sonuna okuduysanız biliyorsunuzdur. Şimdi ben basit bir örnek ile eğer böyle bir atak gelir ise sistemin beni mail ile uyarmasını istiyorum.
Bunun için yukarıdaki ekranda “sentinel” yazdıktan sonra aşağıdaki bölümde Triggers yani tetikleyiciyi seçiyorum. Burada tetiklemeden anlamamız gereken ne olur ise bu playbook çalışacak, eyleme geçecek gibi düşünebilirsiniz. Yani sentinel üzerinde bir alert veya incident olurşur ise, ben Alert’ i seçiyorum.
Bu bölümde yine söylediğim gibi tenant bazlı olduğu için hangi tenant için bu playbook oluşturulacak ise onu seçiyorum. Login olduktan sonra New step linkine tıklıyoruz.
Açılan menüde arama bölümüne “send email” yazınca Office 365 veya isterseniz gmail dahil pek çok alternatif bulabilirsiniz. Yani mail göndermek için illa office 365 hesabınızın olmasına gerek yok. Herhangi bir SMTP sunucu bilgisi ile de mail gönderebilirsiniz.
Office 365 üzerine tıkladığınız zaman bu sefer ne yapmak istediğinizi seçeceğiniz birçok seçenek çıkacaktır, burada ben yine arama bölümüne send diyerek mail göndermek istediğimi belirtiyor ve çıkan seçeneklerden “Send an email” bölümünü seçiyorum.
İsterseniz bu bölümde sonlandırabilirsiniz. Yani bir alert oluştuğu zaman mail atma işlemi için bu adımlar yeterlidir. Ya da new step diyerek devam edebilirsiniz.
Not: Analytics bölümünde tanımladığınız rule içerisinde aşağıdaki gibi mutlaka playbook seçili olmalıdır.
Elle çalıştırdığım zaman sonuç aşağıdaki gibidir;
Bunun nedeni herhangi bir sorun var mı anlamak. Sonrasında ise sadece bekliyorum ve atak devam ettiği için bu sefer sistem otomatik mail gönderiyor
Evet gördüğünüz gibi sorunsuz bir şekilde mail gönderimini sağladık. Peki başka neler yapabiliriz? Mevcut playbook için edit demeniz halinde aşağıdaki gibi bir ekran karşınıza gelecektir.
Burada New step diyerek yapmak istediğiniz diğer aksiyonları da ekleyebilirsiniz. Burada size fikir vermesi için aşağıdaki linki paylaşmak istiyorum.
https://github.com/Azure/Azure-Sentinel/tree/master/Playbooks
Yani aslında bu bölümde çok ciddi kurallar yazarak olası tehditlere karşı ciddi bir defans yapma şansınız var. Ya da aşağıdaki gibi ara yüz üzerinden devam edebilirsiniz.
Örneğin atak alan sanal makineyi kapatabilirsiniz. Ya da ip adresini alalım ve sonrasında bu ip adresi için NSG üzerinde bir 3389 blok yazdırabiliriz.
Özetle aslında burada yapabilecekleriniz aynı on-prem siem ürünlerinde olduğu gibi biraz çevresel birimler ile ilgili. Yani SQL, SAP, Oracle, network konuları, kimlik doğrulama alt yapıları gibi genel saldırı yüzeyleri için otomatik cevaplar ve aksiyonlar tasarlamak bir noktada güvenlik uzmanlarının görevi.
Bu yazımında sonuna geldim, umarım faydalı olmuştur, bir sonraki paylaşımımda görüşmek üzere.