Azure hizmetlerini kullanarak güvenlik günlükleri ve uyarılar
Günlükler bir iş yükünün işlemleri, altyapı, ağ iletişimleri ve diğer işlemler hakkında içgörü sağlar. Şüpheli etkinlik algılandığında, olası tehditleri algılamak için uyarıları kullanın. Derinlemesine savunma stratejinizin ve sürekli izlemenizin bir parçası olarak, zaman içinde güvenlik güvencesinin bozulmasını önlemek için uyarılara yanıt verin.
Önemli noktalar
- Merkezi güvenlik günlüğü yönetimini yapılandırma.
- Azure kaynakları için denetim günlüğünü etkinleştirin.
- İşletim sistemlerinden güvenlik günlüklerini toplayın.
- Güvenlik günlüğü depolama saklamayı yapılandırma.
- Anormal etkinlikler için uyarıları etkinleştirin.
Yerel hizmetleri kullanma
Azure İzleyici ortamınız genelinde gözlemlenebilirlik sağlar. Azure kaynaklarınızı yapılandırmadan çoğu platform ölçümlerini, etkinlik günlüklerini ve tanılama günlüklerini otomatik olarak alırsiniz. Etkinlik günlükleri ayrıntılı tanılama ve denetim bilgileri sağlar.
Bulut için Microsoft Defender, Azure kaynaklarınıza ve ağınıza bağlı günlük verilerini toplayarak, analiz ederek ve tümleştirerek güvenlik uyarıları olarak bildirimler üretir. Microsoft Defender planlarını etkinleştiren uyarılar kullanılabilir. Bu, genel maliyeti ekler.
Microsoft Sentinel bir güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıt (SOAR) çözümüdür. Uyarı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözümdür.
Tam görünüm elde etmek için önceki hizmetlerin bir birleşimini kullanmak idealdir. Örneğin, Azure Azure İzleyici işletim sistemi hakkında bilgi toplamak için Azure İzleyici'i kullanın. Kendi işlemlerinizi kullanıyorsanız Bulut için Microsoft Defender'ı kullanın.
Denetim günlüğü
İzlemenin önemli bir yönü de işlemleri izlemektir. Örneğin, bir kaynağı kimin oluşturduğu, güncelleştirilmiş, silen kişi olduğunu bilmek istersiniz. Veya bir görüntünün görüntüden ne zaman çek olduğu gibi kaynağa özgü bilgileri Azure Container Registry. Bu bilgiler, güvenlik operasyonları (SecOps) ekibinin, bir şüpheli etkinlik uyarısına tepki verme veya anormal olayları proaktif bir şekilde avlama konusunda kritik öneme sahip. Bunlar güvenlik denetimi, uyumluluk ve çevrimdışı analiz için de yararlıdır.
Azure'da bu bilgiler kaynaklar ve üzerinde çalıştırıldıları platform tarafından platform günlükleri olarak yayımlar. Bunlar abonelik düzeyinde Azure Resource Manager olarak ve ne zaman oluştuğuna göre izlerini takip ediyor. Her kaynak hizmete özgü günlükler yayır.
Verilerinizi denetim amacıyla veya istatistiksel analiz için depolamayı göz önünde bulundurabilirsiniz. Log Analytics çalışma alanınıza veri koruyarak veri türünü belirtebilirsiniz. Bu örnek saklamayı SecurityEvents 730 gün olarak ayarlar:
PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview {"properties": {"retentionInDays": 730 } }
Verilerin bu şekilde tutulması, zaman içinde veri saklama maliyetlerinizi düşürebilirsiniz. Koruyabilirsiniz veri türü hakkında bilgi için bkz. güvenlik veri türleri.
Bir diğer yol da günlükleri bir depolama hesabına göndermektir.
Uyarılar
Güvenlik uyarıları, iş yükü veya platform tarafından kullanılan kaynaklarda anormal etkinlik algılandığında oluşturulan bildirimlerdir.
Microsoft Defender planları ile, Bulut için Microsoft Defender günlük verilerini analiz eder ve kapsam içindeki kaynaklardan toplanan günlükleri temel alan uyarıların listesini gösterir. Uyarılar önem derecesi, durum, etkinlik zamanı gibi bağlam bilgilerini içerir. Bulut için Defender, olaylar olarak adlandırılan ilişkili bir görünüm de sağlar. Saldırganın hangi eylemleri yaptığını ve hangi kaynakların etkilendiğini analiz etmek için bu verileri kullanın. Uyarılar oluşturulur oluşturulmaz uyarılara tepki verme stratejilerine sahip olun. Seçeneklerden biri, uyarılarda uyarıları Azure İşlevleri.
Bu etkinlikleri desteklemek için verileri kullanın:
- Tehditleri düzeltme.
- Bir olayın araştırması.
- Proaktif avlanma etkinlikleri.
Daha fazla bilgi için bkz. Güvenlik uyarıları ve olaylar.
Günlükleri ve uyarıları merkezileştirme
Kuruluşlar genellikle günlükleri dağıtırken üç modelden birini takip eder: merkezi olmayan, merkezi olmayan veya karma. Seçim, kuruluş yapılarının seçimine bağlıdır. Örneğin, her ekip kendi kaynak grubuna sahipse günlük verileri kaynak başına ayrıdır. Bu verilere erişim denetimi kolayca ayarlansa da günlükler arasında ilişki kurmak zordur. Bu, verileri analiz etmek için bütünsel bir görünüme ihtiyacı olan SecOps ekibi için zor olabilir.
Uygun olduğunda günlük ve verilerin merkezi bir görünümünü göz önünde bulundurabilirsiniz. Bazı avantajlar şunlardır:
- İş yükünde kaynaklar, yinelemeyi azaltan ortak bir günlük çalışma alanını paylaşabilir.
- Tüm günlük verileriyle tek gözlemlenebilirlik noktası, avlanma etkinlikleri, sorgulama ve istatistiksel değerlendirme için verilerin daha kolay tüketilmesine neden olur.
- Tümleşik veriler modern makine öğrenmesi analiz platformlarına beslenebiliyor, büyük miktarlarda bilgi alımını destekliyor ve büyük veri kümelerini hızlı bir şekilde analiz ediyor. Ayrıca, bu çözümler hatalı pozitif uyarıları önemli ölçüde azaltacak şekilde ayarlanmış olabilir.
Log Analytics Çalışma Alanı, depolama hesabı ve depolama hesabı gibi çeşitli kaynaklardan günlükleri ve uyarıları merkezi olarak Event Hubs. Ardından günlük verilerini verimli bir şekilde gözden geçirebilirsiniz. Bu Azure İzleyici, kuruluş için önemli olan belirli günlükleri yönlendirme amacıyla kaynaklar üzerinde tanılama ayarını kullanın. Günlükler kaynak türüne göre değişiklik gösterir. Bulut için Microsoft Defender'da, uyarıları yönlendiren sürekli dışarı aktarma özelliğiden faydalanın.
Not
Platform günlükleri süresiz olarak kullanılamaz. Daha sonra denetim amacıyla veya çevrimdışı analiz için gözden geçirebilirsiniz. Uzun süreli/Depolama depolama için Azure Depolama Hesaplarını kullanın. Bu Azure İzleyici kaynaklarınız için tanılama ayarını etkinleştirerek saklama süresi belirtin.
Tüm verileri tek bir görünümde görmenin bir diğer yolu da günlükleri ve uyarıları Microsoft Sentinel gibi Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümleriyle tümleştirebilirsiniz. Diğer popüler üçüncü taraf seçenekleri Splunk, QRadar, ArcSight'tır. Bulut ve Bulut için Microsoft Defender Azure İzleyici tüm bu çözümleri destekler.
Daha fazla veri tümleştirerek uyarıları ek bağlamla zenginleştirebilirsiniz. Ancak, koleksiyon algılama değildir. Yüksek hacimli düşük değerli verilerin bu çözümlere akmay olduğundan emin olun.
Verilerin değer sağlamasını makul bir beklentiye sahip değilsanız, bu olayların tümleştirilmalarını depririte etme. Örneğin, yüksek hacimli güvenlik duvarı olayları gerçek eylemler olmadan gürültüye neden olabilir.
Bu seçim, hatalı pozitifleri filtreleerek ve gerçek pozitifleri yükselterek hızlı yanıt ve düzeltmeye yardımcı olur. Ayrıca SIEM maliyetini düşürecek, hatalı pozitif sonuçlar ve performansı artıracaktır.
Günlük tümleştirmenin diğer yolları, merkezi ve merkezi olmayan (ekipler arasında dağıtılmış) yaklaşımları bir şekilde karıştıran karma bir model olabilir. Ayrıntılar için bkz. Erişim denetimi stratejisiyle ilgili önemli noktalar.
Sonraki
Uyarılara yanıt verme, güvenlik güvencesi bozulmasını önlemenin temel bir yolu ve derinlemesine savunma ve en az ayrıcalık stratejileri için tasarlamadır.
İlgili bağlantılar
Daha fazla bilgi için şu makalelere bakın:
- Azure İzleyici ve üçüncü taraf SIEM tümleştirmesi ile çalışmaya başlama
- Azure İzleyici ile platform günlüklerini ve ölçümlerini toplama
- Uyarıları dışarı aktarma
- Bulut için Microsoft Defender veri toplamayı anlama
Geri dön makaleye bakın: İzleyici