Azure Security Center – Ongoing Security Monitoring

Makalemin ilk bölümünde temel olarak Azure Security Center nedir, Microsoft Azure Security Center- Planlama adımlarından; Security Roles and Access Controls ile Security Policies and Recommendations başlıklarını gördük. İkinci bölümünde ise veri toplama ve saklama yöntemlerinden bahsetmişti. Bu makalelerime aşağıdaki linklerden ulaşabilirsiniz.

Azure Security Center’ ı Nasıl Denerim?

https://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/16/azure-security-center-nas-l-denerim.aspx

Azure Security Center Free ve Standart Tier Farkları

https://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/16/azure-security-center-free-ve-standart-tier-farklari.aspx

Microsoft Azure Security Center Nedir? Planlama Bölüm 1

https://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/23/microsoft-azure-security-center-nedir-planlama-bolum-1.aspx

Microsoft Azure Security Center Nedir? Planlama Bölüm 2

https://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/23/microsoft-azure-security-center-nedir-planlama-bolum-2.aspx

Bu bölümde ise kalan adımlar ile devam edeceğiz. Hızlı bir hatırlatma olması açısından Azure Security Center için temel planlama adımları aşağıdaki gibidir;

 

•Security Roles and Access Controls

•Security Policies and Recommendations

•Data Collection and Storage

•Ongoing Security Monitoring

•Incident Response

Peki ilk 3 adımı tamamladık, bu bölümde “Ongoing Security Monitoring” ile devam ediyoruz. Ongoing monitoring, Azure kaynakları ve bağladığınız Azure olmayan kaynaklar (örneğin on prem sistemler) arasında birleştirilmiş bir güvenlik görünümü sağlar. Aşağıdaki örnek, ele alınması gereken birçok sorunu olan bir ortamı göstermektedir:

Burada önemli bir noktayı aydınlatmak isterim. Pek çok müşterimde benzer sorular sormaktadır. Azure security center normal çalışma prosedürlerinize müdahale etmez, dağıtımlarınızı pasif olarak izleyecek ve etkinleştirdiğiniz güvenlik politikalarına dayalı öneriler sunacaktır.

Peki ongoing security nasıl yapılır. Temel olarak azure ana ekranında öncelikle Recommendations bölümündeki tüm tavsiyelerin gözden geçirilmiş olması gereklidir. Eğer bu bölümü gözden geçirir ve iyileştirmeleri yaparsanız zaten prevention bölümünde her şey yeşil olarak karşınıza çıkacaktır.

 

Detection- algılama bölümü daha reaktif bir alan olup, burada şu anda gerçekleşmekte olan veya geçmişte meydana gelen olayları görebiliyoruz.

Bu olaylar azure security center kontrol noktaları veya daha önceki makalelerimde anlattığım gibi azure security center’ ın en güçlü özelliklerinden birisi olan azure üzerinde konumlandırdığınız üçüncü parti sistemler tarafından algılanan sorunlarla ilgili uyarılardır. Güvenlik Uyarıları bölümü, her gün bulunan tehdit algılama uyarılarının sayısını ve farklı önem derecesi kategorileri arasındaki dağılımını (düşük, orta, yüksek) temsil eden çubuk grafikler gösterecektir. Güvenlik Uyarıları hakkında daha fazla bilgi için benim bu makale serisinin devamında yazacağım makaleyi takip edebilirsiniz.

Peki sürekli olarak güncellenen ve değişen dinamik bir yapıya sahip bilişim alt yapılarımız için azure security center tabiki nasıl gerçekleştiriyor? Öncelikle yine makale serimin başlarında kullanım kısımlarında sahip olduğunuz abonelik için Security Policy altında yeni kaynaklar için olay bilgilerini toplama seçeneğinin açık olması gerekliydi.

Daha sonra Pricing tier bölümünden bu veri toplama için daha detaylı ayarlar yapabiliyoruz. Ama temel olarak varsayılan veri toplama özelliği açık ise sistem aşağıdaki gibi çalışmaktadır.

Siz rutin olarak Prevention ve Recommendations bölümünü kullanırken birden sisteme yeni bir kaynak eklendiğini düşünün. Eğer varsayılan veri toplama ilkesi açık ise otomatik olarak bu yeni kaynak için veriler toplanmaya başlar ve hemen akabinde Detection kısmına eğer bir zafiyet var ise uyarılar düşmeye başlayacaktır.

Özetle aslında Azure Security Center üzerinde düzenli olarak sistemin izlenmesi ve gerekli aksiyonların alınmasına ongoing security denmektedir. Makalede gördüğünüz gibi teknik bir konuya (demo olarak) girmedim çünkü bu bir yapılandırma makalesi değil. Ama bu bölümü yazmamdaki ana amaç  bu farkındalığın oluşmasıdır. Çünkü pek çok güvenlik ürününde olduğu gibi bulut güvenlik ürünlerinde de düzenli takip çok önemlidir. Günden en az bir kere bu dashboard’ u açabilirseniz süper olur. Şimdi aklınıza alert konusu gelebilir, unutmayın mevzu bir zararlının buluşması değil, o zararlınının bulaşmasına zemin hazırlayacak olan durumların veya değişikliklerin meydana gelmesini engellemek. Burada ongoing security kavramının en önemli bölümü Recommendations bölümü olup aslında mevcut yapınızdaki değişiklikler sonucu da oluşabilecek zafiyet için sizleri uyarmaktadır.

Umarım sizlerde bulut ortamınız için bu ara yüzü kullanır ve özellikle tavsiyeleri %100 olmasa bile yüksek yoğunlukla yapmaya gayret gösterirsiniz.

Makalenin bir sonraki bölümünde görüşmek üzere.

 

Kaynak; https://docs.microsoft.com/en-us/azure/security-center/security-center-planning-and-operations-guide

 

 

Exit mobile version