Sıfır Güven için Microsoft Sentinel ve Microsoft Defender XDR uygulama
Bu çözüm kılavuzu, kuruluşunuzun siber güvenlik saldırılarına yanıt verme ve bunları düzeltme becerisini hızlandırmak için Microsoft Sentinel ile birlikte Microsoft eXtended algılama ve yanıt (XDR) araçlarını ayarlama işleminde yol gösterir.
Microsoft Defender XDR, Microsoft 365 ortamınızdaki sinyal, tehdit ve uyarı verilerini otomatik olarak toplayan, ilişkilendiren ve analiz eden bir XDR çözümüdür.
Microsoft Sentinel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) özellikleri sağlayan buluta özel bir çözümdür. Microsoft Sentinel ve Microsoft Defender XDR birlikte kuruluşların modern saldırılara karşı savunmalarına yardımcı olacak kapsamlı bir çözüm sağlar.
Bu kılavuz, Sıfır Güven ilkelerini aşağıdaki yollarla eşleyerek Sıfır Güven mimarinizi geliştirmenize yardımcı olur.
| Sıfır Güven İlkesi | Met by |
|---|---|
| Açıkça doğrula | Microsoft Sentinel, ortam genelinden veri toplar, tehditlerin ve anomalilerin analizini gerçekleştirir ve otomasyonla yanıt verebilir. Microsoft Defender XDR, kullanıcılar, kimlikler, cihazlar, uygulamalar ve e-postalar arasında genişletilmiş algılama ve yanıt sağlar. Microsoft Defender XDR tarafından yakalanan risk tabanlı sinyaller, Microsoft Sentinel tarafından işlem yapmak için kullanılabilir. |
| En az ayrıcalıklı erişim kullan | Microsoft Sentinel, Kullanıcı Varlığı Davranış Analizi (UEBA) altyapısı aracılığıyla anormal etkinlikleri algılayabilir. Microsoft Sentinel ile Tehdit Bilgileri, yeni ve yeni tehditleri algılamak ve araştırmalara ek bağlam sağlamak için Microsoft'tan veya üçüncü taraf sağlayıcılardan tehdit bilgileri verilerini içeri aktarabilir. Microsoft Defender XDR, kimlikle ilgili risk düzeyine göre kullanıcıları engelleyebilen Microsoft Entra Kimlik Koruması sahiptir. Veriler daha fazla analiz ve otomasyon için Microsoft Sentinel'e aktarılabilir. |
| İhlal varsay | Microsoft Defender XDR, tehditler ve güvenlik açıkları için ortamı sürekli olarak tarar. Microsoft Sentinel, toplanan verileri, şüpheli etkinlikleri, anomalileri ve kuruluş genelindeki çok aşamalı tehditleri algılamak için varlıkların davranış eğilimini analiz eder. Microsoft Sentinel'de kuruluşların ortamı sağlamlaştırmalarına yardımcı olabilecek çalışma kitabı görselleştirmeleri (Sıfır Güven çalışma kitabı gibi) vardır. Microsoft Defender XDR ve Sentinel otomatik araştırma, cihaz yalıtımı ve veri karantinası gibi otomatik düzeltme görevlerini uygulayabilir. Cihaz riski, Microsoft Entra Koşullu Erişim'e beslemek için sinyal olarak kullanılabilir. |
Microsoft Sentinel ve XDR mimarisi
Aşağıdaki çizimde, Microsoft'un XDR çözümünün Microsoft Sentinel ile sorunsuz bir şekilde nasıl tümleştirileceği gösterilmektedir.
Bu diyagramda:
- Tüm kuruluşunuz genelindeki sinyallerden Microsoft Defender XDR ve Bulut için Microsoft Defender Analizler.
- Microsoft Defender XDR ve Bulut için Microsoft Defender SIEM günlük verilerini Microsoft Sentinel bağlayıcıları aracılığıyla gönderir.
- SecOps ekipleri daha sonra Microsoft Sentinel ve Microsoft Defender portallarında tanımlanan tehditleri analiz edebilir ve yanıtlayabilir.
- Microsoft Sentinel, çok bulutlu ortamlar için destek sağlar ve üçüncü taraf uygulamalar ve iş ortakları ile tümleşir.
Sıfır Güven için Microsoft Sentinel ve Microsoft Defender XDR uygulama
Microsoft Defender XDR, Microsoft Sentinel'i tamamlayan bir XDR çözümüdür. XDR, bulut uygulamaları, e-posta güvenliği, kimlik ve erişim yönetimi gibi birden çok hizmetten ham telemetri verilerini çeker.
Yapay zeka (AI) ve makine öğrenmesi kullanan XDR daha sonra gerçek zamanlı olarak otomatik analiz, araştırma ve yanıt gerçekleştirir. XDR çözümü ayrıca güvenlik uyarılarını daha büyük olaylarla ilişkilendirerek güvenlik ekiplerine saldırılara daha fazla görünürlük sağlar ve olay önceliklendirmesi sağlayarak analistlerin tehdidin risk düzeyini anlamasına yardımcı olur.
Microsoft Sentinel ile, yerleşik bağlayıcıları ve endüstri standartlarını kullanarak birçok güvenlik kaynağına bağlanabilirsiniz. Yapay zekasıyla, fidye yazılımı sonlandırma zincirinin ve önceliklendirilmiş uyarıların eksiksiz bir görünümünü oluşturmak için birden fazla kaynağa yayılan birden çok düşük uygunluk sinyalini ilişkilendirebilirsiniz.
SIEM ve XDR özelliklerinden yararlanma
Bu bölümde, kimlik avı saldırısı içeren tipik bir saldırı senaryosunu inceleyeceğiz ve ardından Microsoft Sentinel ve Microsoft Defender XDR ile olaya nasıl yanıt verileceğine devam edeceğiz.
Yaygın saldırı sırası
Aşağıdaki diyagramda bir kimlik avı senaryosunun yaygın saldırı sırası gösterilmektedir.
Diyagramda ayrıca, her saldırı adımını algılamak için microsoft güvenlik ürünleri ve saldırı sinyallerinin ve SIEM verilerinin Microsoft Defender XDR ve Microsoft Sentinel'e nasıl akışı gösterilmektedir.
Saldırının özeti aşağıdadır.
| Saldırı adımı | Algılama hizmeti ve sinyal kaynağı | Savunma yerinde |
|---|---|---|
| 1. Saldırgan kimlik avı e-postası gönderiyor | Office 365 için Microsoft Defender | Kötü amaçlı kimliğe bürünme tabanlı kimlik avı saldırılarına karşı koruyabilen gelişmiş kimlik avı önleme özellikleriyle posta kutularını korur. |
| 2. Kullanıcı eki açar | Office 365 için Microsoft Defender | ekleri Office 365 için Microsoft Defender Kasa özelliği, ekleri yalıtılmış bir ortamda açarak tehditlerin ek taramasını (patlama) sağlar. |
| 3. Ek kötü amaçlı yazılım yüklüyor | Uç nokta için Microsoft Defender | Bulut tabanlı koruma ve davranış tabanlı/buluşsal/gerçek zamanlı virüsten koruma gibi yeni nesil koruma özellikleriyle uç noktaları kötü amaçlı yazılımlardan korur. |
| 4. Kötü amaçlı yazılım kullanıcı kimlik bilgilerini çalar | Microsoft Entra Kimliği ve Microsoft Entra Kimlik Koruması | Kullanıcı davranışlarını ve etkinliklerini izleyerek, yanal hareketi algılayarak ve anormal etkinliklerde uyarı vererek kimlikleri korur. |
| 5. Saldırgan, Microsoft 365 uygulamaları ve verileri arasında yayılı olarak hareket eder | Microsoft Defender for Cloud Apps | Bulut uygulamalarına erişen kullanıcıların anormal etkinliklerini algılayabilir. |
| 6. Saldırgan, sharepoint klasöründen hassas dosyaları indirir | Microsoft Defender for Cloud Apps | SharePoint'ten dosyaların toplu indirme olaylarını algılayabilir ve yanıtlayabilir. |
Microsoft Sentinel ve Microsoft Defender XDR kullanarak olay yanıtı
Yaygın bir saldırının nasıl gerçekleştiğini gördüğümüze göre, olay yanıtı için Microsoft Sentinel ve Microsoft Defender XDR tümleştirmesini kullanmayı ele alalım.
Microsoft Defender XDR ve Microsoft Sentinel ile bir olaya yanıt verme işlemi aşağıdadır:
- Microsoft Sentinel portalında olayı önceliklendirme.
- Araştırmanızı başlatmak için Microsoft Defender portalına geçin.
- Gerektiğinde Microsoft Sentinel portalında araştırmaya devam edin.
- Microsoft Sentinel portalında olayı çözün.
Aşağıdaki diyagramda Microsoft Sentinel'de bulma ve önceliklendirme ile başlayan işlem gösterilmektedir.
Daha fazla bilgi için bkz . Microsoft Sentinel ve Microsoft Defender XDR kullanarak bir olaya yanıt verme.
Önemli özellikler
Olayları yönetirken Sıfır güven yaklaşımını uygulamak için bu Microsoft Sentinel ve XDR özelliklerini kullanın.
| Yetenek veya özellik | Açıklama | Ürün |
|---|---|---|
| Otomatik Araştırma ve Yanıt (AIR) | AIR özellikleri uyarıları inceleyecek ve ihlalleri çözmek için hemen harekete geçecek şekilde tasarlanmıştır. AIR özellikleri uyarı hacmini önemli ölçüde azaltarak güvenlik operasyonlarının daha gelişmiş tehditlere ve diğer yüksek değerli girişimlere odaklanmasını sağlar. | Microsoft Defender XDR |
| Gelişmiş avcılık | Gelişmiş tehdit avcılığı, 30 güne kadar ham verileri keşfetmenizi sağlayan sorgu tabanlı bir tehdit avcılığı aracıdır. Tehdit göstergelerini ve varlıkları bulmak için ağınızdaki olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avcılık sağlar. | Microsoft Defender XDR |
| Özel dosya göstergeleri | Kötü amaçlı olabilecek dosyaları veya şüpheli kötü amaçlı yazılımları yasaklayarak kuruluşunuzda bir saldırının daha fazla yayılmasını önleyin. | Microsoft Defender XDR |
| Bulut bulma | Cloud Discovery, Uç Nokta için Defender tarafından toplanan trafik günlüklerini analiz eder ve uyumluluk ve güvenlik bilgileri sağlamak için tanımlanan uygulamaları bulut uygulaması kataloğuna göre değerlendirir. | Microsoft Defender for Cloud Apps |
| Özel ağ göstergeleri | IP'ler ve URL'ler veya etki alanları için göstergeler oluşturarak artık kendi tehdit bilgilerinize göre IP'lere, URL'lere veya etki alanlarına izin verebilir veya bunları engelleyebilirsiniz. | Microsoft Defender XDR |
| Uç nokta algılama ve yanıt (EDR) Bloğu | Microsoft Defender Virüsten Koruma (MDAV) birincil virüsten koruma ürünü olmadığında ve pasif modda çalıştığında kötü amaçlı yapıtlara karşı ek koruma sağlar. Blok modunda EDR, EDR özellikleri tarafından algılanan kötü amaçlı yapıtları düzeltmek için arka planda çalışır. | Microsoft Defender XDR |
| Cihaz yanıt özellikleri | Cihazları yalıtarak veya araştırma paketi toplayarak algılanan saldırılara hızla yanıt verme | Microsoft Defender XDR |
| Canlı yanıt | Canlı yanıt, güvenlik operasyonları ekiplerine uzak kabuk bağlantısı kullanarak bir cihaza (makine olarak da adlandırılır) anında erişim sağlar. Bu size ayrıntılı araştırma çalışmaları yapma ve belirlenen tehditleri anında gerçek zamanlı olarak içermesi için anında yanıt eylemleri gerçekleştirme gücü verir. | Microsoft Defender XDR |
| Bulut uygulamalarının güvenliğini sağlama | Çok bulutlu ve çok işlem hattılı ortamlarda güvenlik yönetimini kod düzeyinde bir hale getiren bir geliştirme güvenlik işlemleri (DevSecOps) çözümü. | Bulut için Microsoft Defender |
| Güvenlik duruşunuzu geliştirme | İhlalleri önlemek için gerçekleştirebileceğiniz eylemleri ortaya çıkaran bir bulut güvenliği duruş yönetimi (CSPM) çözümü. | Bulut için Microsoft Defender |
| Bulut iş yüklerini koruma | Sunucular, kapsayıcılar, depolama, veritabanları ve diğer iş yükleri için belirli korumalara sahip bir bulut iş yükü koruma platformu (CWPP). | Bulut için Microsoft Defender |
| Kullanıcı ve Varlık Davranış Analizi (UEBA) | Kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi kuruluş varlıklarının davranışını analiz eder) | Microsoft Sentinel |
| Fusion | Ölçeklenebilir makine öğrenmesi algoritmalarını temel alan bir bağıntı altyapısı. Sonlandırma zincirinin çeşitli aşamalarında gözlemlenen anormal davranışların ve şüpheli etkinliklerin birleşimlerini belirleyerek gelişmiş kalıcı tehditler (APT) olarak da bilinen çok aşamalı saldırıları otomatik olarak algılar. | Microsoft Sentinel |
| Tehdit Bilgileri | Ortamınızdaki etkinlikler, uyarılar ve günlüklerle ilgili ek bağlam sağlamak üzere verileri zenginleştirmek için Microsoft üçüncü taraf sağlayıcılarını kullanın. | Microsoft Sentinel |
| Otomasyon | Otomasyon kuralları, farklı senaryolarda uygulanabilecek küçük bir kural kümesi tanımlamanızı ve koordine edebilmenizi sağlayarak Microsoft Sentinel'de otomasyonu merkezi olarak yönetmenin bir yoludur. | Microsoft Sentinel |
| Anomali kuralları | Anomali kuralı şablonları, belirli anormal davranış türlerini algılamak için makine öğrenmesini kullanır. | Microsoft Sentinel |
| Zamanlanmış sorgular | Şüpheli etkinlik zincirleri ve bilinen tehditler için Sentinel tarafından toplanan günlükleri arayan Microsoft güvenlik uzmanları tarafından yazılan yerleşik kurallar. | Microsoft Sentinel |
| Neredeyse gerçek zamanlı (NRT) kurallar | NRT kuralları, size mümkün olduğunca güncel bilgiler sağlamak için dakikada bir çalışacak şekilde tasarlanmış sınırlı zamanlanmış kurallar kümesidir. | Microsoft Sentinel |
| Avcı -lık | Güvenlik analistlerinin güvenlik uygulamalarınız veya zamanlanmış analiz kurallarınız tarafından algılanmayan yeni anomalileri proaktif olarak aramalarına yardımcı olmak için Microsoft Sentinel'in yerleşik tehdit avcılığı sorguları, ağınızda zaten bulunan verilerdeki sorunları bulmak için doğru soruları sorma konusunda size yol gösterir. | Microsoft Sentinel |
| Microsoft Defender XDR Bağlan or | Microsoft Defender XDR Bağlan or günlükleri ve olayları Microsoft Sentinel ile eşitler. | Microsoft Defender XDR ve Microsoft Sentinel |
| Veri bağlayıcıları | Microsoft Sentinel'de analiz için verilerin alımına izin verin. | Microsoft Sentinel |
| İçerik hub'ı çözümü -Sıfır Güven (TIC 3.0) | Sıfır Güven (TIC 3.0) bir çalışma kitabı, analiz kuralları ve Sıfır Güven ilkelerinin otomatik görselleştirmesini sağlayan bir playbook içerir. Bu, kuruluşların zaman içinde yapılandırmaları izlemesine yardımcı olmak için İnternet'e Güven Bağlan ions çerçevesine çapraz olarak yürümüştür. | Microsoft Sentinel |
| Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) | Güvenlik tehditlerine yanıt olarak otomasyon kuralları ve playbook'lardan yararlanmanız, SOC'nizin verimliliğini artırır ve size zaman ve kaynak tasarrufu sağlar. | Microsoft Sentinel |
Bu çözümde neler var?
Bu çözüm, güvenlik operasyonları ekibinizin Sıfır Güven bir yaklaşım kullanarak olayları etkili bir şekilde düzeltebilmesi için Microsoft Sentinel ve XDR'nin uygulanmasında size yol gösterir.
Önerilen eğitim
| Eğitim | Microsoft Defender XDR'yi Microsoft Sentinel'e Bağlan |
|---|---|
|
Microsoft Defender XDR için Microsoft Sentinel bağlayıcıları tarafından sağlanan yapılandırma seçenekleri ve veriler hakkında bilgi edinin. |
Sonraki adımlar
Sıfır Güven bir yaklaşım için Microsoft Sentinel ve XDR uygulamak için şu adımları kullanın:
- XDR araçlarınızı ayarlama
- Microsoft Sentinel çalışma alanınızın mimarisini oluşturma
- Veri kaynaklarını alma
- Bir olaya yanıt verme
Azure'a Sıfır Güven ilkeleri uygulamak için şu ek makalelere de bakın: