Aracılığıyla paylaş

Kritik varlıkları gözden geçirme ve sınıflandırma

Microsoft Güvenlik Korunma Düzeyi Yönetimi, iş açısından kritik varlıklarınızı güvenli ve kullanılabilir durumda tutar. Kritik varlıklar, SOC ekibinin kuruluşun güvenlik duruşunu iyileştirme çabalarını önceliklendirmesine yardımcı olur. Kritik varlıklara odaklanmak, en önemli varlıkların veri ihlali ve operasyonel kesinti riskine karşı korunmasını sağlar. Bu makalede kritik varlıklarla nasıl çalışıldığı açıklanır.

Varlık kritikliği

Varlık kritikliği, bir varlığın kuruluşunuzun operasyonları ve güvenlik duruşu açısından öneminin bir ölçüsüdür. Siber rolünün, üretim bağlamının ve sistemin veya alt sistemin bir bileşimini yansıtır.

Varlık kritikliğini gösteren akış çizelgesinin ekran görüntüsü.

Varlıklar dört kritik düzeye ayrılır:

  • Çok Yüksek - Çok yüksek kritik varlıklar, işinizin devamı ve sürekliliği için gereklidir. Uzlaşmaları felaket sonuçlara yol açabilir.
  • Yüksek - Yüksek kritik varlıklar kuruluşunuzun temel operasyonları için çok önemlidir. Uzlaşmaları önemli kesintilere yol açabilir.
  • Orta - Orta öneme sahip varlıkların orta düzeyde etkisi vardır ve belirli işlevleri veya işlemleri etkileyebilir.
  • Düşük - Düşük kritik varlıklar, tehlikeye atılırsa iş operasyonlarınızı ve güvenliğinizi minimum düzeyde etkiler.

Kritiklik düzeyleri diyagramının ekran görüntüsü.

Varlıkların kritiklik düzeyine göre anlaşılması ve kategorilere ayrılması, güvenlik çalışmalarının önceliğini belirlemeye yardımcı olur ve en önemli varlıkların en yüksek koruma düzeyini almasını sağlar.

Etki analizi ve taç mücevher analizi, kritik varlıkları tanımlamaya ve önceliklendirmeye yönelik temel yöntemlerdir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), NIST IR 8179'da bulunabilen kritiklik analizi için yönergeler sağlar.

NIST Siber Güvenlik Çerçevesi (CSF) 800-53, ID.-05'te açıklandığı gibi varlık yönetimi ve kritiklik analizine yönelik yönergeleri de vurgular: https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/.

Not

Bir varlığa birden çok sınıflandırma kuralı uygulandığında, en yüksek kritiklik düzeyine sahip kural önceliklidir. Varlık artık bu kuralın ölçütlerini karşılamayana kadar bu sınıflandırma geçerliliğini korur ve bu noktada otomatik olarak bir sonraki geçerli sınıflandırma düzeyine geri döner.

Önkoşullar

Başlamadan önce, Microsoft Güvenlik Korunma Düzeyi Yönetimi'da kritik varlıklarla çalışmak için aşağıdaki gereksinimleri karşıladığınızdan emin olun.

  • Başlamadan önce, Pozlama Yönetimi'nde kritik varlık yönetimi hakkında bilgi edinin.
  • Kritik varlıklarla çalışmak için gerekli izinleri gözden geçirin.
  • Güvenlik telemetrisinin MSEM kullanım örneklerini desteklemesi için uç noktaların Uç Nokta için Microsoft Defender aracısının 10.3740.XXXX veya sonraki bir sürümünü çalıştırması gerekir. Uç Nokta için Defender Yenilikler sayfasında listelendiği gibi en son aracı sürümünü kullanmanızı öneririz.

Bir cihazın hangi aracı sürümünü çalıştırdığını aşağıdaki gibi de kontrol edebilirsiniz:

  • Belirli bir cihazda, C:\Program Files\Windows Defender Gelişmiş Tehdit Koruması'ndaki MsSense.exe dosyasına göz atın. Dosyaya sağ tıklayın ve Özellikler'i seçin. Ayrıntılar sekmesinde dosya sürümünü denetleyin.

  • Birden çok cihazda, cihaz algılayıcısı sürümlerini denetlemek için gelişmiş bir av Kusto sorgusu çalıştırmak daha kolaydır:

    DeviceInfo | project DeviceName, ClientVersion

Kritik varlıkları gözden geçirme

Kritik varlıkları aşağıdaki gibi gözden geçirin.

  1. Microsoft Defender portalındaAyarlar > Microsoft XDR > Kuralları Kritik varlık yönetimi'ni >seçin.

  2. Kritik varlık yönetimi sayfasında, sınıflandırmadaki varlık sayısı, varlıkların açık veya kapalı olup olmadığı ve kritiklik düzeyleri dahil olmak üzere önceden tanımlanmış ve özel kritik varlık sınıflandırmalarını gözden geçirin.

    Kritik varlık yönetimi penceresinin ekran görüntüsü.

Not

Kritik varlıkları Varlıklar > Cihazlar> Kritik varlığısınıflandırma bölümünde de görebilirsiniz. Ayrıca, Kritik Varlık Koruması girişimini Maruz kalma içgörüleri -> Girişimler bölümünde görüntüleyebilirsiniz.

Önceden tanımlanmış yeni bir sınıflandırma isteme

Araştırma ve geliştirme ekiplerimize yeni bir sınıflandırma önermek, kullanıma açık algılamalarımızı ekosistem genelinde uygulanabilecek sınıflandırmaları ve rolleri içerecek şekilde genişletmeye yardımcı olur. Bu, ürünü büyük ölçüde geliştirir ve tüm işleri Microsoft yapar.

Aşağıdaki gibi önceden tanımlanmış yeni bir sınıflandırma isteyin:

  1. Kritik varlık yönetimi sayfasında Yeni sınıflandırma öner'i seçin.
  2. Görmek istediğiniz sınıflandırmayı doldurun ve ardından İsteği gönder'i seçin.

Özel sınıflandırma oluşturma

Özel sınıflandırmalar, rol atama mantığı ve kritiklik düzeyini kuruluşunuzun kritiklik ilkesiyle uyumlu olacak şekilde ayarlamanızı sağlar. Örneğin, belirli bir ağdaki varlıkları veya varsayılandan farklı bir kritiklik düzeyine sahip olması gereken varlık türlerini sınıflandırın.

Aşağıdaki gibi özel bir sınıflandırma oluşturun:

  1. Kritik varlık yönetimi sayfasında Yeni sınıflandırma oluştur'u seçin.

  2. Kritik varlık sınıflandırması oluştur sayfasında, sınıflandırma ölçütlerinizi ayarlamak için aşağıdaki bilgileri tamamlayın:

    • Ad - Yeni bir sınıflandırma adı.
    • Açıklama - Yeni bir sınıflandırma açıklaması.
    • Sorgu oluşturucusu
      • Yeni bir sınıflandırma tanımlamak için sorgu oluşturucusunu kullanın; örneğin, "belirli bir adlandırma kuralına sahip tüm cihazları kritik olarak işaretleyin."
      • Cihaz, kimlik veya bulut kaynağı başına tanımlanan bir veya daha fazla Boole filtresi ekleyin.

    Kritik varlık sınıflandırmalarını oluşturduğunuz sayfanın ekran görüntüsü.

  3. Ölçütleri ayarladıktan sonra İleri'yi seçin.

  4. Aşağıdaki sayfalarda, etkilenen varlıkların önizlemesini görüntüleyin ve kritiklik düzeyini atayın.

Not

Microsoft Defender portalında, yeni bir özel Kritik Varlık sınıflandırması oluştururken, sorgu oluşturucu kimlik tabanlı kurallar için yalnızca Active Directory (AD) gruplarını destekler. Şu anda Microsoft Entra kimlik grupları desteklenmemaktadır.

Kritik varlık düzeylerini ayarlama

Düzeyleri aşağıdaki gibi ayarlayın.

  1. Kritik varlık yönetimi sayfasında kritik bir varlık sınıflandırması seçin.

  2. Genel Bakış sekmesinde istenen kritiklik düzeyini seçin.

  3. Kaydet'i seçin.

    Kritik varlık yönetimi kritiklik düzenleme özelliğinin ekran görüntüsü.

Not

Cihaz envanterinde kritik düzeyleri el ile ayarlayabilirsiniz. Varlıklar arasında çok sayıda kritik düzeyin uygulanmasına olanak sağlayan kritiklik kuralları oluşturmanızı öneririz.

Özel sınıflandırmaları düzenleme

Özel sınıflandırmaları aşağıdaki gibi düzenleyin.

  1. Kritik varlık yönetimi sayfasında, değiştirmek istediğiniz sınıflandırmaya göz atın. Yalnızca özel sınıflandırmalar düzenlenebilir veya silinebilir.
  2. Düzenle, Sil veya Kapat'ı seçin.

Önceden tanımlanmış sınıflandırmalara varlık ekleme

  1. Kritik varlık yönetimi sayfasında ilgili varlık sınıflandırmasını seçin. Bekleyen Onay sütunu, otomatik sınıflandırma eşiğini karşılamamış ve kullanıcı onayı gerektiren varlıklara sahip sınıflandırmaların bulunmasına yardımcı olur.

    Varlık yönetimi arabiriminde önceden tanımlanmış sınıflandırmaların ekran görüntüsü.

  2. Sınıflandırmadaki şu anda kritik kabul edilen tüm varlıkları görmek için Varlıklar sekmesini seçin.

  3. Sınıflandırmaya uyan ancak eşik dışında olan varlıkları onaylamak için Bekleyen Onay'a gidin.

  4. Listelenen varlıkları gözden geçirin. Eklemek istediğiniz varlıkların yanındaki artı düğmesini seçin.

    Not

    Bekleyen Onay yalnızca gözden geçirilir varlıklar olduğunda görüntülenir.

    Varlık yönetiminde bekleyen onay sekmesinin ekran görüntüsü.

Kritiklik düzeylerini değiştirebilir ve tüm varlıklar için sınıflandırmayı kapatabilirsiniz. Ayrıca özel kritik varlıkları düzenleyebilir ve silebilirsiniz.

Onaylanan varlıkları önceden tanımlanmış sınıflandırmalardan kaldırma

  1. Kritik varlık yönetimi sayfasında ilgili varlık sınıflandırmasını seçin.

  2. Sınıflandırmadaki şu anda kritik kabul edilen tüm varlıkları görmek için Varlıklar sekmesini seçin.

  3. Kaldırmak istediğiniz varlıkların yanındaki X işaretini seçin.

    Varlık yönetimindeki varlıklar sekmesinin ekran görüntüsü.

Kritikliğe göre sıralama

  1. Cihaz Envanteri'nde Cihazlar'ı seçin.

  2. İş açısından kritik varlıkları "çok yüksek" bir kritiklik düzeyiyle görüntülemek için Kritiklik düzeyine göre sıralayın.

    Kritiklik sıralamasını gösteren Cihaz envanteri penceresinin ekran görüntüsü.

Kritik varlıklar için önerilerin önceliklerini belirleme

Güvenlik önerilerini önceliklendirmeye ve kritik varlıklara odaklanmaya yönelik düzeltme adımlarına yardımcı olmak için, bir öneri için kullanıma sunulan kritik varlıkların toplamı Microsoft Defender portalındaki Güvenlik önerileri sayfasından görüntülenebilir.

Kullanıma sunulan kritik varlıkların toplamını görmek için Güvenlik önerileri sayfasına gidin:

Güvenlik önerileri sayfasındaki kritik varlıklar sütununun ekran görüntüsü.

Sonraki adımlar

Saldırı yollarının simülasyonu hakkında bilgi edinin.

  • Last updated on