Nation-State destekli hack hikayeleri, herkesin en sevdiği Hollywood filmlerinin büyük bir parçasıdır-yani, karanlık ağda veya hackerların ellerinde sona eren kendi tehlikeye atılmış kişisel veya kurumsal duyarlı verilerimizin gerçek bir hikayesi haline gelene kadar. Gerçek hayatta, siber casusluk gruplarının faaliyetleri katı güvenlik uygulamalarını tetikler. Birincisi hükümet sektöründe, hükümet standartları yavaş yavaş değişerek, aynı zamanda hükümet sözleşmelerine de satılan satıcıları nazikçe zorlayarak endüstri normlarını dikte eder.
Bu, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından yayınlanan Microsoft Genişletilmiş Bulut Günlükleri Uygulama Oyun Kitabı hakkında yakın zamanda duyurulan Playbook söz konusu olduğunda söz konusudur. Her şey Temmuz 2023’te Çin Siber Casusluk Grubu Storm-0558’in, ABD devlet kurumlarına ve diğer kuruluşlara ait e-posta hesaplarına yetkisiz erişim elde etmek için Microsoft’un Outlook e-posta sistemindeki bir güvenlik açığından yararlandığı zaman başladı. Saldırganlar, kimlik doğrulama jetonlarını oluşturmak için çalınan bir Microsoft güvenlik anahtarı kullanarak güvenlik önlemlerini atladı. Aslında, çoğu saldırı BEC’yi (Business E -posta Uzlaşması) saldırı vektörlerinde başarılı bir giriş noktası olarak kullanır. Neden? Çünkü işe yarıyor.
2023’teki serpinti, Microsoft’un diğer değişikliklerin yanı sıra tüm Purview denetimi standart kullanıcıları için ücretsiz günlüğü genişletmesi ile sonuçlandı. Şimdi, savunmaları daha da güçlendirme gerekliliğini fark eden CISA, Microsoft’un genişletilmiş bulut günlüklerinin proaktif tehdit algılaması için dönüştürücü potansiyelini vurguladı ve oyun kitabında rehberlik sağladı.
Microsoft’un genişletilmiş bulut günlüklerini Microsoft Purview
Microsoft, Yolculuk’ta ayrıntılı olarak ayrıntılı olarak Ekim 2023’te CISA ile bir araya geldi ve sonunda bulut günlüklerini kullanma ve bulut günlük veri kaynaklarını genişletme konusunda devlet kurumları ve işletmeler için rehberlik yarattı. Microsoft Purview denetimi, genişletilmiş günlüğe kaydetme özellikleriyle çıtayı yükseltti ve kuruluşları değişim, SharePoint ve takımlardaki binlerce etkinliği izlemeye güç verdi. Bu yeni eklenen günlükler, kullanıcı ve yönetici etkinlikleri hakkında daha derin bilgiler sağlar. Fikir başlangıçta CISA tarafından gelişmiş izinsiz giriş tekniklerini azaltmak için önerildi ve önerildi.
Microsoft’un yeni eklenen günlüklerini toplamadan ve kullanmadan kuruluşlar, BT sistemlerinin “kör noktalarında” neler olduğunu görme fırsatı kaçıracaklardı.
Bunlar toplanabilen günlük türleridir:
- Microsoft Exchange Denetim Günlükleri
- Microsoft SharePoint Denetim Günlükleri
- Microsoft Teams Denetim Günlükleri
- Microsoft Viva Denetim Günlüklerini Engele
- Microsoft akış denetim günlükleri
Yeni günlük verilerinin işleyişinde zorluklar
Veri hacmi ile ilgili zorluklar
Her kütük türünde olduğu gibi, bulut günlükleri toplama, işleme, normalleştirme ve nakliye bulut günlükleri zorlanmaz. Kuruluşlar, bu günlükleri işlevselleştirmeye çalışırken önemli zorluklarla karşılaşabilirler. Etkili bir çözüm olmadan, denetim olaylarının hacmi, yüksek depolama maliyetlerine maruz kalma ve kullanılabilir ve eyleme geçirilebilir içgörüler için ilgili verileri filtrelemek için mücadele etme riskiyle karşı karşıya kalırlar.
Mevcut Siems ile Uyum
SIEM yapılandırmalarını yeni bulunan günlüğe kaydedilen etkinliklere dayalı olarak işleme, görüntüleme ve tetikleme uyarılarını uygun şekilde uyarlama ihtiyacı kritiktir. Güvenlik konularında günlükler olmadan, kuruluşlar olaylar için gerçek zamanlı uyarılardan ve sorunları kaynaklarına kadar izleme yeteneğinden yoksundur. Unutmayın: SIEM’ler analiz için optimize edilmiştir, ancak analitik yalnızca verilen veri kaynakları kadar iyi olabilir. Temel veri kaynaklarının dahil edilmemesi eksik ve güvenilmez analitiklere yol açar.
İlgili verileri filtreleme
CISA, Microsoft, Splunk ve kendi SIEM sunumu Microsoft Sentinel ile ilgili olarak Cloud Logs uygulaması Playbook’u genişletti. Bu oyun kitabı, bu SIEM teknolojilerini kullananların acısını azaltan bu günlüklerin nasıl kullanılacağını açıklıyor. Ancak, bu oyun kitabı birçok kuruluşun sorununu çözmez ve kendileri alternatif çözümler aramalıdır.
Mevcut konfigürasyonları ve sistemleri, yeni mevcut günlük olaylarından değeri karşılamak ve çıkarmak için uyarlamak için gereken çaba ezici olabilir. Yeni günlük verilerinin ve uygun takımların doğru bir şekilde anlaşılması olmadan, hem finansal hem de insan olan BT kaynakları tükenebilir.
Microsoft’un genişletilmiş bulut günlükleriyle zorluklarla mücadele
Microsoft Sentinel ve Splunk Siem ekosistemlerinin dışında olanlar ne olacak?
Kuruluşunuz Microsoft Sentinel veya Splunk kullanıyorsa, bu günlükleri zaten destekleyebilirsiniz – ancak gerçeklik genellikle daha karmaşıktır. Bunlar mevcut birçok SIEM çözümünden sadece ikisidir ve çoğu kuruluşun hala bu ek veri kaynaklarını eklemenin ve günlük verilerinden anlamlı bir değer elde etmenin yollarını bulması gerekir.
Her kuruluşun sonunda günlükleri etkili bir şekilde ele alması ve gereksinimlerine göre uyarlanmış bir çözüm gerektirmesi gerekir.
Bu zorluklar, yerel SIEM entegrasyonlarının yeteneklerinin ötesinde bir çözüm ihtiyacının altını çizmektedir. Burada çok platformlu bir günlük çözümü devreye girebilir. Kuruluşlar, Microsoft Technologies’den günlükleri toplama, filtreleme ve normalleştirerek bulut günlüklerinden en iyi şekilde yararlanmalarına yardımcı olabilecek en geniş veri kaynağı toplama özelliklerine ihtiyaç duyar – BEC verilerine kadar BEC verilerine kadar bulut uygulamalarına kadar -.
Bir çapraz platform günlük platformunun gerçek dünyadaki faydaları
Gelişmiş günlük koleksiyonu ve sorunsuz işleme ile bir çözüm, kuruluşların tercih ettikleri SIEM çözümüne bakılmaksızın Microsoft 365 ve ötesindeki olayları etkili bir şekilde ilişkilendirmesine yardımcı olabilir. Bu, yetkisiz e -posta erişiminin, olağandışı aramaların ve potansiyel içeriden gelen tehditlerin daha hızlı tanımlanmasını güçlendirir. Bu proaktif yaklaşım, kuruluşları gelişmiş siber tehditlere karşı korur ve düzenleyici gerekliliklere uygun olduğunda yardımcı olabilir.
Örneğin, kimlik avı denemelerinde ani bir artışla uğraşan orta ölçekli bir girişim hayal edin. Platformlar arası bir günlüğe kaydetme çözümü kullanarak, olağandışı e-posta erişim modellerini tanımlamak ve potansiyel bir güvenlik ihlalini gerçek zamanlı olarak işaretlemek için Microsoft Purview denetimi ile günlükleri toplayabilir ve işleyebilirler. Bu proaktif yaklaşım daha fazla hasarı önleyebilir ve genel güvenlik duruşlarını potansiyel olarak güçlendirebilir.
Şimdilik, CISA uygulamanın küçük ve orta ölçekli kuruluşlar için biraz maliyetli olabileceğini kabul etmesine rağmen, zamanla bu önerilerin zorunlu gereksinimler haline gelmesi muhtemelen. Gelecek değişiyor. Bir kuruluşun BT güvenlik yolculuğunda her zaman yeni günlük kaynakları olacaktır. Bu nedenle, bu yaklaşımı benimseyerek, kuruluşlar eğrinin önünde olabilir.
Çözüm
CISA’nın en son rehberliği, Microsoft’un genişletilmiş kayıt özellikleriyle birleştiğinde, siber güvenlik zorluklarının ele alınmasında önemli bir ilerlemeye işaret ediyor. Bu günlükleri platformlar arası bir günlük çözümü ile entegre etmek, kuruluşların güçlü uyumluluğu korurken ve aksi takdirde bir kuruluşu siber saldırılara karşı savunmasız hale getiren güvenlik boşluklarını ortadan kaldırırken, gelişen tehditlere karşı proaktif kalmasına yardımcı olur.
Microsoft’un genişletilmiş bulut günlükleri ile güvenliği artıran POST, BT Security Guru’da ilk olarak ortaya çıktı.