Azure sentinel bir Siem ürünü olup pek çok farklı kaynaktan log toplamaktadır. aslında siem ürünleri için bu normal bir durum olup kağı geçiş sistemi ile bir file server veya bir firewall logları ile bir exchange server logları aslında aynı veri tabanında toplanır. tabiki ben bu yazıyı yazarken olmasa bile yakın gelecekte olacağını düşündüğümüz toplanan verilere özel ekran mantığı pek çok siem ürününde yoktur. bu da merkezi ekranların anlamlandırılmasını zorlaştırır. Azure bunu workbooks ile çözüyor. yani eğer siz office 365 logları topluyor iseniz bunun içerisinde sharepoint, onedrive gibi dosya temelli yapıların veya exchange online gibi bir mail sisteminin olduğunu bildiği için ona uygun ekranları sunmaktadır. Şu anda kullanabileceğiniz 50 farklı workbooks bulunuyor. aws, barracuda, cisco, citrix, dns, exchange online, f5, forcepoint gibi en çok bilinen log kaynakları için bu ekranlar hazır. Örnekler için aşağıdaki makaleyi inceleyebilirsiniz.
https://www.hakanuzuner.com/azure-sentinel-adim-adim-bulut-siem-kullanimi-bolum2-office-365-audit/