Siber güvenlik dünyasında hız her şeydir. Ancak yanlış yapılandırılmış bir SIEM (Security Information and Event Management), çözümden ziyade bir "maliyet ve gürültü merkezi" haline gelebilir. Sentinel yolculuğunuzun ilk 24 saatini nasıl optimize etmeniz gerektiğini adım adım inceleyelim.
Ön Gereksinimler
Azure Aboneliği
- Aktif Azure aboneliği
- Kaynak grubu oluşturma yetkisi
- Log Analytics workspace yetkisi
Gerekli İzinler
- Entra ID Global Admin veya Security Admin
- Azure Contributor rolü
- Microsoft Sentinel Contributor
1Mimari Temel: Log Analytics Workspace (LAW) Tasarımı
Sentinel'in kalbi Log Analytics Workspace'dir. İlk adımda yapılan hatalar, ileride veri izolasyonu veya aşırı maliyet olarak karşınıza çıkar.
Bölge (Region) Seçimi
Verinin işlendiği bölge ile Sentinel'in bulunduğu bölge aynı olmalıdır. Gecikme ve bant genişliği maliyetlerini azaltmak için kaynaklarınıza en yakın bölgeyi seçin.
Maliyet Yönetimi
İlk gün "Commitment Tiers" (Taahhütlü Katmanlar) yerine "Pay-As-You-Go" ile başlayın. İlk 30 günün ardından veri hacminizi analiz ederek %60'a varan tasarruf sağlayan taahhütlü modellere geçiş yapabilirsiniz.
RBAC (Rol Tabanlı Erişim Denetimi)
Sadece "Sentinel Contributor" yetkisi yeterli değildir. Ekibinize işlevine göre; Sentinel Reader, Sentinel Responder veya Sentinel Contributor rollerini en az ayrıcalık (Least Privilege) prensibiyle dağıtın.
2İlk 4 Saat: Kritik Veri Kaynaklarının Bağlanması
Sentinel'i ayağa kaldırdıktan sonraki en kritik aşama, "Hangi veriyi içeri almalıyım?" sorusudur. MVP tavsiyesi olarak; "Ücretsiz ve Yüksek Değerli" kaynaklardan başlayın.
A. Ücretsiz Kaynaklar (Hemen Bağlayın)
Aşağıdaki log kaynakları Sentinel veri alım (ingestion) maliyetine dahil değildir:
- Azure Activity Logs: Azure ortamınızdaki tüm yönetimsel hareketler.
- Office 365 Audit Logs (SharePoint, Exchange, Teams): Kullanıcı aktivitelerini izlemek için kritiktir.
- Microsoft Defender for Cloud Uyarıları: Mevcut güvenlik uyarılarının korelasyonu.
B. Kritik Güvenlik Kaynakları
Microsoft Entra ID (Azure AD)
Sign-in Logs ve Audit Logs. Kimlik saldırılarını tespit etmek için "olmazsa olmazdır".
Microsoft Defender XDR
Uç nokta (Endpoint), e-posta ve kimlik verilerini Sentinel'e akıtmak için "Microsoft Defender XDR Connector"'ı kullanın. Bu, olayların (incidents) otomatik olarak senkronize edilmesini sağlar.
3İlk 12 Saat: Content Hub ve Hazır Çözümler
Kendi kurallarınızı yazmaya başlamadan önce Microsoft'un sunduğu devasa kütüphaneden yararlanın.
Content Hub Kullanımı
Bağladığınız veri kaynaklarına uygun (örn: "Microsoft Entra ID" veya "Cisco ASA") çözümleri Content Hub üzerinden yükleyin.
Analytics Rules (Analiz Kuralları)
Yüklediğiniz çözümlerle birlikte gelen şablonları (Templates) aktif edin. Başlangıçta çok fazla "False Positive" almamak için kuralları kademeli olarak devreye alın.
4İlk 24 Saat: Görünürlük ve Sağlık Kontrolü
Kurulumun ilk günü bitmeden sistemin doğru çalıştığından emin olmanız gerekir.
Veri Akış Kontrolü (Health Monitoring)
Sentinel'in kendi sağlığını izlemek için "Sentinel Health" özelliğini aktif edin. Bir konnektör durduğunda veya veri akışı azaldığında uyarı almanız operasyonel süreklilik için hayati önem taşır.
Kritik KQL Sorgusu
Verilerinizin gelip gelmediğini kontrol etmek için şu basit KQL (Kusto Query Language) kodunu "Logs" kısmında çalıştırın:
// Son 24 saatte en çok veri gönderen tabloları listeler
Usage
| where TimeGenerated > ago(24h)
| where IsBillable == true
| summarize TotalGB = sum(Quantity) / 1024 by DataType
| sort by TotalGB descCheck-list
- ✓Workspace: Doğru bölge ve doğru RBAC yapılandırıldı mı?
- ✓Konnektörler: Ücretsiz kaynaklar (Office 365, Activity) bağlandı mı?
- ✓Entra ID: Kimlik logları akıyor mu?
- ✓Analytics: Content Hub üzerinden en az 5 kritik kural aktif edildi mi?
- ✓Maliyet: Günlük veri limiti (Daily Cap) olası bir maliyet şokunu önlemek için ayarlandı mı?
İlk 24 saat, Sentinel'in temelini oluşturur. Doğru mimari kararlar ve stratejik veri kaynağı seçimleri, ileride hem operasyonel verimliliği hem de maliyet kontrolünü sağlayacaktır.