Uzun Süreli Saklama için Microsoft Sentinel Data Lake'in Uygulanması

Uzun Süreli Saklama için Microsoft Sentinel Data Lake'in Uygulanması

22 Şubat 2026

Giriş: Güvenlik Verilerinin Saklanmasına Yönelik Artan İhtiyaç

2026 yılına gelindiğinde güvenlik sistemleri, ağlar ve uygulamalar tarafından üretilen veri hacmi katlanarak artacak. Bu verileri toplamak ve analiz etmek, tehditleri tespit etmek, olayları araştırmak ve güvenlik duruşunuzu sürdürmek için çok önemlidir. Bununla birlikte, güvenlik günlüklerinin uzun süre saklanması, esas olarak maliyet ve verimli bir şekilde erişme ve analiz etme yeteneği ile ilgili önemli zorluklar sunar [1].

GDPR, LGPD, HIPAA gibi uyumluluk düzenlemeleri ve sektöre özel diğer düzenlemeler, kuruluşların güvenlik günlüklerini giderek daha uzun süreler boyunca tutmasını gerektirecek şekilde gelişti; bu süre genellikle Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümlerinin sıcak depolama için geleneksel olarak sunduğu 90 günü aşar. Bu verileri yıllarca yüksek performanslı depolamada tutmak, aşırı derecede pahalı hale gelebilir ve kuruluşları uyumluluk, araştırma kapasitesi ve bütçe arasında zor seçimler yapmaya zorlayabilir [2].

Bu ikilemi çözmek için Microsoft, kuruluşların büyük hacimli güvenlik verilerini hızlı arama ve analiz yeteneklerinden ödün vermeden önemli ölçüde azaltılmış bir maliyetle depolamasına olanak tanıyan yenilikçi bir çözüm olan Microsoft Sentinel Data Lake'i tanıttı. Sentinel Data Lake, Microsoft Sentinel ile sorunsuz bir şekilde bütünleşerek, KQL (Kusto Sorgu Dili) sorguları için düşük maliyetli ancak yine de erişilebilir bir depolama katmanı kullanarak veri saklama yeteneklerini Log Analytics'in ötesine taşıyor [3].

Bu teknik ve eğitici makale, güvenlik analistlerine, veri mimarlarına ve BT yöneticilerine Microsoft Sentinel Data Lake'i anlama ve uygulama konusunda rehberlik etmeyi amaçlamaktadır. Güvenlik günlüklerinizin uzun vadeli saklanmasını yapılandırmak ve yönetmek, uyumluluk ve etkili soruşturma yeteneği sağlamak için faydaları, ön koşulları ve ayrıntılı bir adım adım kılavuzu ele alacağız.

Günlük Tutma Zorluğu ve Sentinel Veri Gölü Çözümü

Güvenlik günlüklerinin uzun süre saklanması çeşitli nedenlerden dolayı önemlidir:

  • Yasal Uyumluluk: Birçok sektör ve yargı bölgesi, denetim ve uyumluluk amacıyla güvenlik verilerinin yıllarca saklanmasını gerektirir.

  • Kalıcı Tehdit Araştırması (APT): Gelişmiş, kalıcı saldırılar aylarca tespit edilmeden kalabilir. Geçmiş veriler, tehdit avcılığı ve bir olayın tam zaman çizelgesini anlamak için çok önemlidir.

  • Adli Analiz: Bir ihlal durumunda, eski günlükler adli analiz için hayati önem taşır; temel nedenin, ihlalin kapsamının ve saldırganın gerçekleştirdiği eylemlerin belirlenmesine yardımcı olur.

  • Eğilim Analizi ve Duruş İyileştirme: Geçmiş veriler, güvenlik ekiplerinin saldırı eğilimlerini belirlemesine, savunmaların zaman içindeki etkinliğini değerlendirmesine ve güvenlik duruşunu sürekli iyileştirmesine olanak tanır.

Uzun vadeli saklamanın önündeki temel engel, Log Analytics'teki gerçek zamanlı alım ve sorgulama için optimize edilmiş "sıcak" depolamanın maliyeti her zaman olmuştur. Sentinel Data Lake bu konuyu şu şekilde ele alıyor:

  • Düşük Maliyetli Depolama Kullanın: Geçmiş veriler, büyük veri hacimleri ve ara sıra erişim için optimize edilmiş ancak analitik sorgular için hala kabul edilebilir performansa sahip olan Azure Data Lake Storage Gen2 (ADLS Gen2) gibi düşük maliyetli bir depolama katmanına taşınır [4].

  • KQL Sorgu Yeteneğini Koruyun: Sorgulama için verilerin tamamen yeniden doldurulmasını gerektiren geleneksel arşivleme çözümlerinin aksine, Sentinel Data Lake, Sentinel'in KQL sorgularını doğrudan ADLS Gen2'de depolanan veriler üzerinde çalıştırmasına olanak tanır. Bu, analistlerin geçmiş verilere kesintisiz veya önemli gecikmeler olmadan erişip bunları analiz edebileceği anlamına gelir.

  • Basitleştirilmiş Yönetim: Microsoft Sentinel ile yerel entegrasyon, tanımlanmış saklama ilkelerine göre verilerin Log Analytics'ten Data Lake'e geçişini otomatikleştirerek veri yaşam döngüsü yönetimini basitleştirir.

Microsoft Sentinel Data Lake Çalışma İlkeleri

Sentinel Data Lake'in işleyişi bazı temel ilkelere dayanmaktadır:

  1. Depolama Katmanları: Günlük verileri başlangıçtave gerçek zamanlı analiz için Log Analytics'e ("etkin" katman) alınır. Yapılandırılabilir bir sürenin ardından otomatik olarak Azure Data Lake Storage 2. Nesil'e ("soğuk" veya arşiv katmanı) taşınırlar.

  2. Açık Format: Veriler, Data Lake'te açık bir formatta (ör. Parquet) depolanır; bu, yalnızca Sentinel aracılığıyla sorgulama yapılmasına değil, aynı zamanda daha derin analizler veya diğer sistemlerle entegrasyon için diğer Azure analiz araçlarının (Azure Synapse Analytics, Azure Databricks gibi) kullanılmasına da olanak tanır.

  3. Birleşik Sorgu: Microsoft Sentinel, analistlerin, verilerin fiziksel olarak nerede depolandığını bilmeye gerek kalmadan hem Log Analytics'teki "sıcak" verileri hem de Veri Gölü'ndeki "soğuk" verileri kapsayan KQL sorgularını çalıştırabilecekleri birleşik bir sorgu arayüzüne sahiptir [5].

  4. Güvenlik ve Yönetişim: Data Lake, Azure Depolama'nın, bekleme ve aktarım sırasında şifreleme, rol tabanlı erişim denetimi (RBAC) ve veri yönetimi için Azure Purview ile entegrasyon dahil olmak üzere güvenlik özelliklerini devralır.

Uygulamanın Önkoşulları

Microsoft Sentinel Data Lake'i uygulamak için aşağıdaki öğelere ihtiyacınız olacak:

  • Aktif Azure Aboneliği: Depolama Hesabı kaynakları oluşturma ve Microsoft Sentinel'i yapılandırma izinlerine sahiptir.

  • Microsoft Sentinel Yapılandırılmış: Microsoft Sentinel'in halihazırda dağıtıldığı ve günlükleri topladığı bir Log Analytics çalışma alanı.

  • Microsoft Sentinel Lisanslaması: Sentinel Data Lake maliyeti, ADLS Gen2 depolama ve çalıştırılan sorguların yanı sıra Log Analytics alma ve saklama maliyetlerine dayanmaktadır.

  • Yönetim Erişimi: Azure aboneliği ve Log Analytics çalışma alanında Katkıda Bulunan veya Sahip izinlerine sahip hesaplar.

Adım Adım Kılavuz: Microsoft Sentinel Data Lake'i Yapılandırma

Sentinel Data Lake'in yapılandırılması, bir depolama hesabının sağlanmasını ve Microsoft Sentinel ile entegrasyonu içerir.

1. Adım: Azure Data Lake Storage 2. Tedarik Edin

Azure Data Lake Storage 2. Nesil, güvenlik günlüklerinizin uzun vadeli depolanmasının temelini oluşturur.

  1. Depolama Hesabı Oluşturun: Azure portalında "Depolama hesapları" ifadesini arayın ve + Oluştur'a tıklayın. Temel ayrıntıları doldurun:

  2. Abonelik: Azure aboneliğinizi seçin.

  3. Kaynak grubu: Yeni bir tane oluşturun veya mevcut bir tanesini seçin. Güvenlik kaynakları için özel bir kaynak grubuna sahip olmak iyi bir uygulamadır.

  4. Depolama hesabı adı: Benzersiz, global olarak benzersiz bir ad seçin (ör. sentinellakedata).

  5. Bölge: Performansı optimize etmek ve veri aktarım maliyetlerini en aza indirmek için Log Analytics çalışma alanınızla aynı bölgeyi seçin.

  6. Performans: Standart'ı seçin (çoğu arşivleme kullanım durumu için).

  7. Hesap Türü: StorageV2 (genel amaçlı v2) seçeneğini seçin.

  8. Yedeklilik: Dayanıklılık ve maliyet gereksinimlerinize en uygun yedeklilik seçeneğini seçin (ör. yüksek dayanıklılık için GRS, daha düşük maliyet için LRS).

  9. Hiyerarşik Ad Alanını Etkinleştirin: Depolama hesabı oluşturma sırasında Gelişmiş sekmesinde, "Hiyerarşik ad alanı" özelliğinin Etkin olduğundan emin olun. Bu, ADLS Gen2 ve Sentinel Data Lake işlevselliği için bir gerekliliktir.

  10. İncele ve Oluştur: Ayarları inceleyin ve Oluştur'u tıklayın.

Adım 2: Azure Sentinel'i Data Lake'e bağlama

Depolama hazırlığının ardından Data Lake'i Azure Sentinel çalışma alanınızla tümleştirmeniz gerekir.

  1. Microsoft Sentinel Portalına gidin: Azure portalında "Microsoft Sentinel"i arayın ve çalışma alanınızı seçin.

  2. Çalışma Alanı Ayarlarına gidin: Sentinel gezinme menüsünde Ayarlar > Çalışma Alanı Ayarları'na gidin.

  3. "Veri Saklama ve Arşivleme" Seçeneğini seçin: Çalışma alanı ayarlarında, "Veri Saklama ve Arşivleme" adı verilen yeni bir seçenek (2026'da kullanıma sunuldu) bulacaksınız.

  4. Data Lake'i Bağlayın: "Data Lake'i Bağlayın"'ı tıklayın. Bir arayüz, 1. Adımda oluşturduğunuz ADLS Gen2 depolama hesabını seçmeniz için size yol gösterecektir. Sentinel, gerekli izinleri otomatik olarak oluşturacaktır.

Adım 3: Veri Arşivleme Politikalarını Tanımlama

Data Lake bağlıyken artık hangi günlük tablolarının ne kadar süreyle arşivleneceğini tanımlayabilirsiniz..

  1. Günlük Tablolarını Seçin: "Veri Saklama ve Arşivleme" bölümünde, Log Analytics çalışma alanınıza alınan tüm günlük tablolarının bir listesini göreceksiniz. Veri Gölü'ne arşivlemek istediğiniz tabloları seçin (ör. "SecurityEvent", "SigninLogs", "AzureActivity", "Syslog"). Uyumluluk ve araştırma amacıyla kritik güvenlik günlüklerini arşivlemeniz önerilir.

  2. Log Analytics'te Tutma Süresini Ayarlayın: Seçilen her tablo için, Log Analytics'te "sıcak" depolamanın saklama süresini ayarlayın (ör. 30, 60 veya 90 gün). Bu sürenin sonunda veriler Veri Gölü'ne taşınacaktır.

  3. Veri Gölü'nde Saklama Süresini Tanımlayın: Ardından, Veri Gölü'ndeki veriler için saklama süresini tanımlayın (ör. 1 yıl, 3 yıl, 7 yıl). Bu sürenin uyumluluk gerekliliklerinize ve dahili veri saklama politikalarınıza uygun olması gerekir.

  4. Değişiklikleri Kaydet: Arşivleme politikalarınızı onaylayın. Azure Sentinel, Log Analytics saklama döneminin ardından manuel müdahaleye gerek kalmadan verileri otomatik olarak Data Lake'e taşımaya başlayacaktır.

Sentinel Veri Gölü İzleme ve Yönetimi

  • Durum İzleme: Sentinel, taşınan veri hacmi, hatalar ve Veri Gölü'nde kullanılan depolama alanı dahil olmak üzere veri arşivlemenin durumunu izlemek için izleme kontrol panelleri sağlar.

  • Birleşik KQL Sorguları: Verilerinizi sorgulamak için Azure Sentinel'de Kusto Sorgu Dili'ni (KQL) kullanmaya devam edin. Sentinel, depolama konumunu soyutlayarak sorgularınızın hem "sıcak" hem de "soğuk" veriler üzerinde sorunsuz bir şekilde çalışmasına olanak tanır. Örneğin, bir sorgu SecurityEvent | burada TimeGeneated > ago(2y) gerekirse hem Log Analytics'ten hem de Data Lake'ten veri alacaktır.

  • Maliyet Optimizasyonu: ADLS Gen2 ile ilişkili maliyetleri izleyin ve saklama politikalarınızı gerektiği gibi ayarlayın. Daha az sıklıkta erişilen verilerin maliyetlerini daha da optimize etmek için ADLS Gen2'de farklı erişim katmanları (sık erişim, sık erişim, arşiv) kullanmayı düşünün.

  • Veri Gölü Güvenliği: Rol tabanlı erişim denetimi (RBAC), veri şifreleme, erişim ilkeleri ve etkinlik izleme dahil olmak üzere Azure Depolama güvenliğinin en iyi uygulamalarını ADLS Gen2'nize uygulayın.

Sonuç

Microsoft Sentinel Data Lake'in 2026'da uygulamaya konulması, uzun vadeli uyumluluk gereklilikleri ile güvenlik verileri depolama maliyetlerini yönetme ihtiyacını dengelemek isteyen kuruluşlar için önemli bir stratejidir. Data Lake, Microsoft Sentinel'in saklama yeteneklerini genişleterek ve düşük maliyetli geçmiş veriler üzerinde birleştirilmiş KQL sorgularını etkinleştirerek, güvenlik ekiplerine derinlemesine adli araştırmalar yapma, kalıcı tehdit avcılığı yapma ve bütçeden ödün vermeden mevzuat uyumluluğunu sürdürme gücü verir. Bu çözümü benimsemek yalnızca bir uyumluluk meselesi değil, aynı zamanda sürekli gelişen bir tehdit ortamında siber dayanıklılığı ve olaylara müdahale yeteneklerini güçlendirmeye yönelik stratejik bir karardır.

Referanslar

[1] Microsoft Teknoloji Topluluğu. "Aylık haberler - Nisan 2026." Şu adreste bulunabilir: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050 [2] CloudThat. "2026 için Azure DevOps ve Güvenlik Yol Haritası: Beceriler ve Sertifikalar." Şu adreste bulunabilir: https://www.cloudthat.com/resources/blog/azure-devops-and-security-roadmap-for-2026-skills-and-certifications/ [3] Microsoft Learn. "Uç Nokta için Microsoft Defender'daki yeni özellikler." Şu adreste bulunabilir: https://learn.microsoft.com/en-us/defender-endpoint/whats-new-in-microsoft-defender-endpoint [4] Microsoft Azure. "Azure Data Lake Storage 2. Nesil." Şu adreste bulunabilir: https://azure.microsoft.com/en-us/products/storage/data-lake-storage [5] Microsoft Learn. "Azure Synapse Analytics'ten Azure Data Lake Storage Gen2'deki verileri sorgulayın." Şu adreste bulunabilir: https://learn.microsoft.com/en-us/azure/synapse-analytics/sql/query-data-lake-storage-gen2