Güvenlik Denetimi: Günlüğe kaydetme ve tehdit algılama

  • Makale

Günlüğe kaydetme ve Tehdit Algılama, bulut hizmetlerinde yerel tehdit algılama ile yüksek kaliteli uyarılar oluşturmak için denetimlerle algılama, araştırma ve düzeltme işlemlerini etkinleştirme dahil olmak üzere bulut hizmetleri için denetim günlüklerini etkinleştirme, toplama ve depolama denetimlerini kapsar; Ayrıca bir bulut izleme hizmetiyle günlükleri toplamayı, güvenlik analizini SIEM ile merkezileştirmeyi, zaman eşitlemeyi ve günlük saklamayı içerir.

LT-1: Tehdit algılama özelliklerini etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Güvenlik ilkesi: Tehdit algılama senaryolarını desteklemek için bilinen ve beklenen tehditler ve anomaliler için tüm bilinen kaynak türlerini izleyin. Hatalı pozitif sonuçları azaltmak için günlük verilerinden, aracılardan veya diğer veri kaynaklarından yüksek kaliteli uyarıları ayıklamak için uyarı filtreleme ve analiz kurallarınızı yapılandırın.

Azure kılavuzu: İlgili Azure hizmetleri için Bulut için Microsoft Defender tehdit algılama özelliğini kullanın.

Microsoft Defender hizmetlerine dahil olmayan tehdit algılama için, hizmet içindeki tehdit algılama veya güvenlik uyarısı özelliklerini etkinleştirmek üzere ilgili hizmetler için Microsoft Bulut Güvenliği Karşılaştırması hizmet temelleri'ne bakın. Tehditleri algılayan ve ortamınızdaki belirli ölçütlerle eşleşen uyarılar oluşturan analiz kuralları oluşturmak için Bulut, Microsoft 365 Defender ve diğer kaynaklardan Azure İzleyici veya Microsoft Sentinel örneklerinize uyarıları ve günlük verilerini Microsoft Defender alın.

Endüstriyel Denetim Sistemi (ICS) veya Denetim Denetimi ve Veri Alımı (SCADA) kaynaklarını denetleyip izleyen bilgisayarları içeren operasyonel teknoloji (OT) ortamları için, varlıkları envantere almak ve tehditleri ve güvenlik açıklarını algılamak için IoT için Microsoft Defender kullanın.

Yerel tehdit algılama özelliği olmayan hizmetler için veri düzlemi günlüklerini toplamayı ve Tehditleri Microsoft Sentinel aracılığıyla analiz etmeyi göz önünde bulundurun.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: Şu veri kaynaklarını analiz eden ve işleyen tehdit algılama için Amazon GuardDuty kullanın: VPC Akış Günlükleri, AWS CloudTrail yönetim olay günlükleri, CloudTrail S3 veri olay günlükleri, EKS denetim günlükleri ve DNS günlükleri. GuardDuty; ayrıcalık yükseltme, kullanıma sunulan kimlik bilgisi kullanımı veya kötü amaçlı IP adresleri veya etki alanlarıyla iletişim gibi güvenlik sorunlarını bildirebilme özelliğine sahiptir.

Aws Config'i, GüvenlikHub'da yapılandırma kayması gibi uyumluluk izleme kurallarını denetleyip gerektiğinde bulgular oluşturacak şekilde yapılandırın.

GuardDuty ve SecurityHub'a dahil olmayan tehdit algılama için, desteklenen AWS hizmetlerinde tehdit algılama veya güvenlik uyarısı özelliklerini etkinleştirin. Ortamınız genelinde belirli ölçütlerle eşleşen tehditleri avlayan analiz kuralları oluşturmak için uyarıları CloudTrail, CloudWatch veya Microsoft Sentinel'inize ayıklayın.

AWS'de EC2 örnekleri gibi belirli hizmetleri izlemek için bulut için Microsoft Defender de kullanabilirsiniz.

Endüstriyel Denetim Sistemi (ICS) veya Denetim Denetimi ve Veri Alımı (SCADA) kaynaklarını denetleyip izleyen bilgisayarları içeren operasyonel teknoloji (OT) ortamları için, varlıkları envantere almak ve tehditleri ve güvenlik açıklarını algılamak için IoT için Microsoft Defender kullanın.

AWS uygulaması ve ek bağlam:

GCP kılavuzu: Yönetici Etkinliği, GKE Veri Erişimi, VPC Akış Günlükleri, Bulut DNS ve Güvenlik Duvarı Günlükleri gibi günlük verilerini kullanarak tehdit algılama için Google Cloud Security Komut Merkezi'nde Olay Tehdit Algılama'yı kullanın.

Ayrıca Chronicle SIEM ve SOAR ile modern SOC için Security Operations paketini kullanın. Chronicle SIEM ve SOAR tehdit algılama, araştırma ve tehdit avcılığı özellikleri sağlar

GcP'de İşlem VM örnekleri gibi belirli hizmetleri izlemek için Bulut için Microsoft Defender de kullanabilirsiniz.

Endüstriyel Denetim Sistemi (ICS) veya Denetim Denetimi ve Veri Alımı (SCADA) kaynaklarını denetleyip izleyen bilgisayarları içeren operasyonel teknoloji (OT) ortamları için, varlıkları envantere almak ve tehditleri ve güvenlik açıklarını algılamak için IoT için Microsoft Defender kullanın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-2: Kimlik ve erişim yönetimi için tehdit algılamayı etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Güvenlik ilkesi: Kullanıcı ve uygulama oturum açma ve erişim anomalilerini izleyerek kimlikler ve erişim yönetimi için tehditleri algılayın. Aşırı sayıda başarısız oturum açma girişimi ve abonelikteki kullanım dışı hesaplar gibi davranış düzenleri uyarılmalıdır.

Azure kılavuzu: Azure AD, daha gelişmiş izleme ve analiz kullanım örnekleri için Azure AD raporlamada görüntülenebilen veya Azure İzleyici, Microsoft Sentinel veya diğer SIEM/izleme araçlarıyla tümleştirilebilen aşağıdaki günlükleri sağlar:

  • Oturum açma işlemleri: Oturum açma işlemleri raporu, yönetilen uygulamaların kullanımı ve kullanıcı oturum açma etkinlikleri hakkında bilgi sağlar.
  • Denetim günlükleri: Azure AD içindeki çeşitli özellikler tarafından yapılan tüm değişiklikler için günlükler aracılığıyla izlenebilirlik sağlar. Azure AD içindeki herhangi bir kaynakta yapılan kullanıcı, uygulama, grup, rol ve ilkeleri ekleme veya kaldırma işlemleri gibi değişiklikler, denetim günlüklerine örnek gösterilebilir.
  • Riskli oturum açma işlemleri: Riskli oturum açma, bir kullanıcı hesabının meşru sahibi olmayan biri tarafından gerçekleştirilen bir oturum açma girişiminin göstergesidir.
  • Riskli olarak işaretlenen kullanıcılar: Riskli kullanıcı, güvenliği aşılmış olabilecek bir kullanıcı hesabının göstergesidir.

Azure AD ayrıca kullanıcı hesapları ve oturum açma davranışlarıyla ilgili riskleri algılamak ve düzeltmek için bir Kimlik Koruması modülü sağlar. Risk örnekleri arasında sızan kimlik bilgileri, anonim veya kötü amaçlı yazılım bağlantılı IP adreslerinden oturum açma, parola spreyi sayılabilir. Azure AD Kimlik Koruması'ndaki ilkeler, kullanıcı hesaplarında Azure Koşullu Erişim ile birlikte risk tabanlı MFA kimlik doğrulamasını zorunlu kılmanıza olanak tanır.

Buna ek olarak, Bulut için Microsoft Defender abonelikteki kullanım dışı hesaplarda ve aşırı sayıda başarısız kimlik doğrulama girişimi gibi şüpheli etkinliklerde uyarı vermek üzere yapılandırılabilir. Temel güvenlik durumu izlemesine ek olarak, Bulut'un Tehdit Koruması modülü için Microsoft Defender tek tek Azure işlem kaynaklarından (sanal makineler, kapsayıcılar, uygulama hizmeti gibi), veri kaynaklarından (SQL DB ve depolama gibi) ve Azure hizmet katmanlarından daha ayrıntılı güvenlik uyarıları da toplayabilir. Bu özellik, tek tek kaynakların içinde hesap anomalilerini görmenize olanak tanır.

Not: eşitleme için şirket içi Active Directory bağlanıyorsanız, şirket içi Active Directory kullanmak için Kimlik için Microsoft Defender çözümünü kullanın gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kuruluşunuza yönelik kötü amaçlı insider eylemlerini tanımlamak, algılamak ve araştırmak için sinyaller.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: AWS IAM, IAM Erişim Danışmanı ve IAM kimlik bilgileri raporu aracılığıyla konsol kullanıcısı etkinliklerine yönelik günlükleri ve raporları raporlamak için aşağıdakileri sağlar:

  • Her başarılı oturum açma ve başarısız oturum açma girişimleri.
  • Her kullanıcı için çok faktörlü kimlik doğrulaması (MFA) durumu.
  • Etkin olmayan IAM kullanıcısı

API düzeyinde erişim izleme ve tehdit algılama için Amazon GuadDuty kullanarak IAM ile ilgili bulguları belirleyin. Bu bulgulara örnek olarak şunlar verilebilir:

  • AWS ortamına erişim elde etmek için kullanılan ve anormal bir şekilde çağrılan veya savunma önlemlerinin kaçınıldığı bir API
  • Şunları yapmak için kullanılan bir API:
    • kaynakları bulma anormal bir şekilde çağrıldı
    • BIR AWS ortamından veri toplamak anormal bir şekilde çağrıldı.
    • BIR AWS ortamındaki veriler veya süreçlerle oynama anormal bir şekilde çağrıldı.
    • bir AWS ortamına yetkisiz erişim kazanmak anormal bir şekilde çağrıldı.
    • anormal bir şekilde çağrılan BIR AWS ortamına yetkisiz erişimi korumak.
    • BIR AWS ortamına anormal bir şekilde çağrılan üst düzey izinleri alma.
    • bilinen bir kötü amaçlı IP adresinden çağrılabilir.
    • kök kimlik bilgileri kullanılarak çağrılabilir.
  • AWS CloudTrail günlüğü devre dışı bırakıldı.
  • Hesap parola ilkesi zayıfladı.
  • Dünya çapında birçok başarılı konsol oturumu gözlemlendi.
  • Örnek başlatma rolü aracılığıyla bir EC2 örneği için özel olarak oluşturulan kimlik bilgileri AWS içindeki başka bir hesaptan kullanılıyor.
  • Örnek başlatma rolü aracılığıyla bir EC2 örneği için özel olarak oluşturulan kimlik bilgileri bir dış IP adresinden kullanılıyor.
  • Bilinen bir kötü amaçlı IP adresinden bir API çağrıldı.
  • Özel tehdit listesindeki bir IP adresinden bir API çağrıldı.
  • Tor çıkış düğümü IP adresinden bir API çağrıldı.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Kullanıcı tarafından yönetilen etkin olmayan bir hizmet hesabına bir veya daha fazla hassas IAM rolü verildiği olayların algılanması gibi belirli tür IAM ile ilgili tehdit algılaması için Google Cloud Security Komut Merkezi'nde Olay Tehdit Algılama özelliğini kullanın.

Google Identity günlüklerinin ve Google Cloud IAM günlüklerinin hem yönetici etkinlik günlüklerini hem de farklı kapsam için ürettiğini unutmayın. Google Identity günlükleri yalnızca Kimlik Platformu'na karşılık gelen işlemler için, IAM günlükleri ise Google Cloud için IAM'ye karşılık gelen işlemler içindir. IAM günlükleri, API çağrılarının veya kaynakların yapılandırmasını veya meta verilerini değiştiren diğer eylemlerin günlük girdilerini içerir. Örneğin, kullanıcılar VM örnekleri oluşturduğunda veya Kimlik ve Erişim Yönetimi izinlerini değiştirdiğinde bu günlükler kaydedilir.

Belirli şüpheli etkinlik desenleriyle ilgili uyarılar için Bulut Kimliği ve IAM raporlarını kullanın. Ayrıca, projenizdeki hizmet hesapları gibi etkinliklerin son 90 gün içinde kullanılmadığını belirlemek üzere hizmet hesapları etkinliklerini analiz etmek için de İlke Zekası'nı kullanabilirsiniz.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-3: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Güvenlik ilkesi: Güvenlik olayı araştırmalarına ve güvenlik yanıtı ve uyumluluk amaçlarına yönelik gereksinimleri karşılamak için bulut kaynaklarınız için günlüğe kaydetmeyi etkinleştirin.

Azure kılavuzu: Azure kaynaklarına yönelik günlükler, vm'lerinizdeki işletim sistemleri ve uygulamalar ve diğer günlük türleri gibi farklı katmanlardaki kaynaklar için günlüğe kaydetme özelliğini etkinleştirin.

Yönetim/denetim düzlemi ve veri düzlemi katmanlarında güvenlik, denetim ve diğer işlem günlükleri için farklı günlük türlerine dikkat edin. Azure platformunda üç tür günlük vardır:

  • Azure kaynak günlüğü: Bir Azure kaynağında (veri düzlemi) gerçekleştirilen işlemlerin günlüğe kaydedilmesi. Örneğin, bir anahtar kasasından gizli dizi alma veya veritabanına istek gönderme. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
  • Azure etkinlik günlüğü: Abonelik katmanındaki her Azure kaynağındaki işlemlerin dışarıdan günlüğe kaydedilmesi (yönetim düzlemi). Aboneliğinizdeki kaynaklar üzerinde yapılan yazma işlemlerinin (PUT, POST, DELETE) ne, kim ve ne zaman gerçekleştirileceğini belirlemek için Etkinlik Günlüğü'nü kullanabilirsiniz. Her Azure aboneliği için tek bir Etkinlik günlüğü vardır.
  • Azure Active Directory günlükleri: Belirli bir kiracı için Azure Active Directory'de yapılan değişikliklerin oturum açma etkinliği geçmişinin ve denetim kaydının günlükleri.

Azure kaynaklarında kaynak günlüklerini ve günlük verilerini toplamayı etkinleştirmek için Bulut ve Azure İlkesi için Microsoft Defender de kullanabilirsiniz.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Yönetim olayları (denetim düzlemi işlemleri) ve veri olayları (veri düzlemi işlemleri) için AWS CloudTrail günlüğünü kullanın ve otomatik eylemler için CloudWatch ile bu izleri izleyin.

Amazon CloudWatch Logs hizmeti, kaynaklarınızdan, uygulamalarınızdan ve hizmetlerinizden günlükleri neredeyse gerçek zamanlı olarak toplamanıza ve depolamanıza olanak tanır. Üç ana günlük kategorisi vardır:

  • Vended günlükleri: Sizin yerinize AWS hizmetleri tarafından yerel olarak yayımlanan günlükler. Şu anda desteklenen iki tür Amazon VPC Flow Logs ve Amazon Route 53 günlükleridir. Bu iki günlük varsayılan olarak etkindir.
  • AWS hizmetleri tarafından yayımlanan günlükler: 30'dan fazla AWS hizmetindeki günlükler CloudWatch'ta yayımlanır. Bunlar Amazon API Gateway, AWS Lambda, AWS CloudTrail ve diğerleridir. Bu günlükler doğrudan hizmetlerde ve CloudWatch'ta etkinleştirilebilir.
  • Özel günlükler: Kendi uygulamanızın ve şirket içi kaynaklarınızın günlükleri. İşletim sistemlerinize CloudWatch Agent'ı yükleyerek bu günlükleri toplamanız ve CloudWatch'a iletmeniz gerekebilir.

Birçok hizmet günlükleri yalnızca CloudWatch Günlükleri'ne yayımlasa da, bazı AWS hizmetleri günlükleri doğrudan AmazonS3 veya Amazon Kinesis Data Firehose'ta yayımlayabilir ve burada farklı günlük depolama ve saklama ilkeleri kullanabilirsiniz.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Azure kaynaklarına yönelik günlükler, vm'lerinizdeki işletim sistemleri ve uygulamalar ve diğer günlük türleri gibi farklı katmanlardaki kaynaklar için günlüğe kaydetme özelliğini etkinleştirin.

Yönetim/denetim düzlemi ve veri düzlemi katmanlarında güvenlik, denetim ve diğer işlem günlükleri için farklı günlük türlerine dikkat edin. Operations Suite Bulut Günlüğü hizmeti, kaynak katmanlarından tüm günlük olaylarını toplar ve toplar. Bulut Günlüğü'nde dört günlük kategorisi desteklenir:

  • Platform günlükleri - Google Cloud hizmetleriniz tarafından yazılan günlükler.
  • Bileşen günlükleri - platform günlüklerine benzer, ancak bunlar sistemlerinizde çalışan Google tarafından sağlanan yazılım bileşenleri tarafından oluşturulan günlüklerdir.
  • Güvenlik günlükleri - çoğunlukla kaynaklarınızdaki yönetim etkinliklerini ve erişimlerini kaydeden denetim günlükleri.
  • Kullanıcı tarafından yazılan - özel uygulamalar ve hizmetler tarafından yazılan günlükler
  • Çoklu bulut günlükleri ve Hibrit bulut günlükleri : Microsoft Azure gibi diğer bulut sağlayıcılarının günlükleri ve şirket içi altyapıdaki günlükler.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-4: Güvenlik araştırması için ağ günlüğünü etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Güvenlik ilkesi: Ağ ile ilgili olay araştırmalarını, tehdit avcılığı ve güvenlik uyarısı oluşturmayı desteklemek için ağ hizmetlerinizde günlüğe kaydetmeyi etkinleştirin. Ağ günlükleri IP filtreleme, ağ ve uygulama güvenlik duvarı, DNS, akış izleme vb. gibi ağ hizmetlerinden gelen günlükleri içerebilir.

Azure kılavuzu: Olay araştırmalarını ve güvenlik uyarısı oluşturmayı desteklemek üzere güvenlik analizi için ağ trafiği veri toplama aracısı aracılığıyla ağ güvenlik grubu (NSG) kaynak günlüklerini, NSG akış günlüklerini, Azure Güvenlik Duvarı günlüklerini ve Web Uygulaması Güvenlik Duvarı (WAF) günlüklerini ve sanal makinelerden günlükleri etkinleştirin ve toplayın. Akış günlüklerini bir Azure İzleyici Log Analytics çalışma alanına gönderebilir ve ardından Trafik Analizi'ni kullanarak içgörüler sağlayabilirsiniz.

Diğer ağ verilerini ilişkilendirmeye yardımcı olmak için DNS sorgu günlüklerini toplayın.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Olay araştırmalarını ve güvenlik uyarısı oluşturmayı desteklemek üzere güvenlik analizi için VPC Akış Günlükleri, WAF Günlükleri ve Route53 Çözümleyicisi sorgu günlükleri gibi ağ günlüklerini etkinleştirin ve toplayın. Günlükler izleme için CloudWatch'a veya merkezi analiz için Microsoft Sentinel çözümüne almak üzere bir S3 depolama demetine aktarılabilir.

AWS uygulaması ve ek bağlam:

GCP kılavuzu: Ağ etkinlik günlüklerinin çoğu, Google İşlem VM'leri, Kubernetes Engine düğümleri olarak kullanılan örnekler de dahil olmak üzere kaynaklardan gönderilen ve kaynaklar tarafından alınan ağ akışlarının bir örneğini kaydeden VPC Akış Günlükleri aracılığıyla sağlanır. Bu günlükler ağ izleme, adli tıp, gerçek zamanlı güvenlik analizi ve gider iyileştirme için kullanılabilir.

Akış günlüklerini Bulut Günlüğü'nde görüntüleyebilir ve günlükleri Bulut Günlüğü dışarı aktarmanın desteklediği hedefe aktarabilirsiniz. Akış günlükleri İşlem Altyapısı VM'lerinden gelen bağlantıyla toplanır ve gerçek zamanlı olarak dışarı aktarılır. Pub/Sub'a abone olarak gerçek zamanlı akış API'lerini kullanarak akış günlüklerini analiz edebilirsiniz.

Not: Ayrıca Paket Yansıtma'yı kullanarak Sanal Özel Bulut (VPC) ağınızdaki belirtilen örneklerin trafiğini kopyalayabilir ve inceleme için iletebilirsiniz. Paket Yansıtma, yük ve üst bilgiler de dahil olmak üzere tüm trafiği ve paket verilerini yakalar.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-5: Güvenlik günlüğü yönetim ve analiz süreçlerini merkezileştirin

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 Yok

Güvenlik ilkesi: Günlük verileri arasında bağıntıyı etkinleştirmek için günlük depolamasını ve analizini merkezileştirin. Her günlük kaynağı için bir veri sahibi, erişim kılavuzu, depolama konumu, verileri işlemek ve erişmek için kullanılan araçlar ve veri saklama gereksinimleri atadığınızdan emin olun.

CSP'ler için mevcut bir SIEM çözümünüz yoksa Bulutta yerel SIEM kullanın. veya günlükleri/uyarıları mevcut SIEM'inize ekleyin.

Azure kılavuzu: Azure etkinlik günlüklerini merkezi bir Log Analytics çalışma alanıyla tümleştirdiğinizden emin olun. Azure hizmetlerinden, uç nokta cihazlarından, ağ kaynaklarından ve diğer güvenlik sistemlerinden toplanan günlükleri kullanarak analiz gerçekleştirmek ve uyarı kuralları oluşturmak için Azure İzleyici'yi kullanın.

Ayrıca, güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıt (SOAR) özellikleri sağlayan Microsoft Sentinel'e verileri etkinleştirin ve ekleme.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: AWS günlüklerinizi depolama ve analiz için merkezi bir kaynakla tümleştirdiğinizden emin olun. CloudWatch'u kullanarak analiz sorgulayıp gerçekleştirebilir ve AWS hizmetlerinden, hizmetlerinden, uç nokta cihazlarından, ağ kaynaklarından ve diğer güvenlik sistemlerinden toplanan günlükleri kullanarak uyarı kuralları oluşturabilirsiniz.

Buna ek olarak, günlükleri bir S3 depolama demetinde toplayabilir ve günlük verilerini Microsoft Sentinel'e ekleyebilir ve bu sayede güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıtı (SOAR) özellikleri sağlayabilirsiniz.

AWS uygulaması ve ek bağlam:

GCP kılavuzu: GCP günlüklerinizi depolama ve analiz için merkezi bir kaynakla (Operations Suite Bulut Günlüğü demeti gibi) tümleştirdiğinizden emin olun. Bulut Günlüğü, Google Cloud yerel hizmet günlüğünün yanı sıra üçüncü taraf uygulamaları ve şirket içi uygulamaları destekler. GcP hizmetlerinden, hizmetlerden, uç nokta cihazlarından, ağ kaynaklarından ve diğer güvenlik sistemlerinden toplanan günlükleri kullanarak uyarı kuralları oluşturmak ve sorgulamak ve analiz gerçekleştirmek için Bulut Günlüğü'ni kullanabilirsiniz.

CSP'ler için mevcut bir SIEM çözümünüz yoksa veya mevcut SIEM'inizde günlükleri/uyarıları toplamadıysanız Bulutta yerel SIEM kullanın.

Not: Google, günlükleri sorgulamak, görüntülemek ve analiz etmek için iki günlük sorgusu ön ucu sağlar: Günlük Gezgini ve Log Analytics. Günlük verilerinin sorunlarını gidermek ve araştırmak için Günlük Gezgini'ni kullanmanız önerilir. İçgörüler ve eğilimler oluşturmak için Log Analytics'i kullanmanız önerilir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-6: Günlük depolama alanının saklama süresini yapılandırın

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Güvenlik ilkesi: Günlük saklama stratejinizi uyumluluk, düzenleme ve iş gereksinimlerinize göre planlayın. Günlüklerin uygun şekilde arşivlenmiş olduğundan emin olmak için tek tek günlük hizmetlerinde günlük saklama ilkesini yapılandırın.

Azure kılavuzu: Azure Etkinlik Günlükleri gibi günlükler 90 gün boyunca saklanır ve ardından silinir. Gereksinimlerinize göre bir tanılama ayarı oluşturup günlükleri başka bir konuma (Azure İzleyici Log Analytics çalışma alanı, Event Hubs veya Azure Depolama gibi) yönlendirmeniz gerekir. Bu strateji, işletim sistemlerindeki günlükler ve VM'ler içindeki uygulamalar gibi kendiniz tarafından yönetilen diğer kaynak günlükleri ve kaynaklar için de geçerlidir.

Aşağıdaki gibi günlük saklama seçeneğiniz vardır:

  • Azure İzleyici Log Analytics çalışma alanını 1 yıla kadar günlük saklama süresi veya yanıt ekibi gereksinimlerinize göre kullanın.
  • 1 yıldan uzun süreli ve arşiv depolama için Azure Depolama, Veri Gezgini veya Data Lake kullanın ve güvenlik uyumluluk gereksinimlerinizi karşılayın.
  • Günlükleri Azure dışındaki bir dış kaynağa iletmek için Azure Event Hubs kullanın.

Not: Microsoft Sentinel, log depolama için arka uç olarak Log Analytics çalışma alanını kullanır. SIEM günlüklerini daha uzun süre saklamayı planlıyorsanız, uzun vadeli bir depolama stratejisini göz önünde bulundurmanız gerekir.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: CloudWatch'ta günlükler varsayılan olarak süresiz olarak tutulur ve süresi hiçbir zaman dolmaz. Her günlük grubu için bekletme ilkesini ayarlayabilir, süresiz saklamayı tutabilir veya 10 yıl ile bir gün arasında bir bekletme süresi seçebilirsiniz.

CloudWatch'tan günlük arşivleme için Amazon S3 kullanın ve demete nesne yaşam döngüsü yönetimi ve arşivleme ilkesi uygulayın. Dosyaları Amazon S3'ten Azure Depolama'ya aktararak merkezi günlük arşivleme için Azure Depolama'yı kullanabilirsiniz.

AWS uygulaması ve ek bağlam:

GCP kılavuzu: Varsayılan olarak, Bulut Günlüğü demeti için özel saklama yapılandırmadığınız sürece Operations Suite Bulut Günlüğü günlükleri 30 gün boyunca saklar. Yönetici Etkinlik denetim günlükleri, Sistem Olayı denetim günlükleri ve Erişim Saydamlığı günlükleri varsayılan olarak 400 gün saklanır. Bulut Günlüğü'ne günlükleri 1 gün ile 3650 gün arasında saklayacak şekilde yapılandırabilirsiniz.

Bulut Günlüğü'nden günlük arşivleme için Bulut Depolama'yı kullanın ve demete nesne yaşam döngüsü yönetimi ve arşivleme ilkesi uygulayın. Dosyaları Google Cloud Storage'dan Azure Depolama'ya aktararak merkezi günlük arşivleme için Azure Depolama'yı kullanabilirsiniz.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

LT-7: Onaylı zaman eşitleme kaynaklarını kullanma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.4 AU-8 10.4

Güvenlik ilkesi: Günlüğe kaydetme zaman damganız için tarih, saat ve saat dilimi bilgilerini içeren onaylı saat eşitleme kaynaklarını kullanın.

Azure kılavuzu: Microsoft, çoğu Azure PaaS ve SaaS hizmeti için zaman kaynaklarını korur. İşlem kaynakları işletim sistemleriniz için, belirli bir gereksiniminiz olmadığı sürece zaman eşitlemesi için microsoft varsayılan NTP sunucusunu kullanın. Kendi ağ süresi protokolü (NTP) sunucunuzu desteklemeniz gerekiyorsa, UDP hizmet bağlantı noktası 123'in güvenliğini sağladığınızdan emin olun.

Azure içindeki kaynaklar tarafından oluşturulan tüm günlükler, varsayılan olarak belirtilen saat dilimiyle zaman damgaları sağlar.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: AWS, çoğu AWS hizmeti için zaman kaynaklarını korur. İşletim sistemi zaman ayarının yapılandırıldığı kaynaklar veya hizmetler için, belirli bir gereksiniminiz olmadığı sürece zaman eşitlemesi için AWS varsayılan Amazon Time Sync Service'i kullanın. Kendi ağ süresi protokolü (NTP) sunucunuzu desteklemeniz gerekiyorsa, UDP hizmet bağlantı noktası 123'in güvenliğini sağladığınızdan emin olun.

AWS içindeki kaynaklar tarafından oluşturulan tüm günlükler, varsayılan olarak belirtilen saat dilimiyle zaman damgaları sağlar.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Google Cloud, çoğu Google Cloud PaaS ve SaaS hizmeti için zaman kaynaklarını korur. İşlem kaynakları işletim sistemleriniz için, belirli bir gereksiniminiz olmadığı sürece zaman eşitlemesi için bir Google Cloud varsayılan NTP sunucusu kullanın. Kendi ağ süresi protokolü (NTP) sunucunuzu desteklemeniz gerekiyorsa UDP hizmet bağlantı noktası 123'in güvenliğini sağladığınızdan emin olun.

Not: İşlem Altyapısı sanal makineleriyle dış NTP kaynaklarını değil, Google tarafından sağlanan iç NTP sunucusunu kullanmanız önerilir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):