Aracılığıyla paylaş

pilot ve dağıtım Microsoft Defender for Cloud Apps

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Bu makalede, kuruluşunuzda Microsoft Defender for Cloud Apps pilot uygulama ve dağıtmaya yönelik bir iş akışı sağlanır. Microsoft Defender for Cloud Apps bireysel bir siber güvenlik aracı olarak veya Microsoft Defender XDR ile uçtan uca bir çözümün parçası olarak eklemek için bu önerileri kullanabilirsiniz.

Bu makalede, üretim microsoft 365 kiracınız olduğu ve bu ortamda Microsoft Defender for Cloud Apps pilot olarak kullandığınız ve dağıttığınız varsayılır. Bu uygulama, tam dağıtımınız için pilot çalışmanız sırasında yapılandırdığınız tüm ayarları ve özelleştirmeleri korur.

Office 365 için Defender, bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olarak Sıfır Güven mimarisine katkıda bulunur. Daha fazla bilgi için Bkz. Microsoft Sıfır Güven benimseme çerçevesinin bir ihlal iş senaryosunda iş zararını önleme veya azaltma.

Microsoft Defender XDR için uçtan uca dağıtım

Bu, olayları araştırmak ve yanıtlamak da dahil olmak üzere Microsoft Defender XDR bileşenlerini dağıtmanıza yardımcı olmak için serideki 6. makaledir.

Pilot ve dağıtım Microsoft Defender XDR işlemindeki Microsoft Defender for Cloud Apps gösteren diyagram.

Bu serideki makaleler, uçtan uca dağıtımın aşağıdaki aşamalarına karşılık gelir:

Aşama Bağlantı
C. Pilotu başlatın Pilotu başlatın
B. Microsoft Defender XDR bileşenlerini pilot olarak kullanın ve dağıtın - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın

- Pilot uygulama ve Office 365 için Defender dağıtma

- Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma

- pilot ve dağıtım Microsoft Defender for Cloud Apps (bu makale)
C. Tehditleri araştırın ve karşı yanıt verin Olay araştırma ve yanıt uygulama

Defender for Cloud Apps için iş akışı pilotu oluşturma ve dağıtma

Aşağıdaki diyagramda, bt ortamında ürün veya hizmet dağıtmaya yönelik yaygın bir işlem gösterilmektedir.

Pilot, değerlendirme ve tam dağıtım benimseme aşamalarının diyagramı.

İlk olarak ürünü veya hizmeti ve kuruluşunuzda nasıl çalışacağını değerlendirebilirsiniz. Ardından test, öğrenme ve özelleştirme için üretim altyapınızın uygun küçük bir alt kümesiyle ürünü veya hizmeti pilot olarak kullanırsınız. Ardından, altyapınızın veya kuruluşunuzun tamamı kapsanana kadar dağıtımın kapsamını aşamalı olarak artırın.

Üretim ortamınızda Defender for Cloud Apps pilot ve dağıtım iş akışı aşağıdadır.

Microsoft Defender for Cloud Apps için pilot ve dağıtım iş akışını gösteren diyagram.

Şu adımları izleyin:

  1. Defender for Cloud Apps portalına bağlanma
  2. Uç Nokta için Microsoft Defender ile tümleştirme
  3. Günlük toplayıcısını güvenlik duvarlarınıza ve diğer proxy'lerinize dağıtma
  4. Pilot grup oluşturma
  5. Bulut uygulamalarını keşfetme ve yönetme
  6. Koşullu Erişim Uygulama Denetimini Yapılandırma
  7. Oturum ilkelerini bulut uygulamalarına uygulama
  8. Ek özellikleri deneyin

Her dağıtım aşaması için önerilen adımlar aşağıdadır.

Dağıtım aşaması Açıklama
Değerlendirmek Defender for Cloud Apps için ürün değerlendirmesi gerçekleştirin.
Pilot Üretim ortamınızdaki bulut uygulamalarının uygun bir alt kümesi için 1-4 ve ardından 5-8 arası adımları gerçekleştirin.
Tam dağıtım Kalan bulut uygulamalarınız için 5-8 arası adımları gerçekleştirin, pilot kullanıcı grupları için kapsam belirlemeyi ayarlayın veya pilotun ötesine geçmek ve tüm kullanıcı hesaplarınızı dahil etmek için kullanıcı grupları ekleyin.

Kuruluşunuzu korsanlardan koruma

Defender for Cloud Apps kendi başına güçlü koruma sağlar. Ancak, Microsoft Defender XDR diğer özellikleriyle birleştirildiğinde, Defender for Cloud Apps paylaşılan sinyallere veri sağlar ve bu da saldırıların durdurulmasını sağlar.

Burada siber saldırının bir örneği ve Microsoft Defender XDR bileşenlerinin bunu algılamaya ve azaltmaya nasıl yardımcı olduğu verilmiştir.

Microsoft Defender XDR bir tehdit zincirini nasıl durdurduğunu gösteren diyagram.

Defender for Cloud Apps, imkansız seyahat, kimlik bilgisi erişimi ve olağan dışı indirme, dosya paylaşımı veya posta iletme etkinliği gibi anormal davranışları algılar ve bu davranışları Defender for Cloud Apps portalında görüntüler. Defender for Cloud Apps ayrıca bilgisayar korsanlarının yanal hareketini önlemeye ve hassas verilerin sızmasını önlemeye yardımcı olur.

Microsoft Defender XDR, tüm saldırı hikayesini sağlamak için tüm Microsoft Defender bileşenlerinden gelen sinyalleri ilişkilendirmektedir.

CASB olarak Defender for Cloud Apps rolü

Bulut erişim güvenlik aracısı (CASB), kullanıcılarınızın bulunduğu her yerde ve kullandıkları cihazdan bağımsız olarak, kurumsal kullanıcılarınız ve kullandıkları bulut kaynakları arasında gerçek zamanlı olarak erişim aracılık yapmak için bir ağ geçidi denetleyicisi görevi görür. Defender for Cloud Apps, kuruluşunuzun bulut uygulamaları için bir CASB'dir. Defender for Cloud Apps, Microsoft Defender XDR dahil olmak üzere Microsoft güvenlik özellikleriyle yerel olarak tümleşir.

Defender for Cloud Apps olmadan, kuruluşunuz tarafından kullanılan bulut uygulamaları yönetilmez ve korumasız olur.

Kuruluşunuz tarafından yönetilmeyen ve korunmayan bulut uygulamalarını gösteren diyagram.

Çizimde:

  • Bulut uygulamalarının bir kuruluş tarafından kullanımı izlenmez ve korumasızdır.
  • Bu kullanım, yönetilen bir kuruluşta elde edilen korumaların dışında kalır.

Ortamınızda kullanılan bulut uygulamalarını bulmak için aşağıdaki yöntemlerden birini veya ikisini birden uygulayabilirsiniz:

  • Uç Nokta için Microsoft Defender ile tümleştirerek Cloud Discovery ile hızla çalışmaya başlayın. Bu yerel tümleştirme, ağınızdaki ve ağınızdaki Windows 10 ve Windows 11 cihazlarınızda bulut trafiğiyle ilgili verileri hemen toplamaya başlamanızı sağlar.
  • Ağınıza bağlı tüm cihazlar tarafından erişilen tüm bulut uygulamalarını bulmak için güvenlik duvarlarınızda ve diğer proxy'lerde Defender for Cloud Apps günlük toplayıcısını dağıtın. Bu dağıtım uç noktalarınızdan veri toplamaya yardımcı olur ve analiz için Defender for Cloud Apps gönderir. Defender for Cloud Apps, daha da fazla özellik için bazı üçüncü taraf proxy'lerle yerel olarak tümleşir.

Bu makale her iki yöntem için de rehberlik içerir.

Adım 1. Defender for Cloud Apps portalına bağlanma

Lisanslama işlemini doğrulamak ve Defender for Cloud Apps portalına bağlanmak için bkz. Hızlı Başlangıç: Microsoft Defender for Cloud Apps kullanmaya başlama.

Portala hemen bağlanamıyorsanız IP adresini güvenlik duvarınızın izin verenler listesine eklemeniz gerekebilir. Bkz. Defender for Cloud Apps için temel kurulum.

Sorun yaşamaya devam ediyorsanız Ağ gereksinimleri'ne bakın.

2. Adım: Uç Nokta için Microsoft Defender ile tümleştirme

Microsoft Defender for Cloud Apps Uç Nokta için Microsoft Defender ile yerel olarak tümleşir. Tümleştirme Cloud Discovery'nin kullanıma alınmasını kolaylaştırır, Cloud Discovery özelliklerini kurumsal ağınızın ötesine genişletir ve cihaz tabanlı araştırmayı etkinleştirir. Bu tümleştirme, BT tarafından yönetilen Windows 10 ve Windows 11 cihazlardan erişilen bulut uygulamalarını ve hizmetlerini gösterir.

zaten Uç Nokta için Microsoft Defender ayarladıysanız, Defender for Cloud Apps ile tümleştirmeyi yapılandırmak, Microsoft Defender XDR'de bir geçiş düğmesidir. Tümleştirme açıldıktan sonra Defender for Cloud Apps portalına dönebilir ve Cloud Discovery Panosu'nda zengin verileri görüntüleyebilirsiniz.

Bu görevleri gerçekleştirmek için bkz. Microsoft Defender for Cloud Apps ile tümleştirme Uç Nokta için Microsoft Defender.

3. Adım: Defender for Cloud Apps günlük toplayıcısını güvenlik duvarlarınıza ve diğer proxy'lerinize dağıtma

Ağınıza bağlı tüm cihazların kapsamı için güvenlik duvarlarınızda ve diğer proxy'lerde Defender for Cloud Apps günlük toplayıcısını dağıtarak uç noktalarınızdan veri toplayın ve analiz için Defender for Cloud Apps gönderin.

Aşağıdaki Güvenli Web Ağ Geçitlerinden (SWG) birini kullanıyorsanız Defender for Cloud Apps sorunsuz dağıtım ve tümleştirme sağlar:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Güvenliği

Bu ağ cihazlarıyla tümleştirme hakkında daha fazla bilgi için bkz. Cloud Discovery'yi ayarlama.

Adım 4. Pilot grup oluşturma — Pilot dağıtımınızın kapsamını belirli kullanıcı gruplarına göre belirleyin

Microsoft Defender for Cloud Apps, dağıtımınızın kapsamını oluşturmanıza olanak tanır. Kapsam belirleme, uygulamalar için izlenecek veya izlemenin dışında tutulacak belirli kullanıcı gruplarını seçmenize olanak tanır. Kullanıcı gruplarını dahil edebilir veya dışlayabilirsiniz. Pilot dağıtımınızın kapsamını bulmak için bkz . Kapsamlı Dağıtım.

Adım 5. Bulut uygulamalarını keşfetme ve yönetme

Defender for Cloud Apps en yüksek koruma miktarını sağlamak için kuruluşunuzdaki tüm bulut uygulamalarını keşfetmeniz ve bunların nasıl kullanıldığını yönetmeniz gerekir.

Bulut uygulamalarını keşfedin

Bulut uygulamalarının kullanımını yönetmenin ilk adımı, kuruluşunuz tarafından hangi bulut uygulamalarının kullanıldığını keşfetmektir. Bu sonraki diyagramda bulut bulmanın Defender for Cloud Apps ile nasıl çalıştığı gösterilmektedir.

Bulut bulma ile Microsoft Defender for Cloud Apps mimarisini gösteren diyagram.

Bu çizimde, ağ trafiğini izlemek ve kuruluşunuz tarafından kullanılan bulut uygulamalarını keşfetmek için kullanılabilecek iki yöntem vardır.

  1. Cloud App Discovery, Uç Nokta için Microsoft Defender ile yerel olarak tümleşir. Uç Nokta için Defender, BT tarafından yönetilen Windows 10 ve Windows 11 cihazlardan erişilen bulut uygulamalarını ve hizmetlerini raporlar.

  2. Ağa bağlı tüm cihazlarda kapsama için, uç noktalardan veri toplamak için güvenlik duvarlarına ve diğer proxy'lere Defender for Cloud Apps günlük toplayıcısını yüklersiniz. Toplayıcı bu verileri analiz için Defender for Cloud Apps gönderir.

Kuruluşunuzda hangi uygulamaların kullanıldığını görmek için Cloud Discovery panosunu görüntüleyin

Cloud Discovery panosu, bulut uygulamalarının kuruluşunuzda nasıl kullanıldığı hakkında daha fazla içgörü sağlamak üzere tasarlanmıştır. Ne tür uygulamaların kullanıldığına, açık uyarılarınıza ve kuruluşunuzdaki uygulamaların risk düzeylerine bir bakışta genel bakış sağlar.

Cloud Discovery panosunu kullanmaya başlamak için bkz. Bulunan uygulamalarla çalışma.

Bulut uygulamalarını yönetme

Bulut uygulamalarını keşfettikten ve bu uygulamaların kuruluşunuz tarafından nasıl kullanıldığını analiz ettikten sonra, seçtiğiniz bulut uygulamalarını yönetmeye başlayabilirsiniz.

Bulut uygulamalarını yönetmeye yönelik Microsoft Defender for Cloud Apps mimarisini gösteren diyagram.

Bu çizimde:

  • Bazı uygulamalar kullanım için tasdik edilir. Tasdik, uygulamaları yönetmeye başlamanın basit bir yoludur.
  • Uygulamaları uygulama bağlayıcılarına bağlayarak daha fazla görünürlük ve denetim sağlayabilirsiniz. Uygulama bağlayıcıları, uygulama sağlayıcılarının API'lerini kullanır.

Uygulamaları tasdik ederek, tasdik ederek, tasdik etmeyerek veya uygulamaları doğru bir şekilde engelleyerek yönetmeye başlayabilirsiniz. Uygulamaları yönetmeye başlamak için bkz. Bulunan uygulamaları yönetme.

6. Adım. Koşullu Erişim Uygulama Denetimini Yapılandırma

Yapılandırabileceğiniz en güçlü korumalardan biri Koşullu Erişim Uygulama Denetimi'dir. Bu koruma, Microsoft Entra ID ile tümleştirme gerektirir. Tasdiklediğiniz bulut uygulamalarına ilgili ilkeler (sağlıklı cihazlar gerektirme gibi) dahil olmak üzere Koşullu Erişim ilkeleri uygulamanıza olanak tanır.

Çok faktörlü kimlik doğrulamasını ve diğer koşullu erişim ilkelerini zorunlu kılmak için Microsoft Entra kiracınıza saas uygulamaları eklenmiş olabilir. Microsoft Defender for Cloud Apps Microsoft Entra ID ile yerel olarak tümleşir. Tek yapmanız gereken, Defender for Cloud Apps'de Koşullu Erişim Uygulama Denetimi'ni kullanmak için Microsoft Entra ID'da bir ilke yapılandırmaktır. Bu, bu yönetilen SaaS uygulamaları için ağ trafiğini ara sunucu olarak Defender for Cloud Apps yönlendirerek Defender for Cloud Apps bu trafiği izlemesine ve oturum denetimlerini uygulamasına olanak tanır.

SaaS uygulamalarıyla Microsoft Defender for Cloud Apps mimarisini gösteren diyagram.

Bu çizimde:

  • SaaS uygulamaları Microsoft Entra kiracısıyla tümleşiktir. Bu tümleştirme, Microsoft Entra ID çok faktörlü kimlik doğrulaması dahil olmak üzere koşullu erişim ilkelerini zorlamasına olanak tanır.
  • SaaS uygulamalarının trafiğini Defender for Cloud Apps yönlendirmek için Microsoft Entra ID bir ilke eklenir. İlke, bu ilkenin uygulanacağı SaaS uygulamalarını belirtir. Microsoft Entra ID bu SaaS uygulamaları için geçerli olan tüm koşullu erişim ilkelerini zorunlu kıldıktan sonra Microsoft Entra ID oturum trafiğini Defender for Cloud Apps üzerinden yönlendirir (proxy'ler).
  • Defender for Cloud Apps bu trafiği izler ve yöneticiler tarafından yapılandırılan tüm oturum denetimi ilkelerini uygular.

Microsoft Entra ID eklenmemiş Defender for Cloud Apps kullanarak bulut uygulamalarını keşfetmiş ve tasdik etmiş olabilirsiniz. Bu bulut uygulamalarını Microsoft Entra kiracınıza ve koşullu erişim kurallarınızın kapsamına ekleyerek Koşullu Erişim Uygulama Denetimi'nin avantajlarından yararlanabilirsiniz.

SaaS uygulamalarını yönetmek için Microsoft Defender for Cloud Apps kullanmanın ilk adımı, bu uygulamaları bulmak ve ardından bunları Microsoft Entra kiracınıza eklemektir. Bulma konusunda yardıma ihtiyacınız varsa bkz. Ağınızdaki SaaS uygulamalarını bulma ve yönetme. Uygulamaları keşfettikten sonra bu uygulamaları Microsoft Entra kiracınıza ekleyin.

Bu uygulamaları aşağıdaki görevlerle yönetmeye başlayabilirsiniz:

  1. Microsoft Entra ID'da yeni bir koşullu erişim ilkesi oluşturun ve bunu "Koşullu Erişim Uygulama Denetimini Kullan" olarak yapılandırın. Bu yapılandırma, isteğin Defender for Cloud Apps yeniden yönlendirilmesini sağlar. Bir ilke oluşturabilir ve tüm SaaS uygulamalarını bu ilkeye ekleyebilirsiniz.
  2. Ardından, Defender for Cloud Apps oturum ilkeleri oluşturun. Uygulamak istediğiniz her denetim için bir ilke oluşturun.

Desteklenen uygulamalar ve istemciler de dahil olmak üzere daha fazla bilgi için bkz. Microsoft Defender for Cloud Apps Koşullu Erişim Uygulama Denetimi ile uygulamaları koruma.

Örneğin ilkeler için bkz. SaaS uygulamaları için önerilen Microsoft Defender for Cloud Apps ilkeleri. Bu ilkeler, tüm müşteriler için başlangıç noktası olarak önerilen bir dizi ortak kimlik ve cihaz erişim ilkesi üzerinde oluşturulur.

7. Adım. Oturum ilkelerini bulut uygulamalarına uygulama

Microsoft Defender for Cloud Apps, tasdikli bulut uygulamalarına ara sunucu erişimi sağlayan bir ters proxy görevi görür. Bu sağlama, Defender for Cloud Apps yapılandırdığınız oturum ilkelerini uygulamasına olanak tanır.

Ara sunucu erişim oturumu denetimine sahip Microsoft Defender for Cloud Apps mimarisini gösteren diyagram.

Çizimde:

  • Kuruluşunuzdaki kullanıcılardan ve cihazlardan tasdikli bulut uygulamalarına erişim Defender for Cloud Apps üzerinden yönlendirilir.
  • Bu ara sunucu erişimi oturum ilkelerinin uygulanmasına izin verir.
  • Tasdik edilmemiş veya açıkça tasdik edilmemiş bulut uygulamaları etkilenmez.

Oturum ilkeleri, bulut uygulamalarının kuruluşunuz tarafından nasıl kullanıldığına parametreler uygulamanıza olanak sağlar. Örneğin, kuruluşunuz Salesforce kullanıyorsa yalnızca yönetilen cihazların Salesforce'ta kuruluşunuzun verilerine erişmesine izin veren bir oturum ilkesi yapılandırabilirsiniz. Daha basit bir örnek, daha katı ilkeler uygulamadan önce bu trafiğin riskini analiz edebilmeniz için yönetilmeyen cihazlardan gelen trafiği izlemek için bir ilke yapılandırmak olabilir.

Daha fazla bilgi için bkz. Oturum ilkeleri oluşturma.

8. Adım. Ek özellikleri deneyin

Riski keşfetmenize ve ortamınızı korumanıza yardımcı olması için bu Defender for Cloud Apps öğreticilerini kullanın:

Microsoft Defender for Cloud Apps verilerde gelişmiş avcılık hakkında daha fazla bilgi için bu videoya bakın.

SIEM tümleştirmesi

Bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için Defender for Cloud Apps Microsoft Sentinel veya genel güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz. Microsoft Sentinel ile kuruluşunuz genelindeki güvenlik olaylarını daha kapsamlı bir şekilde analiz edebilir ve etkili ve anında yanıt için playbook'lar oluşturabilirsiniz.

SIEM tümleştirmesi ile Microsoft Defender for Cloud Apps mimarisini gösteren diyagram.

Microsoft Sentinel bir Defender for Cloud Apps bağlayıcısı içerir. Bu sayede yalnızca bulut uygulamalarınıza görünürlük sağlamakla kalmaz, aynı zamanda siber tehditleri belirleyip bunlarla mücadele etmek ve verilerinizin nasıl ilerlediğini denetlemek için gelişmiş analizler elde edebilirsiniz. Daha fazla bilgi için bkz. Defender for Cloud Apps Microsoft Sentinel Microsoft Sentinel tümleştirmeve Stream uyarıları ve Cloud Discovery günlükleri.

Üçüncü taraf SIEM sistemleriyle tümleştirme hakkında bilgi için bkz. Genel SIEM tümleştirmesi.

Sonraki adım

Defender for Cloud Apps için yaşam döngüsü yönetimi gerçekleştirme.

Microsoft Defender XDR uçtan uca dağıtımı için sonraki adım

araştırma ve Microsoft Defender XDR kullanarak yanıt verme ile uçtan uca Microsoft Defender XDR dağıtımınıza devam edin.

Pilot ve dağıtım Microsoft Defender XDR işleminde olay araştırmasını ve yanıtını gösteren diyagram.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.