Aracılığıyla paylaş

Güvenlik Denetimi V2: Günlüğe Kaydetme ve Tehdit Algılama

  • Makale

Not

En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.

Günlüğe kaydetme ve Tehdit Algılama, Azure'da tehditleri algılamaya ve Azure hizmetleri için denetim günlüklerini etkinleştirmeye, toplamaya ve depolamaya yönelik denetimleri kapsar. Bu, Azure hizmetlerinde yerel tehdit algılama ile yüksek kaliteli uyarılar oluşturmak için denetimlerle algılama, araştırma ve düzeltme işlemlerini etkinleştirmeyi içerir; Ayrıca Azure İzleyici ile günlükleri toplamayı, Azure Sentinel ile güvenlik analizini merkezileştirmeyi, zaman eşitlemeyi ve günlük saklamayı içerir.

Geçerli yerleşik Azure İlkesi görmek için bkz. Azure Güvenlik Karşılaştırması Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları: Günlüğe Kaydetme ve Tehdit Algılama

LT-1: Azure kaynakları için tehdit algılamayı etkinleştirme

Azure Kimliği CIS Denetimleri v7.1 Kimlikleri NIST SP 800-53 r4 kimlikleri
LT-1 6.7 AU-3, AU-6, AU-12, SI-4

Olası tehditler ve anomaliler için farklı türlerdeki Azure varlıklarını izlediğinizi doğrulayın. Analistlerin sıralamada hatalı pozitif sonuçları azaltmak için yüksek kaliteli uyarılar almaya odaklanın. Uyarılar günlük verilerinden, aracılardan veya diğer verilerden kaynaklanabilir.

Azure hizmet telemetrisini izlemeyi ve hizmet günlüklerini analiz etme işlemini temel alan Azure Defender'ı kullanın. Veriler, güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini sistemden okuyan ve verileri analiz için çalışma alanınıza kopyalayan Log Analytics aracısı kullanılarak toplanır.

Ayrıca, ortamınız genelinde belirli ölçütlerle eşleşen tehditleri avlayan analiz kuralları oluşturmak için Azure Sentinel'i kullanın. Kurallar, ölçütler eşleştiğinde olaylar oluşturur, böylece her olayı araştırabilirsiniz. Azure Sentinel, tehdit algılama özelliğini geliştirmek için üçüncü taraf tehdit bilgilerini de içeri aktarabilir.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-2: Azure kimlik ve erişim yönetimi için tehdit algılamayı etkinleştirin

Azure Kimliği CIS Denetimleri v7.1 Kimlikleri NIST SP 800-53 r4 kimlikleri
LT-2 6.8 AU-3, AU-6, AU-12, SI-4

Azure AD, daha gelişmiş izleme ve analiz kullanım örnekleri için Azure AD raporlamada görüntülenebilen veya Azure İzleyici, Azure Sentinel veya diğer SIEM/izleme araçlarıyla tümleştirilebilen aşağıdaki kullanıcı günlüklerini sağlar:

  • Oturum açma bilgileri – Oturum açma bilgileri raporu, yönetilen uygulamaların kullanımı ve kullanıcı oturum açma etkinlikleri hakkında bilgi sağlar.

  • Denetim günlükleri - Azure AD içindeki çeşitli özellikler tarafından yapılan tüm değişiklikler için günlükler aracılığıyla izlenebilirlik sağlar. Azure AD içindeki herhangi bir kaynakta yapılan kullanıcı, uygulama, grup, rol ve ilkeleri ekleme veya kaldırma işlemleri gibi değişiklikler, denetim günlüklerine örnek gösterilebilir.

  • Riskli oturum açma işlemleri - Riskli oturum açma işlemi bir kullanıcı hesabının meşru sahibi olmayan bir kişi tarafından gerçekleştirilmiş olabilecek oturum açma girişiminin göstergesidir.

  • Riskli oldukları belirlenen kullanıcılar - Riskli kullanıcı, güvenliği tehlikeye girmiş olabilecek bir kullanıcı hesabının göstergesidir.

Azure Güvenlik Merkezi, aşırı sayıda başarısız kimlik doğrulama girişimi ve abonelikteki kullanım dışı hesaplar gibi bazı şüpheli etkinlikler hakkında da uyarı verebilir. Azure Defender, temel güvenlik durumu izlemesine ek olarak tek tek Azure işlem kaynaklarından (sanal makineler, kapsayıcılar, app service gibi), veri kaynaklarından (SQL DB ve depolama gibi) ve Azure hizmet katmanlarından daha ayrıntılı güvenlik uyarıları da toplayabilir. Bu özellik, tek tek kaynakların içinde hesap anomalilerini görmenize olanak tanır.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-3: Azure ağ etkinlikleri için günlüğe kaydetmeyi etkinleştirin

Azure Kimliği CIS Denetimleri v7.1 Kimlikleri NIST SP 800-53 r4 kimlikleri
LT-3 9.3, 12.2, 12.5, 12.8 AU-3, AU-6, AU-12, SI-4

Olay araştırmalarını, tehdit avcılığı ve güvenlik uyarısı oluşturmayı desteklemek üzere güvenlik analizi için ağ güvenlik grubu (NSG) kaynak günlüklerini, NSG akış günlüklerini, Azure Güvenlik Duvarı günlüklerini ve Web Uygulaması Güvenlik Duvarı (WAF) günlüklerini etkinleştirin ve toplayın. Akış günlüklerini bir Azure İzleyici Log Analytics çalışma alanına gönderebilir ve ardından içgörüler sağlamak için Trafik Analizi'ni kullanabilirsiniz.

Diğer ağ verilerini ilişkilendirmeye yardımcı olmak için DNS sorgu günlüklerini topladığınızdan emin olun.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-4: Azure kaynakları için günlüğe kaydetmeyi etkinleştirin

Azure Kimliği CIS Denetimleri v7.1 Kimlikleri NIST SP 800-53 r4 kimlikleri
LT-4 6.2, 6.3, 8.8 AU-3, AU-12

Uyumluluk, tehdit algılama, tehdit avcılığı ve olay araştırması gereksinimlerini karşılamak için Azure kaynakları için günlüğe kaydetmeyi etkinleştirin.

Azure kaynaklarında denetim, güvenlik ve kaynak günlüklerine erişim için kaynak günlüklerini ve günlük verilerini toplamayı etkinleştirmek için Azure Güvenlik Merkezi ve Azure İlkesi kullanabilirsiniz. Otomatik olarak kullanılabilen etkinlik günlükleri olay kaynağı, tarih, kullanıcı, zaman damgası, kaynak adresleri, hedef adresler ve diğer yararlı öğeleri içerir.

Sorumluluk: Paylaşılan

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

Altyapı ve uç nokta güvenliği

LT-5: Güvenlik günlüğü yönetim ve analiz süreçlerini merkezileştirin

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
LT-5 6.5, 6.6 AU-3, SI-4

Bağıntıyı etkinleştirmek için günlüğe kaydetme depolamasını ve analizini merkezileştirin. Her günlük kaynağı için bir veri sahibi, erişim kılavuzu, depolama konumu, verileri işlemek ve erişmek için hangi araçların kullanıldığı ve veri saklama gereksinimlerini atadığınızdan emin olun.

Azure etkinlik günlüklerini merkezi günlüklerinizle tümleştirdiğinizden emin olun. Uç nokta cihazları, ağ kaynakları ve diğer güvenlik sistemleri tarafından oluşturulan güvenlik verilerini toplamak için Günlükleri Azure İzleyici aracılığıyla alın. Azure İzleyici'de Log Analytics çalışma alanlarını kullanarak analiz sorgulayıp gerçekleştirin, Azure Depolama hesaplarını ise uzun vadeli ve arşiv depolama için kullanın.

Ayrıca, verileri etkinleştirin ve Azure Sentinel'e veya üçüncü taraf bir SIEM'e ekleme.

Birçok kuruluş sık kullanılan "sık" veriler için Azure Sentinel'i ve daha az kullanılan "soğuk" veriler için Azure Depolama'yı kullanmayı tercih eder.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-6: Günlük depolama alanının saklama süresini yapılandırın

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
LT-6 6.4 AU-3, AU-11

Günlük saklamanızı uyumluluk, düzenleme ve iş gereksinimlerinize göre yapılandırın.

Azure İzleyici'de Log Analytics çalışma alanı saklama sürenizi kuruluşunuzun uyumluluk düzenlemelerine göre ayarlayabilirsiniz. Uzun süreli ve arşiv depolama için Azure Depolama, Data Lake veya Log Analytics çalışma alanı hesaplarını kullanın.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-7: Onaylanan zaman eşitleme kaynaklarını kullanma

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
LT-7 6.1 AU-8

Microsoft, çoğu Azure PaaS ve SaaS hizmeti için zaman kaynaklarını korur. Belirli bir gereksiniminiz yoksa, sanal makineleriniz için zaman eşitlemesi için Microsoft varsayılan NTP sunucusunu kullanın. Kendi ağ süresi protokolü (NTP) sunucunuzu desteklemeniz gerekiyorsa, UDP hizmet bağlantı noktası 123'in güvenliğini sağladığınızdan emin olun.

Azure içindeki kaynaklar tarafından oluşturulan tüm günlükler, varsayılan olarak belirtilen saat dilimiyle zaman damgaları sağlar.

Sorumluluk: Paylaşılan

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):