Microsoft Entra güvenlik işlemleri kılavuzu

Microsoft, kimliği denetim düzlemi olarak kullanan Derinlemesine Savunma ilkelerini kullanarak güvenliği Sıfır Güven için başarılı ve kanıtlanmış bir yaklaşıma sahiptir. Kuruluşlar ölçek, maliyet tasarrufu ve güvenlik için hibrit iş yükü dünyasını benimsemeye devam eder. Microsoft Entra Id, kimlik yönetimi stratejinizde önemli bir rol oynar. Son zamanlarda, kimliği ve güvenliği tehlikeye atmayı çevreleyen haberler, kurumsal BT'nin kimlik güvenliği duruşlarını savunma güvenliği başarısının ölçümü olarak değerlendirmesini giderek daha fazla istemektedir.

Kuruluşlar giderek daha fazla şirket içi ve bulut uygulamalarının bir karışımını benimsemelidir ve bu uygulamalar kullanıcıların hem şirket içi hem de yalnızca bulut hesaplarıyla erişmektedir. Hem şirket içinde hem de bulutta kullanıcıları, uygulamaları ve cihazları yönetmek zorlu senaryolar oluşturur.

Karma kimlik

Microsoft Entra Id, konumdan bağımsız olarak tüm kaynaklar için kimlik doğrulaması ve yetkilendirme için ortak bir kullanıcı kimliği oluşturur. Buna karma kimlik diyoruz.

Microsoft Entra Id ile karma kimlik elde etmek için senaryolarınıza bağlı olarak üç kimlik doğrulama yönteminden biri kullanılabilir. Üç yöntem şunlardır:

• Parola karması eşitleme (PHS)
• Doğrudan kimlik doğrulaması (PTA)
• Federasyon (AD FS)

Geçerli güvenlik işlemlerinizi denetlerken veya Azure ortamınız için güvenlik işlemleri oluştururken şunları yapmanızı öneririz:

• Bulut tabanlı veya hibrit Azure ortamınızın güvenliğini sağlama hakkında bir temel oluşturmak için Microsoft güvenlik kılavuzunun belirli bölümlerini okuyun.
• En yaygın saldırı vektörlerini caydırmaya yardımcı olmak için hesabınızı ve parola stratejinizi ve kimlik doğrulama yöntemlerinizi denetleyin.
• Sürekli izleme ve güvenlik tehdidi gösterebilecek etkinliklerle ilgili uyarılar için bir strateji oluşturun.

Hedef Kitle

Microsoft Entra SecOps Kılavuzu, daha iyi kimlik güvenliği yapılandırması ve izleme profilleri aracılığıyla tehditlere karşı koyması gereken kurumsal BT kimlik ve güvenlik operasyonları ekiplerine ve yönetilen hizmet sağlayıcılarına yöneliktir. Bu kılavuz özellikle Güvenlik operasyonları merkezi (SOC) savunma ve sızma testi ekiplerine kimlik güvenliği duruşlarını geliştirmelerini ve korumalarını tavsiye eden BT yöneticileri ve kimlik mimarları için geçerlidir.

Kapsam

Bu giriş, önerilen ön okuma ve parola denetimi ile strateji önerilerini sağlar. Bu makalede ayrıca hibrit Azure ortamları ve tam bulut tabanlı Azure ortamları için kullanılabilen araçlara genel bir bakış sağlanır. Son olarak, güvenlik bilgilerinizi ve olay yönetimi (SIEM) stratejinizi ve ortamınızı izlemek, uyarmak ve yapılandırmak için kullanabileceğiniz veri kaynaklarının listesini sunuyoruz. Kılavuzun geri kalanı aşağıdaki alanlarda izleme ve uyarı stratejileri sunar:

• Kullanıcı hesapları. Anormal hesap oluşturma, kullanım ve olağan dışı oturum açma işlemleri de dahil olmak üzere yönetici ayrıcalığı olmayan ayrıcalıklı olmayan kullanıcı hesaplarına özgü yönergeler.

• Ayrıcalıklı hesaplar. Yönetim görevlerini gerçekleştirmek için yükseltilmiş izinlere sahip ayrıcalıklı kullanıcı hesaplarına özgü yönergeler. Görevler Microsoft Entra rol atamalarını, Azure kaynak rolü atamalarını ve Azure kaynakları ve abonelikleri için erişim yönetimini içerir.

• Privileged Identity Management (PIM). Kaynaklara erişimi yönetmek, denetlemek ve izlemek için PIM kullanmaya özgü yönergeler.

• Uygulamalar... Uygulamalar için kimlik doğrulaması sağlamak için kullanılan hesaplara özgü yönergeler.

• Cihazlar'a gidin. İlkelerin dışında kayıtlı veya birleştirilmiş cihazlar için izleme ve uyarı alma, uyumlu olmayan kullanım, cihaz yönetimi rollerini yönetme ve sanal makinelerde oturum açma işlemlerine özgü yönergeler.

• Altyapı. Hibrit ve tamamen bulut tabanlı ortamlarınıza yönelik tehditleri izlemeye ve uyarmaya özgü yönergeler.

Önemli başvuru içeriği

Microsoft, BT ortamınızı gereksinimlerinize uyacak şekilde özelleştirmenizi sağlayan birçok ürün ve hizmet sunar. İşletim ortamınız için aşağıdaki yönergeleri gözden geçirmenizi öneririz:

• Windows işletim sistemleri

  • Windows 10 v1909 ve Windows Server v1909 için güvenlik temeli (FINAL)
  • Windows 11 için güvenlik temeli
  • Windows Server 2022 için güvenlik temeli

• Şirket içi ortamlar

  • Kimlik için Microsoft Defender mimarisi
  • Active Directory'ye Bağlan Kimlik için Microsoft Defender hızlı başlangıcı
  • Kimlik için Microsoft Defender için Azure güvenlik temeli
  • Risk İşaretleri için Active Directory'yi İzleme

• Bulut tabanlı Azure ortamları

  • Microsoft Entra oturum açma günlüğüyle oturum açma adımlarını izleme
  • Azure portalında etkinlik raporlarını denetleme
  • Microsoft Entra Kimlik Koruması ile riski araştırma
  • Verileri Microsoft Sentinel'e Bağlan Microsoft Entra Kimlik Koruması

• Active Directory Etki Alanı Hizmetleri (AD DS)

  • Denetim İlkesi Önerileri

• Active Directory Federasyon Hizmetleri (AD FS)

  • AD FS Sorunlarını Giderme - Olayları Denetleme ve Günlüğe Kaydetme

Veri kaynakları

Araştırma ve izleme için kullandığınız günlük dosyaları şunlardır:

• Microsoft Entra denetim günlükleri
• Oturum açma günlükleri
• Microsoft 365 Denetim günlükleri
• Azure Key Vault günlükleri

Azure portalından Microsoft Entra denetim günlüklerini görüntüleyebilirsiniz. Günlükleri virgülle ayrılmış değer (CSV) veya JavaScript Nesne Gösterimi (JSON) dosyaları olarak indirin. Azure portalında, microsoft Entra günlüklerini izleme ve uyarı otomasyonuna olanak sağlayan diğer araçlarla tümleştirmenin çeşitli yolları vardır:

• Microsoft Sentinel - Güvenlik bilgileri ve olay yönetimi (SIEM) özellikleri sağlayarak kurumsal düzeyde akıllı güvenlik analizini etkinleştirir.

• Sigma kuralları - Sigma, otomatik yönetim araçlarının günlük dosyalarını ayrıştırmak için kullanabileceği kurallar ve şablonlar yazmak için gelişen bir açık standarttır. Önerilen arama ölçütlerimiz için Sigma şablonlarının bulunduğu yerde, Sigma deposuna bir bağlantı ekledik. Sigma şablonları Microsoft tarafından yazılmaz, test edilmez ve yönetılmaz. Bunun yerine, depo ve şablonlar dünya çapında BT güvenlik topluluğu tarafından oluşturulur ve toplanır.

• Azure İzleyici - Çeşitli koşulların otomatik olarak izlenmesini ve uyarılmasını sağlar. Farklı kaynaklardan verileri birleştirmek için çalışma kitapları oluşturabilir veya kullanabilir.

• SIEM ile tümleştirilmiş Azure Event Hubs . Microsoft Entra günlükleri, Azure Event Hubs tümleştirmesi aracılığıyla Splunk, ArcSight, QRadar ve Sumo Logic gibi diğer SIEM'lerle tümleştirilebilir. Daha fazla bilgi için bkz . Microsoft Entra günlüklerini Azure olay hub'ına akışla aktarma.

• Bulut için Microsoft Defender Uygulamaları - Uygulamaları keşfetmenize ve yönetmenize, uygulamalar ve kaynaklar arasında idare sağlamanıza ve bulut uygulamalarınızın uyumluluğunu denetlemenize olanak tanır.

• Kimlik Koruması Önizlemesi ile iş yükü kimliklerinin güvenliğini sağlama - Oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimlikleri üzerindeki riski algılamak için kullanılır.

İzleyeceğin ve uyaracağın çoğu, Koşullu Erişim ilkelerinizin etkileridir. Bir veya daha fazla Koşullu Erişim ilkelerinin oturum açma işlemlerinizdeki etkilerini ve cihaz durumu da dahil olmak üzere ilkelerin sonuçlarını incelemek için Koşullu Erişim içgörüleri ve raporlama çalışma kitabını kullanabilirsiniz. Bu çalışma kitabı, etki özetini görüntülemenize ve belirli bir zaman aralığındaki etkiyi belirlemenize olanak tanır. Çalışma kitabını belirli bir kullanıcının oturum açma bilgilerini araştırmak için de kullanabilirsiniz. Daha fazla bilgi için bkz . Koşullu Erişim içgörüleri ve raporlaması.

Bu makalenin geri kalanında nelerin izleneceği ve nelerin uyarıldığı açıklanmaktadır. Önceden oluşturulmuş belirli çözümlerin bulunduğu yerlerde bunlara bağlanır veya tabloyu izleyen örnekler sağlarız. Aksi takdirde, önceki araçları kullanarak uyarılar oluşturabilirsiniz.

• Kimlik Koruması , araştırmanıza yardımcı olmak için kullanabileceğiniz üç önemli rapor oluşturur:

• Riskli kullanıcılar hangi kullanıcıların risk altında olduğu, algılamalar hakkındaki ayrıntılar, tüm riskli oturum açmaların geçmişi ve risk geçmişi hakkında bilgi içerir.

• Riskli oturum açma işlemleri , oturum açma koşullarını çevreleyen ve şüpheli durumları gösterebilecek bilgiler içerir. Bu rapordaki bilgileri araştırma hakkında daha fazla bilgi için bkz . Nasıl Yapılır: Riski araştırma.

• Risk algılamaları, Microsoft Entra Kimlik Koruması tarafından algılanan ve oturum açma ve kullanıcı riskini bilgilendiren risk sinyalleriyle ilgili bilgiler içerir. Daha fazla bilgi için kullanıcı hesapları için Microsoft Entra güvenlik işlemleri kılavuzuna bakın.

Daha fazla bilgi için bkz . Kimlik Koruması nedir?

Etki alanı denetleyicisi izleme için veri kaynakları

En iyi sonuçlar için etki alanı denetleyicilerinizi Kimlik için Microsoft Defender kullanarak izlemenizi öneririz. Bu yaklaşım en iyi algılama ve otomasyon özelliklerini etkinleştirir. Şu kaynaklardan gelen yönergeleri izleyin:

• Kimlik için Microsoft Defender mimarisi
• Active Directory'ye Bağlan Kimlik için Microsoft Defender hızlı başlangıcı

Kimlik için Microsoft Defender kullanmayı planlamıyorsanız, etki alanı denetleyicilerinizi şu yaklaşımlardan biriyle izleyin:

• Olay günlüğü iletileri. Bkz . Risk İşaretleri için Active Directory'yi İzleme.
• PowerShell cmdlet'leri. Bkz . Etki Alanı Denetleyicisi Dağıtımı sorunlarını giderme.

Karma kimlik doğrulamasının bileşenleri

Azure hibrit ortamının bir parçası olarak aşağıdaki öğelerin temeli oluşturulup izleme ve uyarı stratejinize dahil edilmelidir.

• PTA Aracısı - Doğrudan kimlik doğrulama aracısı, doğrudan kimlik doğrulamasını etkinleştirmek için kullanılır ve şirket içinde yüklenir. Aracınızın sürümünü doğrulama ve sonraki adımlar hakkında bilgi için bkz . Microsoft Entra doğrudan kimlik doğrulama aracısı: Sürüm sürüm geçmişi .

• AD FS/WAP - Active Directory Federasyon Hizmetleri (AD FS) (Azure AD FS) ve Web Uygulama Ara Sunucusu (WAP), güvenlik ve kurumsal sınırlarınızda dijital kimlik ve yetkilendirme haklarının güvenli paylaşımını sağlar. En iyi güvenlik uygulamaları hakkında bilgi için bkz. Active Directory Federasyon Hizmetleri (AD FS) güvenliğini sağlamaya yönelik en iyi yöntemler.

• Microsoft Entra Bağlan Health Aracısı - Microsoft Entra Bağlan Health için iletişim bağlantısı sağlamak için kullanılan aracı. Aracıyı yükleme hakkında bilgi için bkz. Microsoft Entra Bağlan Health aracısı yüklemesi.

• Microsoft Entra Bağlan Eşitleme Altyapısı - Eşitleme altyapısı olarak da adlandırılan şirket içi bileşen. Özellik hakkında bilgi için bkz. Microsoft Entra Bağlan Eşitleme hizmeti özellikleri.

• Parola Koruması DC aracısı - Azure parola koruması DC aracısı, olay günlüğü iletilerini izleme ve raporlama konusunda yardımcı olmak için kullanılır. Daha fazla bilgi için bkz. Active Directory Etki Alanı Hizmetleri için şirket içi Microsoft Entra Parola Korumasını zorunlu kılma.

• Parola Filtresi DLL'i - DC Aracısı'nın parola filtresi DLL'i, işletim sisteminden kullanıcı parola doğrulama istekleri alır. Filtre, bunları DC'de yerel olarak çalışan DC Aracısı hizmetine iletir. DLL'yi kullanma hakkında bilgi için bkz. Active Directory Etki Alanı Hizmetleri için şirket içi Microsoft Entra Parola Koruması'nı zorunlu kılma.

• Parola geri yazma Aracısı - Parola geri yazma, Microsoft Entra Bağlan ile etkinleştirilen ve buluttaki parola değişikliklerinin mevcut bir şirket içi dizine gerçek zamanlı olarak geri yazılmasını sağlayan bir özelliktir. Bu özellik hakkında daha fazla bilgi için bkz . Microsoft Entra ID'de self servis parola sıfırlama geri yazma nasıl çalışır?

• Microsoft Entra özel ağ bağlayıcısı - Şirket içinde bulunan ve Uygulama Ara Sunucusu hizmetine giden bağlantıyı kolaylaştıran basit aracılar. Daha fazla bilgi için bkz . Microsoft Entra özel ağ bağlayıcılarını anlama.

Bulut tabanlı kimlik doğrulamasının bileşenleri

Azure bulut tabanlı bir ortamın parçası olarak, aşağıdaki öğeler temel alınıp izleme ve uyarı stratejinize eklenmelidir.

• Microsoft Entra uygulama ara sunucusu - Bu bulut hizmeti, şirket içi web uygulamalarına güvenli uzaktan erişim sağlar. Daha fazla bilgi için bkz . Microsoft Entra uygulama ara sunucusu aracılığıyla şirket içi uygulamalara uzaktan erişim.

• Microsoft Entra Bağlan - Microsoft Entra Bağlan çözümü için kullanılan hizmetler. Daha fazla bilgi için bkz. Microsoft Entra Bağlan nedir?

• Microsoft Entra Bağlan Health - Hizmet Durumu, kullandığınız bölgelerdeki Azure hizmetlerinizin durumunu izleyen özelleştirilebilir bir pano sağlar. Daha fazla bilgi için bkz. Microsoft Entra Bağlan Health.

• Microsoft Entra çok faktörlü kimlik doğrulaması - çok faktörlü kimlik doğrulaması, kullanıcının kimlik doğrulaması için birden fazla kanıt biçimi sağlamasını gerektirir. Bu yaklaşım, ortamınızın güvenliğini sağlamak için proaktif bir ilk adım sağlayabilir. Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması.

• Dinamik gruplar - Microsoft Entra Yönetici istrators için güvenlik grubu üyeliğinin dinamik yapılandırması, kullanıcı özniteliklerine göre Microsoft Entra Id'de oluşturulan grupları doldurmak için kurallar ayarlayabilir. Daha fazla bilgi için bkz . Dinamik gruplar ve Microsoft Entra B2B işbirliği.

• Koşullu Erişim - Koşullu Erişim , Microsoft Entra ID tarafından sinyalleri bir araya getirmek, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için kullanılan araçtır. Koşullu Erişim, yeni kimlik temelli denetim düzleminin merkezinde yer alır. Daha fazla bilgi için bkz . Koşullu Erişim nedir?

• Kimlik Koruması - Kuruluşların kimlik tabanlı riskleri algılama ve düzeltmeyi otomatikleştirmesine, portaldaki verileri kullanarak riskleri araştırmasına ve risk algılama verilerini SIEM'inize dışarı aktarmasına olanak tanıyan bir araçtır. Daha fazla bilgi için bkz . Kimlik Koruması nedir?

• Grup tabanlı lisanslama - Lisanslar doğrudan kullanıcılara değil, gruplara atanabilir. Microsoft Entra Id, kullanıcılar için lisans atama durumları hakkındaki bilgileri depolar.

• Sağlama Hizmeti - Sağlama, kullanıcıların erişmesi gereken bulut uygulamalarında kullanıcı kimlikleri ve rolleri oluşturmayı ifade eder. Otomatik sağlama, kullanıcı kimlikleri oluşturmaya ek olarak, durum veya roller değiştikçe kullanıcı kimliklerinin bakımını ve kaldırılmasını da içerir. Daha fazla bilgi için bkz . Microsoft Entra Id'de Uygulama Sağlama nasıl çalışır?

• Graph API - Microsoft Graph API'si, Microsoft Bulut hizmeti kaynaklarına erişmenizi sağlayan bir RESTful web API'dir. Uygulamanızı kaydettikten ve bir kullanıcı veya hizmet için kimlik doğrulama belirteçleri aldıktan sonra Microsoft Graph API'sine istekte bulunabilirsiniz. Daha fazla bilgi için bkz . Microsoft Graph'a Genel Bakış.

• Etki Alanı Hizmeti - Microsoft Entra Domain Services (AD DS), etki alanına katılma, grup ilkesi gibi yönetilen etki alanı hizmetleri sağlar. Daha fazla bilgi için bkz . Microsoft Entra Domain Services nedir?

• Azure Resource Manager - Azure Resource Manager, Azure için dağıtım ve yönetim hizmetidir. Azure hesabınızda kaynak oluşturma, güncelleştirme ve silme işlemlerini gerçekleştirmenizi sağlayan bir yönetim katmanı sunar. Daha fazla bilgi için bkz . Azure Resource Manager nedir?

• Yönetilen kimlik - Yönetilen kimlikler, geliştiricilerin kimlik bilgilerini yönetme gereksinimini ortadan kaldırır. Yönetilen kimlikler, Microsoft Entra kimlik doğrulamasını destekleyen kaynaklara bağlanırken uygulamaların kullanması için bir kimlik sağlar. Daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler nelerdir?

• Privileged Identity Management - PIM, Microsoft Entra ID'de kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve izlemenize olanak tanıyan bir hizmettir. Daha fazla bilgi için bkz . Microsoft Entra Privileged Identity Management nedir?

• Erişim gözden geçirmeleri - Microsoft Entra erişim gözden geçirmeleri kuruluşların grup üyeliklerini, kurumsal uygulamalara erişimi ve rol atamalarını verimli bir şekilde yönetmesine olanak tanır. Yalnızca doğru kişilerin sürekli erişimi olduğundan emin olmak için kullanıcının erişimi düzenli olarak gözden geçirilebilir. Daha fazla bilgi için bkz . Microsoft Entra erişim gözden geçirmeleri nedir?

• Yetkilendirme yönetimi - Microsoft Entra yetkilendirme yönetimi bir kimlik idaresi özelliğidir. Kuruluşlar erişim isteği iş akışlarını, erişim atamalarını, gözden geçirmeleri ve süre sonunu otomatikleştirerek kimlik ve erişim yaşam döngüsünü uygun ölçekte yönetebilir. Daha fazla bilgi için bkz . Microsoft Entra yetkilendirme yönetimi nedir?

• Etkinlik günlükleri - Etkinlik günlüğü, abonelik düzeyi olaylar hakkında içgörü sağlayan bir Azure platform günlüğüdür . Bu günlük, bir kaynağın ne zaman değiştirildiği veya sanal makinenin ne zaman başlatılmış olduğu gibi bilgileri içerir. Daha fazla bilgi için bkz . Azure Etkinlik günlüğü.

• Self servis parola sıfırlama hizmeti - Microsoft Entra self servis parola sıfırlama (SSPR), kullanıcılara parolalarını değiştirme veya sıfırlama olanağı sağlar. Yönetici veya yardım masası gerekli değildir. Daha fazla bilgi için bkz . Nasıl çalışır: Microsoft Entra self servis parola sıfırlama.

• Cihaz hizmetleri - Cihaz kimlik yönetimi, cihaz tabanlı Koşullu Erişim'in temelini oluşturur. Cihaz tabanlı Koşullu Erişim ilkeleriyle ortamınızdaki kaynaklara erişimin yalnızca yönetilen cihazlarla mümkün olduğundan emin olabilirsiniz. Daha fazla bilgi için bkz . Cihaz kimliği nedir?

• Self servis grup yönetimi - Kullanıcıların Microsoft Entra Id'de kendi güvenlik gruplarını veya Microsoft 365 gruplarını oluşturmasını ve yönetmesini sağlayabilirsiniz. Grubun sahibi üyelik isteklerini onaylayabilir veya reddedebilir ve grup üyeliği denetimini devredebilir. Posta etkin güvenlik grupları veya dağıtım listeleri için self servis grup yönetimi özellikleri kullanılamaz. Daha fazla bilgi için bkz . Microsoft Entra Id'de self servis grup yönetimini ayarlama.

• Risk algılamaları - Bir risk algılandığında tetiklenen diğer risklerle ilgili bilgileri ve oturum açma konumu gibi diğer ilgili bilgileri ve Bulut için Microsoft Defender Uygulamalarından gelen tüm ayrıntıları içerir.

Sonraki adımlar

Şu güvenlik işlemleri kılavuzu makalelerine bakın:

Kullanıcı hesapları için güvenlik işlemleri

Tüketici hesapları için güvenlik işlemleri

Ayrıcalıklı hesaplar için güvenlik işlemleri

Privileged Identity Management için güvenlik işlemleri

Uygulamalar için güvenlik işlemleri

Cihazlar için güvenlik işlemleri

Altyapı için güvenlik işlemleri