Düzenle

Bulut için Microsoft Defender ve Microsoft Sentinel kullanarak karma güvenliği izleme

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

Bu başvuru mimarisinde şirket içi, Azure ve Azure Stack iş yüklerinin güvenlik yapılandırmasını ve telemetrisini izlemek için Bulut için Microsoft Defender ve Microsoft Sentinel'in nasıl kullanılacağı gösterilmektedir.

Mimari

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

  • Bulut için Microsoft Defender. Bu, Microsoft'un tüm Azure abonelerine sunduğu gelişmiş, birleşik bir güvenlik yönetimi platformudur. Bulut için Defender, bulut güvenlik duruş yönetimi (CSPM) ve bulut iş yükü koruma platformu (CWPP) olarak segmentlere ayrılmıştır. CWPP, genellikle aracı tabanlı olan iş yükü odaklı güvenlik koruma çözümleri tarafından tanımlanır. Bulut için Microsoft Defender hem şirket içi hem de Windows ve Linux sanal makineleri (VM), kapsayıcılar, veritabanları ve Nesnelerin İnterneti (IoT) gibi diğer bulutlardaki Azure iş yükleri için tehdit koruması sağlar. Log Analytics aracısı etkinleştirildiğinde azure Sanal Makineler otomatik olarak dağıtılır. Şirket içi Windows ve Linux sunucuları ve VM'ler için aracıyı el ile dağıtabilir, kuruluşunuzun Microsoft Endpoint Protection Manager gibi dağıtım aracını kullanabilir veya betikli dağıtım yöntemlerini kullanabilirsiniz. Bulut için Defender tüm VM'lerinizin, ağlarınızın, uygulamalarınızın ve verilerinizin güvenlik durumunu değerlendirmeye başlar.
  • Microsoft Sentinel. Kuruluşunuzdaki tehditleri algılamanıza, yakalamanıza, önlemenize ve yanıtlamanıza yardımcı olmak için gelişmiş yapay zeka ve güvenlik analizi kullanan buluta özel bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıtı (SOAR) çözümüdür.
  • Azure Stack. Veri merkezi, uç konumlar ve uzak ofisler dahil olmak üzere Azure hizmetlerini ve özelliklerini seçtiğiniz ortamınıza genişleten bir ürün portföyüdür. Azure Stack uygulamaları genellikle güvenilen donanım iş ortakları tarafından oluşturulan ve veri merkezinize teslim edilen dört ile on altı arası sunucu raflarını kullanır.
  • Azure İzleyici. Çeşitli şirket içi ve Azure kaynaklarından izleme telemetrisi toplar. Bulut için Microsoft Defender ve Azure Otomasyonu gibi yönetim araçları da günlük verilerini Azure İzleyici'ye iletir.
  • Log Analytics çalışma alanı. Azure İzleyici, günlük verilerini veri ve yapılandırma bilgilerini içeren bir kapsayıcı olan Log Analytics çalışma alanında depolar.
  • Log Analytics aracısı. Log Analytics aracısı, Azure'daki konuk işletim sisteminden ve VM iş yüklerinden, diğer bulut sağlayıcılarından ve şirket içinden izleme verilerini toplar. Log Analytics Aracısı Ara Sunucu yapılandırmasını destekler ve genellikle bu senaryoda Bir Microsoft Operations Management Suite (OMS) Ağ Geçidi ara sunucu işlevi görür.
  • Şirket içi ağı. Bu, tanımlı sistemlerden HTTPS çıkışını destekleyecek şekilde yapılandırılmış güvenlik duvarıdır.
  • Şirket içi Windows ve Linux sistemleri. Log Analytics Aracısı'nın yüklü olduğu sistemler.
  • Azure Windows ve Linux VM'leri. Bulut için Microsoft Defender izleme aracısının yüklü olduğu sistemler.

Bileşenler

Senaryo ayrıntıları

Olası kullanım örnekleri

Bu mimarinin tipik kullanımları şunlardır:

  • Şirket içi güvenlik ve telemetri izlemeyi Azure tabanlı iş yükleriyle tümleştirmeye yönelik en iyi yöntemler
  • azure stack ile Bulut için Microsoft Defender tümleştirme
  • Bulut için Microsoft Defender Microsoft Sentinel ile tümleştirme

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Bulut için Microsoft Defender yükseltme

Bu başvuru mimarisi, şirket içi sistemleri, Azure VM'leri, Azure İzleyici kaynaklarını ve hatta diğer bulut sağlayıcıları tarafından barındırılan VM'leri izlemek için Bulut için Microsoft Defender kullanır. Bulut için Microsoft Defender fiyatlandırması hakkındaki ayrıntılara buradan ulaşabilirsiniz.

Özelleştirilmiş Log Analytics Çalışma Alanı

Microsoft Sentinel'in log analytics çalışma alanına erişmesi gerekir. Bu senaryoda, Varsayılan Bulut için Defender Log Analytics çalışma alanını Microsoft Sentinel ile kullanamazsınız. Bunun yerine özelleştirilmiş bir çalışma alanı oluşturursunuz. Özelleştirilmiş bir çalışma alanı için veri saklama, çalışma alanı fiyatlandırma katmanını temel alır ve Günlükleri İzleme için fiyatlandırma modellerini burada bulabilirsiniz.

Not

Microsoft Sentinel, Çin ve Almanya (Bağımsız) bölgeleri dışında Log Analytics'in genel kullanılabilirlik (GA) bölgelerindeki çalışma alanlarında çalışabilir. Bu çalışma alanlarından alınan bazı müşteri verilerini içerebilen olaylar, yer işaretleri ve uyarı kuralları gibi Microsoft Sentinel tarafından oluşturulan veriler Avrupa'ya (Avrupa tabanlı çalışma alanları için), Avustralya'ya (Avustralya tabanlı çalışma alanları için) veya Doğu ABD'ye (başka bir bölgede bulunan çalışma alanları için) kaydedilir.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Güvenlik ilkesi , belirtilen abonelik içindeki kaynaklar için önerilen denetim kümesini tanımlar. Bulut için Microsoft Defender' de, Şirketinizin güvenlik gereksinimlerine ve her abonelik için uygulama türüne veya veri duyarlılığına göre Azure abonelikleriniz için ilkeler tanımlarsınız.

Bulut için Microsoft Defender'de etkinleştirdiğiniz güvenlik ilkeleri, güvenlik önerilerini ve izlemeyi yönlendirir. Güvenlik ilkeleri hakkında daha fazla bilgi edinmek için bkz. güvenlik ilkenizi Bulut için Microsoft Defender ile güçlendirme. güvenlik ilkelerini Bulut için Microsoft Defender yalnızca yönetim veya abonelik grubu düzeylerinde atayabilirsiniz.

Not

Başvuru mimarisinin birinci bölümünde Azure kaynaklarını, şirket içi sistemleri ve Azure Stack sistemlerini izlemek için Bulut için Microsoft Defender nasıl etkinleştirileceği açıklanmaktadır.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Daha önce açıklandığı gibi Azure aboneliğinizin dışındaki maliyetler şunları içerebilir:

  1. maliyetleri Bulut için Microsoft Defender. Daha fazla bilgi için bkz. Bulut için Defender fiyatlandırması.
  2. Azure İzleyici çalışma alanı, faturalamanın ayrıntı düzeyini sunar. Daha fazla bilgi için bkz . Azure İzleyici Günlükleri ile Kullanımı ve Maliyetleri Yönetme.
  3. Microsoft Sentinel ücretli bir hizmettir. Daha fazla bilgi için bkz . Microsoft Sentinel fiyatlandırması.

Operasyonel mükemmellik

Operasyonel mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel mükemmellik sütununa genel bakış.

Bulut için Microsoft Defender rolleri

Bulut için Defender, güvenlik sorunlarını ve güvenlik açıklarını belirlemek için kaynaklarınızın yapılandırmasını değerlendirir ve kaynağın ait olduğu abonelik veya kaynak grubu için sahip, katkıda bulunan veya okuyucu rolü atandığında kaynakla ilgili bilgileri görüntüler.

Bu rollere ek olarak, belirli iki Bulut için Defender rolü vardır:

  • Güvenlik Okuyucusu. Bu role ait bir kullanıcının Bulut için Defender salt okunur hakları vardır. Kullanıcı önerileri, uyarıları, güvenlik ilkesini ve güvenlik durumlarını gözlemleyebilir, ancak değişiklik yapamaz.

  • Güvenlik Yönetici. Bu role ait bir kullanıcı, Güvenlik Okuyucusu ile aynı haklara sahiptir ve güvenlik ilkelerini güncelleştirebilir, uyarıları ve önerileri kapatabilir. Bunlar genellikle iş yükünü yöneten kullanıcılardır.

  • Güvenlik rolleri olan Güvenlik Okuyucusu ve Güvenlik Yönetici yalnızca Bulut için Defender erişime sahiptir. Güvenlik rollerinin depolama, web, mobil veya IoT gibi diğer Azure hizmet alanlarına erişimi yoktur.

Microsoft Sentinel aboneliği

  • Microsoft Sentinel'i etkinleştirmek için, Microsoft Sentinel çalışma alanının bulunduğu abonelikte katkıda bulunan izinlerine sahip olmanız gerekir.
  • Microsoft Sentinel'i kullanmak için, çalışma alanının ait olduğu kaynak grubunda katkıda bulunan veya okuyucu izinlerine sahip olmanız gerekir.
  • Microsoft Sentinel ücretli bir hizmettir. Daha fazla bilgi için bkz . Microsoft Sentinel fiyatlandırması.

Performans verimliliği

Performans verimliliği, iş yükünüzün kullanıcıların taleplerine uygun şekilde verimli bir şekilde ölçeklendirebilmesidir. Daha fazla bilgi için bkz . Performans verimliliği sütununa genel bakış.

Windows ve Linux için Log Analytics Aracısı, VM'lerin veya fiziksel sistemlerin performansı üzerinde çok az etkiye sahip olacak şekilde tasarlanmıştır.

Bulut için Microsoft Defender işlem süreci normal operasyonel yordamlarınızı engellemez. Bunun yerine, dağıtımlarınızı pasif olarak izler ve etkinleştirdiğiniz güvenlik ilkelerine göre öneriler sağlar.

Bu senaryoyu dağıtın

Azure portalında Log Analytics çalışma alanı oluşturma

  1. Azure portalında Güvenlik Yönetici ayrıcalıklarına sahip bir kullanıcı olarak oturum açın.
  2. Azure portalda Tüm hizmetler’i seçin. Kaynak listesine Log Analytics yazın. Siz girmeye başladığınızda, liste girişinize göre filtrelenir. Log Analytics çalışma alanı’nı seçin.
  3. Log Analytics sayfasında Ekle'yi seçin.
  4. Yeni Log Analytics çalışma alanı için Bulut için Defender-SentinelWorkspace gibi bir ad sağlayın. Bu ad tüm Azure İzleyici aboneliklerinde genel olarak benzersiz olmalıdır.
  5. Varsayılan seçim uygun değilse açılan listeden seçim yaparak bir abonelik seçin.
  6. Kaynak Grubu için mevcut bir kaynak grubunu kullanmayı veya yeni bir kaynak grubu oluşturmayı seçin.
  7. Konum için kullanılabilir bir coğrafi konum seçin.
  8. Yapılandırmayı tamamlamak için Tamam'ı seçin. New Workspace created for the architecture

Bulut için Defender etkinleştirme

Azure portalında Güvenlik Yönetici ayrıcalıklarına sahip bir kullanıcı olarak oturumunuz açıkken panelden Bulut için Defender seçin. Bulut için Defender - Genel bakış açılır:

Defender for Cloud Overview dashboard blade opens

Bulut için Defender, daha önce siz veya başka bir abonelik kullanıcısı tarafından eklenmemiş azure aboneliklerinden herhangi biri için Ücretsiz katmanı otomatik olarak etkinleştirir.

Yükseltme Bulut için Microsoft Defender

  1. Bulut için Defender ana menüsünde Başlarken'i seçin.
  2. Şimdi Yükselt düğmesini seçin. Bulut için Defender, kullanıma uygun aboneliklerinizi ve çalışma alanlarınızı listeler.
  3. Deneme sürümünüzü başlatmak için uygun çalışma alanlarını ve abonelikleri seçebilirsiniz. Daha önce oluşturulan ASC-SentinelWorkspace çalışma alanını açılan menüden seçin.
  4. Bulut için Defender ana menüsünde Denemeyi başlat'ı seçin.
  5. Aracıları Yükle iletişim kutusu görüntülenmelidir.
  6. Aracıları Yükle düğmesini seçin. Bulut için Defender - Kapsam dikey penceresi görüntülenir ve seçtiğiniz aboneliği gözlemlemeniz gerekir. Security Coverage blade showing your subscriptions should be open

Artık otomatik sağlamayı etkinleştirdiniz ve Bulut için Defender Windows için Log Analytics Aracısı'nı (HealthService.exe) ve Linux için omsagent'ı desteklenen tüm Azure VM'lerine ve oluşturduğunuz yeni vm'lere yükler. Bu ilkeyi kapatabilir ve el ile yönetebilirsiniz, ancak otomatik sağlamayı kesinlikle öneririz.

Windows ve Linux'ta kullanılabilen belirli Bulut için Defender özellikleri hakkında daha fazla bilgi edinmek için bkz. Makineler için özellik kapsamı.

Şirket içi Windows bilgisayarlarının Bulut için Microsoft Defender izlenmesini etkinleştirme

  1. Bulut için Defender - Genel Bakış dikey penceresinin Azure portalında Başlarken sekmesini seçin.
  2. Azure dışı yeni bilgisayarlar ekle'nin altında Yapılandır'ı seçin. Log Analytics çalışma alanlarınızın listesi görüntülenir ve Bulut için Defender-SentinelWorkspace içermelidir.
  3. Bu çalışma alanını seçin. Doğrudan Aracı dikey penceresi, bir Windows aracısını indirme bağlantısı ve aracıyı yapılandırırken kullanılacak çalışma alanı kimliğinizin (ID) anahtarlarının bulunduğu bir bağlantıyla açılır.
  4. Kurulum dosyasını indirmek için bilgisayar işlemci türünüz için geçerli olan Windows Aracısını İndir bağlantısını seçin.
  5. Çalışma Alanı Kimliği'nin sağındaki Kopyala'yı seçin ve kimliği Not Defteri yapıştırın.
  6. Birincil Anahtar'ın sağındaki Kopyala'yı seçin ve anahtarı Not Defteri yapıştırın.

Windows aracısını yükleme

Aracıyı hedeflenen bilgisayarlara yüklemek için aşağıdaki adımları izleyin.

  1. Dosyayı hedef bilgisayara kopyalayın ve ardından Kurulumu Çalıştır'a tıklayın.
  2. Hoş Geldiniz sayfasında, İleri'ye tıklatın.
  3. Lisans Koşulları sayfasında lisansı okuyun ve ardından Kabul Ediyorum'u seçin.
  4. Hedef Klasör sayfasında varsayılan yükleme klasörünü değiştirin ya da aynı bırakın ve ardından İleri'yi seçin.
  5. Aracı Kurulum Seçenekleri sayfasında, aracıyı Azure Log Analytics’e bağlamayı seçin ve sonra İleri’yi seçin.
  6. Azure Log Analytics sayfasında, önceki prosedürde Not Defteri’ne kopyaladığınız Çalışma Alanı Kimliğini ve Çalışma Alanı Anahtarını (Birincil Anahtar) yapıştırın.
  7. Bilgisayarın Azure Kamu bulutundaki bir Log Analytics çalışma alanına raporlaması gerekiyorsa, Azure Cloud açılan listesinden Azure ABD Kamu'yu seçin. Bilgisayarın bir ara sunucu aracılığıyla Log Analytics hizmetine iletişim kurması gerekiyorsa Gelişmiş'i seçin ve ara sunucunun URL'sini ve bağlantı noktası numarasını sağlayın.
  8. Gerekli yapılandırma ayarlarını sağladıktan sonra İleri'yi seçin. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Yüklemeye Hazır sayfasında, tercihlerinizi gözden geçirip Yükle’yi seçin.
  10. Yapılandırma başarıyla tamamlandı sayfasında Son'u seçin.

Tamamlandığında Log Analytics aracısı Windows Denetim Masası görüntülenir ve yapılandırmanızı gözden geçirebilir ve aracının bağlı olduğunu doğrulayabilirsiniz.

Aracıyı yükleme ve yapılandırma hakkında daha fazla bilgi için bkz. Windows bilgisayarlara Log Analytics aracısını yükleme.

Log Analytics Aracısı hizmeti olay ve performans verilerini toplar, görevleri ve bir yönetim paketinde tanımlanan diğer iş akışlarını yürütür. Bulut için Defender ile tümleştirerek bulut iş yükü koruma platformlarını genişletir Sunucular için Microsoft Defender. Birlikte, kapsamlı uç noktada algılama ve yanıtlama (EDR) özellikleri sağlar.

Sunucular için Microsoft Defender hakkında daha fazla bilgi için bkz . Sunucular için Microsoft Defender hizmetine sunucuları ekleme.

Şirket içi Linux bilgisayarlarının Bulut için Microsoft Defender izlenmesini etkinleştirme

  1. Daha önce açıklandığı gibi Başlarken sekmesine dönün.
  2. Azure dışı yeni bilgisayarlar ekle'nin altında Yapılandır'ı seçin. Log Analytics çalışma alanlarınızın listesi görüntülenir. Liste, oluşturduğunuz Bulut için Defender-SentinelWorkspace öğesini içermelidir.
  3. LINUX için İnDİr VE ONBOARD AGENT altındaki Doğrudan Aracı dikey penceresinde, wget komutunu kopyalamak için kopyala'yıseçin.
  4. Not Defteri açın ve bu komutu yapıştırın. Bu dosyayı Linux bilgisayarınızdan erişebileceğiniz bir konuma kaydedin.

Not

Unix ve Linux işletim sistemlerinde wget, web'den etkileşimli olmayan dosya indirmeye yönelik bir araçtır. HTTPS, FTP'ler ve ara sunucuları destekler.

Linux aracısı Linux Audit Daemon çerçevesini kullanır. Bulut için Defender bu çerçevedeki işlevleri Log Analytics aracısı içinde tümleştirir ve bu sayede Linux için Log Analytics Aracısı kullanılarak denetim kayıtlarının toplanmasına, zenginleştirilmesine ve olaylar halinde toplanmasına olanak tanır. Bulut için Defender sürekli olarak bulut ve şirket içi Linux makinelerindeki kötü amaçlı davranışları algılamak için Linux sinyallerini kullanan yeni analizler ekler.

Linux uyarılarının listesi için Uyarı başvuru tablosuna bakın.

Linux aracısını yükleme

Aracıyı hedeflenen Linux bilgisayarlara yüklemek için şu adımları izleyin:

  1. Linux bilgisayarınızda, daha önce kaydettiğiniz dosyayı açın. İçeriğin tamamını seçip kopyalayın, bir terminal konsolu açın ve komutu yapıştırın.
  2. Yükleme tamamlandıktan sonra pgrep komutunu çalıştırarak omsagent'ın yüklendiğini doğrulayabilirsiniz. komut omsagent işlem tanımlayıcısını (PID) döndürür. Aracının günlüklerini şu konumda bulabilirsiniz: /var/opt/microsoft/omsagent/"workspace id"/log/.

Yeni Linux bilgisayarın Bulut için Defender görüntülenmesi 30 dakika kadar sürebilir.

Azure Stack VM'lerinin Bulut için Microsoft Defender izlenmesini etkinleştirme

Azure aboneliğinizi ekledikten sonra Azure Stack marketinden Azure İzleyici, Güncelleştirme ve Yapılandırma Yönetimi VM uzantısını ekleyerek Azure Stack üzerinde çalışan VM'lerinizi korumak için Bulut için Defender etkinleştirebilirsiniz. Bunu yapmak için:

  1. Daha önce açıklandığı gibi Başlarken sekmesine dönün.
  2. Azure dışı yeni bilgisayarlar ekle'nin altında Yapılandır'ı seçin. Log Analytics çalışma alanlarınızın listesi görüntülenir ve oluşturduğunuz Bulut için Defender-SentinelWorkspace'i içermelidir.
  3. Doğrudan Aracı dikey penceresinde, aracı yapılandırması sırasında kullanılacak çalışma alanı kimliğinizin aracısını ve anahtarlarını indirmeye yönelik bir bağlantı bulunur. Aracıyı el ile indirmeniz gerekmez. Aşağıdaki adımlarda vm uzantısı olarak yüklenir.
  4. Çalışma Alanı Kimliği'nin sağındaki Kopyala'yı seçin ve kimliği Not Defteri yapıştırın.
  5. Birincil Anahtar'ın sağındaki Kopyala'yı seçin ve anahtarı Not Defteri yapıştırın.

Azure Stack VM'lerinin Bulut için Defender izlenmesini etkinleştirme

Bulut için Microsoft DefenderAzure Stack ile birlikte gelen Azure İzleyici, Güncelleştirme ve Yapılandırma Yönetimi VM uzantısı. Azure İzleyici, Güncelleştirme ve Yapılandırma Yönetimi uzantısını etkinleştirmek için şu adımları izleyin:

  1. Yeni bir tarayıcı sekmesinde Azure Stack portalınızda oturum açın.
  2. Sanal makineler sayfasına bakın ve ardından Bulut için Defender ile korumak istediğiniz sanal makineyi seçin.
  3. Uzantılar'ı seçin. Bu VM'ye yüklenen VM uzantılarının listesi görüntülenir.
  4. Ekle sekmesini seçin. Yeni Kaynak menü dikey penceresi açılır ve kullanılabilir VM uzantılarının listesini görüntüler.
  5. Azure İzleyici, Güncelleştirme ve Yapılandırma Yönetimi uzantısını ve ardından Oluştur'u seçin. Uzantı yapılandırmayı yükle dikey penceresi açılır.
  6. Uzantı yapılandırmasını yükle dikey penceresinde, önceki yordamda Not Defteri kopyaladığınız Çalışma Alanı Kimliği ve Çalışma Alanı Anahtarı'nı (Birincil Anahtar) yapıştırın.
  7. Gerekli yapılandırma ayarlarını sağlamayı bitirdiğinizde Tamam'ı seçin.
  8. Uzantı yüklemesi tamamlandıktan sonra durumu Sağlama Başarılı olarak görüntülenir. VM'nin Bulut için Defender portalında görünmesi bir saat kadar sürebilir.

Aracıyı Windows için yükleme ve yapılandırma hakkında daha fazla bilgi için bkz . Kurulum sihirbazını kullanarak aracıyı yükleme.

Linux aracısı sorunlarını gidermek için bkz . Linux için Log Analytics aracısıyla ilgili sorunları giderme.

Artık Azure VM’lerinizi ve Azure dışı bilgisayarlarınızı tek bir yerde izleyebilirsiniz. Azure İşlem , önerilerle birlikte tüm VM'lere ve bilgisayarlara genel bir bakış sağlar. Her sütun bir öneri kümesini, renk ise VM'leri veya bilgisayarları ve bu önerinin geçerli güvenlik durumunu temsil eder. Bulut için Defender ayrıca güvenlik uyarılarında bu bilgisayarlar için tüm algılamaları sağlar. Defender for Cloud list of systems monitored on the Compute blade

Bilgi İşlem dikey penceresinde gösterilen iki türlü simge vardır:

Purple computer icon that represents a non-azure monitored computer Azure dışı bilgisayar

Blue terminal icon that represents an Azure monitored computer Azure bilgisayarı

Not

Başvuru mimarisinin ikinci bölümü, Bulut için Microsoft Defender gelen uyarıları bağlayacak ve bunları Microsoft Sentinel'e aktaracak.

Microsoft Sentinel'in rolü, farklı veri kaynaklarından veri almak ve bu veri kaynakları arasında veri bağıntısı gerçekleştirmektir. Microsoft Sentinel, tehdit avcılığı, uyarı algılama ve tehdit yanıtlarını daha akıllı hale getirmek için makine öğrenmesi ve yapay zekadan yararlanıyor.

Microsoft Sentinel'i eklemek için etkinleştirmeniz ve ardından veri kaynaklarınızı bağlamanız gerekir. Microsoft Sentinel, microsoft çözümleri için kullanıma hazır olan ve Bulut için Microsoft Defender, Microsoft Tehdit Koruması çözümleri, Microsoft 365 kaynakları (Office 365 dahil), Microsoft Entra Id, Sunucular için Microsoft Defender gibi gerçek zamanlı tümleştirme sağlayan bir dizi bağlayıcıyla birlikte gelir. Uygulamaları ve daha fazlasını Bulut için Microsoft Defender. Bunlara ek olarak, Microsoft dışı çözümler için daha geniş bir güvenlik ekosistemine yönelik yerleşik bağlayıcılar vardır. Veri kaynaklarınızı Microsoft Sentinel'e bağlamak için Ortak Olay Biçimi, syslog veya Temsili Durum Aktarım API'sini de kullanabilirsiniz.

Microsoft Sentinel'i Bulut için Microsoft Defender ile tümleştirme gereksinimleri

  1. Microsoft Azure Aboneliği
  2. Bulut için Microsoft Defender etkinleştirdiğinizde oluşturulan varsayılan çalışma alanı olmayan bir Log Analytics çalışma alanı.
  3. Bulut için Microsoft Defender.

Önceki bölümde çalıştıysanız üç gereksinim de yerinde olmalıdır.

Genel önkoşullar

  • Microsoft Sentinel'i etkinleştirmek için, Microsoft Sentinel çalışma alanının bulunduğu abonelikte katkıda bulunan izinlerine sahip olmanız gerekir.
  • Microsoft Sentinel'i kullanmak için, çalışma alanının ait olduğu kaynak grubunda katkıda bulunan veya okuyucu izinlerine sahip olmanız gerekir.
  • Belirli veri kaynaklarını bağlamak için ek izinlere ihtiyacınız olabilir. Bulut için Defender bağlanmak için ek izinlere ihtiyacınız yoktur.
  • Microsoft Sentinel ücretli bir hizmettir. Daha fazla bilgi için bkz . Microsoft Sentinel fiyatlandırması.

Microsoft Sentinel'i etkinleştirme

  1. Bulut için Defender-Sentinelworkspace için katkıda bulunan hakları olan bir kullanıcıyla Azure portalında oturum açın.
  2. Microsoft Sentinel'i arayın ve seçin. In the Azure portal search for the term
  3. Ekle'yi seçin.
  4. Microsoft Sentinel dikey penceresinde Bulut için Defender-Sentinelworkspace öğesini seçin.
  5. Microsoft Sentinel'de gezinti menüsünden Veri bağlayıcıları'nı seçin.
  6. Veri bağlayıcıları galerisinden Bulut için Microsoft Defender'yi ve ardından Bağlayıcı sayfasını aç düğmesini seçin. In Microsoft Sentinel showing the open Collectors page
  7. Yapılandırma'nın altında, uyarıların Microsoft Sentinel'e akışla gönderilmesini istediğiniz aboneliklerin yanındaki Bağlan seçin. Bağlan düğmesi yalnızca gerekli izinlere ve Bulut için Defender aboneliğine sahipseniz kullanılabilir.
  8. Şimdi Bağlan ion DurumunuBağlan olarak gözlemlemeniz gerekir. Bağlandıktan sonra Bağlan ed'e geçer.
  9. Bağlantıyı onayladıktan sonra Bulut için Defender Veri Bağlan veya ayarlarını kapatabilir ve Microsoft Sentinel'de uyarıları gözlemlemek için sayfayı yenileyebilirsiniz. Günlüklerin Microsoft Sentinel ile eşitlemeye başlaması biraz zaman alabilir. Bağlandıktan sonra Alınan veriler grafiğinde bir veri özeti ve veri türlerinin bağlantı durumunu göreceksiniz.
  10. Bulut için Microsoft Defender uyarılarının Microsoft Sentinel'de otomatik olarak olay oluşturmasını isteyip istemediğinizi seçebilirsiniz. Olay oluştur'un altında Etkin'i seçerek uyarılardan otomatik olarak olaylar oluşturan varsayılan analiz kuralını açın. Ardından bu kuralı Analytics'in altında, Etkin kurallar sekmesinde düzenleyebilirsiniz.
  11. Log Analytics'te Bulut için Microsoft Defender uyarıları için ilgili şemayı kullanmak için SecurityAlert araması yapın.

Microsoft Sentinel'i SIEM'iniz olarak kullanmanın avantajlarından biri, kuruluşunuzun güvenlikle ilgili olayları uçtan uca görünür hale getirmek için birden çok kaynak arasında veri bağıntısı sağlamasıdır.

Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

Sonraki adımlar

Azure İzleyici

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack