Microsoft İstanbulbir microsoft iş ortağı projesi
Tüm yazılarMicrosoft Security

Microsoft Sentinel Veri Bağlayıcısı Nasıl Bağlanır? (2026)

·~8 dk okuma
Microsoft Sentinel veri bağlayıcısı mimari diyagramı: CEF/Syslog cihazları, Linux log iletici, Azure Monitor Agent (AMA) ve Microsoft Sentinel Log Analytics çalışma alanı — Microsoft resmi belgelerinden

Özet (TL;DR): Microsoft Sentinel'e bir veri kaynağını bağlamak için önce Content hub'dan ilgili çözümü (solution) kurar, ardından gelen veri bağlayıcısını (data connector) Defender ya da Azure portalından yapılandırırsınız. Microsoft kaynakları için servis-servis bağlayıcılar gerçek zamanlı çalışır; Linux ve ağ/güvenlik cihazları için Azure Monitor Agent (AMA) üzerinden Syslog/CEF toplanır; standart dışı kaynaklar ise Codeless Connector Framework (CCF) veya özel bağlayıcılarla bağlanır. Bağlayıcıyı açtıktan sonra ön gereksinimleri sağlar, gerekli izinleri verir ve Data received grafiğinden veri akışını doğrularsınız. Bu rehberde Sentinel'e bir veri bağlayıcısını uçtan uca bağlamayı, 2026'da 400'ü aşan bağlayıcı kataloğunu ve yaklaşan API sonlandırma tarihlerini ele alıyoruz.

Sentinel'de "veri bağlama" neden ilk adımdır?

Microsoft Sentinel, bulut tabanlı bir SIEM ve SOAR çözümüdür; ama hiçbir veri akmadan tek bir tehdidi bile tespit edemez. Analitik kuralları, avlanma (hunting) sorguları, çalışma kitapları ve otomasyon playbook'ları — hepsi bağlayıcılardan gelen logların üzerine kuruludur. Bu yüzden Sentinel devreye alma sürecinin kalbinde doğru veri kaynaklarını doğru yöntemle bağlamak yer alır. Sentinel'in ne olduğunu ve SIEM/SOAR mimarisini henüz incelemediyseniz, önce Microsoft Sentinel nedir? rehberimize göz atmanızı öneririz.

Bu yazı pratik bir kılavuzdur: bir veri bağlayıcısını Content hub'dan kurmaktan, portalda yapılandırmaya ve veri akışını doğrulamaya kadar adımları sırasıyla anlatır. Resmi referans için Microsoft Learn: Connect data sources by using data connectors belgesini de açık tutabilirsiniz.

Ön gereksinimler: lisans, izinler ve çözüm kurulumu

Bağlayıcı yapılandırmasına başlamadan önce şu üç koşulu sağlamanız gerekir:

  • Aktif bir Azure aboneliği ve onboard edilmiş bir Sentinel çalışma alanı (workspace). Sentinel ücretli bir hizmettir; veri hacmine göre ücretlendirilir.
  • Doğru izinler: Sentinel çalışma alanı üzerinde okuma ve yazma izniniz olmalı. Content hub'da çözüm kurmak veya yönetmek için ise çalışma alanının ait olduğu kaynak grubunda Microsoft Sentinel Contributor rolüne ihtiyacınız vardır.
  • İlgili çözümün (solution) kurulu olması: Çoğu bağlayıcı, tek başına değil bir çözüm paketinin parçası olarak gelir. Çözüm; bağlayıcının yanında analitik kuralları, çalışma kitapları ve playbook'ları da getirir.

Önemli bir not: Temmuz 2025'ten itibaren, abonelikte Owner veya User Access Administrator iznine sahip yeni müşterilerin ilk çalışma alanı otomatik olarak Defender portalına onboard edilir. Bu nedenle birçok kurumda bağlayıcı yapılandırması artık doğrudan Microsoft Defender portalında yapılır. Sentinel ve geniş güvenlik mimarisi hakkında genel bakış için Microsoft Security çözümlerimiz sayfasına bakabilirsiniz.

Veri bağlayıcısı türlerini tanıyın

Bağlama yöntemi, kaynağın türüne göre değişir. Doğru yöntemi seçmek, kurulumun en kritik kararıdır:

  • Servis-servis (service-to-service) bağlayıcılar: Microsoft Entra ID, Azure Activity, Azure Storage, Microsoft Defender XDR ve Amazon Web Services gibi kaynaklar için. Gerçek zamanlı, ajansız ve en kolay yöntemdir — çoğunlukla birkaç tıklama yeterlidir.
  • Ajan tabanlı (agent-based) Syslog ve CEF: Linux sunucular, güvenlik duvarları, yönlendiriciler ve IDS/IPS gibi ağ/güvenlik cihazları için. Azure Monitor Agent (AMA) ve Veri Toplama Kuralları (DCR) kullanılır.
  • Codeless Connector Framework (CCF): REST API veya Azure Blob Storage üzerinden veri sağlayan kaynaklar için kod yazmadan bağlayıcı kurmanızı sağlar. CCF Push özelliğiyle yüksek hacimli güvenlik verisi gerçek zamanlı olarak doğrudan çalışma alanına gönderilebilir.
  • Özel (custom) bağlayıcılar: Hazır çözüm bulunmayan kaynaklar için Logs Ingestion API'yi bir Azure Function ya da Logic App ile kullanarak kendi bağlayıcınızı yazabilirsiniz.

Bu yöntemlerin tam listesi ve hangi kaynağın hangi yöntemi desteklediği için Microsoft Sentinel data connectors belgesine bakın. Sentinel bir Azure hizmeti olduğundan, geniş bulut altyapısı bağlamı için Microsoft Azure çözümlerimizi de inceleyebilirsiniz.

Adım adım: bir veri bağlayıcısını bağlama

Aşağıdaki akış, servis-servis bir bağlayıcı (ör. Azure Activity) için tipik kurulumu özetler:

  1. Çözümü kurun. Sentinel'de Content hub'a gidin, ihtiyaç duyduğunuz veri kaynağının çözümünü (ör. "Azure Activity") arayın ve Install ile kurun.
  2. Bağlayıcı sayfasını açın. Defender portalında Microsoft Sentinel > Configurations > Data connectors; Azure portalında ise Configuration > Data connectors yolunu izleyin. Bağlayıcıyı arayıp seçin ve Open connector page'e tıklayın.
  3. Ön gereksinimleri doğrulayın. Bağlayıcı sayfasındaki Prerequisites bölümünde listelenen tüm koşulların (izinler, roller, port erişimleri) sağlandığından emin olun. Yeşil onay işareti görene kadar ilerlemeyin.
  4. Yapılandırma adımlarını uygulayın. Instructions / Configurations bölümündeki yönergeleri izleyin. Azure Activity örneğinde bu adım, Launch Azure Policy Assignment Wizard ile bir Azure Policy ataması yapmaktır; kapsam (subscription/resource group) ve birincil Log Analytics çalışma alanı seçilir.
  5. Kaydedin ve veri akışını başlatın. Yapılandırmayı kaydettikten sonra bağlayıcı veri almaya başlar. İlk verinin görünmesi birkaç dakika; veri gölüne (data lake) ulaşması ise 90-120 dakika sürebilir.

İpucu: Aradığınız bağlayıcıyı listede göremiyorsanız, neredeyse her zaman nedeni ilgili çözümün Content hub'dan henüz kurulmamış olmasıdır. Önce çözümü kurun, sonra bağlayıcı listede belirir.

Linux, güvenlik duvarı ve cihazlar: Syslog/CEF bağlama

Microsoft dışı cihazların çoğu (güvenlik duvarları, yönlendiriciler, Linux sunucular) loglarını Syslog veya Common Event Format (CEF) ile gönderir. Bu kaynaklar için akış şöyledir:

  1. Çözümü kurun. Content hub'dan Syslog veya Common Event Format çözümünü kurun; bu, ilgili "via AMA" bağlayıcısını getirir.
  2. Bir Veri Toplama Kuralı (DCR) oluşturun. Bağlayıcı sayfasından, hangi cihazlardan hangi log seviyelerini toplayacağınızı tanımlayan bir DCR oluşturun.
  3. Azure Monitor Agent'ı (AMA) kurun. Bir Linux log iletici (forwarder) makinesi belirleyin. Portal üzerinden DCR yapılandırdığınızda AMA seçtiğiniz makinelere otomatik kurulur.
  4. Kurulum betiğini çalıştırın. Log iletici üzerinde Microsoft'un sağladığı kurulum betiğini çalıştırın; bu betik Syslog daemon'unu (rsyslog/syslog-ng) diğer cihazlardan mesaj dinleyecek ve gerekli portları (varsayılan TCP/UDP 514) açacak şekilde yapılandırır.
  5. Cihazları yönlendirin. Güvenlik cihazlarınızı, loglarını yerel daemon yerine bu log iletici makineye gönderecek şekilde ayarlayın.

AMA 1.28.11 ve üzeri sürümler logları TCP 28330 portu üzerinden alır; daha eski sürümler Unix domain socket kullanır. Başarılı yapılandırmadan sonra Syslog mesajları Syslog tablosuna, CEF mesajları ise CommonSecurityLog tablosuna düşer. Mimari detaylar için Syslog ve CEF AMA bağlayıcıları belgesine bakın.

Veri saklama ve katmanlama (data lake)

Çalışma alanınızı Microsoft Sentinel data lake'e onboard ettiyseniz, her bağlayıcı için veri saklama ve katmanlama yapılandırabilirsiniz. İki katman vardır:

  • Analytics katmanı: Mevcut Sentinel çalışma alanınız — sorgular, analitik kuralları ve gerçek zamanlı tespitler buradan çalışır.
  • Data lake katmanı: Veriyi 12 yıla kadar düşük maliyetle saklayabileceğiniz uzun süreli katman.

Varsayılan olarak veri hem analytics katmanına gönderilir hem de data lake katmanına yansıtılır (mirror). Bağlayıcının Connector details > Table management bölümünden ilgili tabloyu seçip Manage table ile her katman için saklama süresini ayarlayabilir; ya da yalnızca data lake katmanına göndererek analytics katmanı maliyetinden tasarruf edebilirsiniz. Bu, yüksek hacimli ama nadiren sorgulanan loglar için maliyeti ciddi biçimde düşürür.

Bağlantıyı doğrulama

Bağlayıcının gerçekten veri akıttığından emin olmak için iki yöntem kullanın:

  • Data received grafiği: Bağlayıcı sayfasında, bağlantı kurulduğunda Data received grafiği veri hacmini ve her veri türünün bağlantı durumunu gösterir. Çizgi yükseliyorsa veri akıyor demektir.
  • Sorgu ile teyit: Defender portalında Advanced hunting, Azure portalında ise Logs sayfasından ilgili tabloyu (ör. Syslog, CommonSecurityLog veya AzureActivity) sorgulayın. Data lake için Data lake explorer > KQL queries kullanılır.

İlk verinin görünmesi zaman alabilir; analytics katmanında birkaç dakika, data lake katmanında 90-120 dakika beklemek normaldir. Hemen veri görmüyorsanız panik yapmayın.

Yaygın hatalar ve çözümleri

  • Bağlayıcı listede yok: İlgili çözüm Content hub'dan kurulmamıştır. Çözümü kurun, bağlayıcı listede belirir.
  • "Veri gelmiyor" sanısı: Çoğu zaman erken kontrolden kaynaklanır. Analytics katmanı için birkaç dakika, data lake için 2 saate kadar bekleyin.
  • İzin hatası: Çalışma alanında okuma/yazma yoksa veya Content hub için Microsoft Sentinel Contributor rolü atanmamışsa kurulum yarıda kalır. Rol atamalarını doğrulayın.
  • Syslog/CEF mükerrer kayıt: Aynı facility hem Syslog hem CEF için kullanılırsa veri, hem Syslog hem CommonSecurityLog tablosuna düşerek mükerrer kayıt oluşturur. Kaynakta facility ayrıştırın ya da DCR'ye alım anında dönüşüm (transformKql) ekleyerek CEF mesajlarını Syslog akışından süzün.
  • Port engeli: Log iletici ile cihazlar arasında 514 (veya seçtiğiniz port) ya da AMA için 28330 portu güvenlik duvarında kapalıysa veri akmaz. Ağ yolunu test edin.

2026'da kritik değişiklikler: tarihlere dikkat

Bağlayıcı stratejinizi kurarken üç güncel gelişmeyi mutlaka göz önünde bulundurun:

  • 400'ü aşan bağlayıcı: 2026 itibarıyla Sentinel bağlayıcı kataloğu 400'ün üzerine çıktı; CrowdStrike, Imperva, AWS, Logstash ve Google Kubernetes Engine (GKE) gibi yeni kaynaklar eklendi. Ayrıca Microsoft Copilot etkinliklerini Sentinel'e taşıyan Microsoft Copilot data connector genel kullanıma sunuldu.
  • 14 Eylül 2026 — eski HTTP Data Collector API sonlanıyor: Bu tarihten sonra eski HTTP Data Collector API desteklenmeyecek. Bu API'yi kullanan özel entegrasyonları Logs Ingestion API veya Codeless Connector Framework (CCF)'ye taşımalısınız; aksi halde veri alımı kesilebilir.
  • 31 Mart 2027 — Azure portalı emekliye ayrılıyor: Bu tarihten sonra Sentinel yalnızca Microsoft Defender portalında kullanılabilecek. Yapılandırmalarınızı şimdiden Defender portalına taşıyarak birleşik güvenlik operasyonları deneyimine geçmeniz önerilir.

Bu tarihler özellikle çok sayıda özel/eski bağlayıcısı olan kurumlar için bir geçiş planı gerektirir. Geçişi bekletmek, 2026 sonbaharında ani log kayıplarına yol açabilir.

Sıkça Sorulan Sorular (SSS)

Bir veri bağlayıcısını kurmak için hangi izinler gerekir?

Bağlayıcıyı yapılandırmak için Sentinel çalışma alanında okuma ve yazma izniniz olmalıdır. Content hub'dan çözüm kurmak veya yönetmek içinse çalışma alanının ait olduğu kaynak grubunda Microsoft Sentinel Contributor rolüne ihtiyacınız vardır.

Bağlayıcıyı listede bulamıyorum, neden?

Neredeyse her zaman ilgili çözümün (solution) Content hub'dan henüz kurulmamış olmasından kaynaklanır. Bağlayıcılar genellikle bir çözüm paketinin parçası olarak gelir; önce çözümü kurun, ardından bağlayıcı Data connectors listesinde görünür.

Veri ne kadar sürede görünür?

Analytics katmanına veri akışı genellikle birkaç dakika içinde başlar. Data lake katmanına verinin ulaşması ise 90-120 dakika sürebilir. Bu nedenle bağlantıdan hemen sonra veri görmemeniz normaldir; bağlayıcı sayfasındaki Data received grafiğini izleyin.

Syslog ile CEF arasındaki fark nedir?

Syslog, cihaz ve uygulamalardan log göndermek için kullanılan genel bir standarttır. CEF (Common Event Format) ise Syslog'un güvenlik odaklı, satıcıdan bağımsız bir uzantısıdır; cihaz üreticisi, ürün, olay sınıfı ve önem derecesi gibi standart alanlar içerir. Sentinel'de Syslog mesajları Syslog tablosuna, CEF mesajları CommonSecurityLog tablosuna düşer.

Eski HTTP Data Collector API'sini kullanıyorum, ne yapmalıyım?

14 Eylül 2026'dan sonra eski HTTP Data Collector API desteklenmeyecek. Bu API'yi kullanan tüm özel entegrasyon ve bağlayıcılarınızı Logs Ingestion API'ye ya da Codeless Connector Framework'e (CCF) taşımanız gerekir. Geçişi geciktirmeyin; aksi halde o tarihten sonra veri alımı durabilir.

Sentinel'i artık Azure portalında mı yoksa Defender portalında mı kullanmalıyım?

31 Mart 2027'den sonra Sentinel yalnızca Microsoft Defender portalında çalışacak. Temmuz 2025'ten itibaren uygun izinlere sahip yeni müşteriler zaten otomatik olarak Defender portalına onboard ediliyor. Yeni bağlayıcı yapılandırmalarını doğrudan Defender portalında yapmanız ve mevcut yapılandırmaları oraya taşımanız önerilir.

Sonuç: doğru yöntem, kesintisiz görünürlük

Microsoft Sentinel'in değeri, beslendiği verinin kapsamı kadardır. Bir bağlayıcıyı bağlamanın anahtarı, kaynağın türüne göre doğru yöntemi seçmek (servis-servis, Syslog/CEF, CCF veya özel), ön gereksinimleri eksiksiz sağlamak ve bağlantıyı Data received grafiğiyle teyit etmektir. Çözümü Content hub'dan kurmak, bağlayıcıyı portaldan yapılandırmak ve veri saklama katmanlarını ihtiyacınıza göre ayarlamak — bu üç adımı doğru yaptığınızda SOC ekibiniz ilk günden anlamlı tespitlere başlar.

2026, Sentinel için yoğun bir geçiş yılı: 400'ü aşan bağlayıcı, Copilot etkinlik entegrasyonu ve iki kritik tarih (14 Eylül 2026 API sonlandırması, 31 Mart 2027 Azure portalı emekliliği). Bağlayıcı envanterinizi şimdiden gözden geçirip eski API'lere bağımlı entegrasyonları modern çerçevelere taşımak, ileride yaşanabilecek log kayıplarını önlemenin en sağlam yoludur.

Microsoft İstanbul — Xen Bilişim ekibi olarak, kurumunuzun Microsoft Sentinel devreye alma sürecinde veri bağlayıcısı tasarımı, Syslog/CEF log iletici kurulumu, CCF geçişi ve veri saklama optimizasyonunda uçtan uca destek sağlıyoruz. İletişim sayfamızdan bize ulaşın, log kaynaklarınızı doğru yöntemle ve maliyet-etkin biçimde Sentinel'e bağlayalım.

İlgili yazılar

Microsoft Defender for Identity mimari diyagramı: Defender for Identity bulutu, Microsoft Entra ID, Active Directory ve on-premises sensörler — Microsoft resmi belgelerinden
Microsoft Security

Microsoft Defender for Identity Nedir? Kimlik Güvenliği (2026)

Microsoft Defender for Identity nedir, nasıl çalışır? Active Directory ve Entra ID kimliklerini hedefleyen saldırıları tespit eden bulut tabanlı çözümü, 2026 bi

10 Haziran 2026Yazıyı oku
Microsoft Teams Phone bulut telefon sistemi — Microsoft Teams resmi logosu ve arama rozetiyle simgelenen kurumsal santral (PBX) kavramı
Microsoft 365

Microsoft Teams Phone (Bulut Telefon Sistemi) Nasıl Kurulur? (2026)

Microsoft Teams Phone ile Teams'i bulut tabanlı bir santrale (PBX) dönüştürmenin adım adım rehberi: Teams Phone lisansı, Türkiye için PSTN bağlantı seçenekleri

8 Haziran 2026Yazıyı oku
Windows 365 Microsoft Entra join Cloud PC hazırlama mimarisi diyagramı — Microsoft resmi belgelerinden
windows 365

Windows 365 Cloud PC Hazırlama Hatası Çözümü (2026)

Windows 365 Cloud PC hazırlama (provisioning) Failed hatasının nedenleri ve çözümü: domain join, Intune kaydı, Entra hibrit birleştirme, yetersiz IP ve ANC soru

7 Haziran 2026Yazıyı oku

Microsoft yolculuğunuzu
birlikte planlayalım

Mevcut altyapınızı ücretsiz değerlendirelim, doğru lisansı önerelim ve geçiş planınızı çıkaralım — aramayı uzmanlarımız 24 saat içinde yapar.

Ücretsiz Danışmanlık0850 259 59 49
WhatsApp