Kimlik için Microsoft Defender'ı pilot olarak kullanın ve dağıtın
Şunlar için geçerlidir:
- Microsoft Defender XDR
Bu makalede, kuruluşunuzda Kimlik için Microsoft Defender'ı pilot uygulama ve dağıtmaya yönelik bir iş akışı sağlanır. Kimlik için Microsoft Defender'ı bireysel bir siber güvenlik aracı olarak veya Microsoft Defender XDR ile uçtan uca bir çözümün parçası olarak eklemek için bu önerileri kullanabilirsiniz.
Bu makalede üretim microsoft 365 kiracınız olduğu ve bu ortamda Kimlik için Microsoft Defender'ı pilot olarak kullandığınız ve dağıttığınız varsayılır. Bu uygulama, tam dağıtımınız için pilot çalışmanız sırasında yapılandırdığınız tüm ayarları ve özelleştirmeleri korur.
Office 365 için Defender, bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olarak Sıfır Güven mimarisine katkıda bulunur. Daha fazla bilgi için Microsoft Sıfır Güven benimseme çerçevesindeki İhlal iş senaryolarından kaynaklanan iş zararlarını önleme veya azaltma konusuna bakın.
Microsoft Defender XDR için uçtan uca dağıtım
Bu, olayları araştırmak ve yanıtlamak da dahil olmak üzere Microsoft Defender XDR bileşenlerini dağıtmanıza yardımcı olmak için serideki 6'nın 2. maddesidir.
Bu serideki makaleler, uçtan uca dağıtımın aşağıdaki aşamalarına karşılık gelir:
| Aşama | Bağlantı |
|---|---|
| C. Pilotu başlatın | Pilotu başlatın |
| B. Microsoft Defender XDR bileşenlerini deneme ve dağıtma | - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın (bu makale) - Office 365 için Defender'ı deneme ve dağıtma - Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma - Cloud Apps için Microsoft Defender'ı deneme ve dağıtma |
| C. Tehditleri araştırın ve karşı yanıt verin | Olay araştırma ve yanıt uygulama |
Kimlik için Defender için iş akışı pilotu ve dağıtımı
Aşağıdaki diyagramda, bt ortamında ürün veya hizmet dağıtmaya yönelik yaygın bir işlem gösterilmektedir.
İlk olarak ürünü veya hizmeti ve kuruluşunuzda nasıl çalışacağını değerlendirebilirsiniz. Ardından test, öğrenme ve özelleştirme için üretim altyapınızın uygun küçük bir alt kümesiyle ürünü veya hizmeti pilot olarak kullanırsınız. Ardından, altyapınızın veya kuruluşunuzun tamamı kapsanana kadar dağıtımın kapsamını aşamalı olarak artırın.
Üretim ortamınızda Kimlik için Defender'ı pilot uygulama ve dağıtmaya yönelik iş akışı aşağıdadır.
Şu adımları izleyin:
- Kimlik için Defender örneğini ayarlama
- Algılayıcıları yükleme ve yapılandırma
- Algılayıcı ile makinelerde olay günlüğü ve ara sunucu ayarlarını yapılandırma
- Kimlik için Defender'ın diğer bilgisayarlardaki yerel yöneticileri tanımlamasına izin ver
- Kimlik ortamınız için karşılaştırma önerilerini yapılandırma
- Özellikleri deneyin
Her dağıtım aşaması için önerilen adımlar aşağıdadır.
| Dağıtım aşaması | Açıklama |
|---|---|
| Değerlendirmek | Kimlik için Defender için ürün değerlendirmesi gerçekleştirin. |
| Pilot | Üretim ortamınızda algılayıcıları olan uygun bir sunucu alt kümesi için 1-6 arası adımları gerçekleştirin. |
| Tam dağıtım | Kalan sunucularınız için 2-5 arası adımları gerçekleştirin ve bunların tümünü içerecek şekilde pilotun ötesine geçin. |
Kuruluşunuzu korsanlardan koruma
Kimlik için Defender kendi başına güçlü koruma sağlar. Ancak, Microsoft Defender XDR'nin diğer özellikleriyle birleştirildiğinde, Kimlik için Defender paylaşılan sinyallere veri sağlar ve bu da saldırıların durdurulmasını sağlar.
Burada bir siber saldırı örneği ve Microsoft Defender XDR bileşenlerinin bunu algılamaya ve azaltmaya nasıl yardımcı olduğu açıklanmıştır.
Kimlik için Defender, Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicilerinden ve Active Directory Federasyon Hizmetleri (AD FS) ve Active Directory Sertifika Hizmetleri (AD CS) çalıştıran sunuculardan sinyaller toplar. Bu sinyalleri hibrit kimlik ortamınızı korumak için kullanır. Bu sinyaller, şirket içi ortamdaki iş istasyonları arasında yaya olarak hareket etmek için güvenliği aşılmış hesapları kullanan korsanlara karşı koruma da dahil olmak üzere.
Microsoft Defender XDR, tüm Microsoft Defender bileşenlerinden gelen sinyalleri ilişkilendirerek tam saldırı hikayesi sağlar.
Kimlik için Defender mimarisi
Kimlik için Microsoft Defender, Microsoft Defender XDR ile tamamen tümleşiktir ve kuruluşunuza yönelik gelişmiş tehditleri daha iyi tanımlamanıza, algılamanıza ve araştırmanıza yardımcı olmak için şirket içi Active Directory kimliklerinden gelen sinyallerden yararlanır.
Güvenlik İşlemleri (SecOps) ekiplerinizin karma ortamlar arasında modern bir kimlik tehdit algılama ve yanıt (ITDR) çözümü sunması için Kimlik için Microsoft Defender'ı dağıtın, örneğin:
- Proaktif kimlik güvenliği duruş değerlendirmelerini kullanarak ihlalleri önleme
- Gerçek zamanlı analiz ve veri zekası kullanarak tehditleri algılama
- Net, eyleme dönüştürülebilir olay bilgilerini kullanarak şüpheli etkinlikleri araştırma
- Güvenliği aşılmış kimliklere otomatik yanıt kullanarak saldırılara yanıt verin. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender nedir?
Kimlik için Defender, Şirket içi AD DS kullanıcı hesaplarınızı ve Microsoft Entra ID kiracınızla eşitlenen kullanıcı hesaplarınızı korur. Yalnızca Microsoft Entra kullanıcı hesaplarından oluşan bir ortamı korumak için bkz. Microsoft Entra Id Protection.
Aşağıdaki diyagramda Kimlik için Defender mimarisi gösterilmektedir.
Bu çizimde:
- AD DS etki alanı denetleyicilerine ve AD CS sunucularına yüklenen algılayıcılar günlükleri ve ağ trafiğini ayrıştırıp analiz ve raporlama için Kimlik için Microsoft Defender'a gönderir.
- Algılayıcılar ayrıca üçüncü taraf kimlik sağlayıcıları için AD FS kimlik doğrulamalarını ve Microsoft Entra ID'nin federasyon kimlik doğrulamasını kullanacak şekilde yapılandırıldığında (çizimdeki noktalı çizgiler) ayrıştırabilir.
- Kimlik için Microsoft Defender, Sinyalleri Microsoft Defender XDR ile paylaşır.
Kimlik için Defender algılayıcıları doğrudan aşağıdaki sunuculara yüklenebilir:
AD DS etki alanı denetleyicileri
Algılayıcı, ayrılmış sunucuya veya bağlantı noktası yansıtma yapılandırmasına gerek kalmadan etki alanı denetleyicisi trafiğini doğrudan izler.
AD CS sunucuları
AD FS sunucuları
Algılayıcı, ağ trafiğini ve kimlik doğrulama olaylarını doğrudan izler.
Kimlik için Defender mimarisine daha ayrıntılı bir bakış için bkz. Kimlik için Microsoft Defender mimarisi.
1. Adım: Kimlik için Defender örneğini ayarlama
İlk olarak, Kimlik için Defender, şirket içi kimlik ve ağ bileşenlerinizin en düşük gereksinimleri karşıladığından emin olmak için bazı önkoşul çalışmalarını gerektirir. Ortamınızın hazır olduğundan emin olmak için Denetim listesi olarak Kimlik için Microsoft Defender önkoşulları makalesini kullanın.
Ardından, örneğinizi oluşturmak ve bu örneği Active Directory ortamınıza bağlamak için Kimlik için Defender portalında oturum açın.
| Adım | Açıklama | Daha fazla bilgi |
|---|---|---|
| 1 | Kimlik için Defender örneğini oluşturma | Hızlı Başlangıç: Kimlik için Microsoft Defender örneğinizi oluşturma |
| 2 | Kimlik için Defender örneğini Active Directory ormanınıza bağlama | Hızlı Başlangıç: Active Directory Ormanınıza bağlanma |
2. Adım: Algılayıcıları yükleme ve yapılandırma
Ardından, şirket içi ortamınızdaki etki alanı denetleyicilerinde, AD FS'de ve AD CS sunucularında Kimlik için Defender algılayıcısını indirin, yükleyin ve yapılandırın.
| Adım | Açıklama | Daha fazla bilgi |
|---|---|---|
| 1 | Kimlik için Microsoft Defender algılayıcısı sayısını belirleyin. | Kimlik için Microsoft Defender için kapasite planlama |
| 2 | Algılayıcı kurulum paketini indirme | Hızlı Başlangıç: Kimlik için Microsoft Defender algılayıcısı kurulum paketini indirme |
| 3 | Kimlik için Defender algılayıcısını yükleme | Hızlı Başlangıç: Kimlik için Microsoft Defender algılayıcısını yükleme |
| 4 | Algılayıcıyı yapılandırma | Kimlik algılayıcısı için Microsoft Defender ayarlarını yapılandırma |
3. Adım: Algılayıcı ile makinelerde olay günlüğü ve ara sunucu ayarlarını yapılandırma
Algılayıcıyı yüklediğiniz makinelerde algılama özelliklerini etkinleştirmek ve geliştirmek için Windows olay günlüğü toplama ve İnternet proxy ayarlarını yapılandırın.
| Adım | Açıklama | Daha fazla bilgi |
|---|---|---|
| 1 | Windows olay günlüğü koleksiyonunu yapılandırma | Windows Olay koleksiyonunu yapılandırma |
| 2 | İnternet proxy ayarlarını yapılandırma | Kimlik Algılayıcısı için Microsoft Defender'ınız için uç nokta ara sunucusu ve İnternet bağlantı ayarlarını yapılandırma |
4. Adım: Kimlik için Defender'ın diğer bilgisayarlardaki yerel yöneticileri tanımlamasına izin verme
Kimlik için Microsoft Defender yanal hareket yolu algılama, belirli makinelerdeki yerel yöneticileri tanımlayan sorgulara dayanır. Bu sorgular, Kimlik için Defender Hizmeti hesabı kullanılarak SAM-R protokolüyle gerçekleştirilir.
Windows istemcilerinin ve sunucularının Kimlik için Defender hesabınızın SAM-R gerçekleştirmesine izin vermesini sağlamak için, Ağ erişim ilkesinde listelenen yapılandırılmış hesaplara ek olarak Kimlik için Defender hizmet hesabını eklemek için Grup İlkesi'nde bir değişiklik yapılmalıdır. Etki alanı denetleyicileri dışındaki tüm bilgisayarlara grup ilkeleri uyguladığıdan emin olun.
Bunun nasıl yapılacağını açıklayan yönergeler için bkz. Sam'e uzaktan arama yapmak için Kimlik için Microsoft Defender'ı yapılandırma.
5. Adım: Kimlik ortamınız için karşılaştırma önerilerini yapılandırma
Microsoft, Microsoft Bulut hizmetlerini kullanan müşteriler için güvenlik karşılaştırması önerileri sağlar. Azure Güvenlik Karşılaştırması (ASB), Azure'da iş yüklerinin, verilerin ve hizmetlerin güvenliğini geliştirmeye yardımcı olmak için açıklayıcı en iyi yöntemler ve öneriler sağlar.
Bu önerilerin uygulanması planlamak ve uygulamak biraz zaman alabilir. Bu öneriler kimlik ortamınızın güvenliğini büyük ölçüde artırsa da, Kimlik için Microsoft Defender'ı değerlendirmeye ve uygulamaya devam etmenizi engellememelidir. Farkındalığınız için bu öneriler burada verilmiştir.
6. Adım: Özellikleri deneme
Kimlik için Defender belgeleri, çeşitli saldırı türlerini tanımlama ve düzeltme işleminde yol gösteren aşağıdaki öğreticileri içerir:
- Keşif uyarıları
- Güvenliği aşılmış kimlik bilgileri uyarıları
- Yanal hareket uyarıları
- Etki alanı hakimiyeti uyarıları
- Sızdırma uyarıları
- Kullanıcıyı araştırma
- Bilgisayarı araştırma
- Yanal hareket yollarını araştırma
- Varlıkları araştırma
SIEM tümleştirmesi
Bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için Kimlik için Defender'ı Microsoft Sentinel veya genel bir güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz. Microsoft Sentinel ile kuruluşunuz genelindeki güvenlik olaylarını daha kapsamlı bir şekilde analiz edebilir ve etkili ve anında yanıt için playbook'lar oluşturabilirsiniz.
Microsoft Sentinel bir Kimlik için Defender bağlayıcısı içerir. Daha fazla bilgi için bkz . Microsoft Sentinel için Kimlik için Microsoft Defender bağlayıcısı.
Üçüncü taraf SIEM sistemleriyle tümleştirme hakkında bilgi için bkz. Genel SIEM tümleştirmesi.
Sonraki adım
Aşağıdakileri SecOps işlemlerinize ekleyin:
Microsoft Defender XDR'nin uçtan uca dağıtımı için sonraki adım
Pilot ile uçtan uca Microsoft Defender XDR dağıtımınıza devam edin ve Office 365 için Defender'ı dağıtın.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin