Uç Nokta için Microsoft Defender'ı deneme ve dağıtma
Şunlar için geçerlidir:
- Microsoft Defender XDR
Bu makalede, kuruluşunuzda Uç Nokta için Microsoft Defender'ı pilot uygulama ve dağıtmaya yönelik bir iş akışı sağlanır. Uç Nokta için Microsoft Defender'ı bireysel bir siber güvenlik aracı olarak veya Microsoft Defender XDR ile uçtan uca bir çözümün parçası olarak eklemek için bu önerileri kullanabilirsiniz.
Bu makalede, üretim microsoft 365 kiracınız olduğu ve bu ortamda Uç Nokta için Microsoft Defender'ı pilot olarak kullandığınız ve dağıttığınız varsayılır. Bu uygulama, tam dağıtımınız için pilot çalışmanız sırasında yapılandırdığınız tüm ayarları ve özelleştirmeleri korur.
Uç Nokta için Defender, bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olarak Sıfır Güven mimarisine katkıda bulunur. Daha fazla bilgi için Microsoft Sıfır Güven benimseme çerçevesindeki İhlal iş senaryolarından kaynaklanan iş zararlarını önleme veya azaltma konusuna bakın.
Microsoft Defender XDR için uçtan uca dağıtım
Bu, olayları araştırmak ve yanıtlamak da dahil olmak üzere Microsoft Defender XDR bileşenlerini dağıtmanıza yardımcı olmak için serideki 6. makaledir.
Bu serideki makaleler:
| Aşama | Bağlantı |
|---|---|
| C. Pilotu başlatın | Pilotu başlatın |
| B. Microsoft Defender XDR bileşenlerini deneme ve dağıtma | - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın - Office 365 için Defender'ı deneme ve dağıtma - Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma (bu makale) - Cloud Apps için Microsoft Defender'ı deneme ve dağıtma |
| C. Tehditleri araştırın ve karşı yanıt verin | Olay araştırma ve yanıt uygulama |
Kimlik için Defender için iş akışı pilotu ve dağıtımı
Aşağıdaki diyagramda, bt ortamında ürün veya hizmet dağıtmaya yönelik yaygın bir işlem gösterilmektedir.
İlk olarak ürünü veya hizmeti ve kuruluşunuzda nasıl çalışacağını değerlendirebilirsiniz. Ardından test, öğrenme ve özelleştirme için üretim altyapınızın uygun küçük bir alt kümesiyle ürünü veya hizmeti pilot olarak kullanırsınız. Ardından, altyapınızın veya kuruluşunuzun tamamı kapsanana kadar dağıtımın kapsamını aşamalı olarak artırın.
Üretim ortamınızda Kimlik için Defender'ı pilot uygulama ve dağıtmaya yönelik iş akışı aşağıdadır.
Şu adımları izleyin:
- Lisans durumunu denetleme
- Desteklenen yönetim araçlarından herhangi birini kullanarak uç noktaları ekleme
- Pilot grubu doğrulama
- Özellikleri deneyin
Her dağıtım aşaması için önerilen adımlar aşağıdadır.
| Dağıtım aşaması | Açıklama |
|---|---|
| Değerlendirmek | Uç Nokta için Defender için ürün değerlendirmesi gerçekleştirin. |
| Pilot | Pilot grup için 1-4 arası adımları gerçekleştirin. |
| Tam dağıtım | 3. Adımda pilot grubu yapılandırın veya pilotun ötesine geçmek için gruplar ekleyin ve sonunda tüm cihazlarınızı ekleyin. |
Kuruluşunuzu korsanlardan koruma
Kimlik için Defender kendi başına güçlü koruma sağlar. Ancak Uç Nokta için Defender, Microsoft Defender XDR'nin diğer özellikleriyle birlikte kullanıldığında paylaşılan sinyallere veri sağlar ve bu da saldırıların durdurulmasını sağlar.
Burada bir siber saldırı örneği ve Microsoft Defender XDR bileşenlerinin bunu algılamaya ve azaltmaya nasıl yardımcı olduğu açıklanmıştır.
Uç Nokta için Defender, kuruluşunuz tarafından yönetilen cihazlar için aksi takdirde kötüye kullanılabilecek cihaz ve ağ güvenlik açıklarını algılar.
Microsoft Defender XDR, tüm Microsoft Defender bileşenlerinden gelen sinyalleri ilişkilendirerek tam saldırı hikayesi sağlar.
Uç Nokta için Defender mimarisi
Aşağıdaki diyagramda Uç Nokta için Microsoft Defender mimarisi ve tümleştirmeleri gösterilmektedir.
Bu tabloda çizim açıklanmaktadır.
| Açıklama balonu | Açıklama |
|---|---|
| 1 | Cihazlar, desteklenen yönetim araçlarından biri aracılığıyla eklenir. |
| 2 | Yerleşik cihazlar Uç Nokta için Microsoft Defender sinyal verilerini sağlar ve yanıtlar. |
| 3 | Yönetilen cihazlar Microsoft Entra Id'ye katılır ve/veya kaydedilir. |
| 4 | Etki alanına katılmış Windows cihazları, Microsoft Entra Connect kullanılarak Microsoft Entra Id ile eşitlenir. |
| 5 | Uç Nokta için Microsoft Defender uyarıları, araştırmaları ve yanıtları Microsoft Defender XDR'de yönetilir. |
İpucu
Uç Nokta için Microsoft Defender ayrıca önceden yapılandırılmış cihazlar ekleyebileceğiniz ve platformun özelliklerini değerlendirmek için simülasyonlar çalıştırabileceğiniz bir ürün içi değerlendirme laboratuvarıyla birlikte gelir. Laboratuvar, gelişmiş tehdit avcılığı ve tehdit analizi gibi birçok özellik için rehberlik de dahil olmak üzere Uç Nokta için Microsoft Defender'ın değerini hızla göstermeye yardımcı olabilecek basitleştirilmiş bir kurulum deneyimiyle birlikte gelir. Daha fazla bilgi için bkz . Özellikleri değerlendirme. Bu makalede sağlanan yönergelerle değerlendirme laboratuvarı arasındaki temel fark, değerlendirme ortamında üretim cihazlarının kullanıldığı, değerlendirme laboratuvarının ise üretim dışı cihazlar kullandığıdır.
1. Adım: Lisans durumunu denetleme
Doğru şekilde sağlandığını doğrulamak için önce lisans durumunu denetlemeniz gerekir. Bunu yönetim merkezi veya Microsoft Azure portalı aracılığıyla yapabilirsiniz.
Lisanslarınızı görüntülemek için Microsoft Azure portalına gidin ve Microsoft Azure portalı lisans bölümüne gidin.
Alternatif olarak, yönetim merkezinde Faturalama>Abonelikleri'ne gidin.
Ekranda sağlanan tüm lisansları ve geçerli Durumlarını görürsünüz.
2. Adım: Desteklenen yönetim araçlarından herhangi birini kullanarak uç noktaları ekleme
Lisans durumunun düzgün sağlandığını doğruladıktan sonra, cihazları hizmete eklemeye başlayabilirsiniz.
Uç Nokta için Microsoft Defender'ı değerlendirmek amacıyla değerlendirmeyi gerçekleştirmek üzere birkaç Windows cihazı seçmenizi öneririz.
Desteklenen yönetim araçlarından herhangi birini kullanmayı seçebilirsiniz, ancak Intune en iyi tümleştirmeyi sağlar. Daha fazla bilgi için bkz. Microsoft Intune'da Uç Nokta için Microsoft Defender'ı yapılandırma.
Plan dağıtımı konusunda, Uç Nokta için Defender'ı dağıtmak için uygulamanız gereken genel adımlar özetlenmiştir.
Ekleme işlemine hızlı bir genel bakış için bu videoyu izleyin ve kullanılabilir araçlar ve yöntemler hakkında bilgi edinin.
Ekleme aracı seçenekleri
Aşağıdaki tabloda, eklemeniz gereken uç noktayı temel alan kullanılabilir araçlar listelenir.
| Uç nokta | Araç seçenekleri |
|---|---|
| Windows | - Yerel betik (en fazla 10 cihaz) - Grup İlkesi - Microsoft Intune / Mobil Cihaz Yöneticisi - Microsoft Endpoint Configuration Manager - VDI betikleri |
| macOS | - Yerel betikler - Microsoft Intune - JAMF Pro - Mobil Cihaz Yönetimi |
| iOS | Uygulama tabanlı |
| Android | Microsoft Intune |
Uç Nokta için Microsoft Defender'da pilot çalışırken, kuruluşunuzun tamamını eklemeden önce hizmete birkaç cihaz eklemeyi seçebilirsiniz.
Ardından, saldırı simülasyonlarını çalıştırma ve Uç Nokta için Defender'ın kötü amaçlı etkinlikleri nasıl ortaya çıkardığını ve verimli bir yanıt vermenizi nasıl sağladığını görme gibi kullanılabilir özellikleri deneyebilirsiniz.
3. Adım: Pilot grubu doğrulama
Değerlendirmeyi etkinleştir bölümünde özetlenen ekleme adımlarını tamamladıktan sonra cihazları yaklaşık bir saat sonra Cihaz envanteri listesinde görmeniz gerekir.
Eklenen cihazlarınızı gördüğünüzde, özellikleri denemeye devam edebilirsiniz.
4. Adım: Özellikleri deneme
Artık bazı cihazları eklemeyi tamamladığınıza ve bunların hizmete bildirildiğini doğruladığınıza göre, hemen kullanıma sunulan güçlü özellikleri deneyerek ürünü tanıyın.
Pilot sırasında, karmaşık yapılandırma adımlarından geçmeden ürünü çalışır durumda görmek için bazı özellikleri denemeye kolayca başlayabilirsiniz.
Panolara göz atarak başlayalım.
Cihaz envanterini görüntüleme
Cihaz envanteri, ağınızdaki uç noktaların, ağ cihazlarının ve IoT cihazlarının listesini göreceğiniz yerdir. Ağınızdaki cihazların görünümünü sağlamakla kalmaz, aynı zamanda etki alanı, risk düzeyi, işletim sistemi platformu ve en çok risk altındaki cihazların kolay tanımlanması için diğer ayrıntılar gibi bunlar hakkında ayrıntılı bilgi sağlar.
Microsoft Defender Güvenlik Açığı Yönetimi panosunu görüntüleme
Defender Güvenlik Açığı Yönetimi, kuruluş için en acil ve en yüksek riski oluşturan zayıflıklara odaklanmanıza yardımcı olur. Panodan kuruluşun maruz kalma puanı, Cihazlar için Microsoft Güvenli Puanı, cihaz açığa çıkarma dağıtımı, en iyi güvenlik önerileri, en savunmasız yazılımlar, en iyi düzeltme etkinlikleri ve en çok kullanıma sunulan cihaz verilerinin üst düzey bir görünümünü elde edin.
Simülasyon çalıştırma
Uç Nokta için Microsoft Defender, pilot cihazlarınızda çalıştırabileceğiniz "Kendiniz Yapın" saldırı senaryolarıyla birlikte gelir. Her belgede işletim sistemi ve uygulama gereksinimlerinin yanı sıra bir saldırı senaryosuna özgü ayrıntılı yönergeler bulunur. Bu betikler güvenlidir, belgelenir ve kullanımı kolaydır. Bu senaryolar Uç Nokta için Defender özelliklerini yansıtır ve araştırma deneyiminde size yol gösterir.
Sağlanan simülasyonlardan herhangi birini çalıştırmak için en az bir yerleşik cihaza ihtiyacınız vardır.
Yardım>Benzetimleri & öğreticilerinde, kullanılabilir saldırı senaryolarından hangisinin benzetimini yapmak istediğinizi seçin:
Senaryo 1: Belge bırakma arka kapı - sosyal olarak tasarlanmış bir yem belgesinin teslimini simüle eder. Belge, saldırganlara denetim sağlayan özel olarak hazırlanmış bir arka kapı başlatır.
Senaryo 2: Dosyasız saldırıda PowerShell betiği - PowerShell'i kullanan, saldırı yüzeyini azaltmayı ve kötü amaçlı bellek etkinliğinin cihaz öğrenmesi algılamasını gösteren dosyasız bir saldırının benzetimini sağlar.
Senaryo 3: Otomatik olay yanıtı - güvenlik olayı yanıt kapasitenizi ölçeklendirmek için ihlal yapıtlarını otomatik olarak avlayan ve düzelten otomatik araştırmayı tetikler.
Seçtiğiniz senaryoyla birlikte sağlanan ilgili izlenecek yol belgesini indirin ve okuyun.
Yardım>Benzetimleri & öğreticilerine giderek simülasyon dosyasını indirin veya simülasyon betiğini kopyalayın. Dosyayı veya betiği test cihazına indirmeyi seçebilirsiniz, ancak zorunlu değildir.
Simülasyon dosyasını veya betiği, izlenecek yol belgesinde açıklandığı gibi test cihazında çalıştırın.
Not
Simülasyon dosyaları veya betikler saldırı etkinliğini taklit eder, ancak aslında zararsızdır ve test cihazına zarar vermez veya tehlikeye atmaz.
SIEM tümleştirmesi
Bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için Uç Nokta için Defender'ı Microsoft Sentinel veya genel bir güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz. Microsoft Sentinel ile kuruluşunuz genelindeki güvenlik olaylarını daha kapsamlı bir şekilde analiz edebilir ve etkili ve anında yanıt için playbook'lar oluşturabilirsiniz.
Microsoft Sentinel bir Uç Nokta için Defender bağlayıcısı içerir. Daha fazla bilgi için bkz . Microsoft Sentinel için Uç Nokta için Microsoft Defender bağlayıcısı.
Genel SIEM sistemleriyle tümleştirme hakkında bilgi için bkz. Uç Nokta için Microsoft Defender'da SIEM tümleştirmesini etkinleştirme.
Sonraki adım
Uç Nokta Için Defender Güvenlik İşlemleri Kılavuzu'ndaki bilgileri SecOps işlemlerinize dahil edin.
Microsoft Defender XDR'nin uçtan uca dağıtımı için sonraki adım
Pilot ile uçtan uca Microsoft Defender XDR dağıtımınıza devam edin ve Cloud Apps için Microsoft Defender'ı dağıtın.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin