Sıfır Güven ile entegre SecOps

Sıfır Güven güvenlik çerçevelerinin önemli bir özelliği olan perspektiflerdeki önemli değişikliklerden biri, varsayılan olarak güvenden özel duruma doğru ilerlemektir. Ancak, güven gerekli olduğunda güven oluşturmak için güvenilir bir yönteme ihtiyacınız vardır. artık isteklerin güvenilir olduğunu varsaymadığınızdan, isteğin güvenilirliğini kanıtlamaya yönelik bir araç oluşturmak, belirli bir noktaya güvenilirliğini kanıtlamak için kritik öneme sahiptir. Bu kanıtlama, isteğin üzerinde ve çevresinde gerçekleşen etkinliklerin görünürlüğünü elde edebilme yetisini gerektirir.

Diğer Sıfır Güven kılavuzlarımızda kimlikler, uç noktalar ve cihazlar, veriler, uygulamalar, altyapı ve genelinde uçtan uca Sıfır Güven yaklaşımını uygulamaya yönelik yaklaşımı tanımladık. Tüm bu yatırımlar görünürlüğünüzü artırarak güven kararları almaya yönelik daha iyi veriler sunar. Ancak, bu altı alanda Sıfır Güven bir yaklaşım benimseyerek Güvenlik İşlem Merkezleri (SOC) analistlerinin azaltması gereken olay sayısını artırmanız gerekir. Analistleriniz, zaten bir yetenek sıkıntısının yaşandığı bir zamanda her zamankinden daha yoğun hale geliyor. Çok fazla uyarı, kronik uyarı yorgunluğuna ve analistlerin kritik uyarıları kaçırmasına neden olur.

Tehditleri yönetmek için tümleşik özelliklerin diyagramı.

Bu alanların her biri kendi ilgili uyarılarını oluştururken, tehditlere karşı daha iyi savunma yapmak ve bir işlemdeki güveni doğrulamak için ortaya çıkan veri akışını yönetmek için tümleşik bir güvenlik işlemleri (SecOps) özelliğine ihtiyacımız vardır.

Aşağıdakileri yapabilmenizi istiyorsunuz:

  • Tehditleri ve güvenlik açıklarını algılama.
  • Araştırmak.
  • Yanıt.
  • Avlamak.
  • Tehdit analizi aracılığıyla ek bağlam sağlayın.
  • Güvenlik açıklarını değerlendirme.
  • Birinci sınıf uzmanlardan yardım alın
  • Olayların sütunlar arasında meydana gelmesini önleyin veya durdurun.

Tehditleri yönetme, reaktif ve proaktif algılamayı içerir ve her ikisini de destekleyen araçlar gerektirir.

Reaktif algılama , olayların araştırılabilir altı yapıdan birinden tetiklendiği durumlardır. Buna ek olarak, güvenlik bilgileri ve olay yönetimi ürünü (SIEM) gibi bir yönetim ürünü büyük olasılıkla verileri zenginleştirecek ve ilişkilendirecek ve bir olayı kötü olarak işaretleyecek başka bir analiz katmanını destekleyecektir. Sonraki adım, saldırının tüm anlatımını almak için araştırma yapmak olacaktır.

Proaktif algılama , kompromize olmuş bir hipotezi kanıtlamak için verilere avlanma yöntemi uyguladığınız durumdur. Tehdit avcılığı, ihlal edildiğiniz varsayımıyla başlar; gerçekten bir ihlal olduğuna dair delil ararsınız.

Tehdit avcılığı, COVID-19 kimlik avı saldırıları gibi mevcut tehditlere dayalı bir hipotezle başlar. Analistler bu varsayımsal tehditle başlar, gizliliğin temel göstergelerini belirler ve ortamın gizliliğinin ihlal edildiğinin kanıtı olup olmadığını görmek için verileri arar. Göstergeler varsa, avlanma senaryoları belirli göstergelerin yeniden oluşması durumunda kuruluşlara bildirimde bulunabilecek analizlerle sonuçlanabilir.

Her iki durumda da, bir olay algılandıktan sonra, saldırının tüm hikayesini oluşturmak için olayı araştırmanız gerekir. Kullanıcı başka ne yaptı? Başka hangi sistemler dahil edildi? Hangi yürütülebilir dosyalar çalıştırıldı?

Bir araştırma eyleme dönüştürülebilir öğrenmelerle sonuçlanırsa düzeltme adımları uygulayabilirsiniz. Örneğin, bir araştırma Sıfır Güven dağıtımındaki boşlukları ortaya çıkarırsa, bu boşlukları gidermek ve gelecekte istenmeyen olayları önlemek için ilkeler değiştirilebilir. Mümkün olduğunda, bir SOC analistinin tehdidi ele alması ve bir sonraki olaya geçmesi için gereken süreyi azalttığı için düzeltme adımlarını otomatikleştirmek istenir.

Tehdit değerlendirmesinde önemli bir başka bileşen, alınan verilere karşı bilinen tehdit istihbaratını dahil etmektir. IP, hash değeri, URL, dosya, yürütülebilir vb. zararlı olduğu biliniyorsa, tanımlanabilir, araştırılabilir ve düzeltilebilir.

Altyapı yapısında, güvenlik açıklarını gidermek için zaman harcandı. Bir sistemin güvenlik açığı olduğu biliniyorsa ve bu güvenlik açığından yararlanan bir tehdit varsa, bu algılanabilir, araştırılabilir ve düzeltilebilir bir şeydir.

Bu taktikleri tehditleri yönetmek için kullanmak için, SOC yöneticilerinin tehdit bilgilerini algılamasına, araştırmasına, düzeltmesine, avlamasına, tehdit bilgilerini kullanmasına, bilinen güvenlik açıklarını anlamasına, tehdit uzmanlarına dayanmasına ve altı sütundan herhangi birinde tehditleri engellemesine olanak sağlayan merkezi bir konsola sahip olmanız gerekir. Bu aşamaları desteklemek için gereken araçlar, tek bir iş akışına yakınsanıyorsa en iyi şekilde çalışır ve SOC analistinin verimliliğini artıran sorunsuz bir deneyim sağlar.

Güvenlik İşlem Merkezleri genellikle tehditleri toplamak, algılamak, araştırmak ve yanıtlamak için SIEM ve SOAR teknolojilerinin bir bileşimini dağıtır. Microsoft, Microsoft Sentinel'i hizmet olarak SIEM teklifi olarak sunar. Microsoft Sentinel, Kimlik için Microsoft Defender ve üçüncü taraf verilerinin tamamını alır.

Microsoft Sentinel’i besleyen temel veri akışlarından biri olan Microsoft Defender XDR, tüm Microsoft 365 bileşenlerinde bağlam farkındalığına sahip koruma, algılama ve yanıt sunan birleşik kurumsal savunma paketi sağlar. Microsoft 365 kullanan müşteriler, bağlama duyarlı ve eşgüdümlü olarak uç noktalar, işbirliği araçları, kimlikler ve uygulamalar arasında görünürlük ve koruma elde edebilir.

Bu hiyerarşi sayesinde müşterilerimizin odaklarını en üst düzeye çıkarmalarını sağlıyoruz. Microsoft Defender XDR, bağlam farkındalığı ve otomatik giderim sayesinde, zaten aşırı iş yükü altında olan SOC personeline ek uyarı yorgunluğu yüklemeden birçok tehdidi algılayıp durdurabilir. Microsoft Defender XDR içindeki Gelişmiş Avcılık, birçok temel saldırı noktasına odaklanmak için bu bağlamı avcılık sürecine taşır. ayrıca Microsoft Sentinel aracılığıyla tüm ekosistem genelinde avlanma ve düzenleme, hem heterojen bir ortamın tüm yönlerine doğru görünürlük elde etme hem de operatörün bilişsel aşırı yüklemesini en aza indirme olanağı sağlar.

Görünürlük, otomasyon ve düzenleme Sıfır Güven dağıtım hedefleri

Görünürlük, otomasyon ve düzenleme için uçtan uca bir Sıfır Güven çerçevesi uygularken öncelikle şu ilk dağıtım hedeflerine odaklanmanızı öneririz:

Bir onay işareti olan liste simgesi.

I.Görünürlük sağlayın.

II.Otomasyonu etkinleştirin.

Bunlar tamamlandıktan sonra şu ek dağıtım hedeflerine odaklanın:

İki onay işareti olan liste simgesi.

III.Ek koruma ve algılama denetimlerini etkinleştirin.

Görünürlük, otomasyon ve düzenleme Sıfır Güven dağıtım kılavuzu

Bu kılavuz, bir Sıfır Güven güvenlik çerçevesinin ilkelerini izleyerek görünürlüğü, otomasyonu ve düzenlemeyi yönetmek için gereken adımlarda size yol gösterir.




Bir onay işareti olan denetim listesi simgesi.

İlk dağıtım hedefleri

I. Görünürlük oluşturma

İlk adım, Microsoft Tehdit Koruması'nı (MTP) etkinleştirerek görünürlük sağlamaktır.

Şu adımları izleyin:

  1. Microsoft Defender XDR iş yüklerinden birine kaydolun.
  2. İş yüklerini etkinleştirin ve bağlantı kurun.
  3. Cihazlarınızda ve altyapınızda algılamayı yapılandırarak ortamda devam eden etkinliklere anında görünürlük sağlayın. Bu, kritik veri akışını başlatmak için tüm önemli "arama tonunu" sağlar.
  4. İş yükleri arası görünürlük ve olay algılama elde etmek için Microsoft Defender XDR etkinleştirin.

II. Otomasyonu etkinleştirme

Görünürlük oluşturduktan sonraki önemli adım, otomasyonu etkinleştirmektir.

Otomatik araştırma ve düzeltme

Microsoft Defender XDR sayesinde hem araştırmaları hem de düzeltmeyi otomatik hale aldık ve bu da temelde ek katman 1 SOC analizi sağlar.

Otomatik Araştırma ve Düzeltme (AIR) aşamalı olarak etkinleştirilebilir, böylece kullanılabilecek eylemlerle bir konfor düzeyi geliştirebilirsiniz.

Şu adımları izleyin:

  1. Test grubu için AIR'i etkinleştirin.
  2. Araştırma adımlarını ve yanıt eylemlerini analiz edin.
  3. Algılama ve yanıt süresini kısaltmak için tüm cihazlar için aşamalı olarak otomatik onay sürecine geçin.

Sıfır Güven modelinin uygulanmasından kaynaklanan olaylara görünürlük elde etmek için, olay araştırması ve müdahalesi için merkezi bir platform sağlamak amacıyla Microsoft Defender XDR, Microsoft Purview Veri Bağlayıcıları ve ilgili üçüncü taraf ürünlerini Microsoft Sentinel'e bağlamak önemlidir.

Veri bağlantısı işleminin bir parçası olarak, olayları tetikleme amacıyla ilgili analiz etkinleştirilebilir ve zaman içinde verilerin grafik gösterimi için çalışma kitapları oluşturulabilir.

Makine öğrenmesi ve füzyon analizi kullanıma hazır olsa da, bilinen kötü varlıklarla ilgili olayların tanımlanmasına yardımcı olmak için tehdit bilgileri verilerini Microsoft Sentinel'e almak da yararlıdır.




İki onay işareti içeren denetim listesi simgesi.

Ek dağıtım hedefleri

III. Ek koruma ve algılama denetimlerini etkinleştirme

Ek denetimlerin etkinleştirilmesi, görünürlüğünüzü ve yanıtları düzenleme yeteneğinizi geliştirmek için Microsoft Defender XDR ve Microsoft Sentinel gelen sinyali geliştirir.

Saldırı yüzeyi azaltma denetimleri bu tür bir fırsatı temsil eder. Bu koruyucu denetimler yalnızca kötü amaçlı yazılımlarla en çok ilişkili olan belirli etkinlikleri engellemekle kalmaz, aynı zamanda sürecin başlarında bu tekniklerden yararlanan saldırganları algılamaya yardımcı olabilecek belirli yaklaşımları kullanma girişimlerine de neden olur.

Bu kılavuzda ele alınan ürünler

Microsoft Azure

Kimlik için Microsoft Defender

Microsoft Sentinel

Microsoft 365

Microsoft Tehdit Koruması



Sıfır Güven dağıtım kılavuzu serisi

Giriş simgesi

Kimlik simgesi

Uç noktalar simgesi

Uygulamalar simgesi

Veri simgesi

Altyapı simgesi

Ağlar için simge

Görünürlük, otomasyon, düzenleme simgesi

  • Last updated on