Cloud Computing

Azure Security Center – Data Collection and Storage

Makalemin ilk bölümünde Microsoft Azure Security Center- Planlama adımlarından ilk ikisi olan Security Roles and Access Controls ile Security Policies and Recommendations başlıklarını inceledik. Ayrıca temel olarak Azure Security Center nedir onu öğrenmiş olduk.

http://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/23/microsoft-azure-security-center-nedir-planlama-bolum-1.aspx

Bu bölümde ise kalan adımlar ile devam edeceğiz. Hızlı bir hatırlatma olması açısından Azure Security Center için temel planlama adımları aşağıdaki gibidir;

•Security Roles and Access Controls

•Security Policies and Recommendations

•Data Collection and Storage

•Ongoing Security Monitoring

•Incident Response

Bu bölümde 3. Adım olan veri toplama ve bunun nasıl saklanacağını göreceğiz.

Azure Security Center, Azure Monitoring Agent ile sanal makinelerinizden güvenlik verilerini toplamaktaydı. Bu güvenlik verileri temel olarak güvenlik açıklarını tanımlamak için kullanılan güvenlik yapılandırmalarını ve tehditleri tespit etmek için kullanılan güvenlik olayları hakkında bilgi içermektedir. Toplanan bu veriler, Azure üzerindeki sizin depolama hesabınız içerisinde saklanmaktaydı.

Haziran 2017 sonrasında ise Azure Security Center, Operations Management Suite and Log Analytics servisinin kullandığı agent olan “Microsoft Monitoring Agent”’ ı kullanmaktadır. Veriler bu agent üzerinden toplanır.

Bu Agent ile toplanan veriler, Azure aboneliğinizle ilişkili mevcut bir Log Analytics çalışma alanına veya loglarını topladığınız sanal makinenin ya da kaynağın coğrafi konumunu dikkate alarak yeni bir çalışma alanına depolanır.

Azure Security Center tarafından açılan workspace’ i aşağıdaki standartlara göre bulabilirsiniz;

Workspace: DefaultWorkspace-[subscription-ID]-[geo]

Resource Group: DefaultResouceGroup-[geo]

Bendeki durum aşağıdaki gibi;

clip_image002

Bu yeni oluşturulan workspace için veri saklama periyodu 30 gündür. Ancak sizin hesabınızda hali hazırda bir workspace vardı ve Azure Security Center bunu kullandı ise bu durumda log saklama periyodu mevcut workspace için fiyatlandırma tipine göre değişiklik gösterir.

Ek olarak OMS kullanmıyorsanız, Azure Security Center kullanımı ile beraber OMS Security çözümü yüklenir. Fakat sadece Azure sanal makineler için çalışır.

Planlamadaki bir sonraki başlık ise Ongoing Security Monitoring.

Bu bölümde aslında temel olarak yapılandırma adımları tamamlandıktan sonra ortamımızın izlenmesi ve özellikle ilk olarak Recommendations bölümündeki bütün uyarıların baştan sona kontrol edilmesi gereklidir.

Bu bölümde pek çok öneri görebilirsiniz. Tüm liste için aşağıdaki link’ i kullanabilirsiniz

https://docs.microsoft.com/en-us/azure/security-center/security-center-virtual-machine-recommendations

 

clip_image004

Ben tabiki makalemde bu bölümdeki tüm önerileri tek tek incelemeyeceğim, en temel mevcut hesaplarım için yukarıdaki gibi aktif 5 tane öneri yer almaktadır. Örneğin bunlardan birinde güvenlik ile ilgili kişi noktasındaki kontak eksikliğinden bahsediyor, bu aslında çok temel bir öneri ve bunu hemen gerçekleştirebilirsiniz

İlgili önerinin üzerine tıklıyorum;

clip_image006

Açılan menüden iki adet aboneliğimden hangisi için işlem yapacak isem onu tıklıyorum ve ayarları yaparak kayıt ediyorum.

clip_image008

Yukarıdaki ise bir diğer öneri, iki tane sanal makine için işletim sistemi kaynaklı açıklara karşı iyileştirme ayarları önerilmektedir.

clip_image010

İlgili öneri üzerine tıklayınca sanal makineleri görebiliyoruz, daha sonra sanal makinelerden birisini seçmemiz halinde bize sunulan iyileştirme önerilerini görebiliyoruz.

Görebileceğiniz gibi aslında mevcut aboneliğiniz için iyileştirme önerilerini öncelikle incelemenizde büyük fayda vardır.

Bir sonraki aşamada ise Prevention bölümünü inceleyelim;

clip_image012

Burada Compute üzerine tıkladığımız zaman bende aşağıdaki gibi bir detay görünmektedir;

clip_image014

İlk uyarı veri toplama ile ilgilidir, hemen alt bölümlerde ise diğer önerileri görebiliyoruz. Üst bölümdeki sekmeyi kullanırsanız daha özet bir bilgiye ulaşabilirsiniz;

clip_image016

Gördüğünüz gibi 5 makineden iki tanesi için izleme noktasında sorun yokken 3 tanesinde uyarı yer almaktadır. Aynı şekilde izlenen makineler için System Update için eksikler tespit edilmiş, yine OS tarafında zafiyete neden olabilecek sorunlar belirlenmiştir. Endpoint tarafında ise Windows Defender olduğu için o konuda herhangi bir sorunumuz yok, son olarak disk şifreleme tarafında ise tüm makineler için öneri bulunmaktadır. Dikkat ederseniz ilk 3 makine’ den bilgi gelmediği için disk şifreleme harici diğer üst katman yorumları gri, yani aslında bilinmiyor konumundadır. Bu nedenle ilk olarak bu 3 makinedeki veri toplama sorunlarını inceleyebiliriz.

Sorunlu makinelerden herhangi birinin üstüne tıklıyoruz ve karşımıza aşağıdaki gibi bir bilgilendirme sayfası çıkıyor

clip_image018

Makine çalışıyor ama veri toplama noktasında sorunu var, bu konuda farklı çözümler olabilir, en temiz yöntem makineyi uygun bir aralıkta yeniden başlatmaktır. Yeniden başlattıktan sonra durumun aşağıdaki gibi değiştiğini göreceksiniz ( eğer başka bir sorun yok ise )

clip_image020

Makine yeniden başladıktan kısa bir süre sonra tekrar son durumu kontrol edebilirsiniz;

clip_image022

clip_image024

Eğer buna rağmen sorun yaşıyorsanız OS seviyesinde agent’ ın durumunu bir kontrol edin derim. Olay günlükleri (event logs) size yardımcı olacaktır.

Aslında tüm önerileri yerine getirmeye çalışmamızın temel amacı anlık olarak sistemlerin izlenmesini kolaylaştırmaktır (ongoing monitoring).

Aynı durumu sırası ile Networking, Storage& Data ve Application için incelemeniz gereklidir. Örneğin Network tarafında bendeki durum aşağıdaki gibidir;

clip_image026

Yukarıdaki gibi network veya endpoint üzerine tıklarsanız eğer sağ bölümde aşağıdaki gibi detay görebilirsiniz;

clip_image028

Burada bana iki iyileştirme öneriyor, birincisi Next Generation Firewall yani aşağıdaki gibi üreticilerin Azure üzerinde sunduğu yeni nesil güvenlik duvarlarından birini kullanmamı öneriyor

clip_image030

Bir diğer öneri ise internet üzerinden herhangi birinin sisteme atak yapabileceğini söyleyen ve aşağıdaki kuralı en azından IP bazlı değiştirmemizi öneren bir tavsiyedir;

clip_image032

Evet Azure Security Center için en önemli konu izleme aslında, tabiki alert oluşturarak bunu mail yolu ile takip edebilirsiniz ama aşağıdaki gibi döngünün sürekli olarak takip ediliyor olması aslında Azure tarafındaki güvenlik alt yapınızın sürekli olarak sıkı tutulmasını sağlayabilirsiniz.

clip_image033

Azure üzerinde herhangi yeni bir sanal makine açılması, veri tabanı veya benzeri bir kaynak eklendiğinde Azure Security Center otomatik olarak bu kaynakları izlemeye başlayacaktır. Buna PaaS Web role ve worker role’ da dahildir. Bu nedenle öncelikle mevcut durumu inceliyoruz, önerileri yapıyoruz ve bu durumda tüm ekran yeşil oluyor. Yani aslında ekranı sadeleştirdikten sonra olurda bir değişiklik veya kaynak eklenmesinde gelen yeni uyarıları düzenli olarak incelersek daha güvenli bir azure alt yapısına sahip olabiliriz.

Peki şimdilik bu bölümünde sonuna geldik, bir sonraki bölümde ise Azure Security Center planlama adımlarından Incident Response konusunu inceleyeceğiz.

Kaynak

https://docs.microsoft.com/en-us/azure/security-center/security-center-planning-and-operations-guide

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu