Bulut güvenliği, yangın söndürmekle ilgili değildir; duman çıkmadan önce hazır olmakla ilgilidir. Azure ve Microsoft 365 ortamlarında, iyi yağlanmış bir olay müdahale planı Dayanıklılığı korur, maruz kalma süresini azaltır ve adli delilleri korurken hasarı sınırlar. Tüm bunları, NIST SP 800-61 çerçevesiyle uyumlu pratik bir yaklaşımla uygulayacağız: hazırlık, tespit ve analiz, kontrol altına alma/yok etme/kurtarma ve takip faaliyetleri.
Zayıf bir güvenlik programı, saldırganlar için daha uzun süreler, düzenleyici cezalar ve tekrarlanan saldırılar anlamına gelir. Bu nedenle, Önemli olan yerel araçları (Defender, Sentinel, Azure Monitor) birleştirmektir Net süreçler, otomasyon ve yönetişimle, eyleme geçirilebilir taktikler ve MITRE ATT&CK'ye referanslar içeren kapsamlı bir rehber sunuyorum, böylece kuruluşunuz yalnızca tepki vermekle kalmayıp aynı zamanda akıllıca ve hızlı bir şekilde yanıt verebilir.
Bulut yanıt planının temelleri
Amaç, adli tıp ve uyumluluk için delilleri korurken, olayı hızla kontrol altına almak ve kurtarmaktır. NIST SP 800-61 döngüsünü takip edin ve üç temel unsura dayanır: hazırlık (planlar, roller, kişiler, otomasyon), tespit/analiz (kalite uyarıları, olay oluşturma, soruşturma) ve kontrol altına alma/kurtarma/sürekli iyileştirme (SOAR, izolasyon ve öğrenilen dersler).
Zayıf yetenekler daha uzun kalma sürelerine, veri kaybına ve para cezalarına yol açar. Bulutta sorumluluk paylaşılır.Bu nedenle, kritik dakikaların kaybedilmemesi için kimin ne yaptığını (müşteri/tedarikçi) ve Microsoft'a (MSRC, platform desteği) nasıl iletileceğini belgelemek gerekir.
Hazırlık (PIR-1): Azure'a özgü plan ve yönetişim
Prensip basittir: belgelendirin, test edin ve geliştirinGenel bir plan bulutta işe yaramaz: VM anlık görüntüleri, Azure günlük kaydı, mantıksal izolasyon ve Microsoft ile iş birliği için prosedürlere ihtiyacınız var. Düzenli tatbikatlar yapın ve oyun kitabınızın etkinliğini inceleyin.
Azaltılması gereken riskler: krizdeki kaos, bulut prosedürlerinin eksikliği, sağlayıcıyla zayıf koordinasyon, test edilmemiş araçlar, uyumluluk hataları ve yetersiz delil koruma uygulamaları. Yapı ve eğitim yoksa, etki genellikle göründüğünden daha büyüktür.
MITRE Haritalama: Savunmalardan Kaçınma (T1562), veri imhası Etki (T1485) ve verilerin sızdırılmaya hazırlanması (T1074). Bir plana sahip olmak, düşmanın dağınıklığımız nedeniyle zaman kazanmasını engeller.
IR-1.1 (Azure planı): IaaS/PaaS/SaaS sorumluluklarını belirler; Azure Monitor günlüklerini, denetimi ve Microsoft Entra ID oturum açma bilgilerini kullanır. NSG Akış Kayıtları ve Defender for Cloud uyarıları; kanıt yakalamayı (VM anlık görüntüleri, bellek dökümleri, PCAP) içerir; Microsoft/MSRC desteğinin nasıl etkinleştirileceğini tanımlar; ve otomasyonla kaynak izolasyonunu belgelendirir (örneğin, bir VM'yi yük dengeleyiciden kaldıran oyun kitapları).
Defender for Cloud ile Entegrasyon: yapılandırın 7/24 güvenlik irtibat kişileriCiddiyet seviyelerini dahili seviyelerinize eşleyin, Logic Apps ile uyarıları ve olay oluşturmayı otomatikleştirin, düzenleyici bildirim şablonları hazırlayın (GDPR, HIPAA, PCI) ve kanıt dışa aktarma prosedürlerini (Sürekli Dışa Aktarma) hazır bulundurun.
IR-1.2 (ekip ve eğitim): rolleri net bir şekilde tanımlar (bulut analistleri, Azure mimarları, yasal/uyumluluk, süreklilik, harici kişiler), kararları yetkilendirir ve ekibi yerel araçlar konusunda eğitmek (Defender, Sentinel, KQL). İyi eğitilmiş bir ekip baskı altında hataları azaltır.
Sağlık örneği: Azure + HIPAA planı, sertifikalı özel ekip, yapılandırılmış güvenlik kişileri, üç aylık simülasyonlarMicrosoft ile kanıt prosedürleri (anlık görüntüler/izleme) ve iş birliği yolları. Sonuç: 7/24 kapsam ve sürekli iyileştirme.
Bildirim ve yükseltme (IR-2): Kimsenin çok geç öğrenmesine izin vermeyin
Doğru kişiye hemen haber vermemiz gerekiyor. Uyarıların tetiklenmesini otomatikleştirinİletişim listenizi güncel tutun ve platform veya düzenleyici olaylar olduğunda koordinasyon sağlamak için Microsoft hizmetleriyle entegre edin.
Riskler: geç tanıma, son tarihlere uyulmaması (GDPR 72 saat, HIPAA 60 gün, PCI anında), tedarikçiyle zayıf koordinasyon, itibar kaybıKoordinasyonsuz çabalar ve gecikmiş kontrol. İletişim hayati önem taşıyan dakikaları kurtarıyor.
MITRE: Ağı koordine etmezseniz C2 daha uzun sürer (T1071), C2 kanalından sızma Bildirimler ve tırmanışlar takılıp kalırsa (T1041) ve fidye yazılımları (T1486) yayılır.
IR-2.1 (Microsoft ile iletişim): Defender for Cloud'da güvenlik iletişimlerini yapılandırın (birincil/ikincil, Çok kanallı(periyodik test), abonelik veya yönetim grubu düzeyinde, şablonlar ve otomatik bilet oluşturma (Azure DevOps/ITSM) ile.
IR-2.2 (iş akışları): Mantık Uygulamaları ve Sentinel oyun kitaplarını kullanın yerçekimiyle uyarmak ve olay türü, paydaş matrisi, zaman tabanlı yükseltme, düzenleyici şablonlar ve Azure Monitor/Event Hubs bağlayıcıları, e-posta ve Teams ile; API aracılığıyla harici araçlarla bütünleşir.
Finansal örnek: Ticaret merkezlerinde 7/24 iletişim, SEC/FINRA raporlaması için Mantık Uygulamaları, dahili/harici paydaş matrisi içeren oyun kitapları, 8-K ve eyalet bildirimleri için şablonlar, yasal inceleme ve otomatik biletlerSonuç: daha az bildirim süresi ve daha az insan hatası.
Algılama ve analiz (IR-3): daha az gürültü, daha fazla sinyal
Uyarıların kalitesi her şeydir: yanlış pozitifleri azaltır Ve gerçek bir kapsam sağlar. Zenginleştirme ve yükseltme ile olay oluşturmayı otomatikleştirir. Aksi takdirde, ekip tükenir ve önemli sorunlar küçük bildirimlerin altında kalır.
Riskler: yorgunluk, gözden kaçan tehditler, yetersiz kaynak tahsisi, yüksek MTTD/MTTR, zayıf tehdit istihbaratı ve düzensiz olayların oluşmasını engeller. Sinyal-gürültü oranı kuralları.
MITRE: maskeleme (T1036), geçerli hesapların kullanımı (T1078) ve otomatik hasat (T1119) Davranışa göre algılamaları ayarlamazsanız ortaya çıkar. Erişimi ve hesapları denetlemek için araçlara başvurun. Active Directory denetimi.
IR-3.1 (Defender XDR): Uç nokta, kimlik, e-posta ve bulut uygulamaları arasındaki ilişki birleşik olaylarAIR (Otomatik Araştırma ve Müdahale); KQL ile Gelişmiş Avcılık; ürünler arası engelleme; ve otomatik saldırı kesintisi. Tek bir kuyruk ve platformlar arası analizler için yerel bir bağlayıcı aracılığıyla Sentinel ile entegre olur.
IR-3.2 (Bulut için Defender): Uygun planları (sunucular, Uygulama Hizmeti, Depolama, kapsayıcılar, Anahtar Kasası) etkinleştirir, ML/AI'yı etkinleştirir, bastırır bilinen yanlış pozitiflerŞiddetleri kalibre eder ve özel analiz kurallarıyla XDR ve Sentinel'e iletir ve Tehdit Zekası.
IR-3.3 (Sentinel olayları): analiz kuralları oluşturur, grup uyarıları Olay yönetiminde, varlıkları (kullanıcılar, ana bilgisayarlar, IP'ler, dosyalar) zenginleştirin, kritiklik ve riske göre önem puanı verin, sahiplerini atayın ve zamana göre ilerleyin. Yanıtı standartlaştırmak için zaman çizelgelerini, arama defterlerini, Teams/ServiceNow'ı ve not defterlerini (SOAR) kullanın.
Örnek: Defender, KQL kurallarının iş kalıpları tarafından tam olarak etkinleştirilmesi, otomatik olay oluşturma Gruplama ve zenginleştirme ile kanıt/bildirim/düzenleyici ve SLA izleme not defterleri. Sonuç: daha az yanlış pozitif ve daha hızlı soruşturmalar.
Soruşturma (IR-4): Kayıt, Adli Tıp ve Gözetim Zinciri
Tam kayıtlar ve titiz bir koruma olmadan etkili bir araştırmadan söz edilemez. Günlükleri merkezileştirin ve delil prosedürlerini (anlık görüntüler, kopyalar, yakalamalar) standartlaştırır. Saldırganın izleri silmesini engeller ve yasal olarak kabul edilebilirliği korur.
Riskler: saldırının kısmen görünür olması, bilinmeyen verilerin açığa çıkması, gizli kalıcılık mekanizmalarıdelillerin yok edilmesi, uzun bekleme süresi ve eksik iyileştirme nedeniyle tekrar suç işleme.
MITRE: göstergelerin ortadan kaldırılması (T1070 ve T1070.004), dosya gizleme (T1564.001) ve sistem bilgisi keşfi (T1082). İyi araştırmak avantajını ortadan kaldırır.
IR-4.1 (günlükler): Entra Kimliği, Azure Etkinlik Günlüğü, NSG Akış Günlükleri, VM'lerdeki Azure İzleme Aracısı'ndan denetim ve oturum açma verilerini toplar. uygulama günlükleri ve XDR sinyalleri; UEBA ile Sentinel'de araştırma, araştırma grafiği, av kitapları, MITRE ataması ve çalışma alanları arasında istişareler.
IR-4.2 (adli): VM anlık görüntülerini, Azure Disk Yedeklemeyi otomatikleştirir (artımlı yedeklemeler), bellek dökümleri, günlükleri dışa aktarır Değiştirilemez Blob Depolama Yasal saklama, paket yakalama (Ağ İzleyici) ve karma ve imzalarla saklama gibi özelliklerle donatılmıştır. Harici adli bilişim araçlarını entegre eder ve şifreleme ve erişim kontrolü ile bölgeye göre kanıtları çoğaltır.
Finansal örnek: Uç nokta için Defender, sıra dışı ticaret için UEBA'lı Sentinel, 5'lik anlık görüntüler Kritik bir uyarının ardından, SEC yasal tutma özelliğine sahip değiştirilemez depolama, dolandırıcılık için XDR avı ve otomatik PCAP. Sonuç: soruşturma süreleri önemli ölçüde azaldı ve uyumluluk garanti altına alındı.
Önceliklendirme ve sınıflandırma (IR-5): Gerçekten canınızı acıtan şeye odaklanın
Öncelik alarm tarafından belirlenmez, İş dünyası bunu emrediyor.Varlıkların kritikliği, etkisi, teknik ciddiyeti ve düzenleyici yükümlülüklerine göre sınıflandırma yapar ve otomatik puanlamanın çabanın nereye harcanması gerektiği konusunda rehberlik etmesini sağlar.
Riskler: Kritik olaylara gecikmiş yanıt, küçük uyarılarda kaynak tüketimi, temel sistemler üzerinde yüksek etki, düzenlenen verilerin ihlalleri, liderliğe yetersiz iletişim ve yatay hareket için pencere.
MITRE: Düşük öncelikli gürültü maskeleme (T1036), yüksek değerli sistemlerde fidye yazılımı (T1486) ve yanal hareket (T1021). Önceliklendirme, bu kapıları kapatır.
IR-5.1 (iş etkisi): Kaynakları kritiklik (Kritik/Yüksek/Orta/Düşük) ile etiketler, Microsoft Purview veri sınıflandırmasına bağlantılar, iş fonksiyonunu, düzenleyici kapsamı ve sahipleriyle iletişime geçinRisk ve internet maruziyeti/ayrıcalığını çapraz referanslamak için Defender for Cloud'un envanterini ve duruşunu kullanın.
IR-5.2 (puanlama ve ölçekleme): Sentinel'de hesaplayın çok faktörlü risk (varlık, gizlilik, BT, istihbarat), Varlık Riskini kullanır, uyumluluk için ciddiyeti artırır ve gerektiğinde zaman ve yönetici/yasal bildirimler için tırmanışları tetikler.
Örnek: etiketleme stratejisi, düzenlenmiş ortama ve etkiye göre puanlama kuralları, acil tırmanış Yönetim ve Hukuk departmanları, otomatik etki değerlendirmesi ve 15 dakikalık (kritik) ve 4 saatlik (yüksek) zamanlayıcılarla kritik olaylara dahil olur. Sonuç: kaynaklar en önemli oldukları yere odaklanır.
Sınırlama ve Otomasyon (IR-6): SOAR dakikalar kazanacak
Otomatik saldırılar beklemez; siz de beklememelisiniz. Sentinel Oyun Kitapları + Mantık Uygulamaları Gerektiğinde onay alarak makine hızında kontrol, inceleme ve kurtarma işlemlerini gerçekleştirirler.
Manuel çalıştırmanın riskleri: uzun süreler, baskı altında hatalardüzensiz tepki, ekip yorgunluğu, küçük ölçek ve yanal harekete veya dışarı sızmaya izin veren geç kontrol.
MITRE: Uzaktan hizmet istismarı (T1210), yıkıcı şifreleme (T1486) ve otomatik sızdırma (T1020). Otomasyon, pencereyi daraltır.
IR-6.1 (oyun kitapları): hesapları askıya alın/sıfırlamayı zorlayın, sanal makineleri NSG/Güvenlik Duvarı ile izole edin, kötü amaçlı yazılım karantinası ve karma engelleme, veri koruma (erişimi iptal etme/anahtarları döndürme) ve bildirimler/düzenleyici uyumluluk. Graph API, Defender, ARM, üçüncü taraf SOAR ve hassas değişiklikler için iki kişilik onayları entegre eder.
IR-6.2 (kontrol): NSG/Güvenlik Duvarı, VNet segmentasyonunu otomatikleştirir, dengeleyicilerden kaldırExpressRoute/VPN'yi ayarlayın; risk altındaki hesaplarda JIT ayrıcalıklarını iptal etmek için Koşullu Erişim ve PIM uygulayın. Toplu düzeltme için Azure Automation çalıştırma kitaplarını ve politikalarını kullanın.
Örnek: oturumları askıya almak ve cihazları izole etmek için oyun kitapları, kanıtları korurken sanal makineleri izole etmek için çalıştırma kitapları, paydaşlara otomatik bildirimler, tam izlenebilirlik Güvenli yapılandırmaları ve entegre biletleri korumak. Sonuç: saatler, tam izlenebilirlikle dakikalara dönüştürüldü.
Takip faaliyetleri (IR-7): öğrenin, koruyun ve geliştirin
Bir olayı kapattıktan sonra güzel şeyler başlar: öğrenilen dersler ve kanıt yönetimiKök nedenleri inceleyin, kontrolleri güncelleyin ve gerçek vakalarla eğitim verin ve kanıtları muhafaza zinciriyle değiştirilemez bir şekilde saklayın.
Riskler: düzeltme yapılmaması nedeniyle tekrarlama, delillerin yok edilmesi, uygunsuz kesintiler için para cezalarıılık gelişmeler ve organizasyonel bilginin kaybı. Kapanış, ölçülebilir gelişmelere dayanmalıdır.
MITRE: Hesap manipülasyonu (T1098), tekrarlanan sömürü Genel uygulamaların (T1190) ve göstergelerin kaldırılması (T1070). Sürekli iyileştirme bu yolları azaltır.
IR-7.1 (öğrenilen dersler): Tüm taraflarla 48–72 saatlik inceleme, Beş Neden/Balık Kılçığı ve zaman çizelgeleri, tespit/tepki/önleme boşluklarının değerlendirilmesi, paydaşlardan gelen geri bildirimler Azure DevOps'ta son tarihler ve ölçümlerle (MTTD/MTTR) eylemler ve bulgular. Bulguları eğitim, dokümantasyon ve simülasyonlara dahil eder.
IR-7.2 (saklama): Değiştirilemez Blob Depolama politikalarını kullanır (geçici saklama ve yasal tutma), Purview ile sınıflandırma ve yaşam döngüleri, karma ve imzalarla saklama zinciri, bölgesel çoğaltma ve indeksleme/arama. Uyumluluk: HIPAA (≈6 yıl), SOX (≈7), PCI (≥1 yıl; 3 ay çevrimiçi). GDPR kapsamında sabit bir süre yoktur: en aza indirme ve belgelenmiş gerekçelendirme geçerlidir.
Sağlık hizmeti örneği: erken inceleme komiteleri, değiştirilemez saklama süresi 6 yıl Yasal tutma, DevOps iş öğeleri, otomatikleştirilmiş gözetim zinciri ve olgunluk ölçümleriyle; sonuçlar farkındalık eğitimlerine ve tatbikatlara dönüştürüldü. Sonuç: daha az tekrar ve iyileştirilmiş uyumluluk.
Taktik kontrol listesi: kararlar, roller ve tatbikatlar
Teknik boyutların ötesinde, önceden üzerinde mutabakata varılması gereken zor kararlar da var. Masaüstü egzersizlerini kullanın yönetimi riskler arasında seçim yapmaya ve gerçekçi senaryolarda (fidye yazılımı, içeriden bilgi sızdırma, sızma) maliyet/fayda değerlendirmesi yapmaya zorlayan.
- Ön kararlar: polise ne zaman başvurulacağı, harici müdahale ekiplerinin ne zaman harekete geçirileceği, fidye ödemek/ödememekDenetçilere, gizlilik yetkililerine ve güvenlik düzenleyicilerine haber verin, yönetim kurulunu bilgilendirin ve kritik yükleri kimin kapatabileceğini belirtin.
- Yasal ayrıcalıkları koruyun: Ekibi, gerçekleri ayrıcalıklı tavsiyelerden ayırma konusunda eğitin. Tutarlı kanallar kullanın (örn. Microsoft toplantı merkezleri) ve dış danışmanlarla koordinasyonu sağlar.
- İçeriden bilgi: Yönetim kuruluna bildirimler hazırlayın ve riskleri azaltın piyasa riskleri kırılganlık dönemlerinde.
- Temel roller: teknik yönetici (eylemleri yönlendirir), iletişim irtibat görevlisi (yöneticiler/düzenleyiciler), kayıt (belge kararları ve kanıtlar), süreklilik planlayıcısı (24–96 saat) ve yüksek görünürlük senaryoları için PR.
- Gizlilik: Hızlı değerlendirme için SecOps not defteri + Gizlilik Ofisi düzenleyici risk 72 saat içinde.
- Test: Genişletilmiş sızma testi (şunları içerir: yedekleme), Kırmızı/Mavi/Mor/Yeşil takımlar ve Defans simülasyonları (M365/Endpoint).
- Süreklilik ve DR: Azure'da minimum uygulanabilir ürünler, yedeklemeler ve geri yüklemeler için plan yapın. aktif/pasif senaryolar ve evreleme zamanlarını; uyumlu donanımlarda restorasyonları doğrular.
- Alternatif iletişimler: E-posta/iş birliği kesilirse, Kişiler, topolojiler ve çalıştırma kitapları çevrimdışı ve değiştirilemez olarak kaydedilir.
- Hijyen ve yaşam döngüsü: değiştirilemez kopyalar ve günlükler, desteklenmeyen donanım yönetimi, sürdürülebilir personel ve ortak bir format ilerleme raporu (yapıldı/yapılıyor/yapacağım + teslim tarihleri).
Azure'da CIS Controls 10.x ile Uyum
CIS'i Azure'a indirmek için: bir IR kılavuzu oluşturun (10.1), tanımlayın önceliklendirme ve puanlama (10.2), planı test edin (10.3), olayları inceleyin ve MSRC ile iletişime geçin (10.4), uyarıları/önerileri dışa aktarın Sürekli ihracat Sentinel'e (10.5) bağlayın ve Logic Apps (10.6) ile yanıtları otomatikleştirin. Hassas verileri işleyen abonelikleri (üretim/üretim dışı) ve kaynakları etiketleyin.
Azure SRE Agent olaylar için planlar
Azure SRE aracı olay yönetimini kullanıyorsanız, filtrelere (tür, etkilenen hizmet(öncelik, başlık), yürütme modunu seçin (İnceleme veya Otonom) ve aracının uygun araçları seçmesini sağlamak için geçmişe dayalı özel talimatlar ekleyin.
Varsayılan olarak: Azure Monitor'a bağlı, işlemler düşük öncelikli olaylar Tüm servisleri destekler ve İnceleme modunda kullanılabilir. PagerDuty ve ServiceNow ile entegre olur ve geçmiş olaylarla planların salt okunur modda test edilmesine olanak tanır.
SDL'nin Yayın ve Yanıt Aşamaları
Sürümde, servisi hazırlayın: yük testi Azure Yük Testi, merkezi WAF (OWASP CRS ile Uygulama Ağ Geçidi veya Ön Kapı), IR planı ve sertifikalandırma ve arşivlemeden önce son güvenlik incelemesi (kanıt ve eserler) ile.
Yanıt olarak, planı yürütün ve şunları izleyin: Performans ve gerçek kullanım için Uygulama İçgörüleri ve Bulut için Defender Azure ve hibritte duruş, algılama ve yanıt için.
Azure CWPP: mimari, yetenekler ve en iyi uygulamalar
Azure'un CWPP platformu, sanal makineleri, kapsayıcıları ve sunucusuz ortamları kapsar. Tipik sorunlar: karmaşa dağıtım, yanlış yapılandırmalar, maliyetler, gizlilik/uyumluluk, üçüncü taraf entegrasyonu ve değişime ayak uydurma.
Temel mimari: Sentinel (SIEM/SOAR), Azure Güvenlik Duvarı, DDoS Koruması ve sırlar/anahtarlar için Key Vault. Azure, şirket içi ve diğer bulut kaynaklarını entegre eder, verileri Log Analytics'te normalleştirir ve depolar ve bunları küresel Tehdit İstihbaratı ile zenginleştirir.
Birleşik yönetim: Defender for Cloud duruşu yansıtır, Azure İlkesi Uyumluluğu merkezileştirir ve uyarı sistemi önceliklendirme ve araştırma yapar. Esnek ölçeklenebilirlik, küresel dağıtım, kademeli depolama ve performans için yük dengeleme.
Sentinel SIEM/SOAR: veri bağlayıcıları, KQL ile avcılık, olay yönetimi araştırma çizelgesi ve Mantık Uygulamalarına dayalı yanıt kılavuzları (uyarılardan hesapları devre dışı bırakmaya veya bilinen iyi durumları geri yüklemeye kadar).
Ağ ve veriler: ağ ve veri görselleştirme ve kontrolüVM'ler için JIT, adaptif güçlendirme (ML tarafından önerilen NSG), dinlenme sırasında şifrelemeSQL enjeksiyon tespiti, depolama güvenliği (değerlendirmeler, güvenli transfer, şifreleme, erişim), bekleme durumunda şifreleme ve aktarım sırasında TLS, Key Vault ve rotasyon ile gizli veri yönetimi.
Konteynerler ve Kubernetes: Push ve gönderim sırasında görüntü taramalı ACR güvenlik açığı raporları; çalışma zamanı koruması (izleme, segmentasyon, en az ayrıcalık ve anında yanıt), K8s'ye özgü algılamalar (API'ler, hassas ad alanlarındaki kapsüller), sürekli duruş, kabul denetleyicileri ve ağ politikaları.
En iyi uygulamalar: Tüm aboneliklerde Defender'ı etkinleştirin, sınıflandırır ve triyaj yapar uyarılar, Güvenli Puanı izleme, IR planını tanımlama ve test etme ve performansı optimize etme (maliyet/telemetri/tutma).
Azure olaylarıyla ilgili resmi iletişim
Öncesi: Kendinizi tanıtın Azure Hizmet DurumuUyarıları abonelik/hizmet/bölge bazında (Hizmet Sorunları, Bakım, Güvenlik Bildirimleri) yapılandırın ve Azure Monitor temel uyarı çözümünü uygulayın. İlgili kişileri (yönetici/sahip/gizlilik/kiracı) güncel tutun ve kullanıcıları bilgilendirmek için planlanmış etkinlikler kullanın.
Pozisyonu iyileştirir: MFA, koşullu erişim ve yüksek riskli kullanıcı uyarıları; dizinler arasında abonelik hareketinin yönetimi; İyi Tasarlanmış İnceleme ve Güvenilirlik kitabı; eşleştirilmiş bölgeler ve kullanılabilirlik alanları; kritik sanal makinelerin izolasyonu; bakım yapılandırmaları; Azure Chaos Studio; ve hizmet emekliye ayırma kitabı.
Sırasında: Güncellemeler için portalda Hizmet Sağlığını Kontrol Edin, genel sayfa azure.durum.microsoft Portal yüklenmezse ve yedek olarak X'te @AzureSupport'u kullanın. Hizmet Durumu'nda durumunuzu görmüyorsanız ve bu sizi etkiliyorsa, bir destek talebi açın; bir güvenlik sorunuysa, izleme kimliğini belirtin.
Sonraki: Bakım geçmişindeki Olay Sonrası İncelemeyi (PIR) okuyun, Olay Retrospektifi Uygun olduğunda akışı gerçekleştirin ve varsa olay kimliğini belirterek SLA kredisi talep edin.
Kontrol çerçevelerine eşleme
Denetim ve uyumluluk amaçları doğrultusunda kontrollerinizi şu şekilde eşleştirin: NIST SP 800-53 (IR-1..IR-8, SI-4, AU-6/7, CP-9), PCI-DSS (12.10.x, 10.6.x, 5.3.2, 11.5.1), CIS v8.1 (17.x, 8.x, 13.x), NIST CSF v2.0 (PR.IP, RS.CO, DE.CM/AE, RS.AN/MI/IM), ISO Kalite Yönetim Sistemi (A.5.24–A.5.28, A.8.13, A.8.16) ve SOC 2 (CC7.x, CC9.1, A1.x). Neyin izlenebilirliğini bırakır prosedür, araç ve ölçüm Her türlü ihtiyaca cevap veriyor.
Tek bir çözüm yok, ancak net süreçleri, otomasyonu ve teknik-yasal yönetimi bir araya getirmek, bir olayı kriz değil, aksilik haline getirir. Kanıtlanmış planlar, kaliteli tespit, otomatik kontrol ve sürekli öğrenme ileAzure ve Microsoft 365, riskin tahminlerle değil, verilerle yönetildiği bir ortam haline geliyor.
