İngilizce dilinde oku

Aracılığıyla paylaş


Not 22-09'da ele alınan Diğer Sıfır Güven alanları

Bu kılavuzdaki diğer makaleler, ABD Yönetim ve Bütçe Ofisi (OMB) Memo 22-09, İcra Daireleri ve Ajansları için Memorandum'de açıklandığı gibi Sıfır Güven ilkelerinin kimlik sütununu ele alır. Bu makalede, kimlik sütununun ötesindeki Sıfır Güven olgunluk modeli alanları ele alınır ve aşağıdaki temalar ele alınır:

  • Görünürlük
  • Analiz
  • Otomasyon ve düzenleme
  • İdare

Görünürlük

Microsoft Entra kiracınızı izlemek önemlidir. 22-09 ve 21-31 numaralı muhtıralardaki uyumluluk standartlarını karşılamaya yönelik bir ihlal olasılığını hesaba katın ve Federal Hükümetlerin Siber Güvenlik Olaylarıyla İlgili Araştırma ve Düzeltme Yetkinliklerini İyileştirin. Güvenlik analizi ve alımı için üç birincil günlük türü kullanılır:

  • Kullanıcılar veya gruplar gibi nesneleri oluşturma, silme, güncelleştirme gibi dizinin operasyonel etkinliklerini izlemek için Azure denetim günlükleri
  • Sağlama günlükleri , Microsoft Entra ID'den Microsoft Identity Manager ile Service Now gibi uygulamalara eşitlenen nesneler hakkında bilgi içerir
  • Kullanıcılar, uygulamalar ve hizmet sorumlularıyla ilişkili oturum açma etkinliklerini izlemek için Microsoft Entra oturum açma günlükleri .
    • Oturum açma günlüklerinde farklılaşma kategorileri vardır
    • Etkileşimli oturum açma işlemleri başarılı ve başarısız oturum açma işlemleri, uygulanan ilkeler ve diğer meta verileri gösterir
    • Etkileşimli olmayan kullanıcı oturum açma işlemleri, oturum açma sırasında etkileşim göstermez: mobil uygulamalar veya e-posta istemcileri gibi kullanıcı adına oturum açma istemcileri
    • Hizmet sorumlusu oturum açma işlemleri hizmet sorumlusunu veya uygulama oturum açma bilgilerini gösterir: REST API aracılığıyla hizmetlere, uygulamalara veya Microsoft Entra dizinine erişen hizmetler veya uygulamalar
    • Azure kaynağı oturum açma için yönetilen kimlikler: Azure kaynakları veya Azure kaynaklarına erişen uygulamalar( örneğin, bir Azure SQL arka ucunda kimlik doğrulaması sağlayan bir web uygulaması hizmeti).
    • Bkz. Microsoft Entra Id'de oturum açma günlükleri (önizleme)

Microsoft Entra ID Ücretsiz kiracılarında günlük girdileri yedi gün boyunca depolanır. Microsoft Entra Id P1 veya P2 lisansına sahip kiracılar günlük girdilerini 30 gün boyunca korur.

Güvenlik bilgileri ve olay yönetimi (SIEM) aracının günlükleri aldığından emin olun. Uygulama, altyapı, veri, cihaz ve ağ günlükleriyle ilişkilendirmek için oturum açma ve denetim olaylarını kullanın.

Microsoft Entra günlüklerini Microsoft Sentinel ile tümleştirmenizi öneririz. Microsoft Entra kiracı günlüklerini almak için bir bağlayıcı yapılandırın.

Daha fazla bilgi edinin:

Microsoft Entra kiracısı için tanılama ayarlarını yapılandırarak verileri bir Azure Depolama hesabına, Azure Event Hubs'a veya Log Analytics çalışma alanına gönderebilirsiniz. Veri toplamak için diğer SIEM araçlarını tümleştirmek için bu depolama seçeneklerini kullanın.

Daha fazla bilgi edinin:

Analiz

Microsoft Entra Id'den bilgileri toplamak ve temelinize göre güvenlik duruşu eğilimlerini göstermek için aşağıdaki araçlarda analiz kullanabilirsiniz. Microsoft Entra Id'de desenleri veya tehditleri değerlendirmek ve aramak için analiz özelliğini de kullanabilirsiniz.

  • Microsoft Entra Kimlik Koruması riskli davranış için oturum açma bilgilerini ve diğer telemetri kaynaklarını analiz eder
    • Kimlik Koruması, oturum açma olaylarına bir risk puanı atar
    • Risk puanına göre bir kaynağa veya uygulamaya erişmek için oturum açmaları engelleme veya adım adım kimlik doğrulamasını zorlama
    • Bkz. Kimlik Koruması nedir?
  • Microsoft Entra kullanım ve içgörü raporları , en yüksek kullanım veya oturum açma eğilimlerine sahip uygulamalar da dahil olmak üzere Azure Sentinel çalışma kitaplarına benzer bilgiler içerir.
  • Microsoft Sentinel , Microsoft Entra Id'den bilgileri analiz edin:

Otomasyon ve düzenleme

Sıfır Güven'de otomasyon, tehditler veya güvenlik değişiklikleri nedeniyle uyarıları düzeltmeye yardımcı olur. Microsoft Entra ID'de otomasyon tümleştirmeleri, güvenlik duruşunuzu geliştirmeye yönelik eylemlerin netleştirilmesine yardımcı olur. Otomasyon, izleme ve analizden alınan bilgilere dayanır.

Microsoft Entra ID'ye program aracılığıyla erişmek için Microsoft Graph API REST çağrılarını kullanın. Bu erişim için yetkilendirmelere ve kapsama sahip bir Microsoft Entra kimliği gerekir. Graph API'siyle diğer araçları tümleştirin.

Sistem tarafından atanan yönetilen kimliği kullanmak için bir Azure işlevi veya Azure mantıksal uygulaması ayarlamanızı öneririz. Mantıksal uygulamanın veya işlevin eylemleri otomatikleştirmeye yönelik adımları veya kodu vardır. Hizmet sorumlusu dizine eylem gerçekleştirme izinleri vermek için yönetilen kimliğe izinler atayın. Yönetilen kimliklere en düşük hakları verin.

Daha fazla bilgi edinin: Azure kaynakları için yönetilen kimlikler nelerdir?

Diğer bir otomasyon tümleştirme noktası da Microsoft Graph PowerShell modülleridir. Microsoft Entra Id'de ortak görevleri veya yapılandırmaları gerçekleştirmek ya da Azure işlevlerine veya runbook'ları Azure Otomasyonu eklemek için Microsoft Graph PowerShell'i kullanın.

İdare

Microsoft Entra ortamını çalıştırmaya yönelik işlemlerinizi belgeleyin. Microsoft Entra Kimliği'ndeki kapsamlara uygulanan idare işlevselliği için Microsoft Entra özelliklerini kullanın.

Daha fazla bilgi edinin:

Sonraki adımlar