Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Olay Yanıtı olay yanıtı yaşam döngüsündeki denetimleri kapsar: olay yanıtı sürecini otomatikleştirmek için Bulut için Microsoft Defender ve Sentinel gibi Azure hizmetlerini kullanma dahil olmak üzere hazırlık, algılama ve analiz, kapsama ve olay sonrası etkinlikler.
IR-1: Hazırlık - olay yanıt planını ve işleme sürecini güncelleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Güvenlik İlkesi: Kuruluşunuzun, bulut platformlarında güvenlik olaylarına yanıt verecek süreçler ve planlar geliştirmek için endüstrinin en iyi uygulamalarını izlediğinden emin olun. Paylaşılan sorumluluk modeline ve IaaS, PaaS ve SaaS hizmetlerindeki farklara dikkat edin. Bu, olay bildirimi ve önceliklendirme, kanıt toplama, araştırma, silme ve kurtarma gibi olay yanıtı ve işleme etkinliklerinde bulut sağlayıcınızla nasıl işbirliği yaptığınıza doğrudan etki eder.
Güncel olduklarından emin olmak için olay yanıtı planını ve işleme sürecini düzenli olarak test edin.
Azure Kılavuzu: Azure platformunda olay işlemeyi içerecek şekilde kuruluşunuzun olay yanıt sürecini güncelleştirin. Kullanılan Azure hizmetlerine ve uygulamanızın yapısına bağlı olarak, bulut ortamındaki olaya yanıt vermek için kullanılabildiklerinden emin olmak için olay yanıt planını ve playbook'u özelleştirin.
Uygulama ve ek bağlam:
- Güvenliği kuruluş genelinde uygulama
- Olay yanıtı başvuru kılavuzu
- NIST SP800-61 Bilgisayar Güvenliği Olay İşleme Kılavuzu
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IR-2: Hazırlık - olay bildirimi ayarlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Güvenlik İlkesi: Bulut hizmeti sağlayıcısının platformundan gelen güvenlik uyarılarının ve olay bildiriminin ve ortamlarınızın olay yanıtı kuruluşunuzdaki doğru kişi tarafından alına aldığından emin olun.
Azure Kılavuzu: Bulut için Microsoft Defender'da güvenlik olayı iletişim bilgilerini ayarlayın. Microsoft, Microsoft Güvenlik Yanıt Merkezi'nin (MSRC) verilerinize kanuna aykırı veya yetkisiz erişim sağlanmasını keşfetmesi durumunda sizinle iletişime geçmek için bu iletişim bilgilerini kullanır. İsterseniz farklı Azure hizmetlerindeki olay uyarılarını ve bildirimlerini olay yanıt gereksinimlerinize göre özelleştirebilirsiniz.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IR-3: Algılama ve analiz - yüksek kaliteli uyarıları temel alan olaylar oluşturma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10,8 |
Güvenlik İlkesi: Yüksek kaliteli uyarılar oluşturma ve uyarıların kalitesini ölçme sürecine sahip olduğunuzdan emin olun. Bu sayede geçmişteki olaylardan dersler öğrenebilir ve analistlere yönelik uyarıları önceliklendirirsiniz, böylece hatalı pozitif sonuçları zaman kaybetmez.
Yüksek kaliteli uyarılar önceki olaylardan alınan dersler, doğrulanmış topluluk kaynakları ve farklı sinyal kaynaklarını birleştirip bağlantı oluşturarak uyarı oluşturmaya ve temizlemeye yönelik araçlar kullanılarak geliştirilebilir.
Azure Kılavuzu: Bulut için Microsoft Defender birçok Azure varlığında yüksek kaliteli uyarılar sağlar. Uyarıların Azure Sentinel'e akışını yapmak için Bulut için Microsoft Defender veri bağlayıcısını kullanabilirsiniz. Azure Sentinel bir araştırmaya yönelik olayların otomatik olarak oluşturulması için gelişmiş uyarı kuralları oluşturur.
Azure kaynaklarına yönelik riskleri belirlemenize yardımcı olmak için dışarı aktarma özelliğini kullanarak Bulut için Microsoft Defender uyarılarınızı ve önerilerinizi dışarı aktarın. Uyarıları ve önerileri el ile veya sürekli bir biçimde dışarı aktarabilirsiniz.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IR-4: Algılama ve analiz - bir olayı araştırma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | IR-4 | 12.10 |
Güvenlik İlkesi: Güvenlik işlemi ekibinin olası olayları incelerken çeşitli veri kaynaklarını sorgulayıp kullanabilmesini ve neler olduğunu tam olarak görüntüleyebilmesini sağlayın. Sonlandırma zinciri boyunca olası saldırganın etkinliklerinin izlenebilmesi için çeşitli günlükler toplanmalı, kör noktaların olması önlenmelidir. Ayrıca diğer analistler için ve gelecekte başvurmak üzere içgörülerin ve çıkarılan derslerin yakalandığından da emin olmalısınız.
Azure Kılavuzu: Araştırma için veri kaynakları, kapsam içi hizmetlerden ve çalışan sistemlerden zaten toplanan merkezi günlük kaynaklarıdır, ancak şunları da içerebilir:
- Ağ verileri: Ağ akış günlüklerini ve diğer analiz bilgilerini yakalamak için ağ güvenlik gruplarının akış günlüklerini, Azure Ağ İzleyicisi ve Azure İzleyici'yi kullanın.
- Çalışan sistemlerin anlık görüntüleri: a) Çalışan sistem diskinin anlık görüntüsünü oluşturmak için Azure sanal makinesinin anlık görüntü özelliği. b) Çalışan sistemin belleğinin anlık görüntüsünü oluşturmak için işletim sisteminin yerel bellek dökümü özelliği. c) Çalışan sistemlerin anlık görüntülerini oluşturmak için Azure hizmetlerinin anlık görüntü özelliği veya yazılımınızın kendi özelliği.
Azure Sentinel hemen her veri kaynağı üzerinde kapsamlı veri analizi gerçekleştirdiği gibi, olayların tüm yaşam döngüsünü yöneten bir olay yönetim portalı da sağlar. Araştırma sırasında elde edilen inceleme bilgileri izleme ve raporlama amacıyla bir olayla ilişkilendirilebilir.
Uygulama ve ek bağlam:
- Windows makinesi diskinin anlık görüntüsü
- Linux makinesi diskinin anlık görüntüsü
- Microsoft Azure Desteği tanılama bilgileri ve bellek dökümü toplama
- Azure Sentinel ile olayları araştırma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IR-5: Algılama ve analiz - olayların önceliğini belirleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Güvenlik İlkesi: Kuruluşunuzun olay yanıt planında tanımlanan uyarı önem derecesine ve varlık duyarlılığına bağlı olarak öncelikle hangi olaylara odaklanmaları gerektiğini belirlemelerine yardımcı olmak için güvenlik operasyonları ekiplerine bağlam sağlayın.
Azure Kılavuzu: Bulut için Microsoft Defender öncelikle hangi uyarıların araştırılması gerektiğini önceliklendirmenize yardımcı olmak için her uyarıya bir önem derecesi atar. Önem derecesi, Bulut için Microsoft Defender bulma konusunda ne kadar emin olduğuna veya uyarıyı vermek için kullanılan analize ve uyarıya yol açan etkinliğin arkasında kötü amaçlı bir amaç olduğuna ilişkin güvenilirlik düzeyine bağlıdır.
Buna ek olarak Azure kaynaklarını, özellikle hassas verileri işleyen kaynakları belirlemek ve kategorilere ayırmak için etiketleri kullanarak kaynakları işaretleyin ve bir adlandırma sistemi oluşturun. Azure kaynaklarının önem düzeyine ve olayın oluştuğu ortama bağlı olarak uyarıların çözümünde önceliği belirlemek sizin sorumluluğunuzdadır.
Uygulama ve ek bağlam:
- Bulut için Microsoft Defender'de güvenlik uyarıları
- Azure kaynaklarınızı düzenlemek için etiketleri kullanma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IR-6: Kapsama, silme ve kurtarma - olay işlemeyi otomatikleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | IR-4, IR-5, IR-6 | 12.10 |
Güvenlik İlkesi: Yanıt süresini hızlandırmak ve analistlerin yükünü azaltmak için el ile gerçekleştirilen, yinelenen görevleri otomatikleştirin. El ile gerçekleştirilen görevlerin yürütülmesi daha uzun sürer ve olay yanıt sürecini yavaşlatarak analistlerin işleyebileceği olay sayısını azaltır. El ile gerçekleştirilen görevler de analist yorgunluğunu artırır ve bu da gecikmelere neden olan ve analistlerin karmaşık görevlere etkili bir şekilde odaklanma becerisini düşüren insan hatası riskini artırır.
Azure Kılavuzu: Bulut için Microsoft Defender ve Azure Sentinel'deki iş akışı otomasyonu özelliklerini kullanarak eylemleri otomatik olarak tetikleyebilir veya gelen güvenlik uyarılarına yanıt vermek için bir playbook çalıştırabilirsiniz. Playbook bildirimleri gönderme, hesapları devre dışı bırakma ve sorunlu ağları yalıtma gibi eylemleri gerçekleştirir.
Uygulama ve ek bağlam:
- Bulut için Microsoft Defender'de iş akışı otomasyonlarını yapılandırma
- Bulut için Microsoft Defender'de otomatik tehdit yanıtlarını ayarlama
- Azure Sentinel’de otomatik tehdit yanıtlarını ayarlama
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IR-7: Olay sonrası etkinlik - öğrenilen dersi yürütür ve kanıtları saklar
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Güvenlik İlkesi: Olay yanıtı ve işlemede gelecekteki yeteneğinizi geliştirmek için kuruluşunuzda düzenli aralıklarla ve/veya önemli olaylardan sonra öğrenilen dersleri yürütebilirsiniz.
Olayın niteliğine bağlı olarak, olayla ilgili kanıtları daha fazla analiz veya yasal işlemler için olay işleme standardında tanımlanan süre boyunca tutun.
Azure Kılavuzu: Olay yanıt planınızı, playbook'unuzu (Azure Sentinel playbook gibi) güncelleştirmek ve Azure'da olayın algılanması, yanıtlanması ve işlenmesinde gelecekteki yeteneğinizi geliştirmek için ortamlarınıza (günlük kaydı ve herhangi bir boşluk alanını gidermek için tehdit algılama gibi) bulguları yeniden birleştirmek için ders öğrenme etkinliğinden elde edilen sonucu kullanın.
"Algılama ve analiz - olay adımını araştırma" sırasında toplanan sistem günlükleri, ağ trafiği dökümü ve saklama için Azure Depolama hesabı gibi depolamada çalışan sistem anlık görüntüsü gibi kanıtları saklayın.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):