İngilizce dilinde oku

Aracılığıyla paylaş


Bulut uygulaması risklerini ve şüpheli etkinlikleri araştırma

Microsoft Defender for Cloud Apps bulut ortamınızda çalıştıktan sonra öğrenme ve araştırma aşamasına ihtiyacınız olacaktır. Bulut ortamınızda neler olduğunu daha iyi anlamak için Microsoft Defender for Cloud Apps araçlarını kullanmayı öğrenin. Belirli ortamınıza ve nasıl kullanıldığına bağlı olarak, kuruluşunuzu riskten korumaya yönelik gereksinimleri belirleyebilirsiniz. Bu makalede, bulut ortamınızı daha iyi anlamak için nasıl araştırma yapabileceğiniz açıklanır.

Uygulamaları tasdikli veya tasdiksiz olarak etiketleme

Bulutunuzu anlamanın önemli bir adımı, uygulamaları tasdikli veya tasdiksiz olarak etiketlemektir. Bir uygulamayı tasdik ettikten sonra tasdik edilmemiş uygulamaları filtreleyebilir ve aynı türdeki tasdikli uygulamalara geçişe başlayabilirsiniz.

  • Microsoft Defender Portalı'ndaki Cloud Apps'in altında Bulut uygulaması kataloğuna veya Bulut bulma - >Bulunan uygulamalar'a gidin.

  • Uygulama listesinde, tasdikli olarak etiketlemek istediğiniz uygulamanın görüntülendiği satırda, Etiket satırının sonundaki üç noktayı tasdikli noktalar olarak seçin. ve Tasdikli'yi seçin.

    Tasdikli olarak etiketleyin.

Araştırma araçlarını kullanma

  1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında Etkinlik günlüğüne gidin ve belirli bir uygulamaya göre filtreleyin. Aşağıdaki öğeleri denetleyin:

    • Bulut ortamınıza kim erişiyor?

    • Hangi IP aralıklarından?

    • Yönetici etkinliği nedir?

    • Yöneticiler hangi konumlardan bağlanıyor?

    • Bulut ortamınıza bağlanan eski cihazlar var mı?

    • Başarısız oturum açma işlemleri beklenen IP adreslerinden mi geliyor?

  2. Microsoft Defender Portalı'ndaki Cloud Apps'in altında Dosyalar'a gidin ve aşağıdaki öğeleri denetleyin:

    • Herkesin bağlantı olmadan erişebilmesi için herkese açık olarak kaç dosya paylaşılır?

    • Dosyaları hangi iş ortaklarıyla paylaşacaksınız (giden paylaşım)?

    • Herhangi bir dosyanın hassas adı var mı?

    • Birinin kişisel hesabıyla paylaşılan dosyalardan herhangi biri var mı?

  3. Microsoft Defender Portalı'nda Kimlikler'e gidin ve aşağıdaki öğeleri denetleyin:

    • Belirli bir hizmette uzun süredir etkin olmayan hesaplar var mı? Bu kullanıcının bu hizmete yönelik lisansını iptal edebilirsiniz.

    • Hangi kullanıcıların belirli bir rolü olduğunu bilmek istiyor musunuz?

    • Biri işten çıkarıldı ama hala bir uygulamaya erişimi var ve bu erişimi kullanarak bilgileri çalabiliyor mu?

    • Bir kullanıcının belirli bir uygulama üzerindeki iznini iptal etmek mi yoksa belirli bir kullanıcının çok faktörlü kimlik doğrulamasını kullanmasını mı istiyorsunuz?

    • Kullanıcının hesap satırının sonundaki üç noktayı seçip bir eylem seçerek kullanıcının hesabında detaya gidebilirsiniz. Kullanıcıyı askıya al veya Kullanıcının işbirliğini kaldır gibi bir eylem gerçekleştirin. Kullanıcı Microsoft Entra ID'dan içeri aktarıldıysa, gelişmiş kullanıcı yönetimi özelliklerine kolay erişim elde etmek için Microsoft Entra hesap ayarlarını da seçebilirsiniz. Yönetim özelliklerine örnek olarak grup yönetimi, MFA, kullanıcının oturum açma işlemleriyle ilgili ayrıntılar ve oturum açmayı engelleme özelliği verilebilir.

  4. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin. Bağlı Uygulamalar'ın altında Uygulama bağlayıcıları'nı ve ardından bir uygulama seçin. Uygulama panosu açılır ve size bilgi ve içgörüler sağlar. Aşağıdakileri denetlemek için üstteki sekmeleri kullanabilirsiniz:

    • Kullanıcılarınız uygulamaya bağlanmak için ne tür cihazlar kullanıyor?

    • Bulutta hangi tür dosyaları kaydediyorlar?

    • Uygulamada şu anda hangi etkinlik gerçekleşiyor?

    • Ortamınıza bağlı üçüncü taraf uygulamaları var mı?

    • Bu uygulamaları biliyor musunuz?

    • İzin verilen erişim düzeyi için yetkilendirildiler mi?

    • Kaç kullanıcı dağıttı? Bu uygulamalar genel olarak ne kadar yaygın?

    Uygulama panosu.

  5. Microsoft Defender Portalı'ndaki Cloud Apps'in altında Cloud Discovery'ye gidin. Pano sekmesini seçin ve aşağıdaki öğeleri denetleyin:

    • Hangi bulut uygulamaları, ne ölçüde ve hangi kullanıcılar tarafından kullanılıyor?

    • Hangi amaçlarla kullanılıyorlar?

    • Bu bulut uygulamalarına ne kadar veri yükleniyor?

    • Hangi kategorilerde tasdikli bulut uygulamalarınız var ve kullanıcılar alternatif çözümler kullanıyor?

    • Alternatif çözümler için kuruluşunuzdaki tüm bulut uygulamalarının tasdikini kaldırmayı istiyor musunuz?

    • Kullanılan ancak kuruluşunuzun ilkesiyle uyumlu olmayan bulut uygulamaları var mı?

Örnek araştırma

Riskli IP adresleriyle bulut ortamınıza erişiminiz olmadığını varsayalım. Örnek olarak, Tor diyelim. Ancak, yalnızca emin olmak için risk IP'leri için bir ilke oluşturursunuz:

  1. Microsoft Defender Portalı'ndaki Cloud Apps'in altında İlkeler ->İlke şablonları'na gidin.

  2. Tür için Etkinlik ilkesini seçin.

  3. Riskli bir IP adresi satırından Oturum Açma'nın sonunda, yeni bir ilke oluşturmak için artı işaretini (+) seçin.

  4. İlke adını, tanımlayabilmeniz için değiştirin.

  5. Aşağıdakilerin tümüyle eşleşen etkinlikler'in altında bir filtre eklemeyi seçin+. Ekranı aşağı kaydırarak IP etiketine gelin ve Tor'u seçin.

    Riskli IP'ler için örnek ilke.

artık ilkeyi oluşturduğunuza göre, ilkenin ihlal edildiğine ilişkin bir uyarınız olduğunu fark etmiş olursunuz.

  1. Microsoft Defender Portalı'nda Olaylar & uyarılar ->Uyarılar'a gidin ve ilke ihlaliyle ilgili uyarıyı görüntüleyin.

  2. Bunun gerçek bir ihlal gibi göründüğünü görürseniz, riski içermek veya düzeltmek istersiniz.

    Risk içermesi için, kullanıcıya ihlalin kasıtlı olup olmadığını ve kullanıcının farkında olup olmadığını soran bir bildirim gönderebilirsiniz.

    Ayrıca uyarının detayına gidebilir ve yapılması gerekenleri bulana kadar kullanıcıyı askıya alabilirsiniz.

  3. Yineleme olasılığı olmayan izin verilen bir olaysa uyarıyı kapatabilirsiniz.

    İzin veriliyorsa ve yinelemesini bekliyorsanız, gelecekte bu tür bir olayın ihlal olarak kabul edilmemesi için ilkeyi değiştirebilirsiniz.

Sonraki adımlar

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın...