# Microsoft Azure'u Wazuh ile İzleme

Microsoft Azure, Microsoft'un bilgi işlem gücü, depolama seçenekleri ve ağ yetenekleri gibi çok çeşitli hizmetler sunan bir bulut bilişim platformudur. Sanal bilgi işlem, analiz, depolama ve ağ gibi çeşitli uygulamalar için çözümler sunar ve işletmelerin ve geliştiricilerin çeşitli ihtiyaçlarını karşılar. Bulut örneğinizi güvence altına almak, Microsoft Azure gibi bulut sağlayıcıları tarafından sunulan bulut hizmetlerini kullanan şirketler için önemli bir husustur.

Açık kaynaklı bir güvenlik izleme platformu olan Wazuh, Microsoft Azure ortamlarında güvenlik ve çalışma zamanı olayları tarafından oluşturulan verileri toplamak ve analiz etmek için çözümler sunar. Wazuh'u Microsoft Azure ile entegre etmek, Azure dağıtımlarının güvenlik duruşunu iyileştirir ve düzenleyici standartlara ve operasyonel bütünlüğe uyumu sağlar.

# İzleme Örnekleri

<span>Wazuh aracısı platformlar arası uyumludur, yani Windows, Linux, Solaris, BSD ve macOS dahil olmak üzere çeşitli işletim sistemlerinde çalışabilir. Farklı sistemler ve uygulamalar hakkında veri toplar ve örneğin Dosya Bütünlüğü İzleme (FIM) ve Güvenlik Yapılandırma Değerlendirmesi (SCA) gibi diğer Wazuh yeteneklerinden yararlanmasını sağlar. Bu veriler şifrelenmiş ve kimliği doğrulanmış bir kanal aracılığıyla Wazuh sunucusuna gönderilir. Benzersiz önceden paylaşılmış anahtar kayıt işlemi bu güvenli kanalı oluşturur.</span>

<span>Microsoft Azure ortamınızdaki sanal makinelere Wazuh aracısını yükleyebilirsiniz. Wazuh aracısını kullanarak bulut sanal makinelerini izlemek faydalıdır çünkü kapsamlı güvenlik ve performans denetimi sağlayarak dinamik bulut ortamlarında olası tehditlerin ve operasyonel sorunların erken tespitini sağlar.</span>

<span>Wazuh aracıları hakkında daha fazla bilgi edinmek için </span>[Wazuh agent kurulum](https://acikkaynak.lastguard.com.tr/books/kurulum-rehberi/chapter/wazuh-agent)<span> ve </span>[<span class="doc"><span>kayıt</span></span>](https://acikkaynak.lastguard.com.tr/books/kullanim-kilavuzu/page/wazuh-agent-kayit)<span> belgelerini inceleyin . Ayrıca, Wazuh SIEM ve XDR yetenekleri ve bunların yapılandırması hakkında </span><span class="doc"><span>yetenekler</span></span><span> belgelerimizde okuyun.</span>

# Azure Platformunu ve Hizmetlerini İzleme

Azure [Monitor Logs,](https://docs.microsoft.com/en-us/azure/azure-monitor/logs/data-platform-logs) Azure hizmetleri, sanal makineler ve uygulamalar dahil olmak üzere izlenen kaynaklardan günlükleri ve performans verilerini toplar ve düzenler. Bu içgörü, Azure Log Analytics REST API'sini kullanarak veya doğrudan bir Microsoft Azure Storage hesabının içeriklerine erişerek Wazuh'a gönderilir. Azure için Wazuh modülü, Wazuh dağıtımınızdan Microsoft Azure ortamlarınızın merkezi günlük kaydını, tehdit algılamasını ve uyumluluk yönetimini sağlar.

Azure için Wazuh modülü, Microsoft Azure günlüklerinize erişmek için bağımlılıklar ve kimlik bilgileri gerektirir. Bu bağımlılıklar varsayılan olarak Wazuh yöneticisinde mevcuttur, ancak entegrasyon için bir Wazuh aracısı kullandığınızda bunları yüklemeniz gerekir. Devam etmeden önce [Önkoşullar](https://documentation.wazuh.com/current/cloud-security/azure/platform-and-services.html#prerequisites) bölümüne bir göz atın.

<section id="bkmrk-%C3%96n-ko%C5%9Fullarbu-ba%C5%9Fl%C4%B1%C4%9F">### Ön koşullar

<section id="bkmrk-ba%C4%9F%C4%B1ml%C4%B1l%C4%B1klar%C4%B1-y%C3%BCkle">#### Bağımlılıkları Yükleme

Wazuh modülünü Azure için Wazuh yöneticisinde veya bir Wazuh aracısında yapılandırabilirsiniz. Bu seçim tamamen ortamınızda Azure altyapınıza nasıl eriştiğinize bağlıdır.

Azure ile entegrasyonu bir Wazuh aracısında yapılandırırken yalnızca bağımlılıkları yüklemeniz gerekir. Wazuh yöneticisi zaten gerekli tüm bağımlılıkları içerir.

<section id="bkmrk-pitonbu-ba%C5%9Fl%C4%B1%C4%9Fa-kal%C4%B1">##### Python

Azure için Wazuh modülü Python 3.8–3.12 ile uyumludur. Daha sonraki [Python sürümleri](https://www.python.org/downloads/) de çalışmalı ancak uyumlu olduklarını garanti edemeyiz. Python 3 zaten yüklü değilse, izlenen uç noktanızda aşağıdaki komutu çalıştırın.

  
**Yum**

```
yum update && yum install python3
```

  
**APT**

```
apt-get update && apt-get install python3
```

<div class="sphinx-tabs docutils container"><div aria-labelledby="tab-0-WXVt" class="sphinx-tabs-panel group-tab" id="bkmrk-" name="WXVt" role="tabpanel" tabindex="0"><div class="highlight-console notranslate"><div class="highlight" data-pagefind-weight="0.5">  
</div></div></div></div>Gerekli modülleri Python paket yöneticisi Pip ile kurabilirsiniz. Çoğu UNIX dağıtımının yazılım depolarında bu araç mevcuttur. Zaten kurulu değilse, uç noktanıza pip'i kurmak için aşağıdaki komutu çalıştırın.

**Yum**

```
yum update && yum install python3-pip
```

</section><section style="padding-left: 40px;">**APT**</section><section></section><section>```
apt-get update && apt-get install python3-pip
```

<div class="sphinx-tabs docutils container"><div aria-labelledby="tab-0-WXVt" class="sphinx-tabs-panel group-tab" id="bkmrk--1" name="WXVt" role="tabpanel" tabindex="0"></div></div>Bağımlılıkların kurulumunu kolaylaştırmak için Pip 19.3 veya üzerini kullanmanızı öneririz. Pip sürümünüzü kontrol etmek için bu komutu çalıştırın.

```
pip3 --version
```

Örnek çıktı aşağıdaki gibidir.

<div aria-expanded="true" class="output highlight-none notranslate collapsible expanded"><div class="output-title" role="button">**Output**</div></div>```
pip 22.0.2 from /usr/lib/python3/dist-packages/pip (python 3.10)
```

Eğer pip versiyonunuz 19.3'ten düşükse, versiyonu yükseltmek için aşağıdaki komutu çalıştırın.

  
**Python 3.8–3.10**

```
pip3 install --upgrade pip
```

</section><section style="padding-left: 40px;">**Python 3.11–3.12** ```
pip3 install --upgrade pip --break-system-packages
```

<p class="callout info">Not: Bu komut, varsayılan harici olarak yönetilen Python ortamını değiştirir. Daha fazla bilgi için [PEP 668](https://peps.python.org/pep-0668/) açıklamasına bakın.  
  
Değişikliği önlemek için sanal bir ortamda çalışabilirsiniz . Python betiğinin shebang'ini sanal ortamınızdaki yorumlayıcıyla güncellemelisiniz . Örneğin, .`<span class="pre">pip3</span> <span class="pre">install</span> <span class="pre">--upgrade</span> <span class="pre">pip</span>``<span class="pre">/var/ossec/wodles/azure/azure-logs</span>``<span class="pre">#!/path/to/your/virtual/environment/bin/python3</span>`</p>

<div class="sphinx-tabs docutils container" style="padding-left: 40px;"><div aria-labelledby="tab-2-UHl0aG9uIDMuOOKAkzMuMTA=" class="sphinx-tabs-panel group-tab" name="UHl0aG9uIDMuOOKAkzMuMTA=" role="tabpanel" style="padding-left: 40px;" tabindex="0"><div class="highlight-console notranslate" style="padding-left: 40px;"></div></div></div></section><section id="bkmrk-python-i%C3%A7in-azure-st">##### Python İçin Azure Storage İstemci Kitaplığı

Wazuh aracı uç noktanızı kurmak ve Microsoft Azure platformunuzu ve hizmetlerinizi izlemek için aşağıdaki komuttaki kütüphanelere ihtiyacınız var.

<section id="bkmrk-python-3.8%E2%80%933.10-pip3">**Python 3.8–3.10**

```
pip3 install azure-storage-blob==12.20.0 azure-storage-common==2.1.0 azure-common==1.1.25 cryptography==3.3.2 cffi==1.14.4 pycparser==2.20 six==1.14.0 python-dateutil==2.8.1 requests==2.25.1 certifi==2022.12.07 chardet==3.0.4 idna==2.9 urllib3==1.26.18 SQLAlchemy==2.0.23 pytz==2020.1
```

</section><section style="padding-left: 40px;">**Python 3.11–3.12** ```
pip3 install --break-system-packages azure-storage-blob==12.20.0 azure-storage-common==2.1.0 azure-common==1.1.25 cryptography==3.3.2 cffi==1.14.4 pycparser==2.20 six==1.14.0 python-dateutil==2.8.1 requests==2.25.1 certifi==2022.12.07 chardet==3.0.4 idna==2.9 urllib3==1.26.18 SQLAlchemy==2.0.23 pytz==2020.1
```

<p class="callout info">Not: Eğer sanal ortam kullanıyorsanız `<span class="pre">--break-system-packages</span>`yukarıdaki komuttan parametreyi kaldırın.</p>

</section><div class="sphinx-tabs docutils container"><div aria-labelledby="tab-3-UHl0aG9uIDMuOOKAkzMuMTA=" class="sphinx-tabs-panel group-tab" id="bkmrk--3" name="UHl0aG9uIDMuOOKAkzMuMTA=" role="tabpanel" tabindex="0"><div class="highlight-console notranslate"><div class="highlight" data-pagefind-weight="0.5"><button aria-controls="panel-3-UHl0aG9uIDMuOOKAkzMuMTA=" aria-selected="true" class="sphinx-tabs-tab group-tab" id="bkmrk-python-3.8%E2%80%933.10-1" name="UHl0aG9uIDMuOOKAkzMuMTA=" role="tab" tabindex="0"></button></div></div></div></div></section></section><section id="bkmrk-azure-kimlik-bilgile"><span id="bkmrk--4"></span>#### Azure Kimlik Bilgilerini Yapılandırma

<span class="doc">Azure için Wazuh modülünün</span> Azure'a başarılı bir şekilde bağlanabilmesi için erişim kimlik bilgilerine sahip olması gerekir. Gereken kimlik bilgileri izleme türüne göre değişir. Bunlar şunları içerir:

- Microsoft Graph ve Azure Log Analytics için erişim kimlik bilgileri
- Microsoft Azure Storage için erişim kimlik bilgileri

Aşağıdaki bölümlerde bu kimlik bilgilerini nasıl oluşturabileceğinize dair genel bir bakış sunulmaktadır.

<section id="bkmrk-microsoft-graph-ve-a"><span id="bkmrk--5"></span>##### Microsoft Graph ve Azure Log Analytics İçin Erişim Kimlik Bilgilerini Alma

Azure için Wazuh modülünden gelen bağlantıyı doğrulamak için geçerli application\_id ve application\_key değerlerine ihtiyacınız var.

`<span class="pre">application_id</span>`ve elde etmek için aşağıdaki adımları izleyin `<span class="pre">application_key</span>`:

1. Microsoft Entra ID'ye gidin ve kayıtlı uygulamaya gidin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/navigate-to-registered-application1.png)</div>
2. **Seçtiğiniz uygulamanın Sertifikalar ve sırlar** bölümüne gidin , ardından **Yeni istemci sırrı'nı** seçerek bir gizli anahtar oluşturun .
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/new-client-secret1.png)  
      
    </div>
3. Anahtara açıklayıcı bir ad verin ve anahtarın etkin kalacağı süreyi belirtin, ardından **Ekle'yi** seçin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/add-client-secret1.png)  
    </div>
4. `<span class="pre">Value</span>`ve 'yi kopyalayın . Bu değerleri güvenli bir şekilde sakladığınızdan emin olun, çünkü bunları yalnızca bir kez görüntüleyebilirsiniz. ' dir .`<span class="pre">Secret</span> <span class="pre">ID</span>``<span class="pre">Value</span>``<span class="pre">application_key</span>`
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/copy-client-secret1.png)  
    </div>
5. `<span class="pre">application_id</span>`Kayıtlı uygulamanızın değerini **Genel Bakış** bölümünden kopyalayın.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/copy-client-secret21.png)  
    </div>

</section><section id="bkmrk-microsoft-azure-stor"><span id="bkmrk--11"></span>##### Microsoft Azure Storage İçin Erişim Kimlik Bilgilerini Alma

Microsoft Azure Storage geçerli `<span class="pre">account_name</span>`ve değerleri gerektirir. Bunları Azure ortamınızdaki **Storage hesaplarının Erişim anahtarları** bölümünden `<span class="pre">account_key</span>`edinebilirsiniz . [Bir depolama hesabı oluşturmak](https://learn.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal) için Microsoft kılavuzunu izleyin .

Aşağıdaki bölüm Microsoft Azure Depolama hesabı anahtarının alınmasına ilişkin adımları göstermektedir.

1. Microsoft Azure ortamınızın **Depolama hesapları** bölümüne gidin ve ilgilendiğiniz hesabı seçin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/select-storage-account1.png)  
    </div>
2. ve değerlerine erişmek için sol bölmede bulunan **Erişim tuşlarına** gidin .`<span class="pre">account_name</span>``<span class="pre">account_key</span>`
    
    <div class="wazuh-image-wrapper align-center">**![](https://documentation.wazuh.com/current/_images/navigate-to-access-keys1.png)**  
    </div>

</section><section id="bkmrk-wazuh-azure-kimlik-d"><span id="bkmrk--14"></span>##### Wazuh Azure Kimlik Doğrulama Dosyası

Microsoft Azure ortamınızı Wazuh'ta kimlik doğrulamak için kimlik bilgilerinizi biçimini kullanarak bir dosyada saklamanız gerekir .`<span class="pre">field</span> <span class="pre">=</span> <span class="pre">value</span>`

Kimlik bilgileri dosyasında bulunması beklenen alanlar, izlediğiniz hizmet veya etkinliğin türüne bağlıdır.

<section id="bkmrk-microsoft-azure-log-">**Microsoft Azure Log Analitiği ve Grafiği**

Dosya sadece iki satırdan oluşmalıdır, biri için `<span class="pre">application_id</span>`, diğeri ise `<span class="pre">application_key</span>`daha önce elde edilenler için:

```
application_id = <YOUR_APPLICATION_ID>
application_key = <YOUR_APPLICATION_KEY>
```

</section><section id="bkmrk-microsoft-azure-depo">**Microsoft Azure Depolama**

Dosya sadece iki satırdan oluşmalıdır, biri için `<span class="pre">account_name</span>`ve diğeri `<span class="pre">account_key</span>`daha önce elde edilen için:

```
account_name = <YOUR_ACCOUNT_NAME>
account_key = <YOUR_ACCOUNT_KEY>
```

İzlediğiniz hizmet veya etkinlikten bağımsız olarak, yapılandırma dosyasında kimlik doğrulama dosyasını etiketi `<span class="pre">/var/ossec/etc/ossec.conf</span>`kullanarak belirtin. Aşağıdaki örneğe bir göz atın:`<span class="pre"><auth_path></span>`

```
<wodle name="azure-logs">
  <disabled>no</disabled>
  <run_on_start>yes</run_on_start>

  <log_analytics>
     <auth_path>/var/ossec/wodles/credentials/log_analytics_credentials</auth_path>
      <tenantdomain>wazuh.com</tenantdomain>
      <request>
          <query>AzureActivity</query>
          <workspace>12345678-90ab-cdef-1234-567890abcdef</workspace>
          <time_offset>1d</time_offset>
      </request>
  </log_analytics>

  <graph>
     <auth_path>/var/ossec/wodles/credentials/graph_credentials</auth_path>
      <tenantdomain>wazuh.com</tenantdomain>
      <request>
          <query>auditLogs/directoryAudits</query>
          <time_offset>1d</time_offset>
      </request>
  </graph>

<storage>
     <auth_path>/var/ossec/wodles/credentials/storage_credentials</auth_path>
      <container name="insights-activity-logs">
          <blobs>.json</blobs>
          <content_type>json_inline</content_type>
          <time_offset>24h</time_offset>
      </container>
  </storage>
</wodle>
```

`<span class="pre">request</span>`Aynı yapılandırmada aynı anda birden fazla blok eklemek mümkündür. Azure için Wazuh modülü her isteği sırayla işler. Yukarıdaki yapılandırma bir örnektir. Microsoft Azure Log Analytics, Graph ve Storage yapılandırma bloklarını içerir.

</section></section><section id="bkmrk-yeniden-%C3%A7%C3%B6z%C3%BCmlemekbu">##### Yeniden Çözümlemek

<p class="callout warning">Uyarı: Bu `<span class="pre">reparse</span>`seçenek başlangıç ​​tarihinden bugüne kadar tüm günlükleri getirecek ve işleyecektir. Bu işlem yinelenen uyarılar üretebilir.</p>

<div class="admonition warning"> Daha eski Azure günlüklerini getirmek ve işlemek için, seçeneğini kullanarak Azure için Wazuh modülünü çalıştırmanız gerekir `<span class="pre">--reparse</span>`.</div>Değer `<span class="pre">la_time_offset</span>`, başlangıç ​​noktası için bir ofset olarak zamanı ayarlar. Bir değer sağlamazsanız `<span class="pre">la_time_offset</span>`, Azure için Wazuh modülü ilk dosyayı işlediği tarihe döner.

Aşağıdaki kod bloğu, Wazuh yöneticisinde Azure için Wazuh modülünün şu `<span class="pre">--reparse</span>`seçenek kullanılarak çalıştırılmasına ilişkin bir örneği göstermektedir:

```
/var/ossec/wodles/azure/azure-logs --log_analytics --la_auth_path credentials_example --la_tenant_domain 'wazuh.example.domain' --la_tag azure-activity --la_query "AzureActivity" --workspace example-workspace --la_time_offset 50d --debug 2 --reparse
```

Parametre ayrıntılı bir çıktı alır. Bu çıktı, özellikle büyük miktarda veri işlenirken betiğin çalıştığını göstermek için yararlıdır.`<span class="pre">--debug</span> <span class="pre">2</span>`

</section></section></section>

# Microsoft Azure Günlük Analizi

[Microsoft Azure Log Analytics,](https://learn.microsoft.com/en-us/azure/azure-monitor/logs/log-analytics-overview) Microsoft Azure altyapınızı izleyen ve verilerinize özel gelişmiş aramalar yapmanıza olanak tanıyan sorgu yetenekleri sunan bir hizmettir.

Azure Log Analytics çözümü, tüm Azure aboneliklerinizdeki Azure etkinlik günlüklerini analiz etmenize ve aramanıza yardımcı olur ve aboneliklerinizin kaynaklarıyla gerçekleştirilen işlemler hakkında bilgi sağlar.

<div class="wazuh-image-wrapper align-center" id="bkmrk-">![](https://documentation.wazuh.com/current/_images/log-analytics-activity-send1.png)</div>Microsoft Entra ID kimlik doğrulama şemasını kullanan Azure Log Analytics REST API'sini kullanarak Log Analytics tarafından toplanan verileri sorgulayabilirsiniz. Azure Log Analytics REST API'sini kullanmak için nitelikli bir uygulamaya veya istemciye ihtiyacınız vardır. Bunu Microsoft Azure portalında manuel olarak yapılandırmanız gerekir. Aşağıdaki bölüm uygulamanın nasıl kurulacağını gösterir ve bir kullanım örneği verir:

- Uygulamanın kurulumu
- <span class="std std-ref">Azure Log Analytics kullanım örneği</span>

<section id="bkmrk-yap%C4%B1land%C4%B1rma-azure-u">### Yapılandırma

<section id="bkmrk-azure-uygulaman%C4%B1n-ku">#### Azure

<section id="bkmrk-uygulaman%C4%B1n-kurulumu-1">##### Uygulamanın kurulumu

Aşağıdaki işlem Azure Log Analytics REST API'sini kullanarak bir uygulama oluşturmayı ayrıntılı olarak açıklamaktadır. Mevcut bir uygulamayı yapılandırmak da mümkündür. Zaten mevcut bir uygulamanız varsa lütfen Uygulama oluşturma adımını atlayın.

<section id="bkmrk-uygulaman%C4%B1n-olu%C5%9Fturu">**Uygulamanın oluşturulması**

Azure Log Analytics için yeni bir uygulama oluşturmak üzere Microsoft Azure portalındaki Microsoft Entra ID paneline gidiyoruz.

1. **Microsoft Entra ID** panelinden **Uygulama kayıtları** seçeneğini seçin . Ardından, **Yeni kayıt** seçeneğini seçin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/new-app-registration1.png)  
    </div>
2. Uygulama için kullanıcıya dönük görüntü adını tanımlayın ve **Kaydet'i** seçin .
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/register-an-application1.png)  
    </div>

</section><section id="bkmrk-uygulamaya-%C4%B0zinlerin">**Uygulamaya İzinlerin Verilmesi**

1. **Uygulama kaydından** Tüm **uygulamaları** seçin ve yenileyin. Yeni uygulama görünecektir. Bizim durumumuzda, görünen ad **LogAnalyticsApp'dir**.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/application-display-name1.png)  
    </div>
2. **Genel Bakış** bölümüne gidin ve **Uygulama (istemci) kimliğini** daha sonraki kimlik doğrulaması için kaydedin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/save-application-ID1.png)  
    </div>
3. **API izinleri** bölümüne gidin ve uygulamaya **Data.Read** iznini ekleyin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/add-api-permission1.png)  
    </div>
4. **Log Analytics API'yi** arayın .
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/search-log-analytics-api1.png)  
    </div>
5. Uygulamalar izinlerinden **Log Analytics verilerini oku iznini** seçin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/select-read-log-analytics1.png)  
    </div>
6. Kiracıya **yönetici onayı vermek** için bir yönetici kullanıcısı kullanın.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/grant-admin-consent1.png)  
    </div>

</section><section id="bkmrk-uygulamaya-azure-log">**Uygulamaya Azure Log Analytics API'sine Erişim İzni Verme**

1. **Log Analytics çalışma alanlarına** erişin ve yeni bir çalışma alanı oluşturun veya mevcut bir çalışma alanını seçin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/create-log-analytics-workspace1.png)  
    </div>
2. **Genel Bakış** bölümünden değeri kopyalayın .`<span class="pre">Workspace</span> <span class="pre">ID</span>`
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/copy-workspace-ID1.png)  
    </div>
3. **Erişim denetimi (IAM)** bölümüne gidin , **Ekle'ye** tıklayın ve uygulamaya gerekli rolü eklemek için **Rol ataması ekle'yi** seçin .
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/add-role-assignment1.png)  
    </div>
4. **İş fonksiyonları rol sekmesinden Log Analytics Okuyucu** rolünü seçin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/select-reader-role1.png)  
    </div>
5. **Üyeler** sekmesinden **Kullanıcı, grup veya hizmet sorumlusunu** seçin . **Üyeleri seç'e** tıklayın ve daha önce oluşturulan Uygulama kaydını bulun.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/select-members1.png)  
    </div>
6. Bitirmek için **Gözden Geçir + Ata'ya** tıklayın .

</section></section><section id="bkmrk-g%C3%BCnl%C3%BCkleri-%C3%87al%C4%B1%C5%9Fma-a">##### Günlükleri Çalışma Alanına gönderme

Önceki adımlarda oluşturulan Azure Log Analytics Çalışma Alanına günlükleri toplamak ve göndermek için bir tanılama ayarı oluşturmanız gerekir.

1. **Microsoft Entra ID'ye** geri dönün , sol menü çubuğunu aşağı kaydırın ve **Tanılama ayarları** bölümünü seçin.
2. **Tanılama ayarı ekle'ye** tıklayın.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/add-diagnostic-setting1.png)  
    </div>
3. **Kategoriler** altında toplamak istediğiniz günlük kategorilerini seçin . **Hedef ayrıntıları** altında **Log Analytics çalışma alanına gönder** seçeneğini işaretleyin. Önceki adımlarda oluşturduğunuz **Log Analytics Çalışma Alanını** seçin .
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/choose-categories1.png)  
    </div>
4. **Kaydet'e** tıklayın .

Azure Log Analytics, seçili kategorileri çalışma alanınıza aktaracaktır.

Wazuh, Azure Log Analytics'ten günlükleri çekmek için geçerli kimlik bilgileri gerektirir. Uygulama kaydına erişmek için bir istemci sırrının nasıl oluşturulacağını öğrenmek için [<span class="std std-ref">kimlik bilgileri bölümüne bakın.</span>](https://acikkaynak.lastguard.com.tr/books/bulut-guvenligi/page/azure-platformunu-ve-hizmetlerini-izleme)

</section></section><section id="bkmrk-wazuh-sunucusu-veya-">#### Wazuh Sunucusu veya Aracısı

Azure Log Analytics'inize erişmek için Wazuh modülünü Azure için yetkilendirmeniz gerekir. Yetkilendirmeyi ayarlama hakkında daha fazla bilgi için [<span class="std std-ref">Azure kimlik bilgilerini yapılandırma</span>](https://acikkaynak.lastguard.com.tr/books/bulut-guvenligi/page/azure-platformunu-ve-hizmetlerini-izleme) bölümüne bakın.

1. `<span class="pre">/var/ossec/etc/ossec.conf</span>`Aşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır:
    
    ```
    <wodle name="azure-logs">
        <disabled>no</disabled>
        <run_on_start>no</run_on_start>
    
        <log_analytics>
            <auth_path>/var/ossec/wodles/credentials/log_analytics_credentials</auth_path>
            <tenantdomain>wazuh.com</tenantdomain>
    
            <request>
                <tag>azure-auditlogs</tag>
                <query>AuditLogs</query>
                <workspace>d6b...efa</workspace>
                <time_offset>1d</time_offset>
            </request>
    
        </log_analytics>
    </wodle>
    ```
    
    Nerede:
    
    
    - `<span class="pre"><auth_path></span>`çalışma alanı gizli anahtarının saklandığı tam yoldur.
    - `<span class="pre"><tenantdomain></span>`kiracı etki alanı adıdır. Bunu Microsoft Entra ID'deki Genel Bakış bölümünden edinebilirsiniz.
    - `<span class="pre"><workspace></span>`kimlik doğrulaması için ihtiyaç duyduğunuz çalışma alanı kimliğidir.
    - `<span class="pre"><time_offset></span>`geriye doğru tarihlenen zaman dilimidir. Bu durumda, 24 saatlik bir zaman dilimi içindeki tüm günlükler indirilecektir.
2. Azure için Wazuh modülünü nerede yapılandırdığınıza bağlı olarak Wazuh sunucunuzu veya aracınızı yeniden başlatın.
    
    Wazuh temsilcisi:
    
    ```
    systemctl restart wazuh-agent
    ```
    
    Wazuh sunucusu:
    
    ```
    systemctl restart wazuh-manager
    ```

yukarıdaki yapılandırma, Wazuh'un tanımlayıcı olarak `<span class="pre">tag</span>` değeri kullanarak herhangi bir sorguyu aramasına olanak tanır .

<span class="doc">Azure için Wazuh modülü</span> hakkında daha fazla bilgi için referansı inceleyin .

</section><section id="bkmrk-kullan%C4%B1m-durumubu-ba"><span id="bkmrk--17"></span>#### Use Case

Daha önce oluşturulmuş Azure uygulamasını kullanarak altyapı etkinliğinin izlenmesine dair bir örnek aşağıda verilmiştir.

<section id="bkmrk-bir-kullan%C4%B1c%C4%B1-olu%C5%9Ftu"><span id="bkmrk--18"></span>##### Bir Kullanıcı Oluşturma

Microsoft Entra ID'de kullanıcı oluşturmak için aşağıda belirtilen adımları izleyin:

1. **Entra ID'ye** gidin ve **Tüm kullanıcılar'ı** seçin.
2. **Yeni Kullanıcı'ya** tıklayın.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/click-new-user1.png)  
    </div>
3. **Yeni kullanıcı oluştur** seçeneğini seçin.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/create-new-user1.png)  
    </div>
4. Oluşturmak istediğiniz kullanıcı için gerekli bilgileri girin ve ardından **Oluştur** seçeneğini seçerek oluşturma işlemini tamamlayın.
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/create-new-user21.png)  
    </div>

</section><section id="bkmrk-wazuh-panosundaki-ol">#### Wazuh Dashboard Olayların Görselleştirilmesi

Kurulum tamamlandıktan sonra sonuçları Wazuh kontrol panelinden kontrol edebilirsiniz.

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/results-in-wazuh-dashboard1.png)</div></section></section></section>

# Microsoft Graph Servislerini Wazuh İle İzleme

<span>Microsoft Graph API, Microsoft 365, Azure, Dynamics 365 ve diğer çeşitli Microsoft bulut bileşenleri dahil ancak bunlarla sınırlı olmamak üzere Microsoft bulut hizmetlerinin tüm paketindeki verilere erişim sağlayan kapsamlı bir API sistemidir. Microsoft Bulut ekosisteminden yapılandırılmış verilere, içgörülere ve zengin ilişkilere erişim için bir uç noktadır.</span>

<span>Bu bölümde, Microsoft Graph için Wazuh modülünü kullanarak kuruluşunuzun Microsoft Graph API kaynaklarını ve ilişkilerini izlemeye yönelik talimatlar verilmektedir.</span>

<span>Şu anda Microsoft Graph için Wazuh modülü Wazuh ile aşağıdakileri izlemenize olanak sağlıyor:</span>

- <span>Microsoft Entra Kimlik Koruması</span>
- <span>Microsoft 365 Savunucusu</span>
- <span>Bulut Uygulamaları için Microsoft Defender</span>
- <span>Microsoft Defender Uç Nokta İçin</span>
- <span>Kimlik için Microsoft Defender</span>
- <span>Office 365 için Microsoft Defender</span>
- <span>Microsoft Kapsamı eKeşif</span>
- <span>Microsoft Kapsamı Veri Kaybını Önleme (DLP)</span>

<span>Bunlar güvenlik kaynağı için temel olsa da, Microsoft Graph API'sini kullanarak birçok ek kaynağı izleyebilirsiniz. Daha fazla bilgi edinmek için </span>[<span>Microsoft Graph</span>](https://learn.microsoft.com/en-us/graph/overview?view=graph-rest-1.0)<span> belgelerine Genel Bakış'a bakın.</span>

<p class="callout info"><span>Not: Güvenlik kaynağı, önceden oluşturulmuş kurallarla test edildiği için olgun olarak kabul edilebilir. Ancak, kuruluşunuz günlükleri diğer kaynaklardan Wazuh dağıtımınıza alabilir.</span></p>

**<span>İçerik alınıyor</span>**

<span>Microsoft Graph'tan bir dizi günlük almak için </span>`<span class="pre">GET</span>`<span>aşağıdaki URL'yi kullanarak bir istekte bulunun:</span>

```
GET https://graph.microsoft.com/{version}/{resource}/{relationship}?{query-parameters}
```

[<span>Microsoft Graph API'nin mevcut üretim sürümünün açıklaması Microsoft Graph'a Genel Bakış'ta</span>](https://learn.microsoft.com/en-us/graph/overview?view=graph-rest-1.0)<span> bulunabilir .</span>

[<span>Alternatif olarak, API doğrudan Microsoft Graph Explorer</span>](https://developer.microsoft.com/graph/graph-explorer)<span> aracılığıyla denenebilir .</span>

# Microsoft Azure Depolama

<section id="bkmrk-microsoft-azure-stor">[<span>Microsoft Azure Storage,</span>](https://docs.microsoft.com/en-us/azure/storage/common/storage-introduction)<span> Microsoft Azure bulut depolama çözümünü ifade eder. Bu hizmet, veri nesneleri için büyük ölçüde ölçeklenebilir bir nesne deposu, güvenilir mesajlaşma için bir mesajlaşma deposu, bulut için bir dosya sistemi hizmeti ve bir NoSQL deposu sağlar.</span>

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/microsoft-azure-storage-diagram1.png)</div><span>  
Azure Log Analytics REST API'sine alternatif olarak Wazuh, bir Microsoft Azure Depolama hesabına erişim sunar. Microsoft Azure altyapısının etkinlik günlüklerini depolama hesaplarına aktarabilirsiniz.</span>

<span>Bu bölümde, Microsoft Azure etkinlik günlüklerinizi bir depolama hesabında arşivlemek için Azure portalının nasıl kullanılacağı açıklanmaktadır.</span>

<section id="bkmrk-yap%C4%B1land%C4%B1rma-azure-e">### <span>Yapılandırma</span>

#### Azure

  
<span>Etkinlik Günlüğü Dışa Aktarımını Yapılandırma  
  
</span><section><section id="bkmrk-microsoft-entra-id%C2%A0i">1. <span>**Microsoft Entra ID** içerisindeki **İzleme bölümünden** </span>**<span>Denetim Günlükleri</span>**<span> seçeneğini seçin ve **Veri Ayarlarını Dışa Aktar'a** tıklayın.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/export-data-settings1.png)  
    </div>
2. **<span>Tanılama ayarı ekle'ye</span>**<span> tıklayın.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/add-diagnostic-setting21.png)  
    </div>
3. **<span>Denetim Günlükleri'ni</span>**<span> seçin ve </span>**<span>Depolama hesabına arşivleyin</span>**<span> onay kutusunu seçin , ardından açılır menüden günlükleri dışa aktarmak istediğiniz aboneliği ve Depolama hesabını seçin.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/archive-to-the-storage-account1.png)</div>

</section></section><section id="bkmrk-wazuh-sunucusu-veya-">#### <span>Wazuh Sunucusu veya Agent</span>

`<span class="pre">account_name</span>`<span>Depolama hesabının ve'sini kimlik doğrulaması için ayarlamak önemlidir </span>`<span class="pre">account_key</span>`<span>. Aşağıdaki görüntü önceden yapılandırılmış bir depolama hesabını gösterir.  
  
</span>

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/storage-account-configured1.png)  
</div>[<span class="std std-ref"><span>Microsoft Azure Depolama kimlik bilgilerini yapılandırma konusunda rehberlik için kimlik bilgileri</span></span>](https://acikkaynak.lastguard.com.tr/books/bulut-guvenligi/page/azure-platformunu-ve-hizmetlerini-izleme)<span> bölümünü kontrol edin .</span>

1. `<span class="pre">/var/ossec/etc/ossec.conf</span>`<span>Aşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır:</span>
    
    ```
    <wodle name="azure-logs">
    
        <disabled>no</disabled>
        <interval>1d</interval>
        <run_on_start>yes</run_on_start>
    
        <storage>
    
                <auth_path>/home/manager/Azure/storage_auth.txt</auth_path>
                <tag>azure-activity</tag>
    
                <container name="insights-activity-logs">
                    <blobs>.json</blobs>
                    <content_type>json_inline</content_type>
                    <time_offset>24h</time_offset>
                    <path>info-logs</path>
                </container>
    
        </storage>
    </wodle>
    ```
    
    <span>Nerede</span>
    
    
    - `<span class="pre"><auth_path></span>`<span>çalışma alanı gizli anahtarının saklandığı tam yoldur.</span>
    - `<span class="pre"><container></span>`<span>blog depolama içeriklerini getirirken yararlı parametreler içerir.</span>
    - `<span class="pre"><container</span> <span class="pre">name="insights-activity-logs"></span>`<span>Akışı yapılacak günlük kabı.</span>
    - `<span class="pre"><blobs>.json</blobs></span>`<span>indirilecek blob formatıdır.</span>
    - `<span class="pre"><time_offset></span>`<span>geriye doğru tarihlenen zaman dilimidir. Bu durumda, 24 saatlik bir zaman dilimi içindeki tüm günlükler indirilecektir.</span>
    - `<span class="pre"><content_type></span>`<span>blob'ların içeriğinin depolanması için kullanılan formattır.</span>
2. <span>Azure için Wazuh modülünü nerede yapılandırdığınıza bağlı olarak Wazuh sunucunuzu veya aracınızı yeniden başlatın.  
      
    </span>
    
    <span>Wazuh temsilcisi:</span>
    
    ```
    systemctl restart wazuh-agent
    ```
    
    <span>Wazuh sunucusu:</span>
    
    ```
    systemctl restart wazuh-manager
    ```

</section><section id="bkmrk-kullan%C4%B1m-durumu-yuka">#### <span>Kullanım Durumu</span>

<span>Yukarıdaki yapılandırmayı kullanarak Microsoft Entra ID etkinlik izleme örneğini aşağıda bulabilirsiniz.</span>

<section id="bkmrk-yeni-bir-kullan%C4%B1c%C4%B1-o">##### <span>Yeni Bir Kullanıcı Oluştur</span>

<span>Microsoft Entra ID kullanarak Microsoft Azure ortamınızda yeni bir kullanıcı oluşturun. Kullanıcıyı oluşturduktan birkaç dakika sonra, </span>`<span class="pre">insights-activity-logs</span>`<span>Activity log export'u yapılandırılırken belirtilen Storage hesabının içinde adlandırılan bir kapsayıcıda yeni bir günlük kullanılabilir olacaktır.</span>

<span>Lütfen Azure Log Analytics kullanım örneği altında </span>[<span class="std std-ref"><span>kullanıcı oluşturma</span></span>](https://documentation.wazuh.com/current/cloud-security/azure/log-analytics.html#log-analytics-use-case-creating-user)<span> bölümüne bakın .</span>

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/new-container-available1.png)</div><span>  
Sonuçları Wazuh panelinden kontrol edebilirsiniz.  
  
</span>

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/results-in-wazuh-dashboard21.png)</div></section></section></section></section>

# Microsoft Grafiği

<span>Bu bölümde, Microsoft Graph REST API'yi kullanarak Microsoft Entra ID etkinliğinizi nasıl izleyeceğinizi öğreneceksiniz. Bu bölüm şunları içerir:</span>

- <span class="std std-ref"><span>Azure yapılandırması</span></span>
- <span class="std std-ref"><span>Wazuh yapılandırması</span></span>
- <span class="std std-ref"><span>Microsoft Entra ID kullanım örneği</span></span>

<span>Aşağıda Microsoft Entra ID'deki denetim ve izleme faaliyetleriyle ilgili Microsoft Graph REST API'sindeki uç noktalar yer almaktadır.</span>

<table class="docutils align-default" id="bkmrk-rapor-t%C3%BCr%C3%BC-sorgu-diz" style="width: 99.7531%;"><tbody><tr class="row-odd"><td style="width: 37.5678%;">**<span>Rapor türü</span>**

</td><td style="width: 62.5104%;">**<span>Sorgu</span>**

</td></tr><tr class="row-even"><td style="width: 37.5678%;">[<span>Dizin denetimleri</span>](https://docs.microsoft.com/en-us/graph/api/directoryaudit-list?view=graph-rest-1.0&tabs=http)

</td><td style="width: 62.5104%;">`<span class="pre">auditLogs/directoryaudits</span>`

</td></tr><tr class="row-odd"><td style="width: 37.5678%;">[<span>Oturum açmalar</span>](https://docs.microsoft.com/en-us/graph/api/signin-list?view=graph-rest-1.0&tabs=http)

</td><td style="width: 62.5104%;">`<span class="pre">auditLogs/signIns</span>`

</td></tr><tr class="row-even"><td style="width: 37.5678%;">[<span>Tedarik</span>](https://docs.microsoft.com/en-us/graph/api/provisioningobjectsummary-list?view=graph-rest-1.0&tabs=http)

</td><td style="width: 62.5104%;">`<span class="pre">auditLogs/provisioning</span>`

</td></tr></tbody></table>

<span>Bu uç noktalar, yöneticilerin ve geliştiricilerin güvenlik, uyumluluk ve operasyonel amaçlar doğrultusunda Microsoft Entra ID içindeki etkinlikleri izlemesine ve denetlemesine olanak tanır.</span>

<span class="std std-ref"><span>Wazuh, yukarıdaki uç noktaları kullanarak Microsoft Entra ID etkinlik raporlarını işleyebilir. Her biri farklı bir sorgu yürütmenizi gerektirir. Bu sorguları Azure yapılandırması</span></span><span> için Wazuh modülünüzün komut bloğuna yerleştireceksiniz .</span>

<section id="bkmrk-yap%C4%B1land%C4%B1rma-azure-u">### <span>Yapılandırma</span>

<section id="bkmrk-azure-uygulaman%C4%B1n-ol"><span id="bkmrk-"></span>#### Azure

<section id="bkmrk-uygulaman%C4%B1n-olu%C5%9Fturu">##### <span>Uygulamanın Oluşturulması</span>

<span>Bu bölüm Azure Log Analytics REST API'sini kullanarak bir uygulama oluşturmayı açıklar. Ancak, mevcut bir uygulamayı yapılandırmak da mümkündür. Bu durumda, bu adımı atlayın.</span>

1. **<span>Microsoft Entra ID</span>**<span> panelinde , </span>**<span>Uygulama kayıtları'nı</span>**<span> seçin . Ardından, </span>**<span>Yeni kayıt'ı</span>**<span> seçin.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/new-app-registration21.png)  
    </div>
2. <span>Uygulamaya açıklayıcı bir ad verin, uygun </span>**<span>hesap türünü</span>**<span> seçin ve </span>**<span>Kaydol'a</span>**<span> tıklayın.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/register-application1.png)  
    </div>

<span>Uygulama artık kayıtlı.  
  
</span>

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/app-registrations1.png)</div></section><section id="bkmrk-uygulamaya-%C4%B0zinlerin">##### <span>  
Uygulamaya İzinlerin Verilmesi</span>

1. <span>Uygulamaya tıklayın, </span>**<span>Genel Bakış</span>**<span> bölümüne gidin ve daha sonraki kimlik doğrulaması için </span>**<span>Uygulama (istemci) Kimliğini</span>**<span> kaydedin.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/save-application-ID21.png)  
    </div>
2. <span>**API izinleri** bölümünde </span>**<span>İzin ekle</span>**<span> seçeneğini belirleyin.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/add-api-permission21.png)  
    </div>
3. *<span>"Microsoft Graph"ı</span>*<span> arayın ve API'yi seçin.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/select-microsoft-graph-api1.png)  
    </div>
4. **<span>Uygulamalar</span>**<span> izinlerinde altyapınızla uyumlu izinleri seçin . Bu durumda </span>`<span class="pre">AuditLog.Read.All</span>`<span>izinler verilecektir. Ardından </span>**<span>İzinleri ekle'ye</span>**<span> tıklayın.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/add-api-permissions1.png)  
    </div>
5. <span>Kiracıya </span>**<span>yönetici onayı vermek</span>**<span> için bir yönetici kullanıcısı kullanın.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/grant-admin-consent21.png)  
    </div>

</section><section id="bkmrk-kimlik-do%C4%9Frulama-%C4%B0%C3%A7i">##### <span>Kimlik Doğrulama İçin Uygulama Anahtarının Alınması</span>

<span>Log Analytics API'yi günlükleri almak için kullanmak üzere, Log Analytics API'yi doğrulamak için bir uygulama anahtarı üretmeliyiz. Uygulama anahtarını üretmek için aşağıdaki adımları izleyin.</span>

1. **<span>Sertifikalar ve sırlar'ı</span>**<span> seçin , ardından bir anahtar oluşturmak için </span>**<span>Yeni istemci sırrı'nı seçin.  
      
    </span>**
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/new-client-secret21.png)  
    </div>
2. <span>Uygun bir </span>**<span>açıklama</span>**<span> girin , anahtar için tercih edilen süreyi ayarlayın ve ardından </span>**<span>Ekle'ye</span>**<span> tıklayın.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/add-client-secret21.png)  
    </div>
3. <span>Anahtar </span>**<span>değerini</span>**<span> kopyalayın . Bu daha sonra kimlik doğrulama için kullanılacaktır.  
    </span>

<p class="callout info"><span>Not: Bu sayfadan çıkmadan önce anahtarı kopyalayın, çünkü yalnızca bir kez görüntülenecektir. Sayfadan çıkmadan önce kopyalamazsanız, yeni bir anahtar oluşturmanız gerekecektir.</span>  
</p>

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/copy-client-secret31.png)</div></section></section><section id="bkmrk-wazuh-sunucusu-veya-"><span id="bkmrk--12"></span>#### <span>Wazuh Sunucusu veya Agent</span>

<span>Burada önceki adımlarda kaydedilen uygulamanın ve'sini </span>`<span class="pre">key</span>`<span>kullanacaksınız . Bu durumda, her iki alan da kimlik doğrulama için bir dosyaya kaydedildi. Bu konu hakkında daha fazla bilgi için [<span class="std std-ref">Azure kimlik bilgilerini yapılandırma bölümüne bakın.</span>](https://acikkaynak.lastguard.com.tr/books/bulut-guvenligi/page/azure-platformunu-ve-hizmetlerini-izleme)</span>`<span class="pre">ID</span>`

1. `<span class="pre">/var/ossec/etc/ossec.conf</span>`<span>Aşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır:</span>
    
    ```
    <wodle name="azure-logs">
      <disabled>no</disabled>
      <wday>Monday</wday>
      <time>2:00</time>
      <run_on_start>no</run_on_start>
    
      <graph>
        <auth_path>/var/ossec/wodles/azure/credentials</auth_path>
        <tenantdomain>wazuh.com</tenantdomain>
        <request>
            <tag>microsoft-entra_id</tag>
            <query>auditLogs/directoryAudits</query>
            <time_offset>1d</time_offset>
        </request>
      </graph>
    
    </wodle>
    ```
    
    <span>Nerede:</span>
    
    
    - `<span class="pre"><auth_path></span>`<span>çalışma alanı gizli anahtarının saklandığı tam yoldur.</span>
    - `<span class="pre"><tenantdomain></span>`<span>kiracı etki alanı adıdır. Bunu Microsoft Entra ID'deki </span>**<span>Genel Bakış</span>**<span> bölümünden edinebilirsiniz</span>
    - `<span class="pre"><wday></span>`<span>tarama için planlanan haftanın günü nedir</span>
    - `<span class="pre"><query></span>`<span>Denetim günlüklerinin saklandığı yoldur.</span>
    - `<span class="pre"><time></span>`<span>tarama için planlanan zamandır.</span>
    - `<span class="pre"><time_offset></span>`<span>' a ayarlandığında </span>`<span class="pre">1d</span>`<span>, yalnızca son güne ait günlük verileri ayrıştırılır.</span>
2. <span>Azure için Wazuh modülünü nerede yapılandırdığınıza bağlı olarak Wazuh sunucunuzu veya aracınızı yeniden başlatın.  
      
    </span>
    
    <span>Wazuh temsilcisi:</span>
    
    ```
    systemctl restart wazuh-agent
    ```
    
    <span>Wazuh sunucusu:</span>
    
    ```
    systemctl restart wazuh-manager
    ```

<span>Farklı kullanılabilir parametreleri kullanma hakkında daha fazla bilgi için </span><span class="doc"><span>Azure referansı için Wazuh modülünü</span></span><span> kontrol edin . Microsoft Entra kimliğinizi izlemek için kimlik bilgilerini nasıl ayarlayacağınıza dair rehberlik için lütfen </span>[<span class="std std-ref"><span>Wazuh Azure kimlik doğrulama dosyası bölümüne bakın.</span></span>](https://acikkaynak.lastguard.com.tr/books/bulut-guvenligi/page/azure-platformunu-ve-hizmetlerini-izleme)

<p class="callout warning"><span>Uyarı: Alan zorunludur. Bunu **Microsoft Entra ID'deki Genel Bakış** bölümünden `<span class="pre">tenantdomain</span>`edinebilirsiniz .</span></p>

</section><section id="bkmrk-kullan%C4%B1m-durumu-micr">#### <span>Kullanım Durumu</span>

<section id="bkmrk-microsoft-entra-id%27y"><span id="bkmrk--13"></span>##### <span>Microsoft Entra ID'yi İzleme</span>

[<span>Microsoft Entra ID,</span>](https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis)<span> temel dizin hizmetlerini, uygulama erişim yönetimini ve kimlik korumasını tek bir çözümde birleştiren kimlik ve dizin yönetim hizmetidir.</span>

[<span>Wazuh, Microsoft Graph REST API</span>](https://docs.microsoft.com/en-us/graph/overview)<span> tarafından sağlanan etkinlik raporlarını kullanarak Microsoft Entra ID (ME-ID) hizmetini izleyebilir . Microsoft Graph API, Microsoft Entra ID uygulamalarındaki dizin verileri ve nesneler üzerinde okuma işlemleri gerçekleştirebilir.</span>

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/microsoft-entra-ID1.png)</div><span>Yukarıdaki yapılandırmayı kullanarak Microsoft Entra ID etkinlik izleme örneğini aşağıda bulabilirsiniz.</span>

</section><section id="bkmrk-yeni-bir-kullan%C4%B1c%C4%B1-o">##### <span>Yeni Bir Kullanıcı Oluştur</span>

<span>Azure'da yeni bir kullanıcı oluşturun. Başarılı bir kullanıcı oluşturma etkinliği bunu yansıtacak bir günlük üretecektir. Bu günlüğü auditLogs/directoryAudits sorgusunu kullanarak alabilirsiniz.</span>

1. **<span>Kullanıcılar</span>**<span> &gt; </span>**<span>Tüm kullanıcılar'a</span>**<span> gidin , </span>**<span>Yeni kullanıcı</span>**<span> &gt; </span>**<span>Yeni kullanıcı oluştur'u</span>**<span> seçin.  
      
    </span>
    
    <div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/click-new-user1.png)  
    </div>
2. <span>Gerekli bilgileri girin ve </span>**<span>İncele + oluştur'a</span>**<span> tıklayın . Kullanıcı artık oluşturuldu.</span>

<span>Başarılı kullanıcı oluşturma sonucunu **Microsoft Entra ID'nin** </span>**<span>Denetim günlükleri</span>**<span> bölümünden kontrol edebilirsiniz .</span>

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/user-creation-result1.png)</div><span>  
Entegrasyon çalışmaya başladığında, sonuçlar **Wazuh panosunun** Güvenlik </span>**<span>Olayları</span>**<span> sekmesinde mevcut olacaktır.  
  
</span>

<div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/ms-graph-results-in-wazuh-dashboard11.png)  
  
</div><div class="wazuh-image-wrapper align-center">![](https://documentation.wazuh.com/current/_images/ms-graph-results-in-wazuh-dashboard21.png)</div></section></section></section>