Güvenlik Denetimi V2: Olay Yanıtı

Not

En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.

Olay Yanıtı, olay yanıtı yaşam döngüsündeki denetimleri kapsar: hazırlık, algılama ve analiz, kapsama ve olay sonrası etkinlikler. Bu, olay yanıtı sürecini otomatikleştirmek için Azure Güvenlik Merkezi ve Sentinel gibi Azure hizmetlerinin kullanılmasını içerir.

Geçerli yerleşik Azure İlkesi görmek için bkz. Azure Güvenlik Karşılaştırması Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları: Olay Yanıtı

IR-1: Hazırlık: Azure için olay yanıtı sürecini güncelleştirin

Azure Kimliği	CIS Denetimleri v7.1 kimlikleri	NIST SP 800-53 r4 kimlikleri
IR-1	19	IR-4, IR-8

Kuruluşunuzun güvenlik olaylarına yanıt vermek için süreçlere sahip olduğundan, Azure için bu işlemleri güncelleştirdiğinden ve hazır olduğundan emin olmak için bunları düzenli olarak uyguladığınızdan emin olun.

• Güvenliği kuruluş genelinde uygulama

• Olay yanıtı başvuru kılavuzu

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Güvenlik işlemleri

• Olay hazırlama

• Tehdit bilgileri

IR-2: Hazırlık: Olay bildirimini ayarlayın

Azure Kimliği	CIS Denetimleri v7.1 kimlikleri	NIST SP 800-53 r4 kimlikleri
IR-2	19.5	IR-4, IR-5, IR-6, IR-8

Azure Güvenlik Merkezi'da güvenlik olayı iletişim bilgilerini ayarlayın. Microsoft, Microsoft Güvenlik Yanıt Merkezi'nin (MSRC) verilerinize kanuna aykırı veya yetkisiz erişim sağlanmasını keşfetmesi durumunda sizinle iletişime geçmek için bu iletişim bilgilerini kullanır. İsterseniz farklı Azure hizmetlerindeki olay uyarılarını ve bildirimlerini olay yanıt gereksinimlerinize göre özelleştirebilirsiniz.

• Azure Güvenlik Merkezi güvenlik ilgili kişisini ayarlama

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Güvenlik işlemleri

• Olay hazırlama

IR-3: Algılama ve analiz: Yüksek kaliteli uyarıları temel alan olaylar oluşturun

Azure Kimliği	CIS Denetimleri v7.1 kimlikleri	NIST SP 800-53 r4 kimlikleri
IR-3	19.6	IR-4, IR-5

Yüksek kaliteli uyarılar oluşturma ve uyarıların kalitesini ölçme sürecine sahip olduğunuzdan emin olun. Bu sayede geçmişteki olaylardan dersler öğrenebilir ve analistlere yönelik uyarıları önceliklendirirsiniz, böylece hatalı pozitif sonuçları zaman kaybetmez.

Yüksek kaliteli uyarılar geçmiş olaylardan edinilen deneyime, doğrulanmış topluluk kaynaklarına ve çeşitli sinyal kaynaklarını birleştirerek ve aralarında bağıntı kurarak uyarılar oluşturmak ve temizlemek için tasarlanmış araçlara dayalı olarak oluşturulabilir.

Azure Güvenlik Merkezi birçok Azure varlığı arasında yüksek kaliteli uyarılar sağlar. ASC veri bağlayıcısını kullanarak uyarıların Azure Sentinel’e akışını yapabilirsiniz. Azure Sentinel bir araştırmaya yönelik olayların otomatik olarak oluşturulması için gelişmiş uyarı kuralları oluşturur.

Azure kaynaklarına yönelik riskleri tanımlamaya yardımcı olmak için, dışarı aktarma özelliğini kullanarak Azure Güvenlik Merkezi uyarılarınızı ve önerilerinizi dışarı aktarın. Uyarıları ve önerileri el ile veya sürekli bir biçimde dışarı aktarabilirsiniz.

• Dışarı aktarma işlemini yapılandırma

• Uyarıların Azure Sentinel’e akışını yapma

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Güvenlik işlemleri

• Olay hazırlama

• Tehdit bilgileri

IR-4: Algılama ve analiz: Olay araştırması

Azure Kimliği	CIS Denetimleri v7.1 kimlikleri	NIST SP 800-53 r4 kimlikleri
IR-4	19	IR-4

Analistlerin olası olayları incelerken çeşitli veri kaynaklarını sorgulayıp kullanabilmesini ve neler olduğunu tam olarak görebilmesini sağlayın. Sonlandırma zinciri boyunca olası saldırganın etkinliklerinin izlenebilmesi için çeşitli günlükler toplanmalı, kör noktaların olması önlenmelidir. Ayrıca diğer analistler için ve gelecekte başvurmak üzere içgörülerin ve çıkarılan derslerin yakalandığından da emin olmalısınız.

Araştırmaya yönelik veri kaynakları kapsam içindeki hizmetlerden ve çalışan sistemlerden zaten toplanmakta olan merkezi günlük kaynaklarının yanı sıra şunları da içerebilir:

• Ağ verileri – ağ akış günlüklerini ve diğer analiz bilgilerini yakalamak için ağ güvenlik gruplarının akış günlüklerini, Azure Ağ İzleyicisi’ni ve Azure İzleyici’ni kullanın.

• Çalışan sistemlerin anlık görüntüleri:

  • Çalışan sistemin diskinin anlık görüntüsünü oluşturmak için Azure sanal makinesinin anlık görüntü özelliğini kullanın.

  • Çalışan sistemin belleğinin anlık görüntüsünü oluşturmak için işletim sisteminin yerel bellek dökümü özelliğini kullanın.

  • Çalışan sistemlerin anlık görüntülerini oluşturmak için Azure hizmetlerinin anlık görüntü özelliğini veya yazılımınızın kendi özelliğini kullanın.

Azure Sentinel hemen her veri kaynağı üzerinde kapsamlı veri analizi gerçekleştirdiği gibi, olayların tüm yaşam döngüsünü yöneten bir olay yönetim portalı da sağlar. Araştırma sırasında elde edilen inceleme bilgileri izleme ve raporlama amacıyla bir olayla ilişkilendirilebilir.

• Windows makinesi diskinin anlık görüntüsü

• Linux makinesi diskinin anlık görüntüsü

• Microsoft Azure Desteği tanılama bilgileri ve bellek dökümü toplama

• Azure Sentinel ile olayları araştırma

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Güvenlik işlemleri

• Olay hazırlama

• Tehdit bilgileri

IR-5: Algılama ve analiz: Olayları önceliklendirin

Azure Kimliği	CIS Denetimleri v7.1 kimlikleri	NIST SP 800-53 r4 kimlikleri
IR-5	19.8	CA-2, IR-4

Analistlere uyarı önem derecesine ve varlık duyarlılığına göre öncelikle hangi olaylara odaklanacaklarına ilişkin bağlam sağlayın.

Azure Güvenlik Merkezi önce hangi uyarıların araştırılması gerektiğini belirlemenize yardımcı olmak için her uyarıya bir önem derecesi atar. Önem derecesinde, Güvenlik Merkezi’nin bulguya ne kadar güvendiği veya uyarıyı verirken kullanılan analiz kadar, uyarıya yol açan etkinliğin ardında kötü bir amaç olduğuna ilişkin güvenilirlik düzeyi de temel alınır.

Buna ek olarak Azure kaynaklarını, özellikle hassas verileri işleyen kaynakları belirlemek ve kategorilere ayırmak için etiketleri kullanarak kaynakları işaretleyin ve bir adlandırma sistemi oluşturun. Azure kaynaklarının önem düzeyine ve olayın oluştuğu ortama bağlı olarak uyarıların çözümünde önceliği belirlemek sizin sorumluluğunuzdadır.

• Azure Güvenlik Merkezi'nde güvenlik uyarıları

• Azure kaynaklarınızı düzenlemek için etiketleri kullanma

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Güvenlik işlemleri

• Olay hazırlama

• Tehdit bilgileri

IR-6: Kapsama, ortadan kaldırma ve kurtarma: Olay işleme sürecini otomatikleştirin

Azure Kimliği	CIS Denetimleri v7.1 kimlikleri	NIST SP 800-53 r4 kimlikleri
IR-6	19	IR-4, IR-5, IR-6

Yanıt süresini hızlandırmak ve analistlerin yükünü azaltmak için el ile yinelenen görevleri otomatikleştirin. El ile gerçekleştirilen görevlerin yürütülmesi daha uzun sürer ve olay yanıt sürecini yavaşlatarak analistlerin işleyebileceği olay sayısını azaltır. Ayrıca el ile gerçekleştirilen görevler analistler açısından daha yorucudur. Dolayısıyla gecikmelere neden olan insan hatası riskini artırır ve analistlerin karmaşık görevlere etkili bir şekilde odaklanma becerisini azaltır. Eylemleri otomatik olarak tetiklemek veya gelen güvenlik uyarılarını yanıtlamak üzere bir playbook çalıştırmak için Azure Güvenlik Merkezi’nin ve Azure Sentinel’in iş akışı otomasyonu özelliklerini kullanın. Playbook bildirimleri gönderme, hesapları devre dışı bırakma ve sorunlu ağları yalıtma gibi eylemleri gerçekleştirir.

• Güvenlik Merkezi’nde iş akışı otomasyonunu yapılandırma

• Azure Güvenlik Merkezi’nde otomatik tehdit yanıtlarını ayarlama

• Azure Sentinel’de otomatik tehdit yanıtlarını ayarlama

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

• Güvenlik işlemleri

• Olay hazırlama

• Tehdit bilgileri