CISA Ücretsiz Microsoft Genişletilmiş Bulut Logging Başucu Kitabı’nı Yayınladı (PDF)

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşların siber güvenlik savunmalarını geliştirmelerini desteklemeyi amaçlayan kapsamlı bir kılavuz olan Microsoft Genişletilmiş Bulut Günlükleri Uygulama Kılavuzu’nu yayımladı.

Microsoft, Yönetim ve Bütçe Ofisi (OMB) ve Ulusal Siber Direktör Ofisi (ONCD) ile işbirliği içinde geliştirilen bu başucu kitabı, Microsoft Purview Denetimi (Standart) aracılığıyla sunulan genişletilmiş günlük kaydı özelliklerinden yararlanma konusunda kritik bilgiler sağlar.

Başucu kitabı, adli araştırmaları, uyumluluk izlemeyi ve proaktif tehdit tespitini geliştirmek için tasarlanan yeni tanıtılan günlük kaydı özelliklerine odaklanıyor. Bu yetenekler aşağıdakiler gibi önemli olayların ayrıntılı kayıtlarını içerir:

• Erişilen Posta Öğeleri: Potansiyel veri sızıntısını belirlemek için e-posta erişimini izler.
• Gönderilen Posta Öğeleri: Giden e-postaları, güvenliği ihlal edilmiş hesaplara ilişkin işaretler açısından izler.
• Kullanıcı Aramaları: SharePoint Online ve Exchange Online’da kullanıcı tarafından girilen arama sorgularını yakalar.

Daha önce Audit Premium müşterilerine özel olan bu günlüklere artık Microsoft E3/G3 ve üzeri lisanslara sahip kuruluşlar erişebilir. Exchange Online, SharePoint Online ve Microsoft Teams dahil olmak üzere Microsoft hizmetlerinde binlerce kullanıcı ve yönetim işleminin izlenmesine ve analiz edilmesine olanak tanırlar.

Ayrıca, başucu kitabı, gelişmiş tehdit avı yetenekleri için bu günlüklerin Microsoft Sentinel ve Splunk gibi Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sistemlerine nasıl entegre edilebileceğini özetlemektedir.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free

Microsoft Genişletilmiş Bulut Günlüğü Başucu Kitabı

Başucu kitabı, bu genişletilmiş günlüklerin Microsoft 365 (M365) ortamlarında etkinleştirilmesine ilişkin adım adım rehberlik sunar. Microsoft Purview portalında gezinmeye, denetim ayarlarını yapılandırmaya ve günlüklerin SIEM sistemlerine düzgün şekilde akmasını sağlamaya yönelik talimatlar içerir.

Belge aynı zamanda kimlik bilgileri hırsızlığı, veri sızdırma ve içeriden kötü niyetli kişi etkinlikleri gibi gelişmiş tehdit aktörlerinin davranışlarını tespit etmek için analitik yöntemler de sağlıyor.

Başucu kitabının temel özellikleri şunları içerir:

• Senaryo Bazlı Analiz: Kimlik tabanlı güvenlik açıklarını ve diğer karmaşık siber tehditleri belirlemek için ayrıntılı kullanım örnekleri.
• Proaktif Tehdit Tespiti: Kullanıcı davranışındaki veya idari işlemlerdeki anormallikleri tespit etmeye yönelik teknikler.
• Reaktif Adli Soruşturmalar: Zenginleştirilmiş günlük verilerini kullanarak olay sonrası olayları yeniden yapılandırma yöntemleri.

Başucu kitabı, devlet kurumları ve kuruluşlarındaki günlük yönetimi, olaylara müdahale ve siber güvenlik operasyonlarından sorumlu BT uzmanları için özel olarak hazırlanmıştır. Bu günlükleri derinlemesine savunma stratejilerinin bir parçası olarak operasyonel hale getirmek isteyen kuruluşlar için değerli bir kaynak görevi görür.

CISA Direktörü Jen Easterly, “Bu taktik kitabı, kuruluşların gelişmiş siber tehditleri tespit etmelerine ve bunlara karşı savunma yapmalarına yardımcı olma konusunda ezber bozan bir rol oynuyor” dedi. “Kritik güvenlik günlüklerine daha fazla erişim sağlayarak kuruluşların ağlarını kötü niyetli aktörlere karşı daha iyi korumalarına olanak sağlıyoruz.”

Bu başucu kitabının yayımlanması, son yıllardaki önemli siber güvenlik olaylarının ardından gerçekleşti. 2023 yılında, Çin devleti destekli bir bilgisayar korsanlığı grubu, ABD hükümet yetkililerinden gelen hassas e-postaları çalmak için Microsoft’un Exchange Online hizmetindeki güvenlik açıklarından yararlandı.

Bu ihlal, karmaşık izinsiz girişleri tespit etmek için gelişmiş günlük kaydı özelliklerine olan ihtiyacın altını çizdi. Buna yanıt olarak Microsoft, daha önce yalnızca premium katmanlarda mevcut olan kritik telemetri verilerini içerecek şekilde Görev Denetimi (Standart) özelliklerini genişletti.

Microsoft’un bu hareketi, ek maliyetler veya yapılandırmalar olmaksızın yüksek kaliteli denetim günlüklerine varsayılan erişimi savunan CISA’nın “Tasarım Yoluyla Güvenli” ilkeleriyle uyumludur. CISA ve Microsoft arasındaki işbirliği, kamu ve özel sektör genelinde siber güvenliğin güçlendirilmesine yönelik ortak kararlılığın altını çiziyor.

Kuruluşlar İçin Temel Faydalar

Bu başucu kitabındaki rehberliği benimseyen kuruluşlar çeşitli faydalar bekleyebilirler:

• Geliştirilmiş Görünürlük: Gelişmiş denetim günlükleri, M365 hizmetleri genelindeki kullanıcı etkinliklerine ilişkin ayrıntılı bilgiler sağlar.
• Uzatılmış Saklama Süreleri: Standart müşteriler için günlük tutma süresi 90 günden 180 güne çıkarıldı.
• Kusursuz Entegrasyon: Günlükler, merkezi analiz için Microsoft Sentinel veya Splunk gibi SIEM platformlarına alınabilir.
• Uygulanabilir İstihbarat: Analitik iş akışları, gelişmiş tehditlere veya içeriden kaynaklanan risklere işaret eden anormalliklerin belirlenmesine yardımcı olur.

CISA, M365 E3/G3 ve üzeri lisans kullanan tüm kuruluşları, başucu kitabını incelemeye ve önerilerini uygulamaya teşvik eder. Kuruluşlar, bu genişletilmiş bulut günlüklerini operasyonel hale getirerek siber olayları tespit etme ve bunlara yanıt verme becerilerini önemli ölçüde geliştirebilir.

Daha fazla bilgi edinmek veya Microsoft Genişletilmiş Bulut Günlükleri Uygulama Kılavuzunu indirmek için CISA’nın resmi web sitesini ziyaret edin veya Federal Kurumsal İyileştirme Ekibi (FEIT) ile iletişime geçin.