İdare kurallarıyla düzeltmeyi yönlendirme

Güvenlik duruşunu geliştirmek güvenlik ekibinden sorumlu olsa da, ekip üyeleri aslında güvenlik önerilerini uygulamayabilir.

Güvenlik ekibi tarafından yönetilen idare kurallarının kullanılması, düzeltme sürecinde sorumluluk ve SLA oluşturmanıza yardımcı olur.

Daha fazla bilgi edinmek için Field video serisinde Bulut için Defender bu bölümünü izleyin.

İdare kuralları

Belirli kaynaklara yönelik önerileri ele almak için bir sahip ve son tarih atayan kurallar tanımlayabilirsiniz. Bu, kaynak sahiplerine önerileri düzeltmek için net bir dizi görev ve son tarih sağlar.

İzleme için, düzeltme görevlerinin ilerleme durumunu aboneliğe, öneriye veya sahipe göre gözden geçirerek daha fazla dikkat gerektiren görevleri takip edebilirsiniz.

  • İdare kuralları, belirli önerilere veya önem derecelerine göre düzeltme gerektiren kaynakları tanımlayabilir.
  • Kural, önerilerin işlenmesini sağlamak için bir sahip ve son tarih atar. Birçok idare kuralı aynı önerilere uygulanabilir, bu nedenle daha düşük öncelikli kural sahibi ve son tarihi atayan kuraldır.
  • Önerinin düzeltilmesi için ayarlanan son tarih, önerinin kural tarafından bulunduğu tarihten itibaren 7, 14, 30 veya 90 günlük bir zaman çerçevesine dayanır.
  • Örneğin, kural kaynağı 1 Mart'ta tanımlarsa ve düzeltme zaman çerçevesi 14 günse, 15 Mart son tarihtir.
  • Son tarih verilen kaynakların güvenlik puanınızı etkilememesi için yetkisiz kullanım süresi uygulayabilirsiniz.
  • Ayrıca, belirtilen önerilerden etkilenen kaynakların sahibini de ayarlayabilirsiniz.
  • Kaynakları bir sahiple ilişkilendirmek için kaynak etiketleri kullanan kuruluşlarda etiket anahtarını belirtebilirsiniz ve idare kuralı etiketten kaynak sahibinin adını okur.
  • Kaynakta, ilişkili kaynak grubunda veya belirtilen etikete göre ilişkili abonelikte sahip bulunamadığında sahip belirtilmemiş olarak gösterilir.
  • Varsayılan olarak, zamanında ve süresi geçmiş görevlerin listesini sağlamak için kaynak sahiplerine haftalık olarak e-posta bildirimleri gönderilir.
  • Kuruluş Microsoft Entra Kimliği'nde sahibin yöneticisine yönelik bir e-posta bulunursa, sahibin yöneticisi varsayılan olarak süresi geçmiş önerileri gösteren haftalık bir e-posta alır.
  • Çakışan kurallar öncelik sırasına göre uygulanır. Örneğin, bir yönetim kapsamındaki kurallar (Azure yönetim grupları, AWS hesapları ve GCP kuruluşları), kapsamlardaki kurallardan önce geçerlilik kazanır (örneğin, Azure abonelikleri, AWS hesapları veya GCP projeleri).

Başlamadan önce

  • Defender Bulut Güvenliği Duruş Yönetimi (CSPM) planının etkinleştirilmesi gerekir.
  • Azure aboneliklerinde Katkıda Bulunan, Güvenlik Yöneticisi veya Sahip izinlerine sahip olmanız gerekir.
  • AWS hesapları ve GCP projeleri için aws veya GCP bağlayıcıları Bulut için Defender Katkıda Bulunan, Güvenlik Yöneticisi veya Sahip izinlerine sahip olmanız gerekir.

İdare kuralı tanımlama

Aşağıdaki gibi bir idare kuralı tanımlayabilirsiniz:

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender> Environment ayarları>İdare kuralları'na gidin.

  3. İdare kuralı oluştur'u seçin.

    İdare kuralı ekleme sayfasının ekran görüntüsü.

  4. Kuralın uygulanacağı bir kural adı ve kapsamı belirtin.

    • Yönetim kapsamı kuralları (Azure yönetim grupları, AWS ana hesapları, GCP kuruluşları) tek bir kapsamdaki kurallardan önce uygulanır.
    • Kapsam içinde gerektiğinde dışlamalar tanımlayabilirsiniz.
  5. Bir öncelik düzeyi ayarlayın.

    Kurallar en yüksekten (1) en düşüke (1000) kadar öncelik sırasına göre çalıştırılır.

  6. Kuralı tanımlamanıza yardımcı olacak bir açıklama belirtin.

  7. İleri'yi seçin

  8. Önerilerin kuraldan nasıl etkileneceğini belirtin.

    • Önem derecesine göre - Kural, sahip ve son tarihi abonelikte henüz atanmamış önerilere atar.
    • Belirli önerilere göre - Kuralın geçerli olduğu belirli yerleşik veya özel önerileri seçin.

    İdare kuralı koşulları ekleme sayfasının ekran görüntüsü.

  9. Kuralın kapsamına giren önerileri düzeltmekten kimin sorumlu olduğunu belirtmek için sahibi ayarlayın.

    • Kaynak etiketine göre - Kaynaklarınıza kaynak sahibini tanımlayan kaynak etiketini girin.
    • E-posta adresine göre - Önerilere atamak için sahibinin e-posta adresini girin.
  10. Kaynakların düzeltme gerektiren olarak tanımlandığı zaman ile düzeltmenin son tarihi arasındaki süreyi ayarlamak için düzeltme zaman dilimini belirtin.

    MCSB tarafından verilen öneriler için kaynakların süresi dolana kadar güvenlik puanınızı etkilemesini istemiyorsanız Yetkisiz kullanım süresini uygula'yı seçin.

  11. (İsteğe bağlı) Varsayılan olarak sahiplere ve yöneticilerine açık ve süresi geçmiş görevler hakkında haftalık olarak bildirim gönderilir. Bu haftalık e-postaları almalarını istemiyorsanız bildirim seçeneklerini temizleyin.

  12. Oluştur'u belirleyin.

İdare kuralının tanımıyla eşleşen mevcut öneriler varsa şunlardan birini yapabilirsiniz:

  • Sahip veya son tarihi olmayan önerilere sahip ve son tarih atayın.

  • Mevcut önerilerin sahibinin ve son tarihinin üzerine yaz.

Bir kuralı sildiğinizde veya devre dışı bırakdığınızda, tüm mevcut atamalar ve bildirimler kalır.

Geçerli kuralları görüntüleme

Kamu kurallarının ortamınızdaki etkisini görüntüleyebilirsiniz.

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender> Environment ayarları>İdare kuralları'na gidin.

  3. İdare kurallarını gözden geçirin. Varsayılan liste, ortamınızda geçerli olan tüm idare kurallarını gösterir.

  4. Kuralları arayabilir veya kuralları filtreleyebilirsiniz.

    • Azure, AWS ve GCP kurallarını belirlemek için Ortam'a göre filtreleyin.

    • Verilen öneri ile son tarih arasındaki kural adına, sahipe veya saate göre filtreleyin.

    • Güvenlik puanınızı etkilemeyecek MCSB önerilerini bulmak için Yetkisiz Kullanım süresine göre filtreleyin.

    • Duruma göre tanımlayın.

      Kuralları görüntüleme ve filtreleme sayfasının ekran görüntüsü.

İdare raporunu gözden geçirme

İdare raporu, idare kuralları olan abonelikleri seçmenize olanak tanır ve her kural ve sahip için kaç önerinin tamamlandığını, zamanında, süresi geçmiş veya atanmamış olduğunu gösterir.

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender> Environment ayarları>İdare kuralları>İdare raporu'na gidin.

    İdare raporu düğmesinin bulunduğu yeri gösteren idare kuralları sayfasının ekran görüntüsü.

  3. Bir abonelik seçin.

    İdare çalışma kitabındaki kurala ve sahipe göre idare durumunun ekran görüntüsü.

İdare raporundan kapsam, görünen ad, öncelik, düzeltme zaman çerçevesi, sahip türü, sahip ayrıntıları, yetkisiz kullanım süresi ve buluta göre önerilerde detaya gidebilirsiniz.

Sonraki adım

Güvenlik önerilerini uygulama hakkında bilgi edinin.