Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu güvenlik temeli, Microsoft Bulut Güvenliği Karşılaştırması sürüm 1.0 yönergelerini Microsoft Sentinel'e uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Microsoft Sentinel için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender'ı kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özellik ilgili Azure İlkesi Tanımlarına sahip olduğunda, Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Microsoft Sentinel'e uygulanmayan özellikler dışarıda bırakılmıştır. Microsoft Sentinel'in Microsoft bulut güvenlik karşılaştırmasına tamamen nasıl eşlediğini görmek için,tam Microsoft Sentinel güvenlik temeli eşleme dosyasınınbakın.
Güvenlik profili
Güvenlik profili, Microsoft Sentinel'in yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
Hizmet Davranışı Özniteliği | Değer |
---|---|
Ürün Kategorisi | Güvenlik |
Müşteri HOST/ işletim sistemine erişebilir | Erişim Yok |
Hizmet müşterinin sanal ağına dağıtılabilir | Yanlış |
Hareketsiz durumda müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyonu sınırları oluşturma
Özellik
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağına (VNet) dağıtımı destekler. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellik
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasını kullanmayı destekler. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellik
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Active Directory (Azure AD) kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilen, mümkün olduğunda hizmet sorumluları yerine Azure tarafından yönetilen kimlikleri kullanın. Yönetilen kimlik kimlik bilgileri platform tarafından tamamen yönetilir, döndürülür ve korunur; kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerinden kaçınılır.
Referans: Playbook'ları Microsoft Sentinel'e Kimlik Doğrulama
Hizmet Sorumluları
Açıklama: Veri düzlemi hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Referans: Playbook'ları Microsoft Sentinel'e Doğrulayın
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellik
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişim engelleme veya erişim verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım örneklerini göz önünde bulundurun.
IM-8: Kimlik bilgilerinin ve gizli bilgilerin açığa çıkmasını kısıtlama
Özellik
Azure Key Vault'ta Hizmet Kimlik Bilgileri ve Sırlar için Tümleştirme ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault'un yerel kullanımını destekler. daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırma ve sınırlama
Özellik
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel yönetim hesabı kavramına sahiptir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellik
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Role-Based Erişim Denetimi (Azure RBAC) kullanılabilir. daha fazla bilgi edinin.
Desteklenir | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft Sentinel'e uygun erişim vermek üzere güvenlik operasyonları ekibinizde rol oluşturmak ve atamak için Azure RBAC kullanın. Farklı roller, Microsoft Sentinel kullanıcılarının görebilecekleri ve yapabilecekleri üzerinde ayrıntılı denetim sağlar. Azure rolleri doğrudan Microsoft Sentinel çalışma alanında veya çalışma alanının ait olduğu ve Microsoft Sentinel'in devraldığı bir abonelikte veya kaynak grubunda atanabilir.
Başvuru: Microsoft Sentinel'de roller ve izinler
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellik
Müşteri Kasası
Açıklama: Müşteri Kilidi, Microsoft destek erişimi sağlamak için kullanılabilir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellik
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure, şirket içi, Microsoft 365 veya diğer konumlarda bulunan hassas verileri merkezi olarak taramak, sınıflandırmak ve etiketlemek için Azure Purview, Azure Information Protection ve Azure SQL Veri Bulma ve Sınıflandırma gibi araçları kullanın.
Referans: Eğitici: Microsoft Sentinel ve Microsoft Purview Entegrasyonu
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellik
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini (müşterinin içeriğinde) izlemek için DLP çözümünü destekler. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Veri kaybı önleme (DLP) uyumluluğu için gerekiyorsa, veri sızdırmayı önlemek için dedektif ve/veya önleyici denetimler uygulamak için Azure Market'ten konak tabanlı bir DLP çözümü veya Microsoft 365 DLP çözümü kullanabilirsiniz.
Referans: Eğitici: Microsoft Sentinel ve Microsoft Purview Tümleştirme
DP-3: Aktarımdaki hassas verileri şifreleme
Özellik
Veri Aktarımı Sırasında Şifreleme
Açıklama: Hizmet, veri düzlemi için aktarım içi veri şifrelemesini destekler. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-4: Hareketsiz durumdaki veri şifrelemesini varsayılan olarak etkinleştirin
Özellik
Platform Anahtarlarını Kullanarak Durgun Veri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen verilerin şifrelenmesi desteklenir, bekleyen tüm müşteri içeriği bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-5: Gerektiğinde durağan veri şifrelemesinde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellik
Dinlenmede Olan Verileri CMK ile Şifreleme
Açıklama: Dinlenme hâlindeki verilerin, müşteri tarafından yönetilen anahtarlar kullanılarak hizmet tarafından depolanan müşteri içeriği için şifrelenmesi desteklenmektedir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak dinlenme halindeki verilerin şifrelenmesini etkinleştirin ve devreye alın.
Microsoft Sentinel çözümü, Log Analytics ayrılmış kümesi de dahil olmak üzere günlük toplama ve özellikler için çeşitli depolama kaynakları kullanır. Microsoft Sentinel CMK yapılandırmasının bir parçası olarak, ilgili Log Analytics ayrılmış kümesinde CMK ayarlarını yapılandırmanız gerekir. Microsoft Sentinel tarafından Log Analytics dışındaki depolama kaynaklarına kaydedilen veriler, ayrılmış Log Analytics kümesi için yapılandırılan müşteri tarafından yönetilen anahtar kullanılarak da şifrelenir.
Referans: Microsoft Sentinel müşteri tarafından yönetilen anahtar ayarlama
DP-6: Güvenli anahtar yönetim sürecini kullanın
Özellik
Azure Key Vault'ta Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama gibi şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Azure Key Vault'taki ve hizmetinizdeki anahtarlarınızı tanımlı bir zamanlamaya göre veya bir anahtar kullanımdan kaldırıldığında ya da risk altında olduğunda döndürün ve geri alın. İş yükünde, hizmette veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınızla (KEK) ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarların Azure Key Vault'a kaydedildiğinden ve hizmetten veya uygulamadan anahtar kimlikleri referans olarak kullanıldığından emin olun. Hizmete kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (şirket içi HSM'lerinizdeki HSM korumalı anahtarları Azure Key Vault'a aktarma gibi), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Referans: Microsoft Sentinel müşteri tarafından yönetilen anahtarı ayarlayın
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellik
Azure Key Vault'ta Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
-2: Yalnızca onaylanan hizmetleri kullanın
Özellik
Azure Policy Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
Kayıt ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği ölçütü: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellik
Microsoft Defender Hizmet veya Ürün Sunumu
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellik
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmet için kaynak günlüklerini etkinleştirin. Örneğin, Key Vault bir anahtar kasasından gizli dizi alan eylemler için ek kaynak günlüklerini destekler ve Azure SQL'de ise veritabanına yönelik istekleri izleyen ek kaynak günlükleri vardır. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
Başvuru: Microsoft Sentinel için denetim ve sistem durumu izlemeyi açma
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellik
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). daha fazla bilgi edinin.
Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu hizmetin güvenliğini sağlamak için bu özellik desteklenmez.
Sonraki adımlar
- Microsoft bulut güvenliği karşılaştırmasına genel bakış bakın
- Azure güvenlik temellerini hakkında daha fazla bilgi edinin