Inteqrasiya prosesin yekunlaşdırdıqdan sonra istifadəçi interfeysinin ümumi analizinə nəzər yetirə bilərik.Ümumilikdə Azure Sentinel İnterfeysi 3 hissəyə ayrılır: General, Threat Management və Configuration.

GENERAL

Overview panelində ümumi məlumat lövhəsi (Dashboard) yerləşir. Bu lövhədə sistemdə baş verən bütün insident, xəbərdarlıq və digər məlumatları rahat və sürətli şəkildə izləyə bilərsiniz.

Logs

Burada siz müəyyən sorğular (query) vasitəsilə, hər hansı insidenti daha dərindən araşdıra bilərsiniz.

News & guides

Bu hissədə işə başlamaq üçün ilkin addımlar və Azure Sentinel platformasında baş verən yeniliklər ilə bağlı informasiya əks olunur. Bu yeniliklərə mütəmadi olaraq Microsoft tərəfindən əlavə olunan Sentinel funksionallıqları və onlar haqqında ümumi məlumatlar daxildir.News & guides

THREAT MANAGEMENT

Incidents (İnsidentlər)

Qeydə alınmış xəbərdarlıqlar (Alert) əsasında generasiya edilən insidentləri,hər bir insidentin baş vermə tarixi və vaxtı, hazırkı statusu və digər məlumatları bu səhifədə araşdırmaq mümkündür.

İnsidentlər səhifəsi bir neçə paneldən ibarətdir:

• Açıq insidentlər
• Yeni insidentlər
• Fəaliyyətdə olan insidentlər
• İnsidentlərin ciddilik dərəcəsinə görə qruplaşdırılması
• İnsidentlərin müəyyən parametrlər əsasında axtarışı

Qeyd olunan pəncərədə insidentlərə bir neçə parametrlər əsasında filtrlər tətbiq etmək olar. Nümunə olaraq siz insidentləri həssaslıq dərəcələrinə görə (Severity) və ya məxsus olduğu platformalara uyğun filtrləyə bilərsiniz.

Hər hansı bir insidenti araşdırmaq üçün sağ tərəfdəki paneldən bəzi ilkin məlumatları əldə edə bilərik. Bu məlumatlara qeyd olunmuş insidentin ümumilikdə neçə dəfə baş verdiyini, həssaslıq dərəcəsini, insidentin yaranma və baş vermə vaxtını, statusunu və digər məlumatlar daxildir. İnsident haqqında daha ətraflı məlumat almaq üçün sağ tərəfdəki panelin üzərində “View Full Details” düyməsini sıxmaq lazımdır.

“Incidents” pəncərəsinin köməkliyi ilə, hər bir baş vermiş hadisənin araşdırılmasın müəyyən şəxslərə təhkim etmək mümkündür. Bu formada yanaşma, eyni problemin üzərində bir neçə nəfərin paralel işləməsinin qarsısın almağa şərait yaradır, əgər hadisəni bir neçə nəfər araşdırmalıdırsa, bu zaman hər bir insidentə şərhlər yazmaq olur və nəticədə digər təhlükəsizlik əməkdaşları araşdırma prosesinin hansı mərhələdə qaldığını və ya davam etdiyini görə bilər.

Araşdırma (Investigation)

Bəzən ilkin məlumatlar problemin tam dərk olunması, yaranma səbəbləri, təsir miqyası və digər aspektləri üçün kifayət etmir. Belə hallarda Azure Sentinel xidmətinin “İnvestigate” yəni araşdırma funksiyasından istifadə edilməlidir. Araşdırma paneli xüsusi qrafiklər vasitəsilə aşkar edilmiş insidentin daha dərindən analiz etməyə imkan yaradır. “Incidents” panelində əks edilmiş hər hansı bir insidentə daxil olarkən sağ tərəfdə açılan pəncərədə “investigate” düyməsi aktivləşəcəkdir. Bu düyməni sıxaraq seçdiyimiz insident haqqında qrafik formada analiz panelinə daxil olacayıq

Şablonlar (Workbooks)

Bu pəncərədə siz insidentlə birbaşa və ya hər hansı formada əlaqəsi olan bütün resursları görə, onlar haqqında məlumat ala və sistemdə etdikləri dəyişiklikləri izləyə bilərsiniz.

Məlumat mənbələrinə (Data Sources) qoşulduqdan sonra, Azure Monitor Workbooks vasitəsi ilə infrastrukturun ümumi təhlükəsizlik komponentləri barədə statistik məlumatlar əldə etmək mümkündür. Workbook – lar Azure Sentinel sistemində built-in olaraq mövcud olsa da, siz öz istəyinizə uyğun (Custom) workbook yarada bilərsiniz.

Workbook-lar Azure Sentinel mühitində bir növ şablon (Template) funksiyasını həyata keçirdir. Nümunə üçün İnfrastrukturda legacy (köhnə) formada autentifikasiya metodlarından olan NTLM v1 metodu istifadə edilirsə bu barədə ümumi statistikanı və ətraflı məlumatı Insecure Protocols workbook vasitəsi ilə əldə edə bilərsiniz.

Hunting

Təhlükəsizlik təhdidləri barədə öncədən, yəni proaktiv şəkildə xəbərdar olmaq üçün istifadə olunur. Azure Sentinel-in “Hunting” funksiyası özündə bir neçə sorğu alətlərin birləşdirir. Bu sorğular vasitəsilə siz, infrastruktur daxilində baş verə biləcək bütün təhlükəsizlik problemlərini araşdıra bilərsiniz.
Infrastruktur böyük olduğu zaman, adətən məlumat mənbələri də çox olur. Bu isə öz növbəsində külli miqdarda məlumat axını deməkdir. Bu cür məlumatların arasında hər hansı insidenti tapıb araşdırmaq kifayət qədər çətin prosesdir. Təhlükəsizlik analitikləri bəzi yarana biləcək təhdidlərin qarşısını öncədən almaq istəyirlər. Məsələn, bəzi təhlükəsizlik proqramlarının aşkar edə bilmədiyi lakin, sistemdə kifayət qədər şübhəli proseslər həyata keçirdən proqramlar və ya başqa təhlükə mənbələrin. Azure Sentinel-in built-in olaraq quraşdırılmış “Hunting” funksiyası vasitəsi ilə sistemə “düzgün” sorğular yönəldərək, şəbəkənizdə baş verən ciddi təhlükələr barədə məlumat almaq olar.

Nümunə üçün: Azure Sentinel Hunting skriptlərinin biri vasitəsi ilə siz, infrastrukturda ilk dəfə buraxılmış (run) proseslərin siyahısını əldə edə bilərsiniz. Bu siyahı tərkibi təhlükə demək deyil, lakin bu məlumatlar vasitəsilə siz hər hansı qeyri-adi və ya şübhəli proses aktivliyi aşkar etsəniz, baş verə biləcək potensial təhlükənin qarşısını almaq üçün lazımi tədbirləri öncədən görə biləcəksiniz.

Sentinel Hunting sizə əlavə olaraq bu imkanlar verir:

• Built-in queries – Sentinel konfiqurasiya edildikdə, servis artıq hazır sorğularla birlikdə aktiv olur. Yəni built-in olaraq yazılmış bu sorğular vasitəsilə siz məlumat mənbələrindən müəyyən kriteriyalara uyğun təhlükəsizlik loqları çəkə bilərsiniz. Bu sorğular Microsoft təhlükəsizlik əməkdaşları tərəfindən hazırlanır və periodik olaraq yenilənir.
• Funksional və kifayət qədər rahat sayılan İntelliSense texnologiyası vasitəsilə sorğular yarada və nəticələri araşdıra bilərsiniz.
• Bookmark – Hunting prosesi zamanı, siz bəzi şübhəli proseslər, aktivlik və ya başqa qeyri-adi fəaliyyət aşkar edə bilərsiniz. Bu məlumatlara başqa vaxt yenidən baxa bilmək və ya araşdırmanı qaldığı yerdən davam etdirə bilmək üçün Bookmark-lardan istifadə edilir.

Notebooks

Qeyd etdiyimiz kimi, Azure Sentinel üçün (ümumiyyətlə bütün SİEM həlləri üçün) təməl daxil olan məlumatlardır. Sentinel isə öz növbəsində, bu məlumatları yüksək hesablama imkanları ilə sorğular şəklində icra edir, genişlənə bilən dinamik sxemada qruplaşdırır və inteqrasiya edilmiş alətlər vasitəsilə vizual anlaşıla bilən formatda təqdim edir. Azure Portal və bütün Azure Sentinel alətləri məlumatlara müraciət üçün əsasən APİ (Application Programming İnterface) istifadə edir. Eyni interfeyslərdən istifadə edərək bir çox external alətlərlə inteqrasiya etmək mümkündür, bu tip alətlərə Jupiter notebooks və Python nümunə göstərmək olar.

Bir çox əməliyyatları portaldan kənarda icra etmək imkanı yaradan Jupiter, məlumatların emal edilməsi üçün əlavə funksionallıqlar təklif edir. Jupiter Machine learning, vizualizasiya və məlumat analizləri üçün istifadə oluna bilən fərqli proqramlaşdırma dillərin özündə birləşdirir. Azure Sentinel Notebooks səhifəsi Jupiter ilə inteqrasiya edilmişdir. Kqlmagic kitabxanası Azure Sentinel daxilində yazılmış sorğuların Jupiter notebook-da tətbiqinə imkan yaradır. Sorğular Kusto Sorğu Dilindən (KQL) istifadə edərək yazılır. Bir neçə  notebbok-lar Microsoft təhlükəsizlik əməkdaşları tərəfindən hazırlanaraq Azure Sentinel portalına yerləşdirilib. İstəyə uyğun olaraq əlavə notebook-ları Azure Community GitHub dan yükləmək olar.

davamı var…