Kategori arşivi: Azure Security

Azure Security Center üzerinde SQL için Yeni İyileştirme Önerileri Yayınlandı- Azure Security Center launched new SQL Recommendations

Bildiğiniz gibi yerleşik sistemler veya Azure üzerindeki sunucular içine security center üzerinden toplanan logların bir sonucu olarak pek çok iyileştirme, sıkılaştırma önerileri yapılmaktadır.

29 Temmuz itibari ile özellikle CIS gereksinimleri konusunda yeni kontrol noktaları eklenmesi sonucunda artık SQL ortamlarınızın güvenli konusunda çok daha iyi bir öneri, raporlama özelliğine sahip olacaksınız.

Bu yeni özellikler aşağıdaki gibidir;

Advanced data security should be enabled on your SQL servers

Vulnerability assessment should be enabled on your SQL servers

SQL servers should be configured with auditing retention days greater than 90 days

Email notifications to admins and subscription owners should be enabled in SQL server advanced data security settings

All advanced threat protection types should be enabled in SQL server advanced data security settings

SQL server TDE protector should be encrypted with your own key

Daha fazla bilgi için aşağıdaki linki inceleyebilirsiniz

https://docs.microsoft.com/en-us/azure/security-center/security-center-sql-service-recommendations#data-and-storage-recommendations

Security principal reconnaissance (LDAP) Nedir?

Genellikle kötü niyetli kişilerin saldırı düzenlerken farklı amaçları vardır. Buradan yola çıkarak aslında kurbanlarını seçerler. Eğer bir sisteme rastgele sızmak ve anında sistem içerisindeki verileri şifreleyip fidye istemek ise bunu çok hızlı ve acı bir şekilde öğrenebilirsiniz.

Bu konuda hali hazırda aşağıdaki yazımda bahsetmiştim, özetlemek gerekir ise kötü niyetli kişiler saldırı öncesi basit LDAP sorguları ile domain için keşif yaparlar;

Active Directory Saldırılarının Temeli- LDAP Keşfi- LDAP Reconnaissance

Azure ATP ürünü üzerinde aşağıdaki gibi bir ayar yer almaktadır;

Bu ayarın amacı da tam olarak bu tür atakları kesmektir. Sisteme kurulduktan sonra ortalama 10 gün içerisinde kullanıcılarınızın yaptığı sorguları öğrenerek anormal sorguların gelmesi durumunda uyarı vermesini sağlayan son derece gelişmiş bir özelliktir. Günün sonunda domain içerisinde onlarca, yüzlerce veya binlerce kullanıcı ldap sorgusu yapabilir, ama bunların hangilerinin kötü amaçlı olduğunu ayırt edebilmek için mutlaka bir öğrenme süreci gereklidir.

Daha fazla bilgi için

https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-reconnaissance-alerts#security-principal-reconnaissance-ldap-external-id-2038—preview

Active Directory Saldırılarının Temeli- LDAP Keşfi- LDAP Reconnaissance

Genellikle kötü niyetli kişilerin saldırı düzenlerken farklı amaçları vardır. Buradan yola çıkarak aslında kurbanlarını seçerler. Eğer bir sisteme rastgele sızmak ve anında sistem içerisindeki verileri şifreleyip fidye istemek ise bunu çok hızlı ve acı bir şekilde öğrenebilirsiniz.

Ancak daha büyük çaplı ataklarda durum farklıdır. Yukarıdaki örnekte dahil sadece birkaç makine değil de tüm sistemi, hatta sunucuların yanında istemcileri de şifrelemek gibi büyük hedeflerin olması veya tam tersi hedefin sinsice sisteme sızmak, birkaç ay içerisinde tüm yapıyı anlayıp kritik verileri çalmak ve belki de ikinci veya üçüncü faz olarak şifreleme atağına evirilen ataklar olabilir. Böyle bir atak yapabilmek için tabiki öncelikle içinde bulunduğunuz ortamı incelemeniz gerekli. Bu konuda yapılan ilk iş belki ip taraması iken ikinci işte domain ortamının incelenmesidir.

Çoğu ortamda, etki alanındaki her hesap, LDAP protokolünü kullanarak keşif yapmak için gereken izinlere sahipti. Varsayılan yapılandırma ile, herhangi bir etki alanı kullanıcısı, etki alanı yapılandırmaları, Exchange sunucusu, domain controller makinelerin isimlerini, yetkili grup ve üyelikleri gibi pek çok kritik bilgiyi öğrenebilir.

Saldırganlar, bu tür ataklar için herkesin ulaşabileceği PowerView ve BloodHound gibi araçları kullanırlar. Bu araçlar, ortamdaki tüm kullanıcıların, grupların, bilgisayar hesaplarının ve hesap erişim denetim listelerinin (ACL) alınmasına yardımcı olur. Toplanan veriler ayrıştırıldıktan sonra, bir grafik veri tabanında saklanır ve farklı hesaplar arasındaki ilişkileri görüntüleyen görsel bir grafik oluşturmak için kullanılır ve saldırganların hareketlerini etki alanında yatay olarak belirlemelerine ve planlamalarına yardımcı olur. Buradaki ilk amacın yatay olması dikey hareket için zemin ve yetki arayışıdır. Ayrıca olası zarar verme senaryosunda maksimum zarar verebilmek için maksimum seviyede istemci veya sunucuya erişim hakkını elde etmeye çalışır.

Bu tür basit bilgilerin sonuçlarının ne kadar kötü olacağını bazen tahmin edemeyebiliriz. Örneğin LDAP üzerinden alınan kritik kullanıcıların mail adresleri veya telefonlarına gönderilen oltalama mailleri ile şifre veya veri sızıntısı olabilir.

Peki LDAP saldırılarına karşı koruma önlemi yok mu?

Öncelikle mevcut AD ortamınızdaki binlerce sorgu içerisinden hangilerinin rutin ve legal, hangilerinin illegal olduğunu ayırt etmeniz gerekmektedir. Tabiki bunu bir güvenlik ürününün yardımı olmadan yapamazsınız.

Bu etkinliklerin kaynakları ve niyetleri konusunda araştırma yapacak araçlarınızın olması gerekli

Bu araçlar özellikle aynı kaynaklar için diğer faaliyetlerinde takip edebilmelidir. Genelde çünkü sızıntının başlangıç noktası bellidir.

En önemlisi ise sızıntıya uğramış tehlikeli hesapların bir an önce tespit edilip koruma altına alınmasıdır.

Peki bu konuda önerim ne olacaktır? Aslında uzun süredir ATA yani Advanced Threat Protection ürünü danışmanlığı yapan birisi olarak kesinlikle lisansınız var ise ATA kurup kullanmanız olacaktır. Ancak ürünün maliyetleri kaynaklı eğer kullandığın kadar öde modeli size uygun ise Azure Advanced Threat Protection ile aynı şekilde LDAP bazlı ataklar için organizasyonunuzu koruyabilirsiniz.

Yukarıda ATA’ dan alınmış bir ekran görüntüsü görüyorsunuz. Son derece anlaşılır bir şekilde hangi istemci makineden illegal bir LDAP sorgusu yapıldığı hakkında detaylı bilgi alabiliyoruz. Özellikle SIEM entegrasyonu yapmanız durumunda ATA inanılmaz başarılı bir araçtır.

ATA konusunda daha fazla bilgi için aşağıdaki makalelerimi inceleyebilirsiniz;

Microsoft Advanced Threat Analytics – Bölüm 1 – What is ATA
https://www.cozumpark.com/microsoft-advanced-threat-analytics-bolum1-what-is-ata/
Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements
https://www.cozumpark.com/microsoft-advanced-threat-analytics-bolum2-planning-and-requirements/
Microsoft Advanced Threat Analytics – Bölüm 3 – Deployment Guide – Lab Installation
https://www.cozumpark.com/microsoft-advanced-threat-analytics-bolum3-deployment-guide-lab-installation/
Microsoft Advanced Threat Analytics – Bölüm 4 – Configure Event Collection
https://www.cozumpark.com/microsoft-advanced-threat-analytics-bolum4-configure-event-collection/

Kaynak

https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/LDAP-Reconnaissance-the-foundation-of-Active-Directory-attacks/ba-p/462973

Microsoft Threat Experts Kullanıma Sunuldu

Microsoft’ un en gelişmiş güvenlik hizmetlerinden birisi olan Windows Defender Advanced Threat Protection içerisinde sunulan Microsoft Threat Experts artık müşterilerin kullanımına sunuldu. Microsoft Threat Experts, kritik tehditlerin tanımlanmasını, araştırılmasını ve çözülmesini sağlamak için uzman düzeyinde gözetim ve analiz hizmeti sunan ve hepimizin bildiği bir “güvenlik operasyon merkezi – SOC” hizmetidir. WDATP çok gelişmiş bir güvenlik hizmeti olup bunun içerisinde sunulan MTE sayesinde müşteriler anlık olarak aslında Microsoft tarafından sunulan bir SOC hizmetine de sahip olmuş olacaklar.

Kaynak

https://techcommunity.microsoft.com/t5/Windows-Defender-ATP/Microsoft-Threat-Experts-reaches-general-availability/ba-p/502493

Azure Sentinel Nedir?

Azure Sentinel, Microsoft’ un bulut tabanlı yeni nesil SIEM ürünüdür. Bu tanım aslında ilk bakışta konuyu özetlemek için kullanılsa da Azure Sentinel bir SIEM ürününden fazlasıdır. Kurumsal seviyede gerek yerleşik gerekse bulut tabanlı alt yapınızın “intelligent security analytics” olarak isimlendirilen akıllık güvenlik analizi yapan bir üründür. Yani tüm kurumunuzdan alınan logların toplandığı ve işlendiği bir merkez olarak düşünebilirsiniz.

Microsoft Azure ve Office 365 gibi yaygın bulut hizmetleri sayesinde güvenlik alanında her geçen gün çok daha etkili ürün ve hizmetler sunmaya başladı. Özellikle bundan önce forefront ürün ailesi ile yaşanan başarısızlık sonrasında bir nevi Microsoft’ un dönüşü muhteşem oldu diyebiliriz. Tabiki buradaki en önemli etkenlerin başında “veri” yer alıyor. Günün sonunda güvenlik söz konusu olduğunda saldıranlar hep bir adım öncedir. Güvenlik firmaları ise özellikle yaygınlaşmak için çok ciddi bir rekabet içerisindedirler. Çünkü bir üreticinin ne kadar çok istemci tarafında bilgisi olur ise Dünya üzerindeki saldırılar hakkında o kadar çok bilgisi olur. Yine son dönemde çok kullanılan AI, ML gibi teknolojiler de büyük veriler ile daha kesin sonuçlar verebilmektir.

Daha basit bir örnek vermek gerekir ise X bir üreticinin anti spam gateway ürünü üzerinden dünyadaki 10 milyon mail’ in geçmesi ile Y üreticisinin anti spam gateway ürününün üzerinden 1 milyar mail’ in geçmesi ikinci ürün için çok ciddi bir pozitif farkındalık oluşturur. Microsoft’ da AWS, Google, IBM, Oracle ve benzeri pek çok büyük bulut oyuncusunun başında yer alması nedeni ile son 10 yıldır çok ciddi bir veri işleme merkezi haline geldi.

2010 yılında Office 365 ile başlayan bu macera baktığımız zaman Dünya üzerinde (Türkiye de ağırlıklı olmasa bile) pek çok küçük veya büyük firmanın merkezileşen bu yönetim metodolojini benimsediğini görüyoruz. Durum böyle olunca da Microsoft sahip olduğu bu büyük veri okyanusunun çok iyi kullanmaya başladı. Tabiki buradan verilerimiz okunuyor mu gibi yanlış anlamalar çıkmasın. Kim hangi ip den, kaç kere, hangi protokol ile ne zaman gibi aslında kötü niyetli veya iyi niyetli istekleri ayırt edecek temel izleme bilgileri sayesinde bu kadar gelişmiş güvenlik hizmetleri sunabilmektedir. Veri Microsoft veya benzeri bulut oyuncularının veri merkezlerinde olunca aslında erişim noktasındaki kontroller bile pek çok atağın henüz müşteri verilerine ulaşmadan engellenmesini sağlamaktadır.

Dediğim gibi Office 365 ile başlayan macera özellikle Azure kullanımın artması ile ciddi farkındalık oluşturdu. Çünkü Office 365 içerisindeki hizmetler sınırlı iken Azure aynı yerleşik veri merkezlerimiz gibi canlı, sürekli gelişen ve değişen bir alt yapıyı temsil etmektedir. Firewall, erişim logları, IDS, IDP, EDR, AV, WAF, NLB, Application gateway derken aslında yerleşik sistemlerimiz için kullandığımız hemen hemen her ürünü Azure üzerinde de konumlandırabilir seviyeye geldik. Aslında bu temel bir güvenlik ihtiyacının sonucu oldu.

Microsoft ise bu ihtiyaçları çok iyi analiz edip pek çok alanda ciddi güvenlik hizmetleri sunmaktadır. Bu konuda hali hazırda pek çok makale yazdığım için örneğin sadece Azure Security Center bile sizleri çok ciddi etkileyecektir;

Azure Security Center hakkında merak ettiğiniz her konuda bir yazımı bulabilirsiniz;

Azure Security Center’ ı Nasıl Denerim?

Azure Security Center Free ve Standart Tier Farkları

Azure Security Center – Security Roles and Access Controls ve Security Policies and Recommendations

Azure Security Center – Data Collection and Storage

Azure Security Center – Ongoing Security Monitoring

Azure Security Center – Incident Response

Azure Security Center Alerts ve Veri Toplama Teknolojileri

Azure Security Center Custom Alert Rules

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions – non-Azure computers

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions – Advanced Threat Analytics

Peki gelelim Sentinel tarafına.

Malum yukarıda da girişini yaptığım gibi hali hazırda Microsoft çok ciddi bir güvenlik ürün portföyü ile bizlere hizmet sunmaktadır. Bulutun en büyük gücünden birisi olan akıllı hesaplama özellikleri sayesinde incelediği sistemler için hızlı aksiyon almanıza yarayan raporlar veya uyarılar sunmaktadır. Durum böyle olunca çok ciddi bir tecrübe ve alt yapı isteyen yerleşik SIEM ürünlerine göre çok daha avantajlı bir hal almaktadır. Malum, güvenlik alanındaki uzmanlar biliyor ki SIEM ürünlerinin kurulması, işletilmesi çok ciddi bir efor ister. Çoğunluğu maliyetli ürünler olup kurulum ve yapılandırma, sonrasındaki bakım ve işletme maliyetleri çok yüksektir.

Bulut temelli olduğu için veri toplama işi de son derece kolaydır. Öncelikle Office 365 gibi bir alt yapınız var ise zaten birkaç tıklama ile çok kolay bir şekilde Sentinel için Office 365 olaylarını toplayabilirsiniz. Bunun yanı sıra endüstri standartı haline gelmiş pek çok üreticinin ürünü ile sorunsuz bir şekilde konuşabilmektedir; Palo Alto Networks, F5, Symantec, Fortinet, and Check Point bunlardan sadece birkaç tanesidir.

Pek çok Microsoft bulut güvenlik ürününde olduğu gibi sadece bulut değil yerleşik sistemleri de kolaylıkla izleyebilir.

Peki nasıl çalışıyor?

Temel olarak 4 adımdan bahsedebiliriz;

Collect

Azure Sentinel ile tüm güvenlik verilerini yerleşik bağlayıcılar (connectors), diğer Microsoft ürünleri ile olan doğal iletişim desteği ve endüstri standartı halinde gelmiş common event format ve syslog gibi log formatlarının desteklemesi sayesinde tüm kullanıcı, aygıt ve alt yapınızdan bilgileri kolay bir şekilde toplayabilirsiniz. Sadece birkaç tıklamayla Microsoft Office 365 verilerinizi ücretsiz olarak içe aktarabilir ve analiz için diğer güvenlik verileriyle birleştirebilirsiniz. Azure Sentinel, her gün 10 petabyte’ dan fazla veri işleyen ve milyonlarca kaydı saniyeler içinde sıralayabilen çok hızlı bir sorgu altyapısı sağlayan, kanıtlanmış ve ölçeklenebilir bir günlük analizi veri tabanı üzerine kurulmuş olan Azure monitörünü kullanır.

Detect

Güvenlik uzmanları farklı ürünlerden gelen pek çok uyarının geleneksel korelasyon yöntemleri ile sadeleştirilmesine rağmen çok büyük bir yük altında karar vermek zorunda kalırlar. Alacakları kararlar bazen kesintiye neden olabilmektedir. Hatta bu nedenle çok fazla kesinti vermemek ya da false positive olarak isimlendirdiğimiz yanlış uyarıları bildirmemek adına güvenlik politikalarında sıkılaştırma yerine gevşeme yapabilirler.

Azure Sentinel ise milyonlarca düşük veya yüksek seviye güvenlik olaylarını en son teknoloji olan ölçeklenebilir makine öğrenme teknolojisini kullanarak gerektiği zamanda çok hızlı karar verebilmeniz için ihtiyacı olan kaynağı alıp ve sonucu ürettikten sonra bir daha ihtiyaç duyuncaya kadar tekrar düşük kaynak kullanımına devam eden bir yapıya sahiptir. Bu sayede gelen olayların sayısının artması veya azalması ürünün cevap verme süresini değiştirmemektedir.

Eğer hali hazırda kendi öğrenme modelleriniz var ise Azure Sentinel bu konuda da diğer rakiplerine göre çok farklı bir imkân sunmaktadır sizlere. Hali hazırda yıllardır Microsoft güvenlik mühendislerinin sağladığı öğrenme teknolojisini kullanan bu alt yapı eğer bu konuda tecrübeli iseniz Azure Machine Learning hizmetini kullanarak kendi modellerinizi Azure Sentinel’ e öğretebilirsiniz.

Investigate

Grafiksel ve AI tabanlı araştırma, bir saldırının tam kapsamını ve etkisini anlamak için gereken süreyi azaltacaktır. Saldırıyı görselleştirebilir ve aynı gösterge tablosunda hızlı eylemler yapabilirsiniz.

Bu görsel analiz sayesinde olayın veya zafiyetin kök nedenini çok daha kolay bir şekilde tespit edebilirsiniz.

Respond

AI, sorun bulma konusundaki odak noktanızı keskinleştirirken, sorunu çözdükten sonra aynı sorunları tekrar tekrar bulmaya devam etmek istemezsiniz-bunun yerine bu sorunlara yanıtı otomatikleştirmek istersiniz. Azure Sentinel, bütünleşik olarak otomasyon (automation) ve orkestrayon (orchestration) özelliği sunmaktadır. Bu sayede herhangi bir kodlama bilmenize gerek kalmadan önceden tanımlanmış veya kendinizin yazabileceği “playbook” lar sayesinde kolayca bir olay için aksiyon alabilirsiniz. Hatta bu bölümde çok seveceğiniz bir özellik, ServiceNow başta olmak üzere pek çok popüler, kurumsal süreç yönetim uygulaması ile konuşabilir. Bu sayede en basit anlamda otomatik case açma gibi işlemleri de yapabilirsiniz.

Kaynak

https://azure.microsoft.com/en-us/blog/introducing-microsoft-azure-sentinel-intelligent-security-analytics-for-your-entire-enterprise/

Azure Firewall için Yeni İki Özellik Duyuruldu

Bildiğiniz gibi Azure platformunda son derece kullanışlı servislerden birisi olan Azure firewall her geçen gün kullanımın artması ve bulut üzerindeki müşteri isteklerinin gelişmesine bağlı olarak sürekli bir gelişim içerisindedir. Bu gelişimin sonucu olarak aşağıdaki gibi belirli zamanlarda ihtiyaç duyulan bu özelliklerin duyurularını görebiliriz. Bu yeni iki özellik;

Threat intelligence based filtering
Service tags filtering

Olarak özetlenmiştir.

Azure platformunun güvenlik anlamındaki en büyük gücü aslında veri. Sahip olduğu inanılmaz veri ambarı içerisinde akıllık teknolojiler ile kötü domain, ip, dosya, atak türü gibi inanılmaz istihbarat temelli bilgilere sahiptir. Threat intelligence olarak geçen bu bilgiler sayesinde pek çok atağı çok erken dönemde engelleme şansına sahiptir. Artık Azure firewall üzerinde de bilinen bu kötü içerikli domain ve ip adresleri için eş zamanlı bloklama yapılabileceğini görüyoruz.

Diğer bir yenilik ise Service tags filtering. Bu özellikle müşterilerden gelen bir istekti. Malum azure üzerinde pek çok servis ve ip adresi yer almaktadır. Durum böyle olunca SQL Azure, Azure Key Vault veya Azure Service Bus gibi servislerin ip bloklarını hızlı bir şekilde tanımlayabiliyoruz. Bu da firewall tarafında kural yazmamızı kolaylaştırmaktadır.

Daha fazla bilgi için aşağıdaki linki inceleyebilirsiniz;

https://azure.microsoft.com/en-us/blog/announcing-new-capabilities-in-azure-firewall/

Azure Security Center Ortamınızı Yeni Güvenlik Açıklarından Korumanıza Yardımcı Olur

Her geçen gün yeni duyurulan pek çok güvenlik açığı ile yaşamayı öğrendiğimiz gibi bir de zero day olarak isimlendirdiğimiz aslında kimsenin henüz tespit edemediği ve bilinmeyen zararlılara karşıda her an tetikte olmamız gerekiyor.

Azure, pek çok güvenlik üreticisinin yaptığı gibi kendi sunduğu platformun güvenliğini daha üst seviyeye çıkarmak ve bu platform ile aslında entegre çalışan oprem sistemleri de kapsayacak şekilde güvenlik çözümleri sunmaktadır. Bu sunduğu ürünlerinin tamamını ise Azure Security Center isminde bir portal üzerinden izleyebiliyor veya aksiyon alabiliyoruz.

Peki bunu nasıl sağlıyoruz?

Temel 3 özellik sayesinde mevcut güvenlik seviyenizi daha üst düzey çıkaran ve gerçek zamanlı izleme sayesinde ortamınızdaki anormallikleri anında tespit eden bir platform olarak azure security center size bunları sunar;

Strengthen security posture

Azure Güvenlik Merkezi, kaynaklarınızın güvenlik durumunu düzenli aralıklarla analiz eder. Potansiyel güvenlik açıklarını tespit ettiğinde önerilerde bulunur. Öneriler, gerekli kontrolleri yapılandırma sürecinde size rehberlik eder. Aslında sizin yerinize sürekli olarak ortamınızı kontrol eden bir ikinci göz olarak düşünebilirsiniz.

File Integrity Monitoring (FIM)

Yeni nesil pek çok güvenlik ürününde görebileceğimiz bir özellik olan FIM sayesinde ortamınızdaki dosya veya yapılandırma değişikliklerini gerçek zamanlı olarak takip edebilirsiniz. Bu sayede olası bir zararlının ana faaliyetinden önce gerçekleştirmek istediği veya ihtiyaç duyduğu dosya, kayıt defteri, yapılandırma ayarları gibi başlıklardaki değişiklikleri anlık olarak takip edebilirsiniz. Sizin için kritik olan başlıklardaki değişiklerin olması halinde ise anında bir uyarı mekanizmasını tetikleyebilirsiniz.

Security Alert

Azure şüpheli aktiviteleri izler, bunları gerekli görmesi halinde bir tehtid algılama mekanizmasına gönderir. Eğer zararlı bir faaliyet tespit edilir ise uyarı oluşturulur. Malum güvenliğin temelinde aslında bilgilendirme, uyarı, tetikleme mekanizmaları yatmaktadır.

Azure Security Center hakkında daha fazla bilgi için aşağıdaki makalelerimi inceleyebilirsiniz;

https://www.cozumpark.com/blogs/cloud_computing/archive/2019/01/20/azure-security-center-nedir.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/23/microsoft-azure-security-center-nedir-planlama-bolum-2.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2018/02/25/on-prem-sistemler-icin-azure-security-center-kullanimi-azure-security-solutions-non-azure-computers.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2018/05/06/azure-security-center-icin-duyurulan-yeni-ozellikler.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/16/azure-security-center-free-ve-standart-tier-farklari.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/16/azure-security-center-nas-l-denerim.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2018/02/18/azure-security-center-ongoing-security-monitoring.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2018/02/18/azure-security-center-_3101_ncident-response.aspx

Bir sonraki blog yazımda görüşmek üzere.

Microsoft Azure Security Center- Incident Response

Yerleşik sistemlerimizde gösterdiğimiz güvenlik hassasiyetini ne yazık ki bulut sistemlerinde gösteremiyoruz, bunu en temel örneğini on-prem sistemlerine milyon dolarlık yatırım yapan büyük firmaların bulut geçişlerinden sonra bulut güvenlik ürün kullanım oranlarından anlayabiliyoruz. Bizimde içinde bulunduğumuz pek çok bulut geçiş projesinde de bunu görüyoruz. Tabiki bu alanda bir uzmanlığımızın olması nedeni ile bu tür alt yapılarda biz mutlaka güvenlik ürünlerinin konumlandırılması, aktif edilmesi, sistemin çalışır ve müşterilere bilgi akışını sağlıyor olmasını hedefliyoruz.

Peki, makalemin bu bölümünün konusu nedir? Incident Response, aslında güvenlik uzmanları için son derece bilinen bir başlık, yani bundan önce Azure security center özelinde anlattığım pek çok konu vardı, oysaki bu konu aslında pek çok güvenlik ürünü ve üreticisinde olan bir başlıktır.

Incident, yani bir olay- vaka olması durumunda Azure Security Center’ ın buna nasıl cevap verdiğini – tepki gösterdiğini detaylandıracağız.

Öncelikle Azure tarafında Incident, yani olayın ne demek olduğunu ve hangi durumların bir olay anlamına geldiğini iyi bilmeniz gerekiyor. Bu konuda Microsoft çok güzel bir tablo paylaşmış durumda.

Okumaya devam et

1 Soru 1 Cevap: Azure Information Protection

Soru: Azure portalı üzerinde “Create a resource” diyerek Azure Information Protection hizmetini devreye almak istediğiniz zaman karşınıza “Tenant already signed-up” uyarısı çıkıyor. Nedeni nedir?


Cevap: Muhtemel sizden önce birisi ilgili hesap için bu servisi devreye sokmuş ise bu hatayı alırsınız. Tüm servislerden AIP servisini bulup üzerine tıkladığınızda var olan ayarları görebilirsiniz.

1 Soru 1 Cevap: Windows 10

Soru: Windows 10’ un Kaç Güvenlik Özelliği – Servisi Vardır?
Cevap: 10
Windows Hello for Business
Bitlocker and Bitlocker to Go
Windows Information Protection (with MDM)
Windows Defender Credential Guard*
Windows Defender System Guard
Windows Defender Application Guard*
Windows Defender Application Control*
Windows Defender Exploit Guard
Windows Defender Antivirus
Windows Defender Advanced Threat Protection (ATP)*
*= Enterprise Lisans gerektirir.