Azure Sentinel Adım Adım Bulut SIEM Kullanımı – Bölüm1

Malum güvenlik hayatımızın ayrılmaz bir parçası, durum böyle olunca yıllardır güvenlik ürünleri ile çok fazla dirsek temasında bulundum. Sadece benim değil bilişim sektöründe çalışan pek çok personel, yönetici hatta şirket patronu bile güvenlik konsepti veya ürünleri konusunda fikir sahibi olmuştur. Tabiki bu konudaki farkındalık oranımız ne yazık ki özellikle orta ve küçük işletmeler de çok yüksek değil. Bunun pek çok nedeni var. En önemli konu aslında bütçe gibi görünse de bu tür şirketlerde çalışan bilişim personelinin yeterli eğitimi alamıyor olması, teknolojiyi takip edecek yeterli vakti olmaması (tüm işleri genelde bir veya iki personel yapınca akşam eve kendilerini zor atıyorlar, ertesi gün aynı rutin doğal olarak 10 yıllık dönüşümleri ancak bu dönüşümlerin sonunda yakalayabiliyorlar) ya da istekli olmamaları. Her ne nedenle olursa olsun yaşadığımız veri kayıpları, ifşa olayları gösteriyor ki bu alanda hala ülke olarak çok yol kat etmemiz gerekiyor. Peki güvenlik dediğimiz zaman aklımıza ne geliyor? Aslında pek çok alt kırılımı olan bu konuda anti virüs, anti spam, IDS, IPS, EDR, pentest, darkweb, kod analizi, kullanıcı davranış analizi, Audit, SIEM derken pek çok konu gelebilir. Benim de amacım bu yazı serisinde en azından bulut temelli bir SIEM – SOAR ürünü olan Sentinel hakkında sizleri bilgilendirmek. Bundan önceki yazılarıma göre bu yazı serimde biraz daha temel bir seviye izleyeceğim, aslında kariyerim boyunca yazdığım 1000’ den fazla makale ve blog yazısına bakınca çok teknik derinlikteki yazıların fazla okunmadığını gördüm, sonuçta bu kadar derin bilgiye kobi ihtiyaç duymuyor, banka çalışanı yada Telekom, gsm, büyük sigorta şirketleri ya da bu bilgiye ihtiyaç duyan şirket çalışanları zaten ya bizden ya da üreticiden destek alıyor, aslında bir nevi aynı zamanı daha geniş kitlelere hitap edecek yazılara ayırmaya karar verdim. Bir 18 yıl böyle geçti bakalım önümüzdeki birkaç yıl bu modeli deneyeceğim, eğer yararlı olduğunu düşünürsem bu şekilde devam edeceğim.

Öncelikle Audit ve SIEM arasındaki farkı anlatmak istiyorum. Bu konuda bende Lepide gibi bir Audit ürününün Türkiye dağıtıcısı bir firmaya sahip olduğum için bana bu konuda çok soru geliyor. Yani bizde SIEM var Audit ürünü gerekli mi? Ya da bize Lepide veriyorsunuz SIEM ihtiyacımı karılanmış oldu mu gibi? Aslında bu iki ürün temelde aynı işi yapıyor gibi görünse de pratikte farklı sonuçlar alıyoruz. Birbiri içine girdiği çok fazla alan olduğundan özellikle sınırlı bütçesi olan ya da personel sıkıntısı çeken firmalar bir noktada tercih yapmak zorunda kalıyor. SIEM kapsam olarak aslında Audit ürünlerini içine alan bir evrensel küme gibi düşünülmeli, sonuçta SIEM dediğimiz ürünler aslında sizin kapı geçiş sistemi, VPN, firewall, dosya sunucusu, mail server, web sitesi erişim logları derken aklınıza gelebilecek ve sizin entegre edebileceğiniz hemen hemen tüm sistemlerin olay günlüklerini yani loglarını merkezi olarak toplayan bir sistemdir. Durum böyle olunca Active Directory, Exchange Server, Sharepoint, Office 365, Azure, File Server, SQL gibi pek çok şirkette kullanılan bu bileşenler için Audit ürünü alarak bu ürünlerdeki değişiklikleri izleyebileceğiniz gibi SIEM entegrasyonu ile de bunu yapabilirsiniz. Peki banka, Telekom, GSM ve benzeri hem bütçesi hem de yeterli personeli olan firmalar neden her ikisini alıyor? Bunun en temel nedeni Audit ürünleri daha kullanıcı dostudur, izlediği ürüne özel raporlar, ekranlar, özellikler sunar. Yani “for exchange server” “for file server” “for office 365” gibi bileşenler veya ürünler özellikle özelleşmiş ürünler iken SIEM gibi kapı geçiş sisteminin de loglarını alırken Azure Active Directory loglarını da almasını beklediğiniz sistemler bu kadar esnek olamıyor. Yani ilk neden Audit ürünleri daha odaklı ürünler olduğu için SIEM ürünlerinden daha kolay kullanım sunar. İkinci en büyük özellik ise hız. Malum SIEM ürünleri tüm logları topladığı ve kolerasyon yani bu loglardan anlamlı sonuçlar çıkarmaya çalıştığı için ciddi bir sistem kaynağı ister. Genellikle bu kaynakların sağlanması pek mümkün olmaz veya ilk SIEM projesi hayata geçtiğinde sağlanmış olsa bile birkaç ay veya yıl sonra ürün ciddi performans kaybına uğrar. Bu durumda basit bir GPO değişikliğini kim yapmış dediğinizde bugün git yarın gel şeklinde bir cevap almanız mümkün, ben bizzat banka organizasyonlarında bu cevabı almış birisiyim. Malum banka büyük, parası çok, personeli çok ama verisi de çok olan bir yapıdır. Tabi ki proje güzel kurgulanmıştır ancak olası bir siber saldırı, geçiş, bakım derken sistemleri sürekli ilk gün olduğu gibi tutmak çok zor. Bir diğer konu ise uzman personel. Yani SIEM’ in ışıl ışıl çalışması, ilk günkü performansını koruması, sürekli güncellenmesi ve istediğiniz her log’ u istediğiniz formatta vermesi için uzman bir personel gerekli. Zaten kobi ve benzeri firmalarda her işi yapan personel için milyonlarca log yağan bir sisteme bakmak son derece zordur. Audit sistemi ise yine burada bir avantaj sunar, küçüktür, zaten modüler yapısı nedeni ile örneğin pek çok müşterim sadece SQL, File Server veya Exchange Server, AD gibi o anda ihtiyaç duyduğu veya bütçesinin yettiği modülleri alır. Son fark ise ücret tabiki. SIEM ürünleri daha geniş bir kapsam sunduğu için Audit ürünlerine göre daha pahalıdır. Özetleme gerekir ise eğer hem paranız hem de personeliniz var ise SIEM + Audit ürünleri mükemmel sonuç verir ki Türki’ nin pek çok büyük kurumunda bu senaryo aktif çalışmaktadır.

Evet genel girişi yaptıktan sonra Sentinel tarafına doğru biraz yanaşalım. Sentinel bulut temelli bir SIEM ürünüdür, yani agent veya entegrasyon yardımı ile topladığı logları azure veri merkezlerinde size ait olan workspace’ lerde tutarak kolerasyon, raporlama ve benzeri aksiyonlar alabilir. Eğer loğlarınız içerisinde kişisel veriler veya finansal, sağlık gibi kritik bilgiler yok ise (normalde loglarda veri olmaz arkadaşlar, ama örnek kullanıcı adı ve şifre sicil numarası değil ise bu veri kişisel veri gibi düşünülebilir ama onun dışında Local SIEM ürünleri örneğin splunk, Qradar gibi benzer şeklide sadece logları alır verileriniz ile ilgilenmez) ürünü gönül rahatlığı ile kullanabilirsiniz. Eğer böyle bir hassasiyetiniz var ise on-prem ürünleri tercih edebilirsiniz;

Magic Quadrant for Security Information and Event Management

Bu ekranı sadece fikir vermesi için paylaşıyorum. Malum gartner fikir aldığımız yani yorum olarak ama yine şirketimizin iş ihtiyaçlarına göre karar verdiğimiz bir sürecin parçası.

Peki bu işi de çözdü isek nasıl ilerliyoruz?

Öncelikle aşağıdaki temel bilgi niteliğindeki makalemi okumanızı tavsiye ederim, böylece doğrudan uygulamaya katılabilirsiniz.

İlk olarak bir azure hesabı açmamız gerekiyor, aşağıdaki makaleyi inceleyebilirsiniz

Hesabınızı açtıktan sonra arama menüsüne sentinel yazabilirsiniz

Azure Sentinel linkine tıkladığınız zaman aşağıdaki gibi bir pencere sizi karşılayacaktır.

Gördüğünüz gibi öncelikle bir Log Analytics workspace’ e yani logların toplanacağı bir yere ihtiyacımız var. Eğer mevcut bir workspace var ise connect diyerek onu bağlayabilirsiniz. Ben ise size sıfırdan başlayan birisi için anlatım yapacağımdan workspace açılışını da göstereceğim. Yine arama menüsüne “Log analytics” yazabilirsiniz

Çıkan en üstteki link’ e tıklayalım

Daha sonra “Create log analytics workspace” butonuna tıklayalım.

Subscription bölümü sizin sahip olduğunuz abonelikleri gösterir, bende birden çok abonelik olduğu için Microsoft tarafından bana verilen aboneliklerinden birisini seçiyorum. Hemen altında ise Resource group seçimi var. Benim azure hesaplarımda pek çok kaynak var ve bu kaynakların yönetimini kaynak grupları ile yapıyorum, bu sayede kaynak gruplarını bir arada yönetmek daha kolay oluyor. Mevcut kaynaklarım ile bu makale özelinde açacağım kaynakların karışmaması için yeni bir Resource group tanımlıyorum.

Ardından bu çalışma alanı için bir isim veriyorum ve son durum aşağıdaki gibidir

Region ise hangi azure veri merkezinde bu kaynağı açmak istediğimi seçtiğim bölümü ifade ediyor. Genelde en ucuz ve Türkiye ye en yakın yani network gecikmesi en düşün olan veri merkezlerinden birisi WE’ dir.

Daha sonra üst bölümden fiyatlama seçeneğine geçebilirsiniz. İlk gelen seçenek kullandığın kadar öde modelidir, yani ne kadar log toplarsanız o kadar ücret ödersiniz ama unutmayın bu sadece workspace içindir, yani bu sentinel ücreti değildir. Bir nevi log saklama ücreti gibi düşünebilirsiniz.

Bundan sonra Review + Create diyebilirsiniz (Tags kısmını diğer yazılarımdan takip edebilirsiniz)

Artık bir workspace olduğuna göre tekrar sentinel alanına dönebiliriz. Daha sonra ana ekrandan bir workspace bağlantısı yapmak için “Connect workspace” butonuna tıkladığınız zaman aşağıdaki gibi bir ekran açılacaktır.

Sizin birden çok workspace yani çalışma alanınız olabilir, bu durumda arama menüsünü kullanabilirsiniz. Mevcut veya istediğiniz çalışma alanını bulup bağlayalım. İlgili çalışma alanının üzerine tıkladıktan sonra sol alt köşede add azure sentinel düğmesine basmamız yeterlidir.

Evet gördüğünüz gibi artık Azure sentinel ana ekranı hazır. Artık aktif kullanabileceğiniz bir SIEM ürünü kurmuş olduk. Tabiki on-prem ürünlere göre cloud yani bulut temelli bir ürün olduğu için hızlı kuruldu ve siz ne zaman kurduk gibi bir şaşkınlık yaşıyor olabilirsiniz, bulutun güzelliği de bu aslında. Referans makalemde de söylediğim gibi tüm bilgisayar alt yapısı yani CPU, RAM, Disk azure tarafından sunulduğu için bizim o tür konuları dert etmemize gerek yok. Peki makalemin ilk bölümünde temel olarak SIEM, Audit teknolojilerine değindim. Arından çok hızlı bir şekilde azure hesabımız üzerinden bir SIEM hizmeti kurulumunu gerçekleştirdik. Bundan sonra aynı on-prem de olduğu gibi kaynaklarımızı ekleyeceğiz. Yani hangi sistemlerin hakkında log toplamak istiyorsanız o sistemler için Collect data bölümünden log toplamaya başlayacağız arkadaşlar.

Makalemin bir sonraki bölümünde görüşmek üzere.