Microsoft Azure Security Center- Incident Response

Yerleşik sistemlerimizde gösterdiğimiz güvenlik hassasiyetini ne yazık ki bulut sistemlerinde gösteremiyoruz, bunu en temel örneğini on-prem sistemlerine milyon dolarlık yatırım yapan büyük firmaların bulut geçişlerinden sonra bulut güvenlik ürün kullanım oranlarından anlayabiliyoruz. Bizimde içinde bulunduğumuz pek çok bulut geçiş projesinde de bunu görüyoruz. Tabiki bu alanda bir uzmanlığımızın olması nedeni ile bu tür alt yapılarda biz mutlaka güvenlik ürünlerinin konumlandırılması, aktif edilmesi, sistemin çalışır ve müşterilere bilgi akışını sağlıyor olmasını hedefliyoruz.

Peki, makalemin bu bölümünün konusu nedir? Incident Response, aslında güvenlik uzmanları için son derece bilinen bir başlık, yani bundan önce Azure security center özelinde anlattığım pek çok konu vardı, oysaki bu konu aslında pek çok güvenlik ürünü ve üreticisinde olan bir başlıktır.

Incident, yani bir olay- vaka olması durumunda Azure Security Center’ ın buna nasıl cevap verdiğini – tepki gösterdiğini detaylandıracağız.

Öncelikle Azure tarafında Incident, yani olayın ne demek olduğunu ve hangi durumların bir olay anlamına geldiğini iyi bilmeniz gerekiyor. Bu konuda Microsoft çok güzel bir tablo paylaşmış durumda.

Yukarıda da görebileceğiniz gibi örneğin azure veri merkezinin güvenliğinden sorumlu blue ve red gibi iki temel takımdan sürekli saldırı yapan ve açık arayan red team aktiviteleri bir incident değildir, çünkü bu Microsoft uzmanlarından oluşan bir hacker grubunu sürekli başkalarından önce olası açıkları tespit etmek için sisteme yapılan atakları temsil eder. Ya da Azure veri merkezi için bir güvenlik ihlali olmasına karşın bu ihlalin herhangi bir müşteri verisine zarar vermemesi veya bu verilere ulaşmaması durumunda yine bu durum azure security center için bir incident değildir. Özetle sol tablodaki eylemler bir olay-vaka değilken sağ taraftaki durumlar birer olay olarak azure security center içerisinde incelenmektedir.

Microsoft bulut güvenliğinde “Shared Responsibility Model” dediğimiz bir model kullanmaktadır.

Yukarıda Shared Responsibility Model için özet bir tablo görüyoruz. Sol bölümde fiziksel güvenlikten en üst katman olan veri güvenliğine kadar bir sınıflandırma yer almaktadır. Üst bölümde ise bulut platformları sıralanmıştır. Yani en temel sanal makine hizmeti olan IaaS’ dan en üst uygulama katman hizmeti olan SaaS’ ı görebilirsiniz.

IaaS için önek sanal makineler olurken SaaS için örnek Office 365 ve sunduğu tüm uygulamalardır.

Son ayrım ise renk, mavi renk müşteri sorumluluk alanını, gri renk ise Microsoft sorumluluk alanını temsil etmektedir.

Örnek on premde bulunan sistemler için tüm fiziksel ve uygulama, veri güvenliği Müşteriye aittir. Veya SaaS katmanına bakarsak veri, son kullanıcı kimlik bilgisi ve yine son kullanıcı bilgisayar koruması dışındaki tüm güvenlik Microsoft tarafından sağlanmalıdır. Ama bu bölümlerde bile bir ortaklık söz konusudur. Özetle tablo bize eğer bulut üzerinde data tutuyorsanız bu datanın güvenliğinden hem üretici hem müşteri sorumludur ve bu sorumluluk pek çok hizmette ortaktır. Herkes kendi üzerine düşen sorumluluğu yerine getirmelidir.

Microsoft veya bir başka bulut üreticisi size %100 güvenli bir ortam bile sunsa sizin kullanıcınız şifrelerini çaldırır ise bu durumda oluşabilecek zafiyet, veri kaybı veya çalınmasından bulut üreticisi sorumlu olmayacaktır.

Peki Incident Response nasıl işliyor?

Öncelikle süreç bir atak, zafiyet benzeri olayların tespit edilmesi (Detect) ile başlıyor. Tespit etme otomatik olarak bir alert ürettiği için assess dediğimiz bölümde şüpheli etkinlik hakkında daha fazla bilgi edinmek için alert bölümüne geçip ilk değerlendirmeleri yapıyoruz. Daha sonra Diagnose dediğimiz süreç başlıyor. Bu safhada teknik bir inceleme sonucunda ilgili atak veya zafiyet için sınırlama, azaltma ve geçici çözüm stratejilerini belirlenir. Daha sonra ise çözümlerin uygulanması ile ortam stabil bir hale gelir ve case kapatılır.

Şimdi isterseniz bu süreçleri tek tek inceleyelim;

Detect

Detect: Azure security Center Dashboard üzerinde anlık bilgi alabilirsiniz.

Assess

Şüpheli etkinlik hakkında daha fazla bilgi edinmek için ilk değerlendirmeyi Alert bölümünden yapabilirsiniz.

Diagnose

Bu safhada teknik bir inceleme sonucunda ilgili atak veya zafiyet için sınırlama, azaltma ve geçici çözüm stratejilerini belirlenir.

Investigate Incidents

Olası bir güvenlik sorununun önceliklendirilmesi, kapsamını anlaşılması ve olası kök nedeninin saptanmasına olanak tanır.

Araştırmak olduğunuz olayla ilgili olarak security center ilişkili olan güvenlik uyarıları, kullanıcılar, bilgisayarlar ve olayları birbirine bağlayarak (kolerasyon) araştırma sürecini kolaylaştırır. Security Center bu kolerasyonu görsel olarak canlı bir grafik kullanarak bizlere sunduğu için kök analizi yapmak kolaylaşır.

Investigation path

Gerçekleşen olayın kolay bir şekilde analiz edilmesi için atağın diğer kaynaklara ulaşırken kullandığı yolu grafiksel olarak size sunar.

General information

Bir varlık grafikte sunulduğunda, sekmeler bu varlık hakkında ek bilgi gösterir. Bilgi sekmesi mevcut çeşitli bilgi kaynaklarından varlık hakkında genel bilgi sunar.

Entities

Varlıklar sekmesi türe göre gruplandırılmış ilgili tüm varlıkları gösterir. İki durumda yararlıdır: Grafiğe sunacak çok fazla öğe varsa gruplama bizlere yardımcı olur.

Ek olarak varlıkların adları çok uzun olduğunda ve bunları tablo biçiminde incelemek istendiğinde kullanılır.

Search

Arama sekmesi varlık için kullanılabilen tüm günlük türlerini sunar. Her günlük türü için, kaç kayıt mevcut olduğunu görebilirsiniz. Her kayıt türünü tıklamak sizi arama ekranına götürür. Arama ekranında, aramanızı hassaslaştırabilir ve uyarıları ayarlama gibi çeşitli arama özelliklerini kullanabilirsiniz. Geçerli sürümde, arama sekmesi yalnızca kullanıcılar ve bilgisayar varlıkları için kullanılabilir.

Exploration

Araştırma sekmesi araştırmacıya, varlık ile ilgili çeşitli konulardaki verileri incelemesine izin verir. Örneğin, bir makine araştırıldığında, üzerinde çalıştırılan işlemlerin listesi arama sekmesinde gösterilir. Bazı durumlarda, arama sekmesi şüpheli bir sorunu işaret eden verileri gösterir. Araştırmacı, büyük veri takımlarını incelemek ve filtreleme ve Excel’e dışa aktarma gibi gelişmiş arama seçeneklerini kullanmak için sekmedeki verileri inceleyebilir veya arama ekranında açabilir.

Timeline

Grafikte ve çeşitli sekmelerde sunulan verilerin çoğu belirli bir zaman dilimi için geçerlidir. Bu zaman kapsamı, grafiğin sol üst tarafındaki zaman alanı seçicisi kullanılarak ayarlanır. Araştırmacının zaman kapsamını seçmek için çeşitli yöntemleri vardır.

Evet, bu makalemin de sonuna geldik, umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek dileği ile.

Kaynak;

https://docs.microsoft.com/en-us/azure/security-center/security-center-planning-and-operations-guide