Düzenle

Aracılığıyla paylaş

Microsoft Defender XDR Güvenlik hizmetleriyle ikinci savunma katmanını oluşturma

Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager

Çözüm fikirleri

Bu makalede bir çözüm fikri açıklanmaktadır. Bulut mimarınız bu mimarinin tipik bir uygulaması için ana bileşenleri görselleştirmeye yardımcı olmak için bu kılavuzu kullanabilir. İş yükünüzün özel gereksinimlerine uygun iyi tasarlanmış bir çözüm tasarlamak için bu makaleyi başlangıç noktası olarak kullanın.

Birçok kuruluş hem Azure'da hem de şirket içinde barındırılan kaynaklarla karma bir ortamda çalışır. Sanal makineler (VM' ler), Azure uygulamaları ve Microsoft Entra ID gibi çoğu Azure kaynağının güvenliği Azure'ın yerleşik güvenlik hizmetleri kullanılarak sağlanabilir.

Ayrıca, kuruluşlar kullanıcılara Word, Excel, PowerPoint ve Exchange Online gibi uygulamalar sağlamak için sık sık Microsoft 365'e abone olur. Microsoft 365, en yaygın kullanılan Azure kaynaklarından bazılarına ek bir koruma katmanı eklemek için kullanılabilecek güvenlik hizmetleri de sunar.

Microsoft 365 güvenlik hizmetlerini etkili bir şekilde kullanmak için önemli terminolojiyi ve Microsoft 365 hizmetlerinin yapısını anlamak önemlidir. Beşli serideki bu dördüncü makale, bu konuları daha ayrıntılı bir şekilde inceler ve özellikle de önceki makalelerde ele alınan kavramları temel almaktadır:

Microsoft 365 ve Office 365, kuruluşunuzun güçlü güvenlik, güvenilirlik ve gelişmiş kullanıcı üretkenliği gereksinimlerini karşılamak üzere tasarlanmış bulut tabanlı hizmetlerdir. Microsoft 365, Power Automate, Forms, Stream, Sway ve Office 365 gibi hizmetleri kapsar. Office 365 özellikle tanıdık üretkenlik uygulamaları paketini içerir. Bu iki hizmetin abonelik seçenekleri hakkında daha fazla bilgi için bkz . Microsoft 365 ve Office 365 planı seçenekleri.

Microsoft 365 için edindiğiniz lisansa bağlı olarak, Microsoft 365 için güvenlik hizmetlerini de alabilirsiniz. Bu güvenlik hizmetleri, birden çok hizmet sağlayan Microsoft Defender XDR olarak adlandırılır:

  • Uç Nokta için Microsoft Defender (MDE)
  • Kimlik için Microsoft Defender (MDI)
  • Office için Microsoft Defender (MDO)
  • Bulut için Microsoft Defender Uygulamaları (MDA)
  • "security.microsoft.com" aracılığıyla erişilen "Bulut için Microsoft Defender Uygulamaları", "portal.azure.com" aracılığıyla erişilen başka bir güvenlik çözümü olan "Bulut için Microsoft Defender" den farklıdır.

Aşağıdaki diyagramda, Tüm hizmetler listelenmese de Microsoft 365'in sunduğu çözümlerle ana hizmetlerin ilişkisi gösterilmektedir.

Microsoft 365'in parçası olan hizmetlerin ve ürünlerin diyagramı.

Olası kullanım örneği

İnsanlar genellikle Microsoft 365 güvenlik hizmetleri ve BT siber güvenliğindeki rolleri hakkında kafaları karışır. Bu karışıklığın önemli bir nedeni, Bulut için Microsoft Defender (eski adı Azure Güvenlik Merkezi) ve Bulut için Defender Uygulamaları (eski adıYla Microsoft) gibi bazı Azure güvenlik hizmetleri de dahil olmak üzere adlardaki benzerlikten kaynaklanmaktadır Bulut Uygulamaları Güvenliği).

Ancak karışıklık terminolojinin ötesine geçer. Bazı hizmetler, farklı kaynaklar için benzer korumalar sağlar. Örneğin, Kimlik için Defender ve Azure Kimlik Koruması kimlik hizmetlerini korur, ancak Kimlik için Defender şirket içi kimliklerin güvenliğini sağlar (Active Directory Etki Alanı Hizmetleri ve Kerberos kimlik doğrulaması aracılığıyla), Azure Identity Protection ise bulut kimliklerinin güvenliğini sağlar (Microsoft Entra Id ve OAuth kimlik doğrulaması aracılığıyla).

Bu örnekler, Microsoft 365 güvenlik hizmetlerinin Azure güvenlik hizmetlerinden nasıl farklı olduğunu anlamanın önemini vurgular. Bu anlayışa sahip olarak, BT ortamınız için güçlü bir güvenlik duruşu sürdürürken Microsoft bulutunda güvenlik stratejinizi daha etkili bir şekilde planlayabilirsiniz. Bu makale, bunu başarmanıza yardımcı olmayı amaçlamaktadır.

Aşağıdaki diyagramda Microsoft Defender XDR güvenlik hizmetleri için gerçek dünya kullanım örneği gösterilmiştir. Koruma gerektiren kaynakları, ortamda çalışan hizmetleri ve bazı olası tehditleri gösterir. Microsoft Defender XDR hizmetleri, kuruluşun kaynaklarını bu tehditlere karşı savunarak ortada konumlandırılır.

Tehditleri, saldırı sırasını, hedeflenen kaynakları ve koruma sağlayabilen Microsoft Defender XDR hizmetlerini gösteren diyagram.

Mimari

Microsoft'un Microsoft Defender XDR olarak bilinen Genişletilmiş Algılama ve Yanıt (XDR) çözümü, uç noktalar, kimlikler, e-postalar, uygulamalar ve bulut ortamları arasında birleşik koruma, algılama ve yanıt sağlamak için birden çok güvenlik aracı ve hizmetini tümleştirir. Gelişmiş siber tehditleri gerçek zamanlı olarak algılamak ve yanıtlamak için gelişmiş tehdit zekası, otomasyon ve yapay zeka temelli analizleri bir araya getirerek güvenlik ekiplerinin riskleri hızla azaltmasını ve saldırıların etkisini azaltmasını sağlar. Microsoft Defender XDR, çeşitli kaynaklardan alınan güvenlik verilerini birleştirerek kuruluşların bt altyapılarının tamamında kapsamlı ve kolaylaştırılmış savunma elde etmelerine yardımcı olur.

Aşağıdaki diyagramda, Microsoft Defender XDR güvenlik hizmetlerini temsil eden DEFENDER olarak etiketlenmiş bir katman gösterilmektedir. Bu hizmetleri BT ortamınıza eklemek, ortamınız için daha iyi bir savunma oluşturmanıza yardımcı olur. Defender katmanındaki hizmetler Azure güvenlik hizmetleriyle çalışabilir.

I T ortamınızdaki kaynaklara koruma sağlamak için yapılandırabileceğiniz hizmetlerin, tehditlerin ve güvenlik hizmetlerinin diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

©2021 MITRE Corporation. Bu çalışma, MITRE Corporation'ın izniyle çoğaltılır ve dağıtılır.

İş Akışı

  1. Uç Nokta için Microsoft Defender

    Uç Nokta için Defender, kuruluşunuzdaki uç noktaların güvenliğini sağlar ve ağların gelişmiş tehditleri önlemesine, algılamasına, araştırmasına ve yanıtlamasına yardımcı olmak için tasarlanmıştır. Azure'da ve şirket içinde çalışan VM'ler için bir koruma katmanı oluşturur. Neleri koruyabileceği hakkında daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender.

  2. Bulut için Microsoft Defender Uygulamaları

    Daha önce Microsoft Bulut Uygulaması Güvenliği olarak bilinen Bulut için Defender Apps, birden çok dağıtım modunu destekleyen bir bulut erişim güvenlik aracısıdır (CASB). Bu modlar günlük toplama, API bağlayıcıları ve ters ara sunucuyu içerir. Tüm Microsoft ve üçüncü taraf bulut hizmetlerinizde siber tehditleri belirlemek ve bununla mücadele etmek için zengin görünürlük, veri seyahati üzerinde denetim ve gelişmiş analiz sağlar. Cloud Apps ve hatta şirket içinde çalışan bazı uygulamalar için koruma ve risk azaltma sağlar. Ayrıca bu uygulamalara erişen kullanıcılar için bir koruma katmanı sağlar. Daha fazla bilgi için bkz. Bulut için Microsoft Defender Uygulamalara genel bakış.

    Bulut için Defender Uygulamaları ile Bulut için Microsoft Defender karıştırılmaması önemlidir. Bu, azure' da, şirket içinde ve diğer bulutlarda çalışan sunucuların, uygulamaların, depolama hesaplarının ve diğer kaynakların güvenlik duruşu hakkında öneriler ve puan sağlar. Bulut için Defender, Azure Güvenlik Merkezi ve Azure Defender gibi önceki iki hizmeti birleştirir.

  3. Office için Microsoft Defender

    Office 365 için Defender kuruluşunuzu e-posta iletileri, bağlantılar (URL'ler) ve işbirliği araçları tarafından ortaya konan kötü amaçlı tehditlere karşı korur. E-posta ve işbirliği için koruma sağlar. Lisansa bağlı olarak, ihlal sonrası araştırma, avcılık ve yanıt ile otomasyon ve simülasyon (eğitim için) ekleyebilirsiniz. Lisans seçenekleri hakkında daha fazla bilgi için bkz. Office 365 için Microsoft Defender güvenliğe genel bakış.

  4. Kimlik için Microsoft Defender

    Kimlik için Defender, kuruluşunuza yönelik gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kötü amaçlı insider eylemlerini tanımlamak, algılamak ve araştırmak için şirket içi Active Directory sinyallerinizi kullanan bulut tabanlı bir güvenlik çözümüdür. Şirket içinde çalışan Active Directory Etki Alanı Hizmetlerini (AD DS) korur. Bu hizmet bulutta çalışsa da şirket içi kimlikleri korumak için çalışır. Kimlik için Defender, daha önce Azure Gelişmiş Tehdit Koruması olarak adlandırıldı. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender nedir?

    Microsoft Entra ID tarafından sağlanan ve bulutta yerel olarak çalışan kimlikler için korumaya ihtiyacınız varsa Microsoft Entra Kimlik Koruması göz önünde bulundurun.

  5. Intune (eski adıyla Microsoft Endpoint Manager'ın bir parçası)

Microsoft Intune, kuruluşların cihazlarını, uygulamalarını ve verilerini yönetmesine ve güvenliğini sağlamalarına yardımcı olan bulut tabanlı bir hizmettir. BT yöneticilerinin dizüstü bilgisayar, akıllı telefon ve tablet gibi şirket cihazlarının nasıl kullanıldığını denetlemesine olanak sağlayarak güvenlik ilkelerine uyumluluğu sağlar. Intune ile koşullu erişim ve uzaktan silme gibi özellikleri kullanarak cihaz yapılandırmalarını zorunlu kılabilir, yazılım dağıtabilir, mobil uygulamaları yönetebilir ve kurumsal verileri koruyabilirsiniz. Güvenli uzaktan çalışmayı etkinleştirmek, hem şirkete ait hem de kişisel (KCG) cihazları yönetmek ve Windows, iOS, Android ve macOS gibi çeşitli platformlarda veri güvenliği sağlamak için özellikle yararlıdır.

Endpoint Manager'ın parçası olan bir diğer hizmet de ağınızdaki istemci ve sunucu bilgisayarlarını doğrudan veya İnternet üzerinden yönetmenize olanak tanıyan bir şirket içi yönetim çözümü olan Configuration Manager'dır. Configuration Manager'ı Intune, Microsoft Entra Id, Uç Nokta için Defender ve diğer bulut hizmetleriyle tümleştirmek için bulut işlevselliğini etkinleştirebilirsiniz. Uygulamaları, yazılım güncelleştirmelerini ve işletim sistemlerini dağıtmak için bunu kullanın. Ayrıca uyumluluğu izleyebilir, nesneleri sorgulayabilir, istemciler üzerinde gerçek zamanlı olarak işlem yapabilir ve çok daha fazlasını yapabilirsiniz. Kullanılabilir tüm hizmetler hakkında bilgi edinmek için bkz . Microsoft Endpoint Manager'a genel bakış.

Örnek tehditlerin saldırı sırası

Diyagramda adlandırılan tehditler yaygın bir saldırı sırasını izler:

  1. Saldırgan, kötü amaçlı yazılım eklenmiş bir kimlik avı e-postası gönderir.

  2. Son kullanıcı ekli kötü amaçlı yazılımı açar.

  3. Kötü amaçlı yazılım, kullanıcı fark etmeden arka uca yüklenir.

  4. Yüklü kötü amaçlı yazılım bazı kullanıcıların kimlik bilgilerini çalar.

  5. Saldırgan, hassas hesaplara erişim elde etmek için kimlik bilgilerini kullanır.

  6. Kimlik bilgileri yükseltilmiş ayrıcalığı olan bir hesaba erişim sağlıyorsa, saldırgan ek sistemlerin güvenliğini ihlal eder.

Diyagram, Microsoft Defender XDR hizmetlerinin bu saldırıları izleyebildiği ve azaltabileceği DEFENDER olarak etiketlenen katmanda da gösterilir. Bu, Defender'ın diyagramda gösterilen kaynakların ek korumasını sağlamak için Azure güvenlik hizmetleriyle birlikte çalışan ek bir güvenlik katmanı sağladığına bir örnektir. Olası saldırıların BT ortamınızı nasıl tehdit ettiği hakkında daha fazla bilgi için, bu serinin ikinci makalesine bakın: Tehditleri BT ortamınıza eşleme. Microsoft Defender XDR hakkında daha fazla bilgi için bkz . Microsoft Defender XDR.

Microsoft Defender XDR Güvenlik hizmetlerine erişme ve hizmetleri yönetme

Aşağıdaki diyagramda şu anda hangi portalların kullanılabilir olduğu ve birbirleriyle ilişkileri gösterilmektedir. Bu makalelerin güncelleştirme zamanında, bu portallardan bazıları zaten kullanım dışı bırakılmış olabilir.

Portalların hizmetlerle geçerli ilişkisini gösteren diyagram.

Security.microsoft.com şu anda en önemli portaldır çünkü Office 365 için Microsoft Defender (1), Uç Nokta için Defender (2), Office için Defender (3), Kimlik için Defender (5), Uygulamalar için Defender (4) ve ayrıca Microsoft Sentinel için işlevler getirir.

Microsoft Sentinel'in hala yalnızca Azure Portal'da (portal.azure.com) çalışan bazı özelliklere sahip olduğundan bahsetmek önemlidir.

Son olarak, endpoint.microsoft.com temel olarak Intune ve Configuration Manager için işlevsellik sağlar, aynı zamanda Endpoint Manager'ın parçası olan diğer hizmetler için de kullanılabilir. security.microsoft.com Uç noktalar için güvenlik koruması sağladığından ve endpoint.microsoft.com sunduğundan, uç noktalarınız için harika bir güvenlik duruşu sunmak için aralarında birçok etkileşim vardır (9).

Bileşenler

Bu makaledeki örnek mimaride aşağıdaki Azure bileşenleri kullanılır:

  • Microsoft Entra Id , bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Microsoft Entra Id, kullanıcılarınızın Microsoft 365, Azure portalı ve diğer binlerce SaaS uygulaması gibi dış kaynaklara erişmesine yardımcı olur. Ayrıca şirket intranet ağınızdaki uygulamalar gibi iç kaynaklara erişmelerine de yardımcı olur.

  • Azure Sanal Ağ, Azure'daki özel ağınız için temel yapı taşıdır. Sanal Ağ birçok Azure kaynağı türünün birbiriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar. Sanal Ağ ölçek, kullanılabilirlik ve yalıtım gibi Azure altyapısından yararlanan bir sanal ağ sağlar.

  • Azure Load Balancer , tüm UDP ve TCP protokolleri için yüksek performanslı, düşük gecikme süreli katman 4 yük dengeleme hizmetidir (gelen ve giden). Çözümünüzün yüksek oranda kullanılabilir olmasını sağlarken saniyede milyonlarca isteği işleyecek şekilde derlenir. Azure Load Balancer alanlar arası yedeklidir ve Kullanılabilirlik Alanları genelinde yüksek kullanılabilirlik sağlar.

  • Sanal makineler , Azure'ın sunduğu çeşitli isteğe bağlı, ölçeklenebilir bilgi işlem kaynaklarından biridir. Azure sanal makinesi (VM), çalıştıran fiziksel donanımı satın almak ve bakımını yapmak zorunda kalmadan sanallaştırma esnekliği sağlar.

  • Azure Kubernetes hizmeti (AKS), kapsayıcılı uygulamaları dağıtmak ve yönetmek için tam olarak yönetilen bir Kubernetes hizmetidir. AKS sunucusuz Kubernetes, sürekli tümleştirme/sürekli teslim (CI/CD) ve kurumsal düzeyde güvenlik ve idare sağlar.

  • Azure Sanal Masaüstü , uzak kullanıcılara masaüstleri sağlamak üzere bulutta çalışan bir masaüstü ve uygulama sanallaştırma hizmetidir.

  • Web Apps , web uygulamalarını, REST API'leri ve mobil arka uçları barındırmaya yönelik HTTP tabanlı bir hizmettir. En sevdiğiniz dilde geliştirme yapabilirsiniz ve uygulamalar hem Windows hem de Linux tabanlı ortamlarda kolayca çalışır ve ölçeklendirilir.

  • Azure Depolama , nesne, blob, dosya, disk, kuyruk ve tablo depolama gibi buluttaki çeşitli veri nesneleri için yüksek oranda kullanılabilir, yüksek oranda ölçeklenebilir, dayanıklı ve güvenli depolama alanıdır. Azure depolama hesabına yazılan tüm veriler hizmet tarafından şifrelenir. Azure Depolama, verilerinize erişmesi gereken kişiler üzerinde ayrıntılı denetime sahip olmanızı sağlar.

  • Azure SQL veritabanı , yükseltme, düzeltme eki uygulama, yedeklemeler ve izleme gibi veritabanı yönetimi işlevlerinin çoğunu işleyen tam olarak yönetilen bir PaaS veritabanı altyapısıdır. Bu işlevleri kullanıcı katılımı olmadan sağlar. SQL Veritabanı, uygulamanızın güvenlik ve uyumluluk gereksinimlerini karşılamasına yardımcı olmak için çeşitli yerleşik güvenlik ve uyumluluk özellikleri sağlar.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Diğer katkıda bulunanlar:

Sonraki adımlar

Bu başvuru mimarisi hakkında daha fazla ayrıntı için bu serideki diğer makalelere bakın: