Genel Güvenli Erişim tehdit bilgilerini yapılandırma (önizleme)

Tehdit bilgileri, mevcut tehditlerle ilgili gerçek zamanlı verilere dayanarak kullanıcılarınızı İnternet'te kötü amaçlı hedeflere erişmeye karşı korumanıza yardımcı olur.

Kullanıcıların yüksek önem derecesinde bilinen kötü amaçlı İnternet hedeflerini engellemesi için bir tehdit bilgileri ilkesi yapılandırabilirsiniz. Bu ilkede, Microsoft Entra Internet Access hem Microsoft hem de üçüncü taraf tehdit bilgileri sağlayıcılarının etki alanı ve URL göstergelerine göre trafiği engeller. Tehdit bilgileri kuralı altyapısıyla, hatalı pozitif sonuçları işlemek için izin verme listelerini de yapılandırabilirsiniz. Bu ilkelerin tümü, Genel Güvenli Erişim (GSA) güvenlik ilkelerini Koşullu Erişim'e bağlayarak Güvenlik Profili çerçevesiyle bağlama duyarlı hale gelebilir.

Önkoşullar

• Genel Güvenli Erişim özellikleriyle etkileşim kuran yöneticilerin, gerçekleştirdikleri görevlere bağlı olarak aşağıdaki rol atamalarından birine veya daha fazlasına sahip olması gerekir.
  • Genel Güvenli Erişim özelliklerini yönetmek için Genel Güvenli Erişim Yöneticisi rolü.
  • Koşullu Erişim ilkeleri oluşturmak ve bunlarla etkileşim kurmak için Koşullu Erişim Yöneticisi.
• Genel Güvenli Erişim'i kullanmaya başlama kılavuzunu tamamlayın.
• Son kullanıcı cihazlarına Genel Güvenli Erişim istemcisini yükleyin .
• Ağ trafiğine tünel oluşturmak için HTTPS (Güvenli DNS) üzerinden Etki Alanı Adı Sistemi'nin (DNS) devre dışı bırakılması gerekir. Trafik iletme profilindeki tam etki alanı adlarının (FQDN) kurallarını kullanın. Daha fazla bilgi için bkz. DNS istemcisini DoH'yi destekleyecek şekilde yapılandırma.
• Chrome ve Microsoft Edge'de yerleşik DNS istemcisini devre dışı bırakın.
• IPv6 trafiği istemci tarafından alınmaz ve bu nedenle doğrudan ağa aktarılır. Tüm ilgili trafiğin tünele dönüştürülebilmesi için ağ bağdaştırıcısı özelliklerini tercih edilen IPv4 olarak ayarlayın.
• Kullanıcı Veri Birimi Protokolü (UDP) trafiği (yani QUIC), İnternet Erişimi'nin geçerli önizlemesinde desteklenmez. Çoğu web sitesi, QUIC oluşturulamayınca İletim Denetimi Protokolü'ne (TCP) geri dönüşü destekler. Geliştirilmiş bir kullanıcı deneyimi için giden UDP 443'i engelleyen bir Windows Güvenlik Duvarı kuralı dağıtabilirsiniz:

@New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP  -RemotePort 443

• (İsteğe bağlı) URL göstergelerinin HTTPS trafiğine göre değerlendirilmesi için Aktarım Katmanı Güvenliği (TLS) incelemesini yapılandırın .

Üst düzey adımlar

Tehdit bilgilerini yapılandırmanın birkaç adımı vardır. Koşullu Erişim ilkesini nerede yapılandırmanız gerektiğini not edin.

1. İnternet trafiği iletmeyi etkinleştirin.
2. Tehdit bilgileri ilkesi oluşturma.
3. İzin verme listenizi yapılandırın (isteğe bağlı).
4. Bir güvenlik profili oluşturun.
5. Güvenlik profilini koşullu erişim ilkesine bağlayın.

İnternet trafiği iletmeyi etkinleştirme

İlk adım, İnternet Erişimi trafik iletme profilini etkinleştirmektir. Profil ve nasıl etkinleştirileceği hakkında daha fazla bilgi edinmek için bkz. İnternet Erişimi trafik iletme profilini yönetme.

İnternet Erişimi profilinin kapsamını belirli kullanıcılara ve gruplara göre ayarlayabilirsiniz. Kullanıcı ve grup ataması hakkında daha fazla bilgi edinmek için bkz. Trafik iletme profilleriyle kullanıcıları ve grupları atama ve yönetme.

Tehdit bilgileri ilkesi oluşturma

1. Genel Güvenli Erişim>Güvenli>Tehdit Bilgileri İlkeleri'ne göz atın.
2. İlke oluştur'u seçin.
3. İlke için bir ad ve açıklama girin ve İleri'yi seçin.
4. Tehdit bilgileri için varsayılan eylem "İzin Ver"dir. Bu, trafiğin tehdit bilgileri ilkesindeki bir kuralla eşleşmemesi durumunda ilke altyapısının trafiğin bir sonraki güvenlik denetimine gitmesine izin verileceği anlamına gelir.
5. İleri'yi seçin ve Yeni tehdit bilgileri ilkenizi gözden geçirin.
6. Oluştur'u seçin

Önemli

Bu ilke, yüksek önem derecesi tehditlerinin algılandığı hedeflere erişimi engelleyen bir kuralla oluşturulur. Microsoft, yüksek önem derecesine sahip tehditleri etkin kötü amaçlı yazılım dağıtımı, kimlik avı kampanyaları, komut ve denetim (C2) altyapısı ve Microsoft ve üçüncü taraf tehdit bilgileri akışları tarafından yüksek güvenle tanımlanan diğer iş parçacıklarıyla ilişkili etki alanları veya URL'ler olarak tanımlar.

İzin verme listenizi yapılandırma (isteğe bağlı)

İş açısından kritik olabilecek veya hatalı pozitif olarak etiketlenmiş sitelerin farkındaysanız, bu sitelere izin veren kurallar yapılandırabilirsiniz. İnternet tehdit ortamı sürekli değiştiğinden, bu eylemle ilgili güvenlik risklerine dikkat edin.

1. Genel Güvenli Erişim>Güvenli>Tehdit Bilgileri İlkeleri'nin altında, seçtiğiniz tehdit bilgileri ilkesini seçin.
2. Kurallar'ı seçin.
3. Kural ekle'yi seçin.
4. Kural için bir ad, açıklama, öncelik ve durum girin.
5. Hedef FQDN'leri düzenleyin ve izin verme listeniz için etki alanları listesini seçin. Bu FQDN'leri virgülle ayrılmış etki alanları olarak girebilirsiniz.
6. Add (Ekle) seçeneğini belirleyin.

Güvenlik profili oluşturma veya temel profili yapılandırma

Güvenlik profilleri, web içeriği filtreleme ve tehdit bilgileri ilkeleri gibi güvenlik denetimlerinin bir gruplanmasıdır. Microsoft Entra Koşullu Erişim ilkeleriyle güvenlik profilleri atayabilir veya bağlayabilirsiniz. Bir güvenlik profili her türden bir ilke içerebilir.

Bu adımda, web içeriği filtreleme ve/veya tehdit bilgileri gibi filtreleme ilkelerini gruplandırmak için bir güvenlik profili oluşturursunuz. Ardından, güvenlik profillerini kullanıcı veya bağlam bilgisi sağlamak için koşullu erişim ilkesiyle atar veya bağlarsınız.

Tehdit bilgileri kullanıcıların temel güvenlik duruşu için kritik öneme sahip olduğundan, alternatif olarak tehdit bilgileri ilkenizi kiracınızdaki tüm kullanıcıların trafiğine uygulayan temel güvenlik profiline bağlayabilirsiniz.

Uyarı

Tehdit bilgileri ilkesini yalnızca güvenlik profili başına yapılandırabilirsiniz. Her güvenlik denetimindeki kural öncelikleri istisnaları işler ve güvenlik denetimlerinin sıralaması, (1) TLS incelemesi > (2) Web içeriği filtreleme > (3) Tehdit bilgileri > (4) Dosya türü > (5) Veri kaybı önleme > (6) Üçüncü taraf şeklindedir.

1. Genel Güvenli Erişim>> göz atın.
2. Profil oluştur'u seçin.
3. Profil için bir ad ve açıklama girin ve İleri'yi seçin.
4. İlke bağla'ya tıklayın ve ardından Mevcut tehdit bilgileri ilkesi'ni seçin.
5. Önceden oluşturduğunuz tehdit bilgileri ilkesini seçin ve Ekle'yi seçin.
6. Güvenlik profilini ve ilişkili ilkeyi gözden geçirmek için İleri'yi seçin.
7. Profil oluştur'u seçin.
8. Yeni profili görüntülemek için Yenile'yi seçin.

Koşullu Erişim ilkesi oluşturma ve bağlama

Son kullanıcılar veya gruplar için bir Koşullu Erişim ilkesi oluşturun ve Koşullu Erişim Oturumu denetimleri aracılığıyla güvenlik profilinizi teslim edin. Koşullu Erişim, İnternet Erişimi ilkeleri için kullanıcı ve bağlam tanımaya yönelik teslim mekanizmasıdır.

1. Kimlik>Koruması>Koşullu Erişim'e göz atın.
2. Yeni politika oluştur'u seçin.
3. Bir ad girin ve bir kullanıcı veya grup atayın.
4. Hedef kaynaklar'ı ve Genel Güvenli Erişim ile tüm internet kaynakları'ni seçin.
5. Oturum>Genel Güvenli Erişim güvenlik profilini kullan'ı seçin ve bir güvenlik profili seçin.
6. 'ı seçin'i seçin.
7. İlkeyi etkinleştir bölümünde Açık seçeneğinin belirlendiğinden emin olun.
8. Oluştur'i seçin.

Uyarı

Güvenlik profilleri erişim belirteçleri aracılığıyla uygulandığından yeni bir güvenlik profilinin uygulanması 60-90 dakika kadar sürebilir.

Uyarı

Test için Koşullu Erişim yapılandırma değişikliklerini hızlandırmak için, Entra Yönetim Merkezi'nde kullanıcı oturumlarını iptal edin (kullanıcının genel bakış sayfasında Oturumları iptal et'i seçin). Bu, kullanıcıları güncelleştirilmiş ilkelerle yeni belirteçler edinmeye zorlar. Sürekli Erişim Değerlendirmesi hakkında daha fazla bilgi edinin.

Son kullanıcı ilkesi zorlamasını doğrulama

Genel Güvenli Erişim istemcisi yüklü bir Windows cihazı kullanın. İnternet trafiği alma profili atanmış bir kullanıcı olarak oturum açın. Kötü amaçlı web sitelerine gezinmenin beklendiği gibi engellendiğini test edin.

Uyarı

Bir tehdit bilgileri ilkesini yapılandırdıktan sonra, ilke zorlamasını doğrulamak için tarayıcınızın önbelleğini temizlemeniz gerekebilir.

1. Görev yöneticisi tepsisindeki Genel Güvenli Erişim istemci simgesine sağ tıklayın ve Gelişmiş Tanılama>İletme profilini açın. İnternet erişimi edinme kurallarının mevcut olduğundan emin olun.
2. Bilinen bir kötü amaçlı siteye (örneğin, entratestthreat.com veya smartscreentestratings2.net) gidin. Engellendiğinden ve Tehdit Türü alanının trafik günlüklerinde yok olduğundan emin olun. Trafik günlüklerinin portalda görünmesi 5 dakika kadar sürebilir.
3. Windows Defender veya Akıllı ekran tarafından engelleniyorsa, Genel Güvenli Erişim engelleme iletisini test etmek için siteyi geçersiz kılın ve siteye erişin. "Daha fazla bilgi" altında "Güvenli olmayan siteye devam et (önerilmez)" seçeneğini belirleyerek bunu yapabilirsiniz.
4. İzin verme listesini test etmek için Tehdit Bilgileri ilkesinde siteye erişime izin veren bir kural oluşturun. 2 dakika içinde erişim sağlayabileceksiniz. (Tarayıcı önbelleğinizi temizlemeniz gerekebilir.)
5. Tehdit akışının geri kalanını bilinen tehdit göstergelerinize göre değerlendirin.

Dikkat

Gerçek kötü amaçlı sitelerle test, cihazınızı ve kuruluşunuzu korumak için bir korumalı alanda veya test ortamında gerçekleştirilmelidir.

Sonraki Adımlar

• Trafik panosu hakkında bilgi edinin