Bulut için Microsoft Defender, Azure VMware Çözümünüz ve şirket içi sanal makineleriniz (VM) genelinde gelişmiş tehdit koruması sağlar. Azure VMware Çözümü VM’lerin güvenlik açığını değerlendirir ve gerektiğinde uyarılar verir. Bu güvenlik uyarıları çözüm için Azure İzleyici’ye iletilebilir. Bulut için Microsoft Defender’da güvenlik ilkeleri tanımlayabilirsiniz. Daha fazla bilgi için bkz: Güvenlik ilkeleriyle çalışma.

Bulut için Microsoft Defender, aşağıdakiler de dahil olmak üzere birçok özellik sunar:

  • Dosya bütünlüğü izleme
  • Dosyasız saldırı algılama
  • İşletim sistemi yama değerlendirmesi
  • Güvenlik yanlış yapılandırmaları değerlendirmesi
  • Uç nokta koruma değerlendirmesi

Diyagramda, Azure VMware Çözümü VM’ler için tümleşik güvenliğin tümleşik izleme mimarisi gösterilmektedir.

Azure Tümleşik Güvenlik mimarisini gösteren diyagram.

Log Analytics aracısı Azure’dan, Azure VMware Çözümü ve şirket içi VM’lerden günlük verilerini toplar. Günlük verileri Azure İzleyici Günlüklerine gönderilir ve Log Analytics Çalışma Alanında depolanır. Her çalışma alanının verileri depolamak için kendi veri deposu ve yapılandırması vardır. Günlükler toplandıktan sonra Bulut için Microsoft Defender, Azure VMware Çözümü VM’lerin güvenlik açığı durumunu değerlendirir ve kritik güvenlik açıkları için uyarı verir. Değerlendirildikten sonra Bulut için Microsoft Defender, bir olay oluşturmak ve diğer tehditlerle eşlemek için güvenlik açığı durumunu Microsoft Sentinel’e iletir. Bulut için Microsoft Defender, Bulut Bağlayıcısı için Microsoft Defender kullanılarak Microsoft Sentinel’e bağlanır.

Önkoşullar

 Not

Bulut için Microsoft Defender, dağıtım gerektirmeyen önceden yapılandırılmış bir araçtır, ancak etkinleştirmeniz gerekir.

Bulut için Defender’a Azure VMware Çözümü VM’leri ekleme

  1. Azure portal Azure Arc’ta arama yapın ve seçin.
  2. Kaynaklar’ın altında Sunucular’ı ve ardından +Ekle’yi seçin.

Azure'a Azure VMware Çözümü VM eklemek için Azure Arc Sunucuları sayfasını gösteren ekran görüntüsü.

  1. Komut dosyası oluştur’u seçin.

Etkileşimli betik kullanarak sunucu ekleme seçeneğini gösteren Azure Arc sayfasının ekran görüntüsü.

  1. Önkoşullar sekmesinde İleri’yi seçin.
  2. Kaynak ayrıntıları sekmesinde aşağıdaki ayrıntıları doldurun ve İleri’yi seçin. Etiketler:
    • Abonelik
    • Kaynak grubu
    • Bölge
    • İşletim Sistemi
    • Proxy Sunucusu ayrıntıları
  3. Etiketler sekmesinde İleri’yi seçin.
  4. Betiği indir ve çalıştır sekmesinde İndir’i seçin.
  5. İşletim sisteminizi belirtin ve betiği Azure VMware Çözümü VM’nizde çalıştırın.

Önerileri ve başarılı değerlendirmeleri görüntüleme

Öneriler ve değerlendirmeler, kaynağınızın güvenlik durumu ayrıntılarını sağlar.

  1. Bulut için Microsoft Defender’da sol bölmeden Envanter’i seçin.
  2. Kaynak türü için Sunucular – Azure Arc’ı seçin.

Kaynak türü altında Sunucular - Azure Arc'ın seçili olduğu Bulut Envanteri için Microsoft Defender sayfasını gösteren ekran görüntüsü.

  1. Kaynağınızın adını seçin. Kaynağınızın güvenlik durumu ayrıntılarını gösteren bir sayfa açılır.
  2. Öneri listesi’nin altında, bu ayrıntıları görüntülemek için ÖnerilerBaşarılı değerlendirmeler ve Kullanılamayan değerlendirmeler sekmelerini seçin.

Bulut için Microsoft Defender güvenlik önerilerini ve değerlendirmelerini gösteren ekran görüntüsü.

Microsoft Sentinel çalışma alanı dağıtma

Microsoft Sentinel, bir ortamda güvenlik analizi, uyarı algılama ve otomatik tehdit yanıtı sağlar. Log Analytics çalışma alanının üzerine inşa edilmiş, buluta özel bir güvenlik bilgileri olay yönetimi (SIEM) çözümüdür.

Microsoft Sentinel Log Analytics çalışma alanının üzerine kurulduğundan, yalnızca kullanmak istediğiniz çalışma alanını seçmeniz gerekir.

  1. Azure portal Microsoft Sentinel’i arayın ve seçin.
  2. Microsoft Sentinel çalışma alanları sayfasında +Ekle’yi seçin.
  3. Log Analytics çalışma alanını seçin ve Ekle’yi seçin.

Güvenlik olayları için veri toplayıcıyı etkinleştirme

  1. Microsoft Sentinel çalışma alanları sayfasında yapılandırılan çalışma alanını seçin.
  2. Yapılandırma’nın altında Veri bağlayıcıları’nı seçin.
  3. Bağlayıcı Adı sütununun altında listeden Güvenlik Olayları’nı ve ardından Bağlayıcı sayfasını aç’ı seçin.
  4. Bağlayıcı sayfasında, akışla aktarmak istediğiniz olayları seçin ve ardından Değişiklikleri Uygula’yı seçin.

Microsoft Sentinel'de hangi olayların akışa alınacağını seçebileceğiniz Güvenlik Olayları sayfasının ekran görüntüsü.

Microsoft Sentinel’i Bulut için Microsoft Defender ile bağlama

  1. Microsoft Sentinel çalışma alanı sayfasında yapılandırılan çalışma alanını seçin.
  2. Yapılandırma’nın altında Veri bağlayıcıları’nı seçin.
  3. Listeden Bulut için Microsoft Defender’ı ve ardından Bağlayıcı sayfasını aç’ı seçin.

Microsoft Sentinel'de Bulut için Microsoft Defender'ı Microsoft Sentinel'e bağlama seçimini gösteren Veri bağlayıcıları sayfasının ekran görüntüsü.

  1. Bulut için Microsoft Defender’ı Microsoft Sentinel’e bağlamak için Bağlan’ı seçin.
  2. Bulut için Microsoft Defender için bir olay oluşturmak üzere Olay oluştur’u etkinleştirin.

Güvenlik tehditlerini tanımlamak için kurallar oluşturma

Veri kaynaklarını Microsoft Sentinel’e bağladıktan sonra, algılanan tehditler için uyarılar oluşturmak üzere kurallar oluşturabilirsiniz. Aşağıdaki örnekte, Windows sunucusunda yanlış parolayla oturum açma girişimleri için bir kural oluşturuyoruz.

  1. Microsoft Sentinel’e genel bakış sayfasında, Yapılandırmalar’ın altında Analiz’i seçin.
  2. Yapılandırmalar’ın altında Analizler’i seçin.
  3. +Oluştur’u seçin ve açılan listede Zamanlanmış sorgu kuralı’nı seçin.
  4. Genel sekmesinde gerekli bilgileri girin ve İleri: Kural mantığını ayarla’yı seçin.
    • Ad
    • Tarif
    • Taktik
    • Şiddet
    • Durum
  5. Kural mantığını ayarla sekmesinde gerekli bilgileri girin ve İleri’yi seçin.
    • Kural sorgusu (burada örnek sorgumuz gösterilmektedir)

Kopya etmek

SecurityEvent

|where Activity startswith ‘4625’

|summarize count () by IpAddress,Computer

|where count_ > 3

    • Objeleri eşleme
    • Sorgu zamanlama
    • Uyarı eşiği
    • Olay gruplandırma
    • Bastırma
  1. Olay ayarları sekmesinde Bu analiz kuralı tarafından tetiklenen uyarılardan olay oluştur’u etkinleştirin ve İleri: Otomatik yanıt’ı seçin.

Microsoft Sentinel'de yeni bir kural oluşturmak için Analitik kural sihirbazını gösteren ekran görüntüsü.

  1. İleri: Gözden Geçir’i seçin.
  2. Gözden geçir ve oluştur sekmesinde bilgileri gözden geçirin ve Oluştur’u seçin.

 Bahşiş

Windows sunucusunda oturum açmaya yönelik üçüncü başarısız girişimden sonra, oluşturulan kural her başarısız girişim için bir olayı tetikler.

Uyarıları görüntüleme

Microsoft Sentinel ile oluşturulan olayları görüntüleyebilirsiniz. Ayrıca olayları atayabilir ve çözümlendikten sonra Microsoft Sentinel içinden kapatabilirsiniz.

  1. Microsoft Sentinel’e genel bakış sayfasına gidin.
  2. Tehdit Yönetimi’nin altında Olaylar’ı seçin.
  3. Bir olay seçin ve ardından çözüm için bir ekibe atayın.

Olayın seçili olduğu Microsoft Sentinel Olayları sayfasının ekran görüntüsü ve olayı çözüm için atama seçeneği.

 Bahşiş

Sorunu çözdükten sonra kapatabilirsiniz.

Sorgularla güvenlik tehditlerini avlayın

Ortamınızdaki tehditleri tanımlamak için sorgular oluşturabilir veya Microsoft Sentinel’de önceden tanımlanmış sorguyu kullanabilirsiniz. Aşağıdaki adımlar önceden tanımlanmış bir sorgu çalıştırır.

  1. Microsoft Sentinel’e genel bakış sayfasında, Tehdit yönetimi’nin altında Tehdit Avcılığı’nı seçin. Önceden tanımlanmış sorguların bir listesi görüntülenir.

 Bahşiş

Yeni Sorgu’yu seçerek de yeni bir sorgu oluşturabilirsiniz.

+ Yeni Sorgu vurgulanmış Microsoft Sentinel Hunting sayfasının ekran görüntüsü.

  1. Bir sorgu seçin ve ardından Sorguyu Çalıştır’ı seçin.
  2. Sonuçları kontrol etmek için Sonuçları Görüntüle’yi seçin.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Fill out this field
Fill out this field
Lütfen geçerli bir e-posta adresi girin.
You need to agree with the terms to proceed

Menü