Müşteri güvenliği için en iyi yöntemler

  • Makale

Uygun roller: Genel Yönetici | Yönetici Aracısı | Yardım Masası Aracısı

Bulut Çözümü Sağlayıcısı (CSP) iş ortaklarının tüm müşterileri bu makaledeki güvenlik yönergelerini izlemelidir.

CSP'ler için en iyi güvenlik uygulamaları için bkz . CSP güvenlik en iyi yöntemleri.

  • Her hesapta çok faktörlü kimlik doğrulamasının (MFA) etkinleştirildiğinden ve kaydedildiğinden emin olun. MFA'yı zorunlu kılmak için Microsoft Entra ID güvenlik varsayılanlarını veya Koşullu Erişim'i kullanın. MFA, tehditlere karşı koruma sağlamak için en iyi temel güvenlik hijyeni yöntemidir.

    • Microsoft Authenticator uygulamasıyla parolasız oturum açmayı kullanmayı göz önünde bulundurun.

  • Abonelikleri ve kaynakları veya beklenmedik şekilde sağlanmış olabilecek hizmetleri sık sık gözden geçirin.

  • Azure aboneliğinizde beklenmeyen yüksek tüketimi algılamak için maliyet anomalisi uyarılarından yararlanın.

  • Genel Yönetici istrator veya Güvenlik Yönetici istrator gibi Microsoft Entra yönetim rollerine sahip kullanıcılar e-posta ve işbirliği için düzenli olarak kullanılmamalıdır. İşbirliği görevleri için Microsoft Entra yönetim rolleri olmadan ayrı bir kullanıcı hesabı oluşturun.

  • Genel Yönetici rollerine sahip tüm kullanıcılar için Microsoft Entra Id içindeki parola kurtarma e-posta adreslerini ve telefon numaralarını düzenli olarak gözden geçirin ve doğrulayın ve gerekirse güncelleştirin.

  • Erişim ayrıcalıklarını ve temsilci izinlerini gözden geçirin, denetleyin ve en aza indirin. En az ayrıcalıklı bir yaklaşımı göz önünde bulundurmak ve uygulamak önemlidir. Microsoft, kuruluşunuzla yukarı akış sağlayıcıları arasındaki gereksiz izinleri en aza indirmek için iş ortağı ilişkilerinin kapsamlı bir gözden geçirilmesine ve denetlenmeye öncelik vermenizi önerir. Microsoft, tanıdık görünmeyen veya henüz denetlenmemiş iş ortağı ilişkilerine erişimin hemen kaldırılmasını önerir.

  • Tüm kiracı yöneticisi hesaplarını gözden geçirme, sağlamlaştırma ve izleme: Tüm kuruluşlar, Azure aboneliklerinde Yönetici Ister (AOBO) ile ilişkili kullanıcılar da dahil olmak üzere tüm kiracı yöneticisi kullanıcılarını ayrıntılı bir şekilde gözden geçirmeli ve kullanıcıların ve etkinliğin orijinalliğini doğrulamalıdır. Tüm kiracı yöneticileri için kimlik avına dayanıklı MFA kullanılmasını, MFA ile kullanılmak üzere kayıtlı cihazların gözden geçirilmesini ve yüksek ayrıcalıklı erişimin kullanımını en aza indirmeyi kesinlikle öneririz. Tüm etkin kiracı yönetici kullanıcı hesaplarını yeniden değerlendirin ve yüksek ayrıcalıklı kullanıcı erişiminin verilmediğini veya işlerini yapmak için bu ayrıcalıklara ihtiyaç duymayan yönetici kullanıcılara temsilci atanmadığını doğrulamak için denetim günlüklerini düzenli olarak denetleyin.

  • B2B ve yerel hesaplardan hizmet sağlayıcısı izinleri erişimini gözden geçirin: Bazı bulut hizmeti sağlayıcıları, temsilci yönetim ayrıcalığı özelliklerini kullanmanın yanı sıra müşteri kiracılarında işletmeler arası (B2B) hesapları veya yerel yönetici hesaplarını kullanır. Bulut hizmeti sağlayıcılarınızın bu hesapları kullanıp kullanmadığını belirlemenizi ve kullanıyorsa bu hesapların iyi yönetildiğinden ve kiracınızda en az ayrıcalıklı erişime sahip olduğundan emin olmanız önerilir. Microsoft, "paylaşılan" yönetici hesaplarının kullanılmasını önerir. B2B hesaplarının izinlerini gözden geçirme hakkında ayrıntılı kılavuzu gözden geçirin.

  • Microsoft Entra oturum açma ve yapılandırma değişikliklerini gözden geçirin ve denetleyin: Bu tür kimlik doğrulamaları Microsoft Entra oturum açma günlükleri, Microsoft Entra denetim günlükleri ve Microsoft Purview uyumluluk portalı (eski adıyla Exchange Yönetici Center) aracılığıyla denetlenip müşterilerin kullanımına sunulur. Yakın zamanda yönetici izinlerine sahip iş ortaklarının oturum açmalarını görme özelliğini ekledik. Microsoft Entra yönetim merkezindeki oturum açma günlüklerine gidip Kullanıcı oturum açma işlemleri (etkileşimli olmayan) sekmesinde Kiracılar arası erişim türü: Hizmet sağlayıcısı filtresini ekleyerek bu oturum açma işlemlerine ilişkin filtrelenmiş bir görünüm görebilirsiniz.

    Screenshot of Microsoft Entra admin center, adding a filter Cross-tenant access type:Service provider on the User-sign ins.

  • Mevcut günlük kullanılabilirliği ve saklama stratejilerini gözden geçirin: Kötü amaçlı aktörler tarafından yürütülen etkinlikleri araştırmak, Microsoft 365 dahil olmak üzere bulut tabanlı kaynaklar için yeterli günlük saklama yordamlarına sahip olmayı vurgular. Çeşitli abonelik düzeyleri, olay yanıtı yordamı oluşturmadan önce anlaşılması gereken bireyselleştirilmiş günlük kullanılabilirliği ve bekletme ilkelerine sahiptir.

Tüm kuruluşların aboneliğinizde kullanıma sunulan günlükleri tanımalarını ve bunları düzenli olarak yeterlilik ve anomaliler açısından değerlendirmelerini öneririz. Üçüncü taraf bir kuruluşa güvenen kuruluşlar için, tüm yönetim eylemleri için günlüğe kaydetme stratejilerini anlamak için onlarla birlikte çalışın ve bir olay sırasında günlüklerin kullanılabilir hale getirilmesi gerektiğinde bir işlem oluşturun.

Ayrıca bkz.