Microsoft Defender XDR'yi pilot olarak kullanın ve dağıtın
Şunlar için geçerlidir:
- Microsoft Defender XDR
Bu makale serisi, üretim kiracınızdaki Microsoft Defender XDR bileşenlerinin pilotunu oluşturma işleminin tamamında size yol gösterir; böylece bunların özelliklerini ve özelliklerini değerlendirebilir ve ardından kuruluşunuz genelinde dağıtımı tamamlayabilirsiniz.
Bir eXtended algılama ve yanıt (XDR) çözümü, bir zamanlar yalıtılmış olan sistemlerden alınan tehdit verilerini alıp birleştirerek desenleri görebilmeniz ve şüpheli siber saldırılara daha hızlı müdahale edebilmeniz için siber güvenlikte ileriye doğru bir adımdır.
Microsoft Defender XDR:
Kimlikler, uç noktalar, e-posta ve bulut uygulamalarına yönelik siber saldırılarla ilgili bilgileri tek bir yerde birleştiren bir XDR çözümüdür. Bazı saldırı türlerini otomatik olarak durdurmak ve etkilenen varlıkları güvenli bir duruma getirmek için yapay zeka (AI) ve otomasyondan yararlanıyor.
Bulut tabanlı, birleşik, ihlal öncesi ve sonrası kurumsal savunma paketidir. Kimlikler, uç noktalar, e-posta, bulut uygulamaları ve bunların verileri arasında önleme, algılama, araştırma ve yanıtı koordine eder.
Tehdit koruması ve algılama sağlayarak güçlü bir Sıfır Güven mimarisine katkıda bulunur. bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olur. Daha fazla bilgi için Bkz. Microsoft Sıfır Güven benimseme çerçevesinde tehdit koruması ve XDR iş senaryosu uygulama.
Microsoft Defender XDR bileşenleri ve mimarisi
Bu tabloda Microsoft Defender XDR bileşenleri listelenmiştir.
| Bileşen | Açıklama | Daha fazla bilgi için |
|---|---|---|
| Kimlik için Microsoft Defender | Gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kuruluşunuza yönelik kötü amaçlı insider eylemlerini belirlemek, algılamak ve araştırmak için şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ve Active Directory Federasyon Hizmetleri'nden (AD FS) gelen sinyalleri kullanır. | Kimlik için Microsoft Defender nedir? |
| Exchange Online Protection | Kuruluşunuzu istenmeyen postalara ve kötü amaçlı yazılımlara karşı korumaya yardımcı olan yerel bulut tabanlı SMTP geçişi ve filtreleme hizmeti. | Exchange Online Protection'a (EOP) genel bakış - Office 365 |
| Office 365 için Microsoft Defender | Kuruluşunuzu e-posta iletileri, bağlantılar (URL'ler) ve işbirliği araçları tarafından ortaya konan kötü amaçlı tehditlere karşı korur. | Office 365 için Microsoft Defender - Office 365 |
| Uç Nokta için Microsoft Defender | Cihaz koruması, ihlal sonrası algılama, otomatik araştırma ve önerilen yanıt için birleşik bir platform. | Uç Nokta için Microsoft Defender - Windows güvenliği |
| Bulut Uygulamaları için Microsoft Defender | Bulut uygulamalarınıza derin görünürlük, güçlü veri denetimleri ve gelişmiş tehdit koruması getiren kapsamlı bir SaaS çözümü. | Cloud Apps için Defender nedir? |
| Microsoft Entra ID Koruması | Milyarlarca oturum açma girişiminden kaynaklanan risk verilerini değerlendirir ve kiracınızda her oturum açma riskini değerlendirmek için bu verileri kullanır. Bu veriler, Koşullu Erişim ilkelerinin nasıl yapılandırıldığına bağlı olarak hesap erişimine izin vermek veya bunları engellemek için Microsoft Entra Id tarafından kullanılır. Microsoft Entra Id Protection, Microsoft Defender XDR'den ayrıdır ve Microsoft Entra Id P2 lisanslarına dahildir. | Kimlik Koruması nedir? |
Bu çizimde Microsoft Defender XDR bileşenlerinin mimarisi ve tümleştirmesi gösterilmektedir.
Bu çizimde:
- Microsoft Defender XDR, etki alanları arasında XDR sağlamak için tüm Defender bileşenlerinden gelen sinyalleri birleştirir. Buna birleşik bir olay kuyruğu, saldırıları durdurmak için otomatik yanıt, kendi kendini düzeltme (güvenliği aşılmış cihazlar, kullanıcı kimlikleri ve posta kutuları için), çapraz tehdit avcılığı ve tehdit analizi dahildir.
- Office 365 için Microsoft Defender, kuruluşunuzu e-posta iletileri, bağlantılar (URL'ler) ve işbirliği araçları tarafından ortaya konan kötü amaçlı tehditlere karşı korur. Bu etkinliklerden kaynaklanan sinyalleri Microsoft Defender XDR ile paylaşır. Exchange Online Protection (EOP), gelen e-posta ve ekler için uçtan uca koruma sağlamak üzere tümleşiktir.
- Kimlik için Microsoft Defender, AD DS etki alanı denetleyicilerinden ve AD FS ve AD CS çalıştıran sunuculardan sinyaller toplar. Bu sinyalleri hibrit kimlik ortamınızı korumak için kullanır. Bu sinyaller, şirket içi ortamdaki iş istasyonları arasında yaya olarak hareket etmek için güvenliği aşılmış hesapları kullanan korsanlara karşı koruma da dahil olmak üzere.
- Uç Nokta için Microsoft Defender, kuruluşunuz tarafından yönetilen cihazlardan sinyaller toplar ve bu cihazları korur.
- Cloud Apps için Microsoft Defender, kuruluşunuzun bulut uygulamaları kullanımından sinyaller toplar ve hem tasdikli hem de tasdiksiz bulut uygulamaları dahil olmak üzere BT ortamınızla bu uygulamalar arasında akan verileri korur.
- Microsoft Entra ID Protection milyarlarca oturum açma girişiminden kaynaklanan risk verilerini değerlendirir ve kiracınızda her oturum açma riskini değerlendirmek için bu verileri kullanır. Bu veriler, Koşullu Erişim ilkelerinizin koşullarına ve kısıtlamalarına bağlı olarak hesap erişimine izin vermek veya bunları engellemek için Microsoft Entra Id tarafından kullanılır. Microsoft Entra Id Protection, Microsoft Defender XDR'den ayrıdır ve Microsoft Entra Id P2 lisanslarına dahildir.
Microsoft Defender XDR bileşenleri ve SIEM tümleştirmesi
Bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için Microsoft Defender XDR bileşenlerini Microsoft Sentinel veya genel bir güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz.
Microsoft Sentinel, SIEM ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) özellikleri sağlayan buluta özel bir çözümdür. Microsoft Sentinel ve Microsoft Defender XDR bileşenleri birlikte kuruluşların modern saldırılara karşı savunmalarına yardımcı olacak kapsamlı bir çözüm sağlar.
Microsoft Sentinel, Microsoft Defender bileşenleri için bağlayıcılar içerir. Bu sayede yalnızca bulut uygulamalarınıza görünürlük sağlamakla kalmaz, aynı zamanda siber tehditleri belirleyip bunlarla mücadele etmek ve verilerinizin nasıl ilerlediğini denetlemek için gelişmiş analizler elde edebilirsiniz. Daha fazla bilgi için bkz. Microsoft Defender XDR ve Microsoft Sentinel tümleştirmesine genel bakış ve Microsoft Sentinel ve Microsoft Defender XDR için tümleştirme adımları.
Microsoft Sentinel'de SOAR hakkında daha fazla bilgi için (Microsoft Sentinel GitHub Deposundaki playbook'lara bağlantılar dahil), bkz. Microsoft Sentinel'de playbook'larla tehdit yanıtını otomatikleştirme.
Üçüncü taraf SIEM sistemleriyle tümleştirme hakkında bilgi için bkz. Genel SIEM tümleştirmesi.
Microsoft Defender XDR ve örnek bir siber güvenlik saldırısı
Bu diyagram, yaygın bir siber saldırıyı ve microsoft Defender XDR'nin bunu algılamaya ve düzeltmeye yardımcı olan bileşenlerini gösterir.
Siber saldırı, kuruluşunuzdaki bir çalışanın Gelen Kutusuna gelen ve e-posta ekini bilmeden açan bir kimlik avı e-postasıyla başlar. Bu ek, hassas verilerin çalınmasına neden olabilecek saldırı girişimleri zincirine yol açabilen kötü amaçlı yazılımları yükler.
Çizimde:
- Office 365 için Microsoft Defender'ın bir parçası olan Exchange Online Protection, kimlik avı e-postasını algılayabilir ve posta akışı kurallarını (aktarım kuralları olarak da bilinir) kullanarak kullanıcının Gelen Kutusu'na hiç ulaşmadığından emin olabilir.
- Office 365 için Defender , eki test etmek ve zararlı olduğunu belirlemek için Güvenli Ekler'i kullanır; bu nedenle gelen posta kullanıcı tarafından eyleme dönüştürülemez veya ilkeler postanın gelmesini engeller.
- Uç Nokta için Defender , kuruluşunuz tarafından yönetilen cihazlar için aksi takdirde kötüye kullanılabilecek cihaz ve ağ güvenlik açıklarını algılar.
- Kimlik için Defender , ayrıcalık yükseltme veya yüksek riskli yanal hareket gibi ani şirket içi kullanıcı hesabı değişikliklerini not alır. Ayrıca güvenlik ekibinizin düzeltmesi için kısıtlanmamış Kerberos temsilcisi gibi kolayca yararlanılan kimlik sorunlarını bildirir.
- Cloud Apps için Microsoft Defender , imkansız seyahat, kimlik bilgileri erişimi ve olağan dışı indirme, dosya paylaşımı veya posta iletme etkinliği gibi anormal davranışları algılar ve bunları güvenlik ekibinize bildirir.
Microsoft Defender XDR için pilot ve dağıtım işlemi
Microsoft, Microsoft 365 Defender bileşenlerinin aşağıdaki sırayla etkinleştirilmesini önerir.
| Aşama | Bağlantı |
|---|---|
| C. Pilotu başlatın | Pilotu başlatın |
| B. Microsoft Defender XDR bileşenlerini deneme ve dağıtma | - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın - Office 365 için Defender'ı deneme ve dağıtma - Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma - Cloud Apps için Microsoft Defender'ı deneme ve dağıtma |
| C. Tehditleri araştırın ve karşı yanıt verin | Olay araştırma ve yanıt uygulama |
Bu sipariş, özellikleri dağıtmak ve yapılandırmak için genellikle ne kadar çaba gerektiği temelinde özelliklerin değerinden hızlı bir şekilde yararlanacak şekilde tasarlanmıştır. Örneğin, Office 365 için Defender, cihazları Uç Nokta için Defender'a kaydetmek için gerekenden daha kısa sürede yapılandırılabilir. İş gereksinimlerinizi karşılamak için bileşenlerin önceliklerini belirleyin.
Pilotu başlatın
Microsoft, gerçek dünya içgörülerini hemen elde etmek için mevcut Microsoft 365 üretim aboneliğinizde pilotunuzu başlatmanızı önerir ve Microsoft 365 kiracınızdaki mevcut tehditlere karşı çalışmak için ayarları ayarlayabilirsiniz. Deneyim kazandıktan ve platformdan memnun olduktan sonra, her bileşenin kullanımını birer birer tam dağıtıma genişletmeniz yeterlidir.
Alternatif olarak Microsoft Defender XDR deneme laboratuvarı ortamınızı ayarlayın. Ancak bu ortam, pilot çalışma sırasında üretim Microsoft 365 kiracınıza yönelik tehditler veya saldırılar gibi gerçek siber güvenlik bilgilerini göstermez ve bu ortamdaki güvenlik ayarlarını üretim kiracınıza taşıyamazsınız.
Microsoft 365 E5 deneme lisanslarını kullanma
Microsoft 365 E5'e sahip değilseniz ve pilotunuz için Microsoft 365 E5 deneme lisanslarından yararlanmak istiyorsanız:
Mevcut Microsoft 365 kiracı yönetim portalınızda oturum açın.
Gezinti menüsünden Hizmetleri Satın Al'ı seçin.
Office 365 bölümünden Office 365 E5 lisansı altında Ayrıntılar'ı seçin.
Ücretsiz denemeyi başlat'ı seçin.
İsteğinizi onaylayın ve Şimdi deneyin'i seçin.
Mevcut üretim kiracınızda Microsoft 365 E5 deneme lisanslarını kullanan pilotunuz, deneme süresi dolduğunda ve eşdeğer lisanslar satın aldığınızda güvenlik ayarlarını ve yöntemlerini korumanıza olanak sağlar.
Sonraki adım
Bkz . Kimlik için Microsoft Defender'ı pilot uygulama ve dağıtma.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin