Azure Sentinel, Microsoft’ un bulut tabanlı yeni nesil SIEM ürünüdür. Bu tanım aslında ilk bakışta konuyu özetlemek için kullanılsa da Azure Sentinel bir SIEM ürününden fazlasıdır. Kurumsal seviyede gerek yerleşik gerekse bulut tabanlı alt yapınızın “intelligent security analytics” olarak isimlendirilen akıllık güvenlik analizi yapan bir üründür. Yani tüm kurumunuzdan alınan logların toplandığı ve işlendiği bir merkez olarak düşünebilirsiniz.
Microsoft Azure ve Office 365 gibi yaygın bulut hizmetleri sayesinde güvenlik alanında her geçen gün çok daha etkili ürün ve hizmetler sunmaya başladı. Özellikle bundan önce forefront ürün ailesi ile yaşanan başarısızlık sonrasında bir nevi Microsoft’ un dönüşü muhteşem oldu diyebiliriz. Tabiki buradaki en önemli etkenlerin başında “veri” yer alıyor. Günün sonunda güvenlik söz konusu olduğunda saldıranlar hep bir adım öncedir. Güvenlik firmaları ise özellikle yaygınlaşmak için çok ciddi bir rekabet içerisindedirler. Çünkü bir üreticinin ne kadar çok istemci tarafında bilgisi olur ise Dünya üzerindeki saldırılar hakkında o kadar çok bilgisi olur. Yine son dönemde çok kullanılan AI, ML gibi teknolojiler de büyük veriler ile daha kesin sonuçlar verebilmektir.
Daha basit bir örnek vermek gerekir ise X bir üreticinin anti spam gateway ürünü üzerinden dünyadaki 10 milyon mail’ in geçmesi ile Y üreticisinin anti spam gateway ürününün üzerinden 1 milyar mail’ in geçmesi ikinci ürün için çok ciddi bir pozitif farkındalık oluşturur. Microsoft’ da AWS, Google, IBM, Oracle ve benzeri pek çok büyük bulut oyuncusunun başında yer alması nedeni ile son 10 yıldır çok ciddi bir veri işleme merkezi haline geldi.
2010 yılında Office 365 ile başlayan bu macera baktığımız zaman Dünya üzerinde (Türkiye de ağırlıklı olmasa bile) pek çok küçük veya büyük firmanın merkezileşen bu yönetim metodolojini benimsediğini görüyoruz. Durum böyle olunca da Microsoft sahip olduğu bu büyük veri okyanusunun çok iyi kullanmaya başladı. Tabiki buradan verilerimiz okunuyor mu gibi yanlış anlamalar çıkmasın. Kim hangi ip den, kaç kere, hangi protokol ile ne zaman gibi aslında kötü niyetli veya iyi niyetli istekleri ayırt edecek temel izleme bilgileri sayesinde bu kadar gelişmiş güvenlik hizmetleri sunabilmektedir. Veri Microsoft veya benzeri bulut oyuncularının veri merkezlerinde olunca aslında erişim noktasındaki kontroller bile pek çok atağın henüz müşteri verilerine ulaşmadan engellenmesini sağlamaktadır.
Dediğim gibi Office 365 ile başlayan macera özellikle Azure kullanımın artması ile ciddi farkındalık oluşturdu. Çünkü Office 365 içerisindeki hizmetler sınırlı iken Azure aynı yerleşik veri merkezlerimiz gibi canlı, sürekli gelişen ve değişen bir alt yapıyı temsil etmektedir. Firewall, erişim logları, IDS, IDP, EDR, AV, WAF, NLB, Application gateway derken aslında yerleşik sistemlerimiz için kullandığımız hemen hemen her ürünü Azure üzerinde de konumlandırabilir seviyeye geldik. Aslında bu temel bir güvenlik ihtiyacının sonucu oldu.
Microsoft ise bu ihtiyaçları çok iyi analiz edip pek çok alanda ciddi güvenlik hizmetleri sunmaktadır. Bu konuda hali hazırda pek çok makale yazdığım için örneğin sadece Azure Security Center bile sizleri çok ciddi etkileyecektir;
Azure Security Center hakkında merak ettiğiniz her konuda bir yazımı bulabilirsiniz;
Azure Security Center’ ı Nasıl Denerim?
Azure Security Center Free ve Standart Tier Farkları
Azure Security Center – Security Roles and Access Controls ve Security Policies and Recommendations
Azure Security Center – Data Collection and Storage
Azure Security Center – Ongoing Security Monitoring
Azure Security Center – Incident Response
Azure Security Center Alerts ve Veri Toplama Teknolojileri
Azure Security Center Custom Alert Rules
Peki gelelim Sentinel tarafına.
Malum yukarıda da girişini yaptığım gibi hali hazırda Microsoft çok ciddi bir güvenlik ürün portföyü ile bizlere hizmet sunmaktadır. Bulutun en büyük gücünden birisi olan akıllı hesaplama özellikleri sayesinde incelediği sistemler için hızlı aksiyon almanıza yarayan raporlar veya uyarılar sunmaktadır. Durum böyle olunca çok ciddi bir tecrübe ve alt yapı isteyen yerleşik SIEM ürünlerine göre çok daha avantajlı bir hal almaktadır. Malum, güvenlik alanındaki uzmanlar biliyor ki SIEM ürünlerinin kurulması, işletilmesi çok ciddi bir efor ister. Çoğunluğu maliyetli ürünler olup kurulum ve yapılandırma, sonrasındaki bakım ve işletme maliyetleri çok yüksektir.
Bulut temelli olduğu için veri toplama işi de son derece kolaydır. Öncelikle Office 365 gibi bir alt yapınız var ise zaten birkaç tıklama ile çok kolay bir şekilde Sentinel için Office 365 olaylarını toplayabilirsiniz. Bunun yanı sıra endüstri standartı haline gelmiş pek çok üreticinin ürünü ile sorunsuz bir şekilde konuşabilmektedir; Palo Alto Networks, F5, Symantec, Fortinet, and Check Point bunlardan sadece birkaç tanesidir.
Pek çok Microsoft bulut güvenlik ürününde olduğu gibi sadece bulut değil yerleşik sistemleri de kolaylıkla izleyebilir.
Peki nasıl çalışıyor?
Temel olarak 4 adımdan bahsedebiliriz;
Collect
Azure Sentinel ile tüm güvenlik verilerini yerleşik bağlayıcılar (connectors), diğer Microsoft ürünleri ile olan doğal iletişim desteği ve endüstri standartı halinde gelmiş common event format ve syslog gibi log formatlarının desteklemesi sayesinde tüm kullanıcı, aygıt ve alt yapınızdan bilgileri kolay bir şekilde toplayabilirsiniz. Sadece birkaç tıklamayla Microsoft Office 365 verilerinizi ücretsiz olarak içe aktarabilir ve analiz için diğer güvenlik verileriyle birleştirebilirsiniz. Azure Sentinel, her gün 10 petabyte’ dan fazla veri işleyen ve milyonlarca kaydı saniyeler içinde sıralayabilen çok hızlı bir sorgu altyapısı sağlayan, kanıtlanmış ve ölçeklenebilir bir günlük analizi veri tabanı üzerine kurulmuş olan Azure monitörünü kullanır.
Detect
Güvenlik uzmanları farklı ürünlerden gelen pek çok uyarının geleneksel korelasyon yöntemleri ile sadeleştirilmesine rağmen çok büyük bir yük altında karar vermek zorunda kalırlar. Alacakları kararlar bazen kesintiye neden olabilmektedir. Hatta bu nedenle çok fazla kesinti vermemek ya da false positive olarak isimlendirdiğimiz yanlış uyarıları bildirmemek adına güvenlik politikalarında sıkılaştırma yerine gevşeme yapabilirler.
Azure Sentinel ise milyonlarca düşük veya yüksek seviye güvenlik olaylarını en son teknoloji olan ölçeklenebilir makine öğrenme teknolojisini kullanarak gerektiği zamanda çok hızlı karar verebilmeniz için ihtiyacı olan kaynağı alıp ve sonucu ürettikten sonra bir daha ihtiyaç duyuncaya kadar tekrar düşük kaynak kullanımına devam eden bir yapıya sahiptir. Bu sayede gelen olayların sayısının artması veya azalması ürünün cevap verme süresini değiştirmemektedir.
Eğer hali hazırda kendi öğrenme modelleriniz var ise Azure Sentinel bu konuda da diğer rakiplerine göre çok farklı bir imkân sunmaktadır sizlere. Hali hazırda yıllardır Microsoft güvenlik mühendislerinin sağladığı öğrenme teknolojisini kullanan bu alt yapı eğer bu konuda tecrübeli iseniz Azure Machine Learning hizmetini kullanarak kendi modellerinizi Azure Sentinel’ e öğretebilirsiniz.
Investigate
Grafiksel ve AI tabanlı araştırma, bir saldırının tam kapsamını ve etkisini anlamak için gereken süreyi azaltacaktır. Saldırıyı görselleştirebilir ve aynı gösterge tablosunda hızlı eylemler yapabilirsiniz.
Bu görsel analiz sayesinde olayın veya zafiyetin kök nedenini çok daha kolay bir şekilde tespit edebilirsiniz.
Respond
AI, sorun bulma konusundaki odak noktanızı keskinleştirirken, sorunu çözdükten sonra aynı sorunları tekrar tekrar bulmaya devam etmek istemezsiniz-bunun yerine bu sorunlara yanıtı otomatikleştirmek istersiniz. Azure Sentinel, bütünleşik olarak otomasyon (automation) ve orkestrayon (orchestration) özelliği sunmaktadır. Bu sayede herhangi bir kodlama bilmenize gerek kalmadan önceden tanımlanmış veya kendinizin yazabileceği “playbook” lar sayesinde kolayca bir olay için aksiyon alabilirsiniz. Hatta bu bölümde çok seveceğiniz bir özellik, ServiceNow başta olmak üzere pek çok popüler, kurumsal süreç yönetim uygulaması ile konuşabilir. Bu sayede en basit anlamda otomatik case açma gibi işlemleri de yapabilirsiniz.
Kaynak