Güvenlik olayı yanıtı için öneriler
Azure Well-Architected Framework Güvenlik denetim listesi önerisi için geçerlidir:
| SE:12 | Yerelleştirilmiş sorunlardan olağanüstü durum kurtarmaya kadar birçok olayı kapsayan etkili olay yanıtı yordamlarını tanımlayın ve test edin. Bir yordamı hangi ekibin veya kişinin çalıştırılacağını net bir şekilde tanımlayın. |
|---|
Bu kılavuzda, bir iş yükü için güvenlik olayı yanıtı uygulama önerileri açıklanmaktadır. Bir sistemde güvenlik ihlali söz konusuysa, sistematik olay yanıtı yaklaşımı güvenlik olaylarını tanımlamak, yönetmek ve azaltmak için gereken süreyi azaltmaya yardımcı olur. Bu olaylar yazılım sistemlerinin ve verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehdit edebilir.
Çoğu kuruluş bir merkezi güvenlik operasyon ekibine (Güvenlik İşlemleri Merkezi (SOC) veya SecOps olarak da bilinir) sahiptir. Güvenlik operasyonu ekibinin sorumluluğu, olası saldırıları hızla algılamak, önceliklendirmek ve önceliklendirmektir. Ekip ayrıca güvenlikle ilgili telemetri verilerini izler ve güvenlik ihlallerini araştırır.
Ancak, iş yükünüzü koruma sorumluluğunuz da vardır. İletişim, araştırma ve tehdit avcılığı etkinliklerinin iş yükü ekibiyle SecOps ekibi arasında işbirliğine dayalı bir çalışma olması önemlidir.
Bu kılavuz size ve iş yükü ekibinize saldırıları hızla algılamanıza, önceliklendirmenize ve araştırmanıza yardımcı olacak öneriler sağlar.
Tanımlar
| Süre | Tanım |
|---|---|
| Uyarı | Bir olay hakkında bilgi içeren bir bildirim. |
| Uyarı uygunluğu | Uyarıyı belirleyen verilerin doğruluğu. Yüksek güvenilirlikli uyarılar, anında işlem yapmak için gereken güvenlik bağlamını içerir. Düşük uygunluk uyarıları bilgi içermez veya kirlilik içerir. |
| Hatalı pozitif | Gerçekleşmemiş bir olayı gösteren uyarı. |
| Olay | Sisteme yetkisiz erişimi gösteren bir olay. |
| Olay yanıtı | Bir olayla ilişkili riskleri algılayan, yanıt veren ve azaltan bir işlem. |
| Önceliklendirme | Güvenlik sorunlarını analiz eden ve bunların risk azaltmasına öncelik veren bir olay yanıtı işlemi. |
Temel tasarım stratejileri
Olası bir risk olasılığına yönelik bir sinyal veya uyarı olduğunda, siz ve ekibiniz olay yanıtı işlemleri gerçekleştirirsiniz. Yüksek güvenilirlikli uyarılar, analistlerin karar vermelerini kolaylaştıran geniş bir güvenlik bağlamı içerir. Yüksek uygunluk uyarıları, hatalı pozitif sayısının düşük olmasına neden olarak sonuçlanır. Bu kılavuzda, bir uyarı sisteminin düşük kaliteli sinyalleri filtrelediğini ve gerçek bir olayı gösterebilecek yüksek kalitede uyarılara odaklandığını varsayar.
Olay bildirimi atama
Güvenlik uyarılarının ekibinizde ve kuruluşunuzda uygun kişilere ulaşması gerekir. Olay bildirimlerini almak için iş yükü ekibinizde belirlenmiş bir iletişim noktası oluşturun. Bu bildirimler, güvenliği tehlikeye atılan kaynak ve sistem hakkında mümkün olduğunca fazla bilgi içermelidir. Ekibinizin eylemleri hızlandırabilmesi için uyarının sonraki adımları içermesi gerekir.
Denetim kaydını tutan özelleştirilmiş araçları kullanarak olay bildirimlerini ve eylemlerini günlüğe kaydetmenizi ve yönetmenizi öneririz. Standart araçları kullanarak, olası yasal soruşturmalar için gerekli olabilecek kanıtları koruyabilirsiniz. Sorumlu tarafların sorumluluklarına göre bildirim gönderebilen otomasyon uygulama fırsatlarını arayın. Bir olay sırasında net bir iletişim ve raporlama zincirini koruyun.
Kuruluşunuzun sağladığı güvenlik bilgileri olay yönetimi (SIEM) çözümlerinden ve güvenlik düzenleme otomatik yanıt (SOAR) çözümlerinden yararlanın. Alternatif olarak, olay yönetimi araçları temin edebilir ve kuruluşunuzu bunları tüm iş yükü ekipleri için standartlaştırmaya teşvik edebilirsiniz.
Önceliklendirme ekibiyle araştırma
Olay bildirimi alan ekip üyesi, kullanılabilir verilere göre uygun kişileri içeren bir önceliklendirme işlemi ayarlamakla sorumludur. Genellikle köprü ekibi olarak adlandırılan önceliklendirme takımının iletişim modu ve süreci üzerinde anlaşmaya varması gerekir. Bu olay zaman uyumsuz tartışmalar veya köprü çağrıları gerektiriyor mu? Ekip araştırmaların ilerleme durumunu nasıl izlemeli ve iletmelidir? Ekip olay varlıklarına nereden erişebilir?
Olay yanıtı, sistemin mimari düzeni, bileşen düzeyindeki bilgiler, gizlilik veya güvenlik sınıflandırması, sahipler ve önemli iletişim noktaları gibi belgeleri güncel tutmanın önemli bir nedenidir. Bilgiler yanlışsa veya güncel değilse, köprü ekibi sistemin nasıl çalıştığını, her alandan kimin sorumlu olduğunu ve olayın etkisini anlamak için değerli zaman harcar.
Daha fazla araştırma için uygun kişileri dahil edin. Olay yöneticisi, güvenlik görevlisi veya iş yükü odaklı müşteri adayları ekleyebilirsiniz. Önceliklendirmeyi odaklı tutmak için, sorunun kapsamı dışında olan kişileri hariç tutun. Bazen ayrı ekipler olayı araştırır. Başlangıçta sorunu araştıran ve olayı azaltmaya çalışan bir ekip ve geniş kapsamlı sorunları belirlemek için derin bir araştırma için adli inceleme gerçekleştirebilecek başka bir uzman ekip olabilir. Adli tıp ekibinin araştırmalarını yapmasını sağlamak için iş yükü ortamını karantinaya alabilirsiniz. Bazı durumlarda, tüm araştırmayı aynı ekip yürütebilir.
İlk aşamada önceliklendirme ekibi, olası vektör ve sistemin gizliliği, bütünlüğü ve kullanılabilirliği ( CIA olarak da adlandırılır) üzerindeki etkisini belirlemekten sorumludur.
CIA kategorilerinde, hasarın derinliğini ve düzeltmenin aciliyetini gösteren ilk önem derecesini atayın. Önceliklendirme düzeylerinde daha fazla bilgi bulunduğundan bu düzeyin zaman içinde değişmesi beklenir.
Bulma aşamasında, eylem ve iletişim planlarının hemen bir seyrini belirlemek önemlidir. Sistemin çalışma durumunda herhangi bir değişiklik var mı? Daha fazla sömürüyü durdurmak için saldırı nasıl kontrol altına alınabiliyor? Ekibin, sorumlu bir açıklama gibi iç veya dış iletişim göndermesi gerekiyor mu? Algılama ve yanıt süresini göz önünde bulundurun. Yasal olarak bazı ihlal türlerini belirli bir zaman dilimi içinde (genellikle saat veya gün) bir düzenleyici makama bildirmeniz zorunlu olabilir.
Sistemi kapatmaya karar verirseniz, sonraki adımlar iş yükünün olağanüstü durum kurtarma (DR) işlemine yol açar.
Sistemi kapatmıyorsanız, sistemin işlevselliğini etkilemeden olayın nasıl düzeltileceğini belirleyin.
Olaydan kurtarma
Bir güvenlik olayını olağanüstü durum olarak değerlendirin. Düzeltme tam kurtarma gerektiriyorsa, güvenlik açısından uygun DR mekanizmalarını kullanın. Kurtarma işlemi yinelenme olasılığını önlemelidir. Aksi takdirde, bozuk bir yedeklemeden kurtarma işlemi sorunu yeniden oluşturur. Aynı güvenlik açığına sahip bir sistemin yeniden dağıtılması aynı olaya yol açar. Yük devretme ve yeniden çalışma adımlarını ve işlemlerini doğrulayın.
Sistem çalışmaya devam ederse, sistemin çalışan parçaları üzerindeki etkisini değerlendirin. Düzgün performans düşüşü süreçleri uygulayarak diğer güvenilirlik ve performans hedeflerinin karşılandığından veya yeniden ayarlandığından emin olmak için sistemi izlemeye devam edin. Risk azaltma nedeniyle gizliliği tehlikeye atmayın.
Tanılama, vektör ve olası bir düzeltme ve geri dönüş tanımlanana kadar etkileşimli bir işlemdir. Tanılamadan sonra, takım düzeltme üzerinde çalışır ve bu düzeltme kabul edilebilir bir süre içinde gerekli düzeltmeyi tanımlar ve uygular.
Kurtarma ölçümleri, bir sorunu düzeltmenin ne kadar sürdüğünü ölçer. Kapatma durumunda, düzeltme sürelerine ilişkin bir aciliyet söz konusu olabilir. Sistemi kararlı hale getirmek için düzeltmelerin, düzeltme eklerinin ve testlerin uygulanması ve güncelleştirmelerin dağıtılması zaman alır. Daha fazla hasar oluşmasını ve olayın yayılmasını önlemek için kapsama stratejilerini belirleyin. Tehdidi ortamdan tamamen kaldırmak için silme yordamları geliştirin.
Denge: Güvenilirlik hedefleri ile düzeltme süreleri arasında bir denge vardır. Bir olay sırasında, büyük olasılıkla diğer işlevsiz veya işlevsel gereksinimleri karşılamıyorsunuz. Örneğin, olayı araştırırken sisteminizin bölümlerini devre dışı bırakmanız veya olayın kapsamını belirleyene kadar sistemin tamamını çevrimdışına almanız gerekebilir. İş karar alıcılarının olay sırasında kabul edilebilir hedeflerin ne olduğunu açıkça belirlemesi gerekir. Bu karardan sorumlu olan kişiyi açıkça belirtin.
Bir olaydan öğrenme
Bir olay, tasarım veya uygulamadaki boşlukları veya savunmasız noktaları ortaya çıkarır. Teknik tasarım yönleri, otomasyon, test içeren ürün geliştirme süreçleri ve olay yanıtı sürecinin etkinliği gibi derslerden kaynaklanan bir geliştirme fırsatıdır. Edilen eylemler, zaman çizelgeleri ve bulgular da dahil olmak üzere ayrıntılı olay kayıtlarını koruyun.
Kök neden analizi ve geçmişe dönük değerlendirmeler gibi yapılandırılmış olay sonrası incelemeler yapmanızı kesinlikle öneririz. Bu incelemelerin sonucunu izleyin ve önceliklerini belirleyin ve gelecekteki iş yükü tasarımlarında öğrendiklerinizi kullanmayı göz önünde bulundurun.
geliştirme planları, iş sürekliliği ve olağanüstü durum kurtarma (BCDR) tatbikatları gibi güvenlik tatbikatları ve test güncelleştirmelerini içermelidir. BCDR tatbikatı gerçekleştirmek için senaryo olarak güvenlik güvenliğini tehlikeye atabilirsiniz. Detaylandırmalar, belgelenen işlemlerin nasıl çalıştığını doğrulayabilir. Birden çok olay yanıtı playbook'u olmamalıdır. Olayın boyutuna ve etkinin ne kadar yaygın veya yerelleştirildiğine göre ayarlayabileceğiniz tek bir kaynak kullanın. Tatbikatlar varsayımsal durumlara dayanır. Düşük riskli bir ortamda tatbikatlar gerçekleştirin ve tatbikatlara öğrenme aşamasını dahil edin.
Yanıt sürecindeki zayıflıkları ve geliştirme alanlarını belirlemek için olay sonrası gözden geçirmeler veya otopsiler gerçekleştirin. Olaydan öğrendiğiniz derslere bağlı olarak, olay yanıt planını (IRP) ve güvenlik denetimlerini güncelleştirin.
Gerekli iletişimi gönderme
Kullanıcılara bir kesinti olduğunu bildirmek ve iç paydaşları düzeltme ve iyileştirmeler hakkında bilgilendirmek için bir iletişim planı uygulayın. Kuruluşunuzdaki diğer kişilere, gelecekteki olayları önlemek için iş yükünün güvenlik temelinde yapılan değişiklikler bildirilmelidir.
Dahili kullanım için ve gerekirse mevzuat uyumluluğu veya yasal amaçlar için olay raporları oluşturun. Ayrıca, SOC ekibinin tüm olaylar için kullandığı standart biçimli bir raporu (tanımlı bölümleri olan bir belge şablonu) benimseyin. Araştırmayı kapatmadan önce her olayın kendisiyle ilişkilendirilmiş bir raporu olduğundan emin olun.
Azure kolaylaştırma
Microsoft Sentinel bir SIEM ve SOAR çözümüdür. Uyarı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm. Daha fazla bilgi için bkz. Microsoft Sentinel nedir?
Güvenlik işlemlerinin bir iç işlem aracılığıyla doğrudan bildirilmesi için Azure kayıt portalında yönetici iletişim bilgilerinin bulunduğundan emin olun. Daha fazla bilgi için bkz . Bildirim ayarlarını güncelleştirme.
Bulut için Microsoft Defender Azure olay bildirimlerini alan belirlenmiş bir iletişim noktası oluşturma hakkında daha fazla bilgi edinmek için bkz. Güvenlik uyarıları için e-posta bildirimlerini yapılandırma.
Kurumsal uyumluluk
Azure için Bulut Benimseme Çerçevesi, olay yanıtı planlaması ve güvenlik işlemleri hakkında rehberlik sağlar. Daha fazla bilgi için bkz . Güvenlik işlemleri.
İlgili bağlantılar
- Microsoft güvenlik uyarılarından olayları otomatik olarak oluşturma
- Avlanma özelliğini kullanarak uçtan uca tehdit avcılığı gerçekleştirme
- Güvenlik uyarıları için e-posta bildirimlerini yapılandırma
- Olay yanıtına genel bakış
- Microsoft Azure olay hazırlığı
- Microsoft Sentinel'de olaylara gitme ve olayları araştırma
- Güvenlik denetimi: Olay yanıtı
- Microsoft Sentinel'de SOAR çözümleri
- Eğitim: Azure olay hazırlığı'na giriş
- Azure portal bildirim ayarlarını güncelleştirme
- SOC nedir?
- Microsoft Sentinel nedir?
Güvenlik denetim listesi
Önerilerin tamamına bakın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin