Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
| Ürün/Hizmet | Makale |
|---|---|
| Dynamics CRM | |
| Web Uygulaması |
|
| Veritabanı | |
| Azure Depolama | |
| WCF | |
| Web API | |
| IoT Alan Ağ Geçidi | |
| IoT Cloud Gateway |
Çözümünüzdeki hassas varlıkları tanımlama ve değişiklik denetimi uygulama
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Dynamics CRM |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yok |
| Adımlar | Çözümünüzde hassas veriler içeren varlıkları tanımlama ve bu varlıklar ve alanlar üzerinde değişiklik denetimi uygulama |
Uygulama üzerinde denetimin ve günlüğün zorunlu kılındığından emin olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Web Uygulaması |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yok |
| Adımlar | Tüm bileşenlerde denetimi ve günlüğe kaydetmeyi etkinleştirin. Denetim günlükleri kullanıcı bağlamı yakalamalıdır. Tüm önemli olayları tanımlama ve bu olayları günlüğe kaydetme. Merkezi günlüğe kaydetmeyi uygulama |
Günlük döndürme ve ayırmanın yerinde olduğundan emin olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Web Uygulaması |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yok |
| Adımlar | Günlük döndürme, tarihlenen günlük dosyalarının arşivlendiği sistem yönetiminde kullanılan otomatik bir işlemdir. Büyük uygulamalar çalıştıran sunucular genellikle her isteği günlüğe kaydeder: toplu günlükler karşısında günlük döndürme, günlüklerin toplam boyutunu sınırlamanın bir yoludur ve son olayların analizine izin verir. Günlük ayrımı temel olarak, hizmet reddi saldırısını veya uygulamanızın performansını düşürmek için günlük dosyalarınızı işletim sisteminizin/uygulamanızın çalıştığı farklı bir bölümde depolamanız gereken anlamına gelir |
Uygulamanın hassas kullanıcı verilerini günlüğe kaydetmediğinden emin olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Web Uygulaması |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yok |
| Adımlar | Bir kullanıcının sitenize gönderdiği hassas verileri günlüğe kaydetmediğinizden kontrol edin. Kasıtlı günlüğe kaydetmenin yanı sıra tasarım sorunlarının neden olduğu yan etkileri denetleyin. Hassas verilere örnek olarak şunlar verilebilir:
|
Denetim ve Günlük Dosyalarının Kısıtlı Erişime Sahip Olduğundan Emin Olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Web Uygulaması |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yok |
| Adımlar | Günlük dosyalarına erişim haklarının uygun şekilde ayarlandığından emin olun. Uygulama hesaplarının salt yazma erişimi olmalıdır ve operatörler ve destek personeli gerektiğinde salt okunur erişime sahip olmalıdır. Tam erişime sahip olması gereken tek hesap yöneticiler hesaplarıdır. Günlük dosyalarında Windows ACL'yi denetle ve bunların doğru şekilde kısıtlandığından emin olun:
|
Kullanıcı Yönetimi Olaylarının Günlüğe Kaydedildiğinden Emin Olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Web Uygulaması |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yok |
| Adımlar | Uygulamanın başarılı ve başarısız kullanıcı oturum açma işlemleri, parola sıfırlamaları, parola değişiklikleri, hesap kilitleme, kullanıcı kaydı gibi kullanıcı yönetimi olaylarını izlediğinden emin olun. Bunu yapmak, şüpheli olabilecek davranışları algılamaya ve bunlara tepki vermeye yardımcı olur. Ayrıca işlem verilerinin toplanmasına da olanak tanır; örneğin, uygulamaya kimlerin eriştiğini izlemek için |
Sistemin kötüye kullanımlara karşı yerleşik savunmalara sahip olduğundan emin olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Web Uygulaması |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yok |
| Adımlar | Uygulamanın kötüye kullanılması durumunda güvenlik özel durumu oluşturan denetimler yerinde olmalıdır. Örneğin, giriş doğrulaması varsa ve saldırgan regex ile eşleşmeyen kötü amaçlı kod eklemeye çalışırsa, sistemin kötüye kullanıldığını gösteren bir güvenlik özel durumu oluşturulabilir Örneğin, güvenlik özel durumlarının günlüğe kaydedilmesi ve aşağıdaki sorunlar için eylemlerin gerçekleştirilmiş olması önerilir:
|
Azure App Service'de web uygulamaları için tanılama günlüğünü etkinleştirme
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Web Uygulaması |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | EnvironmentType - Azure |
| Başvurular | Yok |
| Adımlar | Azure, bir App Service web uygulamasında hata ayıklamaya yardımcı olmak için yerleşik tanılama sağlar. Ayrıca API uygulamaları ve mobil uygulamalar için de geçerlidir. App Service web uygulamaları hem web sunucusundan hem de web uygulamasından bilgileri günlüğe kaydetmek için tanılama işlevi sağlar. Bunlar mantıksal olarak web sunucusu tanılamalarına ve uygulama tanılamalarına ayrılır |
SQL Server oturum açma denetiminin etkinleştirildiğinden emin olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Veritabanı |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Oturum Açma Denetimini Yapılandırma |
| Adımlar | Parola tahmin saldırılarını algılamak/onaylamak için Veritabanı Sunucusu oturum açma denetimi etkinleştirilmelidir. Başarısız oturum açma girişimlerini yakalamak önemlidir. Hem başarılı hem de başarısız oturum açma girişimlerini yakalamak, adli araştırmalar sırasında ek fayda sağlar |
Azure SQL tehdit algılamayı etkinleştirme
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Veritabanı |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | SQL Azure |
| Öznitelikler | SQL Sürümü - V12 |
| Başvurular | SQL Veritabanı Tehdit Algılama ile Çalışmaya Başlama |
| Adımlar | Tehdit Algılama, veritabanına yönelik olası güvenlik tehditlerini gösteren anormal veritabanı etkinliklerini algılar. Müşterilerin anormal etkinliklerle ilgili güvenlik uyarıları sağlayarak olası tehditleri algılayıp yanıt vermelerini sağlayan yeni bir güvenlik katmanı sağlar. Kullanıcılar Azure SQL Veritabanı Denetimi'ni kullanarak şüpheli olayları inceleyerek veritabanındaki verilere erişme, verileri ihlal etme veya bu verilerden yararlanma girişiminden kaynaklanır. Tehdit Algılama, güvenlik uzmanı olmanıza veya gelişmiş güvenlik izleme sistemlerini yönetmenize gerek kalmadan veritabanına yönelik olası tehditleri ele alma işlemini basitleştirir |
Azure Depolama erişimini denetlemek için Azure Depolama Analizi kullanma
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Azure Depolama |
| SDL Aşaması | Dağıtım |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yetkilendirme türünü izlemek için Depolama Analizi kullanma |
| Adımlar | Her depolama hesabı için azure Depolama Analizi günlük kaydı gerçekleştirmesini ve ölçüm verilerini depolamasını sağlayabilirsiniz. Depolama analizi günlükleri, birisi depolamaya eriştiğinde kullandığı kimlik doğrulama yöntemi gibi önemli bilgileri sağlar. Depolamaya erişimi sıkı bir şekilde koruyorsanız bu gerçekten yararlı olabilir. Örneğin, Blob Depolama'da tüm kapsayıcıları özel olarak ayarlayabilir ve tüm uygulamalarınızda SAS hizmeti kullanımını uygulayabilirsiniz. Ardından günlükleri düzenli olarak denetleyebilir ve bloblarınıza depolama hesabı anahtarları kullanılarak erişilip erişilmediğini görebilirsiniz. Bu durum güvenlik ihlaline işaret edebilir veya blobların genel olup olmadığını ancak erişilmemesi gerektiğini görebilirsiniz. |
Yeterli Günlük Kaydı Uygulama
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | WCF |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | .NET Framework |
| Öznitelikler | Yok |
| Başvurular | MSDN, Fortify Kingdom |
| Adımlar | Bir güvenlik olayından sonra düzgün bir denetim kaydının olmaması adli çalışmaları aksatır. Windows Communication Foundation (WCF), başarılı ve/veya başarısız kimlik doğrulama girişimlerini günlüğe kaydetme olanağı sunar. Başarısız kimlik doğrulama girişimlerinin günlüğe kaydedilmesi yöneticileri olası deneme yanılma saldırılarına karşı uyarabilir. Benzer şekilde, başarılı kimlik doğrulama olaylarının günlüğe kaydedilmesi, meşru bir hesabın güvenliği aşıldığında yararlı bir denetim izi sağlayabilir. WCF'nin hizmet güvenliği denetim özelliğini etkinleştirme |
Örnek
Aşağıda, denetimin etkinleştirildiği örnek bir yapılandırma verilmiştir
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior name=""NewBehavior"">
<serviceSecurityAudit auditLogLocation=""Default""
suppressAuditFailure=""false""
serviceAuthorizationAuditLevel=""SuccessAndFailure""
messageAuthenticationAuditLevel=""SuccessAndFailure"" />
...
</behavior>
</servicebehaviors>
</behaviors>
</system.serviceModel>
Yeterli Denetim Hatası İşlemeyi Uygulama
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | WCF |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | .NET Framework |
| Öznitelikler | Yok |
| Başvurular | MSDN, Fortify Kingdom |
| Adımlar | Geliştirilmiş çözüm, denetim günlüğüne yazamadığında özel durum oluşturmayacak şekilde yapılandırıldı. WCF, denetim günlüğüne yazamadığında özel durum oluşturmayacak şekilde yapılandırılırsa, hata hakkında programa bildirim yapılmaz ve kritik güvenlik olaylarının denetimi gerçekleşmeyebilir. |
Örnek
<behavior/> Aşağıdaki WCF yapılandırma dosyasının öğesi, WCF'nin bir denetim günlüğüne yazamadığında uygulamayı bilgilendirmemesi için WCF'ye talimat verir.
<behaviors>
<serviceBehaviors>
<behavior name="NewBehavior">
<serviceSecurityAudit auditLogLocation="Application"
suppressAuditFailure="true"
serviceAuthorizationAuditLevel="Success"
messageAuthenticationAuditLevel="Success" />
</behavior>
</serviceBehaviors>
</behaviors>
WCF'yi, denetim günlüğüne yazamadığı her durumda programı bilgilendirecek şekilde yapılandırın. Denetim kayıtlarının korunmadığı konusunda kuruluşu uyarmak için programın alternatif bir bildirim şeması olmalıdır.
Web API'sinde denetimin ve günlüğün zorunlu kılındığından emin olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | Web API |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yok |
| Adımlar | Web API'lerinde denetimi ve günlüğe kaydetmeyi etkinleştirin. Denetim günlükleri kullanıcı bağlamı yakalamalıdır. Tüm önemli olayları tanımlama ve bu olayları günlüğe kaydetme. Merkezi günlüğe kaydetmeyi uygulama |
Field Gateway'de uygun denetimin ve günlüğün zorunlu kılındığından emin olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | IoT Alan Ağ Geçidi |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | Yok |
| Adımlar | Bir Field Gateway'e birden çok cihaz bağlandığında, tek tek cihazlar için bağlantı girişimlerinin ve kimlik doğrulama durumunun (başarılı veya başarısız) Field Gateway'de günlüğe kaydedildiğinden ve korunduğundan emin olun. Ayrıca, Field Gateway'in tek tek cihazlar için IoT Hub kimlik bilgilerini koruduğu durumlarda, bu kimlik bilgileri alındığında denetimin gerçekleştirildiğinden emin olun. Uzun süreli saklama için günlükleri düzenli aralıklarla Azure IoT Hub/depolamaya yükleyecek bir işlem geliştirin. |
Cloud Gateway'de uygun denetimin ve günlüğün zorunlu kılındığından emin olun
| Başlık | Ayrıntılar |
|---|---|
| Bileşen | IoT Cloud Gateway |
| SDL Aşaması | Derleme |
| Uygulanabilir Teknolojiler | Genel |
| Öznitelikler | Yok |
| Başvurular | IoT Hub işlemleri izlemeye giriş |
| Adımlar | IoT Hub İşlem İzleme aracılığıyla toplanan denetim verilerini toplamak ve depolamak için tasarım. Aşağıdaki izleme kategorilerini etkinleştirin:
|