Aracılığıyla paylaş


Pilot uygulama ve Kimlik için Microsoft Defender dağıtma

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Bu makale, kuruluşunuzda Kimlik için Microsoft Defender pilot uygulama ve dağıtmaya yönelik bir iş akışı sağlar. Kimlik için Microsoft Defender bireysel bir siber güvenlik aracı olarak veya Microsoft Defender XDR ile uçtan uca bir çözümün parçası olarak eklemek için bu önerileri kullanabilirsiniz.

Bu makalede, üretim Microsoft 365 kiracınız olduğu ve bu ortamda Kimlik için Microsoft Defender pilot olarak kullandığınız ve dağıttığınız varsayılır. Bu uygulama, tam dağıtımınız için pilot çalışmanız sırasında yapılandırdığınız tüm ayarları ve özelleştirmeleri korur.

Office 365 için Defender, bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olarak Sıfır Güven mimarisine katkıda bulunur. Daha fazla bilgi için Bkz. Microsoft Sıfır Güven benimseme çerçevesinin bir ihlal iş senaryosunda iş zararını önleme veya azaltma.

Microsoft Defender XDR için uçtan uca dağıtım

Bu, olayları araştırmak ve yanıtlamak da dahil olmak üzere Microsoft Defender XDR bileşenlerini dağıtmanıza yardımcı olmak için serideki 6 makalenin 2'sidir.

Pilot ve dağıtım Microsoft Defender XDR işlemindeki Kimlik için Microsoft Defender gösteren diyagram.

Bu serideki makaleler, uçtan uca dağıtımın aşağıdaki aşamalarına karşılık gelir:

Aşama Bağlantı
C. Pilotu başlatın Pilotu başlatın
B. Microsoft Defender XDR bileşenlerini pilot olarak kullanın ve dağıtın - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın (bu makale)

- Pilot uygulama ve Office 365 için Defender dağıtma

- Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma

- pilot ve dağıtım Microsoft Defender for Cloud Apps
C. Tehditleri araştırın ve karşı yanıt verin Olay araştırma ve yanıt uygulama

Kimlik için Defender için iş akışı pilotu ve dağıtımı

Aşağıdaki diyagramda, bt ortamında ürün veya hizmet dağıtmaya yönelik yaygın bir işlem gösterilmektedir.

Pilot, değerlendirme ve tam dağıtım benimseme aşamalarının diyagramı.

İlk olarak ürünü veya hizmeti ve kuruluşunuzda nasıl çalışacağını değerlendirebilirsiniz. Ardından test, öğrenme ve özelleştirme için üretim altyapınızın uygun küçük bir alt kümesiyle ürünü veya hizmeti pilot olarak kullanırsınız. Ardından, altyapınızın veya kuruluşunuzun tamamı kapsanana kadar dağıtımın kapsamını aşamalı olarak artırın.

Üretim ortamınızda Kimlik için Defender'ı pilot uygulama ve dağıtmaya yönelik iş akışı aşağıdadır.

Kimlik için Microsoft Defender pilot uygulama ve dağıtma adımlarını gösteren diyagram.

Şu adımları izleyin:

  1. Kimlik için Defender örneğini ayarlama
  2. Algılayıcıları yükleme ve yapılandırma
  3. Algılayıcı ile makinelerde olay günlüğü ve ara sunucu ayarlarını yapılandırma
  4. Kimlik için Defender'ın diğer bilgisayarlardaki yerel yöneticileri tanımlamasına izin ver
  5. Kimlik ortamınız için karşılaştırma önerilerini yapılandırma
  6. Özellikleri deneyin

Her dağıtım aşaması için önerilen adımlar aşağıdadır.

Dağıtım aşaması Açıklama
Değerlendirmek Kimlik için Defender için ürün değerlendirmesi gerçekleştirin.
Pilot Üretim ortamınızda algılayıcıları olan uygun bir sunucu alt kümesi için 1-6 arası adımları gerçekleştirin.
Tam dağıtım Kalan sunucularınız için 2-5 arası adımları gerçekleştirin ve bunların tümünü içerecek şekilde pilotun ötesine geçin.

Kuruluşunuzu korsanlardan koruma

Kimlik için Defender kendi başına güçlü koruma sağlar. Ancak Kimlik için Defender, Microsoft Defender XDR diğer özellikleriyle birlikte kullanıldığında paylaşılan sinyallere veri sağlar ve bu da saldırıların durdurulmasını sağlar.

Burada siber saldırının bir örneği ve Microsoft Defender XDR bileşenlerinin bunu algılamaya ve azaltmaya nasıl yardımcı olduğu verilmiştir.

Microsoft Defender XDR bir tehdit zincirini nasıl durdurduğunu gösteren diyagram.

Kimlik için Defender, Active Directory Domain Services (AD DS) etki alanı denetleyicilerinden ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ve Active Directory Sertifika Hizmetleri (AD CS) çalıştıran sunuculardan sinyaller toplar. Bu sinyalleri hibrit kimlik ortamınızı korumak için kullanır. Bu sinyaller, şirket içi ortamdaki iş istasyonları arasında yaya olarak hareket etmek için güvenliği aşılmış hesapları kullanan korsanlara karşı koruma da dahil olmak üzere.

Microsoft Defender XDR, tüm saldırı hikayesini sağlamak için tüm Microsoft Defender bileşenlerinden gelen sinyalleri ilişkilendirmektedir.

Kimlik için Defender mimarisi

Kimlik için Microsoft Defender, Microsoft Defender XDR ile tamamen tümleşiktir ve kuruluşunuza yönelik gelişmiş tehditleri daha iyi tanımlamanıza, algılamanıza ve araştırmanıza yardımcı olmak için şirket içi Active Directory kimliklerden gelen sinyallerden yararlanır.

Güvenlik İşlemleri (SecOps) ekiplerinizin karma ortamlar arasında modern kimlik tehdit algılama ve yanıt (ITDR) çözümü sunması için Kimlik için Microsoft Defender dağıtın; örneğin:

  • Proaktif kimlik güvenliği duruş değerlendirmelerini kullanarak ihlalleri önleme
  • Gerçek zamanlı analiz ve veri zekası kullanarak tehditleri algılama
  • Net, eyleme dönüştürülebilir olay bilgilerini kullanarak şüpheli etkinlikleri araştırma
  • Güvenliği aşılmış kimliklere otomatik yanıt kullanarak saldırılara yanıt verin. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender nedir?

Kimlik için Defender, şirket içi AD DS kullanıcı hesaplarınızı ve Microsoft Entra ID kiracınızla eşitlenen kullanıcı hesaplarınızı korur. Yalnızca Microsoft Entra kullanıcı hesaplarından oluşan bir ortamı korumak için bkz. Microsoft Entra ID Koruması.

Aşağıdaki diyagramda Kimlik için Defender mimarisi gösterilmektedir.

Kimlik için Microsoft Defender mimarisini gösteren diyagram.

Bu çizimde:

  • AD DS etki alanı denetleyicilerine ve AD CS sunucularına yüklenen algılayıcılar günlükleri ve ağ trafiğini ayrıştırarak analiz ve raporlama için Kimlik için Microsoft Defender gönderir.
  • Algılayıcılar ayrıca üçüncü taraf kimlik sağlayıcıları için AD FS kimlik doğrulamalarını ve Microsoft Entra ID federasyon kimlik doğrulamasını kullanacak şekilde yapılandırıldığında (çizimdeki noktalı çizgiler) ayrıştırabilir.
  • Kimlik için Microsoft Defender sinyalleri Microsoft Defender XDR paylaşır.

Kimlik için Defender algılayıcıları doğrudan aşağıdaki sunuculara yüklenebilir:

  • AD DS etki alanı denetleyicileri

    Algılayıcı, ayrılmış sunucuya veya bağlantı noktası yansıtma yapılandırmasına gerek kalmadan etki alanı denetleyicisi trafiğini doğrudan izler.

  • AD CS sunucuları

  • AD FS sunucuları

    Algılayıcı, ağ trafiğini ve kimlik doğrulama olaylarını doğrudan izler.

Kimlik için Defender mimarisine daha ayrıntılı bir bakış için bkz. Kimlik için Microsoft Defender mimarisi.

1. Adım: Kimlik için Defender örneğini ayarlama

İlk olarak, Kimlik için Defender, şirket içi kimlik ve ağ bileşenlerinizin en düşük gereksinimleri karşıladığından emin olmak için bazı önkoşul çalışmalarını gerektirir. Ortamınızın hazır olduğundan emin olmak için denetim listesi olarak Kimlik için Microsoft Defender önkoşullar makalesini kullanın.

Ardından, örneğinizi oluşturmak ve bu örneği Active Directory ortamınıza bağlamak için Kimlik için Defender portalında oturum açın.

Adım Açıklama Daha fazla bilgi
1 Kimlik için Defender örneğini oluşturma Hızlı Başlangıç: Kimlik için Microsoft Defender örneğinizi oluşturma
2 Kimlik için Defender örneğini Active Directory ormanınıza bağlama Hızlı Başlangıç: Active Directory Ormanınıza bağlanma

2. Adım: Algılayıcıları yükleme ve yapılandırma

Ardından, şirket içi ortamınızdaki etki alanı denetleyicilerinde, AD FS'de ve AD CS sunucularında Kimlik için Defender algılayıcısını indirin, yükleyin ve yapılandırın.

Adım Açıklama Daha fazla bilgi
1 Kaç Kimlik için Microsoft Defender algılayıcıya ihtiyacınız olduğunu belirleyin. Kimlik için Microsoft Defender için kapasite planlama
2 Algılayıcı kurulum paketini indirme Hızlı Başlangıç: Kimlik için Microsoft Defender algılayıcı kurulum paketini indirme
3 Kimlik için Defender algılayıcısını yükleme Hızlı Başlangıç: Kimlik için Microsoft Defender algılayıcısını yükleme
4 Algılayıcıyı yapılandırma Kimlik için Microsoft Defender algılayıcı ayarlarını yapılandırma

3. Adım: Algılayıcı ile makinelerde olay günlüğü ve ara sunucu ayarlarını yapılandırma

Algılayıcıyı yüklediğiniz makinelerde algılama özelliklerini etkinleştirmek ve geliştirmek için Windows olay günlüğü toplama ve İnternet proxy ayarlarını yapılandırın.

Adım Açıklama Daha fazla bilgi
1 Windows olay günlüğü koleksiyonunu yapılandırma Windows Olay koleksiyonunu yapılandırma
2 İnternet proxy ayarlarını yapılandırma Kimlik için Microsoft Defender Algılayıcınız için uç nokta ara sunucusu ve İnternet bağlantı ayarlarını yapılandırma

4. Adım: Kimlik için Defender'ın diğer bilgisayarlardaki yerel yöneticileri tanımlamasına izin verme

Kimlik için Microsoft Defender yanal hareket yolu algılama, belirli makinelerdeki yerel yöneticileri tanımlayan sorgulara dayanır. Bu sorgular, Kimlik için Defender Hizmeti hesabı kullanılarak SAM-R protokolüyle gerçekleştirilir.

Windows istemcilerinin ve sunucularının Kimlik için Defender hesabınızın SAM-R gerçekleştirmesine izin vermesini sağlamak için, Ağ erişim ilkesinde listelenen yapılandırılmış hesaplara ek olarak Kimlik için Defender hizmet hesabını eklemek için grup ilkesi bir değişiklik yapılmalıdır. Etki alanı denetleyicileri dışındaki tüm bilgisayarlara grup ilkeleri uyguladığıdan emin olun.

Bunun nasıl yapılacağını açıklayan yönergeler için bkz. SAM'ye uzaktan çağrı yapmak için Kimlik için Microsoft Defender yapılandırma.

5. Adım: Kimlik ortamınız için karşılaştırma önerilerini yapılandırma

Microsoft, Microsoft Bulut hizmetlerini kullanan müşteriler için güvenlik karşılaştırması önerileri sağlar. Azure Güvenlik Karşılaştırması (ASB), Azure'da iş yüklerinin, verilerin ve hizmetlerin güvenliğini geliştirmeye yardımcı olmak için açıklayıcı en iyi yöntemler ve öneriler sağlar.

Bu önerilerin uygulanması planlamak ve uygulamak biraz zaman alabilir. Bu öneriler kimlik ortamınızın güvenliğini büyük ölçüde artırsa da, Kimlik için Microsoft Defender değerlendirmeye ve uygulamaya devam etmenizi engellememelidir. Farkındalığınız için bu öneriler burada verilmiştir.

6. Adım: Özellikleri deneme

Kimlik için Defender belgeleri, çeşitli saldırı türlerini tanımlama ve düzeltme işleminde yol gösteren aşağıdaki öğreticileri içerir:

SIEM tümleştirmesi

Bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için Kimlik için Defender'ı Microsoft Sentinel veya genel güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz. Microsoft Sentinel ile kuruluşunuz genelindeki güvenlik olaylarını daha kapsamlı bir şekilde analiz edebilir ve etkili ve anında yanıt için playbook'lar oluşturabilirsiniz.

SIEM tümleştirmesi ile Kimlik için Microsoft Defender mimarisini gösteren diyagram.

Microsoft Sentinel bir Kimlik için Defender bağlayıcısı içerir. Daha fazla bilgi için bkz. Microsoft Sentinel için bağlayıcı Kimlik için Microsoft Defender.

Üçüncü taraf SIEM sistemleriyle tümleştirme hakkında bilgi için bkz. Genel SIEM tümleştirmesi.

Sonraki adım

Aşağıdakileri SecOps işlemlerinize ekleyin:

Microsoft Defender XDR uçtan uca dağıtımı için sonraki adım

Pilot ile uçtan uca Microsoft Defender XDR dağıtımınıza devam edin ve Office 365 için Defender dağıtın.

Pilot ve dağıtım Microsoft Defender XDR işlemindeki Office 365 için Microsoft Defender gösteren diyagram.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.