Modern siber güvenlik operasyonlarında Microsoft Sentinel, otomasyon ve analiz yetenekleriyle benzersiz bir güç sunuyor. Ancak altyapı "Kullandıkça Öde" (Pay-As-You-Go) modeliyle çalıştığında, Log Analytics Workspace'e (LAW) akan kontrolsüz veri, ay sonunda bütçe sınırlarını zorlayabiliyor.
Güvenlik operasyonlarında sıkça karşılaştığımız temel bir yanılgı var: Her logun eşit değerde olduğu düşüncesi. Sentinel pahalı bir çözüm değildir; faturaları şişiren ana etken, optimize edilmemiş veri mimarisi ve yanlış yapılandırılmış saklama (retention) stratejileridir.
Bugün, Sentinel fiyatlandırma modelinin derinliklerine inerek; Commitment Tier, Basic Logs, Archive Katmanı ve oyunun kurallarını değiştiren Data Lake (ADX) Entegrasyonu ile operasyonel körlük yaşamadan bütçenizi nasıl %40'a kadar düşürebileceğinizi inceleyeceğiz.
1Faturanın Anatomisi: Ingestion ve Retention
Sentinel maliyet optimizasyonuna başlamadan önce faturayı oluşturan iki ana bileşeni anlamak şarttır:
Data Ingestion (Veri Alımı)
Log Analytics Workspace'e GB başına yazılan veri.
Data Retention (Veri Saklama)
Verinin sistemde ne kadar süre "sıcak" (sorgulanabilir) tutulduğu.
Yaygın Mimari Hata: Her veriyi varsayılan Analytics (Analitik) tablolara yazmak ve 90 günden uzun süre operasyonel alanda tutmak, maliyetleri katlayarak artıran en yaygın mimari hatadır.
2İlk Savunma Hattı: Capacity Reservation (Commitment Tier)
Günlük log hacminiz 100 GB bandını aşıyorsa, standart "Pay-As-You-Go" modelinde kalmak finansal bir israftır. Microsoft, belirli bir günlük veri alımını taahhüt etmeniz durumunda (Capacity Reservation) %50'ye varan birim maliyet indirimleri sağlar.
Stratejik Yaklaşım:
- Sentinel kullanım metriklerinizi (Usage report) analiz ederek son 31 günlük ortalamanızı çıkarın.
- Veri hacminize en uygun (100GB, 200GB, 500GB vb.) Capacity Reservation katmanını seçin.
- Bu katmanlar 31 günlük periyotlarla değiştirilebilir. Trafik hacminin artacağı dönemleri öngörüp bir üst katmana geçmek ve sonrasında düşürmek, dinamik bir maliyet yönetimi sağlar.
3Veri Sınıflandırma Sanatı: Analytics vs. Data Lake Tier
Data Collection Rules (DCR) kullanarak veriyi içeri alırken sınıflandırmak, maliyet optimizasyonunun kalbidir. Her veri, Sentinel'in gelişmiş korelasyon motoruna ihtiyaç duymaz.
Analytics Logs (Tam Güç)
Kullanım: Microsoft Defender, Entra ID logları, siber tehdit istihbaratı gibi yüksek değerli güvenlik olayları.
Yetenekler: Tam KQL (Kusto Query Language) desteği, Machine Learning algoritmaları ve UEBA (User and Entity Behavior Analytics) entegrasyonu.
Maliyet: En yüksek katman.
Data Lake Tier (Yeni Nesil Depolama)
Kullanım: VPC Flow logları, Firewall "Allow" trafikleri, NetFlow gibi hacimli ama düşük güvenlik değerli veriler.
Yetenekler: Eski Auxiliary Logs'un evrimleşmiş hali olan Sentinel Data Lake, 12 yıla kadar saklama imkanı sunar ve tam KQL sorgu desteği sağlar.
Kazanç: Log Analytics maliyetini dramatik ölçüde düşürür. Gürültülü veriyi bu katmana çekmek, faturayı anında hafifletir.
Önemli: Yeni projelerde Data Lake Tier tercih edilmelidir.
Basic Logs (Legacy - Eski Kalan)
Durum: Basic Logs artık "legacy" (eski) kalmaya başladı ve yeni projelerde kullanılması önerilmemektedir.
Sınırlamalar: 8 günlük kısa saklama süresi, sınırlı KQL sorgu yeteneği (join veya summarize operatörleri kullanılamaz).
Öneri: Mevcut Basic Logs kullanımlarınızı Data Lake Tier'a geçirmeyi planlayın.
4Uzun Vadeli Saklama: Total Retention / Data Lake Storage
İnteraktif sorgular için veriyi sıcak tutmak pahalıdır. Varsayılan 90 günlük operasyonel süre (E5 lisans avantajlarıyla birleştiğinde) anlık tehdit avcılığı için genellikle yeterlidir. Ancak yasal regülasyonlar gereği yıllarca saklanması gereken denetim logları için Total Retention / Data Lake Storage stratejisi kullanılmalıdır.
Total Retention / Data Lake Storage Avantajları:
- Sentinel Data Lake ile veriyi 12 yıla kadar çok düşük GB maliyetleriyle saklayabilirsiniz.
- Gerektiğinde bu verilere ulaşmak için Search Job çalıştırabilir veya spesifik veri aralıklarını Restore işlemi ile geçici olarak sıcak katmana çekip tam kapasite KQL ile sorgulayabilirsiniz.
- Uyumluluk gereksinimlerini karşılarken operasyonel maliyetleri minimize eder.
5Sentinel Data Lake vs. Azure Data Explorer (ADX)
Geçmişte ADX Kullanımı:
Eskiden Sentinel'de veriyi ucuz yolla uzun süreli saklamanın tek yolu, veriyi bir "Logic App" veya "Data Export" ile harici bir ADX kümesine (cluster) taşımaktı.
Dezavantajı: Ayrı bir kaynak yönetimi, ayrı bir maliyet kalemi ve veriyi sorgularken "cross-cluster" (farklı kümeler arası) sorgu yazma zorunluluğu vardı.
Sentinel Data Lake: Yeni Nesil Çözüm
Microsoft, Sentinel Data Lake (Auxiliary Logs altyapısı) ile ADX'in sunduğu düşük maliyetli saklama yeteneğini Sentinel'in içine gömdü.
Entegrasyon:
Artık veriyi dışarı çıkarmaya (export) gerek kalmadı. Her şey Sentinel içinde yönetiliyor.
Maliyet:
Sentinel Data Lake fiyatlandırması, ADX kümesi işletme maliyetine (compute + storage) çok yaklaştı ve yönetim yükünü ortadan kaldırdı.
Sorgulama:
Data Lake'teki verileri sorgulamak artık çok daha kolay (KQL ile doğrudan). Sentinel arayüzünden çıkmadan tüm verilere erişebilirsiniz.
Saklama Süresi:
12 yıla kadar veri saklama imkanı sunar.
ADX Hangi Durumlarda Hala Geçerli?
Sentinel Data Lake'in sunduğu avantajlar nedeniyle ADX artık "birinci öncelik" olarak önerilmemektedir. Ancak şu özel durumlar için hala bir seçenek olabilir:
Devasa Veri Boyutları (Petabyte seviyesi)
Eğer on yıllarca sürecek petabyte'larca log varsa, ADX hala bir tık daha ekonomik olabilir.
Sentinel Dışı Analizler
Veri sadece güvenlik için değil, aynı zamanda iş analitiği (BI) veya uygulama telemetrisi için kullanılıyorsa ADX mantıklı kalmaya devam eder.
Merkezi Log Yönetimi
Birden fazla Sentinel workspace'inden gelen verileri tek bir devasa havuzda toplamak istiyorsanız ADX hala bir seçenek.
Güncel Öneri:
Eskiden maliyet optimizasyonu için veriyi Azure Data Explorer'a (ADX) taşımak en popüler yöntemdi. Ancak günümüzde Microsoft Sentinel Data Lake (Auxiliary Tier) özelliği sayesinde, veriyi dışarı aktarmaya gerek kalmadan Sentinel içerisinde çok düşük maliyetlerle 12 yıla kadar saklayabiliyoruz. ADX, artık sadece çok özel ve devasa ölçekli merkezi log projeleri için bir alternatif olarak değerlendirilmelidir.
Sonuç: Operasyonel Körlük Yaşamadan Optimize Edin
Maliyet optimizasyonu "bir kez yap ve unut" işi değildir. Sürekli bir döngüdür ve güvenlik görünürlüğünüzden ödün vermeden yapılmalıdır.
- 1
İzleyin
Hangi veri kaynağının en çok veri tükettiğini düzenli olarak görün. Usage and Estimated Costs raporlarını haftalık inceleyin.
- 2
Sınıflandırın
Bu veri gerçekten yüksek analitik mi olmalı, yoksa Data Lake Tier seviyesi mi? DCR kurallarınızı gözden geçirin ve Basic Logs kullanımlarınızı Data Lake Tier'a geçirmeyi planlayın.
- 3
Uzun Vadeli Saklama
Belirli bir süreden eski veriyi Total Retention / Data Lake Storage stratejisi ile yönetin. Sentinel Data Lake 12 yıla kadar saklama imkanı sunar.
Güvenlik bütçenizi lisanslara değil, insan kaynağına ve ileri düzey tehdit avcılığına (Threat Hunting) harcayın. Unutmayın, en güvenli sistem, sürdürülebilir olandır.