Aracılığıyla paylaş

Güvenlik Denetimi: Oturum açma kayıtları ve tehdit algılama

Günlüğe Kaydetme ve Tehdit Algılama, bulut hizmetlerinde yerel tehdit algılama ile yüksek kaliteli uyarılar oluşturmak üzere denetimlerle algılama, araştırma ve düzeltme işlemlerini etkinleştirme dahil olmak üzere bulut hizmetleri için denetim günlüklerini etkinleştirme, toplama ve depolama denetimlerini kapsar; Ayrıca bulut izleme hizmetiyle günlükleri toplamayı, güvenlik analizini SIEM ile merkezileştirmeyi, zaman eşitlemeyi ve günlük saklamayı içerir.

LT-1: Tehdit algılama özelliklerini etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Güvenlik ilkesi: Tehdit algılama senaryolarını desteklemek için bilinen ve beklenen tehditler ve anomaliler için bilinen tüm kaynak türlerini izleyin. Hatalı pozitif sonuçları azaltmak için günlük verilerinden, aracılardan veya diğer veri kaynaklarından yüksek kaliteli uyarıları ayıklamak için uyarı filtreleme ve analiz kurallarınızı yapılandırın.

Azure kılavuzu: İlgili Azure hizmetleri için Bulut için Microsoft Defender'ın tehdit algılama özelliğini kullanın.

Microsoft Defender hizmetlerine dahil olmayan tehdit algılama için, hizmet içindeki tehdit algılamayı veya güvenlik uyarısı özelliklerini etkinleştirmek üzere ilgili hizmetler için Microsoft Bulut Güvenliği Karşılaştırma hizmeti temellerine bakın. Bulut için Microsoft Defender, Microsoft 365 Defender ve diğer kaynaklardan günlük verilerini ve uyarıları Azure Monitor veya Microsoft Sentinel örneklerinize alın. Bu verilerle, tehditleri algılayan ve ortamınızdaki belirli ölçütlerle eşleşen uyarılar oluşturan analiz kuralları oluşturun.

Endüstriyel Denetim Sistemi (ICS) veya Gözetmen Denetimi ve Veri Alımı (SCADA) kaynaklarını denetleyip izleyen bilgisayarları içeren Operasyonel Teknoloji (OT) ortamları için, varlıkların envanterini almak ve tehditleri ve güvenlik açıklarını algılamak için IoT için Microsoft Defender'ı kullanın.

Yerel tehdit algılama özelliği olmayan hizmetler için veri düzlemi günlüklerini toplamayı ve Tehditleri Microsoft Sentinel aracılığıyla analiz etmeyi göz önünde bulundurun.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Şu veri kaynaklarını analiz eden ve işleyen tehdit algılaması için Amazon GuardDuty kullanın: VPC Akış Günlükleri, AWS CloudTrail yönetim olay günlükleri, CloudTrail S3 veri olay günlükleri, EKS denetim günlükleri ve DNS günlükleri. GuardDuty; ayrıcalık yükseltme, kullanıma sunulan kimlik bilgisi kullanımı veya kötü amaçlı IP adresleriyle veya etki alanlarıyla iletişim gibi güvenlik sorunları hakkında raporlama yapabilir.

Yapılandırma kayması gibi uyumluluk izleme kurallarını SecurityHub'da denetlemek ve gerektiğinde bulgular oluşturmak için AWS Config'i yapılandırın.

GuardDuty ve SecurityHub'a dahil olmayan tehdit algılama için, desteklenen AWS hizmetlerinde tehdit algılama veya güvenlik uyarısı özelliklerini etkinleştirin. Ortamınızdaki belirli ölçütlerle eşleşen tehditleri avlayan analiz kuralları oluşturmak için uyarıları CloudTrail, CloudWatch veya Microsoft Sentinel'inize ayıklayın.

AWS'de EC2 örnekleri gibi belirli hizmetleri izlemek için Bulut için Microsoft Defender'ı da kullanabilirsiniz.

Endüstriyel Denetim Sistemi (ICS) veya Gözetmen Denetimi ve Veri Alımı (SCADA) kaynaklarını denetleyip izleyen bilgisayarları içeren Operasyonel Teknoloji (OT) ortamları için, varlıkların envanterini almak ve tehditleri ve güvenlik açıklarını algılamak için IoT için Microsoft Defender'ı kullanın.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Yönetici Etkinliği, GKE Veri Erişimi, VPC Akış Günlükleri, Bulut DNS ve Güvenlik Duvarı Günlükleri gibi günlük verilerini kullanarak tehdit algılama için Google Cloud Security Komut Merkezi'nde Olay Tehdit Algılama'yı kullanın.

Ayrıca Chronicle SIEM ve SOAR ile modern SOC için Güvenlik İşlemleri paketini kullanın. Chronicle SIEM ve SOAR tehdit algılama, araştırma ve tehdit avcılığı özellikleri sağlar

GcP'de İşlem VM örnekleri gibi belirli hizmetleri izlemek için Bulut için Microsoft Defender'ı da kullanabilirsiniz.

Endüstriyel Denetim Sistemi (ICS) veya Gözetmen Denetimi ve Veri Alımı (SCADA) kaynaklarını denetleyip izleyen bilgisayarları içeren Operasyonel Teknoloji (OT) ortamları için, varlıkların envanterini almak ve tehditleri ve güvenlik açıklarını algılamak için IoT için Microsoft Defender'ı kullanın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-2: Kimlik ve erişim yönetimi için tehdit algılamayı etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Güvenlik ilkesi: Kullanıcı ve uygulama oturum açma ve erişim anomalilerini izleyerek kimlikler ve erişim yönetimi için tehditleri algılama. Aşırı sayıda başarısız oturum açma girişimi ve abonelikteki kullanım dışı hesaplar gibi davranış düzenleri uyarılmalıdır.

Azure kılavuzu: Azure AD, Daha gelişmiş izleme ve analiz kullanım örnekleri için Azure AD raporlamasında görüntülenebilen veya Azure İzleyici, Microsoft Sentinel veya diğer SIEM/izleme araçlarıyla tümleştirilebilen aşağıdaki günlükleri sağlar:

  • Oturum açma işlemleri: Oturum açma işlemleri raporu, yönetilen uygulamaların kullanımı ve kullanıcı oturum açma etkinlikleri hakkında bilgi sağlar.
  • Denetim günlükleri: Azure AD içindeki çeşitli özellikler tarafından yapılan tüm değişiklikler için günlükler aracılığıyla izlenebilirlik sağlar. Denetim günlüklerine örnek olarak Azure AD'de kullanıcı, uygulama, grup, rol ve ilke ekleme veya kaldırma gibi kaynaklarda yapılan değişiklikler verilebilir.
  • Riskli oturum açma işlemleri: Riskli oturum açma, bir kullanıcı hesabının yasal sahibi olmayan biri tarafından gerçekleştirilen bir oturum açma girişiminin göstergesidir.
  • Riskli olarak işaretlenen kullanıcılar: Riskli kullanıcı, gizliliği ihlal edilmiş olabilecek bir kullanıcı hesabının göstergesidir.

Azure AD ayrıca kullanıcı hesapları ve oturum açma davranışlarıyla ilgili riskleri algılamak ve düzeltmek için bir Kimlik Koruması modülü sağlar. Risklere örnek olarak sızdırılan kimlik bilgileri, anonim veya kötü amaçlı yazılım bağlantılı IP adreslerinden oturum açma, parola spreyi verilebilir. Azure AD Kimlik Koruması'ndaki ilkeler, kullanıcı hesaplarında Azure Koşullu Erişim ile birlikte risk tabanlı MFA kimlik doğrulamasını zorunlu kılmanıza olanak tanır.

Ayrıca Bulut için Microsoft Defender, abonelikteki kullanım dışı hesaplar ve aşırı sayıda başarısız kimlik doğrulama girişimi gibi şüpheli etkinlikler hakkında uyarı vermek üzere yapılandırılabilir. Temel güvenlik hijyeni izlemesine ek olarak, Bulut için Microsoft Defender'ın Tehdit Koruması modülü tek tek Azure işlem kaynaklarından (sanal makineler, kapsayıcılar, uygulama hizmeti gibi), veri kaynaklarından (SQL DB ve depolama gibi) ve Azure hizmet katmanlarından daha ayrıntılı güvenlik uyarıları da toplayabilir. Bu özellik, tek tek kaynakların içinde hesap anomalilerini görmenizi sağlar.

Not: Eşitleme için şirket içi Active Directory'nize bağlanıyorsanız, kuruluşunuza yönelik gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kötü amaçlı şirket içi eylemleri tanımlamak, algılamak ve araştırmak üzere şirket içi Active Directory sinyallerinizi kullanmak için Kimlik için Microsoft Defender çözümünü kullanın.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: AWS IAM, IAM Erişim Danışmanı ve IAM kimlik bilgileri raporu aracılığıyla konsol kullanıcısı etkinliklerine yönelik günlükleri ve raporları raporlamak için aşağıdakileri sağlar:

  • Her başarılı oturum açma ve her başarısız oturum açma girişimi.
  • Her kullanıcı için çok faktörlü kimlik doğrulaması (MFA) durumu.
  • Uykuda IAM kullanıcısı

API düzeyinde erişim izleme ve tehdit algılama için Amazon GuadDuty kullanarak IAM ile ilgili bulguları belirleyin. Bu bulgulara örnek olarak şunlar verilebilir:

  • AWS ortamına erişim elde etmek için kullanılan ve anormal bir şekilde çağrılan veya savunma önlemlerini savmak için kullanılan bir API
  • Şunları yapmak için kullanılan bir API:
    • kaynak keşfi anormal bir şekilde tetiklendi
    • Bir AWS ortamından veri toplama işlemi anormal bir şekilde çağrıldı.
    • AWS ortamındaki verilerle veya işlemlerle oynanması alışılmadık bir şekilde gerçekleşti.
    • Bir AWS ortamına yetkisiz erişim sağlama girişimi olağan dışı bir şekilde gerçekleşti.
    • AWS ortamına yetkisiz erişimi sürdürmenin alışılmadık bir şekilde gerçekleştirildiği tespit edildi.
    • Bir AWS ortamında yüksek düzeyde izinlere ulaşma işlemi anormal bir şekilde çağrıldı.
    • bilinen bir kötü amaçlı IP adresinden çağrılabilir.
    • kök kimlik bilgileri kullanılarak çağrılabilir.
  • AWS CloudTrail kaydı devre dışı bırakıldı.
  • Hesap parola ilkesi zayıfladı.
  • Dünya çapında birçok başarılı konsol oturum açma işlemi gözlemlendi.
  • Örnek başlatma rolü aracılığıyla bir EC2 örneği için özel olarak oluşturulan kimlik bilgileri AWS içindeki başka bir hesaptan kullanılıyor.
  • Bir Örnek başlatma rolü aracılığıyla bir EC2 örneği için özel olarak oluşturulan kimlik bilgileri dış IP adresinden kullanılıyor.
  • Bilinen bir kötü amaçlı IP adresinden bir API çağrıldı.
  • Özel tehdit listesindeki bir IP adresinden bir API çağrıldı.
  • Bir Tor çıkış düğümü IP adresinden bir API çağrıldı.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Kullanıcı tarafından yönetilen bir hizmet hesabına bir veya daha fazla hassas IAM rolü verildiği olayların tespit edilmesi gibi IAM ile ilgili belirli tehdit türlerini tespit etmek için Google Cloud Security Komut Merkezi'nde Event Threat Detection (Olay Tehdit Algılama) özelliğini kullanın.

Google Identity günlükleri ve Google Cloud IAM günlüklerinin her ikisinin de yönetici etkinlik günlükleri ürettiğini ancak farklı kapsamlar için olduğunu unutmayın. Google Kimlik günlükleri yalnızca Kimlik Platformu'na karşılık gelen işlemler için, IAM günlükleri ise Google Cloud için IAM'ye karşılık gelen işlemler içindir. IAM günlükleri, API çağrılarının veya kaynakların yapılandırmasını veya meta verilerini değiştiren diğer eylemlerin günlük girdilerini içerir. Örneğin, kullanıcılar VM örnekleri oluşturduğunda veya Kimlik ve Erişim Yönetimi izinlerini değiştirdiğinde bu günlükler kaydedilir.

Belirli şüpheli etkinlik desenleriyle ilgili uyarılar için Bulut Kimliği ve IAM raporlarını kullanın. Ayrıca, projenizdeki hizmet hesapları gibi son 90 gün içinde kullanılmamış olan etkinlikleri tanımlamak üzere hizmet hesapları etkinliklerini analiz etmek için de İlke Zekası'nı kullanabilirsiniz.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-3: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Güvenlik ilkesi: Bulut kaynaklarınız için günlüğe kaydı etkinleştirerek güvenlik olayı incelemeleri, güvenlik yanıtları ve uyumluluk gereksinimlerini karşılayın.

Azure kılavuzu: Azure kaynaklarına yönelik günlükler, vm'lerinizdeki işletim sistemleri ve uygulamalar ve diğer günlük türleri gibi farklı katmanlardaki kaynaklar için günlüğe kaydetme özelliğini etkinleştirin.

Yönetim/denetim düzlemi ve veri düzlemi katmanlarında güvenlik, denetim ve diğer işlem günlükleri için farklı günlük türlerine dikkat edin. Azure platformunda üç tür günlük vardır:

  • Azure kaynak günlüğü: Bir Azure kaynağında (veri düzlemi) gerçekleştirilen işlemlerin günlüğe kaydedilmesi. Örneğin, bir anahtar kasasından gizli bilgi alma veya bir veritabanına istek gönderme. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
  • Azure etkinlik günlüğü: Abonelik katmanındaki her Azure kaynağındaki işlemlerin dışarıdan (yönetim düzlemi) günlüğe kaydedilmesi. Aboneliğinizdeki kaynaklar üzerinde kullanılabilecek herhangi bir yazma işlemi (PUT, POST, DELETE) için ne, kim ve ne zaman gerçekleştirileceğini belirlemek için Etkinlik Günlüğü'nü kullanabilirsiniz. Her Azure aboneliği için tek bir Etkinlik günlüğü vardır.
  • Azure Active Directory günlükleri: Belirli bir kiracı için Azure Active Directory'de yapılan değişikliklerin oturum açma etkinliği geçmişinin ve denetim kaydının günlükleri.

Azure kaynaklarında kaynak günlüklerini ve günlük verilerini toplamayı etkinleştirmek için Bulut için Microsoft Defender ve Azure İlkesi'ni de kullanabilirsiniz.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Yönetim olayları (denetim düzlemi işlemleri) ve veri olayları (veri düzlemi işlemleri) için AWS CloudTrail günlüğünü kullanın ve otomatik eylemler için CloudWatch ile bu izleri izleyin.

Amazon CloudWatch Logs hizmeti, kaynaklarınızdan, uygulamalarınızdan ve hizmetlerinizden günlükleri neredeyse gerçek zamanlı olarak toplamanıza ve depolamanıza olanak tanır. Üç ana günlük kategorisi vardır:

  • Vended günlükleri: Sizin yerinize AWS hizmetleri tarafından yerel olarak yayımlanan günlükler. Şu anda desteklenen iki tür Amazon VPC Flow Logs ve Amazon Route 53 günlükleridir. Bu iki kayıt varsayılan olarak etkindir.
  • AWS hizmetleri tarafından yayımlanan günlükler: 30'dan fazla AWS hizmetindeki günlükler CloudWatch'ta yayımlanır. Bunlar Amazon API Gateway, AWS Lambda, AWS CloudTrail ve diğerleridir. Bu günlükler doğrudan hizmetlerde ve CloudWatch'ta etkinleştirilebilir.
  • Özel günlükler: Kendi uygulamanızdaki ve şirket içi kaynaklarınızın günlükleri. CloudWatch Agent'ı işletim sistemlerinize yükleyip CloudWatch'a ileterek bu günlükleri toplamanız gerekebilir.

Birçok hizmet günlükleri yalnızca CloudWatch Günlükleri'ne yayımlasa da, bazı AWS hizmetleri günlükleri doğrudan AmazonS3 veya Amazon Kinesis Data Firehose'ta yayımlayabilir ve burada farklı günlük depolama ve bekletme ilkeleri kullanabilirsiniz.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Azure kaynakları, VM'lerinizdeki işletim sistemleri ve uygulamalar ile diğer günlük türleri gibi farklı katmanlardaki kaynaklar için günlüğe kaydetme özelliğini etkinleştirin.

Yönetim/denetim düzlemi ve veri düzlemi katmanlarında güvenlik, denetim ve diğer işlem günlükleri için farklı günlük türlerine dikkat edin. Operations Suite Bulut Günlüğü hizmeti, kaynak katmanlarından her türde günlük olayını toplar ve birleştirir. Cloud Logging'de dört günlük kategori desteklenmektedir.

  • Platform günlükleri - Google Cloud hizmetleriniz tarafından yazılan günlükler.
  • Bileşen günlükleri - platform günlüklerine benzer, ancak bunlar sistemlerinizde çalışan Google tarafından sağlanan yazılım bileşenleri tarafından oluşturulan günlüklerdir.
  • Güvenlik günlükleri - çoğunlukla kaynaklarınızdaki yönetim etkinliklerini ve erişimlerini kaydeden denetim günlükleri.
  • Kullanıcı tarafından yazılan - özel uygulamalar ve hizmetler tarafından yazılan günlükler
  • Çoklu bulut günlükleri ve Hibrit bulut günlükleri - Microsoft Azure gibi diğer bulut sağlayıcılarının günlükleri ve şirket içi altyapıdaki günlükler.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-4: Güvenlik araştırması için ağ günlüğünü etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10.8

Güvenlik ilkesi: Ağ hizmetlerinizde ağ ile ilgili olay araştırmalarını, tehdit avcılığı ve güvenlik uyarısı oluşturmayı desteklemek üzere günlüğe kaydetmeyi etkinleştirin. Ağ günlükleri IP filtreleme, ağ ve uygulama güvenlik duvarı, DNS, akış izleme vb. gibi ağ hizmetlerinden gelen günlükleri içerebilir.

Azure kılavuzu: Olay araştırmalarını ve güvenlik uyarısı oluşturmayı desteklemek üzere güvenlik analizi için ağ trafiği veri toplama aracısı aracılığıyla ağ güvenlik grubu (NSG) kaynak günlüklerini, NSG akış günlüklerini, Azure Güvenlik Duvarı günlüklerini ve Web Uygulaması Güvenlik Duvarı (WAF) günlüklerini ve sanal makinelerden günlükleri etkinleştirin ve toplayın. Akış günlüklerini bir Azure İzleyici Log Analytics çalışma alanına gönderebilir ve ardından Trafik Analizi'ni kullanarak içgörüler sağlayabilirsiniz.

Diğer ağ verilerini ilişkilendirmeye yardımcı olmak için DNS sorgu günlüklerini toplayın.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Olay araştırmalarını ve güvenlik uyarısı oluşturmayı desteklemek üzere güvenlik analizi için VPC Akış Günlükleri, WAF Günlükleri ve Route53 Çözümleyicisi sorgu günlükleri gibi ağ günlüklerini etkinleştirin ve toplayın. Günlükler, izleme amacıyla CloudWatch'a veya merkezi analiz için Microsoft Sentinel çözümüne entegre etmek üzere bir S3 depolama deposuna aktarılabilir.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Ağ etkinlikleri günlüklerinin çoğu, Google compute VM'leri, Kubernetes Engine düğümleri olarak kullanılan örnekler de dahil olmak üzere kaynaklardan gönderilen ve kaynaklar tarafından alınan ağ akışlarının bir örneğini kaydeden VPC Akış Günlükleri aracılığıyla sağlanır. Bu günlükler ağ izleme, adli tıp, gerçek zamanlı güvenlik analizi ve gider iyileştirme için kullanılabilir.

Akış günlüklerini Bulut Günlüğü'nde görüntüleyebilir ve günlükleri Bulut Günlüğü dışarı aktarmanın desteklediği hedefe aktarabilirsiniz. Akış günlükleri, İşlem Altyapısı VM'lerinden gelen bağlantı tarafından toplanır ve gerçek zamanlı olarak dışarı aktarılır. Pub/Sub'a abone olarak gerçek zamanlı akış API'lerini kullanarak akış günlüklerini analiz edebilirsiniz.

Not: Paket Yansıtma'yı kullanarak Sanal Özel Bulut (VPC) ağınızdaki belirtilen örneklerin trafiğini kopyalayabilir ve inceleme için iletebilirsiniz. Paket Yansıtma, yük ve üst bilgiler de dahil olmak üzere tüm trafiği ve paket verilerini yakalar.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-5: Güvenlik günlüğü yönetimini ve analizini merkezileştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 Mevcut Değil

Güvenlik ilkesi: Günlük verileri arasında ilişkilendirme sağlamak için, günlük kayıtlarının depolama ve analizini merkezileştirin. Her günlük kaynağı için bir veri sahibi, erişim kılavuzu, depolama konumu, verileri işlemek ve erişmek için hangi araçların kullanıldığı ve veri saklama gereksinimlerini atadığınızdan emin olun.

CSP'ler için mevcut bir SIEM çözümünüz yoksa Bulutta yerel SIEM kullanın. veya günlükleri/uyarıları mevcut SIEM'inize ekleyin.

Azure kılavuzu: Azure etkinlik günlüklerini merkezi bir Log Analytics çalışma alanıyla tümleştirdiğinizden emin olun. Azure hizmetlerinden, uç nokta cihazlarından, ağ kaynaklarından ve diğer güvenlik sistemlerinden toplanan günlükleri kullanarak analiz yapmak ve uyarı kuralları oluşturmak için Azure İzleyici'yi kullanın.

Buna ek olarak, güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıtı (SOAR) özellikleri sağlayan Microsoft Sentinel'e verileri etkinleştirip ekleyin.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: AWS günlüklerinizi depolama ve analiz için merkezi bir kaynakla tümleştirdiğinizden emin olun. CloudWatch kullanarak analiz sorgulayıp gerçekleştirin ve AWS hizmetlerinden, hizmetlerinden, uç nokta cihazlarından, ağ kaynaklarından ve diğer güvenlik sistemlerinden toplanan günlükleri kullanarak uyarı kuralları oluşturun.

Ayrıca, günlükleri bir S3 depolama demetinde toplayabilir ve günlük verilerini Microsoft Sentinel'e ekleyebilir ve bu sayede güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıtı (SOAR) özellikleri sağlayabilirsiniz.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: DEPOLAMA ve analiz için GCP günlüklerinizi merkezi bir kaynakla (Operations Suite Bulut Günlüğü demeti gibi) tümleştirdiğinizden emin olun. Bulut Günlüğü, Google Cloud yerel hizmet günlüğünün yanı sıra üçüncü taraf uygulamaları ve şirket içi uygulamaları destekler. GCP hizmetleri, uç nokta cihazları, ağ kaynakları ve diğer güvenlik sistemlerinden toplanan günlükleri kullanarak sorgu yapmak, analiz gerçekleştirmek ve uyarı kuralları oluşturmak için Cloud Logging'i kullanabilirsiniz.

CSP'ler için mevcut bir SIEM çözümünüz yoksa bulutta yerel SIEM kullanın veya günlükleri/uyarıları mevcut SIEM'inize ekleyin.

Not: Google, günlükleri sorgulamak, görüntülemek ve analiz etmek için iki günlük sorgusu ön ucu, Günlük Gezgini ve Log Analytics sağlar. Günlük verilerinin sorunlarını gidermek ve araştırmak için Günlük Gezgini'ni kullanmanız önerilir. İçgörüler ve eğilimler oluşturmak için Log Analytics'in kullanılması önerilir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-6: Günlük depolama saklamayı yapılandırma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Güvenlik ilkesi: Günlük saklama stratejinizi uyumluluk, düzenleme ve iş gereksinimlerinize göre planlayın. Günlüklerin uygun şekilde arşivlenmiş olduğundan emin olmak için tek tek günlük hizmetlerinde günlük saklama ilkesini yapılandırın.

Azure kılavuzu: Azure Etkinlik Günlükleri gibi günlükler 90 gün boyunca saklanır ve ardından silinir. Gereksinimlerinize göre bir tanılama ayarı oluşturup günlükleri başka bir konuma (Azure İzleyici Log Analytics çalışma alanı, Event Hubs veya Azure Depolama gibi) yönlendirmeniz gerekir. Bu strateji, işletim sistemlerindeki günlükler ve VM'ler içindeki uygulamalar gibi kendiniz tarafından yönetilen diğer kaynak günlükleri ve kaynaklar için de geçerlidir.

Aşağıdaki gibi günlük saklama seçeneğiniz vardır:

  • 1 yıla kadar veya yanıt ekibi gereksinimlerinize göre günlük saklama süresi için Azure İzleyici Log Analytics çalışma alanını kullanın.
  • Azure Depolama, Veri Gezgini veya Data Lake'i 1 yıldan uzun süreli ve arşiv depolama için ve güvenlik uyumluluk gereksinimlerinizi karşılamak için kullanın.
  • Günlükleri Azure dışındaki bir dış kaynağa iletmek için Azure Event Hubs'ı kullanın.

Not: Microsoft Sentinel, log depolama için arka uç olarak Log Analytics çalışma alanını kullanır. SIEM günlüklerini daha uzun süre saklamayı planlıyorsanız, uzun vadeli bir depolama stratejisini göz önünde bulundurmanız gerekir.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: CloudWatch'ta günlükler varsayılan olarak süresiz olarak tutulur ve süresi hiç dolmaz. Her günlük grubu için bekletme ilkesini ayarlayabilir, süresiz saklamayı koruyabilir veya 10 yıl ile bir gün arasında bir bekletme süresi seçebilirsiniz.

CloudWatch'tan logları arşivlemek için Amazon S3'ü kullanın ve kovaya nesnelerin yaşam döngüsü yönetimini ve arşiv politikasını uygulayın. Dosyaları Amazon S3'ten Azure Depolama'ya aktararak merkezi günlük arşivleme için Azure Depolama'yı kullanabilirsiniz.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Varsayılan olarak, Bulut Günlüğü demetine özel saklama yapılandırmadığınız sürece Operations Suite Bulut Günlüğü günlükleri 30 gün boyunca saklar. Yönetici Etkinliği denetim günlükleri, Sistem Olayı denetim günlükleri ve Erişim Saydamlığı günlükleri varsayılan olarak 400 gün saklanır. Bulut Günlüğü'ne günlükleri 1 gün ile 3650 gün arasında saklayacak şekilde yapılandırabilirsiniz.

Cloud Logging'den günlük arşivleme için Bulut Depolama'yı kullanın ve kova üzerinde nesne yaşam döngüsü yönetimi ve arşivleme politikası uygulayın. Dosyaları Google Cloud Storage'dan Azure Depolama'ya aktararak merkezi günlük arşivleme için Azure Depolama'yı kullanabilirsiniz.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-7: Onaylı zaman eşitleme kaynaklarını kullanma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
8.4 AU-8 Serisi 10.4

Güvenlik ilkesi: Günlüğe kaydetme zaman damganız için tarih, saat ve saat dilimi bilgilerini içeren, onaylanmış zaman senkronizasyon kaynaklarını kullanın.

Azure kılavuzu: Microsoft çoğu Azure PaaS ve SaaS hizmeti için zaman kaynaklarını korur. İşlem kaynakları işletim sistemleriniz için, belirli bir gereksiniminiz olmadığı sürece zaman eşitlemesi için microsoft varsayılan NTP sunucusunu kullanın. Kendi ağ zaman protokolü (NTP) sunucunuzu kurmanız gerekiyorsa, UDP hizmet bağlantı noktası 123'ün güvenliğini sağladığınızdan emin olun.

Azure içindeki kaynaklar tarafından oluşturulan tüm günlükler, varsayılan olarak belirtilen saat dilimiyle zaman damgaları sağlar.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: AWS, çoğu AWS hizmeti için zaman kaynaklarını korur. İşletim sistemi zaman ayarının yapılandırıldığı kaynaklar veya hizmetler için, belirli bir gereksiniminiz olmadığı sürece zaman eşitlemesi için AWS varsayılan Amazon Time Sync Service'i kullanın. Kendi ağ zaman protokolü (NTP) sunucunuzu kurmanız gerekiyorsa, UDP hizmet bağlantı noktası 123'ün güvenliğini sağladığınızdan emin olun.

AWS içindeki kaynaklar tarafından oluşturulan tüm günlükler, varsayılan olarak belirtilen saat dilimiyle zaman damgaları sağlar.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Google Cloud, çoğu Google Cloud PaaS ve SaaS hizmeti için zaman kaynaklarını korur. İşlem kaynakları işletim sistemleriniz için, belirli bir gereksiniminiz olmadığı sürece zaman eşitlemesi için bir Google Cloud varsayılan NTP sunucusu kullanın. Kendi Ağ Zaman Protokolü (NTP) sunucunuzu kurmanız gerekiyorsa, UDP hizmet bağlantı noktası 123'ün güvenliğini sağladığınızdan emin olun.

Not: Dış NTP kaynaklarını İşlem Altyapısı sanal makineleriyle kullanmamanızı ancak Google tarafından sağlanan iç NTP sunucusunu kullanmanız önerilir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):