Aracılığıyla paylaş

Cloud Apps için Microsoft Defender'ı deneme ve dağıtma

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Bu makalede, kuruluşunuzda Cloud Apps için Microsoft Defender'ı pilot uygulama ve dağıtmaya yönelik bir iş akışı sağlanır. Cloud Apps için Microsoft Defender'ı bireysel bir siber güvenlik aracı olarak veya Microsoft Defender XDR ile uçtan uca bir çözümün parçası olarak eklemek için bu önerileri kullanabilirsiniz.

Bu makalede üretim microsoft 365 kiracınız olduğu ve bu ortamda Cloud Apps için Microsoft Defender'ı pilot olarak kullandığınız ve dağıttığınız varsayılır. Bu uygulama, tam dağıtımınız için pilot çalışmanız sırasında yapılandırdığınız tüm ayarları ve özelleştirmeleri korur.

Office 365 için Defender, bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olarak Sıfır Güven mimarisine katkıda bulunur. Daha fazla bilgi için Microsoft Sıfır Güven benimseme çerçevesindeki İhlal iş senaryolarından kaynaklanan iş zararlarını önleme veya azaltma konusuna bakın.

Microsoft Defender XDR için uçtan uca dağıtım

Bu, olayları araştırmak ve yanıtlamak da dahil olmak üzere Microsoft Defender XDR bileşenlerini dağıtmanıza yardımcı olmak için serideki 6.makalenin 5'idir.

Pilot ve Microsoft Defender XDR işleminde Bulut Uygulamaları için Microsoft Defender'ı gösteren diyagram.

Bu serideki makaleler:

Aşama Bağlantı
C. Pilotu başlatın Pilotu başlatın
B. Microsoft Defender XDR bileşenlerini deneme ve dağıtma - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın

- Office 365 için Defender'ı deneme ve dağıtma

- Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma

- Cloud Apps için Microsoft Defender'ı pilot olarak kullanma ve dağıtma (bu makale)
C. Tehditleri araştırın ve karşı yanıt verin Olay araştırma ve yanıt uygulama

Cloud Apps için Defender için iş akışı pilotu ve dağıtımı

Aşağıdaki diyagramda, bt ortamında ürün veya hizmet dağıtmaya yönelik yaygın bir işlem gösterilmektedir.

Pilot, değerlendirme ve tam dağıtım benimseme aşamalarının diyagramı.

İlk olarak ürünü veya hizmeti ve kuruluşunuzda nasıl çalışacağını değerlendirebilirsiniz. Ardından test, öğrenme ve özelleştirme için üretim altyapınızın uygun küçük bir alt kümesiyle ürünü veya hizmeti pilot olarak kullanırsınız. Ardından, altyapınızın veya kuruluşunuzun tamamı kapsanana kadar dağıtımın kapsamını aşamalı olarak artırın.

Üretim ortamınızda Cloud Apps için Defender'ı pilot uygulama ve dağıtmaya yönelik iş akışı aşağıdadır.

Cloud Apps için Microsoft Defender'a yönelik pilot ve dağıtım iş akışını gösteren diyagram.

Şu adımları izleyin:

  1. Cloud Apps için Defender portalına bağlanma
  2. Uç Nokta için Microsoft Defender ile tümleştirme
  3. Günlük toplayıcısını güvenlik duvarlarınıza ve diğer proxy'lerinize dağıtma
  4. Pilot grup oluşturma
  5. Bulut uygulamalarını keşfetme ve yönetme
  6. Koşullu Erişim Uygulama Denetimini Yapılandırma
  7. Oturum ilkelerini bulut uygulamalarına uygulama
  8. Ek özellikleri deneyin

Her dağıtım aşaması için önerilen adımlar aşağıdadır.

Dağıtım aşaması Açıklama
Değerlendirmek Cloud Apps için Defender için ürün değerlendirmesi gerçekleştirin.
Pilot Üretim ortamınızdaki bulut uygulamalarının uygun bir alt kümesi için 1-4 ve ardından 5-8 arası adımları gerçekleştirin.
Tam dağıtım Kalan bulut uygulamalarınız için 5-8 arası adımları gerçekleştirin, pilot kullanıcı grupları için kapsam belirlemeyi ayarlayın veya pilotun ötesine geçmek ve tüm kullanıcı hesaplarınızı dahil etmek için kullanıcı grupları ekleyin.

Kuruluşunuzu korsanlardan koruma

Cloud Apps için Defender kendi başına güçlü koruma sağlar. Ancak, Microsoft Defender XDR'nin diğer özellikleriyle bir araya geldiğinde, Cloud Apps için Defender paylaşılan sinyallere veri sağlar ve bu da saldırıların durdurulmasını sağlar.

Burada bir siber saldırı örneği ve Microsoft Defender XDR bileşenlerinin bunu algılamaya ve azaltmaya nasıl yardımcı olduğu açıklanmıştır.

Microsoft Defender XDR'nin bir tehdit zincirini nasıl durdurduğunu gösteren diyagram.

Cloud Apps için Defender, imkansız seyahat, kimlik bilgisi erişimi ve olağan dışı indirme, dosya paylaşımı veya posta iletme etkinliği gibi anormal davranışları algılar ve bu davranışları Bulut Uygulamaları için Defender portalında görüntüler. Cloud Apps için Defender ayrıca korsanların yanal hareketini önlemeye ve hassas verilerin sızmasını önlemeye yardımcı olur.

Microsoft Defender XDR, tüm Microsoft Defender bileşenlerinden gelen sinyalleri ilişkilendirerek tam saldırı hikayesi sağlar.

CASB olarak Cloud Apps için Defender rolü

Bulut erişim güvenlik aracısı (CASB), kullanıcılarınızın bulunduğu her yerde ve kullandıkları cihazdan bağımsız olarak, kurumsal kullanıcılarınız ve kullandıkları bulut kaynakları arasında gerçek zamanlı olarak erişim aracılık yapmak için bir ağ geçidi denetleyicisi görevi görür. Bulut Uygulamaları için Defender, kuruluşunuzun bulut uygulamaları için bir CASB'dir. Cloud Apps için Defender, Microsoft Defender XDR dahil olmak üzere Microsoft güvenlik özellikleriyle yerel olarak tümleştirilir.

Cloud Apps için Defender olmadan, kuruluşunuz tarafından kullanılan bulut uygulamaları yönetilmeyen ve korumasızdır.

Kuruluşunuz tarafından yönetilmeyen ve korunmayan bulut uygulamalarını gösteren diyagram.

Çizimde:

  • Bulut uygulamalarının bir kuruluş tarafından kullanımı izlenmez ve korumasızdır.
  • Bu kullanım, yönetilen bir kuruluşta elde edilen korumaların dışında kalır.

Ortamınızda kullanılan bulut uygulamalarını bulmak için aşağıdaki yöntemlerden birini veya ikisini birden uygulayabilirsiniz:

  • Uç Nokta için Microsoft Defender ile tümleştirerek Cloud Discovery ile hızla çalışmaya başlayın. Bu yerel tümleştirme, Ağınızdaki ve ağınızdaki Windows 10 ve Windows 11 cihazlarınızda bulut trafiğiyle ilgili verileri hemen toplamaya başlamanızı sağlar.
  • Ağınıza bağlı tüm cihazlar tarafından erişilen tüm bulut uygulamalarını bulmak için Güvenlik duvarlarınızda ve diğer proxy'lerde Bulut Uygulamaları için Defender günlük toplayıcısını dağıtın. Bu dağıtım uç noktalarınızdan veri toplamaya yardımcı olur ve analiz için Bulut Uygulamaları için Defender'a gönderir. Cloud Apps için Defender, daha da fazla özellik için bazı üçüncü taraf proxy'lerle yerel olarak tümleşir.

Bu makale her iki yöntem için de rehberlik içerir.

Adım 1. Cloud Apps için Defender portalına bağlanma

Lisanslama işlemini doğrulamak ve Cloud Apps için Defender portalına bağlanmak için bkz . Hızlı Başlangıç: Cloud Apps için Microsoft Defender'ı kullanmaya başlama.

Portala hemen bağlanamıyorsanız IP adresini güvenlik duvarınızın izin verenler listesine eklemeniz gerekebilir. Bkz. Cloud Apps için Defender için temel kurulum.

Sorun yaşamaya devam ediyorsanız Ağ gereksinimleri'ne bakın.

2. Adım: Uç Nokta için Microsoft Defender ile tümleştirme

Cloud Apps için Microsoft Defender, Uç Nokta için Microsoft Defender ile yerel olarak tümleşir. Tümleştirme Cloud Discovery'nin kullanıma alınmasını kolaylaştırır, Cloud Discovery özelliklerini kurumsal ağınızın ötesine genişletir ve cihaz tabanlı araştırmayı etkinleştirir. Bu tümleştirme, BT tarafından yönetilen Windows 10 ve Windows 11 cihazlarından erişilen bulut uygulamalarını ve hizmetlerini gösterir.

Uç Nokta için Microsoft Defender'ı zaten ayarladıysanız, Cloud Apps için Defender ile tümleştirmeyi yapılandırmak, Microsoft Defender XDR'de bir geçiş düğmesidir. Tümleştirme açıldıktan sonra Cloud Apps için Defender portalına dönebilir ve Cloud Discovery Panosu'nda zengin verileri görüntüleyebilirsiniz.

Bu görevleri gerçekleştirmek için bkz. Cloud Apps için Microsoft Defender ile Uç Nokta için Microsoft Defender tümleştirmesi.

3. Adım: Bulut Uygulamaları için Defender günlük toplayıcısını güvenlik duvarlarınızda ve diğer proxy'lerde dağıtma

Ağınıza bağlı tüm cihazların kapsamı için, uç noktalarınızdan veri toplamak ve analiz için Cloud Apps için Defender'a göndermek üzere güvenlik duvarlarınızda ve diğer proxy'lerde Cloud Apps için Defender günlük toplayıcısını dağıtın.

Aşağıdaki Güvenli Web Ağ Geçitlerinden (SWG) birini kullanıyorsanız, Bulut Uygulamaları için Defender sorunsuz dağıtım ve tümleştirme sağlar:

  • Zscaler
  • iboss
  • Corrata
  • Menlo Güvenliği

Bu ağ cihazlarıyla tümleştirme hakkında daha fazla bilgi için bkz. Cloud Discovery'yi ayarlama.

Adım 4. Pilot grup oluşturma — Pilot dağıtımınızın kapsamını belirli kullanıcı gruplarına göre belirleyin

Cloud Apps için Microsoft Defender, dağıtımınızın kapsamını oluşturmanızı sağlar. Kapsam belirleme, uygulamalar için izlenecek veya izlemenin dışında tutulacak belirli kullanıcı gruplarını seçmenize olanak tanır. Kullanıcı gruplarını dahil edebilir veya dışlayabilirsiniz. Pilot dağıtımınızın kapsamını bulmak için bkz . Kapsamlı Dağıtım.

Adım 5. Bulut uygulamalarını keşfetme ve yönetme

Cloud Apps için Defender'ın maksimum koruma miktarını sağlaması için kuruluşunuzdaki tüm bulut uygulamalarını keşfetmeniz ve bunların nasıl kullanıldığını yönetmeniz gerekir.

Bulut uygulamalarını keşfedin

Bulut uygulamalarının kullanımını yönetmenin ilk adımı, kuruluşunuz tarafından hangi bulut uygulamalarının kullanıldığını keşfetmektir. Bu sonraki diyagramda bulut bulmanın Bulut Uygulamaları için Defender ile nasıl çalıştığı gösterilmektedir.

Bulut bulma ile Cloud Apps için Microsoft Defender mimarisini gösteren diyagram.

Bu çizimde, ağ trafiğini izlemek ve kuruluşunuz tarafından kullanılan bulut uygulamalarını keşfetmek için kullanılabilecek iki yöntem vardır.

  1. Cloud App Discovery, Uç Nokta için Microsoft Defender ile yerel olarak tümleşir. Uç Nokta için Defender, BT tarafından yönetilen Windows 10 ve Windows 11 cihazlarından erişilen bulut uygulamalarını ve hizmetlerini bildirir.

  2. Ağa bağlı tüm cihazlarda kapsama için, uç noktalardan veri toplamak üzere güvenlik duvarlarına ve diğer proxy'lere Cloud Apps için Defender günlük toplayıcısını yüklersiniz. Toplayıcı bu verileri analiz için Cloud Apps için Defender'a gönderir.

Kuruluşunuzda hangi uygulamaların kullanıldığını görmek için Cloud Discovery panosunu görüntüleyin

Cloud Discovery panosu, bulut uygulamalarının kuruluşunuzda nasıl kullanıldığı hakkında daha fazla içgörü sağlamak üzere tasarlanmıştır. Ne tür uygulamaların kullanıldığına, açık uyarılarınıza ve kuruluşunuzdaki uygulamaların risk düzeylerine bir bakışta genel bakış sağlar.

Cloud Discovery panosunu kullanmaya başlamak için bkz. Bulunan uygulamalarla çalışma.

Bulut uygulamalarını yönetme

Bulut uygulamalarını keşfettikten ve bu uygulamaların kuruluşunuz tarafından nasıl kullanıldığını analiz ettikten sonra, seçtiğiniz bulut uygulamalarını yönetmeye başlayabilirsiniz.

Bulut uygulamalarını yönetmeye yönelik Cloud Apps için Microsoft Defender mimarisini gösteren diyagram.

Bu çizimde:

  • Bazı uygulamalar kullanım için tasdik edilir. Tasdik, uygulamaları yönetmeye başlamanın basit bir yoludur.
  • Uygulamaları uygulama bağlayıcılarına bağlayarak daha fazla görünürlük ve denetim sağlayabilirsiniz. Uygulama bağlayıcıları, uygulama sağlayıcılarının API'lerini kullanır.

Uygulamaları tasdik ederek, tasdik ederek, tasdik etmeyerek veya uygulamaları doğru bir şekilde engelleyerek yönetmeye başlayabilirsiniz. Uygulamaları yönetmeye başlamak için bkz. Bulunan uygulamaları yönetme.

6. Adım. Koşullu Erişim Uygulama Denetimini Yapılandırma

Yapılandırabileceğiniz en güçlü korumalardan biri Koşullu Erişim Uygulama Denetimi'dir. Bu koruma, Microsoft Entra Id ile tümleştirme gerektirir. Tasdiklediğiniz bulut uygulamalarına ilgili ilkeler (sağlıklı cihazlar gerektirme gibi) dahil olmak üzere Koşullu Erişim ilkeleri uygulamanıza olanak tanır.

Çok faktörlü kimlik doğrulamasını ve diğer koşullu erişim ilkelerini zorunlu kılmak için Microsoft Entra kiracınıza SaaS uygulamaları eklenmiş olabilir. Cloud Apps için Microsoft Defender, Microsoft Entra Id ile yerel olarak tümleşir. Tek yapmanız gereken, Cloud Apps için Defender'da Koşullu Erişim Uygulama Denetimi'ni kullanmak için Microsoft Entra Id'de bir ilke yapılandırmaktır. Bu, bu yönetilen SaaS uygulamaları için ağ trafiğini, Bulut Uygulamaları için Defender'ın bu trafiği izlemesine ve oturum denetimlerini uygulamasına olanak tanıyan bir proxy olarak Cloud Apps için Defender aracılığıyla yönlendirir.

Yeniden çalışma şekli

SaaS uygulamalarıyla Bulut Uygulamaları için Microsoft Defender mimarisini gösteren diyagram.

Bu çizimde:

  • SaaS uygulamaları Microsoft Entra kiracısıyla tümleşiktir. Bu tümleştirme, Microsoft Entra Id'nin çok faktörlü kimlik doğrulaması da dahil olmak üzere koşullu erişim ilkelerini zorunlu kılmasını sağlar.
  • SaaS uygulamalarının trafiğini Cloud Apps için Defender'a yönlendirmek için Microsoft Entra ID'ye bir ilke eklenir. İlke, bu ilkenin uygulanacağı SaaS uygulamalarını belirtir. Microsoft Entra Id, bu SaaS uygulamaları için geçerli olan tüm koşullu erişim ilkelerini zorunlu kıldıktan sonra, Microsoft Entra ID oturum trafiğini Cloud Apps için Defender üzerinden yönlendirir (proxy'ler).
  • Cloud Apps için Defender bu trafiği izler ve yöneticiler tarafından yapılandırılan tüm oturum denetimi ilkelerini uygular.

Microsoft Entra Id'ye eklenmemiş bulut uygulamaları için Defender'ı kullanarak bulut uygulamalarını keşfetmiş ve tasdik etmiş olabilirsiniz. Bu bulut uygulamalarını Microsoft Entra kiracınıza ve koşullu erişim kurallarınızın kapsamını ekleyerek Koşullu Erişim Uygulama Denetimi'nden yararlanabilirsiniz.

SaaS uygulamalarını yönetmek için Cloud Apps için Microsoft Defender'ı kullanmanın ilk adımı, bu uygulamaları keşfetmek ve ardından bunları Microsoft Entra kiracınıza eklemektir. Bulma konusunda yardıma ihtiyacınız varsa bkz. Ağınızdaki SaaS uygulamalarını bulma ve yönetme. Uygulamaları keşfettikten sonra bu uygulamaları Microsoft Entra kiracınıza ekleyin.

Bu uygulamaları aşağıdaki görevlerle yönetmeye başlayabilirsiniz:

  1. Microsoft Entra Id'de yeni bir koşullu erişim ilkesi oluşturun ve bunu "Koşullu Erişim Uygulama Denetimini Kullan" olarak yapılandırın. Bu yapılandırma, isteğin Cloud Apps için Defender'a yeniden yönlendirilmesini sağlar. Bir ilke oluşturabilir ve tüm SaaS uygulamalarını bu ilkeye ekleyebilirsiniz.
  2. Ardından, Cloud Apps için Defender'da oturum ilkeleri oluşturun. Uygulamak istediğiniz her denetim için bir ilke oluşturun.

Desteklenen uygulamalar ve istemciler de dahil olmak üzere daha fazla bilgi için bkz. Cloud Apps için Microsoft Defender Koşullu Erişim Uygulama Denetimi ile uygulamaları koruma.

Örnek ilkeler için bkz. SaaS uygulamaları için Bulut Uygulamaları için Önerilen Microsoft Defender ilkeleri. Bu ilkeler, tüm müşteriler için başlangıç noktası olarak önerilen bir dizi ortak kimlik ve cihaz erişim ilkesi üzerinde oluşturulur.

7. Adım. Oturum ilkelerini bulut uygulamalarına uygulama

Cloud Apps için Microsoft Defender, tasdikli bulut uygulamalarına ara sunucu erişimi sağlayan bir ters proxy görevi görür. Bu sağlama, Cloud Apps için Defender'ın yapılandırdığınız oturum ilkelerini uygulamasına olanak tanır.

Ara sunucu erişim oturumu denetimine sahip Cloud Apps için Microsoft Defender mimarisini gösteren diyagram.

Çizimde:

  • Kuruluşunuzdaki kullanıcılardan ve cihazlardan tasdikli bulut uygulamalarına erişim, Bulut Uygulamaları için Defender aracılığıyla yönlendirilir.
  • Bu ara sunucu erişimi oturum ilkelerinin uygulanmasına izin verir.
  • Tasdik edilmemiş veya açıkça tasdik edilmemiş bulut uygulamaları etkilenmez.

Oturum ilkeleri, bulut uygulamalarının kuruluşunuz tarafından nasıl kullanıldığına parametreler uygulamanıza olanak sağlar. Örneğin, kuruluşunuz Salesforce kullanıyorsa yalnızca yönetilen cihazların Salesforce'ta kuruluşunuzun verilerine erişmesine izin veren bir oturum ilkesi yapılandırabilirsiniz. Daha basit bir örnek, daha katı ilkeler uygulamadan önce bu trafiğin riskini analiz edebilmeniz için yönetilmeyen cihazlardan gelen trafiği izlemek için bir ilke yapılandırmak olabilir.

Daha fazla bilgi için bkz. Oturum ilkeleri oluşturma.

8. Adım. Ek özellikleri deneyin

Riski keşfetmenize ve ortamınızı korumanıza yardımcı olması için bu Cloud Apps için Defender öğreticilerini kullanın:

Cloud Apps için Microsoft Defender verilerinde gelişmiş avcılık hakkında daha fazla bilgi için bu videoya bakın.

SIEM tümleştirmesi

Bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için Cloud Apps için Defender'ı Microsoft Sentinel veya genel bir güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz. Microsoft Sentinel ile kuruluşunuz genelindeki güvenlik olaylarını daha kapsamlı bir şekilde analiz edebilir ve etkili ve anında yanıt için playbook'lar oluşturabilirsiniz.

SIEM tümleştirmesi ile Cloud Apps için Microsoft Defender mimarisini gösteren diyagram.

Microsoft Sentinel, Cloud Apps için Defender bağlayıcısı içerir. Bu sayede yalnızca bulut uygulamalarınıza görünürlük sağlamakla kalmaz, aynı zamanda siber tehditleri belirleyip bunlarla mücadele etmek ve verilerinizin nasıl ilerlediğini denetlemek için gelişmiş analizler elde edebilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel tümleştirmesi ve Akış uyarıları ve Cloud Apps için Defender'dan Microsoft Sentinel'e Cloud Discovery günlükleri.

Üçüncü taraf SIEM sistemleriyle tümleştirme hakkında bilgi için bkz. Genel SIEM tümleştirmesi.

Sonraki adım

Cloud Apps için Defender için yaşam döngüsü yönetimi gerçekleştirme.

Microsoft Defender XDR'nin uçtan uca dağıtımı için sonraki adım

Microsoft Defender XDR'yi uçtan uca dağıtımınıza Microsoft Defender XDR kullanarak araştırın ve yanıt verin.

Pilot ve Microsoft Defender XDR işleminde olay araştırmasını ve yanıtını gösteren diyagram.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.