İzleme ve tehdit algılama önerileri

  • Makale

Bu Azure Well-Architected Framework Güvenlik denetim listesi önerisi için geçerlidir:

SE:10 Platformla tümleştirilebilen modern tehdit algılama mekanizmalarına dayalı bütünsel bir izleme stratejisi uygulayın. Mekanizmaların önceliklendirme için güvenilir bir şekilde uyarı vermesi ve mevcut SecOps işlemlerine sinyal göndermesi gerekir.

Bu kılavuzda izleme ve tehdit algılama önerileri açıklanmaktadır. İzleme temel olarak önceden gerçekleşen olaylar hakkında bilgi alma işlemidir. Güvenlik izleme, şüpheli etkinlikler hakkında bilgi edinmek için iş yükünün farklı yüksekliklerinde (altyapı, uygulama, operasyonlar) bilgi yakalama uygulamasıdır. Amaç, olayları tahmin etmek ve geçmiş olaylardan ders almaktır. İzleme verileri, olay yanıtına ve adli araştırmalara yardımcı olmak için gerçekleşen olay sonrası analizinin temelini sağlar.

İzleme, tüm Well-Architected Framework sütunlarına uygulanan operasyonel mükemmellik yaklaşımıdır. Bu kılavuz yalnızca güvenlik açısından öneriler sağlar. Kod izleme, veri toplama ve analiz gibi genel izleme kavramları bu kılavuzun kapsamı dışındadır. Temel izleme kavramları hakkında bilgi için bkz. Gözlemlenebilirlik çerçevesi tasarlama ve oluşturma önerileri.

Tanımlar

Süre Tanım
Denetim günlükleri Sistemdeki etkinliklerin kaydı.
Güvenlik bilgileri ve olay yönetimi (SIEM) Birden çok kaynaktan toplanan verileri temel alan yerleşik tehdit algılama ve zeka özelliklerini kullanan bir yaklaşım.
Tehdit algılama Toplanan, analiz edilen ve bağıntılı verileri kullanarak beklenen eylemlerden sapmaları algılamaya yönelik bir strateji.
Tehdit bilgileri Desenleri inceleyerek şüpheli etkinlikleri veya tehditleri algılamak için tehdit algılama verilerini yorumlama stratejisi.
Tehdit önleme Varlıklarını korumak için çeşitli yüksekliklerde bir iş yüküne yerleştirilen güvenlik denetimleri.

Temel tasarım stratejileri

Güvenlik izlemenin temel amacı tehdit algılamadır. Birincil amaç, olası güvenlik ihlallerini önlemek ve güvenli bir ortam sağlamaktır. Ancak, tüm tehditlerin önceden engellenmediğinin anlaşılması da aynı derecede önemlidir. Bu gibi durumlarda izleme, önleme çabalarına rağmen meydana gelen bir güvenlik olayının nedenini belirlemeye yönelik bir mekanizma görevi de görür.

İzlemeye çeşitli açılardan yaklaşılabilir:

  • Çeşitli yüksekliklerde izleyin. Çeşitli yüksekliklerden gözlemleme, kullanıcı akışları, veri erişimi, kimlik, ağ ve hatta işletim sistemi hakkında bilgi alma işlemidir. Bu alanların her biri, güvenlik temeli üzerinde oluşturulan beklenen davranışlardan sapmaları belirlemenize yardımcı olabilecek benzersiz içgörüler sunar. Buna karşılık, bir sistemi ve uygulamaları zaman içinde sürekli izlemek , bu temel duruşu oluşturmaya yardımcı olabilir. Örneğin, kimlik sisteminizde saatte yaklaşık 1.000 oturum açma girişimi görebilirsiniz. İzlemeniz kısa bir süre içinde 50.000 oturum açma girişiminde ani bir artış algılarsa, bir saldırgan sisteminize erişmeye çalışıyor olabilir.

  • Çeşitli etki kapsamlarında izleyin. Uygulamayı ve platformu gözlemlemek çok önemlidir. Uygulama kullanıcılarının yanlışlıkla yükseltilmiş ayrıcalıklar aldığını veya bir güvenlik ihlali oluştuğu varsayılır. Kullanıcı belirlenen kapsamı dışında eylemler gerçekleştirirse, etki diğer kullanıcıların gerçekleştirebileceği eylemlerle sınırlı olabilir.

    Ancak, bir iç varlık veritabanını tehlikeye atsa, olası hasarın kapsamı belirsizdir.

    Azure kaynak tarafında bir risk oluşursa, etki genel olabilir ve kaynakla etkileşim kuran tüm varlıkları etkileyebilir.

    Patlama yarıçapı veya etki kapsamı, bu senaryolardan hangisinin gerçekleştiğine bağlı olarak önemli ölçüde farklı olabilir.

  • Özelleştirilmiş izleme araçlarını kullanın. Saldırıyı işaret edebilecek anormal davranışları sürekli tarayabilen özel araçlara yatırım yapmak kritik önem taşır. Bu araçların çoğu, büyük hacimli veriler ve bilinen tehditler temelinde tahmine dayalı analiz gerçekleştirebilen tehdit bilgileri özelliklerine sahiptir. Çoğu araç durum bilgisi yoktur ve güvenlik bağlamında telemetri hakkında ayrıntılı bilgi içerir.

    Platformdan derin sinyaller almak ve yüksek güvenilirlikle tahminler yapmak için araçların platformla tümleşik veya en azından platforma duyarlı olması gerekir. Doğru önceliklendirmeyi gerçekleştirmek için yeterli bilgiyle zamanında uyarılar oluşturabilmeleri gerekir. Çok fazla farklı araç kullanmak karmaşıklığa yol açabilir.

  • Olay yanıtı için izlemeyi kullanın. Eyleme dönüştürülebilir zekaya dönüştürülen toplanan veriler, olaylara hızlı ve etkili tepkiler sağlar . İzleme , olay sonrası etkinliklere yardımcı olur. Amaç, ne olduğunu analiz etmek ve anlamak için yeterli veri toplamaktır. İzleme işlemi, reaktif özellikleri geliştirmek ve gelecekteki olayları tahmin etmek için geçmiş olaylarla ilgili bilgileri yakalar.

Aşağıdaki bölümlerde, önceki izleme perspektiflerini içeren önerilen uygulamalar sağlanır.

Etkinliklerin izini tutmak için verileri yakalama

Amaç, güvenlik açısından önemli olan olayların kapsamlı bir denetim kaydını tutmaktır. Günlük, erişim desenlerini yakalamanın en yaygın yoludur. Uygulama ve platform için günlüğe kaydetme gerçekleştirilmelidir.

Denetim kaydı için , eylemlerle ilişkili ne, ne zaman ve kim olduğunu oluşturmanız gerekir. Eylemler gerçekleştirilirken belirli zaman çerçevelerini tanımlamanız gerekir. Tehdit modellemenizde bu değerlendirmeyi yapın. bir iptal tehdidini önlemek için, etkinliklerin ve işlemlerin kaydına neden olan güçlü günlüğe kaydetme ve denetim sistemleri oluşturmanız gerekir.

Aşağıdaki bölümlerde, bir iş yükünün bazı ortak rakımları için kullanım örnekleri açıklanmaktadır.

Uygulama kullanıcı akışları

Uygulamanız, olaylar oluştuğunda çalışma zamanı görünürlüğü sağlayacak şekilde tasarlanmalıdır. Uygulamanızdaki kritik noktaları belirleyin ve bu noktalar için günlüğe kaydetme oluşturun. Örneğin, bir kullanıcı uygulamada oturum açtığında kullanıcının kimliğini, kaynak konumunu ve diğer ilgili bilgileri yakalayın. Kullanıcı ayrıcalıklarındaki herhangi bir yükseltmeyi, kullanıcı tarafından gerçekleştirilen eylemleri ve kullanıcının güvenli bir veri deposundaki hassas bilgilere erişip erişmediğini kabul etmek önemlidir. Kullanıcı ve kullanıcı oturumu için etkinlikleri izleyin.

Bu izlemeyi kolaylaştırmak için kod yapılandırılmış günlüğe kaydetme yoluyla izlenmelidir. Bunu yapmak, günlüklerin kolay ve tekdüzen sorgulanması ve filtrelenmesine olanak tanır.

Önemli

Sisteminizin gizliliğini ve bütünlüğünü korumak için sorumlu günlüğü zorunlu tutmanız gerekir. Gizli diziler ve hassas veriler günlüklerde görüntülenmemelidir. Bu günlük verilerini yakaladığınızda kişisel verileri ve diğer uyumluluk gereksinimlerini sızdırdığınızdan haberdar olun.

Kimlik ve erişim izleme

Uygulama için erişim desenlerinin kapsamlı bir kaydını ve platform kaynaklarında yapılan değişiklikleri koruyun. Saldırganlar genellikle yetkisiz erişim elde etmek için kimlikleri işlemeye çalıştığından, özellikle kimlikle ilgili etkinlikler için güçlü etkinlik günlükleri ve tehdit algılama mekanizmalarına sahip olur.

Tüm kullanılabilir veri noktalarını kullanarak kapsamlı günlük kaydı uygulayın. Örneğin, normal kullanıcı etkinliğiyle beklenmeyen konumlardaki olası tehditleri ayırt etmek için istemci IP adresini ekleyin. Tüm günlük olayları sunucu tarafından zaman damgasına alınmalıdır.

Kimin ne yaptığını ve ne zaman yaptığını yakalayarak tüm kaynak erişim etkinliklerini kaydedin. Ayrıcalık yükseltme örnekleri, günlüğe kaydedilmesi gereken önemli bir veri noktasıdır. Uygulama tarafından hesap oluşturma veya silme ile ilgili eylemlerin de kaydedilmesi gerekir. Bu öneri uygulama gizli dizilerini genişletir. Gizli dizilere kimlerin eriştiği ve ne zaman döndürüldüğünü izleme.

Başarılı eylemleri günlüğe kaydetmek önemli olsa da, güvenlik açısından kayıt hataları gereklidir. Eylem deneyen ancak yetkilendirme hatasıyla karşılaşan bir kullanıcı, var olmayan kaynaklar için erişim girişimleri ve şüpheli görünen diğer eylemler gibi ihlalleri belgeleyin.

Ağ izleme

Ağ paketlerini ve bunların kaynaklarını, hedeflerini ve yapılarını izleyerek ağ düzeyinde erişim desenlerine görünürlük elde edebilirsiniz.

Segmentlere ayırma tasarımınız , sınırlarda bulunan gözlem noktalarının kesişen noktaları izlemesini ve bu verileri günlüğe kaydetmesini sağlamalıdır. Örneğin, akış günlükleri oluşturan ağ güvenlik gruplarına sahip alt ağları izleyin. Ayrıca izin verilen veya reddedilen akışları gösteren güvenlik duvarı günlüklerini de izleyin.

Gelen bağlantı istekleri için erişim günlükleri vardır. Bu günlükler istekleri başlatan kaynak IP adreslerini, istek türünü (GET, POST) ve isteklerin parçası olan diğer tüm bilgileri kaydeder.

DNS akışlarını yakalamak, birçok kuruluş için önemli bir gereksinimdir. Örneğin, DNS günlükleri belirli bir DNS sorgusunu hangi kullanıcının veya cihazın başlattığını belirlemeye yardımcı olabilir. DNS etkinliğini kullanıcı/cihaz kimlik doğrulama günlükleriyle ilişkilendirerek, tek tek istemcilerle etkinlikleri izleyebilirsiniz. Bu sorumluluk genellikle iş yükü ekibine, özellikle de DNS isteklerini işlemlerinin bir parçası haline getiren bir şey dağıtıyorsa genişletir. DNS trafik analizi, platform güvenliği gözlemlenebilirliğinin önemli bir yönüdür.

Bilinen komut ve denetim uç noktalarına yönelik beklenmeyen DNS isteklerini veya DNS isteklerini izlemek önemlidir.

Denge: Tüm ağ etkinliklerinin günlüğe kaydedilmesi büyük miktarda veriye neden olabilir. Katman 3'ten gelen her istek, bir alt ağ sınırını geçen her işlem dahil olmak üzere bir akış günlüğüne kaydedilebilir. Ne yazık ki, yalnızca olumsuz olayları yakalamak mümkün değildir çünkü bunlar yalnızca oluştuktan sonra tanımlanabilir. Yakalanacak olayların türü ve bunların ne kadar süreyle saklanacakları hakkında stratejik kararlar alın. Dikkatli değilseniz, verileri yönetmek zor olabilir. Ayrıca bu verileri depolama maliyetinde de bir denge vardır.

Dezavantajlar nedeniyle, iş yükünüzün ağ izleme avantajının maliyetleri gerekçelendirmek için yeterli olup olmadığını göz önünde bulundurmanız gerekir. Yüksek istek hacmine sahip bir web uygulaması çözümünüz varsa ve sisteminiz yönetilen Azure kaynaklarını yoğun bir şekilde kullanıyorsa, maliyet avantajlardan daha ağır basabilir. Öte yandan, sanal makineleri çeşitli bağlantı noktaları ve uygulamalarla kullanmak üzere tasarlanmış bir çözümünüz varsa, ağ günlüklerini yakalamak ve analiz etmek önemli olabilir.

Sistem değişikliklerini yakalama

Sisteminizin bütünlüğünü korumak için sistem durumunun doğru ve güncel bir kaydına sahip olmanız gerekir. Değişiklikler varsa, ortaya çıkan sorunları hemen gidermek için bu kaydı kullanabilirsiniz.

Derleme işlemleri de telemetri yaymalıdır. Olayların güvenlik bağlamını anlamak çok önemlidir. Derleme işlemini neyin tetiklediğinden, kimin tetiklediğinden ve ne zaman tetiklendiğinden haberdar olduğunuzda değerli içgörüler elde edebilirsiniz.

Kaynakların ne zaman oluşturulduğunu ve ne zaman kullanımdan kaldırıldıklarını izleyin. Bu bilgiler platformdan ayıklanmalıdır. Bu bilgiler, kaynak yönetimi ve sorumluluk için değerli içgörüler sağlar.

Kaynak yapılandırmasındaki kaymayı izleyin. Var olan bir kaynakta yapılan değişiklikleri belgele. Ayrıca, bir kaynak filosunun dağıtımının parçası olarak tamamlayabilen değişiklikleri izleyin. Günlükler, değişikliğin ayrıntılarını ve tam olarak ne zaman gerçekleştiğini yakalamalıdır.

Düzeltme eki uygulama perspektifinden sistemin güncel ve güvenli olup olmadığına ilişkin kapsamlı bir görünüme sahip olun. Rutin güncelleştirme işlemlerini izleyerek bunların planlandığı gibi tamamlandığını doğrulayın. Tamamlanmayan bir güvenlik düzeltme eki uygulama işlemi güvenlik açığı olarak kabul edilmelidir. Düzeltme eki düzeylerini ve diğer gerekli ayrıntıları kaydeden bir envanter de bulundurmanız gerekir.

Değişiklik algılama, işletim sistemi için de geçerlidir. Bu, hizmetlerin eklenip eklenmediğini veya kapatılıp kapatılmadığını izlemeyi içerir. Ayrıca sisteme yeni kullanıcıların eklenmesini izlemeyi de içerir. bir işletim sistemini hedeflemek için tasarlanmış araçlar vardır. İş yükünün işlevselliğini hedeflememeleri açısından bağlamdan bağımsız izleme konusunda yardımcı olur. Örneğin, dosya bütünlüğünü izleme, sistem dosyalarındaki değişiklikleri izlemenizi sağlayan kritik bir araçtır.

Özellikle de bunların sık gerçekleşmesini beklemiyorsanız, bu değişiklikler için uyarılar ayarlamanız gerekir.

Önemli

Üretime dağıttığınızda, uyarıların uygulama kaynaklarında ve derleme işleminde algılanan anormal etkinlikleri yakalayacak şekilde yapılandırıldığından emin olun.

Test planlarınıza günlüğe kaydetme ve uyarı doğrulamayı öncelikli test çalışmaları olarak ekleyin.

Verileri depolama, toplama ve analiz etme

Bu izleme etkinliklerinden toplanan veriler ayrıntılı bir şekilde incelenebilen, normalleştirilebilen ve bağıntılı hale getirilebilen veri havuzlarında depolanmalıdır. Güvenlik verileri, sistemin kendi veri depoları dışında kalıcı olmalıdır. İster yerelleştirilmiş ister merkezi olsun izleme havuzları veri kaynaklarından daha uzun yaşamalıdır. İzinsiz giriş algılama sistemlerinin kaynağı havuzlar olduğundan havuzlar kısa ömürlü olamaz .

Ağ günlükleri ayrıntılı olabilir ve depolamayı kaplayabilir. Depolama sistemlerindeki farklı katmanları keşfedin. Günlükler doğal olarak zaman içinde daha soğuk depolamaya geçiş yapabilir. Eski akış günlükleri genellikle etkin olarak kullanılmadığından ve yalnızca isteğe bağlı olarak gerektiğinden bu yaklaşım faydalıdır. Bu yöntem, verimli depolama yönetimi sağlarken gerektiğinde geçmiş verilere de erişebilmenizi sağlar.

İş yükünüzün akışları genellikle birden çok günlük kaynağının bileşimidir. İzleme verilerinin tüm bu kaynaklar arasında akıllı bir şekilde analiz edilmesi gerekir. Örneğin, güvenlik duvarınız yalnızca ona ulaşan trafiği engeller. Belirli trafiği zaten engellemiş bir ağ güvenlik grubunuz varsa, bu trafik güvenlik duvarında görünmez. Olay dizisini yeniden yapılandırmak için, akıştaki tüm bileşenlerden verileri toplamanız ve ardından tüm akışlardan verileri toplamanız gerekir. Bu veriler özellikle olay sonrası yanıt senaryosunda ne olduğunu anlamaya çalışırken yararlıdır. Doğru zaman tutma esastır. Güvenlik amacıyla, tüm sistemlerin her zaman eşitlenmiş olmaları için bir ağ zaman kaynağı kullanması gerekir.

Bağıntılı günlüklerle merkezi tehdit algılama

Güvenlik verilerini çeşitli hizmetler arasında ilişkilendirilebileceği merkezi bir konumda birleştirmek için güvenlik bilgileri ve olay yönetimi (SIEM) gibi bir sistem kullanabilirsiniz. Bu sistemlerin yerleşik tehdit algılama mekanizmaları vardır. Tehdit bilgileri verilerini almak için dış akışlara bağlanabilirler . Örneğin Microsoft, kullanabileceğiniz tehdit bilgileri verilerini yayımlar. Anomali ve FireEye gibi diğer sağlayıcılardan da tehdit bilgileri akışları satın alabilirsiniz. Bu akışlar değerli içgörüler sağlayabilir ve güvenlik duruşunuzu geliştirebilir. Microsoft'tan gelen tehdit içgörüleri için bkz . Security Insider.

SIEM sistemi, bağıntılı ve normalleştirilmiş verileri temel alan uyarılar oluşturabilir . Bu uyarılar, bir olay yanıtı işlemi sırasında önemli bir kaynaktır.

Denge: SIEM sistemleri pahalı, karmaşık olabilir ve özel beceriler gerektirebilir. Ancak, yoksa verileri kendi başınıza ilişkilendirmeniz gerekebilir. Bu, zaman alan ve karmaşık bir işlem olabilir.

SIEM sistemleri genellikle kuruluşun merkezi ekipleri tarafından yönetilir. Kuruluşunuzda yoksa, bunu kabul etmeyi göz önünde bulundurun. Daha verimli ve etkili bir güvenlik yönetimi sağlamak için el ile günlük analizi ve bağıntı yükünü hafifletebilir.

Bazı uygun maliyetli seçenekler Microsoft tarafından sağlanır. Birçok Microsoft Defender ürünü, veri toplama özelliği olmadan bir SIEM sisteminin uyarı işlevselliğini sağlar.

Birkaç küçük aracı birleştirerek, bir SIEM sisteminin bazı işlevlerini öykünebilirsiniz. Ancak, bu eski çözümlerin bağıntı analizini gerçekleştiremediğini bilmeniz gerekir. Bu alternatifler yararlı olabilir, ancak ayrılmış bir SIEM sisteminin işlevselliğinin yerini tam olarak almayabilir.

Kötüye kullanımı algılama

Tehdit algılama konusunda proaktif olun ve SSH bileşenine veya RDP uç noktasına yönelik kimlik deneme yanılma saldırıları gibi kötüye kullanım işaretlerine karşı dikkatli olun. Dış tehditler çok fazla gürültüye neden olabilse de, özellikle uygulama İnternet'e açıksa iç tehditler genellikle daha büyük bir endişe kaynağıdır. Örneğin, güvenilir bir ağ kaynağından beklenmeyen bir deneme yanılma saldırısı veya yanlışlıkla yapılan bir yanlış yapılandırma hemen araştırılmalıdır.

Sağlamlaştırma uygulamalarınızı takip edin. İzleme, ortamınızı proaktif olarak sağlamlaştırmanın yerini tutmaz. Daha büyük bir yüzey alanı daha fazla saldırıya eğilimli. Denetimleri olduğu kadar sıkın. Kullanılmayan hesapları algılayıp devre dışı bırakın, kullanılmayan bağlantı noktalarını kaldırın ve örneğin bir web uygulaması güvenlik duvarı kullanın. Sağlamlaştırma teknikleri hakkında daha fazla bilgi için bkz. Güvenlik sağlamlaştırma önerileri.

İmza tabanlı algılama , bir sistemi ayrıntılı olarak inceleyebilir. Olası bir saldırıyı gösterebilecek etkinlikler arasındaki işaretleri veya bağıntıları aramayı içerir. Algılama mekanizması, belirli bir saldırı türünü gösteren belirli özellikleri tanımlayabilir. Bir saldırının komut ve denetim mekanizmasını doğrudan algılamak her zaman mümkün olmayabilir. Ancak, genellikle belirli bir komut ve denetim işlemiyle ilişkili ipuçları veya desenler vardır. Örneğin, bir saldırı istek açısından belirli bir akış hızıyla gösterilebilir veya belirli sonları olan etki alanlarına sık sık erişebilir.

Beklenen desenlerden sapmaları belirleyip araştırabilmeniz için anormal kullanıcı erişim desenlerini algılayın. Bu, anomalileri saptamak için geçerli kullanıcı davranışını geçmiş davranışla karşılaştırmayı içerir. Bu görevi el ile gerçekleştirmek uygun olmasa da, bunu yapmak için tehdit bilgileri araçlarını kullanabilirsiniz. İzleme verilerinden kullanıcı davranışı toplayan ve bunları analiz eden Kullanıcı ve Varlık Davranışı Analizi (UEBA) araçlarına yatırım yapın. Bu araçlar genellikle şüpheli davranışları olası saldırı türleriyle eşleyen tahmine dayalı analizler gerçekleştirebilir.

Dağıtım öncesi ve dağıtım sonrası aşamaları sırasındaki tehditleri algılama. Dağıtım öncesi aşamasında, güvenlik açığı taramasını işlem hatlarına dahil edin ve sonuçlara göre gerekli eylemleri gerçekleştirin. Dağıtım sonrası, güvenlik açığı taraması yapmaya devam edin. Kapsayıcılar için Microsoft Defender gibi kapsayıcı görüntülerini tarayan araçları kullanabilirsiniz. Toplanan verilere sonuçları ekleyin. Güvenli geliştirme uygulamaları hakkında bilgi için bkz. Güvenli dağıtım uygulamalarını kullanma önerileri.

Platform tarafından sağlanan algılama mekanizmalarından ve ölçülerinden yararlanın. Örneğin, Azure Güvenlik Duvarı trafiği analiz edebilir ve güvenilmeyen hedeflere yönelik bağlantıları engelleyebilir. Azure ayrıca dağıtılmış hizmet reddi (DDoS) saldırılarını algılamak ve bunlara karşı koruma sağlamak için de yollar sağlar.

Azure kolaylaştırma

Azure İzleyici , ortamınızın tamamında gözlemlenebilirlik sağlar. Yapılandırma olmadan, Azure kaynaklarınızın çoğundan platform ölçümlerini, etkinlik günlüklerini ve tanılama günlüklerini otomatik olarak alırsınız. Etkinlik günlükleri ayrıntılı tanılama ve denetim bilgileri sağlar.

Not

Platform günlükleri süresiz olarak kullanılamaz. Bunları daha sonra denetim amacıyla veya çevrimdışı analiz amacıyla gözden geçirebilmek için saklamanız gerekir. Uzun vadeli/arşiv depolama için Azure depolama hesaplarını kullanın. Azure İzleyici'de, kaynaklarınız için tanılama ayarlarını etkinleştirdiğinizde bir bekletme süresi belirtin.

Güvenlikle ilgili belirli olaylar veya anomaliler algılandığında bildirim almak için önceden tanımlanmış veya özel ölçümlere ve günlüklere göre uyarılar ayarlayın.

Daha fazla bilgi için bkz. Azure İzleyici belgeleri.

Bulut için Microsoft Defender, tehdit algılama için yerleşik özellikler sağlar. Toplanan veriler üzerinde çalışır ve günlükleri analiz eder. Oluşturulan günlük türlerini bildiği için, bilinçli kararlar almak için yerleşik kuralları kullanabilir. Örneğin, güvenliği aşılmış olabilecek IP adreslerinin listelerini denetler ve uyarılar oluşturur.

Azure kaynakları için yerleşik tehdit koruma hizmetlerini etkinleştirin. Örneğin, sanal makineler, veritabanları ve kapsayıcılar gibi Azure kaynakları için bilinen tehditleri algılamak ve bu tehditlere karşı koruma sağlamak için Microsoft Defender etkinleştirin.

Bulut için Defender, tüm iş yükü kaynaklarının tehdit algılaması için bulut iş yükü koruma platformu (CWPP) özellikleri sağlar.

Daha fazla bilgi için bkz. Bulut için Microsoft Defender nedir?.

Defender tarafından oluşturulan uyarılar SIEM sistemlerine de aktarılabilir. Microsoft Sentinel , yerel tekliftir. Güvenlik tehditlerini gerçek zamanlı olarak algılamak ve yanıtlamak için yapay zekayı ve makine öğrenmesini kullanır. Güvenlik verilerinin merkezi bir görünümünü sağlar ve proaktif tehdit avcılığı ve araştırmayı kolaylaştırır.

Daha fazla bilgi için bkz. Microsoft Sentinel nedir?.

Microsoft Sentinel, çeşitli kaynaklardan gelen tehdit bilgileri akışlarını da kullanabilir. Daha fazla bilgi için bkz. Microsoft Sentinel'de tehdit bilgileri tümleştirmesi.

Microsoft Sentinel, izleme verilerinin kullanıcı davranışını analiz edebilir. Daha fazla bilgi için bkz. Microsoft Sentinel'de Kullanıcı ve Varlık Davranışı Analizi (UEBA) ile gelişmiş tehditleri belirleme.

Defender ve Microsoft Sentinel, işlevlerde bazı çakışmalara rağmen birlikte çalışır. Bu işbirliği, kapsamlı tehdit algılama ve yanıt sağlamaya yardımcı olarak genel güvenlik duruşunuzu geliştirir.

İş sürekliliği varlığınızdaki boşlukları belirlemek ve fidye yazılımı saldırıları, kötü amaçlı etkinlikler ve dolandırıcı yönetici olayları gibi tehditlere karşı savunmak için Azure İş Sürekliliği Merkezi'nin avantajlarından yararlanın. Daha fazla bilgi için bkz. Azure İş Sürekliliği Merkezi nedir?.

Ağ cihazlarınızdan ham trafik de dahil olmak üzere tüm günlükleri gözden geçirin.

Kimlik

Risk altında olabilecek kimliklerle ilgili risk olaylarını izleyin ve bu riskleri düzeltin. Bildirilen risk olaylarını şu yollarla gözden geçirin:

  • Microsoft Entra ID raporlamayı kullanın. Daha fazla bilgi için bkz. Kimlik Koruması nedir? ve Kimlik Koruması.

  • Microsoft Graph aracılığıyla güvenlik algılamalarına programlı erişim elde etmek için Kimlik Koruması risk algılama API üyelerini kullanın. Daha fazla bilgi için bkz. riskDetection ve riskyUser.

Microsoft Entra ID, kullanıcı hesaplarınızla ilgili şüpheli eylemleri algılamak için uyarlamalı makine öğrenmesi algoritmaları, buluşsal yöntemler ve bilinen güvenliği aşılmış kimlik bilgilerini (kullanıcı adı ve parola çiftleri) kullanır. Bu kullanıcı adı ve parola çiftleri, genel ve koyu web izlenerek ve güvenlik araştırmacıları, kolluk güçleri, Microsoft'taki güvenlik ekipleri ve diğer kişilerle birlikte çalışarak ortaya çıkıyor.

Azure Pipelines

DevOps, iş yüklerinin sürekli tümleştirme ve sürekli teslim (CI/CD) aracılığıyla yönetilmesini destekler. İşlem hatlarına güvenlik doğrulaması eklediğinizden emin olun. Azure Pipelines'ın Güvenliğini Sağlama başlığında açıklanan yönergeleri izleyin.

Güvenlik denetim listesi

Önerilerin tamamına bakın.

Güvenlik denetim listesi