Pilot uygulama ve Office 365 için Defender dağıtma

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Bu makalede, kuruluşunuzda Office 365 için Microsoft Defender pilot oluşturma ve dağıtmaya yönelik bir iş akışı sağlanır. Office 365 için Microsoft Defender bireysel bir siber güvenlik aracı olarak veya Microsoft Defender XDR ile uçtan uca bir çözümün parçası olarak eklemek için bu önerileri kullanabilirsiniz.

Bu makalede üretim Microsoft 365 kiracınız olduğu ve bu ortamda Office 365 için Microsoft Defender pilot olarak kullandığınız ve dağıttığınız varsayılır. Bu uygulama, tam dağıtımınız için pilot çalışmanız sırasında yapılandırdığınız tüm ayarları ve özelleştirmeleri korur.

Office 365 için Defender, bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olarak Sıfır Güven mimarisine katkıda bulunur. Daha fazla bilgi için Bkz. Microsoft Sıfır Güven benimseme çerçevesinin bir ihlal iş senaryosunda iş zararını önleme veya azaltma.

Microsoft Defender XDR için uçtan uca dağıtım

Bu, olayları araştırmak ve yanıtlamak da dahil olmak üzere Microsoft Defender XDR bileşenlerini dağıtmanıza yardımcı olmak için serideki 6'nın 3. maddesidir.

Pilot ve dağıtım Microsoft Defender XDR işlemindeki Office 365 için Microsoft Defender gösteren diyagram.

Bu serideki makaleler, uçtan uca dağıtımın aşağıdaki aşamalarına karşılık gelir:

Aşama Bağlantı
C. Pilotu başlatın Pilotu başlatın
B. Microsoft Defender XDR bileşenlerini pilot olarak kullanın ve dağıtın - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın

- pilot ve dağıtım Office 365 için Defender (bu makale)

- Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma

- pilot ve dağıtım Microsoft Defender for Cloud Apps
C. Tehditleri araştırın ve karşı yanıt verin Olay araştırma ve yanıt uygulama

Office 365 için Defender için iş akışı pilotu oluşturma ve dağıtma

Aşağıdaki diyagramda, bt ortamında ürün veya hizmet dağıtmaya yönelik yaygın bir işlem gösterilmektedir.

Pilot, değerlendirme ve tam dağıtım benimseme aşamalarının diyagramı.

İlk olarak ürünü veya hizmeti ve kuruluşunuzda nasıl çalışacağını değerlendirebilirsiniz. Ardından test, öğrenme ve özelleştirme için üretim altyapınızın uygun küçük bir alt kümesiyle ürünü veya hizmeti pilot olarak kullanırsınız. Ardından, altyapınızın veya kuruluşunuzun tamamı kapsanana kadar dağıtımın kapsamını aşamalı olarak artırın.

Üretim ortamınızda Office 365 için Defender pilot uygulama ve dağıtma iş akışı aşağıdadır.

Office 365 için Microsoft Defender pilot uygulama ve dağıtma adımlarını gösteren diyagram.

Şu adımları izleyin:

  1. Genel MX kaydını denetleme ve doğrulama
  2. Kabul edilen etki alanlarını denetleme
  3. Gelen bağlayıcıları denetleme
  4. Değerlendirmeyi etkinleştirme
  5. Pilot gruplar oluşturma
  6. Korumayı yapılandırma
  7. Özellikleri deneyin

Her dağıtım aşaması için önerilen adımlar aşağıdadır.

Dağıtım aşaması Açıklama
Değerlendirmek Office 365 için Defender için ürün değerlendirmesi gerçekleştirin.
Pilot Pilot gruplar için 1-7 arası adımları gerçekleştirin.
Tam dağıtım 5. Adımda pilot kullanıcı gruplarını yapılandırın veya pilotun ötesine geçmek için kullanıcı grupları ekleyin ve sonunda tüm kullanıcı hesaplarınızı ekleyin.

Office 365 için Defender mimarisi ve gereksinimleri

Aşağıdaki diyagramda, üçüncü taraf SMTP ağ geçidi veya şirket içi tümleştirme içerebilen Office 365 için Microsoft Defender için temel mimari gösterilmektedir. Karma birlikte kullanım senaryoları (yani üretim posta kutuları hem şirket içi hem de çevrimiçidir) daha karmaşık yapılandırmalar gerektirir ve bu makalede veya değerlendirme kılavuzunda ele alınamaz.

Office 365 için Microsoft Defender mimarisi için bir diyagram.

Aşağıdaki tabloda bu çizim açıklanmaktadır.

Açıklama balonu Açıklama
1 Dış gönderenin konak sunucusu genellikle bir MX kaydı için genel DNS araması gerçekleştirir ve bu da iletiyi geçirmesi için hedef sunucu sağlar. Bu başvuru doğrudan Exchange Online (EXO) veya EXO'ya geçiş için yapılandırılmış bir SMTP ağ geçidi olabilir.
2 Exchange Online Protection gelen bağlantıda anlaşma yapıp doğrular ve hangi ek ilkelerin, etiketlemenin veya işlemenin gerekli olduğunu belirlemek için ileti üst bilgilerini ve içeriğini inceler.
3 Exchange Online daha gelişmiş tehdit koruması, risk azaltma ve düzeltme sunmak için Office 365 için Microsoft Defender ile tümleştirilir.
4 Kötü amaçlı, engellenmemiş veya karantinaya alınmış olmayan bir ileti işlenip EXO'da alıcıya teslim edilir ve burada gereksiz posta, posta kutusu kuralları veya diğer ayarlarla ilgili kullanıcı tercihleri değerlendirilir ve tetiklenir.
5 şirket içi Active Directory ile tümleştirme, posta özellikli nesneleri ve hesapları Microsoft Entra ID ve sonuçta Exchange Online eşitlemek ve sağlamak için Microsoft Entra Connect kullanılarak etkinleştirilebilir.
6 Şirket içi ortamı tümleştirirken, postayla ilgili özniteliklerin, ayarların ve yapılandırmaların desteklenen yönetimi ve yönetimi için bir Exchange sunucusu kullanmak en iyisidir.
7 Office 365 için Microsoft Defender, genişletilmiş algılama ve yanıt (XDR) için sinyalleri Microsoft Defender XDR paylaşır.

Şirket içi tümleştirme yaygın ancak isteğe bağlıdır. Ortamınız yalnızca buluta yönelikse, bu kılavuz sizin için de geçerlidir.

Başarılı bir Office 365 için Defender değerlendirmesi veya üretim pilotu aşağıdaki önkoşulları gerektirir:

  • Tüm alıcı posta kutularınız şu anda Exchange Online.
  • Genel MX kaydınız doğrudan EOP'ye veya gelen dış e-postayı doğrudan EOP'ye aktaran bir üçüncü taraf Basit Posta Aktarım Protokolü (SMTP) ağ geçidine çözümleniyor.
  • Birincil e-posta etki alanınız Exchange Online yetkili olarak yapılandırılır.
  • Dizin Tabanlı Uç Engellemeyi (DBEB) uygun şekilde başarıyla dağıtıp yapılandırdıysanız. Daha fazla bilgi için bkz. Geçersiz alıcılara gönderilen iletileri reddetmek için Edge Engelleme Directory-Based kullanma.

Önemli

Bu gereksinimler geçerli değilse veya hala karma bir birlikte kullanım senaryosundaysanız, Office 365 için Microsoft Defender değerlendirmesi bu kılavuzda tam olarak ele alınmayacak daha karmaşık veya gelişmiş yapılandırmalar gerektirebilir.

1. Adım: Genel MX kaydını denetleme ve doğrulama

Office 365 için Microsoft Defender etkili bir şekilde değerlendirmek için gelen dış e-postanın kiracınızla ilişkilendirilmiş Exchange Online Protection (EOP) örneği üzerinden geçirilmesi önemlidir.

  1. konumundaki M365 Yönetici Portalı'nda https://admin.microsoft.com... Gerekirse tümünü göster'i seçin, Ayarlar'ı genişletin ve ardından Etki Alanları'nı seçin. Veya doğrudan Etki Alanları sayfasına gitmek için kullanın https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. Etki Alanları sayfasında, onay kutusundan başka bir girişe tıklayarak doğrulanmış e-posta etki alanınızı seçin.
  3. Açılan etki alanı ayrıntıları açılır öğesinde DNS kayıtları sekmesini seçin. Oluşturulan ve EOP kiracınıza atanan MX kaydını not edin.
  4. Dış (genel) DNS bölgenize erişin ve e-posta etki alanınızla ilişkili birincil MX kaydını denetleyin:
    • Genel MX kaydınız şu anda atanan EOP adresiyle eşleşiyorsa (örneğin, contoso-com.mail.protection.outlook.com) başka yönlendirme değişikliği gerekmez.
    • Genel MX kaydınız şu anda üçüncü taraf veya şirket içi SMTP ağ geçidine çözümleniyorsa ek yönlendirme yapılandırmaları gerekebilir.
    • Genel MX kaydınız şu anda şirket içi Exchange'e çözümleniyorsa, bazı alıcı posta kutularının henüz EXO'ya geçirilmediğiniz karma bir modelde olabilirsiniz.

2. Adım: Kabul edilen etki alanlarını denetleme

  1. konumundaki Exchange yönetim merkezinde (EAC) https://admin.exchange.microsoft.comPosta akışı'nı genişletin ve kabul edilen etki alanları'na tıklayın. Veya doğrudan Kabul edilen etki alanları sayfasına gitmek için kullanın https://admin.exchange.microsoft.com/#/accepteddomains.
  2. Kabul edilen etki alanları sayfasında, birincil e-posta etki alanınız için Etki alanı türü değerini not edin.
    • Etki alanı türü Yetkili olarak ayarlanırsa, kuruluşunuz için tüm alıcı posta kutularının şu anda Exchange Online içinde bulunduğu varsayılır.
    • Etki alanı türü InternalRelay olarak ayarlandıysa, bazı alıcı posta kutularının hala şirket içinde bulunduğu karma modelde olabilirsiniz.

3. Adım: Gelen bağlayıcıları denetleme

  1. konumundaki Exchange yönetim merkezinde (EAC) https://admin.exchange.microsoft.comPosta akışı'nı genişletin ve bağlayıcılar'a tıklayın. Veya doğrudan Bağlayıcılar sayfasına gitmek için kullanın https://admin.exchange.microsoft.com/#/connectors.
  2. Bağlayıcılar sayfasında, aşağıdaki ayarlara sahip bağlayıcıları not edin:
    • From değeri, üçüncü taraf SMTP ağ geçidiyle bağıntı oluşturabilen İş Ortağı kuruluşudur.
    • Kaynak değeri, hala karma bir senaryoda olduğunuzu gösterebilecek Kuruluşunuz değeridir.

4. Adım: Değerlendirmeyi etkinleştirme

Microsoft Defender portalından Office 365 için Microsoft Defender değerlendirmenizi etkinleştirmek için buradaki yönergeleri kullanın.

Ayrıntılı bilgi için bkz. Deneme Office 365 için Microsoft Defender.

  1. konumundaki Microsoft Defender portalında https://security.microsoft.comEmail & işbirliği'ni> genişletin & İlkeler & kuralları'nı> seçin. Tehdit ilkeleri> ekranı aşağı kaydırarak Diğerleri bölümüne gidin ve değerlendirme modu'nu seçin. Veya doğrudan Değerlendirme modu sayfasına gitmek için kullanın https://security.microsoft.com/atpEvaluation.

  2. Değerlendirme modu sayfasında Değerlendirmeyi başlat'a tıklayın.

    Değerlendirme modu sayfasının ve Tıklayacak Değerlendirmeyi başlat düğmesinin ekran görüntüsü.

  3. Korumayı aç iletişim kutusunda Hayır, yalnızca raporlama istiyorum'u seçin ve devam'a tıklayın.

    Korumayı aç iletişim kutusunun ve Hayır, yalnızca raporlamayı istiyorum seçeneğinin ekran görüntüsü.

  4. Eklemek istediğiniz kullanıcıları seçin iletişim kutusunda Tüm kullanıcılar'ı seçin ve ardından Devam'a tıklayın.

    Eklemek istediğiniz kullanıcıları seçin iletişim kutusunun ve seçecek Tüm kullanıcılar seçeneğinin ekran görüntüsü.

  5. Posta akışınızı anlamamıza yardımcı olun iletişim kutusunda, etki alanınız için MX kaydını algılamamıza bağlı olarak aşağıdaki seçeneklerden biri otomatik olarak seçilir:

    • Yalnızca Microsoft Exchange Online kullanıyorum: Etki alanınızın MX kayıtları Microsoft 365'e işaret etti. Yapılandıracak bir şey kalmadığından Son'a tıklayın.

      Yalnızca Microsoft Exchange Online kullanıyorum seçeneğinin seçili olduğu Posta akışınızı anlamamıza yardımcı olun iletişim kutusunun ekran görüntüsü.

    • Üçüncü taraf ve/veya şirket içi hizmet sağlayıcısı kullanıyorum: Gelecek ekranlarda, bu çözümden gelen postaları kabul eden gelen bağlayıcıyla birlikte satıcı adını seçin. Ayrıca üçüncü taraf koruma hizmetinden veya cihazından gelen iletiler için istenmeyen posta filtrelemeyi atlayan bir Exchange Online posta akışı kuralına (aktarım kuralı olarak da bilinir) ihtiyacınız olup olmadığını da siz karar verirsiniz. İşiniz bittiğinde Son'a tıklayın.

5. Adım: Pilot grupları oluşturma

Office 365 için Microsoft Defender pilot Office 365 için Microsoft Defender, kuruluşunuzun tamamı için ilkeleri etkinleştirmeden ve uygulamadan önce belirli kullanıcılara pilot uygulamayı seçebilirsiniz. Dağıtım grupları oluşturmak, dağıtım işlemlerini yönetmeye yardımcı olabilir. Örneğin, Office 365 için Defender Kullanıcıları - Standart Koruma, Office 365 için Defender Kullanıcılar - Katı Koruma, Office 365 için Defender Kullanıcılar - Özel Koruma gibi gruplar oluşturun veya Office 365 için Defender Kullanıcıları - Özel Durumlar.

Bu gruplar için neden "Standart" ve "Katı" terimlerinin kullanıldığı açık olmayabilir, ancak Office 365 için Defender güvenlik ön ayarları hakkında daha fazla bilgi edindiğinizde bu durum netleşir. Grupların "özel" ve "özel durumlar" olarak adlandırılması kendileri için geçerlidir ve kullanıcılarınızın çoğu standart ve katı, özel ve özel durum grupları risk yönetimiyle ilgili olarak sizin için değerli veriler toplar.

Dağıtım grupları doğrudan Exchange Online oluşturulabilir ve tanımlanabilir veya şirket içi Active Directory eşitlenebilir.

  1. Alıcı Yöneticisi rolü verilmiş veya grup yönetimi izinleri atanmış bir hesabı kullanarak Exchange Yönetici Center'da https://admin.exchange.microsoft.com (EAC) oturum açın.

  2. Alıcılar'a> gidin Gruplar.

    Gruplar menü öğesinin ekran görüntüsü.

  3. Gruplar sayfasında Grup ekle simgesi'ni seçin.Grup ekleyin.

    Grup ekle seçeneğinin ekran görüntüsü.

  4. Grup türü için Dağıtım'ı seçin ve İleri'ye tıklayın.

    Grup türü seçin bölümünün ekran görüntüsü.

  5. Gruba bir Ad ve isteğe bağlı Açıklama verin ve İleri'ye tıklayın.

    Temel bilgileri ayarlama bölümünün ekran görüntüsü.

  6. Kalan sayfalarda bir sahip atayın, gruba üye ekleyin, e-posta adresini, ayrılma kısıtlamalarını ve diğer ayarları ayarlayın.

6. Adım: Korumayı yapılandırma

Office 365 için Defender'daki bazı özellikler varsayılan olarak yapılandırılır ve açılır, ancak güvenlik işlemleri varsayılan koruma düzeyini yükseltmek isteyebilir.

Bazı özellikler henüz yapılandırılmadı. Korumayı yapılandırmak için aşağıdaki seçeneklere sahipsiniz (daha sonra kolayca değiştirilebilir):

  • Kullanıcıları önceden belirlenmiş güvenlik ilkelerine atama: Önceden ayarlanmış güvenlik ilkeleri , tüm özelliklere hızla tekdüzen bir koruma düzeyi atamak için önerilen yöntemdir. Standart veya Katı koruma arasından seçim yapabilirsiniz. Standart ve Katı ayarları buradaki tablolarda açıklanmıştır. Standart ve Katı arasındaki farklar buradaki tabloda özetlenir.

    Önceden ayarlanmış güvenlik ilkelerinin avantajları, veri merkezlerindeki gözlemlere göre Microsoft'un önerdiği ayarları kullanarak kullanıcı gruplarını mümkün olan en kısa sürede korumanızdır. Yeni koruma özellikleri eklendikçe ve güvenlik ortamı değiştikçe, önceden ayarlanmış güvenlik ilkelerindeki ayarlar otomatik olarak önerilen ayarlarımıza güncelleştirilir.

    Önceden ayarlanmış güvenlik ilkelerinin dezavantajı, önceden ayarlanmış güvenlik ilkelerindeki güvenlik ayarlarının neredeyse hiçbirini özelleştirememenizdir (örneğin, bir eylemi teslimden gereksiz öğeye veya karantinaya alma işlemine değiştiremezsiniz). Özel durum, kullanıcı kimliğe bürünme ve etki alanı kimliğe bürünme koruması için el ile yapılandırmanız gereken girişler ve isteğe bağlı özel durumlardır.

    Ayrıca, önceden ayarlanmış güvenlik ilkelerinin özel ilkeler öncesinde her zaman uygulandığını unutmayın. Bu nedenle, herhangi bir özel ilke oluşturmak ve kullanmak istiyorsanız, bu özel ilkelerdeki kullanıcıları önceden ayarlanmış güvenlik ilkelerinin dışında tutmanız gerekir.

  • Özel koruma ilkelerini yapılandırma: Ortamı kendiniz yapılandırmayı tercih ediyorsanız, EOP ve Office 365 için Microsoft Defender güvenliği için önerilen ayarlar bölümündeki varsayılan, Standart ve Katı ayarları karşılaştırın. Özel derlemenizin nerede saptığına ait bir elektronik tablo tutun.

    Özel ilkelerinizdeki ayarları Standart ve Katı değerlerle karşılaştırmak için Yapılandırma çözümleyicisini de kullanabilirsiniz.

Önceden ayarlanmış güvenlik ilkelerini ve özel ilkeleri seçme hakkında ayrıntılı bilgi için bkz. Koruma ilkesi stratejinizi belirleme.

Önceden ayarlanmış güvenlik ilkeleri atama

EOP'de önceden ayarlanmış güvenlik ilkeleriyle başlamanızı ve değerlendirmenizin bir parçası olarak bunları belirli pilot kullanıcılara veya tanımlı gruplara atayarak hızlı bir şekilde Office 365 için Defender öneririz. Önceden ayarlanmış ilkeler, bağımsız olarak atanabilen temel bir Standart koruma şablonu veya daha agresif bir Katı koruma şablonu sunar.

Örneğin, alıcılar tanımlı bir EOP Standart Koruma grubunun üyesiyse ve ardından gruba hesap ekleyerek veya gruptan hesap kaldırarak yönetiliyorsa, pilot değerlendirmeler için bir EOP koşulu uygulanabilir.

Benzer şekilde, alıcılar tanımlı Office 365 için Defender Standart Koruma grubunun üyesiyse ve ardından grup aracılığıyla hesap ekleyerek veya kaldırarak yönetiliyorsa, pilot değerlendirmeler için Office 365 için Defender bir koşul uygulanabilir.

Tam yönergeler için bkz. kullanıcılara Standart ve Katı önceden ayarlanmış güvenlik ilkeleri atamak için Microsoft Defender portalını kullanma.

Özel koruma ilkelerini yapılandırma

Önceden tanımlanmış Standart veya Katı Office 365 için Defender ilke şablonları, pilot kullanıcılarınıza önerilen temel korumayı verir. Bununla birlikte, değerlendirmenizin bir parçası olarak özel koruma ilkeleri oluşturabilir ve atayabilirsiniz.

Önceden belirlenmiş güvenlik ilkeleri ve diğer ilkeler için öncelik sırası bölümünde açıklandığı gibi, bu koruma ilkelerinin uygulandığında ve uygulandığında uyguladığı önceliklerin farkında olmak önemlidir.

Koruma ilkelerini yapılandırma bölümündeki açıklama ve tablo, yapılandırmanız gerekenler için kullanışlı bir başvuru sağlar.

7. Adım: Özellikleri deneyin

Artık pilotunuz ayarlanıp yapılandırıldığına göre, Microsoft 365 için Microsoft Defender benzersiz raporlama, izleme ve saldırı simülasyonu araçlarını tanımak yararlı olacaktır.

Özellik Açıklama Daha fazla bilgi
Tehdit Gezgini Tehdit Gezgini, Güvenlik Operasyonları ekiplerinin tehditleri araştırmasına ve yanıtlamasına yardımcı olan ve e-postada ve Office 365'deki dosyalarda algılanan kötü amaçlı yazılım ve kimlik avı ile ilgili bilgilerin yanı sıra kuruluşunuza yönelik diğer güvenlik tehditleri ve riskleri gösteren, neredeyse gerçek zamanlıya yakın güçlü bir araçtır. Tehdit Gezgini hakkında
Saldırı simülasyonu eğitimi Kuruluşunuzda gerçek bir saldırı ortamınızı etkilemeden önce savunmasız kullanıcıları belirlemenize ve bulmanıza yardımcı olan gerçekçi saldırı senaryoları çalıştırmak için Microsoft Defender portalındaki Saldırı simülasyonu eğitimi kullanabilirsiniz. Saldırı simülasyonu eğitimini kullanmaya başlama
Raporlar panosu Sol gezinti menüsünde Raporlar'a tıklayın ve Email & işbirliği başlığını genişletin. Email & işbirliği raporları, güvenlik eğilimlerini belirleme hakkındadır ve bazıları eylem gerçekleştirmenize olanak sağlar ('Gönderimlere git' gibi düğmeler aracılığıyla) ve eğilimleri gösterecek diğer raporlar. Bu ölçümler otomatik olarak oluşturulur. Microsoft Defender portalında e-posta güvenlik raporlarını görüntüleme

Microsoft Defender portalında Office 365 için Defender raporları görüntüleme

SIEM tümleştirmesi

Bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için Office 365 için Defender Microsoft Sentinel veya genel güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz. Microsoft Sentinel ile kuruluşunuz genelindeki güvenlik olaylarını daha kapsamlı bir şekilde analiz edebilir ve etkili ve anında yanıt için playbook'lar oluşturabilirsiniz.

SIEM tümleştirmesi ile Office 365 için Microsoft Defender mimarisini gösteren diyagram.

Microsoft Sentinel bir Office 365 için Defender bağlayıcısı içerir. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender gelen uyarıları bağlama.

Office 365 için Microsoft Defender, Office 365 Etkinlik Yönetimi API'sini kullanarak diğer SIEM çözümleriyle de tümleştirilebilir. Genel SIEM sistemleriyle tümleştirme hakkında bilgi için bkz. Genel SIEM tümleştirmesi.

Sonraki adım

Office 365 için Microsoft Defender Güvenlik İşlemleri Kılavuzu'ndaki bilgileri SecOps işlemlerinize dahil edin.

Microsoft Defender XDR uçtan uca dağıtımı için sonraki adım

Pilot ile uçtan uca Microsoft Defender XDR dağıtımınıza devam edin ve Uç Nokta için Defender'ı dağıtın.

Pilot ve dağıtım Microsoft Defender XDR işlemindeki Uç Nokta için Microsoft Defender gösteren diyagram.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.