Aracılığıyla paylaş

Veri bağlantılarını kullanma

  • Makale

Bu makalede, Microsoft Defender Harici Saldırı Yüzeyi Yönetimi(Defender EASM) içindeki veri bağlantıları özelliği ele alınmaktadır.

Genel bakış

Defender EASM artık mevcut iş akışlarını yeni içgörülerle desteklemek için saldırı yüzeyi verilerinizi diğer Microsoft çözümleriyle sorunsuz bir şekilde tümleştirmenize yardımcı olacak veri bağlantıları sunuyor. Defender EASM'den, saldırı yüzeyi verilerinizi en iyi şekilde kullanmak için düzeltme amacıyla kullandığınız diğer güvenlik araçlarına veri almanız gerekir.

Veri bağlayıcısı, Defender EASM varlık verilerini iki farklı platforma gönderir: Log Analytics ve Azure Veri Gezgini. Defender EASM verilerini her iki aracu da dışarı aktarmanız gerekir. Veri bağlantıları ilgili platformlar için fiyatlandırma modeline tabidir.

Log Analytics , güvenlik bilgileri ve olay yönetimi ile güvenlik düzenleme, otomasyon ve yanıt özellikleri sağlar. Defender EASM varlığı veya içgörü bilgileri, mevcut iş akışlarını diğer güvenlik verileriyle zenginleştirmek için Log Analytics'te kullanılabilir. Bu bilgiler, açık İnternet'te dış altyapınıza görünürlük sağlamak için güvenlik duvarı ve yapılandırma bilgilerini, tehdit bilgilerini ve uyumluluk verilerini destekleyebilir.

Şunları yapabilirsiniz:

  • Güvenlik olayları oluşturun veya zenginleştirin.
  • Araştırma playbook'ları oluşturun.
  • Makine öğrenmesi algoritmalarını eğitin.
  • Düzeltme eylemlerini tetikleme.

Azure Veri Gezgini, esnek özelleştirme özellikleriyle çeşitli kaynaklardan yüksek hacimli verileri analiz etmenize yardımcı olan büyük bir veri analizi platformudur. Defender EASM varlık ve içgörü verileri, platformdaki görselleştirme, sorgu, alım ve yönetim özelliklerini kullanmak için tümleştirilebilir.

İster Power BI ile özel raporlar oluştururken ister hassas KQL sorgularıyla eşleşen varlıkları ararken, Defender EASM verilerini Azure'a Veri Gezgini dışarı aktarmak, saldırı yüzeyi verilerinizi sonsuz özelleştirme potansiyeliyle kullanmanızı sağlar.

Veri içeriği seçenekleri

Defender EASM veri bağlantıları, iki farklı tür saldırı yüzeyi verilerini istediğiniz araçla tümleştirme olanağı sunar. Varlık verilerini geçirmeyi, surface içgörülerine veya her iki veri türünü de saldırmayı seçebilirsiniz. Varlık verileri, envanterinizin tamamı hakkında ayrıntılı ayrıntılar sağlar. Saldırı yüzeyi içgörüleri, Defender EASM panolarını temel alan hemen eyleme dönüştürülebilir içgörüler sağlar.

Kuruluşunuz için en önemli altyapıyı doğru bir şekilde sunmak için her iki içerik seçeneği de yalnızca Onaylı envanter durumundaki varlıkları içerir.

Varlık verileri: Varlık Verileri seçeneği, tüm envanter varlıklarınızla ilgili verileri seçtiğiniz aralığa gönderir. Bu seçenek, temel alınan ayrıntılı meta verilerin Defender EASM tümleştirmeniz için önemli olduğu kullanım örnekleri için en iyisidir. Örnek olarak Microsoft Sentinel veya Azure Veri Gezgini'da özelleştirilmiş raporlama verilebilir. Stoktaki her varlıkta üst düzey bağlamı ve belirli varlık türüne özgü ayrıntılı ayrıntıları dışarı aktarabilirsiniz.

Bu seçenek varlıklar hakkında önceden belirlenmiş içgörü sağlamaz. Bunun yerine, en çok önemsediğiniz özelleştirilmiş içgörüleri bulabilmeniz için geniş miktarda veri sunar.

Saldırı yüzeyi içgörüleri: Saldırı yüzeyi içgörüleri, Defender EASM'deki panolar aracılığıyla sunulan önemli içgörüleri temel alarak eyleme dönüştürülebilir bir sonuç kümesi sağlar. Bu seçenek her varlıkta daha az ayrıntılı meta veriler sağlar. Varlıkları ilgili içgörülere göre kategorilere ayırır ve daha fazla araştırma yapmak için gereken üst düzey bağlamı sağlar. Bu önceden belirlenmiş içgörüleri diğer araçlardan alınan verilerle özel raporlama iş akışlarıyla tümleştirmek istiyorsanız bu seçenek idealdir.

Yapılandırmaya genel bakış

Bu bölümde yapılandırma hakkında genel bilgiler sağlanmaktadır.

Veri bağlantılarına erişme

Defender EASM kaynak bölmenizin en sol bölmesindeki Yönet'in altında Veri Bağlantıları'nı seçin. Bu sayfada hem Log Analytics hem de Azure Veri Gezgini için veri bağlayıcıları görüntülenir. Geçerli bağlantıları listeler ve bağlantıları ekleme, düzenleme veya kaldırma seçeneği sunar.

Veri bağlantıları sayfasını gösteren ekran görüntüsü.

Bağlantı önkoşulları

Veri bağlantısını başarıyla oluşturmak için öncelikle Defender EASM'ye istediğiniz araca izin vermek için gerekli adımları tamamladığınızdan emin olmanız gerekir. Bu işlem, uygulamanın dışarı aktarılan verilerinizi almasına olanak tanır. Ayrıca, bağlantıyı yapılandırmak için gereken kimlik doğrulama kimlik bilgilerini de sağlar.

Not

Defender EASM veri bağlantıları özel bağlantıları veya ağları desteklemez.

Log Analytics izinlerini yapılandırma

  1. Defender EASM verilerinizi alacak veya yeni bir çalışma alanı oluşturacak Log Analytics çalışma alanını açın.

  2. En soldaki bölmedeki Ayarlar'ın altında Aracılar'ı seçin.

    Log Analytics aracılarını gösteren ekran görüntüsü.

  3. Çalışma alanı kimliğinizi ve birincil anahtarınızı görüntülemek için Log Analytics aracısı yönergeleri bölümünü genişletin. Bu değerler veri bağlantınızı ayarlamak için kullanılır.

Bu veri bağlantısının kullanımı Log Analytics'in fiyatlandırma yapısına tabidir. Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.

Azure Veri Gezgini izinlerini yapılandırma

Defender EASM API hizmet sorumlusunun, saldırı yüzeyi verilerinizi dışarı aktarmak istediğiniz veritabanındaki doğru rollere erişimi olduğundan emin olun. İlk olarak, bu eylem EASM API sorumlusunu sağladığından Defender EASM kaynağınızın uygun kiracıda oluşturulduğundan emin olun.

  1. Defender EASM verilerinizi alacak veya yeni bir küme oluşturacak Azure Veri Gezgini kümesini açın.

  2. En soldaki bölmedeki Veri'nin altında Veritabanları'nı seçin.

  3. Defender EASM verilerinizi barındıracak bir veritabanı oluşturmak için Veritabanı Ekle'yi seçin.

    Azure Veri Gezgini Veritabanı ekle'yi gösteren ekran görüntüsü.

  4. Veritabanınızı adlandırıp bekletme ve önbellek dönemlerini yapılandırın ve Oluştur'u seçin.

    Yeni veritabanı oluşturmayı gösteren ekran görüntüsü.

  5. Defender EASM veritabanınız oluşturulduktan sonra veritabanı adını seçerek ayrıntılar sayfasını açın. En soldaki bölmedeki Genel Bakış'ın altında İzinler'i seçin. Defender EASM verilerini Azure Veri Gezgini'a başarıyla aktarmak için EASM API'sinde iki yeni izin oluşturmanız gerekir: kullanıcı ve alma.

    Azure Veri Gezgini izinlerini gösteren ekran görüntüsü.

  6. Ekle'yi seçin ve kullanıcı oluşturun. EASM API'sini arayın, değeri seçin ve Seç'i seçin.

  7. Alıcı oluşturmak için Ekle'yi seçin. EASM API'sini alma uzmanı olarak eklemek için daha önce açıklanan adımları izleyin.

  8. Veritabanınız artık Defender EASM'ye bağlanmaya hazırdır. Veri bağlantınızı yapılandırırken küme adına, veritabanı adına ve bölgeye ihtiyacınız vardır.

Veri bağlantısı ekleme

Defender EASM verilerinizi Log Analytics'e veya Azure Veri Gezgini bağlayabilirsiniz. Bunu yapmak için Veri Bağlantıları sayfasında Uygun araç için bağlantı ekle'yi seçin.

Veri Bağlantıları sayfasının sağ tarafında bir yapılandırma bölmesi açılır. İlgili her araç için aşağıdaki alanlar gereklidir.

Log Analytics

  • Ad: Bu veri bağlantısı için bir ad girin.

  • Çalışma Alanı Kimliği: Defender EASM verilerini dışarı aktarmak istediğiniz Log Analytics örneğinin çalışma alanı kimliğini girin.

  • API anahtarı: Log Analytics örneğinin API anahtarını girin.

  • İçerik: Varlık verilerini tümleştirmek, surface içgörülerine veya her iki veri kümesine saldırmak için öğesini seçin.

  • Sıklık: Defender EASM bağlantısının güncelleştirilmiş verileri seçtiğiniz aracu göndermek için kullandığı sıklığı seçin. Kullanılabilir seçenekler günlük, haftalık ve aylıktır.

    Log Analytics için Veri bağlantısı ekle ekranını gösteren ekran görüntüsü.

Azure Veri Gezgini

  • Ad: Bu veri bağlantısı için bir ad girin.

  • Küme adı: Defender EASM verilerini dışarı aktarmak istediğiniz Azure Veri Gezgini kümesinin adını girin.

  • Bölge: Azure Veri Gezgini kümesinin bölgesini girin.

  • Veritabanı adı: İstenen veritabanının adını girin.

  • İçerik: Varlık verilerini tümleştirmek, surface içgörülerine veya her iki veri kümesine saldırmak için öğesini seçin.

  • Sıklık: Defender EASM bağlantısının güncelleştirilmiş verileri seçtiğiniz aracu göndermek için kullandığı sıklığı seçin. Kullanılabilir seçenekler günlük, haftalık ve aylıktır.

    Azure Veri Gezgini için Veri bağlantısı ekle ekranını gösteren ekran görüntüsü.

    Tüm alanlar yapılandırıldıktan sonra ekle'yi seçerek veri bağlantısını oluşturun. Bu noktada, Veri Bağlantıları sayfasında kaynağın başarıyla oluşturulduğunu gösteren bir başlık görüntülenir. 30 dakika içinde veriler doldurulmaya başlar. Bağlantılar oluşturulduktan sonra, ana Veri Bağlantıları sayfasındaki geçerli aracın altında listelenir.

Veri bağlantısını düzenleme veya silme

Veri bağlantısını düzenleyebilir veya silebilirsiniz. Örneğin, bağlantının Bağlantısı Kesildi olarak listelendiğini fark edebilirsiniz. Bu durumda, sorunu düzeltmek için yapılandırma ayrıntılarını yeniden eklemeniz gerekir.

Veri bağlantısını düzenlemek veya silmek için:

  1. Ana Veri Bağlantıları sayfasındaki listeden uygun bağlantıyı seçin.

    Bağlantısı kesilmiş veri bağlantılarını gösteren ekran görüntüsü.

  2. Bağlantı hakkında daha fazla veri sağlayan bir sayfa açılır. Bağlantıyı oluştururken seçtiğiniz yapılandırmaları ve hata iletilerini görüntüler. Ayrıca aşağıdaki verileri görürsünüz:

    • Yinelenme tarihi: Defender EASM'nin güncelleştirilmiş verileri bağlı aracına gönderdiği haftanın veya ayın günü.

    • Oluşturuldu: Veri bağlantısının oluşturulduğu tarih ve saat.

    • Güncelleştirildi: Veri bağlantısının son güncelleştirilme tarihi ve saati.

      Test bağlantılarını gösteren ekran görüntüsü.

  3. Bu sayfadan veri bağlantınızı yeniden bağlayabilir, düzenleyebilir veya silebilirsiniz.

    • Yeniden Bağlan: Yapılandırmada herhangi bir değişiklik yapmadan veri bağlantısını doğrulamayı dener. Bu seçenek, veri bağlantısı için kullanılan kimlik doğrulama kimlik bilgilerini doğruladıysanız en iyisidir.
    • Düzenle: Veri bağlantısının yapılandırmasını değiştirmenize olanak tanır.
    • Sil: Veri bağlantısını siler.