Microsoft Sentinel ile Sıfır Güven (TIC 3.0) güvenlik mimarilerini izleme
Sıfır Güven, aşağıdaki güvenlik ilkeleri kümesini tasarlamaya ve uygulamaya yönelik bir güvenlik stratejisidir:
| Açıkça doğrula | En az ayrıcalık erişimi kullan | İhlal varsay |
|---|---|---|
| Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. | Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın. | Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın. |
Bu makalede, idare ve uyumluluk ekiplerinin TRUSTED INTERNET CONNECTIONS (TIC) 3.0 girişimine göre Sıfır Güven gereksinimlerini izlemesine ve yanıtlamasına yardımcı olan Microsoft Sentinel Sıfır Güven (TIC 3.0) çözümünün nasıl kullanılacağı açıklanmaktadır.
Microsoft Sentinel çözümleri , belirli bir veri kümesi için önceden yapılandırılmış paketlenmiş içerik kümeleridir. Sıfır Güven (TIC 3.0) çözümü, Sıfır Güven ilkelerinin otomatik görselleştirmesini sağlayan bir çalışma kitabı, analiz kuralları ve bir playbook içerir. Bu çözüm, kuruluşların zaman içinde yapılandırmaları izlemesine yardımcı olmak için İnternet Bağlantılarına Güven çerçevesine çapraz olarak yürümüştür.
Not
Microsoft Pozlama Yönetimi'ndeki Sıfır Güven girişimiyle kuruluşunuzun Sıfır Güven durumunu kapsamlı bir şekilde görüntüleyin. Daha fazla bilgi için bkz. Sıfır Güven için güvenlik duruşunuzu hızlı bir şekilde modernleştirme | Microsoft Learn.
Sıfır Güven çözümü ve TIC 3.0 çerçevesi
Sıfır Güven ve TIC 3.0 aynı değildir, ancak birçok ortak tema paylaşır ve birlikte ortak bir hikaye sağlar. Sıfır Güven için Microsoft Sentinel çözümü (TIC 3.0), Microsoft Sentinel ile TIC 3.0 çerçevesine sahip Sıfır Güven modeli arasında ayrıntılı yaya geçitleri sunar. Bu yaya geçitleri, kullanıcıların ikisi arasındaki çakışmaları daha iyi anlamasına yardımcı olur.
Sıfır Güven için Microsoft Sentinel çözümü (TIC 3.0) en iyi uygulama kılavuzunu sağlarken, Microsoft uyumluluğu garanti etmez veya ima etmez. Tüm Güvenilir İnternet Bağlantısı (TIC) gereksinimleri, doğrulamaları ve denetimleri Siber Güvenlik ve Altyapı Güvenlik Ajansı tarafından yönetilir.
Sıfır Güven (TIC 3.0) çözümü, ağırlıklı olarak bulut tabanlı ortamlarda Microsoft teknolojileriyle birlikte sunulan denetim gereksinimleri için görünürlük ve durum farkındalığı sağlar. Müşteri deneyimi kullanıcıya göre değişir ve bazı bölmelerde işlem için ek yapılandırmalar ve sorgu değişikliği gerekebilir.
Öneriler, ilgili denetimlerin kapsamını ifade etmemektedir, çünkü genellikle her müşteriye özel olan gereksinimlere yaklaşmaya yönelik çeşitli eylem kurslarından biridir. Öneriler, ilgili denetim gereksinimlerinin tam veya kısmi kapsamını planlamaya yönelik bir başlangıç noktası olarak kabul edilmelidir.
Sıfır Güven için Microsoft Sentinel çözümü (TIC 3.0), aşağıdaki kullanıcılar ve kullanım örneklerinden herhangi biri için kullanışlıdır:
- Uyumluluk duruşu değerlendirmesi ve raporlaması için güvenlik idaresi, risk ve uyumluluk uzmanları
- Sıfır Güven ve TIC 3.0 ile uyumlu iş yükleri tasarlaması gereken mühendisler ve mimarlar
- Uyarı ve otomasyon binası için güvenlik analistleri
- Danışmanlık hizmetleri için yönetilen güvenlik hizmeti sağlayıcıları (MSSP)
- Gereksinimleri gözden geçirmesi, raporlamayı çözümlemesi, özellikleri değerlendirmesi gereken güvenlik yöneticileri
Önkoşullar
Sıfır Güven (TIC 3.0) çözümünü yüklemeden önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:
Ekleme Microsoft hizmetleri: Azure aboneliğinizde hem Microsoft Sentinel hem de Bulut için Microsoft Defender etkinleştirildiğinden emin olun.
Bulut için Microsoft Defender gereksinimleri: Bulut için Microsoft Defender:
Panonuza gerekli mevzuat standartlarını ekleyin. Bulut için Microsoft Defender panonuza hem Microsoft Bulut güvenlik karşılaştırması hem de NIST SP 800-53 R5 Değerlendirmeleri eklediğinizden emin olun. Daha fazla bilgi için Bulut için Microsoft Defender belgelerinde panonuza mevzuat standardı ekleme bölümüne bakın.
Bulut için Microsoft Defender verilerini sürekli olarak Log Analytics çalışma alanınıza aktarın. Daha fazla bilgi için bkz. Bulut için Microsoft Defender verilerini sürekli dışarı aktarma.
Gerekli kullanıcı izinleri. Sıfır Güven (TIC 3.0) çözümünü yüklemek için Güvenlik Okuyucusu izinlerine sahip Microsoft Sentinel çalışma alanınıza erişiminiz olmalıdır.
Sıfır Güven (TIC 3.0) çözümü, aşağıdakiler gibi diğer Microsoft Hizmetleri ile tümleştirmelerle de geliştirilmiştir:
- Microsoft Defender XDR
- Microsoft Information Protection
- Microsoft Entra ID
- Bulut için Microsoft Defender
- Uç Nokta için Microsoft Defender
- Kimlik için Microsoft Defender
- Bulut için Microsoft Defender Uygulamaları
- Office 365 için Microsoft Defender
Sıfır Güven (TIC 3.0) çözümünü yükleme
Azure portalından Sıfır Güven (TIC 3.0) çözümünü dağıtmak için:
Microsoft Sentinel'de İçerik hub'ı seçin ve Sıfır Güven (TIC 3.0) çözümünü bulun.
Sağ alt kısımda Ayrıntıları görüntüle'yi ve ardından Oluştur'u seçin. Çözümü yüklemek istediğiniz aboneliği, kaynak grubunu ve çalışma alanını seçin ve dağıtılacak ilgili güvenlik içeriğini gözden geçirin.
İşiniz bittiğinde, çözümü yüklemek için Gözden Geçir + Oluştur'u seçin.
Daha fazla bilgi için bkz . Hazır içeriği ve çözümleri dağıtma.
Örnek kullanım senaryosu
Aşağıdaki bölümlerde, güvenlik operasyonları analistinin gereksinimleri gözden geçirmek, sorguları keşfetmek, uyarıları yapılandırmak ve otomasyon uygulamak için Sıfır Güven (TIC 3.0) çözümüyle dağıtılan kaynakları nasıl kullanabileceği gösterilmektedir.
Sıfır Güven (TIC 3.0) çözümünü yükledikten sonra, ağınızdaki Sıfır Güven yönetmek için Microsoft Sentinel çalışma alanınıza dağıtılan çalışma kitabını, analiz kurallarını ve playbook'u kullanın.
Sıfır Güven verilerini görselleştirme
Microsoft Sentinel Çalışma Kitapları> Sıfır Güven (TIC 3.0) çalışma kitabına gidin ve Kaydedilen çalışma kitabını görüntüle'yi seçin.
Sıfır Güven (TIC 3.0) çalışma kitabı sayfasında, görüntülemek istediğiniz TIC 3.0 özelliklerini seçin. Bu yordam için İzinsiz Giriş Algılama'yı seçin.
İpucu
Önerileri ve kılavuz bölmelerini görüntülemek veya gizlemek için sayfanın üst kısmındaki Kılavuz iki durumlu düğmesini kullanın. Bulmak istediğiniz belirli verileri görüntüleyebilmek için Abonelik, Çalışma Alanı ve TimeRange seçeneklerinde doğru ayrıntıların seçildiğinden emin olun.
Görüntülemek istediğiniz denetim kartlarını seçin. Bu yordam için Uyarlamalı Erişim Denetimi'ni seçin ve görüntülenen kartı görüntülemek için kaydırmaya devam edin.
İpucu
Önerileri ve kılavuz bölmelerini görüntülemek veya gizlemek için sol üstteki Kılavuzlar iki durumlu düğmesini kullanın. Örneğin, çalışma kitabına ilk kez eriştiğiniz zaman bunlar yararlı olabilir, ancak ilgili kavramları anladıktan sonra gereksizdir.
Sorguları keşfedin. Örneğin, Uyarlamalı Erişim Denetimi kartının sağ üst kısmında üç noktalı Seçenekler menüsünü ve ardından Günlükler görünümünde Son çalıştırma sorgusunu aç'ı seçin.
Sorgu Microsoft Sentinel Günlükleri sayfasında açılır:
Sıfır Güven ile ilgili uyarıları yapılandırma
Microsoft Sentinel'de Analiz alanına gidin. TIC3.0 araması yaparak Sıfır Güven (TIC 3.0) çözümüyle dağıtılan kullanıma hazır analiz kurallarını görüntüleyin.
varsayılan olarak, Sıfır Güven (TIC 3.0) çözümü, denetim ailesi tarafından Sıfır Güven (TIC3.0) duruşunu izlemek için yapılandırılmış bir dizi analiz kuralı yükler ve uyumluluk ekiplerini duruştaki değişikliklere karşı uyarmak için eşikleri özelleştirebilirsiniz.
Örneğin, iş yükünüzün dayanıklılık duruşu bir hafta içinde belirtilen yüzdenin altına düşerse, Microsoft Sentinel ilgili ilke durumunu (başarılı/başarısız), tanımlanan varlıkları, son değerlendirme zamanını ayrıntılı olarak açıklayan bir uyarı oluşturur ve düzeltme eylemleri için Bulut için Microsoft Defender ayrıntılı bağlantılar sağlar.
Kuralları gerektiği gibi güncelleştirin veya yenisini yapılandırın:
Daha fazla bilgi için bkz . Tehditleri algılamak için özel analiz kuralları oluşturma.
SOAR ile yanıt verme
Microsoft Sentinel'de Otomasyon>Etkin playbook'ları sekmesine gidin ve Notify-GovernanceComplianceTeam playbook'unu bulun.
CMMC uyarılarını otomatik olarak izlemek ve idare uyumluluk ekibine hem e-posta hem de Microsoft Teams iletileri aracılığıyla ilgili ayrıntıları bildirmek için bu playbook'u kullanın. Playbook'u gerektiği gibi değiştirin:
Daha fazla bilgi için bkz . Microsoft Sentinel playbook'larında tetikleyicileri ve eylemleri kullanma.
Sık sorulan sorular
Özel görünümler ve raporlar destekleniyor mu?
Evet. Sıfır Güven (TIC 3.0) çalışma kitabınızı verileri aboneliğe, çalışma alanına, zamana, denetim ailesine veya olgunluk düzeyi parametrelerine göre görüntüleyebilecek şekilde özelleştirebilir ve çalışma kitabınızı dışarı aktarıp yazdırabilirsiniz.
Daha fazla bilgi için bkz . Verilerinizi görselleştirmek ve izlemek için Azure İzleyici çalışma kitaplarını kullanma.
Ek ürünler gerekli mi?
Hem Microsoft Sentinel hem de Bulut için Microsoft Defender gereklidir.
Bu hizmetlerin yanı sıra, her denetim kartı, kartta gösterilen veri ve görselleştirme türlerine bağlı olarak birden çok hizmetten alınan verileri temel alır. 25'in üzerinde Microsoft hizmetleri Sıfır Güven (TIC 3.0) çözümü için zenginleştirme sağlar.
Veri içermeyen panellerle ne yapmalıyım?
Veri içermeyen paneller, ilgili denetimleri ele alma önerileri de dahil olmak üzere Sıfır Güven ve TIC 3.0 denetim gereksinimlerini karşılamak için bir başlangıç noktası sağlar.
Birden çok abonelik, bulut ve kiracı destekleniyor mu?
Evet. Tüm abonelikleriniz, bulutlarınız ve kiracılarınız arasında Sıfır Güven (TIC 3.0) çözümünden yararlanmak için çalışma kitabı parametrelerini, Azure Lighthouse'u ve Azure Arc'ı kullanabilirsiniz.
Daha fazla bilgi için bkz . Verilerinizi görselleştirmek ve izlemek için Azure İzleyici çalışma kitaplarını kullanma ve Microsoft Sentinel'de birden çok kiracıyı MSSP olarak yönetme.
İş ortağı tümleştirmesi destekleniyor mu?
Evet. Hem çalışma kitapları hem de analiz kuralları, iş ortağı hizmetleriyle tümleştirmeler için özelleştirilebilir.
Daha fazla bilgi için bkz . Verilerinizi görselleştirmek ve izlemek için Azure İzleyici çalışma kitaplarını kullanma ve uyarılarda Surface özel olay ayrıntıları.
Bu, kamu bölgelerinde kullanılabilir mi?
Evet. Sıfır Güven (TIC 3.0) çözümü Genel Önizleme aşamasındadır ve Ticari/Kamu bölgelerine dağıtılabilir. Daha fazla bilgi için bkz . Ticari ve ABD Kamu müşterileri için bulut özelliği kullanılabilirliği.
Bu içeriği kullanmak için hangi izinler gereklidir?
Microsoft Sentinel Katkıda Bulunanı kullanıcıları çalışma kitapları, analiz kuralları ve diğer Microsoft Sentinel kaynaklarını oluşturabilir ve düzenleyebilir.
Microsoft Sentinel Reader kullanıcıları verileri, olayları, çalışma kitaplarını ve diğer Microsoft Sentinel kaynaklarını görüntüleyebilir.
Daha fazla bilgi için bkz . Microsoft Sentinel'de izinler.
Sonraki adımlar
Daha fazla bilgi için bkz.
- Microsoft Sentinel'i Kullanmaya Başlama
- Çalışma kitaplarıyla verilerinizi görselleştirme ve izleme
- Microsoft Sıfır Güven Modeli
- Sıfır Güven Dağıtım Merkezi
Videolarımızı izleyin:
- Tanıtım: Microsoft Sentinel Sıfır Güven (TIC 3.0) Çözümü
- Microsoft Sentinel: Sıfır Güven (TIC 3.0) Çalışma Kitabı Tanıtımı
Bloglarımızı okuyun!
- Microsoft Sentinel: Sıfır Güven (TIC3.0) Çözümü Duyuruyor
- Microsoft Sentinel ile federal bilgi sistemleri için Sıfır Güven (TIC 3.0) iş yükleri oluşturma ve izleme
- Sıfır Güven: Güvenlik liderlerinden 7 benimseme stratejisi
- Microsoft Azure ile Sıfır Güven Uygulama: Kimlik ve Erişim Yönetimi (6 Bölüm Serisi)