Aracılığıyla paylaş

Güvenlik Denetimi v3: Günlüğe kaydetme ve tehdit algılama

  • Makale

Günlüğe Kaydetme ve Tehdit Algılama, Azure hizmetlerinde yerel tehdit algılama ile yüksek kaliteli uyarılar oluşturmaya yönelik denetimlerle algılama, araştırma ve düzeltme işlemlerini etkinleştirme dahil olmak üzere Azure hizmetleri için denetim günlüklerini etkinleştirmeye, toplamaya ve depolamaya yönelik denetimleri kapsar; Ayrıca Azure İzleyici ile günlükleri toplamayı, Azure Sentinel ile güvenlik analizini merkezileştirmeyi, zaman eşitlemeyi ve günlük saklamayı içerir.

LT-1: Tehdit algılama özelliklerini etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Güvenlik İlkesi: Tehdit algılama senaryolarını desteklemek için bilinen ve beklenen tehditler ve anomaliler için bilinen tüm kaynak türlerini izleyin. Hatalı pozitif sonuçları azaltmak için günlük verilerinden, aracılardan veya diğer veri kaynaklarından yüksek kaliteli uyarıları ayıklamak için uyarı filtreleme ve analiz kurallarınızı yapılandırın.

Azure Kılavuzu: İlgili Azure hizmetleri için Bulut için Microsoft Defender'de Azure Defender hizmetlerinin tehdit algılama özelliğini kullanın.

Azure Defender hizmetlerine dahil olmayan tehdit algılama için, hizmet içinde tehdit algılamayı veya güvenlik uyarısı özelliklerini etkinleştirmek üzere ilgili hizmetler için Azure Güvenlik Karşılaştırması hizmet temellerine bakın. Ortamınızdaki belirli ölçütlerle eşleşen tehditleri avlayan analiz kuralları oluşturmak için uyarıları Azure İzleyicinize veya Azure Sentinel'e ayıklayın.

Endüstriyel Denetim Sistemi (ICS) veya Gözetmen Denetimi ve Veri Alımı (SCADA) kaynaklarını denetleyip izleyen bilgisayarları içeren Operasyonel Teknoloji (OT) ortamları için, varlıkların envanterini almak ve tehditleri ve güvenlik açıklarını algılamak için IoT için Defender'ı kullanın.

Yerel tehdit algılama özelliği olmayan hizmetler için veri düzlemi günlüklerini toplamayı ve Azure Sentinel aracılığıyla tehditleri analiz etmeyi göz önünde bulundurun.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-2: Kimlik ve erişim yönetimi için tehdit algılamayı etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Güvenlik İlkesi: Kullanıcı ve uygulama oturum açma ve erişim anomalilerini izleyerek kimlikler ve erişim yönetimi için tehditleri algılayın. Aşırı sayıda başarısız oturum açma girişimi ve abonelikteki kullanım dışı hesaplar gibi davranış düzenleri uyarılmalıdır.

Azure Kılavuzu: Azure AD, daha gelişmiş izleme ve analiz kullanım örnekleri için Azure AD raporlamada görüntülenebilen veya Azure İzleyici, Azure Sentinel veya diğer SIEM/izleme araçlarıyla tümleştirilebilen aşağıdaki günlükleri sağlar:

  • Oturum açma işlemleri: Oturum açma işlemleri raporu, yönetilen uygulamaların kullanımı ve kullanıcı oturum açma etkinlikleri hakkında bilgi sağlar.
  • Denetim günlükleri: Azure AD içindeki çeşitli özellikler tarafından yapılan tüm değişiklikler için günlükler aracılığıyla izlenebilirlik sağlar. Azure AD içindeki herhangi bir kaynakta yapılan kullanıcı, uygulama, grup, rol ve ilkeleri ekleme veya kaldırma işlemleri gibi değişiklikler, denetim günlüklerine örnek gösterilebilir.
  • Riskli oturum açma işlemleri: Riskli oturum açma, bir kullanıcı hesabının meşru sahibi olmayan biri tarafından gerçekleştirilen bir oturum açma girişiminin göstergesidir.
  • Riskli olarak işaretlenen kullanıcılar: Riskli bir kullanıcı, güvenliği aşılmış olabilecek bir kullanıcı hesabının göstergesidir.

Azure AD ayrıca kullanıcı hesapları ve oturum açma davranışlarıyla ilgili riskleri algılamak ve düzeltmek için bir Kimlik Koruması modülü sağlar. Sızdırılan kimlik bilgileri, anonim veya kötü amaçlı yazılım bağlantılı IP adreslerinden oturum açma, parola spreyi gibi risklere örnek olarak verilebilir. Azure AD Kimlik Koruması'ndaki ilkeler, kullanıcı hesaplarında Azure Koşullu Erişim ile birlikte risk tabanlı MFA kimlik doğrulamasını zorunlu kılmanıza olanak tanır.

Ayrıca, Bulut için Microsoft Defender abonelikteki kullanım dışı hesaplarda ve çok fazla sayıda başarısız kimlik doğrulama girişimi gibi şüpheli etkinliklerde uyarı vermek üzere yapılandırılabilir. Temel güvenlik durumu izlemesine ek olarak, Bulut'un Tehdit Koruması modülü için Microsoft Defender tek tek Azure işlem kaynaklarından (sanal makineler, kapsayıcılar, app service gibi), veri kaynaklarından (SQL DB ve depolama gibi) ve Azure hizmet katmanlarından daha ayrıntılı güvenlik uyarıları da toplayabilir. Bu özellik, tek tek kaynakların içinde hesap anomalilerini görmenize olanak tanır.

Not: eşitleme için şirket içi Active Directory bağlanıyorsanız, şirket içi Active Directory kullanmak için Kimlik için Microsoft Defender çözümünü kullanın gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kuruluşunuza yönelik kötü amaçlı insider eylemlerini belirlemeye, algılamaya ve araştırmaya yönelik sinyaller.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-3: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Güvenlik İlkesi: Güvenlik olayı araştırmalarına ve güvenlik yanıtı ile uyumluluk amaçlarına yönelik gereksinimleri karşılamak için bulut kaynaklarınız için günlüğe kaydetmeyi etkinleştirin.

Azure Kılavuzu: Azure kaynaklarına yönelik günlükler, VM'lerinizdeki işletim sistemleri ve uygulamalar ve diğer günlük türleri gibi farklı katmanlardaki kaynaklar için günlüğe kaydetme özelliğini etkinleştirin.

Yönetim/denetim düzlemi ve veri düzlemi katmanlarında güvenlik, denetim ve diğer işlem günlükleri için farklı günlük türlerine dikkat edin. Azure platformunda üç tür günlük vardır:

  • Azure kaynak günlüğü: Bir Azure kaynağında (veri düzlemi) gerçekleştirilen işlemlerin günlüğe kaydedilmesi. Örneğin, bir anahtar kasasından gizli dizi alma veya veritabanına istek gönderme. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
  • Azure etkinlik günlüğü: Abonelik katmanındaki her Azure kaynağındaki işlemlerin dışarıdan günlüğe kaydedilmesi (yönetim düzlemi). Etkinlik Günlüğü'nü kullanarak aboneliğinizdeki kaynaklar üzerinde yapılan yazma işlemlerinin (PUT, POST, DELETE) ne, kim ve ne zaman gerçekleştirileceğini belirleyebilirsiniz. Her Azure aboneliği için tek bir Etkinlik günlüğü vardır.
  • Azure Active Directory günlükleri: Belirli bir kiracı için Azure Active Directory'de yapılan değişikliklerin oturum açma etkinliği geçmişinin ve denetim kaydının günlükleri.

Azure kaynaklarında kaynak günlüklerini ve günlük verilerini toplamayı etkinleştirmek için Bulut ve Azure İlkesi için Microsoft Defender de kullanabilirsiniz.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-4: Güvenlik araştırması için ağ günlüğünü etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Güvenlik İlkesi: Ağ ile ilgili olay araştırmalarını, tehdit avcılığı ve güvenlik uyarısı oluşturmayı desteklemek için ağ hizmetleriniz için günlüğe kaydetmeyi etkinleştirin. Ağ günlükleri IP filtreleme, ağ ve uygulama güvenlik duvarı, DNS, akış izleme vb. gibi ağ hizmetlerinden gelen günlükleri içerebilir.

Azure Kılavuzu: Olay araştırmalarını ve güvenlik uyarısı oluşturmayı desteklemek üzere güvenlik analizi için ağ güvenlik grubu (NSG) kaynak günlüklerini, NSG akış günlüklerini, Azure Güvenlik Duvarı günlüklerini ve Web Uygulaması Güvenlik Duvarı (WAF) günlüklerini etkinleştirin ve toplayın. Akış günlüklerini bir Azure İzleyici Log Analytics çalışma alanına gönderebilir ve ardından Trafik Analizi'ni kullanarak içgörüler sağlayabilirsiniz.

Diğer ağ verilerini ilişkilendirmeye yardımcı olmak için DNS sorgu günlüklerini toplayın.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-5: Güvenlik günlüğü yönetim ve analiz süreçlerini merkezileştirin

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 Yok

Güvenlik İlkesi: Günlük verileri arasında bağıntıyı etkinleştirmek için günlük depolamasını ve analizini merkezileştirin. Her günlük kaynağı için bir veri sahibi, erişim kılavuzu, depolama konumu, verileri işlemek ve erişmek için hangi araçların kullanıldığı ve veri saklama gereksinimlerini atadığınızdan emin olun.

Azure Kılavuzu: Azure etkinlik günlüklerini merkezi bir Log Analytics çalışma alanıyla tümleştirdiğinizden emin olun. Azure hizmetlerinden, uç nokta cihazlarından, ağ kaynaklarından ve diğer güvenlik sistemlerinden toplanan günlükleri kullanarak analiz yapmak ve uyarı kuralları oluşturmak için Azure İzleyici'yi kullanın.

Buna ek olarak, güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıt (SOAR) özelliğini sağlayan Azure Sentinel'e verileri etkinleştirin ve ekleme.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-6: Günlük depolama alanının saklama süresini yapılandırın

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Güvenlik İlkesi: Günlük saklama stratejinizi uyumluluk, düzenleme ve iş gereksinimlerinize göre planlayın. Günlüklerin uygun şekilde arşivlenmiş olduğundan emin olmak için tek tek günlük hizmetlerinde günlük saklama ilkesini yapılandırın.

Azure Kılavuzu: Azure Etkinlik Günlükleri olayları gibi günlükler 90 gün boyunca saklanır ve ardından silinir. Gereksinimlerinize göre bir tanılama ayarı oluşturmanız ve günlük girdilerini başka bir konuma (Azure İzleyici Log Analytics çalışma alanı, Event Hubs veya Azure Depolama gibi) yönlendirmeniz gerekir. Bu strateji, işletim sistemlerindeki günlükler ve VM'lerin içindeki uygulamalar gibi kendiniz tarafından yönetilen diğer kaynak günlükleri ve kaynaklar için de geçerlidir.

Aşağıdaki gibi günlük saklama seçeneğiniz vardır:

  • 1 yıla kadar veya yanıt ekibi gereksinimlerinize göre günlük saklama süresi için Azure İzleyici Log Analytics çalışma alanını kullanın.
  • Azure Depolama, Veri Gezgini veya Data Lake'i 1 yıldan uzun bir süre boyunca uzun süreli ve arşiv depolama için ve güvenlik uyumluluk gereksinimlerinizi karşılamak için kullanın.
  • Günlükleri Azure dışına iletmek için Azure Event Hubs kullanın.

Not: Azure Sentinel, log depolama için arka uç olarak Log Analytics çalışma alanını kullanır. SIEM günlüklerini daha uzun süre saklamayı planlıyorsanız, uzun vadeli bir depolama stratejisini göz önünde bulundurmalısınız.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

LT-7: Onaylanan zaman eşitleme kaynaklarını kullanma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.4 AU-8 10.4

Güvenlik İlkesi: Günlüğe kaydetme zaman damganız için tarih, saat ve saat dilimi bilgilerini içeren onaylı saat eşitleme kaynaklarını kullanın.

Azure Kılavuzu: Microsoft, çoğu Azure PaaS ve SaaS hizmeti için zaman kaynaklarını korur. İşlem kaynakları işletim sistemleriniz için, belirli bir gereksiniminiz olmadığı sürece zaman eşitlemesi için microsoft varsayılan NTP sunucusunu kullanın. Kendi ağ süresi protokolü (NTP) sunucunuzu desteklemeniz gerekiyorsa, UDP hizmet bağlantı noktası 123'in güvenliğini sağladığınızdan emin olun.

Azure içindeki kaynaklar tarafından oluşturulan tüm günlükler, varsayılan olarak belirtilen saat dilimiyle zaman damgaları sağlar.

Uygulama ve ek bağlam:

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):