Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu çözüm kılavuzunda Microsoft genişletilmiş algılama ve yanıt (XDR) araçlarını ayarlama ve kuruluşunuzun siber güvenlik saldırılarına daha hızlı yanıt verebilmesi ve bunları düzeltmesi için bunları Microsoft Sentinel ile tümleştirme adımları gösterilmektedir.
Microsoft Defender XDR, Microsoft 365 ortamınızdaki sinyal, tehdit ve uyarı verilerini otomatik olarak toplayan, ilişkilendiren ve analiz eden bir XDR çözümüdür.
Microsoft Sentinel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) özellikleri sağlayan buluta özel bir çözümdür. Microsoft Sentinel ve Microsoft Defender XDR birlikte kuruluşların modern saldırılara karşı savunmalarına yardımcı olacak kapsamlı bir çözüm sağlar.
Bu kılavuz, Sıfır Güven ilkelerini aşağıdaki yollarla eşleyerek Sıfır Güven mimarinizi geliştirmenize yardımcı olur:
| Sıfır Güven Ilkesi | Karşılanan |
|---|---|
| Açıkça doğrula | Microsoft Sentinel, ortamın her yerinden veri toplar ve tehditleri ve anomalileri analiz eder, böylece kuruluşunuz ve tüm otomasyonlar doğrulanmış veriler üzerinde işlem yapabilir. Microsoft Defender XDR, kullanıcılar, kimlikler, cihazlar, uygulamalar ve e-postalar arasında genişletilmiş algılama ve yanıt sağlar. Microsoft Sentinel otomasyonlarını, microsoft Defender XDR tarafından yakalanan risk tabanlı sinyalleri kullanarak trafiği engelleme veya risk temelinde yetkilendirme gibi eylemler gerçekleştirecek şekilde yapılandırın. |
| En az ayrıcalıklı erişim kullan | Microsoft Sentinel, UEBA altyapısı aracılığıyla anormal etkinlikleri algılar. Güvenlik senaryoları hızla değiştikçe tehdit bilgileri, ortaya çıkan tehditleri algılamak ve bağlamsal hale getirmek için Microsoft'tan ve üçüncü taraf sağlayıcılardan verileri içeri aktarır. Microsoft Defender XDR, kimlik riskine göre kullanıcıları engellemek için Microsoft Entra ID Koruması içerir. Daha fazla analiz ve otomasyon için ilgili verileri Microsoft Sentinel'e aktarın. |
| İhlal varsay | Microsoft Defender XDR, tehditler ve güvenlik açıkları için ortamı sürekli olarak tarar. Microsoft Sentinel, kuruluş genelinde şüpheli etkinlikleri, anomalileri ve çok aşamalı tehditleri algılamak için toplanan verileri ve davranış eğilimlerini analiz eder. Hem Microsoft Defender XDR hem de Microsoft Sentinel araştırma, cihaz yalıtımı ve veri karantinası gibi otomatik düzeltme görevlerini uygular. Microsoft Entra Koşullu Erişim için sinyal olarak cihaz riskini kullanın. |
Microsoft Defender XDR ile çalışmaya başlama
Microsoft Defender XDR'yi dağıtmak, kuruluşunuzda olay algılama ve yanıt yetenekleri oluşturmak için harika bir başlangıç noktasıdır. Defender XDR, Microsoft 365 E5'e dahildir ve Microsoft 365 E5 deneme lisanslarını kullanarak bile çalışmaya başlayabilirsiniz. Defender XDR, Microsoft Sentinel ile veya genel bir SIEM aracıyla tümleştirilebilir.
Daha fazla bilgi için bkz. Microsoft Defender XDR'yi pilot ve dağıtma.
Microsoft Sentinel ve XDR mimarisi
Microsoft Sentinel müşterileri, Microsoft Sentinel'i Microsoft Defender XDR hizmetleriyle tümleştirmek için şu yöntemlerden birini kullanabilir:
Microsoft Sentinel'i, birleşik güvenlik işlemleri için Microsoft Defender XDR ile birlikte kullanmak üzere Defender portalına ekleme. Microsoft Sentinel verilerini doğrudan Defender portalında Defender olaylarınızın, uyarılarınızın, güvenlik açıklarınızın ve güvenlik verilerinizin yanı sıra görüntüleyin.
Microsoft Sentinel veri bağlayıcılarını kullanarak Microsoft Defender XDR hizmet verilerini Microsoft Sentinel'e alın. Microsoft Sentinel verilerini Azure portalında görüntüleyin.
Bu kılavuz merkezi her iki yöntem için de bilgi sağlar. Çalışma alanınızı Defender portalına bağladıysanız kullanın; aksi belirtilmediği sürece Azure portalını kullanın.
Aşağıdaki çizimde, Microsoft'un XDR çözümünün Defender portalında Microsoft Sentinel ile nasıl tümleştirileceği gösterilmektedir.
Bu diyagramda:
- Kuruluşunuzun tamamındaki sinyallerden elde edilen içgörüler, Microsoft Defender XDR ve Microsoft Defender for Cloud'a aktarılır.
- Microsoft Sentinel, çoklu bulut ortamları için destek sağlar ve üçüncü taraf uygulamalar ve iş ortakları ile tümleşir.
- Microsoft Sentinel verileri, kuruluşunuzun verileriyle birlikte Microsoft Defender portalına alınır.
- SecOps ekipleri, Microsoft Defender portalında Microsoft Sentinel ve Microsoft Defender XDR tarafından tanımlanan tehditleri analiz edebilir ve yanıtlayabilir.
Önemli özellikler
Microsoft Sentinel ve Defender XDR özelliklerini kullanarak olayları yönetmek için Sıfır Güven yaklaşımı uygulayın. Defender portalına eklenen çalışma alanları için Defender portalında Microsoft Sentinel'i kullanın.
| Yetenek veya özellik | Açıklama | Ürün |
|---|---|---|
| Otomatik Araştırma & Yanıtı (AIR) | AIR özellikleri uyarıları inceleyecek ve ihlalleri çözmek için hemen harekete geçecek şekilde tasarlanmıştır. AIR özellikleri uyarı hacmini önemli ölçüde azaltarak güvenlik operasyonlarının daha gelişmiş tehditlere ve diğer yüksek değerli girişimlere odaklanmasını sağlar. | Microsoft Defender XDR |
| Gelişmiş avcılık | Gelişmiş avcılık, 30 güne kadar ham verileri keşfetmenizi sağlayan sorgu tabanlı bir tehdit avcılığı aracıdır. Tehdit göstergelerini ve varlıkları bulmak için ağınızdaki olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avcılık sağlar. | Microsoft Defender XDR |
| Özel dosya göstergeleri | Kötü amaçlı olabilecek dosyaları veya şüpheli kötü amaçlı yazılımları yasaklayarak kuruluşunuzda bir saldırının daha fazla yayılmasını önleyin. | Microsoft Defender XDR |
| Bulut keşfi | Cloud Discovery, Uç Nokta için Defender tarafından toplanan trafik günlüklerini analiz eder ve uyumluluk ve güvenlik bilgileri sağlamak için tanımlanan uygulamaları bulut uygulaması kataloğuna göre değerlendirir. | Bulut Uygulamaları için Microsoft Defender |
| Özel ağ göstergeleri | IP'ler ve URL'ler veya etki alanları için göstergeler oluşturarak artık kendi tehdit bilgilerinize göre IP'lere, URL'lere veya etki alanlarına izin verebilir veya bunları engelleyebilirsiniz. | Microsoft Defender XDR |
| Uç nokta algılama ve yanıt (EDR) Bloğu | Microsoft Defender Virüsten Koruma (MDAV) birincil virüsten koruma ürünü olmadığında ve pasif modda çalıştığında kötü amaçlı yapıtlara karşı ek koruma sağlar. Blok modundaki EDR, EDR özellikleri tarafından algılanan kötü amaçlı yapıtları düzeltmek için arka planda çalışır. | Microsoft Defender XDR |
| Cihaz yanıt özellikleri | Cihazları yalıtarak veya araştırma paketi toplayarak algılanan saldırılara hızla yanıt verme | Microsoft Defender XDR |
| Canlı yanıt | Canlı yanıt, güvenlik operasyonları ekiplerine uzak kabuk bağlantısı kullanarak bir cihaza (makine olarak da adlandırılır) anında erişim sağlar. Bu size ayrıntılı araştırma çalışmaları yapma ve belirlenen tehditleri anında gerçek zamanlı olarak içermesi için anında yanıt eylemleri gerçekleştirme gücü verir. | Microsoft Defender XDR |
| Bulut uygulamalarının güvenliğini sağlama | Çok bulutlu ve çok işlem hattılı ortamlarda güvenlik yönetimini kod düzeyinde bir hale getiren bir geliştirme güvenlik işlemleri (DevSecOps) çözümü. | Bulut için Microsoft Defender |
| Güvenlik duruşunuzu geliştirme | İhlalleri önlemek için gerçekleştirebileceğiniz eylemleri ortaya çıkaran bir bulut güvenliği duruş yönetimi (CSPM) çözümü. | Bulut için Microsoft Defender |
| Bulut iş yüklerini koruma | Sunucular, kapsayıcılar, depolama, veritabanları ve diğer iş yükleri için belirli korumalara sahip bir bulut iş yükü koruma platformu (CWPP). | Bulut için Microsoft Defender |
| Kullanıcı ve Varlık Davranış Analizi (UEBA) | Kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi kuruluş varlıklarının davranışını analiz eder | Microsoft Sentinel |
| Füzyon | Ölçeklenebilir makine öğrenmesi algoritmalarını temel alan bir bağıntı altyapısı. Sonlandırma zincirinin çeşitli aşamalarında gözlemlenen anormal davranışların ve şüpheli etkinliklerin birleşimlerini belirleyerek gelişmiş kalıcı tehditler (APT) olarak da bilinen çok aşamalı saldırıları otomatik olarak algılar. | Microsoft Sentinel |
| Tehdit Bilgileri | Ortamınızdaki etkinlikler, uyarılar ve günlüklerle ilgili ek bağlam sağlamak üzere verileri zenginleştirmek için Microsoft üçüncü taraf sağlayıcılarını kullanın. | Microsoft Sentinel |
| Otomasyon | Otomasyon kuralları, farklı senaryolarda uygulanabilecek küçük bir kural kümesi tanımlamanızı ve koordine edebilmenizi sağlayarak Microsoft Sentinel ile otomasyonu merkezi olarak yönetmenin bir yoludur. | Microsoft Sentinel |
| Anomali kuralları | Anomali kuralı şablonları, belirli anormal davranış türlerini algılamak için makine öğrenmesini kullanır. | Microsoft Sentinel |
| Zamanlanmış sorgular | Microsoft güvenlik uzmanları tarafından yazılan yerleşik kurallar, Microsoft Sentinel tarafından toplanan günlüklerde şüpheli etkinlik zincirleri ve bilinen tehditleri arar. | Microsoft Sentinel |
| Gerçek zamanlıya yakın (NRT) kuralları | NRT kuralları, size mümkün olduğunca up-todakika bilgi sağlamak için dakikada bir çalışacak şekilde tasarlanmış sınırlı zamanlanmış kurallar kümesidir. | Microsoft Sentinel |
| Avcılık | Güvenlik analistlerinin güvenlik uygulamalarınız veya zamanlanmış analiz kurallarınız tarafından algılanmayan yeni anomalileri proaktif olarak aramalarına yardımcı olmak için Microsoft Sentinel'in yerleşik tehdit avcılığı sorguları, ağınızda zaten bulunan verilerdeki sorunları bulmak için doğru soruları sorma konusunda size yol gösterir. | Microsoft Sentinel Defender portalına alınan çalışma alanları için Microsoft Defender portalının gelişmiş av işlevini kullanın. |
| Microsoft Defender XDR Bağlayıcısı | Microsoft Defender XDR bağlayıcısı günlükleri ve olayları Microsoft Sentinel ile eşitler. | Microsoft Defender XDR ve Microsoft Sentinel |
| Veri bağlayıcıları | Microsoft Sentinel'de analiz için verilerin alımına izin verin. | Microsoft Sentinel |
| İçerik hub'ı çözümü -Zero Güveni (TIC 3.0) | Sıfır Güven (TIC 3.0), bir çalışma kitabı, analiz kuralları ve Sıfır Güven ilkelerinin otomatik görselleştirmesini sağlayan bir playbook içerir. Bu, kuruluşların zaman içinde yapılandırmaları izlemesine yardımcı olmak amacıyla Güven İnternet Bağlantıları çerçevesiyle kıyaslanmıştır. | Microsoft Sentinel |
| Güvenlik düzenleme, otomasyon ve yanıt (SOAR) | Güvenlik tehditlerine yanıt olarak otomasyon kurallarını ve playbook'ları kullanmak SOC'nizin verimliliğini artırır ve size zaman ve kaynak tasarrufu sağlar. | Microsoft Sentinel |
| SOC iyileştirmeleri | Belirli tehditlere karşı kapsam boşluklarını kapatın ve güvenlik değeri sağlamayan verilere karşı alım oranlarınızı sıkılaştırın. | Microsoft Sentinel Defender portalına eklenen çalışma alanları için Microsoft Defender portalında SOC iyileştirmesini kullanın. |
Bu çözümde neler var?
Bu çözüm, güvenlik operasyonları ekibinizin Microsoft Sentinel ve Microsoft Defender XDR uygulaması boyunca size yol göstererek Sıfır Güven yaklaşımını kullanarak olayları düzeltmelerine yardımcı olur. Uygulama şu aşamaları içerir:
| Aşama | Açıklama |
|---|---|
| 1. Microsoft Defender XDR hizmetlerini deneme ve dağıtma | Kuruluşunuz genelinde dağıtımı tamamlamadan önce özelliklerini ve özelliklerini değerlendirebilmeniz için Microsoft Defender XDR hizmetlerini pilot olarak kullanmaya başlayın. |
| 2. Dağıtımınızı planlama | Ardından, XDR hizmetleri ve Microsoft Sentinel çalışma alanı dahil olmak üzere tam SIEM ve XDR dağıtımınızı planlayın. |
| 3. XDR araçlarını ayarlama ve çalışma alanınızın mimarisini oluşturma | Bu aşamada, ortamınızda kullanmaya karar ettiğiniz XDR hizmetlerini dağıtın, SIEM ve XDR çözümünüzü desteklemek için Microsoft Sentinel'i ve diğer hizmetleri dağıtın. Azure portalından çalışmayı planlıyorsanız Microsoft Sentinel'i Microsoft Defender portalına bağlama adımını atlayın. Bu adım yalnızca Microsoft Sentinel Defender portalını kullanmak istiyorsanız geçerlidir ve Azure portalında olaylara yanıt vermek istiyorsanız ilgili değildir. |
| 4. Olaylara yanıt verme | Son olarak, Defender portalına dahil olup olmadığınıza bağlı olarak olaylara yanıt verin. - Defender portalından bir olaya yanıt verme - Azure portalından bir olaya yanıt verme |
İlgili içerik
Daha fazla bilgi için bkz. Microsoft Sentinel ve Defender XDR ile Sıfır Güven güvenliği ve portalınız için ilgili içerik:
Microsoft 365'te Sıfır Güven ilkelerini uygulama hakkında daha fazla bilgi için bkz:
- Microsoft 365 ile Sıfır Güven dağıtım planı
- Microsoft 365 için kimlik altyapınızı dağıtma
- Sıfır Güven kimlik ve cihaz erişim yapılandırmaları
- Microsoft Intune ile cihazları yönetme
- Microsoft Priva ve Microsoft Purview ile veri gizliliğini ve veri korumasını yönetme
- Sıfır Güven için SaaS uygulamalarını Microsoft 365 ile tümleştirme