Microsoft Azure'u Wazuh ile İzleme Microsoft Azure, Microsoft'un bilgi işlem gücü, depolama seçenekleri ve ağ yetenekleri gibi çok çeşitli hizmetler sunan bir bulut bilişim platformudur. Sanal bilgi işlem, analiz, depolama ve ağ gibi çeşitli uygulamalar için çözümler sunar ve işletmelerin ve geliştiricilerin çeşitli ihtiyaçlarını karşılar. Bulut örneğinizi güvence altına almak, Microsoft Azure gibi bulut sağlayıcıları tarafından sunulan bulut hizmetlerini kullanan şirketler için önemli bir husustur. Açık kaynaklı bir güvenlik izleme platformu olan Wazuh, Microsoft Azure ortamlarında güvenlik ve çalışma zamanı olayları tarafından oluşturulan verileri toplamak ve analiz etmek için çözümler sunar. Wazuh'u Microsoft Azure ile entegre etmek, Azure dağıtımlarının güvenlik duruşunu iyileştirir ve düzenleyici standartlara ve operasyonel bütünlüğe uyumu sağlar. İzleme Örnekleri Wazuh aracısı platformlar arası uyumludur, yani Windows, Linux, Solaris, BSD ve macOS dahil olmak üzere çeşitli işletim sistemlerinde çalışabilir. Farklı sistemler ve uygulamalar hakkında veri toplar ve örneğin Dosya Bütünlüğü İzleme (FIM) ve Güvenlik Yapılandırma Değerlendirmesi (SCA) gibi diğer Wazuh yeteneklerinden yararlanmasını sağlar. Bu veriler şifrelenmiş ve kimliği doğrulanmış bir kanal aracılığıyla Wazuh sunucusuna gönderilir. Benzersiz önceden paylaşılmış anahtar kayıt işlemi bu güvenli kanalı oluşturur. Microsoft Azure ortamınızdaki sanal makinelere Wazuh aracısını yükleyebilirsiniz. Wazuh aracısını kullanarak bulut sanal makinelerini izlemek faydalıdır çünkü kapsamlı güvenlik ve performans denetimi sağlayarak dinamik bulut ortamlarında olası tehditlerin ve operasyonel sorunların erken tespitini sağlar. Wazuh aracıları hakkında daha fazla bilgi edinmek için  Wazuh agent kurulum  ve  kayıt  belgelerini inceleyin . Ayrıca, Wazuh SIEM ve XDR yetenekleri ve bunların yapılandırması hakkında  yetenekler  belgelerimizde okuyun. Azure Platformunu ve Hizmetlerini İzleme Azure  Monitor Logs,  Azure hizmetleri, sanal makineler ve uygulamalar dahil olmak üzere izlenen kaynaklardan günlükleri ve performans verilerini toplar ve düzenler. Bu içgörü, Azure Log Analytics REST API'sini kullanarak veya doğrudan bir Microsoft Azure Storage hesabının içeriklerine erişerek Wazuh'a gönderilir. Azure için Wazuh modülü, Wazuh dağıtımınızdan Microsoft Azure ortamlarınızın merkezi günlük kaydını, tehdit algılamasını ve uyumluluk yönetimini sağlar. Azure için Wazuh modülü, Microsoft Azure günlüklerinize erişmek için bağımlılıklar ve kimlik bilgileri gerektirir. Bu bağımlılıklar varsayılan olarak Wazuh yöneticisinde mevcuttur, ancak entegrasyon için bir Wazuh aracısı kullandığınızda bunları yüklemeniz gerekir. Devam etmeden önce  Önkoşullar  bölümüne bir göz atın. Ön koşullar Bağımlılıkları Yükleme Wazuh modülünü Azure için Wazuh yöneticisinde veya bir Wazuh aracısında yapılandırabilirsiniz. Bu seçim tamamen ortamınızda Azure altyapınıza nasıl eriştiğinize bağlıdır. Azure ile entegrasyonu bir Wazuh aracısında yapılandırırken yalnızca bağımlılıkları yüklemeniz gerekir. Wazuh yöneticisi zaten gerekli tüm bağımlılıkları içerir. Python Azure için Wazuh modülü Python 3.8–3.12 ile uyumludur. Daha sonraki  Python sürümleri de çalışmalı ancak uyumlu olduklarını garanti edemeyiz. Python 3 zaten yüklü değilse, izlenen uç noktanızda aşağıdaki komutu çalıştırın. Yum yum update && yum install python3 APT apt-get update && apt-get install python3 Gerekli modülleri Python paket yöneticisi Pip ile kurabilirsiniz. Çoğu UNIX dağıtımının yazılım depolarında bu araç mevcuttur. Zaten kurulu değilse, uç noktanıza pip'i kurmak için aşağıdaki komutu çalıştırın. Yum yum update && yum install python3-pip APT apt-get update && apt-get install python3-pip Bağımlılıkların kurulumunu kolaylaştırmak için Pip 19.3 veya üzerini kullanmanızı öneririz. Pip sürümünüzü kontrol etmek için bu komutu çalıştırın. pip3 --version Örnek çıktı aşağıdaki gibidir. Output pip 22.0.2 from /usr/lib/python3/dist-packages/pip (python 3.10) Eğer pip versiyonunuz 19.3'ten düşükse, versiyonu yükseltmek için aşağıdaki komutu çalıştırın. Python 3.8–3.10 pip3 install --upgrade pip Python 3.11–3.12 pip3 install --upgrade pip --break-system-packages Not:  Bu komut, varsayılan harici olarak yönetilen Python ortamını değiştirir. Daha fazla bilgi için PEP 668 açıklamasına bakın. Değişikliği önlemek için sanal bir ortamda çalışabilirsiniz . Python betiğinin shebang'ini sanal ortamınızdaki yorumlayıcıyla güncellemelisiniz . Örneğin, . pip3   install   --upgrade   pip /var/ossec/wodles/azure/azure-logs #!/path/to/your/virtual/environment/bin/python3 Python İçin Azure Storage İstemci Kitaplığı Wazuh aracı uç noktanızı kurmak ve Microsoft Azure platformunuzu ve hizmetlerinizi izlemek için aşağıdaki komuttaki kütüphanelere ihtiyacınız var. Python 3.8–3.10 pip3 install azure-storage-blob==12.20.0 azure-storage-common==2.1.0 azure-common==1.1.25 cryptography==3.3.2 cffi==1.14.4 pycparser==2.20 six==1.14.0 python-dateutil==2.8.1 requests==2.25.1 certifi==2022.12.07 chardet==3.0.4 idna==2.9 urllib3==1.26.18 SQLAlchemy==2.0.23 pytz==2020.1 Python 3.11–3.12 pip3 install --break-system-packages azure-storage-blob==12.20.0 azure-storage-common==2.1.0 azure-common==1.1.25 cryptography==3.3.2 cffi==1.14.4 pycparser==2.20 six==1.14.0 python-dateutil==2.8.1 requests==2.25.1 certifi==2022.12.07 chardet==3.0.4 idna==2.9 urllib3==1.26.18 SQLAlchemy==2.0.23 pytz==2020.1 Not:  Eğer sanal ortam kullanıyorsanız  --break-system-packages yukarıdaki komuttan parametreyi kaldırın. Azure Kimlik Bilgilerini Yapılandırma Azure için Wazuh modülünün  Azure'a başarılı bir şekilde bağlanabilmesi için erişim kimlik bilgilerine sahip olması gerekir. Gereken kimlik bilgileri izleme türüne göre değişir. Bunlar şunları içerir: Microsoft Graph ve Azure Log Analytics için erişim kimlik bilgileri Microsoft Azure Storage için erişim kimlik bilgileri Aşağıdaki bölümlerde bu kimlik bilgilerini nasıl oluşturabileceğinize dair genel bir bakış sunulmaktadır. Microsoft Graph ve Azure Log Analytics İçin Erişim Kimlik Bilgilerini Alma Azure için Wazuh modülünden gelen bağlantıyı doğrulamak için geçerli application_id ve application_key değerlerine ihtiyacınız var. application_id ve elde etmek için aşağıdaki adımları izleyin  application_key : Microsoft Entra ID'ye gidin ve kayıtlı uygulamaya gidin. Seçtiğiniz uygulamanın Sertifikalar ve sırlar  bölümüne gidin , ardından  Yeni istemci sırrı'nı  seçerek bir gizli anahtar oluşturun . Anahtara açıklayıcı bir ad verin ve anahtarın etkin kalacağı süreyi belirtin, ardından  Ekle'yi seçin. Value ve 'yi kopyalayın . Bu değerleri güvenli bir şekilde sakladığınızdan emin olun, çünkü bunları yalnızca bir kez görüntüleyebilirsiniz. ' dir . Secret   ID Value application_key application_id Kayıtlı uygulamanızın değerini  Genel Bakış bölümünden kopyalayın. Microsoft Azure Storage İçin Erişim Kimlik Bilgilerini Alma Microsoft Azure Storage geçerli  account_name ve değerleri gerektirir. Bunları Azure ortamınızdaki  Storage hesaplarının  Erişim anahtarları  bölümünden  account_key edinebilirsiniz .  Bir depolama hesabı oluşturmak  için Microsoft kılavuzunu izleyin . Aşağıdaki bölüm Microsoft Azure Depolama hesabı anahtarının alınmasına ilişkin adımları göstermektedir. Microsoft Azure ortamınızın  Depolama hesapları  bölümüne gidin ve ilgilendiğiniz hesabı seçin. ve değerlerine erişmek için sol bölmede bulunan  Erişim tuşlarına  gidin . account_name account_key Wazuh Azure Kimlik Doğrulama Dosyası Microsoft Azure ortamınızı Wazuh'ta kimlik doğrulamak için kimlik bilgilerinizi biçimini kullanarak bir dosyada saklamanız gerekir . field   =   value Kimlik bilgileri dosyasında bulunması beklenen alanlar, izlediğiniz hizmet veya etkinliğin türüne bağlıdır. Microsoft Azure Log Analitiği ve Grafiği Dosya sadece iki satırdan oluşmalıdır, biri için  application_id , diğeri ise  application_key daha önce elde edilenler için: application_id = application_key = Microsoft Azure Depolama Dosya sadece iki satırdan oluşmalıdır, biri için  account_name ve diğeri  account_key daha önce elde edilen için: account_name = account_key = İzlediğiniz hizmet veya etkinlikten bağımsız olarak, yapılandırma dosyasında kimlik doğrulama dosyasını etiketi  /var/ossec/etc/ossec.conf kullanarak belirtin. Aşağıdaki örneğe bir göz atın: no yes /var/ossec/wodles/credentials/log_analytics_credentials wazuh.com AzureActivity 12345678-90ab-cdef-1234-567890abcdef 1d /var/ossec/wodles/credentials/graph_credentials wazuh.com auditLogs/directoryAudits 1d /var/ossec/wodles/credentials/storage_credentials .json json_inline 24h request Aynı yapılandırmada aynı anda birden fazla blok eklemek mümkündür. Azure için Wazuh modülü her isteği sırayla işler. Yukarıdaki yapılandırma bir örnektir. Microsoft Azure Log Analytics, Graph ve Storage yapılandırma bloklarını içerir. Yeniden Çözümlemek Uyarı: Bu  reparse seçenek başlangıç ​​tarihinden bugüne kadar tüm günlükleri getirecek ve işleyecektir. Bu işlem yinelenen uyarılar üretebilir.  Daha eski Azure günlüklerini getirmek ve işlemek için, seçeneğini kullanarak Azure için Wazuh modülünü çalıştırmanız gerekir --reparse . Değer  la_time_offset , başlangıç ​​noktası için bir ofset olarak zamanı ayarlar. Bir değer sağlamazsanız  la_time_offset , Azure için Wazuh modülü ilk dosyayı işlediği tarihe döner. Aşağıdaki kod bloğu, Wazuh yöneticisinde Azure için Wazuh modülünün şu  --reparse seçenek kullanılarak çalıştırılmasına ilişkin bir örneği göstermektedir: /var/ossec/wodles/azure/azure-logs --log_analytics --la_auth_path credentials_example --la_tenant_domain 'wazuh.example.domain' --la_tag azure-activity --la_query "AzureActivity" --workspace example-workspace --la_time_offset 50d --debug 2 --reparse Parametre ayrıntılı bir çıktı alır. Bu çıktı, özellikle büyük miktarda veri işlenirken betiğin çalıştığını göstermek için yararlıdır. --debug   2 Microsoft Azure Günlük Analizi Microsoft Azure Log Analytics,  Microsoft Azure altyapınızı izleyen ve verilerinize özel gelişmiş aramalar yapmanıza olanak tanıyan sorgu yetenekleri sunan bir hizmettir. Azure Log Analytics çözümü, tüm Azure aboneliklerinizdeki Azure etkinlik günlüklerini analiz etmenize ve aramanıza yardımcı olur ve aboneliklerinizin kaynaklarıyla gerçekleştirilen işlemler hakkında bilgi sağlar. Microsoft Entra ID kimlik doğrulama şemasını kullanan Azure Log Analytics REST API'sini kullanarak Log Analytics tarafından toplanan verileri sorgulayabilirsiniz. Azure Log Analytics REST API'sini kullanmak için nitelikli bir uygulamaya veya istemciye ihtiyacınız vardır. Bunu Microsoft Azure portalında manuel olarak yapılandırmanız gerekir. Aşağıdaki bölüm uygulamanın nasıl kurulacağını gösterir ve bir kullanım örneği verir: Uygulamanın kurulumu Azure Log Analytics kullanım örneği Yapılandırma Azure Uygulamanın kurulumu Aşağıdaki işlem Azure Log Analytics REST API'sini kullanarak bir uygulama oluşturmayı ayrıntılı olarak açıklamaktadır. Mevcut bir uygulamayı yapılandırmak da mümkündür. Zaten mevcut bir uygulamanız varsa lütfen Uygulama oluşturma adımını atlayın. Uygulamanın oluşturulması Azure Log Analytics için yeni bir uygulama oluşturmak üzere Microsoft Azure portalındaki Microsoft Entra ID paneline gidiyoruz. Microsoft Entra ID  panelinden  Uygulama kayıtları  seçeneğini seçin . Ardından,  Yeni kayıt seçeneğini seçin. Uygulama için kullanıcıya dönük görüntü adını tanımlayın ve  Kaydet'i  seçin . Uygulamaya İzinlerin Verilmesi Uygulama kaydından  Tüm  uygulamaları  seçin ve yenileyin. Yeni uygulama görünecektir. Bizim durumumuzda, görünen ad  LogAnalyticsApp'dir . Genel Bakış  bölümüne gidin ve  Uygulama (istemci) kimliğini  daha sonraki kimlik doğrulaması için kaydedin. API izinleri  bölümüne gidin ve uygulamaya  Data.Read iznini ekleyin. Log Analytics API'yi  arayın . Uygulamalar izinlerinden  Log Analytics verilerini oku iznini seçin. Kiracıya  yönetici onayı vermek için bir yönetici kullanıcısı kullanın. Uygulamaya Azure Log Analytics API'sine Erişim İzni Verme Log Analytics çalışma alanlarına  erişin ve yeni bir çalışma alanı oluşturun veya mevcut bir çalışma alanını seçin. Genel Bakış  bölümünden değeri kopyalayın . Workspace   ID Erişim denetimi (IAM)  bölümüne gidin ,  Ekle'ye  tıklayın ve uygulamaya gerekli rolü eklemek için  Rol ataması ekle'yi  seçin . İş fonksiyonları rol sekmesinden  Log Analytics Okuyucu  rolünü seçin. Üyeler  sekmesinden  Kullanıcı, grup veya hizmet sorumlusunu  seçin .  Üyeleri seç'e  tıklayın ve daha önce oluşturulan Uygulama kaydını bulun. Bitirmek için  Gözden Geçir + Ata'ya  tıklayın . Günlükleri Çalışma Alanına gönderme Önceki adımlarda oluşturulan Azure Log Analytics Çalışma Alanına günlükleri toplamak ve göndermek için bir tanılama ayarı oluşturmanız gerekir. Microsoft Entra ID'ye  geri dönün , sol menü çubuğunu aşağı kaydırın ve  Tanılama ayarları  bölümünü seçin. Tanılama ayarı ekle'ye tıklayın. Kategoriler  altında toplamak istediğiniz günlük kategorilerini seçin .  Hedef ayrıntıları  altında  Log Analytics çalışma alanına gönder  seçeneğini işaretleyin. Önceki adımlarda oluşturduğunuz  Log Analytics Çalışma Alanını  seçin . Kaydet'e  tıklayın . Azure Log Analytics, seçili kategorileri çalışma alanınıza aktaracaktır. Wazuh, Azure Log Analytics'ten günlükleri çekmek için geçerli kimlik bilgileri gerektirir. Uygulama kaydına erişmek için bir istemci sırrının nasıl oluşturulacağını öğrenmek için  kimlik bilgileri bölümüne bakın. Wazuh Sunucusu veya Aracısı Azure Log Analytics'inize erişmek için Wazuh modülünü Azure için yetkilendirmeniz gerekir. Yetkilendirmeyi ayarlama hakkında daha fazla bilgi için  Azure kimlik bilgilerini yapılandırma  bölümüne bakın. /var/ossec/etc/ossec.conf Aşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır: no no /var/ossec/wodles/credentials/log_analytics_credentials wazuh.com azure-auditlogs AuditLogs d6b...efa 1d Nerede: çalışma alanı gizli anahtarının saklandığı tam yoldur. kiracı etki alanı adıdır. Bunu Microsoft Entra ID'deki Genel Bakış bölümünden edinebilirsiniz. kimlik doğrulaması için ihtiyaç duyduğunuz çalışma alanı kimliğidir. geriye doğru tarihlenen zaman dilimidir. Bu durumda, 24 saatlik bir zaman dilimi içindeki tüm günlükler indirilecektir. Azure için Wazuh modülünü nerede yapılandırdığınıza bağlı olarak Wazuh sunucunuzu veya aracınızı yeniden başlatın. Wazuh temsilcisi: systemctl restart wazuh-agent Wazuh sunucusu: systemctl restart wazuh-manager yukarıdaki yapılandırma, Wazuh'un tanımlayıcı olarak tag değeri kullanarak herhangi bir sorguyu aramasına olanak tanır . Azure için Wazuh modülü  hakkında daha fazla bilgi için referansı inceleyin . Use Case Daha önce oluşturulmuş Azure uygulamasını kullanarak altyapı etkinliğinin izlenmesine dair bir örnek aşağıda verilmiştir. Bir Kullanıcı Oluşturma Microsoft Entra ID'de kullanıcı oluşturmak için aşağıda belirtilen adımları izleyin: Entra ID'ye  gidin ve  Tüm kullanıcılar'ı seçin. Yeni Kullanıcı'ya tıklayın. Yeni kullanıcı oluştur seçeneğini seçin. Oluşturmak istediğiniz kullanıcı için gerekli bilgileri girin ve ardından  Oluştur  seçeneğini seçerek oluşturma işlemini tamamlayın. Wazuh Dashboard Olayların Görselleştirilmesi Kurulum tamamlandıktan sonra sonuçları Wazuh kontrol panelinden kontrol edebilirsiniz. Microsoft Graph Servislerini Wazuh İle İzleme Microsoft Graph API, Microsoft 365, Azure, Dynamics 365 ve diğer çeşitli Microsoft bulut bileşenleri dahil ancak bunlarla sınırlı olmamak üzere Microsoft bulut hizmetlerinin tüm paketindeki verilere erişim sağlayan kapsamlı bir API sistemidir. Microsoft Bulut ekosisteminden yapılandırılmış verilere, içgörülere ve zengin ilişkilere erişim için bir uç noktadır. Bu bölümde, Microsoft Graph için Wazuh modülünü kullanarak kuruluşunuzun Microsoft Graph API kaynaklarını ve ilişkilerini izlemeye yönelik talimatlar verilmektedir. Şu anda Microsoft Graph için Wazuh modülü Wazuh ile aşağıdakileri izlemenize olanak sağlıyor: Microsoft Entra Kimlik Koruması Microsoft 365 Savunucusu Bulut Uygulamaları için Microsoft Defender Microsoft Defender Uç Nokta İçin Kimlik için Microsoft Defender Office 365 için Microsoft Defender Microsoft Kapsamı eKeşif Microsoft Kapsamı Veri Kaybını Önleme (DLP) Bunlar güvenlik kaynağı için temel olsa da, Microsoft Graph API'sini kullanarak birçok ek kaynağı izleyebilirsiniz. Daha fazla bilgi edinmek için  Microsoft Graph  belgelerine Genel Bakış'a bakın. Not:  Güvenlik kaynağı, önceden oluşturulmuş kurallarla test edildiği için olgun olarak kabul edilebilir. Ancak, kuruluşunuz günlükleri diğer kaynaklardan Wazuh dağıtımınıza alabilir. İçerik alınıyor Microsoft Graph'tan bir dizi günlük almak için  GET aşağıdaki URL'yi kullanarak bir istekte bulunun: GET https://graph.microsoft.com/{version}/{resource}/{relationship}?{query-parameters} Microsoft Graph API'nin mevcut üretim sürümünün açıklaması Microsoft Graph'a Genel Bakış'ta  bulunabilir . Alternatif olarak, API doğrudan Microsoft Graph Explorer  aracılığıyla denenebilir . Microsoft Azure Depolama Microsoft Azure Storage,  Microsoft Azure bulut depolama çözümünü ifade eder. Bu hizmet, veri nesneleri için büyük ölçüde ölçeklenebilir bir nesne deposu, güvenilir mesajlaşma için bir mesajlaşma deposu, bulut için bir dosya sistemi hizmeti ve bir NoSQL deposu sağlar. Azure Log Analytics REST API'sine alternatif olarak Wazuh, bir Microsoft Azure Depolama hesabına erişim sunar. Microsoft Azure altyapısının etkinlik günlüklerini depolama hesaplarına aktarabilirsiniz. Bu bölümde, Microsoft Azure etkinlik günlüklerinizi bir depolama hesabında arşivlemek için Azure portalının nasıl kullanılacağı açıklanmaktadır. Yapılandırma Azure Etkinlik Günlüğü Dışa Aktarımını Yapılandırma Microsoft Entra ID  içerisindeki  İzleme bölümünden  Denetim Günlükleri  seçeneğini seçin ve  Veri Ayarlarını Dışa Aktar'a tıklayın. Tanılama ayarı ekle'ye tıklayın. Denetim Günlükleri'ni  seçin ve  Depolama hesabına arşivleyin  onay kutusunu seçin , ardından açılır menüden günlükleri dışa aktarmak istediğiniz aboneliği ve Depolama hesabını seçin. Wazuh Sunucusu veya Agent account_name Depolama hesabının ve'sini kimlik doğrulaması için ayarlamak önemlidir  account_key . Aşağıdaki görüntü önceden yapılandırılmış bir depolama hesabını gösterir. Microsoft Azure Depolama kimlik bilgilerini yapılandırma konusunda rehberlik için kimlik bilgileri  bölümünü kontrol edin . /var/ossec/etc/ossec.conf Aşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır: no 1d yes /home/manager/Azure/storage_auth.txt azure-activity .json json_inline 24h info-logs Nerede çalışma alanı gizli anahtarının saklandığı tam yoldur. blog depolama içeriklerini getirirken yararlı parametreler içerir. Akışı yapılacak günlük kabı. .json indirilecek blob formatıdır. geriye doğru tarihlenen zaman dilimidir. Bu durumda, 24 saatlik bir zaman dilimi içindeki tüm günlükler indirilecektir. blob'ların içeriğinin depolanması için kullanılan formattır.   Azure için Wazuh modülünü nerede yapılandırdığınıza bağlı olarak Wazuh sunucunuzu veya aracınızı yeniden başlatın. Wazuh temsilcisi: systemctl restart wazuh-agent Wazuh sunucusu: systemctl restart wazuh-manager Kullanım Durumu Yukarıdaki yapılandırmayı kullanarak Microsoft Entra ID etkinlik izleme örneğini aşağıda bulabilirsiniz. Yeni Bir Kullanıcı Oluştur Microsoft Entra ID kullanarak Microsoft Azure ortamınızda yeni bir kullanıcı oluşturun. Kullanıcıyı oluşturduktan birkaç dakika sonra,  insights-activity-logs Activity log export'u yapılandırılırken belirtilen Storage hesabının içinde adlandırılan bir kapsayıcıda yeni bir günlük kullanılabilir olacaktır. Lütfen Azure Log Analytics kullanım örneği altında  kullanıcı oluşturma  bölümüne bakın . Sonuçları Wazuh panelinden kontrol edebilirsiniz. Microsoft Grafiği Bu bölümde, Microsoft Graph REST API'yi kullanarak Microsoft Entra ID etkinliğinizi nasıl izleyeceğinizi öğreneceksiniz. Bu bölüm şunları içerir: Azure yapılandırması Wazuh yapılandırması Microsoft Entra ID kullanım örneği Aşağıda Microsoft Entra ID'deki denetim ve izleme faaliyetleriyle ilgili Microsoft Graph REST API'sindeki uç noktalar yer almaktadır. Rapor türü Sorgu Dizin denetimleri auditLogs/directoryaudits Oturum açmalar auditLogs/signIns Tedarik auditLogs/provisioning Bu uç noktalar, yöneticilerin ve geliştiricilerin güvenlik, uyumluluk ve operasyonel amaçlar doğrultusunda Microsoft Entra ID içindeki etkinlikleri izlemesine ve denetlemesine olanak tanır. Wazuh, yukarıdaki uç noktaları kullanarak Microsoft Entra ID etkinlik raporlarını işleyebilir. Her biri farklı bir sorgu yürütmenizi gerektirir. Bu sorguları Azure yapılandırması  için Wazuh modülünüzün komut bloğuna yerleştireceksiniz . Yapılandırma Azure Uygulamanın Oluşturulması Bu bölüm Azure Log Analytics REST API'sini kullanarak bir uygulama oluşturmayı açıklar. Ancak, mevcut bir uygulamayı yapılandırmak da mümkündür. Bu durumda, bu adımı atlayın. Microsoft Entra ID  panelinde ,  Uygulama kayıtları'nı  seçin . Ardından,  Yeni kayıt'ı seçin. Uygulamaya açıklayıcı bir ad verin, uygun  hesap türünü  seçin ve  Kaydol'a tıklayın. Uygulama artık kayıtlı. Uygulamaya İzinlerin Verilmesi Uygulamaya tıklayın,  Genel Bakış  bölümüne gidin ve daha sonraki kimlik doğrulaması için  Uygulama (istemci) Kimliğini kaydedin. API izinleri  bölümünde  İzin ekle seçeneğini belirleyin. "Microsoft Graph"ı  arayın ve API'yi seçin. Uygulamalar  izinlerinde altyapınızla uyumlu izinleri seçin . Bu durumda  AuditLog.Read.All izinler verilecektir. Ardından  İzinleri ekle'ye tıklayın. Kiracıya  yönetici onayı vermek için bir yönetici kullanıcısı kullanın. Kimlik Doğrulama İçin Uygulama Anahtarının Alınması Log Analytics API'yi günlükleri almak için kullanmak üzere, Log Analytics API'yi doğrulamak için bir uygulama anahtarı üretmeliyiz. Uygulama anahtarını üretmek için aşağıdaki adımları izleyin. Sertifikalar ve sırlar'ı  seçin , ardından bir anahtar oluşturmak için  Yeni istemci sırrı'nı seçin. Uygun bir  açıklama  girin , anahtar için tercih edilen süreyi ayarlayın ve ardından  Ekle'ye tıklayın. Anahtar  değerini kopyalayın . Bu daha sonra kimlik doğrulama için kullanılacaktır. Not:  Bu sayfadan çıkmadan önce anahtarı kopyalayın, çünkü yalnızca bir kez görüntülenecektir. Sayfadan çıkmadan önce kopyalamazsanız, yeni bir anahtar oluşturmanız gerekecektir.     Wazuh Sunucusu veya Agent Burada önceki adımlarda kaydedilen uygulamanın ve'sini  key kullanacaksınız . Bu durumda, her iki alan da kimlik doğrulama için bir dosyaya kaydedildi. Bu konu hakkında daha fazla bilgi için  Azure kimlik bilgilerini yapılandırma bölümüne bakın. ID /var/ossec/etc/ossec.conf Aşağıdaki yapılandırmayı Wazuh sunucusunun veya aracısının yerel yapılandırma dosyasına uygulayın . Bu, Wazuh modülünü Azure için nerede yapılandırdığınıza bağlı olacaktır: no Monday no /var/ossec/wodles/azure/credentials wazuh.com microsoft-entra_id auditLogs/directoryAudits 1d Nerede: çalışma alanı gizli anahtarının saklandığı tam yoldur. kiracı etki alanı adıdır. Bunu Microsoft Entra ID'deki  Genel Bakış  bölümünden edinebilirsiniz tarama için planlanan haftanın günü nedir Denetim günlüklerinin saklandığı yoldur.