Aracılığıyla paylaş

Office 365 için Defender'ı deneme ve dağıtma

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Bu makale, kuruluşunuzda Office 365 için Microsoft Defender'ı pilot uygulama ve dağıtmaya yönelik bir iş akışı sağlar. Office 365 için Microsoft Defender'ı bireysel bir siber güvenlik aracı olarak veya Microsoft Defender XDR ile uçtan uca bir çözümün parçası olarak eklemek için bu önerileri kullanabilirsiniz.

Bu makalede, üretim microsoft 365 kiracınız olduğu ve bu ortamda Office 365 için Microsoft Defender'ı pilot olarak kullandığınız ve dağıttığınız varsayılır. Bu uygulama, tam dağıtımınız için pilot çalışmanız sırasında yapılandırdığınız tüm ayarları ve özelleştirmeleri korur.

Office 365 için Defender, bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olarak Sıfır Güven mimarisine katkıda bulunur. Daha fazla bilgi için Microsoft Sıfır Güven benimseme çerçevesindeki İhlal iş senaryolarından kaynaklanan iş zararlarını önleme veya azaltma konusuna bakın.

Microsoft Defender XDR için uçtan uca dağıtım

Bu, olayları araştırma ve yanıtlama da dahil olmak üzere Microsoft Defender XDR bileşenlerini dağıtmanıza yardımcı olmak için serideki 6'nın 3. maddesidir.

Pilot ve Microsoft Defender XDR işleminin pilot aşamasında Office 365 için Microsoft Defender'ı gösteren diyagram.

Bu serideki makaleler:

Aşama Bağlantı
C. Pilotu başlatın Pilotu başlatın
B. Microsoft Defender XDR bileşenlerini deneme ve dağıtma - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın

- Office 365 için Defender'ı deneme ve dağıtma (bu makale)

- Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma

- Cloud Apps için Microsoft Defender'ı deneme ve dağıtma
C. Tehditleri araştırın ve karşı yanıt verin Olay araştırma ve yanıt uygulama

Office 365 için Defender için iş akışı pilotu ve dağıtımı

Aşağıdaki diyagramda, bt ortamında ürün veya hizmet dağıtmaya yönelik yaygın bir işlem gösterilmektedir.

Pilot, değerlendirme ve tam dağıtım benimseme aşamalarının diyagramı.

İlk olarak ürünü veya hizmeti ve kuruluşunuzda nasıl çalışacağını değerlendirebilirsiniz. Ardından test, öğrenme ve özelleştirme için üretim altyapınızın uygun küçük bir alt kümesiyle ürünü veya hizmeti pilot olarak kullanırsınız. Ardından, altyapınızın veya kuruluşunuzun tamamı kapsanana kadar dağıtımın kapsamını aşamalı olarak artırın.

Üretim ortamınızda Office 365 için Defender'ı pilot olarak kullanma ve dağıtma iş akışı aşağıdadır. Office 365 için Microsoft Defender'ı deneme ve dağıtma adımlarını gösteren diyagram.

Şu adımları izleyin:

  1. Genel MX kaydını denetleme ve doğrulama
  2. Kabul edilen etki alanlarını denetleme
  3. Gelen bağlayıcıları denetleme
  4. Değerlendirmeyi etkinleştirme
  5. Pilot gruplar oluşturma
  6. Korumayı yapılandırma
  7. Özellikleri deneyin

Her dağıtım aşaması için önerilen adımlar aşağıdadır.

Dağıtım aşaması Açıklama
Değerlendirmek Office 365 için Defender için ürün değerlendirmesi gerçekleştirin.
Pilot Pilot gruplar için 1-7 arası adımları gerçekleştirin.
Tam dağıtım 5. Adımda pilot kullanıcı gruplarını yapılandırın veya pilotun ötesine geçmek için kullanıcı grupları ekleyin ve sonunda tüm kullanıcı hesaplarınızı ekleyin.

Office 365 için Defender mimarisi ve gereksinimleri

Aşağıdaki diyagramda Office 365 için Microsoft Defender'ın üçüncü taraf SMTP ağ geçidi veya şirket içi tümleştirme içerebilen temel mimarisi gösterilmektedir. Karma birlikte kullanım senaryoları (yani üretim posta kutuları hem şirket içi hem de çevrimiçidir) daha karmaşık yapılandırmalar gerektirir ve bu makalede veya değerlendirme kılavuzunda ele alınamaz.

Office 365 için Microsoft Defender mimarisine yönelik diyagram.

Aşağıdaki tabloda bu çizim açıklanmaktadır.

Açıklama balonu Açıklama
1 Dış gönderenin konak sunucusu genellikle bir MX kaydı için genel DNS araması gerçekleştirir ve bu da iletiyi geçirmesi için hedef sunucu sağlar. Bu başvuru doğrudan Exchange Online (EXO) veya EXO'ya geçiş için yapılandırılmış bir SMTP ağ geçidi olabilir.
2 Exchange Online Protection gelen bağlantıyı görüşüp doğrular ve hangi ek ilkelerin, etiketlemenin veya işlemenin gerekli olduğunu belirlemek için ileti üst bilgilerini ve içeriğini inceler.
3 Exchange Online, daha gelişmiş tehdit koruması, risk azaltma ve düzeltme sunmak için Office 365 için Microsoft Defender ile tümleştirilir.
4 Kötü amaçlı, engellenmemiş veya karantinaya alınmış olmayan bir ileti işlenip EXO'da alıcıya teslim edilir ve burada gereksiz posta, posta kutusu kuralları veya diğer ayarlarla ilgili kullanıcı tercihleri değerlendirilir ve tetiklenir.
5 Posta özellikli nesneleri ve hesapları Microsoft Entra Id ve sonuçta Exchange Online ile eşitlemek ve sağlamak için Microsoft Entra Connect kullanılarak şirket içi Active Directory ile tümleştirme etkinleştirilebilir.
6 Şirket içi ortamı tümleştirirken, postayla ilgili özniteliklerin, ayarların ve yapılandırmaların desteklenen yönetimi ve yönetimi için bir Exchange sunucusu kullanmak en iyisidir.
7 Office 365 için Microsoft Defender, genişletilmiş algılama ve yanıt (XDR) için Sinyalleri Microsoft Defender XDR'ye paylaşır.

Şirket içi tümleştirme yaygın ancak isteğe bağlıdır. Ortamınız yalnızca buluta yönelikse, bu kılavuz sizin için de geçerlidir.

Başarılı bir Office 365 için Defender değerlendirmesi veya üretim pilotu aşağıdaki önkoşulları gerektirir:

  • Tüm alıcı posta kutularınız şu anda Exchange Online'dadır.
  • Genel MX kaydınız doğrudan EOP'ye veya gelen dış e-postayı doğrudan EOP'ye aktaran bir üçüncü taraf Basit Posta Aktarım Protokolü (SMTP) ağ geçidine çözümleniyor.
  • Birincil e-posta etki alanınız Exchange Online'da yetkili olarak yapılandırılmıştır.
  • Dizin Tabanlı Uç Engellemeyi (DBEB) uygun şekilde başarıyla dağıtıp yapılandırdıysanız. Daha fazla bilgi için bkz. Geçersiz alıcılara gönderilen iletileri reddetmek için Edge Engelleme Directory-Based kullanma.

Önemli

Bu gereksinimler geçerli değilse veya hala karma bir birlikte kullanım senaryosundaysanız, Office 365 için Microsoft Defender değerlendirmesi, bu kılavuzda tam olarak ele alınmayacak daha karmaşık veya gelişmiş yapılandırmalar gerektirebilir.

1. Adım: Genel MX kaydını denetleme ve doğrulama

Office 365 için Microsoft Defender'ı etkili bir şekilde değerlendirmek için, gelen dış e-postanın kiracınızla ilişkilendirilmiş Exchange Online Protection (EOP) örneği aracılığıyla geçirilmesi önemlidir.

  1. konumundaki M365 Yönetim Portalı'nda https://admin.microsoft.com... Gerekirse tümünü göster'i seçin, Ayarlar'ı genişletin ve ardından Etki Alanları'nı seçin. Veya doğrudan Etki Alanları sayfasına gitmek için kullanın https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. Etki Alanları sayfasında, onay kutusundan başka bir girişe tıklayarak doğrulanmış e-posta etki alanınızı seçin.
  3. Açılan etki alanı ayrıntıları açılır öğesinde DNS kayıtları sekmesini seçin. Oluşturulan ve EOP kiracınıza atanan MX kaydını not edin.
  4. Dış (genel) DNS bölgenize erişin ve e-posta etki alanınızla ilişkili birincil MX kaydını denetleyin:
    • Genel MX kaydınız şu anda atanan EOP adresiyle eşleşiyorsa (örneğin, contoso-com.mail.protection.outlook.com) başka yönlendirme değişikliği gerekmez.
    • Genel MX kaydınız şu anda üçüncü taraf veya şirket içi SMTP ağ geçidine çözümleniyorsa ek yönlendirme yapılandırmaları gerekebilir.
    • Genel MX kaydınız şu anda şirket içi Exchange'e çözümleniyorsa, bazı alıcı posta kutularının henüz EXO'ya geçirilmediğiniz karma bir modelde olabilirsiniz.

2. Adım: Kabul edilen etki alanlarını denetleme

  1. konumundaki Exchange yönetim merkezinde (EAC) https://admin.exchange.microsoft.comPosta akışı'nı genişletin ve kabul edilen etki alanları'na tıklayın. Veya doğrudan Kabul edilen etki alanları sayfasına gitmek için kullanın https://admin.exchange.microsoft.com/#/accepteddomains.
  2. Kabul edilen etki alanları sayfasında, birincil e-posta etki alanınız için Etki alanı türü değerini not edin.
    • Etki alanı türü Yetkili olarak ayarlandıysa, kuruluşunuz için tüm alıcı posta kutularının şu anda Exchange Online'da bulunduğu varsayılır.
    • Etki alanı türü InternalRelay olarak ayarlandıysa, bazı alıcı posta kutularının hala şirket içinde bulunduğu karma modelde olabilirsiniz.

3. Adım: Gelen bağlayıcıları denetleme

  1. konumundaki Exchange yönetim merkezinde (EAC) https://admin.exchange.microsoft.comPosta akışı'nı genişletin ve bağlayıcılar'a tıklayın. Veya doğrudan Bağlayıcılar sayfasına gitmek için kullanın https://admin.exchange.microsoft.com/#/connectors.
  2. Bağlayıcılar sayfasında, aşağıdaki ayarlara sahip bağlayıcıları not edin:
    • From değeri, üçüncü taraf SMTP ağ geçidiyle bağıntı oluşturabilen İş Ortağı kuruluşudur.
    • Kaynak değeri, hala karma bir senaryoda olduğunuzu gösterebilecek Kuruluşunuz değeridir.

4. Adım: Değerlendirmeyi etkinleştirme

Microsoft Defender portalından Office 365 için Microsoft Defender değerlendirmenizi etkinleştirmek için buradaki yönergeleri kullanın.

Ayrıntılı bilgi için bkz. Office 365 için Microsoft Defender'ı deneme.

  1. konumundaki Microsoft Defender portalında https://security.microsoft.comE-posta & işbirliği'ni> genişletin, İlkeler & kurallar'ı> seçin, Tehdit ilkeleri> bölümünü aşağı kaydırıp Değerlendirme modu'nu seçin. Veya doğrudan Değerlendirme modu sayfasına gitmek için kullanın https://security.microsoft.com/atpEvaluation.

  2. Değerlendirme modu sayfasında Değerlendirmeyi başlat'a tıklayın.

    Değerlendirme modu sayfasının ve Tıklayacak Değerlendirmeyi başlat düğmesinin ekran görüntüsü.

  3. Korumayı aç iletişim kutusunda Hayır, yalnızca raporlama istiyorum'u seçin ve devam'a tıklayın.

    Korumayı aç iletişim kutusunun ve Hayır, yalnızca raporlamayı istiyorum seçeneğinin ekran görüntüsü.

  4. Eklemek istediğiniz kullanıcıları seçin iletişim kutusunda Tüm kullanıcılar'ı seçin ve ardından Devam'a tıklayın.

    Eklemek istediğiniz kullanıcıları seçin iletişim kutusunun ve seçecek Tüm kullanıcılar seçeneğinin ekran görüntüsü.

  5. Posta akışınızı anlamamıza yardımcı olun iletişim kutusunda, etki alanınız için MX kaydını algılamamıza bağlı olarak aşağıdaki seçeneklerden biri otomatik olarak seçilir:

    • Yalnızca Microsoft Exchange Online kullanıyorum: Etki alanınızın MX kayıtları Microsoft 365'e işaret etti. Yapılandıracak bir şey kalmadığından Son'a tıklayın.

      Yalnızca Microsoft Exchange Online kullanıyorum seçeneğinin seçili olduğu Posta akışınızı anlamamıza yardımcı olun iletişim kutusunun ekran görüntüsü.

    • Üçüncü taraf ve/veya şirket içi hizmet sağlayıcısı kullanıyorum: Gelecek ekranlarda, bu çözümden gelen postaları kabul eden gelen bağlayıcıyla birlikte satıcı adını seçin. Ayrıca, üçüncü taraf koruma hizmetinden veya cihazından gelen iletiler için istenmeyen posta filtrelemeyi atlayan bir Exchange Online posta akışı kuralına (aktarım kuralı olarak da bilinir) ihtiyacınız olup olmadığını da siz karar verirsiniz. İşiniz bittiğinde Son'a tıklayın.

5. Adım: Pilot grupları oluşturma

Office 365 için Microsoft Defender'da pilot çalışırken, kuruluşunuzun tamamı için ilkeleri etkinleştirmeden ve zorunlu tutmadan önce belirli kullanıcılara pilot uygulamayı seçebilirsiniz. Dağıtım grupları oluşturmak, dağıtım işlemlerini yönetmeye yardımcı olabilir. Örneğin, Office 365 Kullanıcıları için Defender - Standart Koruma, Office 365 Kullanıcıları için Defender - Katı Koruma, Office 365 Kullanıcıları için Defender - Özel Koruma veya Office 365 Kullanıcıları için Defender - Özel Durumlar gibi gruplar oluşturun.

Bu gruplar için kullanılan terimlerin neden 'Standart' ve 'Katı' olduğu açık olmayabilir, ancak Office 365 için Defender güvenlik ön ayarları hakkında daha fazla bilgi edindiğinizde bu durum netleşir. Grupların "özel" ve "özel durumlar" olarak adlandırılması kendileri için geçerlidir ve kullanıcılarınızın çoğu standart ve katı, özel ve özel durum grupları risk yönetimiyle ilgili olarak sizin için değerli veriler toplar.

Dağıtım grupları doğrudan Exchange Online'da oluşturulabilir ve tanımlanabilir veya şirket içi Active Directory'den eşitlenebilir.

  1. Alıcı Yöneticisi rolü verilmiş veya grup yönetimi izinleri atanmış bir hesabı kullanarak Exchange Yönetim Merkezi'nde https://admin.exchange.microsoft.com (EAC) oturum açın.

  2. Alıcı Grupları'na> gidin.

    Gruplar menü öğesinin ekran görüntüsü.

  3. Gruplar sayfasında Grup ekle simgesi'ni seçin.Grup ekleyin.

    Grup ekle seçeneğinin ekran görüntüsü.

  4. Grup türü için Dağıtım'ı seçin ve İleri'ye tıklayın.

    Grup türü seçin bölümünün ekran görüntüsü.

  5. Gruba bir Ad ve isteğe bağlı Açıklama verin ve İleri'ye tıklayın.

    Temel bilgileri ayarlama bölümünün ekran görüntüsü.

  6. Kalan sayfalarda bir sahip atayın, gruba üye ekleyin, e-posta adresini, ayrılma kısıtlamalarını ve diğer ayarları ayarlayın.

6. Adım: Korumayı yapılandırma

Office 365 için Defender'daki bazı özellikler varsayılan olarak yapılandırılır ve açılır, ancak güvenlik işlemleri varsayılan koruma düzeyini yükseltmek isteyebilir.

Bazı özellikler henüz yapılandırılmadı. Korumayı yapılandırmak için aşağıdaki seçeneklere sahipsiniz (daha sonra kolayca değiştirilebilir):

  • Kullanıcıları önceden belirlenmiş güvenlik ilkelerine atama: Önceden ayarlanmış güvenlik ilkeleri , tüm özelliklere hızla tekdüzen bir koruma düzeyi atamak için önerilen yöntemdir. Standart veya Katı koruma arasından seçim yapabilirsiniz. Standart ve Katı ayarları buradaki tablolarda açıklanmıştır. Standart ve Katı arasındaki farklar buradaki tabloda özetlenir.

    Önceden ayarlanmış güvenlik ilkelerinin avantajları, veri merkezlerindeki gözlemlere göre Microsoft'un önerdiği ayarları kullanarak kullanıcı gruplarını mümkün olan en kısa sürede korumanızdır. Yeni koruma özellikleri eklendikçe ve güvenlik ortamı değiştikçe, önceden ayarlanmış güvenlik ilkelerindeki ayarlar otomatik olarak önerilen ayarlarımıza güncelleştirilir.

    Önceden ayarlanmış güvenlik ilkelerinin dezavantajı, önceden ayarlanmış güvenlik ilkelerindeki güvenlik ayarlarının neredeyse hiçbirini özelleştirememenizdir (örneğin, bir eylemi teslimden gereksiz öğeye veya karantinaya alma işlemine değiştiremezsiniz). Özel durum, kullanıcı kimliğe bürünme ve etki alanı kimliğe bürünme koruması için el ile yapılandırmanız gereken girişler ve isteğe bağlı özel durumlardır.

    Ayrıca, önceden ayarlanmış güvenlik ilkelerinin özel ilkeler öncesinde her zaman uygulandığını unutmayın. Bu nedenle, herhangi bir özel ilke oluşturmak ve kullanmak istiyorsanız, bu özel ilkelerdeki kullanıcıları önceden ayarlanmış güvenlik ilkelerinin dışında tutmanız gerekir.

  • Özel koruma ilkelerini yapılandırma: Ortamı kendiniz yapılandırmayı tercih ediyorsanız, EOP için önerilen ayarlar ve Office 365 güvenliği için Microsoft Defender'da varsayılan, Standart ve Katı ayarları karşılaştırın. Özel derlemenizin nerede saptığına ait bir elektronik tablo tutun.

    Özel ilkelerinizdeki ayarları Standart ve Katı değerlerle karşılaştırmak için Yapılandırma çözümleyicisini de kullanabilirsiniz.

Önceden ayarlanmış güvenlik ilkelerini ve özel ilkeleri seçme hakkında ayrıntılı bilgi için bkz. Koruma ilkesi stratejinizi belirleme.

Önceden ayarlanmış güvenlik ilkeleri atama

Değerlendirmenizin bir parçası olarak bunları belirli pilot kullanıcılara veya tanımlı gruplara atayarak EOP ve Office 365 için Defender'daki önceden ayarlanmış güvenlik ilkeleriyle başlamanızı öneririz. Önceden ayarlanmış ilkeler, bağımsız olarak atanabilen temel bir Standart koruma şablonu veya daha agresif bir Katı koruma şablonu sunar.

Örneğin, alıcılar tanımlı bir EOP Standart Koruma grubunun üyesiyse ve ardından gruba hesap ekleyerek veya gruptan hesap kaldırarak yönetiliyorsa, pilot değerlendirmeler için bir EOP koşulu uygulanabilir.

Benzer şekilde, alıcılar tanımlı bir Office 365 Için Defender Standart Koruma grubunun üyesiyse ve ardından grup aracılığıyla hesap ekleyerek veya kaldırarak yönetiliyorsa, pilot değerlendirmeler için Office 365 için Defender koşulu uygulanabilir.

Tam yönergeler için bkz. Microsoft Defender portalını kullanarak kullanıcılara Standart ve Katı önceden ayarlanmış güvenlik ilkeleri atama.

Özel koruma ilkelerini yapılandırma

Office 365 için önceden tanımlanmış Standart veya Katı Defender ilke şablonları, pilot kullanıcılarınıza önerilen temel korumayı verir. Bununla birlikte, değerlendirmenizin bir parçası olarak özel koruma ilkeleri oluşturabilir ve atayabilirsiniz.

Önceden belirlenmiş güvenlik ilkeleri ve diğer ilkeler için öncelik sırası bölümünde açıklandığı gibi, bu koruma ilkelerinin uygulandığında ve uygulandığında uyguladığı önceliklerin farkında olmak önemlidir.

Koruma ilkelerini yapılandırma bölümündeki açıklama ve tablo, yapılandırmanız gerekenler için kullanışlı bir başvuru sağlar.

7. Adım: Özellikleri deneyin

Artık pilotunuz ayarlanıp yapılandırıldığına göre, Microsoft 365 için Microsoft Defender'a özgü raporlama, izleme ve saldırı simülasyonu araçlarını tanımanız yararlı olacaktır.

Özellik Açıklama Daha fazla bilgi
Tehdit Gezgini Tehdit Gezgini, Güvenlik operasyonları ekiplerinin tehditleri araştırmasına ve yanıtlamasına yardımcı olan ve Office 365'teki e-posta ve dosyalarda algılanan kötü amaçlı yazılım ve kimlik avı ile ilgili bilgilerin yanı sıra kuruluşunuza yönelik diğer güvenlik tehditleri ve riskleri gösteren, neredeyse gerçek zamanlıya yakın güçlü bir araçtır. Tehdit Gezgini hakkında
Saldırı simülasyonu eğitimi Kuruluşunuzda gerçek bir saldırı ortamınızı etkilemeden önce savunmasız kullanıcıları belirlemenize ve bulmanıza yardımcı olan gerçekçi saldırı senaryoları çalıştırmak için Microsoft Defender portalında Saldırı simülasyonu eğitimini kullanabilirsiniz. Saldırı simülasyonu eğitimini kullanmaya başlama
Raporlar panosu Sol gezinti menüsünde Raporlar'a tıklayın ve E-posta & işbirliği başlığını genişletin. E-posta & işbirliği raporları, güvenlik eğilimlerini belirleme hakkındadır. Bu eğilimlerden bazıları eylem gerçekleştirmenizi sağlar ('Gönderimlere git' gibi düğmeler aracılığıyla) ve eğilimleri gösterecek diğerleri. Bu ölçümler otomatik olarak oluşturulur. Microsoft Defender portalında e-posta güvenlik raporlarını görüntüleme

Microsoft Defender portalında Office 365 için Defender raporlarını görüntüleme

SIEM tümleştirmesi

Bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için Office 365 için Defender'ı Microsoft Sentinel veya genel bir güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz. Microsoft Sentinel ile kuruluşunuz genelindeki güvenlik olaylarını daha kapsamlı bir şekilde analiz edebilir ve etkili ve anında yanıt için playbook'lar oluşturabilirsiniz.

SIEM tümleştirmesi ile Office 365 için Microsoft Defender mimarisini gösteren diyagram.

Microsoft Sentinel, Office 365 için Defender bağlayıcısı içerir. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'dan uyarıları bağlama.

Office 365 için Microsoft Defender, Office 365 Etkinlik Yönetimi API'sini kullanarak diğer SIEM çözümleriyle de tümleştirilebilir. Genel SIEM sistemleriyle tümleştirme hakkında bilgi için bkz. Genel SIEM tümleştirmesi.

Sonraki adım

Office 365 için Microsoft Defender Güvenlik İşlemleri Kılavuzu'ndaki bilgileri SecOps işlemlerinize dahil edin.

Microsoft Defender XDR'nin uçtan uca dağıtımı için sonraki adım

Pilot ile uçtan uca Microsoft Defender XDR dağıtımınıza devam edin ve Uç Nokta için Defender'ı dağıtın.

Pilotta Uç Nokta için Microsoft Defender'ı gösteren ve Microsoft Defender XDR işlemini dağıtan diyagram.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.