Not 22-09'da ele alınan Diğer Sıfır Güven alanları
Makale
Bu kılavuzdaki diğer makaleler, ABD Yönetim ve Bütçe Ofisi (OMB) Memo 22-09, İcra Daireleri ve Ajansları için Memorandum'de açıklandığı gibi Sıfır Güven ilkelerinin kimlik sütununu ele alır. Bu makalede, kimlik sütununun ötesindeki Sıfır Güven olgunluk modeli alanları ele alınır ve aşağıdaki temalar ele alınır:
Görünürlük
Analiz
Otomasyon ve düzenleme
İdare
Görünürlük
Microsoft Entra kiracınızı izlemek önemlidir. 22-09 ve 21-31 numaralı muhtıralardaki uyumluluk standartlarını karşılamaya yönelik bir ihlal olasılığını hesaba katın ve Federal Hükümetlerin Siber Güvenlik Olaylarıyla İlgili Araştırma ve Düzeltme Yetkinliklerini İyileştirin. Güvenlik analizi ve alımı için üç birincil günlük türü kullanılır:
Kullanıcılar veya gruplar gibi nesneleri oluşturma, silme, güncelleştirme gibi dizinin operasyonel etkinliklerini izlemek için Azure denetim günlükleri
Koşullu Erişim ilkesinde yapılan değişiklikler gibi Microsoft Entra yapılandırmalarında değişiklik yapmak için de kullanın
Kullanıcılar, uygulamalar ve hizmet sorumlularıyla ilişkili oturum açma etkinliklerini izlemek için Microsoft Entra oturum açma günlükleri .
Oturum açma günlüklerinde farklılaşma kategorileri vardır
Etkileşimli oturum açma işlemleri başarılı ve başarısız oturum açma işlemleri, uygulanan ilkeler ve diğer meta verileri gösterir
Etkileşimli olmayan kullanıcı oturum açma işlemleri, oturum açma sırasında etkileşim göstermez: mobil uygulamalar veya e-posta istemcileri gibi kullanıcı adına oturum açma istemcileri
Hizmet sorumlusu oturum açma işlemleri hizmet sorumlusunu veya uygulama oturum açma bilgilerini gösterir: REST API aracılığıyla hizmetlere, uygulamalara veya Microsoft Entra dizinine erişen hizmetler veya uygulamalar
Azure kaynağı oturum açma için yönetilen kimlikler: Azure kaynakları veya Azure kaynaklarına erişen uygulamalar( örneğin, bir Azure SQL arka ucunda kimlik doğrulaması sağlayan bir web uygulaması hizmeti).
Microsoft Entra ID Ücretsiz kiracılarında günlük girdileri yedi gün boyunca depolanır. Microsoft Entra Id P1 veya P2 lisansına sahip kiracılar günlük girdilerini 30 gün boyunca korur.
Güvenlik bilgileri ve olay yönetimi (SIEM) aracının günlükleri aldığından emin olun. Uygulama, altyapı, veri, cihaz ve ağ günlükleriyle ilişkilendirmek için oturum açma ve denetim olaylarını kullanın.
Microsoft Entra günlüklerini Microsoft Sentinel ile tümleştirmenizi öneririz. Microsoft Entra kiracı günlüklerini almak için bir bağlayıcı yapılandırın.
Microsoft Entra kiracısı için tanılama ayarlarını yapılandırarak verileri bir Azure Depolama hesabına, Azure Event Hubs'a veya Log Analytics çalışma alanına gönderebilirsiniz. Veri toplamak için diğer SIEM araçlarını tümleştirmek için bu depolama seçeneklerini kullanın.
Microsoft Entra Id'den bilgileri toplamak ve temelinize göre güvenlik duruşu eğilimlerini göstermek için aşağıdaki araçlarda analiz kullanabilirsiniz. Microsoft Entra Id'de desenleri veya tehditleri değerlendirmek ve aramak için analiz özelliğini de kullanabilirsiniz.
Microsoft Entra Kimlik Koruması riskli davranış için oturum açma bilgilerini ve diğer telemetri kaynaklarını analiz eder
Kimlik Koruması, oturum açma olaylarına bir risk puanı atar
Risk puanına göre bir kaynağa veya uygulamaya erişmek için oturum açmaları engelleme veya adım adım kimlik doğrulamasını zorlama
Microsoft Entra kullanım ve içgörü raporları , en yüksek kullanım veya oturum açma eğilimlerine sahip uygulamalar da dahil olmak üzere Azure Sentinel çalışma kitaplarına benzer bilgiler içerir.
Bir saldırıyı veya diğer olayları gösterebilecek toplu eğilimleri anlamak için raporları kullanma
Microsoft Sentinel , Microsoft Entra Id'den bilgileri analiz edin:
Microsoft Sentinel Kullanıcı ve Varlık Davranış Analizi (UEBA), kullanıcı, konak, IP adresi ve uygulama varlıklarından gelen olası tehditler hakkında bilgi sağlar.
Microsoft Entra günlüklerinizde tehditleri ve uyarıları aramak için analiz kuralı şablonlarını kullanın. Güvenlik veya operasyon analistiniz tehditleri önceliklendirebilir ve düzeltebilir.
Microsoft Sentinel çalışma kitapları, Microsoft Entra veri kaynaklarını görselleştirmeye yardımcı olur. Bkz. Ülkeye/bölgeye veya uygulamalara göre oturum açma işlemleri.
Sıfır Güven'de otomasyon, tehditler veya güvenlik değişiklikleri nedeniyle uyarıları düzeltmeye yardımcı olur. Microsoft Entra ID'de otomasyon tümleştirmeleri, güvenlik duruşunuzu geliştirmeye yönelik eylemlerin netleştirilmesine yardımcı olur. Otomasyon, izleme ve analizden alınan bilgilere dayanır.
Microsoft Entra ID'ye program aracılığıyla erişmek için Microsoft Graph API REST çağrılarını kullanın. Bu erişim için yetkilendirmelere ve kapsama sahip bir Microsoft Entra kimliği gerekir. Graph API'siyle diğer araçları tümleştirin.
Sistem tarafından atanan yönetilen kimliği kullanmak için bir Azure işlevi veya Azure mantıksal uygulaması ayarlamanızı öneririz. Mantıksal uygulamanın veya işlevin eylemleri otomatikleştirmeye yönelik adımları veya kodu vardır. Hizmet sorumlusu dizine eylem gerçekleştirme izinleri vermek için yönetilen kimliğe izinler atayın. Yönetilen kimliklere en düşük hakları verin.
Diğer bir otomasyon tümleştirme noktası da Microsoft Graph PowerShell modülleridir. Microsoft Entra Id'de ortak görevleri veya yapılandırmaları gerçekleştirmek ya da Azure işlevlerine veya runbook'ları Azure Otomasyonu eklemek için Microsoft Graph PowerShell'i kullanın.
İdare
Microsoft Entra ortamını çalıştırmaya yönelik işlemlerinizi belgeleyin. Microsoft Entra Kimliği'ndeki kapsamlara uygulanan idare işlevselliği için Microsoft Entra özelliklerini kullanın.
Microsoft Entra ID içindeki denetim ve tanılama günlükleri, kullanıcıların Azure çözümünüzle nasıl eriştiğine yönelik zengin bir görünüm sağlar. Oturum açma verilerini izlemeyi, sorun gidermeyi ve çözümlemeyi öğrenin.