Güvenlik olayı yanıtı için öneriler
Azure İyi Tasarlanmış Çerçeve Güvenliği denetim listesi önerisi için geçerlidir:
| SE:12 | Yerelleştirilmiş sorunlardan olağanüstü durum kurtarmaya kadar bir yelpazedeki olayları kapsayan etkili olay yanıtı yordamlarını tanımlayın ve test edin. Bir yordamı hangi ekibin veya bireyin çalıştırılacağını net bir şekilde tanımlayın. |
|---|
Bu kılavuzda, bir iş yükü için güvenlik olayı yanıtı uygulama önerileri açıklanmaktadır. Bir sistemde güvenlik riski varsa, sistematik olay yanıtı yaklaşımı güvenlik olaylarını tanımlamak, yönetmek ve azaltmak için gereken süreyi azaltmaya yardımcı olur. Bu olaylar yazılım sistemlerinin ve verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehdit edebilir.
Çoğu kuruluş bir merkezi güvenlik operasyon ekibine (Güvenlik İşlem Merkezi (SOC) veya SecOps olarak da bilinir) sahiptir. Güvenlik operasyonu ekibinin sorumluluğu, olası saldırıları hızla algılamak, önceliklendirmek ve önceliklendirmektir. Ekip ayrıca güvenlikle ilgili telemetri verilerini izler ve güvenlik ihlallerini araştırır.
Ancak, iş yükünüzü koruma sorumluluğunuz da vardır. İletişim, araştırma ve avlanma etkinliklerinin iş yükü ekibiyle SecOps ekibi arasında işbirliğine dayalı bir çalışma olması önemlidir.
Bu kılavuz, saldırıları hızla algılamanıza, önceliklendirmenize ve araştırmanıza yardımcı olmak için size ve iş yükü ekibinize öneriler sağlar.
Tanımlar
| Süre | Tanım |
|---|---|
| Uyarı | Bir olay hakkında bilgi içeren bir bildirim. |
| Uyarı uygunluğu | Uyarıyı belirleyen verilerin doğruluğu. Yüksek uygunluk uyarıları, anında işlem yapmak için gereken güvenlik bağlamını içerir. Düşük aslına uygunluk uyarıları bilgi içermez veya kirlilik içerir. |
| Hatalı pozitif | Gerçekleşmemiş bir olayı gösteren uyarı. |
| Incident | Sisteme yetkisiz erişimi gösteren bir olay. |
| Olay yanıtı | Bir olayla ilişkili riskleri algılayan, yanıtlayan ve azaltan bir işlem. |
| Önceliklendirme | Güvenlik sorunlarını analiz eden ve bunların risk azaltmasına öncelik veren bir olay yanıtı işlemi. |
Temel tasarım stratejileri
Olası bir riskle ilgili sinyal veya uyarı olduğunda, siz ve ekibiniz olay yanıtı işlemleri gerçekleştirirsiniz. Yüksek uygunluk uyarıları, analistlerin karar vermelerini kolaylaştıran geniş bir güvenlik bağlamı içerir. Yüksek aslına uygunluk uyarıları, düşük sayıda hatalı pozitif sonuç verir. Bu kılavuzda, uyarı sisteminin düşük aslına uygunluk sinyallerini filtrelediğini ve gerçek bir olayı gösterebilecek yüksek aslına uygunluk uyarılarına odaklandığını varsayar.
Olay bildirimi kişilerini belirleme
Güvenlik uyarılarının ekibinizde ve kuruluşunuzda uygun kişilere ulaşması gerekir. Olay bildirimlerini almak için iş yükü ekibinizde belirlenen bir iletişim noktası oluşturun. Bu bildirimler, güvenliği ihlal edilen kaynak ve sistem hakkında mümkün olduğunca çok bilgi içermelidir. Ekibinizin eylemleri hızlandırabilmesi için uyarının sonraki adımları içermesi gerekir.
Denetim izi tutan özel araçları kullanarak olay bildirimlerini ve eylemlerini günlüğe kaydetmenizi ve yönetmenizi öneririz. Standart araçları kullanarak, olası yasal araştırmalar için gerekli olabilecek kanıtları koruyabilirsiniz. Sorumlu tarafların sorumluluklarına göre bildirim gönderebilen otomasyon uygulama fırsatlarını arayın. Bir olay sırasında net bir iletişim ve raporlama zinciri tutun.
Kuruluşunuzun sağladığı güvenlik bilgileri olay yönetimi (SIEM) çözümlerinden ve güvenlik düzenleme otomatik yanıt (SOAR) çözümlerinden yararlanın. Alternatif olarak, olay yönetimi araçlarını temin edebilir ve kuruluşunuzu tüm iş yükü ekipleri için standartlaştırmaya teşvik edebilirsiniz.
Önceliklendirme ekibiyle araştırma
Olay bildirimi alan ekip üyesi, kullanılabilir verilere göre uygun kişileri içeren bir önceliklendirme işlemi ayarlamakla sorumludur. Genellikle köprü ekibi olarak adlandırılan önceliklendirme ekibinin iletişim modu ve süreci üzerinde anlaşmaya varması gerekir. Bu olay zaman uyumsuz tartışmalar veya köprü çağrıları gerektiriyor mu? Ekip araştırmaların ilerleme durumunu nasıl izlemeli ve iletmelidir? Ekip olay varlıklarına nereden erişebilir?
Olay yanıtı, sistemin mimari düzeni, bileşen düzeyindeki bilgiler, gizlilik veya güvenlik sınıflandırması, sahipler ve önemli iletişim noktaları gibi belgeleri güncel tutmanın önemli bir nedenidir. Bilgiler yanlış veya güncel değilse, köprü ekibi sistemin nasıl çalıştığını, her alandan kimin sorumlu olduğunu ve olayın etkisini anlamaya çalışmak için değerli zaman harcar.
Daha fazla araştırma için uygun kişileri dahil edin. Olay yöneticisi, güvenlik görevlisi veya iş yükü odaklı müşteri adayları ekleyebilirsiniz. Önceliklendirmeyi odaklanmış durumda tutmak için, sorunun kapsamı dışında kalan kişileri hariç tutun. Bazen ayrı ekipler olayı araştırır. Başlangıçta sorunu araştıran ve olayı hafifletmeye çalışan bir ekip ve geniş kapsamlı sorunları belirlemek için derin bir araştırma için adli inceleme gerçekleştirebilecek başka bir uzman ekip olabilir. Adli tıp ekibinin araştırmalarını yapmasını sağlamak için iş yükü ortamını karantinaya alabilirsiniz. Bazı durumlarda, aynı ekip tüm araştırmayı işleyebilir.
İlk aşamada, önceliklendirme ekibi olası vektör ve bunun sistemin gizliliği, bütünlüğü ve kullanılabilirliği (CIA olarak da adlandırılır) üzerindeki etkisini belirlemekten sorumludur.
CIA kategorilerinde, hasarın derinliğini ve düzeltme aciliyetini gösteren bir başlangıç önem düzeyi atayın. Önceliklendirme düzeylerinde daha fazla bilgi bulunduğundan bu düzeyin zaman içinde değişmesi beklenir.
Bulma aşamasında, eylem ve iletişim planlarının hemen bir seyrini belirlemek önemlidir. Sistemin çalışma durumunda herhangi bir değişiklik var mı? Daha fazla sömürüyü durdurmak için saldırı nasıl kontrol altına alınabilir? Ekibin, sorumlu bir açıklama gibi iç veya dış iletişim göndermesi gerekiyor mu? Algılama ve yanıt süresini göz önünde bulundurun. Yasal olarak bazı ihlal türlerini belirli bir süre içinde (genellikle saat veya gün) bir düzenleyici makama bildirmekle yükümlü olabilirsiniz.
Sistemi kapatmaya karar verirseniz, sonraki adımlar iş yükünün olağanüstü durum kurtarma (DR) işlemine yol açar.
Sistemi kapatmıyorsanız, sistemin işlevselliğini etkilemeden olayın nasıl düzeltileceğini belirleyin.
Bir olaydan kurtarma
Bir güvenlik olayına olağanüstü durum gibi davranın. Düzeltme tam kurtarma gerektiriyorsa, güvenlik açısından uygun DR mekanizmalarını kullanın. Kurtarma işleminin yinelenme olasılığını engellemesi gerekir. Aksi takdirde, bozuk bir yedeklemeden kurtarma işlemi sorunu yeniden oluşturur. Aynı güvenlik açığına sahip bir sistemin yeniden dağıtılması aynı olaya yol açar. Yük devretme ve yeniden çalışma adımlarını ve işlemlerini doğrulayın.
Sistem çalışmaya devam ederse, sistemin çalışan bölümleri üzerindeki etkisini değerlendirin. Düzgün performans düşüşü süreçleri uygulayarak diğer güvenilirlik ve performans hedeflerinin karşılandığından veya yeniden ayarlandığından emin olmak için sistemi izlemeye devam edin. Risk azaltma nedeniyle gizliliği tehlikeye atmayın.
Tanılama, vektör ve olası bir düzeltme ve geri dönüş belirlenene kadar etkileşimli bir işlemdir. Tanı konulduktan sonra takım, gerekli düzeltmeyi kabul edilebilir bir süre içinde tanımlayan ve uygulayan düzeltme üzerinde çalışır.
Kurtarma ölçümleri, bir sorunu düzeltmenin ne kadar sürdüğünü ölçer. Kapatma durumunda düzeltme sürelerine ilişkin bir aciliyet söz konusu olabilir. Sistemi dengelemek için düzeltmelerin, düzeltme eklerinin ve testlerin uygulanması ve güncelleştirmelerin dağıtılması zaman alır. Daha fazla hasar oluşmasını ve olayın yayılmasını önlemek için kapsama stratejilerini belirleyin. Tehdidi ortamdan tamamen kaldırmak için silme yordamları geliştirin.
Denge: Güvenilirlik hedefleri ile düzeltme süreleri arasında bir denge vardır. Bir olay sırasında, büyük olasılıkla diğer işlevsiz veya işlevsel gereksinimleri karşılamıyorsunuzdur. Örneğin, olayı araştırırken sisteminizin bölümlerini devre dışı bırakmanız veya olayın kapsamını belirleyene kadar sistemin tamamını çevrimdışına almanız gerekebilir. İş karar alıcılarının olay sırasında kabul edilebilir hedeflerin ne olduğunu açıkça belirlemesi gerekir. Bu karardan sorumlu olan kişiyi açıkça belirtin.
Bir olaydan öğrenme
Bir olay, tasarım veya uygulamadaki boşlukları veya savunmasız noktaları ortaya çıkarır. Bu, teknik tasarım yönleri, otomasyon, test içeren ürün geliştirme süreçleri ve olay yanıtı sürecinin etkinliği ile ilgili derslere dayalı bir geliştirme fırsatıdır. Edilen eylemler, zaman çizelgeleri ve bulgular da dahil olmak üzere ayrıntılı olay kayıtlarını koruyun.
Kök neden analizi ve geçmişe dönük değerlendirmeler gibi yapılandırılmış olay sonrası incelemeler yapmanızı kesinlikle öneririz. Bu incelemelerin sonucunu izleyin ve önceliklerini belirleyin ve gelecekteki iş yükü tasarımlarında öğrendiklerini kullanmayı göz önünde bulundurun.
İyileştirme planları, iş sürekliliği ve olağanüstü durum kurtarma (BCDR) tatbikatları gibi güvenlik tatbikatları ve test güncelleştirmelerini içermelidir. BCDR tatbikatı gerçekleştirmek için bir senaryo olarak güvenlik güvenliğini aşmayı kullanın. Detaylandırmalar, belgelenen işlemlerin nasıl çalıştığını doğrulayabilir. Birden çok olay yanıtı playbook'u olmamalıdır. Olayın boyutuna ve efektin ne kadar yaygın veya yerelleştirildiğine göre ayarlayabileceğiniz tek bir kaynak kullanın. Tatbikatlar varsayımsal durumlara dayanır. Tatbikatları düşük riskli bir ortamda gerçekleştirin ve tatbikatlara öğrenme aşamasını dahil edin.
Yanıt sürecindeki zayıflıkları ve iyileştirme alanlarını belirlemek için olay sonrası gözden geçirmeleri veya otopsiler yapın. Olaydan öğrendiğiniz derslere bağlı olarak, olay yanıt planını (IRP) ve güvenlik denetimlerini güncelleştirin.
İletişim planı tanımlama
Kullanıcıları bir kesintiden haberdar etmek ve iç paydaşları düzeltme ve iyileştirmeler hakkında bilgilendirmek için bir iletişim planı uygulayın. Kuruluşunuzdaki diğer kişilere gelecekteki olayları önlemek için iş yükünün güvenlik temelinde yapılan değişiklikler bildirilmelidir.
İç kullanım ve gerekirse mevzuat uyumluluğu veya yasal amaçlar için olay raporları oluşturun. Ayrıca, SOC ekibinin tüm olaylar için kullandığı standart biçimli bir raporu (tanımlı bölümleri olan bir belge şablonu) benimseyin. Araştırmayı kapatmadan önce her olayın kendisiyle ilişkilendirilmiş bir raporu olduğundan emin olun.
Azure kolaylaştırma
Microsoft Sentinel bir SIEM ve SOAR çözümüdür. Uyarı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm. Daha fazla bilgi için bkz . Microsoft Sentinel nedir?
Güvenlik işlemlerinin bir iç işlem aracılığıyla doğrudan bildirilmesi için Azure kayıt portalında yönetici iletişim bilgileri bulunduğundan emin olun. Daha fazla bilgi için bkz . Bildirim ayarlarını güncelleştirme.
Bulut için Microsoft Defender'dan Azure olay bildirimleri alan belirli bir kişi noktası oluşturma hakkında daha fazla bilgi edinmek için bkz. Güvenlik uyarıları için e-posta bildirimlerini yapılandırma.
Kurumsal uyumluluk
Azure için Bulut Benimseme Çerçevesi, olay yanıtı planlaması ve güvenlik işlemleri hakkında rehberlik sağlar. Daha fazla bilgi için bkz . Güvenlik işlemleri.
İlgili bağlantılar
- Microsoft güvenlik uyarılarından otomatik olarak olay oluşturma
- Avlanma özelliğini kullanarak uçtan uca tehdit avcılığı gerçekleştirme
- Güvenlik uyarıları için e-posta bildirimlerini yapılandırma
- Olay yanıtına genel bakış
- Microsoft Azure olay hazırlığı
- Microsoft Sentinel'de olaylara gitme ve olayları araştırma
- Güvenlik denetimi: Olay yanıtı
- Microsoft Sentinel'de SOAR çözümleri
- Eğitim: Azure olay hazırlığına giriş
- Azure portalı bildirim ayarlarını güncelleştirme
- SOC nedir?
- Microsoft Sentinel nedir?
Güvenlik denetim listesi
Öneriler kümesinin tamamına bakın.