AZURE SENTİNEL DATA CONNECTORS

Daha önceki yazımız ile Microsoft Azure Sentinel servisi hakkında çok kısa konuşma fırsatı bulmuştuk. Azure Sentinel Nedir ? Nasıl Çalışır? Maliyetleri Nedir? gibi bir çok soruya cevap vermeye çalıştık. Bu yazımız ile birlikte hangi data connector metodları hakkında konuşup hangi data connector metodunu kullanmamız gerektiği ile ilgili konuşalım. Bu metodlar Hizmetten Hizmete Entegrasyon, API Entegrasyon ve Agent Entegrasyonlardır. Hangi ürünler için hangi entegrasyonun kullanılması gerektiğini maddeler halinde kısaca açıklayalım.

Data Connectors Metodları

Hizmetten Hizmete Entegrasyon

  • Amazon Web Services – CloudTrail
  • Office 365
  • Azure AD audit logs and sign-ins
  • Azure Activity
  • Azure AD Identity Protection
  • Azure Security Center
  • Azure Information Protection
  • Azure Advanced Threat Protection
  • Cloud App Security
  • Windows security events
  • Windows firewall

API ile Entegrasyon

  • Barracuda
  • Symantec
  • Citrix Analytics (Security)

Agent ile Entegasyon

  • Firewalls, Proxyler ve Endpoinler:
    • F5
    • Check Point
    • Cisco ASA
    • Fortinet
    • Palo Alto
    • Diğer CEF ürünleri
    • Diğer Syslog ürünleri
    • Barracuda CloudGen Firewall
    • ExtraHop Reveal(x)
    • One Identity Safeguard
    • Trend Micro Deep Security
  • DLP Çözümleri
  • DNS Sunucuları
  • Linux Serverlar
  • Diğer Bulut Hizmetleri

Sentinel Data Connector İçin Yapılması Gerekenler

Yukarıda belirttiğimiz gibi Azure Sentinel data bağlamak için 3 adet metodumuz var. Bu metodlar nasıl çalışır sorusuna gelecek olursak;

Hizmetten Hizmete Entegrasyon için sadece Data Connectors üzerinde kullanıcı adı şifre girişi yapmamız yeterli olacaktır. Ancak unutulmaması gerekir Microsoft ürünleri için gireceğimiz Account minimum Security Administrator yetkisine sahip olmalıdır. AWS için süreç biraz farklı ilerliyor ancak yine sadece bi Account ‘a ihtiyacımız var. Farklı olarak AWS accountu için IAM üzerinde bir kullanıcı oluşturup “AWSCloudTrailReadOnlyAccess” rolünü atamamız yeterli olacaktır. Ayrıca hatırlatman gerekir Azure AD Kimlik Koruması için minimum AADP1 lisansına sahip olmak gerekir.

API ile entegrasyon için bağantı alacağımız ürün üzerinde belirli işlemler yapmamız gerekiyor ve bu işlemler üründen ürüne farklılık göstermektedir. Örneğin Barracuda ve Symantec için farklı işlemler gerçekleştirmemiz gerekiyor. Bu işlemlerin her biri bir makale konusu olduğu için teknik dokümanları aşağıda bulabilirsiniz.

Barracuda API Entegrasyonu 

Symantec API Entegrasyonu

Citrix Analytics API Entegrasyonu

Agent ile entegrasyon için diğer metodlardan farklı olarak bir Connector sunucusuna ihtiyacımız bulunmaktadır. Bu sunucunun görevi Ürün ile Sentinel arasında bağlantıyı sağlamaktır. Agent ile entegrasyon diğer metodlardan farklı olarak daha kapsamlı ve geniş çaplı bir çalışma istemektedir.

Faydası olması dileğimle.

Raspberry Pİ HotSpot/Modem hakkında yazdığımız makaleyi okumak için tıklayın.

azure_imza_son

Start typing and press Enter to search

X