Aracılığıyla paylaş

Bulut için Microsoft Defender Azure VMware Çözümü ile tümleştirme

  • Makale

Bulut için Microsoft Defender, Azure VMware Çözümü ve şirket içi sanal makineleriniz (VM) genelinde gelişmiş tehdit koruması sağlar. Azure VMware Çözümü VM'lerin güvenlik açığını değerlendirir ve gerektiğinde uyarı oluşturur. Bu güvenlik uyarıları çözüm için Azure İzleyici'ye iletilebilir. Bulut için Microsoft Defender'de güvenlik ilkeleri tanımlayabilirsiniz. Daha fazla bilgi için bkz . Güvenlik ilkeleriyle çalışma.

Bulut için Microsoft Defender aşağıdakiler dahil olmak üzere birçok özellik sunar:

  • Dosya bütünlüğünü izleme
  • Dosyasız saldırı algılama
  • İşletim sistemi düzeltme eki değerlendirmesi
  • Güvenlik yanlış yapılandırmaları değerlendirmesi
  • Uç nokta koruma değerlendirmesi

Diyagramda, Azure VMware Çözümü VM'ler için tümleşik güvenlik tümleşik izleme mimarisi gösterilmektedir.

Azure Tümleşik Güvenlik mimarisini gösteren diyagram.

Log Analytics aracısı Azure, Azure VMware Çözümü ve şirket içi VM'lerden günlük verilerini toplar. Günlük verileri Azure İzleyici Günlüklerine gönderilir ve log analytics çalışma alanında depolanır. Her çalışma alanının kendi veri deposu ve verileri depolamak için yapılandırması vardır. Günlükler toplandıktan sonra Bulut için Microsoft Defender Azure VMware Çözümü VM'lerin güvenlik açığı durumunu değerlendirir ve kritik güvenlik açıkları için bir uyarı oluşturur. değerlendirildikten sonra Bulut için Microsoft Defender bir olay oluşturmak ve diğer tehditlerle eşlemek için güvenlik açığı durumunu Microsoft Sentinel'e iletir. Bulut için Microsoft Defender, Bulut için Microsoft Defender Bağlayıcısı kullanılarak Microsoft Sentinel'e bağlanır.

Önkoşullar

Bulut için Defender Azure VMware Çözümü VM ekleme

  1. Azure portalında Azure Arc'ta arama yapın ve seçin.

  2. Kaynaklar'ın altında Sunucular'ı ve ardından +Ekle'yi seçin.

    Azure'a Azure VMware Çözümü VM eklemeye yönelik Azure Arc Sunucuları sayfasını gösteren ekran görüntüsü.

  3. Betik oluştur'a tıklayın.

    Etkileşimli betik kullanarak sunucu ekleme seçeneğini gösteren Azure Arc sayfasının ekran görüntüsü.

  4. Önkoşullar sekmesinde İleri'yi seçin.

  5. Kaynak ayrıntıları sekmesinde aşağıdaki ayrıntıları doldurun ve İleri'yi seçin. Etiketler:

    • Abonelik
    • Kaynak grubu
    • Bölge
    • İşletim sistemi
    • Proxy Sunucusu ayrıntıları

  6. Etiketler sekmesinde İleri'yi seçin.

  7. Betiği indir ve çalıştır sekmesinde İndir'i seçin.

  8. İşletim sisteminizi belirtin ve betiği Azure VMware Çözümü VM'nizde çalıştırın.

Önerileri ve geçirilen değerlendirmeleri görüntüleme

Öneriler ve değerlendirmeler, kaynağınızın güvenlik durumu ayrıntılarını sağlar.

  1. Bulut için Microsoft Defender'da sol bölmeden Envanter'i seçin.

  2. Kaynak türü için Sunucular - Azure Arc'ı seçin.

    Kaynak türü altında Sunucular - Azure Arc'ın seçili olduğu Bulut için Microsoft Defender Envanter sayfasını gösteren ekran görüntüsü.

  3. Kaynağınızın adını seçin. Kaynağınızın güvenlik durumu ayrıntılarını gösteren bir sayfa açılır.

  4. Öneri listesi'nin altında Öneriler, Geçirilen değerlendirmeler ve Kullanılamayan değerlendirmeler sekmelerini seçerek bu ayrıntıları görüntüleyin.

    Bulut için Microsoft Defender güvenlik önerilerini ve değerlendirmelerini gösteren ekran görüntüsü.

Microsoft Sentinel çalışma alanı dağıtma

Microsoft Sentinel ortam genelinde güvenlik analizi, uyarı algılama ve otomatik tehdit yanıtı sağlar. Log Analytics çalışma alanının üzerine kurulmuş, bulutta yerel, güvenlik bilgileri olay yönetimi (SIEM) çözümü.

Microsoft Sentinel bir Log Analytics çalışma alanının üzerinde oluşturulduğundan, yalnızca kullanmak istediğiniz çalışma alanını seçmeniz yeterlidir.

  1. Azure portalında Microsoft Sentinel'i arayın ve seçin.

  2. Microsoft Sentinel çalışma alanları sayfasında +Ekle'yi seçin.

  3. Log Analytics çalışma alanını seçin ve Ekle'yi seçin.

Güvenlik olayları için veri toplayıcıyı etkinleştirme

  1. Microsoft Sentinel çalışma alanları sayfasında, yapılandırılan çalışma alanını seçin.

  2. Yapılandırma'nın altında Veri bağlayıcıları'nı seçin.

  3. Bağlayıcı Adı sütununun altında listeden Güvenlik Olayları'nı ve ardından Bağlayıcı sayfasını aç'ı seçin.

  4. Bağlayıcı sayfasında, akışla yayınlamak istediğiniz olayları ve ardından Değişiklikleri Uygula'yı seçin.

    Microsoft Sentinel'de hangi olayların akışla aktarılabileceğini seçebileceğiniz Güvenlik Olayları sayfasının ekran görüntüsü.

Microsoft Sentinel'i Bulut için Microsoft Defender ile bağlama

  1. Microsoft Sentinel çalışma alanı sayfasında, yapılandırılan çalışma alanını seçin.

  2. Yapılandırma'nın altında Veri bağlayıcıları'nı seçin.

  3. Listeden Bulut için Microsoft Defender seçin ve ardından Bağlayıcı sayfasını aç'ı seçin.

    Bulut için Microsoft Defender Microsoft Sentinel'e bağlanma seçimini gösteren Microsoft Sentinel'deki Veri bağlayıcıları sayfasının ekran görüntüsü.

  4. Bulut için Microsoft Defender Microsoft Sentinel'e bağlamak için Bağlan'ı seçin.

  5. Bulut için Microsoft Defender için bir olay oluşturmak üzere Olay oluştur'u etkinleştirin.

Güvenlik tehditlerini tanımlamak için kurallar oluşturma

Veri kaynaklarını Microsoft Sentinel'e bağladıktan sonra, algılanan tehditler için uyarılar oluşturmak üzere kurallar oluşturabilirsiniz. Aşağıdaki örnekte, Windows server'da yanlış parolayla oturum açma girişimleri için bir kural oluşturacağız.

  1. Microsoft Sentinel'e genel bakış sayfasında, Yapılandırmalar'ın altında Analiz'i seçin.

  2. Yapılandırmalar'ın altında Analiz'i seçin.

  3. +Oluştur'u seçin ve açılan listede Zamanlanmış sorgu kuralı'nı seçin.

  4. Genel sekmesinde gerekli bilgileri girin ve İleri: Kural mantığını ayarla'yı seçin.

    • Veri Akışı Adı
    • Açıklama
    • Taktikler
    • Önem
    • Durum

  5. Kural mantığını ayarla sekmesinde gerekli bilgileri girin ve İleri'yi seçin.

    • Kural sorgusu (burada örnek sorgumuzu gösterir)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Varlıkları eşle

    • Sorgu zamanlama

    • Uyarı eşiği

    • Olay gruplama

    • Gizleme

  6. Olay ayarları sekmesinde, Bu analiz kuralı tarafından tetiklenen uyarılardan olay oluştur'u etkinleştirin ve İleri: Otomatik yanıt'ı seçin.

    Microsoft Sentinel'de yeni kural oluşturmaya yönelik Analiz kuralı sihirbazını gösteren ekran görüntüsü.

  7. İleri: Gözden Geçir'i seçin.

  8. Gözden geçir ve oluştur sekmesinde bilgileri gözden geçirin ve Oluştur'u seçin.

İpucu

Üçüncü başarısız Windows sunucusunda oturum açma girişiminden sonra, oluşturulan kural başarısız her girişim için bir olay tetikler.

Uyarıları görüntüleme

Oluşturulan olayları Microsoft Sentinel ile görüntüleyebilirsiniz. Ayrıca olayları atayabilir ve çözümlendikten sonra tamamen Microsoft Sentinel'in içinden kapatabilirsiniz.

  1. Microsoft Sentinel'e genel bakış sayfasına gidin.

  2. Tehdit Yönetimi'nin altında Olaylar'ı seçin.

  3. Bir olay seçin ve ardından çözüm için bir ekise atayın.

    Güvenlik olayının belirlenip çözüme atanma seçeneğinin bulunduğu Microsoft Sentinel Olayları sayfasının ekran görüntüsü.

İpucu

Sorunu çözdükten sonra kapatabilirsiniz.

Sorgularla güvenlik tehditlerini avlama

Ortamınızdaki tehditleri belirlemek için sorgu oluşturabilir veya Microsoft Sentinel'de önceden tanımlanmış kullanılabilir sorguyu kullanabilirsiniz. Aşağıdaki adımlarda önceden tanımlanmış bir sorgu çalıştırılır.

  1. Microsoft Sentinel genel bakış sayfasındaki Tehdit yönetimi'nin altında Tehdit Avcılığı'nı seçin. Önceden tanımlanmış sorguların listesi görüntülenir.

    İpucu

    Yeni Sorgu'yu seçerek yeni bir sorgu da oluşturabilirsiniz.

    + Yeni Sorgu'nun vurgulandığı Microsoft Sentinel Tehdit Avcılığı sayfasının ekran görüntüsü.

  2. Bir sorgu seçin ve ardından Sorguyu Çalıştır'ı seçin.

  3. Sonuçları denetlemek için Sonuçları Görüntüle'yi seçin.

Sonraki adımlar

artık Azure VMware Çözümü VM'lerinizin nasıl korunduğunu ele aldıklarına göre, aşağıdakiler hakkında daha fazla bilgi edinebilirsiniz: