Azure Security Center Alerts ve Veri Toplama Teknolojileri

Azure Security Center, sahip olduğunuz kaynaklarınızdan ve 3 parti uygulamalardan topladığı verileri analiz ederek bizleri olası güvenlik zafiyetlerine karşı uyarmaktadır. Temel olarak olay, vaka durumlarının yaşanması sonucunda security center üzerinde Alert olarak isimlendirdiğimiz uyarılar görebilirsiniz.

Temel olarak bakıldığı zaman aslında bir güvenlik ürünü için zararlı yazılım, kötü içerikli kodlar, ataklar ve benzeri konularda sistemlerimizi korumak temel prensip olmasına karşın sürekli değişen ve gelişen atakların düşünüldüğü zamanda olası bir zafiyeti, olayı anında bize raporlaması da çok büyük önem arz etmektedir. Böyle düşünüldüğü zaman azure security center alert mantığının alt tarafta nasıl çalıştığını iyi bilmemiz gerekiyor.

Öncelikle azure tarafında detaylı loglama özelliğini açmadığınız sürece aslında çok derin bir güvenlik ağı kurmuş olmuyorsunuz. Bunu daha önceki makalelerimde de bahsetmiştim. Yani Data Collection bölümünden Pricing tier başlığına giderek aşağıdaki gibi ücretli sürümü seçmeniz gerekiyor.

Tabiki denemek veya temel güvenlik zafiyetlerinden haberdar olmak istiyorsanız mevcut şekilde ilerleyebilirsiniz.

Öncelikle Microsoft bu alanda çok ciddi yatırımlar yapmaktadır, çünkü günün sonunda sektörde pek çok güvenlik üreticisi yer almaktadır ve hepsinin değişik teknolojileri vardır. Microsoft ise buna benzer teknolojiler kullanmak ile beraber özellikle sahip olduğu büyük veri gücünü iyi kullanmaktadır. Microsoft sahip olduğu bu büyük bilgi ağından topladığı verileri yine bizlerin güvenliği için kullanmaktadır. Özellikle zero day olarak ifade edilen zafiyetler için sezgisel analiz çok önemlidir. Microsoft burada hem şirket çalışanlarının hem de bu verilere ulaşmak isteyen kötü niyetli kişilerin eğilimlerinin analizleri sonucu bir takım varsayımlar yapabilmektedir.

Temel olarak sizin kayaklarınızdan aldığı veriler, eğer kullanıyorsanız yine Anti Virüs, WAF ve benzeri bulut çözümlerinden gelen ( azure üzerindeki tüm 3 parti güvenlik ürünlerinin loglarını analiz için kullanabilir) logları harmanlayarak diğer elindeki bilgiler ile sürekli olarak eşleştirir.

Yukarıda da gördüğünüz gibi tüm bu büyük mimari sizin güvenliğiniz için çalışır ve ekranınıza son derece anlaşılır, öncelik sırasına göre dizilmiş ve nasıl çözüleceği konusunda açıklama içeren uyarılar gösterir.

Geleneksel imza tabanlı güvenlik ürünlerine göre big data ve machine learning kullanımı sayesinde daha güvenli bir platform sunar.

Genel olarak bu teknolojileri aşağıdaki gibi 3 başlık altında toplamak mümkündür

Integrated threat intelligence

Microsoft Dijital Suçlar Birimi (DCU), Microsoft Güvenlik Yanıt Merkezi (MSRC) ve dış dünyadan toplanan veriler sayesinde olası suç ataklarının önceden veya ilk anda tespit eder.

Behavioral analytics

Kötü amaçlı davranışları bulmak için bilinen modelleri uygular. Aslında bu pek çok güvenlik ürününde de var ancak tüm azure alt yapısı için kullanıldığı düşünülür ise gerçekten Dünya genelindeki atakların tespiti için ok güçlü bir veri tabanına sahiptir.

Anomaly Detection

Baseline ismini verdiğimiz genel alışkanlıklarımızın dışına çıkmamız durumunda bunun bir anormallik olduğunu algılayıp süreci destekleyen teknolojileri kullanır.

Şimdi bunları detaylı inceleyelim;

Integrated threat intelligence

Yukarıda da bahsettiğim gibi Microsoft’ un güvenlik tarafında bu kadar başarılı olmasının altında yatan en büyük güç elinde çok ciddi bir tehdit bilgisi olmasıdır. Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Dijital Suçlar Birimi (DCU) ve Microsoft Güvenlik Yanıt Merkezi (MSRC) gibi sahip olduğu platformlar üzerinden sürekli bilgi çekmektedir. Sadece bunu ile yetinmez ve diğer büyük bulut – güvenlik sağlayıcılarının da herkese açık olan güvenlik veri tabanlarından düzenli bilgi çekerek veri tabanını güçlendirmektedir. Buna ek olarak darknet veya botnet gibi bilinen kötü ip network trafiklerini de izler. Yani sizin bir sanal makinenize bulaşan kötü içerikli kod kaynaklı bu ip bloğuna akan bir trafik var ise bu konuda da sizleri uyarır.

Behavioral analytics

Davranış analizi, verileri analiz eden ve bilinen modeller koleksiyonuyla karşılaştıran bir tekniktir. Ancak, bu modeller basit imzalar değildir. Bunlar büyük veri kümelerine uygulanan karmaşık machine learning algoritmaları aracılığıyla belirlenir. Bunlar, kötü amaçlı davranışların uzman analistler tarafından dikkatlice çözümlenmesiyle de belirlenir. Azure Güvenlik Merkezi, güvenliği ihlal edilen kaynakları belirlemek amacıyla sanal makine günlükleri, sanal ağ cihazı günlükleri, yapı günlükleri, kilitlenme dökümleri ve diğer kaynakların analizine bağlı olarak davranış analizi kullanabilir.

Anomaly Detection

Burada ise kilit nokta makine öğrenme teknolojisidir. Her bir müşteri ve kiracı için temel olarak bir öğrenme süreci vardır, bu süreç birkaç hafta sürebilir ve bunun sonucunda her bir müşteri için bir davranış analizi temel çizgisi oluşur. Buna baseline ismini veriyoruz. Yani örneğin şirketin 10 çalışanı var hafta içi düzenli çalışıyorlar, pek vpn yok, ülke değiştirmiyorlar vb. Birden birisi yurt dışından bağlanması, veya günde onedrive üzerinden birkaç dosya sync eden birisinin aniden tüm kütüphaneyi indirmesi gibi anormallikler anında tespit edilebiliyor. Tabiki istisna durumlar olabiliyor, yani yıllarca bir şirkette çalışıp günün sonunda yurt dışına çıkan ve oradan da sisteme bağlanan birisinin olması her ne kadar anormal olsa da normal bir durum olabilir ve bunu zaten false positive olarak işaretleyebilirsiniz.

Özetle aslında Microsoft sürekli olarak tehtid bilgisi izleyecek bir sistem kurmuştur bu nedenle sonra derece güvenli bir platform sağlamaktadır.

Peki bu alert’lerin nasıl oluştuğunu anladıysak biraz da içeriklerini kontrol edelim.

Security Center üzerinde Detection bölümüne tıklıyoruz.

Karşımıza yukarıdaki gibi uyarılar geliyor. Burada sizde daha çok uyarı olabilir. Temel olarak uyarıların tarih sırasına göre dizilmiş ve renkler ile önceliklendirilmesi söz konusu. Detay görmek istediğiniz herhangi bir uyarı üzerine tıklayabilirsiniz.

İlgili uyarı iki sanal makinede oluşmuş, herhangi birisinin üzerine tıklıyorum.

Burada ise detay bilgi görebiliyorum. İsterseniz hemen üst bölümde Learn more kısmına tıklayarak bu uyarı hakkında daha fazla bilgi alabilirsiniz. Ya da ilerleyen makale serilerimde göstereceğim böyle bir uyarı olması durumunda otomatik bir aksiyon aldırmak için Run playbooks kısmına tıklayabilirsiniz.

Tüm uyarılar için aşağıdaki listeyi inceleyebilirsiniz.

https://docs.microsoft.com/en-us/azure/security-center/security-center-alerts-type

Peki biraz alt bölüme inersek iyileştirme önerilerini görebilirsiniz.

Aslında temel olarak bir vaka oluşması, sonra bunun bizim ile paylaşılması, bizim ise bu olaya göre aksiyon almamız ile bulut güvenliğimizin daha üst seviyeye çıkarmayı amaçlayan bir sisteme sahibiz.

Bundan sonraki bölümde custom alert bölümünü işleyeceğim. Umarım faydalı bir makale olmuştur.

 

Kaynak: https://docs.microsoft.com/en-us/azure/security-center/security-center-detection-capabilities

 

Exit mobile version