Bulut uygulaması risklerini ve şüpheli etkinlikleri araştırma
Bulut için Microsoft Defender Uygulamaları bulut ortamınızda çalıştırdıktan sonra öğrenme ve araştırma aşamasına ihtiyacınız olacaktır. Bulut ortamınızda neler olduğunu daha iyi anlamak için Bulut için Microsoft Defender Uygulamaları araçlarını kullanmayı öğrenin. Belirli ortamınıza ve nasıl kullanıldığına bağlı olarak, kuruluşunuzu riskten korumaya yönelik gereksinimleri belirleyebilirsiniz. Bu makalede, bulut ortamınızı daha iyi anlamak için nasıl araştırma yapabileceğiniz açıklanır.
Uygulamaları tasdikli veya tasdiksiz olarak etiketleme
Uygulamaları tasdikli veya tasdiksiz olarak etiketlemek, bulutunuzu anlamanın önemli bir adımıdır. Uygulamayı tasdik ettikten sonra, tasdik edilmemiş uygulamalar için filtre uygulayabilir ve aynı türdeki tasdikli uygulamalara geçiş başlatabilirsiniz.
Microsoft Defender Portalı'nda, Cloud Apps'in altında Bulut uygulaması kataloğuna veya Bulut bulma - >Bulunan uygulamalar'a gidin.
Uygulama listesinde, tasdikli olarak etiketlemek istediğiniz uygulamanın görüntülendiği satırda, satırın
sonundaki üç noktayı seçin ve Tasdikli'yi seçin.
Araştırma araçlarını kullanma
Microsoft Defender Portalı'nda, Cloud Apps'in altında Etkinlik günlüğüne gidin ve belirli bir uygulamaya göre filtreleyin. Aşağıdaki öğeleri denetleyin:
Bulut ortamınıza kimler erişiyor?
Hangi IP aralıklarından erişiyor?
Yönetici etkinliği nedir?
Yöneticiler hangi konumlardan bağlanıyor?
Bulut ortamınıza bağlanan güncel olmayan cihazlar var mı?
Başarısız oturum açma girişimleri beklenen IP adreslerinden mi geliyor?
Microsoft Defender Portalı'nda, Cloud Apps'in altında Dosyalar'a gidin ve aşağıdaki öğeleri denetleyin:
Herkese açık şekilde paylaşılan ve herkesin bir bağlantı olmadan erişebileceği kaç dosya var?
Dosyaları hangi iş ortaklarıyla paylaşıyorsunuz (giden paylaşım)?
Dosyalardan herhangi birinin hassas adı var mı?
Dosyalardan herhangi biri, birisinin kişisel hesabıyla paylaşılıyor mu?
Microsoft Defender Portalı'nda Kimlikler'e gidin ve aşağıdaki öğeleri denetleyin:
Belirli bir hizmet içinde uzun zamandır etkin olmayan bir hesap var mı? Bu kullanıcının bu hizmete yönelik lisansını iptal edebilirsiniz.
Hangi kullanıcıların belirli bir rolü üstlendiğini bilmek istiyor musunuz?
İşten çıkarılan biri hala bir uygulamaya erişebiliyor mu ve bu erişimi kullanarak bilgi çalabilir mi?
Bir kullanıcının belirli bir uygulama üzerindeki iznini iptal etmek mi yoksa belirli bir kullanıcının çok faktörlü kimlik doğrulamasını kullanmasını mı istiyorsunuz?
Kullanıcının hesap satırının sonundaki üç noktayı seçip bir eylem seçerek kullanıcının hesabında detaya gidebilirsiniz. Kullanıcıyı askıya al veya Kullanıcının işbirliğini kaldır gibi bir eylem gerçekleştirin. Kullanıcı Microsoft Entra Id'den içeri aktarıldıysa, gelişmiş kullanıcı yönetimi özelliklerine kolay erişim elde etmek için Microsoft Entra hesap ayarlarını da seçebilirsiniz. Yönetim özelliklerine örnek olarak grup yönetimi, MFA, kullanıcının oturum açma işlemleriyle ilgili ayrıntılar ve oturum açmayı engelleme özelliği verilebilir.
Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin. Bağlan Uygulamalar'ın altında Uygulama bağlayıcısı'ler'i ve ardından bir uygulama seçin. Uygulama panosu açılır, size bilgiler ve öngörüler sağlar. Aşağıdakileri denetlemek için üstteki sekmeleri kullanabilirsiniz:
Kullanıcılarınız uygulamaya bağlanmak için ne tür cihazlar kullanıyor?
Buluta ne tür dosyalar kaydediyorlar?
Şu anda uygulamada hangi etkinlik gerçekleştiriliyor?
Ortamınıza bağlı üçüncü taraf uygulamalar var mı?
Bu uygulamaları tanıyor musunuz?
İzin verilen erişim düzeyi için yetkileri var mı?
Bunları kaç kullanıcı dağıttı? Bu uygulamalar genel olarak ne kadar yaygın?
Microsoft Defender Portalı'nda, Cloud Apps'in altında Cloud Discovery'ye gidin. Pano sekmesini seçin ve aşağıdaki öğeleri denetleyin:
Hangi bulut uygulamaları, ne ölçüde ve hangi kullanıcılar tarafından kullanılıyor?
Bunlar hangi amaçla kullanılıyor?
Bu bulut uygulamalarına ne miktarda veri yükleniyor?
Hangi kategorilerde tasdikli bulut uygulamalarınız olduğu halde kullanıcılar alternatif çözümleri kullanıyor?
Alternatif çözümler için kuruluşunuzdaki herhangi bir bulut uygulamasının tasdikini geri almak istiyor musunuz?
Kuruluşunuzun ilkesiyle uyumlu olmayan ancak kullanılan bulut uygulamaları var mı?
Örnek araştırma
Bulut ortamınıza riskli IP adresleriyle erişiminiz olmadığını varsayalım. Örnek olarak Tor diyelim. Ama yalnızca emin olmak adına riskli IP’ler için bir ilke oluşturuyorsunuz:
Microsoft Defender Portalı'nda, Cloud Apps'in altında İlkeler ->İlke şablonları'na gidin.
Tür için Etkinlik ilkesini seçin.
Riskli bir IP adresi satırından Oturum Açma'nın sonunda, yeni bir ilke oluşturmak için artı işaretini (+) seçin.
İlke adını, tanımlayabilmeniz için değiştirin.
Aşağıdakilerin tümüyle eşleşen etkinlikler'in altında bir filtre eklemeyi seçin+. Ekranı aşağı kaydırarak IP etiketine gelin ve Tor'u seçin.
artık ilkeyi oluşturduğunuza göre, ilkenin ihlal edildiğine dair bir uyarınız olduğunu fark etmiş olursunuz.
Microsoft Defender Portalı'nda Olaylar ve uyarılar -Uyarılar'a > gidin ve ilke ihlaliyle ilgili uyarıyı görüntüleyin.
Bunun gerçek bir ihlal gibi göründüğünü görürseniz, riski içermek veya düzeltmek istersiniz.
Riski denetim altına almak için, kullanıcıya ihlalin bilerek yapılıp yapılmadığını, kullanıcının bu durumdan haberdar olup olmadığını soran bir bildirim gönderebilirsiniz.
Ayrıca uyarıda detaya gidebilir ve ne yapılması gerektiğini anlayana kadar kullanıcıyı askıya alabilirsiniz.
Bu izin verilen ve yinelenme olasılığı düşük bir olaysa, uyarıyı kapatabilirsiniz.
Bu olaya izin veriliyorsa ve yinelenmesini bekliyorsanız, bu tür olayların gelecekte ihlal olarak değerlendirilmemesi için ilkeyi değiştirebilirsiniz.
Sonraki adımlar
Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın...