Azure Sentinel Interfeys komponentləri -2 ci hissə.
Bundan əvvəlki məqaləmizdə Azure Sentinel interfeys komponentlərindən olan “General” və “Threat management” bölmələrin nəzərdən keçirdik. İndi isə Sentinel İnterfeysinin son bölməsi olan “Configuration” bölməsinin imkanları ilə tanış olaq.
CONFIGURATION
Data connectors
Bu səhifədən bütün məlumat mənbələrinə qoşulmaq və məlumatları bir yerə topalamaq olar. Azure Sentinel deployment məqaləsində bu barədə danışmışıq.
Analytics
Qeyd olunan funksiya vasitəsilə lazımsız xəbərdarlıqları ləğv edə və müəyyən template-lər əsasında sizə lazım olan hadisə növlərin təyin edə bilərsiniz. Azure Sentinel sistemin ilk dəfə qurduğunuz zaman bu səhifədə built-in qaydalar təyin edilmiş olur. İstəyə uyğun olaraq yeni qaydalar yarada və ya built-in şəkildə təqdim olunan şablonlarda dəyişikliklər edə bilərsiniz.
Analytics səhifəsində qeyd olunan qaydalar 4 hissəyə bölünür.
Scheduled
Bu tip qaydalar Microsoft təhlükəsizlik ekspertləri tərəfindən yazılan planlaşdırılmış sorğulardan ibarət olur. Siz bu qaydaların sorğu məntiqin görərək, müəyyən dəyişikliklər edə bilərsiniz. Yəni, Scheduled qaydaları şablon kimi istifadə edərək eyni məntiqə oxşar lakin, sizin istəyinizə daha uyğun şəkildə qaydalar hazırlamaq mümkündür.
Fusion
Bu texnologiya vasitəsilə, Azure Sentinel çox mərhələli hücumları (multistaged attacks) aşkar edir. Fusion texnologiyası bir çox müasir metodlardan və təcrübələrdən istifadə edərək boşluqları kifayət qədər effektli şəkildə aradan qaldırmağa kömək edir. Default olaraq Fusion aktiv olur, lakin kodlaşdırılma məntiqi qapalı şəkildə olduğuna görə siz bu tip qaydaları şablon kimi istifadə edə bilmərsiniz.
Microsoft Security
Bu tip şablonlar Microsoft təhlükəsizlik həlləri tərəfindən generasiya olan xəbərdarlıqlar əsasında Azure Sentinel insidentləri yaradır. Bu şablonları dəyişmək və yenisini yaratmaq mümkündür.
ML Behavior Analytics
Bu şablonlar Microsoft Machine Learning alqoritmləri əsasında hazırlanır. ML Behavior Analytics qaydalarının daxili məntiqin, işləmə mexanizmini və tətbiq olunma vaxtın görmək mümkün deyil. Çünki bu məlumatlar gizlin şəkildədir və siz bu şablonlar istifadə edərək yenisini yarada bilmərsiniz.
Security Playbooks
Azure Sentinel -in SOAR xüsusiyyətləriə daxil olan xidməti Security Playbook adlanır. Playbook Azure Sentinel tərəfindən hər hansı xəbərdarlıqla bağlı işə salınan proseduralar toplusudur.
Azure Logic Apps servisinə əsaslanan bu xidmət kifayət qədər funksional və hərtərəflidir. Hər bir playbook seçdiyiniz Subscription-da yaradılır lakin, Playbooks səhifəsinə daxil olduqda bütün siyahını görə bilirsiniz. Qiymət hesablanması Azure Logic App planına görə aparılır. Security Playbook vasitəsi ilə konfiqurasiya edilmiş avtomatlaşdırma mexanizminə aid bir nümunəni gözdən keçirdək.
Siz infrastrukturu qara siyahıya (Black listed malicious İP addresses) salınmış İP ünvanlardan gələn təhlükələrdən qorumaq üçün Azure Sentinel-də xüsusi qayda tətbiq etmişiniz. Bu qayda hər hansı qara siyahıda olan İP ünvandan gələn sorğuları qeydə alır. Playbook-dan istifadə edərək siz bu xəbərdarlıqları aşağıdakı formada avtomatlaşdıra bilərsiniz:
- Xəbərdarlıq generasiya oluna kimi, sizin İTSM həllinizdə (SeviceNow, ManageEngine və sairə) bilet (ticket) açılır.
- Sonra isə əvvəlcədən təyin etdiyiniz məktub Microsoft Teams kanalına göndərilir ki, aidiyyəti adamların hamısının insident barədə məlumatı olsun.
- Bütün yığılmış məlumatı e-mail vasitəsilə təhlükəsizlik administratorlarına göndərilir. Bu emaildə Block və ya İgnore düymələri aktiv olur.
- Administratorlardan hər hansı biri Block və ya İgnore düyməsin basdıqdan sonra Playbook işləməyə davam edir.
- Əgər admin “Block” düyməsini sıxarsa, müvafiq İP ünvan Firewall-da blok edilir və istifadəçi hesabı Azure Active Directory-də disable
- Əksinə olaraq, administrator “Ignore” düyməsini sıxarsa, Azure Sentinel-də xəbərdarlıq bağlanır və İTSM -də bilet (Ticket) ləğv edilir.
Community
Siz Hunting prosesin nəticələrini, aşkar etdiyiniz boşluqları və digər faydalı hesab etdiyiniz məlumatları GitHub portalda paylaşa bilərsiniz. Eyni zamanda community portaldan sizə maraqlı və faydalı ola biləcək script, sorğu və digər resursları əldə etmək imkanı vardır. Başqa sözlə desək communtiy vasitəsilə insanlar öz təcrübələrin bölüşür və qarşılıqlı inkişaf üçün resurs paylaşımları edə bilər.
Settings
Bu pəncərədə Azure Sentinel – in istifadə şərtləri ilə tanış olmaq, ehtiyac olmadığı təqdirdə Sentinel-i sistemdən ləğv etmək və ya Workspace konfiqurasiyalarında müəyyən dəyişikliklər edə bilərsiniz.