Pilot uygulama ve Microsoft Defender XDR dağıtma

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Bu makale serisi, üretim kiracınızdaki Microsoft Defender XDR bileşenlerinin özelliklerini ve özelliklerini değerlendirebilmeniz ve ardından kuruluşunuz genelinde dağıtımı tamamlayabileceğiniz tüm süreç boyunca size yol gösterir.

Bir eXtended algılama ve yanıt (XDR) çözümü, bir zamanlar yalıtılmış olan sistemlerden alınan tehdit verilerini alıp birleştirerek desenleri görebilmeniz ve şüpheli siber saldırılara daha hızlı müdahale edebilmeniz için siber güvenlikte ileriye doğru bir adımdır.

Microsoft Defender XDR:

  • Kimlikler, uç noktalar, e-posta ve bulut uygulamalarına yönelik siber saldırılarla ilgili bilgileri tek bir yerde birleştiren bir XDR çözümüdür. Bazı saldırı türlerini otomatik olarak durdurmak ve etkilenen varlıkları güvenli bir duruma getirmek için yapay zeka (AI) ve otomasyondan yararlanıyor.

  • Bulut tabanlı, birleşik, ihlal öncesi ve sonrası kurumsal savunma paketidir. Kimlikler, uç noktalar, e-posta, bulut uygulamaları ve bunların verileri arasında önleme, algılama, araştırma ve yanıtı koordine eder.

  • Tehdit koruması ve algılama sağlayarak güçlü bir Sıfır Güven mimarisine katkıda bulunur. bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olur. Daha fazla bilgi için bkz. Microsoft Sıfır Güven benimseme çerçevesinde tehdit koruması ve XDR iş senaryosu uygulama.

Microsoft Defender XDR bileşenleri ve mimarisi

Bu tabloda Microsoft Defender XDR bileşenleri listelenmiştir.

Bileşen Açıklama Daha fazla bilgi için
Kimlik için Microsoft Defender şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ve Active Directory Federasyon Hizmetleri (AD FS) gelen sinyalleri kullanır (AD FS) gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kuruluşunuza yönelik kötü amaçlı insider eylemlerini tanımlamak, algılamak ve araştırmak için. Kimlik için Microsoft Defender nedir?
Exchange Online Protection Kuruluşunuzu istenmeyen postalara ve kötü amaçlı yazılımlara karşı korumaya yardımcı olan yerel bulut tabanlı SMTP geçişi ve filtreleme hizmeti. Exchange Online Protection (EOP) genel bakış - Office 365
Office 365 için Microsoft Defender Kuruluşunuzu e-posta iletileri, bağlantılar (URL'ler) ve işbirliği araçları tarafından ortaya konan kötü amaçlı tehditlere karşı korur. Office 365 için Microsoft Defender - Office 365
Uç Nokta için Microsoft Defender Cihaz koruması, ihlal sonrası algılama, otomatik araştırma ve önerilen yanıt için birleşik bir platform. Uç Nokta için Microsoft Defender - Windows güvenliği
Bulut Uygulamaları için Microsoft Defender Bulut uygulamalarınıza derin görünürlük, güçlü veri denetimleri ve gelişmiş tehdit koruması getiren kapsamlı bir SaaS çözümü. Defender for Cloud Apps nedir?
Microsoft Entra ID Koruması Milyarlarca oturum açma girişiminden kaynaklanan risk verilerini değerlendirir ve kiracınızda her oturum açma riskini değerlendirmek için bu verileri kullanır. Bu veriler, Koşullu Erişim ilkelerinin nasıl yapılandırıldığına bağlı olarak hesap erişimine izin vermek veya erişimi engellemek için Microsoft Entra ID tarafından kullanılır. Microsoft Entra ID Koruması Microsoft Defender XDR ayrıdır ve Microsoft Entra ID P2 lisanslarına dahildir. Kimlik Koruması nedir?

Bu çizimde, Microsoft Defender XDR bileşenlerinin mimarisi ve tümleştirmesi gösterilmektedir.

Microsoft Defender XDR üst düzey mimarisini gösteren diyagram.

Bu çizimde:

  • Microsoft Defender XDR, etki alanları arasında XDR sağlamak için tüm Defender bileşenlerinden gelen sinyalleri birleştirir. Buna birleşik bir olay kuyruğu, saldırıları durdurmak için otomatik yanıt, kendi kendini düzeltme (güvenliği aşılmış cihazlar, kullanıcı kimlikleri ve posta kutuları için), çapraz tehdit avcılığı ve tehdit analizi dahildir.
  • Office 365 için Microsoft Defender, kuruluşunuzu e-posta iletileri, bağlantılar (URL'ler) ve işbirliği araçları tarafından ortaya konan kötü amaçlı tehditlere karşı korur. Bu etkinliklerden kaynaklanan sinyalleri Microsoft Defender XDR ile paylaşır. Exchange Online Protection (EOP), gelen e-postalar ve ekler için uçtan uca koruma sağlamak üzere tümleşiktir.
  • Kimlik için Microsoft Defender AD DS etki alanı denetleyicilerinden ve AD FS ve AD CS çalıştıran sunuculardan sinyaller toplar. Bu sinyalleri hibrit kimlik ortamınızı korumak için kullanır. Bu sinyaller, şirket içi ortamdaki iş istasyonları arasında yaya olarak hareket etmek için güvenliği aşılmış hesapları kullanan korsanlara karşı koruma da dahil olmak üzere.
  • Uç Nokta için Microsoft Defender, kuruluşunuz tarafından yönetilen cihazlardan sinyal toplar ve bu cihazları korur.
  • Microsoft Defender for Cloud Apps, kuruluşunuzun bulut uygulamalarını kullanmasından gelen sinyalleri toplar ve hem tasdikli hem de tasdiksiz bulut uygulamaları dahil olmak üzere BT ortamınızla bu uygulamalar arasında akan verileri korur.
  • Microsoft Entra ID Koruması milyarlarca oturum açma girişiminden kaynaklanan risk verilerini değerlendirir ve kiracınızda her oturum açma riskini değerlendirmek için bu verileri kullanır. Bu veriler Microsoft Entra ID tarafından Koşullu Erişim ilkelerinizin koşullarına ve kısıtlamalarına bağlı olarak hesap erişimine izin vermek veya erişimi engellemek için kullanılır. Microsoft Entra ID Koruması Microsoft Defender XDR ayrıdır ve Microsoft Entra ID P2 lisanslarına dahildir.

Microsoft Defender XDR bileşenleri ve SIEM tümleştirmesi

Bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için Microsoft Defender XDR bileşenleri Microsoft Sentinel veya genel güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz.

SIEM ile Microsoft Defender XDR tümleştirmesini gösteren diyagram.

Microsoft Sentinel, SIEM ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) özellikleri sağlayan buluta özel bir çözümdür. Microsoft Sentinel ve Microsoft Defender XDR bileşenleri birlikte kuruluşların modern saldırılara karşı savunmalarına yardımcı olmak için kapsamlı bir çözüm sağlar.

Microsoft Sentinel, Microsoft Defender bileşenleri için bağlayıcılar içerir. Bu sayede yalnızca bulut uygulamalarınıza görünürlük sağlamakla kalmaz, aynı zamanda siber tehditleri belirleyip bunlarla mücadele etmek ve verilerinizin nasıl ilerlediğini denetlemek için gelişmiş analizler elde edebilirsiniz. Daha fazla bilgi için bkz. Microsoft Sentinel ve Microsoft Defender XDR için Microsoft Defender XDR ve Microsoft Sentinel tümleştirme ve Tümleştirme adımlarınagenel bakış.

Microsoft Sentinel'da SOAR hakkında daha fazla bilgi için (Microsoft Sentinel GitHub Deposundaki playbook'lara bağlantılar dahil), bkz. Microsoft Sentinel'da playbook'larla tehdit yanıtını otomatikleştirme.

Üçüncü taraf SIEM sistemleriyle tümleştirme hakkında bilgi için bkz. Genel SIEM tümleştirmesi.

Microsoft Defender XDR ve örnek bir siber güvenlik saldırısı

Bu diyagramda yaygın bir siber saldırı ve Microsoft Defender XDR bileşenlerinin algılanıp düzeltilebilmesine yardımcı olduğu gösterilmektedir.

Siber güvenlik saldırısının çeşitli girişimlerini gösteren diyagram.

Siber saldırı, kuruluşunuzdaki bir çalışanın Gelen Kutusuna gelen ve e-posta ekini bilmeden açan bir kimlik avı e-postasıyla başlar. Bu ek, hassas verilerin çalınmasına neden olabilecek saldırı girişimleri zincirine yol açabilen kötü amaçlı yazılımları yükler.

Çizimde:

  • Office 365 için Microsoft Defender bir parçası olan Exchange Online Protection, kimlik avı e-postasını algılayabilir ve posta akışı kurallarını (aktarım kuralları olarak da bilinir) kullanarak kullanıcının Gelen Kutusuna hiç ulaşmadığından emin olabilir.
  • Office 365 için Defender, eki test etmek ve zararlı olduğunu belirlemek için Güvenli Ekler'i kullanır; bu nedenle gelen posta kullanıcı tarafından eyleme dönüştürülemez veya ilkeler postanın hiç gelmesini önler.
  • Uç Nokta için Defender , kuruluşunuz tarafından yönetilen cihazlar için aksi takdirde kötüye kullanılabilecek cihaz ve ağ güvenlik açıklarını algılar.
  • Kimlik için Defender , ayrıcalık yükseltme veya yüksek riskli yanal hareket gibi ani şirket içi kullanıcı hesabı değişikliklerini not alır. Ayrıca güvenlik ekibinizin düzeltmesi için kısıtlanmamış Kerberos temsilcisi gibi kolayca yararlanılan kimlik sorunlarını bildirir.
  • Microsoft Defender for Cloud Apps, imkansız seyahat, kimlik bilgisi erişimi ve olağan dışı indirme, dosya paylaşımı veya posta iletme etkinliği gibi anormal davranışları algılar ve bunları güvenlik ekibinize bildirir.

Microsoft Defender XDR için pilot ve dağıtım işlemi

Microsoft, Microsoft 365 Defender bileşenlerinin aşağıdaki sırayla etkinleştirilmesini önerir.

Microsoft Defender XDR için pilot ve dağıtım işlemini gösteren diyagram.

Aşama Bağlantı
C. Pilotu başlatın Pilotu başlatın
B. Microsoft Defender XDR bileşenlerini pilot olarak kullanın ve dağıtın - Kimlik için Defender'ı pilot olarak kullanın ve dağıtın

- Pilot uygulama ve Office 365 için Defender dağıtma

- Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma

- pilot ve dağıtım Microsoft Defender for Cloud Apps
C. Tehditleri araştırın ve karşı yanıt verin Olay araştırma ve yanıt uygulama

Bu sipariş, özellikleri dağıtmak ve yapılandırmak için genellikle ne kadar çaba gerektiği temelinde özelliklerin değerinden hızlı bir şekilde yararlanacak şekilde tasarlanmıştır. Örneğin Office 365 için Defender, cihazları Uç Nokta için Defender'a kaydetmek için gerekenden daha kısa sürede yapılandırılabilir. İş gereksinimlerinizi karşılamak için bileşenlerin önceliklerini belirleyin.

Pilotu başlatın

Microsoft, gerçek dünya içgörülerini hemen elde etmek için mevcut Microsoft 365 üretim aboneliğinizde pilotunuzu başlatmanızı önerir ve Microsoft 365 kiracınızdaki mevcut tehditlere karşı çalışmak için ayarları ayarlayabilirsiniz. Deneyim kazandıktan ve platformdan memnun olduktan sonra, her bileşenin kullanımını birer birer tam dağıtıma genişletmeniz yeterlidir.

Alternatif olarak Microsoft Defender XDR deneme laboratuvarı ortamınızı ayarlayabilirsiniz. Ancak bu ortam, pilot çalışma sırasında üretim Microsoft 365 kiracınıza yönelik tehditler veya saldırılar gibi gerçek siber güvenlik bilgilerini göstermez ve bu ortamdaki güvenlik ayarlarını üretim kiracınıza taşıyamazsınız.

Microsoft 365 E5 deneme lisanslarını kullanma

Microsoft 365 E5 yoksa ve pilotunuz için Microsoft 365 E5 deneme lisanslarından yararlanmak istiyorsanız:

  1. Mevcut Microsoft 365 kiracı yönetim portalınızda oturum açın.

  2. Gezinti menüsünden Hizmetleri Satın Al'ı seçin.

  3. Office 365 bölümünden Office 365 E5 lisansın altındaki Ayrıntılar'ı seçin.

    Microsoft Defender portalındaki Ayrıntılar düğmesinin ekran görüntüsü.

  4. Ücretsiz denemeyi başlat'ı seçin.

    Microsoft Defender portalındaki Ücretsiz denemeyi başlat düğmesinin ekran görüntüsü.

  5. İsteğinizi onaylayın ve Şimdi deneyin'i seçin.

    Microsoft Defender portalındaki Şimdi Dene düğmesinin ekran görüntüsü.

Mevcut üretim kiracınızdaki Microsoft 365 E5 deneme lisanslarını kullanan pilotunuz, deneme süresi dolduğunda ve eşdeğer lisanslar satın aldığınızda güvenlik ayarlarını ve yöntemlerini korumanıza olanak sağlar.

Sonraki adım

Pilot ve dağıtım Microsoft Defender XDR işlemindeki Kimlik için Microsoft Defender gösteren diyagram.

Bkz. Pilot oluşturma ve Kimlik için Microsoft Defender dağıtma.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.