Azure Sentinel quraşdırılması.

Bundan öncəki məqalədə Azure Sentinel barədə ümumi məlumatlar əldə etmişdik. Ümumi anlayış formalaşdıqdan sonra artıq Sentinel həllin infrastruktura inteqrasiya edə bilərik. Bu məqalədə Sentinel-in Azure portal vasitəsilə necə quraşıdırlmalı olduğu haqqında danışacayıq.

1. Azure Portala daxil olaraq “All services” bölümünə keçin.
2. Burada “Azure Sentinel“ seçərək üzərinə klik edin.
3. Azure Sentinel həllinin aktiv olması üçün subscription səviyyəsində “Log Analitycs Workspace“ konfiqurasiya edilməsi vacib şərtdir. Əks halda belə bir pəncərə ilə qarşılaşacaqsınız.

4. Burada “Connect Workspace“ düyməsi vasitəsilə siz yeni “Log nanlytics workspace“ yaradaraq Azure Sentinel-in bu “workspace“ üzərindən işləməsini təmin edə bilərsiniz.

5. Workspace yaradıldıqdan sonra Sentinel aktiv olacaqdır və artıq siz ”Welcome” səhifəsində ilkin konfiqurasiyaları həyata keçirdə bilərsiniz.

Konfiqurasiyanın ikinci mərhələsinə keçmək üçün sizə digər servislərdən məlumat toplamaq lazımdır. Əvvəlki məqalədə qeyd etdiyimiz kimi, Azure Sentinel-in əsas funksionallığı, ona daxil olan məlumat mənbəyinə əsasən formalaşır. Bu səbəbdən məlumat toplanması prosesi ilkin növbədə həyata keçirilməlidir.

6. Açılan pəncərədə “Collect Data” düyməsinə klik etdiyiniz zaman ”Configrations” bölməsində yerləşən ”Data Connector” pəncərəsinə yönləndiriləcəksiniz.”

Bu məqalə yazılan tarixdə Azure Sentinel tərəfindən dəstəklənən 39 ədəd “Connector” mövcüddur. Microsoft Azure Sentinel-də yerləşən birləşdirici (connector) sayın daima artıraraq, məlumat mənbələrinin sayını çoxaldır. Müxtəlif şirkət məhsullarının daxil olduğu connector siyahısı belədir:

• Amazon
  • Amazon Web Services
• Barracuda
  • Barracuda Web Application Firewall
  • Barracuda CloudGen Firewall
• Chekpoint
  • Chekpoint NG Firewall
• Cisco
  • Cisco ASA
• Citrix Systems Inc.
  • Citrix Analytics (Security)
• CyberArk
  • Privilaged Access Security
• ExtraHop Networks
  • ExtraHop Reveal(x)
• F5 Networks
  • F5 Firewall
  • F5 BIG-IP
• ForcePoint
  • Forcepoint CASB (Cloud Access Security Broker)
  • Forcepoint DLP (Data Loss Prevention)
  • Forcepoint NGFW (Next Generaiton FireWall)
• Fortinet
  • Fortinet Firewall
• Microsoft
  • Azure Active Directory
  • Azure Active Directory Identity Protection
  • Azure Activity
  • Azure Advanced Threat Protection
  • Azure information protection
  • Azure Security Center
  • Azure Security Center for IoT
  • DNS
  • Microsoft Cloud App Security
  • Microsoft Defender Advanced Threat Protection
  • Microsoft Web Application Firewall
  • Office365
  • Security Events
  • Syslog
  • Threat intelligence – TAXII (Trusted Automated eXchange of Intelligence Information)
  • Threat Intelligence Platforms
  • Windows Firewall
  • Common Event Format (CEF) – Non-Vendor
• Palo Alto Networks
  • Palo Alto Firewall
• One Identity LLC.
  • One Identity Safeguard
• Squadra Technologies
  • Squadra Technologies secRMM
• Symantec
  • Symantec Integrated Cyber Defense Exchange.
• Trend Micro
  • Trend Micro Software
• Zimperium
  • Zimperium Mobile Threat Defense
• Zscaler
  • Zscaler Solution

7. Nümunə olaraq Azure Active directory connector -un seçərək, səhifənin sağ tərəfində yerləşən “Open Connector Page” düyməsin sıxın.

8. Açılan pəncərədə “Azure Active Directory Sign-in logs” və ”Azure Active Directory Audit logs” yazılarının qarşısındakı ”Connect” düyməsini sıxaraq xidmətləri aktivləşdirin. Unutmayın ki, bu prosesin həyata keçməyi üçün sizin Azure Active Directory servisiniz Premium P1 və ya Premium P2 səviyyəsində olmalıdır.

Connection yekunlaşdıqdan sonra Azure Active Directory xidmətində generasiya edilən loq məlumatları Sentinel tərəfindən də istifadə edilə biləcək. Inteqrasiya eidlmiş servis loqlarını Sentinel vasitəsi ilə bir çox formada istifadə etmək mümkündür. Funksionallıq və ümumi imkanlar barədə məlumatı növbəti məqalədə təqdim ediləcək.

Davamı var…