Azure'daki güvenlik işlemleri
Olay ve yanıt araştırması sırasında yürütülen eylemler uygulama kullanılabilirliğini veya performansını etkileyebilir. Bu işlemleri tanımlayın ve sorumlu (ve çoğu durumda merkezi) SecOps ekibiyle hizalar. Böyle bir araştırmanın uygulama üzerindeki etkisi analiz etmek gerekir.
Olay yanıtlayanların araştırma yapmak için uygulamayı ve bileşenleri hızla anlarına yardımcı olacak araçlar var mı?
Olay yanıtlayanlar merkezi bir SecOps ekibinin parçasıdır ve bir uygulamanın güvenlik içgörülerini anlamaları gerekir. Microsoft Sentinel'de güvenlik playbook'u güvenlik kavramlarını anlamanıza ve tipik araştırma etkinliklerini incelemeye yardımcı olabilir.
Önerilen eylem
Güvenlikle ilgili olayları izlemek ve otomatik olarak uyarı almak için Bulut için Microsoft Defender'ı kullanmayı göz önünde bulundurabilirsiniz.
Daha fazla bilgi edinin
Bulut için Microsoft Defender'da güvenlik uyarıları ve olaylar
Hibrit kurumsal görünüm
Güvenlik operasyonları araç ve süreçleri, bulut ve şirket içi varlıklara yönelik saldırılar için tasarlanmalı. Saldırganlar, bir kuruluşu hedeflerken eylemlerini belirli bir ortamla kısıtlamaz. Kullanılabilir yöntemleri kullanarak herhangi bir platformda kaynaklara saldırır. Kimlik veya başka bir araç kullanarak bulut ve şirket içi kaynaklar arasında özetler. Bu kuruluş genelindeki görünüm SecOps'nin saldırıları hızla algılamasını, yanıtlamasını ve saldırılardan kurtararak kurumsal riski azaltmasını sağlar.
Yerel algılama ve denetimlerden faydalanma
Olay günlüklerini görüntülemek ve analiz etmek için özel özellikler oluşturmak yerine Azure güvenlik algılamalarını ve denetimlerini kullanın. Azure hizmetleri yeni özelliklerle güncelleştirilir ve daha yüksek doğruluk oranıyla hatalı pozitif sonuç algılama özelliğine sahiptir.
Ağ cihazlarından günlükleri ve hatta ham ağ trafiğini tümleştirerek, kablo üzerinden akan olası güvenlik tehditlerine yönelik daha fazla görünürlük sağlar.
Kuruluş genelinde birleşik bir görünüm elde etmek için, yerel algılamalar aracılığıyla toplanan günlükleri (Azure İzleyici gibi) Microsoft Sentinel gibi merkezi bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümüne besleyebilirsiniz. Genelleştirilmiş günlük analizi araçlarını ve sorgularını kullanmaktan kaçının. Bu Azure İzleyici, günlükleri depolamak için Log Analytics Çalışma Alanı oluşturun. Ayrıca günlükleri gözden geçirebilirsiniz ve günlük verileri üzerinde sorgular gerçekleştirebilirsiniz. Bu araçlar yüksek kaliteli uyarılar sunabilirsiniz.
Modern makine öğrenmesi tabanlı analiz platformları son derece büyük miktarlarda bilgi alımını destekler ve büyük veri kümelerini çok hızlı bir şekilde analiz eder. Ayrıca, bu çözümler hatalı pozitif uyarıları önemli ölçüde azaltacak şekilde ayarlanmış olabilir.
Görünürlük sağlayan ağ günlüklerinin örnekleri şunlardır:
- Güvenlik grubu günlükleri - akış günlükleri ve tanılama günlükleri
- Web uygulaması güvenlik duvarı (WAF) günlükleri
- Sanal ağ dokunmaları ve eşdeğerleri
- Azure Ağ İzleyicisi
Önerilen eylemler
Ağ cihazı günlük bilgilerini gelişmiş SIEM çözümlerini veya diğer analiz platformlarını tümleştirin.
Daha fazla bilgi edinin
Gelişmiş ağ görünürlüğünü etkinleştirme
Sonraki adımlar
- Güvenlik durumu modellemesi
- Güvenlik araçları
- Güvenlik günlükleri ve denetimler
- Kimlik, ağ, veri risklerini denetleme
Güvenlik işlemi ekibinin (Güvenlik İşlemleri Merkezi (SOC) veya SecOps olarak da bilinir) sorumluluğu olası saldırıları hızla algılamak, önceliklendirmek ve önceliklendirmektir. Bu işlemler hatalı pozitiflerin ortadan kaldırılmasına ve gerçek saldırılara odaklanarak gerçek olayları düzeltmenin ortalama süresinin azaltılmasına yardımcı olur. Merkezi SecOps ekibi güvenlikle ilgili telemetri verilerini izler ve güvenlik ihlallerini araştırıyor. Tüm iletişim, araştırma ve avlanma etkinliklerinin uygulama ekibiyle uyumlu olduğu önemlidir.
Güvenlik operasyonları yürütmek için genel en iyi yöntemlerden bazıları:
Operasyonların bir parçası olarak NIST Siber Güvenlik Çerçevesi işlevlerini izleyin.
Sistemde hasımların varlığını algılama.
Bunun gerçek bir saldırı mı yoksa yanlış alarm mı olduğunu hızla araştırarak yanıt verin.
Bir saldırı sırasında ve sonrasında iş yükünün gizliliğini, bütünlüğünü ve kullanılabilirliğini kurtararak geri yükleme.
Çerçeve hakkında daha fazla bilgi için bkz. NIST Siber Güvenlik Çerçevesi.
Bir uyarıyı hızla kabul etmek. Defender'lar hatalı pozitifleri triya alırken algılanan bir hasım göz ardı edilmemelidir.
Algılanan bir hasılayı düzeltme süresini azaltabilirsiniz. Hassas sistemleri yürütme ve saldırı yapma ve bu sistemlere ulaşma fırsatlarını azaltma.
Güvenlik yatırımlarının, iç değeri yüksek olan sistemlere önceliklerini belirleme. Örneğin, yönetici hesapları.
Sisteminiz olgunlaştıkça, proaktif olarak rakiplerini avlama. Bu çaba, daha yüksek bir beceriye sahip olan bir hasım tarafından ortamda çalıştırılana kadar olan zamanı azaltacak. Örneğin, reaktif uyarıları kaçacak kadar yetenekli.
Microsoft SOC ekibinin kullandığı ölçümler hakkında bilgi için bkz. Microsoft SOC.
Araçlar
SoC ekibinin olayları araştırarak düzeltmesi için kullanabileceği azure araçlarına buradan bakabilirsiniz.
| Araç | Amaç |
|---|---|
| Microsoft Sentinel | Günlüklerde kuruluş genelinde görünürlük elde etmek için Merkezi Güvenlik Bilgileri ve Olay Yönetimi (SIEM). |
| Bulut için Microsoft Defender | Uyarı oluşturma. Uyarıya yanıt olarak güvenlik playbook'larını kullanın. |
| Azure İzleyici | Uygulama ve Azure hizmetlerinden olay günlükleri. |
| Azure Ağ Güvenlik Grubu (NSG) | Ağ etkinliklerine yönelik görünürlük. |
| Azure Information Protection | Şirket dışında paylaşımda bulundurarak e-posta, belge ve hassas verilerin güvenliğini sağlama. |
Araştırma uygulamaları uç nokta algılama ve yanıt (EDR) çözümü, Kimlik araçları ve Microsoft Sentinel gibi varlık türü hakkında derin bilgi sahibi yerel araçları kullanmıştır.
İzleme araçları hakkında daha fazla bilgi için bkz. Azure'da güvenlik izleme araçları.
Olay bildirimi kişisi atama
Güvenlik uyarılarının, kuruluşta doğru kişilerine ulaşarak ulaşabilirsiniz. Microsoft'tan Azure olay bildirimlerini almak için belirlenmiş bir iletişim noktası veya Bulut Azure Defender noktası kurma. Çoğu durumda, bu tür bildirimler kaynağın tehlikeye atılmış olduğunu veya başka bir müşteriye saldırıldığını gösterir. Bu, güvenlik operasyonları takımınıza olası güvenlik risklerine hızla yanıt vermelerini ve bunları düzeltmelerini sağlar.
Bu, güvenlik operasyonları takımınıza olası güvenlik risklerine hızla yanıt vermelerini ve bunları düzeltmelerini sağlar.
Azure kayıt portalında yönetici iletişim bilgilerini, güvenlik işlemlerini doğrudan veya bir iç işlem aracılığıyla hızla bilgilendirecek kişi bilgilerini içerir.
Daha fazla bilgi edinin
Microsoft'tan Azure olay bildirimlerini almak için belirlenmiş bir iletişim noktası kurma hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
Olay yanıtı
Kuruluş, merkezi bir SecOps ekibinin güvenlikle ilgili telemetri verilerini izlemesi ve olası güvenlik ihlallerini araştırması ile iş yükleri genelinde güvenlik duruşlarını etkin bir şekilde izliyor mu? İletişim, araştırma ve avlanma etkinliklerinin uygulama ekipleriyle uyumlu olması gerekir.
Olay yanıtı için operasyonel süreçler tanımlandı ve test edildi mi?