gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 11:26:11 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-defender

Browse Source
This commit is contained in:
Translator
2025-03-21 09:33:26 +00:00
parent ca96236fc2
commit 51b1334893
3 changed files with 182 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

37
src/pentesting-cloud/azure-security/az-services/az-defender.md Normal file
View File

@@ -0,0 +1,37 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Defender for Cloud
Microsoft Defender for Cloud, Azure, yerel ve çoklu bulut ortamlarını kapsayan kapsamlı bir güvenlik yönetim çözümüdür. Cloud-Native Application Protection Platform (CNAPP) olarak kategorize edilir ve Cloud Security Posture Management (CSPM) ile Cloud Workload Protection (CWPP) yeteneklerini birleştirir. Amacı, organizasyonların **bulut kaynaklarındaki yanlış yapılandırmaları ve zayıf noktaları bulmalarına**, genel güvenlik duruşunu güçlendirmelerine ve Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), hibrit yerel kurulumlar ve daha fazlası üzerindeki gelişen tehditlerden iş yüklerini korumalarına yardımcı olmaktır.
Pratikte, Defender for Cloud **kaynaklarınızı güvenlik en iyi uygulamaları ve standartları ile sürekli olarak değerlendirir**, görünürlük için birleşik bir gösterge paneli sağlar ve saldırıları bildirmek için gelişmiş tehdit tespiti kullanır. Ana faydalar arasında **bulutlar arasında birleşik bir güvenlik görünümü**, ihlalleri önlemek için uygulanabilir öneriler ve güvenlik olayları riskini azaltabilen entegre tehdit koruması bulunmaktadır. AWS ve GCP'yi yerel olarak destekleyerek ve yerel sunucular için Azure Arc kullanarak, tüm ortamlar için **güvenliği tek bir yerden yönetmenizi** sağlar.
### Ana Özellikler
- **Öneriler**: Bu bölüm, sürekli değerlendirmelere dayanan uygulanabilir güvenlik önerilerinin bir listesini sunar. Her öneri, belirlenen yanlış yapılandırmaları veya zayıflıklarııklar ve düzeltme adımları sağlar, böylece güvenli puanınızı artırmak için neyi düzeltmeniz gerektiğini tam olarak bilirsiniz.
- **Saldırı Yolu Analizi**: Saldırı Yolu Analizi, bulut kaynaklarınız üzerindeki potansiyel saldırı yollarını görsel olarak haritalar. Zayıflıkların nasıl bağlandığını ve nasıl istismar edilebileceğini göstererek, bu yolları anlamanıza ve kırmanıza yardımcı olur.
- **Güvenlik Uyarıları**: Güvenlik Uyarıları sayfası, gerçek zamanlı tehditler ve şüpheli aktiviteler hakkında sizi bilgilendirir. Her uyarı, ciddiyet, etkilenen kaynaklar ve önerilen eylemler gibi ayrıntıları içerir, böylece ortaya çıkan sorunlara hızlı bir şekilde yanıt verebilirsiniz.
- Tespit teknikleri **tehdit istihbaratı, davranış analitiği ve anomali tespiti** üzerine kuruludur.
- Tüm olası uyarıları https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference adresinde bulmak mümkündür. İsim ve açıklamaya dayanarak, **uyarının neyi aradığını** (bypass etmek için) bilmek mümkündür.
- **Envanter**: Envanter bölümünde, ortamlarınızda izlenen tüm varlıkların kapsamlı bir listesini bulursunuz. Her kaynağın güvenlik durumunun anlık görünümünü sağlar, böylece hızlı bir şekilde korunmasız veya riskli varlıkları tespit edebilir ve düzeltme gereksinimlerini belirleyebilirsiniz.
- **Bulut Güvenliği Keşfi**: Bulut Güvenliği Keşfi, bulut ortamınızı aramak ve analiz etmek için sorgu tabanlı bir arayüz sunar. Gizli güvenlik risklerini ortaya çıkarmanıza ve kaynaklar arasındaki karmaşık ilişkileri keşfetmenize olanak tanır, genel tehdit avlama yeteneklerinizi artırır.
- **Çalışma Kitapları**: Çalışma kitapları, güvenlik verilerinizi görselleştiren etkileşimli raporlardır. Önceden oluşturulmuş veya özel şablonlar kullanarak, eğilimleri izlemenize, uyumu takip etmenize ve güvenli puanınızdaki değişiklikleri zaman içinde gözden geçirmenize yardımcı olur, veri odaklı güvenlik kararları almayı kolaylaştırır.
- **Topluluk**: Topluluk bölümü, sizi akranlarınızla, uzman forumlarıyla ve en iyi uygulama kılavuzlarıyla bağlar. Diğerlerinin deneyimlerinden öğrenmek, sorun giderme ipuçları bulmak ve en son Defender for Cloud gelişmelerinden haberdar olmak için değerli bir kaynaktır.
- **Sorunları Teşhis Etme ve Çözme**: Bu sorun giderme merkezi, Defender for Cloud'un yapılandırması veya veri toplama ile ilgili sorunları hızlı bir şekilde tanımlamanıza ve çözmenize yardımcı olur. Platformun etkili bir şekilde çalışmasını sağlamak için rehberli teşhis ve çözümler sunar.
- **Güvenlik Duruşu**: Güvenlik Duruşu sayfası, genel güvenlik durumunuzu tek bir güvenli puanda toplar. Bulutunuzun hangi alanlarının güçlü olduğunu ve nerelerde iyileştirmelere ihtiyaç duyulduğunu gösterir, ortamınızın hızlı bir sağlık kontrolü işlevi görür.
- **Regülatif Uyum**: Bu gösterge paneli, kaynaklarınızın endüstri standartlarına ve düzenleyici gerekliliklere ne kadar iyi uyduğunu değerlendirir. PCI DSS veya ISO 27001 gibi kıyaslamalara karşı uyum puanlarını gösterir, boşlukları belirlemenize ve denetimler için düzeltmeleri takip etmenize yardımcı olur.
- **İş Yükü Koruma**: İş Yükü Koruma, belirli kaynak türlerini (sunucular, veritabanları ve konteynerler gibi) güvence altına almaya odaklanır. Hangi Defender planlarının aktif olduğunu gösterir ve her iş yükü için korumayı artırmak amacıyla özel uyarılar ve öneriler sunar. Belirli kaynaklarda kötü niyetli davranışları tespit edebilir.
- Bu, belirli hizmetlerde bulabileceğiniz **`Enable Microsoft Defender for X`** seçeneğidir.
- **Veri ve AI Güvenliği (Önizleme)**: Bu önizleme bölümünde, Defender for Cloud veri depoları ve AI hizmetlerine koruma sağlar. Güvenlik açıklarını vurgular ve hassas verileri izler, böylece hem veri havuzlarınızın hem de AI platformlarınızın tehditlere karşı korunduğundan emin olursunuz.
- **Güvenlik Duvarı Yöneticisi**: Güvenlik Duvarı Yöneticisi, Azure Güvenlik Duvarı ile entegre olarak ağ güvenlik politikalarınızın merkezi bir görünümünü sunar. Güvenlik kurallarının sanal ağlarınızda tutarlı bir şekilde uygulanmasını sağlamak için güvenlik duvarı dağıtımlarını yönetmeyi ve izlemeyi basitleştirir.
- **DevOps Güvenliği**: DevOps Güvenliği, yazılım yaşam döngüsünün başında güvenliği yerleştirmek için geliştirme boru hatlarınız ve kod havuzlarınızla entegre olur. Kod ve yapılandırmalardaki zayıflıkları tanımlamaya yardımcı olur, böylece güvenliğin geliştirme sürecine entegre edilmesini sağlar.
## Microsoft Defender EASM
Microsoft Defender External Attack Surface Management (EASM), organizasyonunuzun internetle yüzleşen varlıklarını sürekli olarak **tarar ve haritalar**—alan adları, alt alan adları, IP adresleri ve web uygulamaları dahil—dış dijital ayak izinizi kapsamlı, gerçek zamanlı bir görünümle sağlamak için. Bilinen keşif tohumlarından başlayarak, hem yönetilen hem de gölge IT varlıklarını otomatik olarak ortaya çıkarmak için gelişmiş tarama tekniklerini kullanır. EASM, açık yönetim arayüzleri, kamuya açık depolama alanları ve farklı CVE'lere karşı savunmasız hizmetler gibi **riskli yapılandırmaları** tanımlar ve güvenlik ekibinizin bu sorunları istismar edilmeden önce ele almasına olanak tanır.
Ayrıca, sürekli izleme, farklı tarama sonuçlarını karşılaştırarak **açık altyapıdaki değişiklikleri** de gösterebilir, böylece yönetici her yapılan değişiklikten haberdar olabilir.
Gerçek zamanlı içgörüler ve ayrıntılı varlık envanterleri sunarak, Defender EASM organizasyonların **dış maruziyetlerini sürekli izlemelerini ve değişiklikleri takip etmelerini** sağlar. Bulgu önceliklendirmesi, ciddiyet ve bağlamsal faktörlere dayalı risk analizi kullanarak yapılır, böylece düzeltme çabaları en önemli noktalara odaklanır. Bu proaktif yaklaşım, gizli zayıflıkları ortaya çıkarmaya yardımcı olmanın yanı sıra, yeni maruziyetler ortaya çıktıkça sizi uyararak genel güvenlik duruşunuzun sürekli iyileştirilmesini destekler.
{{#include ../../../banners/hacktricks-training.md}}

104
src/pentesting-cloud/azure-security/az-services/az-monitoring.md Normal file
View File

@@ -0,0 +1,104 @@
# Az - Monitoring
{{#include ../../../banners/hacktricks-training.md}}
## Entra ID - Loglar
Entra ID'de mevcut 3 tür log bulunmaktadır:
- **Oturum Açma Logları**: Oturum açma logları, başarılı veya başarısız her kimlik doğrulama girişimini belgelemektedir. IP adresleri, konumlar, cihaz bilgileri ve uygulanan koşullu erişim politikaları gibi detaylar sunar; bu bilgiler, kullanıcı etkinliğini izlemek ve şüpheli oturum açma davranışlarını veya potansiyel güvenlik tehditlerini tespit etmek için gereklidir.
- **Denetim Logları**: Denetim logları, Entra ID ortamınızdaki tüm değişikliklerin kaydını sağlar. Örneğin, kullanıcılar, gruplar, roller veya politikalar üzerindeki güncellemeleri yakalar. Bu loglar, kimlerin neyi ve ne zaman değiştirdiğini gözden geçirmenizi sağladığı için uyum ve güvenlik araştırmaları için hayati öneme sahiptir.
- **Provisioning Logları**: Provisioning logları, kiracınızdaki kullanıcıların üçüncü taraf bir hizmet (örneğin, yerel dizinler veya SaaS uygulamaları) aracılığıyla sağlandığına dair bilgi sunar. Bu loglar, kimlik bilgilerinin nasıl senkronize edildiğini anlamanıza yardımcı olur.
> [!WARNING]
> Bu logların yalnızca **7 gün** boyunca ücretsiz versiyonda, **30 gün** P1/P2 versiyonunda ve riskli oturum açma etkinliği için güvenlik sinyallerinde 60 ek gün boyunca saklandığını unutmayın. Ancak, hiçbir global admin bile bunları **daha önce değiştiremez veya silemez**.
## Entra ID - Log Sistemleri
- **Tanılama Ayarları**: Tanılama ayarı, bir kaynaktan toplamak istediğiniz platform logları ve/veya metriklerin bir kategoriler listesini ve bunları akıtmak istediğiniz bir veya daha fazla hedefi belirtir. Hedef için normal kullanım ücretleri uygulanacaktır. Farklı log kategorileri ve bu logların içerikleri hakkında daha fazla bilgi edinin.
- **Hedefler**:
- **Analitik Çalışma Alanı**: Azure Log Analytics aracılığıyla araştırma yapın ve uyarılar oluşturun.
- **Depolama hesabı**: Statik analiz ve yedekleme.
- **Olay merkezi**: Verileri üçüncü taraf SIEM'ler gibi harici sistemlere akıtın.
- **Ortak çözümler**: Azure Monitor ile diğer Microsoft dışı izleme platformları arasında özel entegrasyonlar.
- **Çalışma Kitapları**: Çalışma kitapları, metin, log sorguları, metrikler ve parametreleri zengin etkileşimli raporlar halinde birleştirir.
- **Kullanım ve İçgörüler**: Entra ID'deki en yaygın etkinlikleri görmek için faydalıdır.
## Azure Monitor
Azure Monitor'un ana özellikleri şunlardır:
- **Etkinlik Logları**: Azure Etkinlik Logları, abonelik düzeyindeki olayları ve yönetim işlemlerini yakalar, kaynaklarınız üzerindeki değişiklikler ve alınan eylemler hakkında genel bir bakış sunar.
- **Etkinlik logları** değiştirilemez veya silinemez.
- **Değişiklik Analizi**: Değişiklik Analizi, Azure kaynaklarınızda yapılandırma ve durum değişikliklerini otomatik olarak tespit eder ve görselleştirir, sorunları teşhis etmenize ve zamanla değişiklikleri takip etmenize yardımcı olur.
- **Uyarılar**: Azure Monitor'dan gelen uyarılar, Azure ortamınızdaki belirli koşullar veya eşikler karşılandığında tetiklenen otomatik bildirimlerdir.
- **Çalışma Kitapları**: Çalışma kitapları, Azure Monitor içinde etkileşimli, özelleştirilebilir panolar olup, çeşitli kaynaklardan verileri birleştirip görselleştirmenizi sağlar.
- **Araştırmacı**: Araştırmacı, log verileri ve uyarılar üzerinde derinlemesine analiz yapmanıza ve olayların nedenini belirlemenize yardımcı olur.
- **İçgörüler**: İçgörüler, uygulamalarınızın ve altyapınızın sağlığını ve verimliliğini izlemek ve optimize etmek için analitik, performans metrikleri ve eyleme geçirilebilir öneriler (Application Insights veya VM Insights'taki gibi) sunar.
### Log Analitik Çalışma Alanları
Log Analitik çalışma alanları, Azure Monitor'da Azure kaynaklarınızdan ve yerel ortamlarınızdan **log ve performans verilerini toplamak, analiz etmek ve görselleştirmek** için merkezi depolama alanlarıdır. İşte ana noktalar:
- **Merkezi Veri Depolama**: Tanılama logları, performans metrikleri ve uygulamalarınız ve hizmetleriniz tarafından üretilen özel logları depolamak için merkezi bir yer olarak hizmet eder.
- **Güçlü Sorgulama Yetenekleri**: Verileri analiz etmek, içgörüler oluşturmak ve sorunları gidermek için Kusto Sorgu Dili (KQL) kullanarak sorgular çalıştırabilirsiniz.
- **İzleme Araçları ile Entegrasyon**: Log Analitik çalışma alanları, Azure Monitor, Azure Sentinel ve Application Insights gibi çeşitli Azure hizmetleri ile entegre olarak panolar oluşturmanıza, uyarılar ayarlamanıza ve ortamınızın kapsamlı bir görünümünü elde etmenize olanak tanır.
Özetle, bir Log Analitik çalışma alanı, Azure'da gelişmiş izleme, sorun giderme ve güvenlik analizi için gereklidir.
Bir kaynağı, **tanılama ayarları** aracılığıyla bir analitik çalışma alanına veri gönderecek şekilde yapılandırabilirsiniz.
## Enumeration
### Entra ID
```bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
```
### Azure Monitor
```bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
```
{{#include ../../../banners/hacktricks-training.md}}

41
src/pentesting-cloud/azure-security/az-services/az-sentinel.md Normal file
View File

@@ -0,0 +1,41 @@
# Az - Defender
{{#include ../../../banners/hacktricks-training.md}}
## Microsoft Sentinel
Microsoft Sentinel, Azure'da bulut tabanlı bir **SIEM** (Güvenlik Bilgisi ve Olay Yönetimi) ve **SOAR** (Güvenlik Orkestrasyonu, Otomasyon ve Yanıt) çözümüdür.
Bir organizasyonun (yerel ve bulut) güvenlik verilerini tek bir platformda toplar ve potansiyel tehditleri tanımlamak için **yerleşik analiz ve tehdit istihbaratı** kullanır. Sentinel, Log Analytics (büyük log depolama ve sorgulama için) ve Logic Apps (otomatik iş akışları için) gibi Azure hizmetlerinden yararlanır; bu, talep üzerine ölçeklenebileceği ve Azure'un AI ve otomasyon yetenekleriyle entegre olabileceği anlamına gelir.
Özünde, Sentinel çeşitli kaynaklardan logları toplar ve analiz eder, **anomalileri veya kötü niyetli faaliyetleri tespit eder** ve güvenlik ekiplerinin tehditleri hızlı bir şekilde araştırmasına ve yanıt vermesine olanak tanır; tüm bunlar Azure portalı üzerinden, yerel SIEM altyapısına ihtiyaç duymadan gerçekleştirilir.
### Microsoft Sentinel Yapılandırması
Sentinel'i bir Azure Log Analytics çalışma alanında etkinleştirerek başlarsınız (çalışma alanı, logların depolanacağı ve analiz edileceği yerdir). Başlamak için yüksek düzeyde adımlar aşağıda verilmiştir:
1. **Bir Çalışma Alanında Microsoft Sentinel'i Etkinleştir**: Azure portalında, mevcut bir Log Analytics çalışma alanı oluşturun veya kullanın ve Microsoft Sentinel'i buna ekleyin. Bu, Sentinel'in yeteneklerini çalışma alanınıza dağıtır.
2. **Veri Kaynaklarını Bağla (Veri Bağlayıcıları)**: Sentinel etkinleştirildikten sonra, yerleşik veri bağlayıcılarını kullanarak veri kaynaklarınızı bağlayın. Entra ID logları, Office 365 veya hatta güvenlik duvarı logları olsun, Sentinel logları ve uyarıları otomatik olarak almaya başlar. Bu genellikle logları kullanılan log çalışma alanına göndermek için tanılama ayarları oluşturarak yapılır.
3. **Analitik Kuralları ve İçerik Uygula**: Veriler akmaya başladığında, tehditleri tespit etmek için yerleşik analitik kuralları etkinleştirin veya özel kurallar oluşturun. Tespit yeteneklerinizi hızlandırmak için önceden paketlenmiş kural şablonları ve çalışma kitapları için İçerik Merkezi'ni kullanın.
4. **(İsteğe Bağlı) Otomasyonu Yapılandır**: Olaylara otomatik olarak yanıt vermek için playbook'larla otomasyon kurun—örneğin, uyarı göndermek veya tehlikeye atılmış hesapları izole etmek—genel yanıtınızı artırır.
## Ana Özellikler
- **Loglar**: Loglar bölümü, Kusto Sorgu Dili (KQL) kullanarak verilerinize **derinlemesine dalmanızı** sağlayan Log Analytics sorgu arayüzünü açar. Bu alan, sorun giderme, adli analiz ve özel raporlama için kritik öneme sahiptir. Log olaylarını filtrelemek, farklı kaynaklar arasında verileri ilişkilendirmek ve bulgularınıza dayalı özel panolar veya uyarılar oluşturmak için sorgular yazabilir ve çalıştırabilirsiniz. Bu, Sentinel'in ham veri keşif merkezidir.
- **Arama**: Arama aracı, **güvenlik olaylarını, olayları ve hatta belirli log girişlerini hızlıca bulmanızı** sağlayan birleşik bir arayüz sunar. Birden fazla bölümü manuel olarak gezmek yerine, anahtar kelimeler, IP adresleri veya kullanıcı adları yazarak ilgili tüm olayları anında çekebilirsiniz. Bu özellik, farklı bilgi parçalarını hızlıca birleştirmeniz gerektiğinde özellikle yararlıdır.
- **Olaylar**: Olaylar bölümü, tüm **gruplandırılmış uyarıları yönetilebilir vakalara** merkezileştirir. Sentinel, ilgili uyarıları tek bir olayda toplar ve ciddiyet, zaman çizelgesi ve etkilenen kaynaklar gibi bağlam sağlar. Bir olay içinde, uyarılar arasındaki ilişkiyi haritalayan ayrıntılı bir araştırma grafiği görüntüleyebilirsiniz; bu, potansiyel bir tehdidin kapsamını ve etkisini anlamayı kolaylaştırır. Olay yönetimi ayrıca görev atama, durum güncelleme ve yanıt iş akışlarıyla entegrasyon seçeneklerini içerir.
- **Çalışma Kitapları**: Çalışma kitapları, güvenlik verilerinizi **görselleştirmenize ve analiz etmenize** yardımcı olan özelleştirilebilir panolar ve raporlardır. Çeşitli grafikler, tablolar ve sorguları bir araya getirerek eğilimler ve kalıplar hakkında kapsamlı bir görünüm sunarlar. Örneğin, bir çalışma kitabını oturum açma etkinliklerinin zaman çizelgesini, IP adreslerinin coğrafi haritasını veya belirli uyarıların zaman içindeki sıklığını göstermek için kullanabilirsiniz. Çalışma kitapları, organizasyonunuzun özel izleme ihtiyaçlarına uygun olarak hem önceden oluşturulmuş hem de tamamen özelleştirilebilir.
- **Avcılık**: Avcılık özelliği, **standart uyarıları tetiklememiş olabilecek tehditleri bulmak için proaktif bir yaklaşım** sunar. MITRE ATT&CK gibi çerçevelerle uyumlu önceden oluşturulmuş avcılık sorguları ile birlikte gelir, ancak özel sorgular yazmanıza da olanak tanır. Bu araç, **gizli veya ortaya çıkan tehditleri keşfetmek isteyen ileri düzey analistler için idealdir**; tarihsel ve gerçek zamanlı verileri, örneğin alışılmadık ağ kalıpları veya anormal kullanıcı davranışlarını keşfederek inceler.
- **Not Defterleri**: Not Defterleri entegrasyonu ile Sentinel, **gelişmiş veri analitiği ve otomatik araştırmalar için Jupyter Notebooks'u kullanır**. Bu özellik, Sentinel verilerinize doğrudan Python kodu çalıştırmanıza olanak tanır; bu, makine öğrenimi analizleri yapmayı, özel görselleştirmeler oluşturmayı veya karmaşık araştırma görevlerini otomatikleştirmeyi mümkün kılar. Veri bilimcileri veya standart sorguların ötesinde derinlemesine analizler yapması gereken güvenlik analistleri için özellikle yararlıdır.
- **Varlık Davranışı**: Varlık Davranışı sayfası, çevrenizdeki normal etkinlikler için **Kullanıcı ve Varlık Davranış Analitiği (UEBA)** kullanarak temel düzeyler oluşturur. Kullanıcılar, cihazlar ve IP adresleri için ayrıntılı profiller gösterir, **tipik davranışlardan sapmaları vurgular**. Örneğin, normalde düşük etkinlik gösteren bir hesap aniden yüksek hacimli veri transferleri gerçekleştirirse, bu sapma işaretlenecektir. Bu araç, davranışsal anormalliklere dayalı iç tehditleri veya tehlikeye atılmış kimlik bilgilerini tanımlamak için kritik öneme sahiptir.
- **Tehdit İstihbaratı**: Tehdit İstihbaratı bölümü, **kötü niyetli IP adresleri, URL'ler veya dosya hash'leri gibi dış tehdit göstergelerini** iç verilerinizle yönetmenizi ve ilişkilendirmenizi sağlar. Dış istihbarat akışlarıyla entegre olarak, Sentinel otomatik olarak bilinen tehditlerle eşleşen olayları işaretleyebilir. Bu, daha geniş, bilinen kampanyaların bir parçası olan saldırıları hızlıca tespit etmenize ve yanıt vermenize yardımcı olur ve güvenlik uyarılarınıza bir katman daha bağlam ekler.
- **MITRE ATT&CK**: MITRE ATT&CK bölümünde, Sentinel **güvenlik verilerinizi ve tespit kurallarınızı yaygın olarak tanınan MITRE ATT&CK çerçevesine haritalar**. Bu görünüm, çevrenizde hangi taktiklerin ve tekniklerin gözlemlendiğini anlamanıza, kapsama alanındaki potansiyel boşlukları tanımlamanıza ve tespit stratejinizi tanınmış saldırı kalıplarıyla uyumlu hale getirmenize yardımcı olur. Düşmanların çevrenize nasıl saldırabileceğini analiz etmenin yapılandırılmış bir yolunu sağlar ve savunma eylemlerini önceliklendirmeye yardımcı olur.
- **İçerik Merkezi**: İçerik Merkezi, **veri bağlayıcıları, analitik kurallar, çalışma kitapları ve playbook'lar dahil olmak üzere önceden paketlenmiş çözümlerin merkezi bir deposudur**. Bu çözümler, dağıtımınızı hızlandırmak ve güvenlik duruşunuzu iyileştirmek için yaygın hizmetler (Office 365, Entra ID vb. gibi) için en iyi uygulama yapılandırmaları sunar. Bu içerik paketlerini gözden geçirebilir, yükleyebilir ve güncelleyebilirsiniz; bu, yeni teknolojileri Sentinel'e entegre etmeyi kolaylaştırır.
- **Depolar**: Depolar özelliği (şu anda önizlemede) Sentinel içeriğiniz için sürüm kontrolü sağlar. GitHub veya Azure DevOps gibi kaynak kontrol sistemleriyle entegre olarak, **analitik kurallarınızı, çalışma kitaplarınızı, playbook'larınızı ve diğer yapılandırmalarınızı kod olarak yönetmenizi** sağlar. Bu yaklaşım, değişiklik yönetimini ve iş birliğini geliştirmenin yanı sıra, gerekirse önceki sürümlere geri dönmeyi de kolaylaştırır.
- **Çalışma Alanı Yönetimi**: Microsoft Sentinel'in Çalışma Alanı yöneticisi, kullanıcıların **bir veya daha fazla Azure kiracısı içinde birden fazla Microsoft Sentinel çalışma alanını merkezi olarak yönetmelerini** sağlar. Merkezi çalışma alanı (Çalışma Alanı yöneticisi etkinleştirildiğinde), içerik öğelerini Üye çalışma alanlarına ölçekli olarak yayımlamak için bir araya getirebilir.
- **Veri Bağlayıcıları**: Veri Bağlayıcıları sayfası, Sentinel'e veri getiren tüm mevcut bağlayıcıları listeler. Her bağlayıcı, **belirli veri kaynakları için önceden yapılandırılmıştır** (hem Microsoft hem de üçüncü taraf) ve bağlantı durumunu gösterir. Bir veri bağlayıcısını ayarlamak genellikle birkaç tıklama gerektirir; ardından Sentinel, o kaynaktan logları almaya ve analiz etmeye başlar. Bu alan, güvenlik izlemenizin kalitesi ve kapsamı, bağlı veri kaynaklarınızın aralığı ve yapılandırmasına bağlı olduğu için hayati öneme sahiptir.
- **Analitik**: Analitik bölümünde, **Sentinel'in uyarılarını güçlendiren tespit kurallarını oluşturur ve yönetirsiniz**. Bu kurallar, log verilerinizde şüpheli kalıpları veya eşik ihlallerini tanımlamak için belirli bir zaman diliminde (veya gerçek zamanlı olarak) çalışan sorgulardır. Microsoft tarafından sağlanan yerleşik şablonlardan birini seçebilir veya KQL kullanarak kendi özel kurallarınızı oluşturabilirsiniz. Analitik kuralları, uyarıların nasıl ve ne zaman oluşturulacağını belirler ve olayların nasıl oluşturulup önceliklendirileceğini doğrudan etkiler.
- **İzleme Listesi**: Microsoft Sentinel izleme listesi, **Microsoft Sentinel ortamınızdaki olaylarla ilişkilendirmek için dış veri kaynaklarından veri toplamanızı** sağlar. Oluşturulduktan sonra, izleme listelerini arama, tespit kuralları, tehdit avcılığı, çalışma kitapları ve yanıt playbook'larınızda kullanın.
- **Otomasyon**: Otomasyon kuralları, **olay yönetiminin tüm otomasyonunu merkezi olarak yönetmenizi** sağlar. Otomasyon kuralları, Microsoft Sentinel'deki otomasyon kullanımını kolaylaştırır ve olay orkestrasyon süreçleriniz için karmaşık iş akışlarını basitleştirmenizi sağlar.
{{#include ../../../banners/hacktricks-training.md}}