CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Sentinel ile Veri Görselleştirme: Workbooks Kullanımı

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Sentinel üzerinde etkili veri görselleştirme için çalışma kitapları (workbooks) nasıl kullanılır? Detayları öğrenin.

Microsoft Sentinel ile Veri Görselleştirme: Workbooks Kullanımı

Microsoft Sentinel üzerinde veri görselleştirme uygulamaları hakkında kapsamlı bir rehber. Workbooks kullanarak etkili dashboardlar oluşturmanın yollarını keşfedin.

Giriş ve Konumlandırma

Veri güvenliği, modern işletmeler için hayati bir öneme sahiptir. Bununla birlikte, yalnızca veri toplamak yeterli değildir; bu verilerin anlamlı bir şekilde analiz edilmesi ve görselleştirilmesi gerekir. İşte bu noktada Microsoft Sentinel devreye girer. Microsoft Sentinel, siber güvenlik analitik araçları ve kaynakları ile donatılmış bir bulut tabanlı hizmettir. Veri görselleştirme, Sentinel'in sunduğu yeteneklerle büyük ölçüde etkinleştirilir ve bu bağlamda Workbooks önemli bir rol oynar.

Workbooks Nedir?

Microsoft Sentinel üzerindeki Workbooks, kullanıcıların veri analizi ve sunumu yapmak için etkileşimli raporlar ve panolar oluşturmasına olanak tanıyan bir bileşendir. Bu araç, log verilerinin grafikler, tablolar ve metinlerle birleştirilmesiyle oluşturulan dinamik ve görünür veri setleri sunar. İşletmeler, bu sayede siber tehditleri daha iyi anlayabilir ve daha etkili önlemler alabilir.

Workbooks, log analizlerinde kullanılan KQL (Kusto Query Language) sorguları ile bir arada çalışarak veri çekme işlemlerini gerçek zamanlı hale getirir. Kullanıcılar, bu verileri anlamlı hale getirmek için farklı formatlarda görselleştirebilir. Örneğin, birWorkbook içindeki veriler, çubuk grafikleri, pasta grafikleri veya ızgara tabloları gibi çeşitli şekillerde sunulabilir.

Neden Önemli?

Veri görselleştirme, siber güvenlik, pentest ve savunma stratejileri açısından kritik bir öneme sahiptir. Günümüz dijital ortamında, şirketler sürekli olarak büyük miktarda güvenlik olayına ve log verisine maruz kalmaktadır. Bu verilerin etkili bir şekilde analiz edilip yorumlanması, potansiyel tehditleri önceden tespit etmek ve gerekli aksiyonları alabilmek için önemlidir.

Etkili görselleştirme, veri karmaşasını azaltır ve analistlerin sorunları daha hızlı bir şekilde tespit etmesine olanak tanır. Örneğin, bir güvenlik ekibi, Workbooks kullanarak yüksek riskli alarmların grafiklerde kırmızıyla renklendirilmesini sağlayabilir, böylece hızlı bir şekilde kritik sorunları tespit edebilir.

Siber Güvenlik Bağlamında Workbooks'un Rolü

Siber güvenlik tehditleri her geçen gün daha karmaşık hale gelmektedir. Bu nedenle, güvenlik analistleri sadece hangi tehditlerin ortaya çıktığını değil, aynı zamanda bu tehditlerin nasıl bir etki yaratabileceğini anlamalıdır. Workbooks, çoklu veri kaynaklarını aynı anda içerebilen ve birbirleriyle ilişkilendirebilen bir yapı sunarak analistlerin bu konuda daha esnek çalışmalarına olanak tanır.

Daha önceden kaydedilen log verilerine, sistem performans metriklerine ve tehdit analizlerine erişim sağlamak, analistlerin olay müdahale süreçlerini iyileştirir. Örneğin, Azure Resource Graph kullanarak farklı kaynak yapılandırmalarını sorgulayabilir ve bu verileri Workbooks ile birleştirerek kapsamlı analizler yapabilirsiniz.

Okuyucuyu Teknik İçeriğe Hazırlama

Microsoft Sentinel ve Workbooks, siber güvenlik alanında önemli bir yere sahiptir. Bu yazı serisinin ilerleyen bölümlerinde Workbooks'un temel bileşenlerini, veri kaynaklarını, görselleştirme çeşitlerini ve daha fazlasını inceleyeceğiz. Kullanıcıların dinamik raporlar oluşturmak için nasıl parametreler kullanabileceklerini, koşullu biçimlendirme özelliklerini nasıl uygulayacaklarını ve raporları nasıl paylaşacaklarını keşfedeceğiz.

Öğrenilecekleri, daha iyi bir siber güvenlik stratejisi oluşturmak ve veri analiz süreçlerini optimize etmek isteyen güvenlik profesyonelleri için uyarlayarak uygulamak üzere bir temel oluşturmayı hedefliyoruz. Bu içerikler, pratik ve teorik bilgi birikimini bir araya getirerek okuyuculara derinlemesine bir anlayış sunacaktır. Bu bağlamda, teknik bilgiyi anlamak ve uygulamak her zamankinden daha kritik bir hal almıştır.

Teknik Analiz ve Uygulama

Workbooks Nedir?

Microsoft Sentinel, siber güvenlik olaylarını yönetmek için veri görselleştirme yeteneklerine sahip bir platformdur. Bu platformda kullanıcıların log verilerini grafikler, tablolar ve metinlerle bir araya getirerek interaktif dashboardlar ve raporlar oluşturmalarına olanak tanıyan araca "Workbook" denir. Workbooks, analistlere hızlı ve anlaşılır bir takip arayüzü sunarak karmaşık veri setlerini daha yönetilebilir hâle getirir.

Veri Kaynakları ve Kapsam

Workbooks içinde kullanılacak veri kaynakları, genellikle Log Analytics havuzlarından alınır. Log Analytics, güvenlik olaylarına dair ham verilerin ana kaynağını oluşturur. Bu veriler, Kusto Query Language (KQL) kullanılarak sorgulanabilir hale gelir. Workspace'ler üzerinden erişilen veriler, farklı kaynaklardan gelinebilir ve böylece kullanıcılar tek bir dashboard üzerinde birden fazla kaynak verisini analiz edebilir.

Örneğin, aşağıdaki sorgu ile güvenlik olayları çekilebilir:

SecurityEvent
| where TimeGenerated > ago(24h)
| summarize Count = count() by EventID
| order by Count desc

Bu sorgu, son 24 saat içinde meydana gelen güvenlik olaylarını ve bunların EventID bazında dağılımlarını gösterir.

Görselleştirme Çeşitliliği

Workbooks'ın sunduğu görselleştirme seçenekleri oldukça çeşitlidir. Kullanıcılar verileri çubuk grafiği, pasta grafiği veya grid tablolar gibi farklı formatlarda görselleştirebilir. Bu çeşitlilik, analistlerin verileri daha iyi anlamalarına ve yorumlamalarına yardımcı olur. Örneğin, bir çubuk grafiği oluşturmak için şu şekilde bir yapı kullanılabilir:

{
  "type": "bar",
  "data": {
    "labels": ["Event 1", "Event 2", "Event 3"],
    "datasets": [{
      "label": "Güvenlik Olayları",
      "data": [12, 19, 3]
    }]
  }
}

Parametre Kullanımı

Workbooks içindeki kullanıcı deneyimini zenginleştiren unsurlardan biri, parametre kullanımının sağladığı dinamik filtreleme imkânıdır. Örneğin, kullanıcılar dashboard üzerindeki verileri zaman dilimi, abonelik veya spesifik bir hesap adına göre dinamik olarak filtreleyebilirler. Bu yapı, kullanıcıların özel ihtiyaçlarına göre veri analizi yapmalarına olanak tanır.

Örnek bir parametre tanımı şu şekilde olabilir:

{
  "parameters": {
    "timeRange": {
      "type": "string",
      "default": "Last 30 days"
    },
    "subscriptionId": {
      "type": "string",
      "default": "All"
    }
  }
}

Hazır Şablonlar ve Galeri

Microsoft Sentinel, kullanıcılara daha hızlı bir başlangıç yapabilmeleri adına hazır şablonlar sunar. Bu şablonlar, belirli veri görselleştirme ihtiyaçlarına göre hazırlanmıştır ve kullanıcılar bu şablonları doğrudan kullanarak kendi dashboards'larını oluşturabilirler. Sentinel Workbook galerisinden erişilebilecek bu şablonlar, analistlerin iş yükünü hafifletir.

KQL ve Veri İşleme

Workbooks içinde kullanılan tüm bileşenler, arka planda KQL sorguları çalıştırarak bulut üzerinden gerçek zamanlı veri çekmektedir. Kullanıcıların veri görselleştirmesi için kullandığı sorgular, anlık verilerle zenginleştirilmiş hale gelir ve bu sayede etkin bir analiz ortamı yaratır.

Bir örnek vermek gerekirse, aşağıdaki KQL sorgusu ile belirli bir kaynak grubunun olayları sorgulanabilir:

AzureActivity
| where ResourceGroup == "myResourceGroup"
| summarize Count = count() by OperationName

Bu sorgu, belirli bir kaynak grubundaki işlemlerin sayısını gösterir.

Koşullu Biçimlendirme

Koşullu biçimlendirme, işlenen verilerin görselleştirilmesinde büyük bir rol oynamaktadır. Tablodaki hücrelerin değerlerine göre renklerin belirlenmesi, analistlere önemli uyarılar verir. Örneğin, yüksek riskli alarmların kırmızı renkle işaretlenmesi, kullanıcıların dikkatini çekmek için etkili bir yöntemdir.

{
  "type": "conditionalFormatting",
  "rules": [{
    "condition": "value > 75",
    "color": "red"
  }]
}

Bu yapı, değerlerin 75'ten yüksek olduğu durumlarda hücrelerin kırmızı renkle işaretlenmesini sağlar.

Paylaşım ve Erişim Kontrolü

Workbooks, organizasyon içindeki diğer kullanıcılarla paylaşılabilir. Bu süreçte, ihtiyaca göre farklı erişim yetkileri atanabilir. Örneğin, "Workbook Reader" sadece görüntüleme iznine sahipken, "Workbook Contributor" düzenleme yetkisine sahiptir. Bu yetkilendirme, kullanıcıların işbirliğini ve veri güvenliğini sağlamak açısından önemlidir.

Sorgu Birleştirme (Cross-Resource)

Workbooks, farklı aboneliklerdeki log analytics çalışma alanlarını sorgulama yeteneği sunar. Bu özellik, analistlerin birçok kaynağı tek bir bakışla değerlendirmesine imkân tanır. Örneğin, şu sorgu ile iki farklı kaynak grubu üzerindeki işlemleri birleştirerek analiz edebilirsiniz:

let source1 = AzureActivity
| where ResourceGroup == "myResourceGroup1";
let source2 = AzureActivity
| where ResourceGroup == "myResourceGroup2";
union source1, source2
| summarize Count = count() by OperationName

Etkileşimli Eylemler

Workbooks içinde kullanıcıların etkileşimde bulunabileceği eylemler tanımlamak mümkündür. Kullanıcılar bir satıra tıkladıklarında başka bir sayfaya yönlendirilme veya detaylı bir sorgunun tetiklenmesi gibi işlemler gerçekleştirebilirler. Bu özellik, analiz sürecine etkileşim katmakta ve kullanıcı deneyimini zenginleştirmektedir.

Sonuç olarak, Microsoft Sentinel üzerindeki Workbooks, veri görselleştirme sürecini hızlandırarak, analistlerin güvenlik olaylarını etkili bir biçimde takip etmelerine ve analiz etmelerine olanak tanımaktadır.

Risk, Yorumlama ve Savunma

Microsoft Sentinel üzerinde elde edilen verilerin güvenlik analizi, siber tehditlerin tespiti ve stratejik savunma önlemlerinin geliştirilmesi açısından büyük öneme sahiptir. Sentinel'in sağladığı Workbooks (Çalışma Kitapları) aracı, bu verilerin görselleştirilmesi ve yorumlanması açısından kullanıcılara önemli esneklikler sunmaktadır. Bu bölümde, elde edilen bulguların güvenlik anlamı, yanlış yapılandırmaların veya zafiyetlerin etkisi, sızan veri ve yüksek riskli servis tespitleri ele alınacak ve profesyonel savunma önlemleri önerilecektir.

Elde Edilen Bulguların Güvenlik Anlamı

Workbooks kullanılarak elde edilen veriler, bir organizasyonun güvenlik durumu hakkında kapsamlı bir fikir verebilir. KQL (Kusto Query Language) kullanılarak oluşturulan sorgular, olaylar ve güvenlik alarmları hakkında derinlemesine analiz yapma imkanı tanır. Örneğin, belirli bir veri kaynağından gelen logların analizi, aşağıdaki gibi bir yapı gösterir:

SecurityEvent
| where TimeGenerated > ago(24h)
| summarize count() by EventID
| order by count_ desc

Yukarıdaki sorgu, son 24 saat içerisinde hangi olayların en çok tekrarlandığını görmek için kullanılabilir. Bu tür veriler, söz konusu güvenlik olaylarının önem derecelerinin belirlenmesi ve önceliklendirilmesi açısından kritik bir yere sahiptir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar veya sistemlerdeki zafiyetler, organizasyonun siber güvenliğini tehlikeye atabilir. İşletim sistemi, ağ ayarları veya uygulama düzeyinde yapılan hatalar, saldırganlara sızma noktaları sağlayabilir. Örneğin, bir servisin gereksiz yere açık bırakılması veya yanlış bir güvenlik kuralının uygulanması, dışardan gelecek saldırılara kapı aralayabilir. Saldırganlar, bu tür zafiyetleri belirlemek için automatize araçlar kullanarak sistemleri tarayabilir. Böyle durumların önüne geçmek için, aşağıdaki gibi analizler yapılmalıdır:

AzureActivity
| where ActivityStatus == "Failed"
| summarize count() by ResourceId

Bu sorgu, başarısız olan aktiviteleri ve bağlanılan kaynakları inceleyerek potansiyel zafiyet noktalarını ortaya çıkarabilir.

Sızan Veri, Topoloji ve Servis Tespiti

Kuruluşların sızma olaylarına karşı hazırlıklı olmaları, güvenlik stratejilerinin bir parçasıdır. Sentinel Workbooks, veri sızıntılarını izlemek için kullanılabilecek etkileşimli raporlar oluşturmanıza olanak tanır. Örneğin, ağ topolojisi veya servis durumları hakkında bilgi sağlamak için aşağıdaki sorgular kullanılabilir:

Heartbeat
| summarize LastHeartbeat = max(TimeGenerated) by ResourceId
| where LastHeartbeat < ago(1h)

Bu sorgu, son bir saat içerisinde sağlık kontrolü almayan kaynakların listesini getirir ve potansiyel riskleri belirlemek için kritik bir araçtır.

Profesyonel Önlemler ve Hardening Önerileri

Siber saldırılara kapı aralamamak adına alınacak önlemler, kuruluşların güvenlik duruşunu güçlendirebilir. Öncelikle, yapılandırmaları düzenli olarak gözden geçirilmeli ve güncellenmelidir. Bunun yanı sıra, aşağıdaki hususlara dikkat edilmelidir:

  1. Güvenlik Duvarı Kuralları: Gereksiz açık bağlantılar kapatılmalı ve yalnızca gerekli bağlantılara izin verilmelidir.
  2. Erişim Kontrolü: Kullanıcı erişim izinleri düzenli olarak gözden geçirilmeli ve 'en az ayrıcalık' prensibine uygun bir yapı oluşturulmalıdır.
  3. Güncellemeler: Yazılım güncellemeleri ve yamaları düzenli olarak uygulanmalıdır. Özellikle kritik güvenlik güncellemeleri atlanmamalıdır.
  4. Güvenlik Eğitimi: Çalışanların sosyal mühendislik gibi tehditlere karşı eğitilmesi, insan faktöründen kaynaklanan zafiyetleri minimize edebilir.

Sonuç

Microsoft Sentinel üzerindeki verilerin yorumlanması, güvenlik risklerinin belirlenmesinde önemli bir adımdır. Yanlış yapılandırmalar ve zafiyetler, hizmet sürekliliğini ve güvenliği tehdit edebilir. Sızan verilerin ve potansiyel zafiyetlerin tespiti, organizasyonlar için kritik bir değerlendirme sürecidir. Alınacak profesyonel önlemler sayesinde, kurumlar siber tehditlerin önüne geçebilir ve daha güvenli bir çalışma ortamı oluşturabilirler.