Bulut için Microsoft Defender 'da Azure kaynaklarını izleme

  • Makale
  • Okumak için 9 dakika

İlk adım olarak, ağ cihazlarınızdan tüm günlükleri (ham trafik dahil) etkinleştirin ve gözden geçirin.

Uyarı ayarlamak ve paket düzeyindeki gerçek zamanlı performans bilgilerine erişim kazanmak için paket yakalama özelliğinden yararlanın.

Paket yakalama, sanal makinelerin içindeki ve içindeki trafiği izler. Ağ önleme hakkında bilgi de dahil olmak üzere, tanımlı ağ anormallarını temel alarak proaktif yakalamaları çalıştırma olanağı sunar.

Bir örnek için bkz. Senaryo: VM, normalden daha fazla TCP kesimi gönderirken uyarı alın.

Ardından, tanılama günlüklerini inceleyerek belirli hizmetlerin Observability üzerine odaklanın. Örneğin, tümleşik WAF ile Azure Application Gateway için bkz. Web uygulaması güvenlik duvarı günlükleri. Bulut için Microsoft Defender, sanal ağlarda, ağ geçitlerinde ve ağ güvenlik gruplarında tanılama günlüklerini analiz eder ve denetimlerin yeterince güvenli olup olmadığını belirler. Örnek:

  • Sanal makineniz ortak internet 'e açık. Bu durumda, makineyi korumak için ağ güvenlik gruplarında sıkı kurallar var mı?
  • Ağ güvenlik grupları (NSG) ve sanal makinelere erişimi daha fazla izin veren kurallar.
  • Depolama hesapları, güvenli bağlantılar üzerinden trafik alıyor mu?

Defender 'ın bulut için sunduğu önerileri izleyin. Daha fazla bilgi için bkz. ağ önerileri. Observability için Azure Güvenlik Duvarı günlüklerini ve ölçümlerini, işletimsel ve denetim günlüklerine kullanın.

Tüm günlükleri Microsoft Sentinel gibi bir güvenlik bilgileri ve olay yönetimi (SıEM) hizmetiyle tümleştirin. SıEM çözümleri, büyük miktarlarda bilgi alımını destekler ve büyük veri kümelerini hızlıca çözümleyebilir. Bu öngörülere göre şunları yapabilirsiniz:

  • Uyarıları ayarlayın veya kesimleme sınırlarını kesişen trafiği engelleyin.
  • Anormallikleri belirler.
  • Yanlış pozitif uyarıları önemli ölçüde azaltmak için Intake 'i ayarlayın.

Kimlik

Uyarlamalı makine öğrenimi algoritmalarını kullanarak kimlik ile ilgili risk olaylarını izleyin, saldırganın sisteme daha derin erişim sağlayabilmesi için hızlı buluşsal yöntemler.

Kimlik risklerini gözden geçirin

Çoğu güvenlik olayı, bir saldırgan başlangıçta çalınmış bir kimlik kullanarak erişim kazandıktan sonra gerçekleşir. Kimliğin ayrıcalıkları düşük olsa bile saldırgan bu uygulamayı kullanarak geçici bir şekilde geçiş yapabilir ve daha ayrıcalıklı kimliklere erişim elde edebilir. Böylece saldırgan, hedef verilere veya sistemlere erişimi denetleyebilir.

Kuruluş, riskli olabilecek kimliklerle ilgili kimlikle ilgili risk olaylarını etkin bir şekilde izler mi?

Kimliği aşılmış olabilecek kimliklerle ilgili risk olaylarını izleyin ve bu riskleri düzeltin. Bildirilen risk olaylarını şu yollarla gözden geçirin:

Azure AD, uyarlamalı makine öğrenimi algoritmaları, buluşsal yöntemler ve bilinen güvenliği aşılmış kimlik bilgileri (Kullanıcı hesapları/parola çiftleri) kullanarak kullanıcı hesaplarınızla ilgili şüpheli eylemleri tespit edin. Bu Kullanıcı adı/parola çiftleri, genel ve koyu Web 'i izlemeye ve güvenlik araştırmacıları, hukuk zorlaması, Microsoft 'ta güvenlik ekipleri ve diğer kullanıcılarla birlikte çalışarak.

Bildirilen her bir hesabı el ile adresleyerek veya yüksek riskli olaylar için parola değişikliği gerektirecek bir Kullanıcı risk ilkesi ayarlayarak riskleri düzeltin.

Kritik erişimi düzenli olarak gözden geçirin

İş açısından kritik bir etki ile ayrıcalıkların atandığı rolleri düzenli olarak gözden geçirin.

Roller değiştikçe hesapların izinlerden kaldırıldığından emin olmak için yinelenen bir gözden geçirme kalıbı ayarlayın. Gözden geçirmeyi el ile veya Azure AD erişim gözden geçirmelerigibi araçları kullanarak otomatikleştirilmiş bir işlem aracılığıyla gerçekleştirebilirsiniz.

&Güvenli olmayan protokollerin değiştirilmesini keşfet

Güvenli güvensiz protokollerin kullanımını bulur ve devre dışı bırakın SMBv1, LM/NTLMv1, wDigest, Imzasız LDAP bağlamaları ve Kerberos 'da zayıf şifre ıcılar.

Uygulamalar, SHA-2 karma algoritmaları ailesini kullanmalıdır (SHA-256, SHA-384, SHA-512). SHA-1 ve MD5 gibi zayıf algoritmaların kullanılması kaçınılmalıdır.

Kimlik doğrulama protokolleri, neredeyse tüm güvenlik ilişkinin kritik bir temelidir. Bu eski sürümlere, ağınıza erişimi olan saldırganlar tarafından yararlanılabilir ve genellikle hizmet olarak altyapı (IaaS) üzerinde eski sistemlerde yaygın olarak kullanılır.

Riskinizi azaltmanıza yönelik yollar şunlardır:

  • Microsoft Sentinel 'in güvenli olmayan protokol panosu veya üçüncü taraf araçlarla günlükleri inceleyerek protokol kullanımını bulun.

  • SMB, NTLM, WDigestyönergelerini Izleyerek bu protokollerin kullanımını kısıtlayın veya devre dışı bırakın.

  • Yalnızca güvenli karma algoritmaları kullanın (SHA-2 ailesi).

İşlemsel kesintiden kaynaklanan riskleri azaltmak için pilot veya diğer test yöntemlerini kullanarak değişikliklerin uygulanması önerilir.

Daha fazla bilgi edinin

Karma algoritmaları hakkında daha fazla bilgi için bkz. karma ve Imza algoritmaları.

Bağlı kiracılar

Güvenlik takımınız, var olan tüm aboneliklerde ve bulut ortamlarıyla görünürlüğe sahip mi? Yenilerini nasıl keşfeder?

Güvenlik ekibinin, ExpressRoute veya Site-Site VPN aracılığıyla mevcut ortamınıza bağlı tüm kayıtları ve ilişkili abonelikleri farkında olun. Bunları genel kuruluşun bir parçası olarak izleyin.

Bağlı kiracılar için Kuruluş ilkelerinin ve uygulanabilir yasal gereksinimlerin izlendiğini değerlendirin. Bu, üretim ortamı ağınıza bağlanan tüm Azure ortamları için geçerlidir.

Kuruluşların bulut altyapısı, izleme ve öngörü için gereken tüm kaynaklara güvenlik ekibi erişimi ile iyi şekilde belgelenmelidir. Kuruluş denetimlerinin dışına ek abonelik veya kiracı eklenmemesini sağlamak için buluta bağlı varlıkların sık taramasını gerçekleştirin. Güvenlik ekibi erişiminin en iyi yöntemlerini inceleyerek ve izlendiğinden emin olmak için Microsoft kılavuzunu düzenli olarak gözden geçirin.

Bu erişim izinleri hakkında daha fazla bilgi için bkz. ortam yönetimi için ayrıcalıkları atama bölümü.

Önerilen Eylemler

Üretim ortamınıza ve ağınıza bağlanan tüm Azure ortamlarının kuruluşunuzun ilkesini uyguladığından ve güvenlik için BT idare denetimlerinde emin olun.

Mevcut bağlı kiracılar, Microsoft tarafından sunulan bir Aracı kullanarak keşfedebilirsiniz. Güvenliğe atayabileceğiniz izinlerle ilgili yönergeler, ortamı yönetmeye yönelik atama ayrıcalıklardır .

CI/CD işlem hatları

DevOps uygulamalar, sürekli tümleştirme, sürekli teslim (cı/CD) aracılığıyla iş yükünün değişiklik yönetimine yöneliktir. İşlem hatlarına güvenlik doğrulaması eklediğinizden emin olun. CI/CD işlem hattınızla sürekli güvenlik doğrulaması eklemeyi öğreninbölümünde açıklanan yönergeleri izleyin.

Sonraki adımlar

Günlükleri ve uyarıları görüntüleme

Çoğu bulut mimarisi işlem, ağ, veri ve kimlik bileşenlerine sahiptir ve her biri farklı izleme mekanizmaları gerektirir. Azure hizmetlerinde tek tek izleme ihtiyaçları de vardır. örneğin, azure Application Insights etkinleştirmek istediğiniz azure işlevlerini izlemek için.

Bulut için Microsoft Defender, makinelerin, ağların, depolama ve veri hizmetlerinin güvenlik duruşunu izleyen birçok planı ve olası güvenlik sorunlarını bulmaya yönelik uygulamaları izler. İnternet 'e bağlı VM 'Ler veya eksik güvenlik güncelleştirmeleri, eksik uç nokta koruma veya şifreleme, taban çizgisi güvenlik yapılandırmalarının sapmaları, eksik web uygulaması güvenlik duvarı (WAF) ve daha fazlası dahildir.

Önemli noktalar

[! div Class = "denetim listesi"]

  • Kapsamlı bir savunma ölçüsü olarak bulut için Microsoft Defender 'ı etkinleştirin. sunucular için microsoft defender, uç nokta için microsoft defender, Depolama için microsoft defender gibi bulut özellikleri için kaynağa özgü Defender 'ı kullanın.
  • Kapsayıcı tanıma araçları ve düzenli taramayla kapsayıcı durumu ile gözlemleyin.
  • Ağ İzleyicisi aracılığıyla tüm ağ akışı günlüklerini gözden geçirin. Bulut için Microsoft Defender 'daki tanılama günlüklerine bakın.
  • Şüpheli davranışları çözümlemek ve algılamak için bir merkezi SıEM çözümünde tüm günlükleri tümleştirin.
  • Azure AD raporlama amd Azure Active Directory kimlik koruması 'nda kimlik ile ilgili risk olaylarını izleyin.

Genel en iyi uygulamalar

Yaygın güvenlik etkinliklerini tanımlamak, genel riski önemli ölçüde azaltır.

  • Yönetim hesaplarından gelen şüpheli etkinlikleri izleyin.
  • Azure kaynaklarının yönetildiği konumu izleyin.
  • Devre dışı bırakılan kimlik bilgilerine erişme girişimlerini izleyin.
  • Ağ kaynağı yapılandırmasını izlemek ve değişiklikleri algılamak için otomatikleştirilmiş araçları kullanın.

Daha fazla bilgi için bkz. Azure için Azure Güvenlik temeli izleyici.

IaaS ve PaaS güvenliği

Bir IaaS modelinde, Azure altyapısında iş yükünü barındırabilirsiniz. Azure, altyapıya yalıtım ve güncel güvenlik güncelleştirmeleri sağlayan güvenlik kesintileri sağlar. Daha fazla denetim için, tüm IaaS çözümünü şirket içinde veya barındırılan bir veri merkezinde barındırın ve güvenlik avantajından sorumlu olursunuz. Konakta, sanal makinede, ağda ve depolamada güvenlik uygulamanız gerekir. Örneğin, kendi sanal ağınız varsa, özel bir uç nokta üzerinden erişebilmek için Azure Izleyici üzerinden Azure özel bağlantısını etkinleştirmeyi düşünün.

PaaS 'de, verileri korurken Azure ile sorumluluğu paylaştığınız bir sorun var.

Sanal makineler

kendi Windows ve Linux sanal makinelerinizi çalıştırıyorsanız, bulut için Microsoft Defender 'ı kullanın. Eksik işletim sistemi düzeltme eklerini, güvenlik yanlış yapılandırma ve temel ağ güvenliğini denetlemek için ücretsiz hizmetlerden yararlanın. Uyarlamalı uygulama denetimleri, dosya bütünlüğü izleme (FIM) ve diğerleri sağlayan özellikler almanız gerektiğinden, bulut için Microsoft Defender 'ın etkinleştirilmesi kesinlikle önerilir.

Örneğin, yaygın olarak karşılaşılan bir risk, sanal makinelerin tehditleri denetleyen çözümleri tarama güvenlik açığına sahip değildir. Bulut için Microsoft Defender bu makineleri raporlar. Bir tarama çözümü dağıtarak bulut için Microsoft Defender 'da düzeltme yapabilirsiniz. Sanal makineler için yerleşik güvenlik açığı tarayıcısını kullanabilirsiniz. Bir lisansa ihtiyacınız yoktur. Bunun yerine, desteklenen iş ortağı çözümleri için lisansınızı getirebilirsiniz.

Not

güvenlik açığı değerlendirmeleri, kapsayıcı görüntüleri ve SQL sunucuları için de kullanılabilir.

Saldırganlar, genel parola ve bilinen düzeltme eki yüklenmemiş güvenlik açıkları gibi saldırılara yol açabilecek açık yönetim bağlantı noktaları için ortak bulut IP aralıklarını sürekli taramalıdır. JıT (tam zamanında) erişimi, gerektiğinde makinelere bağlanmak için kolay erişim sağlarken sanal makinelere gelen trafiği kilitlemenize olanak sağlar. Bu bulut için Defender, JıT uygulanmış makineleri tanımlar.

Microsoft Defender for Cloud ile Endpoint için Microsoft Defender 'ı da edinirsiniz. bu, tehdit algılama ve analizine yardımcı olan araştırma araçları uç noktası algılamayı ve yanıtını (EDR) sağlar.

Sunucular için Microsoft Defender, ağı sanal makinelere ve bu makinelerden de izler. Sanal makinelere erişimi denetlemek için ağ güvenlik grupları kullanıyorsanız ve kuralların aşırı erişimine izin verolduysa, bulut için Defender bu kuralları işaretedecektir. Uyarlamalı ağ sağlamlaştırma, NSG kurallarına daha fazla uyum sağlamak için öneriler sağlar.

Özelliklerin tam listesi için bkz. makineler Için özellik kapsamı.

Doğrudan internet bağlantısını kaldırma

İlkelerin ve işlemlerin, sanal makineler tarafından doğrudan internet bağlantısını kısıtlamak ve izlemek için gerekli olduğundan emin olun.

Azure için ilkeleri şu şekilde zorlayabilirsiniz:

  • Enterprise genelinde önleme: başvuru modelinde açıklanan izinleri ve rolleri izleyerek yanlışlıkla pozlamayı önleyin.

    • Ağ trafiğinin, varsayılan olarak onaylı çıkış noktaları üzerinden yönlendirilmesini sağlar.

    • Özel durumlar (bir kaynağa genel IP adresi ekleme gibi), özel durum isteklerini değerlendiren ve uygun denetimlerin uygulandığından emin olmak için bir merkezi gruptan geçmesi gerekir.

  • Internet 'te sunulan kaynakları hızlıca tanımlamak için bulut ağı görselleştirmesi Için Microsoft Defender 'ı kullanarak, sunulan sanal makineleri belirleyip düzeltin .

  • Bulut için Microsoft Defender 'da tam zamanında erişimi kullanarak Yönetim bağlantı noktalarını (RDP, SSH) kısıtlayın.

Sanal ağdaki VM 'Leri yönetmenin bir yolu, Azuresavunma kullanmaktır. Bu hizmet, VM 'Leri doğrudan internet 'te kullanıma açmadan SSH veya Uzak Masaüstü Protokolü (RDP) aracılığıyla sanal ağdaki VM 'Lerde oturum açmanıza olanak tanır. Savunma kullanan bir başvuru mimarisini görmek için bkz. Azure ile şirket içi veri merkezi arasında ağ DMZ.

Kapsayıcılar

Kapsayıcılı iş yüklerinin ek bir soyutlama ve düzenleme katmanı vardır. Bu karmaşıklık, tedarik zinciri saldırıları gibi yaygın kapsayıcı saldırılarına karşı koruyan özel güvenlik önlemleri gerektirir.

  • Güvenlik için doğrulanan kapsayıcı kayıt defterlerini kullanın. Ortak kayıt defterlerinde bulunan görüntüler, kapsayıcı çalışırken etkinleşi kötü amaçlı yazılım veya istenmeyen uygulamalar içerebilir. Geliştiricilerin yeni kapsayıcılar ve görüntülerin güvenlik doğrulamasını istemesini ve hızlıca almasını sağlamak için bir işlem oluşturun. İşlem, güvenlik standartlarınıza göre doğrulanmalıdır. Bu, güvenlik güncelleştirmelerinin uygulanmasını, arka kapılar ve Illicit şifreleme para Miners gibi istenmeyen kodu taramayı, güvenlik açıklarını taramayı ve güvenli geliştirme yöntemlerinin uygulanmasını içerir.

    Popüler bir işlem modelinin karantina deseninin olması. Bu düzen, görüntülerinizi özel bir kapsayıcı kayıt defterinde almanıza ve bunları kuruluşunuz için uygun olan güvenlik veya uyumluluk scrsıya tabi bir şekilde oluşturmanıza olanak tanır. Doğruladıktan sonra, karantinaya alınır ve kullanıma sunulmuş hale gelir.

    Bulut için Microsoft Defender, IaaS Linux VM 'lerinde barındırılan yönetilmeyen kapsayıcıları veya Docker Kapsayıcıları çalıştıran diğer Linux makinelerini tanımlar.

  • Yetkili kayıt defterlerinden görüntüleri kullandığınızdan emin olun. Bu kısıtlamayı Azure Ilkesi aracılığıyla uygulayabilirsiniz. Örneğin, bir Azure Kubernetes hizmeti (AKS) kümesi için, kümeyi yalnızca mimarinin bir parçası olarak dağıtılan Azure Container Registry (ACR) ' den çekme görüntülerini kısıtlayan ilkelere sahiptir.

    İpucu

    Yukarıdaki örnek için kaynaklar aşağıda verilmiştir:

    GitHub logoGitHub: Azure kubernetes Service (aks) güvenli temel başvuru uygulama.

    Tasarım konuları BIR AKS kümesi Için temel mimarideaçıklanmıştır.

  • Kapsayıcı kayıt defterinde, kullanılmadan önce ve kullanımda olan bilinen riskler için kapsayıcıları düzenli olarak taratın.

  • Anormal davranışları izlemek ve olayların araştırılmasını sağlamak için kapsayıcı tarafından kullanılan güvenlik izleme araçlarını kullanın.

    Kapsayıcı kayıt defterleri için Microsoft Defender, AKS kümelerini, kapsayıcı konaklarını (Docker çalıştıran sanal makineler) ve ACR kayıt defterlerini korumak için tasarlanmıştır. Etkinleştirildiğinde, kayıt defterlerine çekilen veya gönderilen resimler güvenlik açığı taramalara tabidir.

Daha fazla bilgi için şu makalelere bakın:

Ağın koşullarını nasıl izleyebilir ve tanılıyorsunuz?