Sıfır Güven için Microsoft Sentinel ve Microsoft Defender XDR uygulama
Bu çözüm kılavuzu, kuruluşunuzun siber güvenlik saldırılarına yanıt verme ve bunları düzeltme becerisini hızlandırmak için Microsoft genişletilmiş algılama ve yanıt (XDR) araçlarını Microsoft Sentinel ile birlikte ayarlama işleminde yol gösterir.
Microsoft Defender XDR, Microsoft 365 ortamınızdaki sinyal, tehdit ve uyarı verilerini otomatik olarak toplayan, ilişkilendiren ve analiz eden bir XDR çözümüdür.
Microsoft Sentinel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) özellikleri sağlayan buluta özel bir çözümdür. Microsoft Sentinel ve Microsoft Defender XDR birlikte kuruluşların modern saldırılara karşı savunmalarına yardımcı olacak kapsamlı bir çözüm sağlar.
Bu kılavuz, Sıfır Güven ilkelerini aşağıdaki yollarla eşleyerek Sıfır Güven mimarinizi geliştirmenize yardımcı olur.
| Sıfır Güven İlkesi | Met by |
|---|---|
| Açıkça doğrula | Microsoft Sentinel, ortamın farklı yerlerindeki verileri toplar ve tehditleri ve anomalileri analiz ederek kuruluşunuzun ve uygulanan tüm otomasyonların tüm kullanılabilir ve doğrulanmış veri noktalarına göre hareket edebilmesini sağlar. Microsoft Defender XDR, kullanıcılar, kimlikler, cihazlar, uygulamalar ve e-postalar arasında genişletilmiş algılama ve yanıt sağlar. Microsoft Sentinel otomasyonunu, Microsoft Defender XDR tarafından yakalanan risk tabanlı sinyalleri kullanarak trafiği engelleme veya risk düzeyine göre yetkilendirme gibi eylemler gerçekleştirecek şekilde yapılandırın. |
| En az ayrıcalıklı erişim kullan | Microsoft Sentinel, Kullanıcı Varlığı Davranış Analizi (UEBA) altyapısı aracılığıyla anormal etkinlikleri algılar. Güvenlik senaryoları zaman içinde ve genellikle çok hızlı bir şekilde değişebildiğinden, Microsoft Sentinel'in tehdit bilgileri yeni ve yeni tehditleri algılamak ve araştırmalara ek bağlam sağlamak için microsoft veya üçüncü taraf sağlayıcıların verilerini de içeri aktarır. Microsoft Defender XDR, kimlikle ilgili risk düzeyine göre kullanıcıları engelleyebilen Microsoft Entra Kimlik Koruması sahiptir. Daha fazla analiz ve otomasyon için ilgili tüm verileri Microsoft Sentinel'e aktarın. |
| İhlal varsay | Microsoft Defender XDR, tehditler ve güvenlik açıkları için ortamı sürekli olarak tarar. Microsoft Sentinel, kuruluş genelinde şüpheli etkinlikleri, anomalileri ve çok aşamalı tehditleri algılamak için toplanan verileri ve her varlığın davranış eğilimlerini analiz eder. Hem Microsoft Defender XDR hem de Microsoft Sentinel otomatik araştırma, cihaz yalıtımı ve veri karantinası gibi otomatik düzeltme görevlerini uygulayabilir. Cihaz riski, Microsoft Entra Koşullu Erişim'e beslemek için sinyal olarak kullanılabilir. |
Microsoft Sentinel ve XDR mimarisi
Microsoft Sentinel müşterileri, Microsoft Sentinel'i Microsoft Defender XDR hizmetleriyle tümleştirmek için aşağıdaki yöntemlerden birini kullanabilir:
Microsoft Sentinel veri bağlayıcılarını kullanarak Microsoft Defender XDR hizmet verilerini Microsoft Sentinel'e alın. Bu durumda, Azure portalında Microsoft Sentinel verilerini görüntüleyin.
Microsoft Sentinel ve Microsoft Defender XDR'yi Microsoft Defender portalında tek, birleşik bir güvenlik operasyonları platformuyla tümleştirin. Bu durumda, Defender olaylarınızın, uyarılarınızın, güvenlik açıklarınızın ve diğer güvenlik verilerinizin geri kalanıyla microsoft Sentinel verilerini doğrudan Microsoft Defender portalında görüntüleyin.
Bu çözüm kılavuzu her iki yöntem için de bilgi sağlar. Bu çözüm kılavuzu boyunca çalışma alanınız için uygun olan sekmeyi seçin. Çalışma alanınızı birleşik güvenlik işlemleri platformuna ekliyseniz Defender portalında çalışın. Çalışma alanınızı eklemediyseniz, aksi belirtilmedikçe Azure portalında çalışın.
Aşağıdaki çizimde, Microsoft'un XDR çözümünün Microsoft Sentinel ile birleşik güvenlik operasyonları platformuyla sorunsuz bir şekilde nasıl tümleştirileceği gösterilmektedir.
Bu diyagramda:
- Kuruluşunuzun tamamında gelen sinyallerden elde edilen içgörüler Microsoft Defender XDR ve Bulut için Microsoft Defender...
- Microsoft Sentinel, çoklu bulut ortamları için destek sağlar ve üçüncü taraf uygulamalar ve iş ortakları ile tümleşir.
- Microsoft Sentinel verileri, kuruluşunuzun verileriyle birlikte Microsoft Defender portalına alınır.
- SecOps ekipleri daha sonra Microsoft Sentinel ve Microsoft Defender XDR tarafından tanımlanan tehditleri Microsoft Defender portalında analiz edebilir ve yanıtlayabilir.
Sıfır Güven için Microsoft Sentinel ve Microsoft Defender XDR uygulama
Microsoft Defender XDR, Microsoft Sentinel'i tamamlayan bir XDR çözümüdür. XDR, bulut uygulamaları, e-posta güvenliği, kimlik ve erişim yönetimi gibi birden çok hizmetten ham telemetri verilerini çeker.
Yapay zeka (AI) ve makine öğrenmesi kullanan XDR daha sonra gerçek zamanlı olarak otomatik analiz, araştırma ve yanıt gerçekleştirir. XDR çözümü ayrıca güvenlik uyarılarını daha büyük olaylarla ilişkilendirerek güvenlik ekiplerine saldırılara daha fazla görünürlük sağlar ve olay önceliklendirmesi sağlayarak analistlerin tehdidin risk düzeyini anlamasına yardımcı olur.
Microsoft Sentinel ile, yerleşik bağlayıcıları ve endüstri standartlarını kullanarak birçok güvenlik kaynağına bağlanabilirsiniz. Yapay zekasıyla, fidye yazılımı sonlandırma zincirinin ve önceliklendirilmiş uyarıların eksiksiz bir görünümünü oluşturmak için birden fazla kaynağa yayılan birden çok düşük uygunluk sinyalini ilişkilendirebilirsiniz.
SIEM ve XDR özelliklerini uygulama
Bu bölümde, kimlik avı saldırısı içeren tipik bir saldırı senaryosunu inceleyeceğiz ve ardından Microsoft Sentinel ve Microsoft Defender XDR ile olaya nasıl yanıt verileceğiyle devam edeceğiz.
Yaygın saldırı sırası
Aşağıdaki diyagramda bir kimlik avı senaryosunun yaygın saldırı sırası gösterilmektedir.
Diyagramda ayrıca, her saldırı adımını algılamak için microsoft güvenlik ürünleri ve saldırı sinyallerinin ve SIEM verilerinin Microsoft Defender XDR ve Microsoft Sentinel'e nasıl akışı gösterilmektedir.
Saldırının özeti aşağıdadır.
| Saldırı adımı | Algılama hizmeti ve sinyal kaynağı | Savunma yerinde |
|---|---|---|
| 1. Saldırgan kimlik avı e-postası gönderiyor | Office 365 için Microsoft Defender | Kötü amaçlı kimliğe bürünme tabanlı kimlik avı saldırılarına karşı koruyabilen gelişmiş kimlik avı önleme özellikleriyle posta kutularını korur. |
| 2. Kullanıcı eki açar | Office 365 için Microsoft Defender | Güvenli Ekler Office 365 için Microsoft Defender özelliği, daha fazla tehdit taraması (patlama) için ekleri yalıtılmış bir ortamda açar. |
| 3. Ek kötü amaçlı yazılım yüklüyor | Uç nokta için Microsoft Defender | Bulut tabanlı koruma ve davranış tabanlı/buluşsal/gerçek zamanlı virüsten koruma gibi yeni nesil koruma özellikleriyle uç noktaları kötü amaçlı yazılımlardan korur. |
| 4. Kötü amaçlı yazılım kullanıcı kimlik bilgilerini çalar | Microsoft Entra Kimliği ve Microsoft Entra Kimlik Koruması | Kullanıcı davranışlarını ve etkinliklerini izleyerek, yanal hareketi algılayarak ve anormal etkinliklerde uyarı vererek kimlikleri korur. |
| 5. Saldırgan, Microsoft 365 uygulamaları ve verileri arasında yayılı olarak hareket eder | Microsoft Defender for Cloud Apps | Bulut uygulamalarına erişen kullanıcıların anormal etkinliklerini algılayabilir. |
| 6. Saldırgan, sharepoint klasöründen hassas dosyaları indirir | Microsoft Defender for Cloud Apps | SharePoint'ten dosyaların toplu indirme olaylarını algılayabilir ve yanıtlayabilir. |
Microsoft Sentinel çalışma alanınızı birleşik güvenlik operasyonları platformuna eklerseniz, SIEM verileri doğrudan Microsoft Defender portalında Microsoft Sentinel ile kullanılabilir.
Microsoft Sentinel ve Microsoft Defender XDR kullanarak olay yanıtı
Yaygın bir saldırının nasıl gerçekleştiğini gördüğümüze göre, olay yanıtı için Microsoft Sentinel ve Microsoft Defender XDR tümleştirmesini kullanmayı inceleyelim.
Çalışma alanınızı birleşik güvenlik operasyonları platformuna ekleyip eklemediğinize bağlı olarak çalışma alanınız için ilgili sekmeyi seçin.
Çalışma alanınızı birleşik güvenlik operasyonları platformuna ekleyerek Microsoft Sentinel ve Microsoft Defender XDR'yi tümleştirdikten sonra, diğer Microsoft Defender XDR olaylarında olduğu gibi tüm olay yanıtı adımlarını doğrudan Microsoft Defender portalında tamamlayın. Desteklenen adımlar önceliklendirmeden araştırma ve çözüme kadar her şeyi içerir.
Yalnızca Defender portalında kullanılamayan özellikler için Microsoft Defender portalındaki Microsoft Sentinel alanını kullanın.
Daha fazla bilgi için bkz . Microsoft Sentinel ve Microsoft Defender XDR kullanarak bir olaya yanıt verme.
Önemli özellikler
Olayları yönetirken Sıfır güven yaklaşımını uygulamak için bu Microsoft Sentinel ve XDR özelliklerini kullanın.
| Yetenek veya özellik | Açıklama | Ürün |
|---|---|---|
| Otomatik Araştırma ve Yanıt (AIR) | AIR özellikleri uyarıları inceleyecek ve ihlalleri çözmek için hemen harekete geçecek şekilde tasarlanmıştır. AIR özellikleri uyarı hacmini önemli ölçüde azaltarak güvenlik operasyonlarının daha gelişmiş tehditlere ve diğer yüksek değerli girişimlere odaklanmasını sağlar. | Microsoft Defender XDR |
| Gelişmiş avcılık | Gelişmiş tehdit avcılığı, 30 güne kadar ham verileri keşfetmenizi sağlayan sorgu tabanlı bir tehdit avcılığı aracıdır. Tehdit göstergelerini ve varlıkları bulmak için ağınızdaki olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avcılık sağlar. | Microsoft Defender XDR |
| Özel dosya göstergeleri | Kötü amaçlı olabilecek dosyaları veya şüpheli kötü amaçlı yazılımları yasaklayarak kuruluşunuzda bir saldırının daha fazla yayılmasını önleyin. | Microsoft Defender XDR |
| Bulut bulma | Cloud Discovery, Uç Nokta için Defender tarafından toplanan trafik günlüklerini analiz eder ve uyumluluk ve güvenlik bilgileri sağlamak için tanımlanan uygulamaları bulut uygulaması kataloğuna göre değerlendirir. | Microsoft Defender for Cloud Apps |
| Özel ağ göstergeleri | IP'ler ve URL'ler veya etki alanları için göstergeler oluşturarak artık kendi tehdit bilgilerinize göre IP'lere, URL'lere veya etki alanlarına izin verebilir veya bunları engelleyebilirsiniz. | Microsoft Defender XDR |
| Uç nokta algılama ve yanıt (EDR) Bloğu | Microsoft Defender Virüsten Koruma (MDAV) birincil virüsten koruma ürünü olmadığında ve pasif modda çalıştığında kötü amaçlı yapıtlara karşı ek koruma sağlar. Blok modunda EDR, EDR özellikleri tarafından algılanan kötü amaçlı yapıtları düzeltmek için arka planda çalışır. | Microsoft Defender XDR |
| Cihaz yanıt özellikleri | Cihazları yalıtarak veya araştırma paketi toplayarak algılanan saldırılara hızla yanıt verme | Microsoft Defender XDR |
| Canlı yanıt | Canlı yanıt, güvenlik operasyonları ekiplerine uzak kabuk bağlantısı kullanarak bir cihaza (makine olarak da adlandırılır) anında erişim sağlar. Bu size ayrıntılı araştırma çalışmaları yapma ve belirlenen tehditleri anında gerçek zamanlı olarak içermesi için anında yanıt eylemleri gerçekleştirme gücü verir. | Microsoft Defender XDR |
| Bulut uygulamalarının güvenliğini sağlama | Çok bulutlu ve çok işlem hattılı ortamlarda güvenlik yönetimini kod düzeyinde bir hale getiren bir geliştirme güvenlik işlemleri (DevSecOps) çözümü. | Bulut için Microsoft Defender |
| Güvenlik duruşunuzu geliştirme | İhlalleri önlemek için gerçekleştirebileceğiniz eylemleri ortaya çıkaran bir bulut güvenliği duruş yönetimi (CSPM) çözümü. | Bulut için Microsoft Defender |
| Bulut iş yüklerini koruma | Sunucular, kapsayıcılar, depolama, veritabanları ve diğer iş yükleri için belirli korumalara sahip bir bulut iş yükü koruma platformu (CWPP). | Bulut için Microsoft Defender |
| Kullanıcı ve Varlık Davranış Analizi (UEBA) | Kullanıcılar, konaklar, IP adresleri ve uygulamalar gibi kuruluş varlıklarının davranışını analiz eder) | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| Fusion | Ölçeklenebilir makine öğrenmesi algoritmalarını temel alan bir bağıntı altyapısı. Sonlandırma zincirinin çeşitli aşamalarında gözlemlenen anormal davranışların ve şüpheli etkinliklerin birleşimlerini belirleyerek gelişmiş kalıcı tehditler (APT) olarak da bilinen çok aşamalı saldırıları otomatik olarak algılar. | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| Tehdit Bilgileri | Ortamınızdaki etkinlikler, uyarılar ve günlüklerle ilgili ek bağlam sağlamak üzere verileri zenginleştirmek için Microsoft üçüncü taraf sağlayıcılarını kullanın. | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| Otomasyon | Otomasyon kuralları, farklı senaryolarda uygulanabilecek küçük bir kural kümesi tanımlamanızı ve koordine edebilmenizi sağlayarak Microsoft Sentinel ile otomasyonu merkezi olarak yönetmenin bir yoludur. | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| Anomali kuralları | Anomali kuralı şablonları, belirli anormal davranış türlerini algılamak için makine öğrenmesini kullanır. | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| Zamanlanmış sorgular | Şüpheli etkinlik zincirleri ve bilinen tehditler için Sentinel tarafından toplanan günlükleri arayan Microsoft güvenlik uzmanları tarafından yazılan yerleşik kurallar. | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| Neredeyse gerçek zamanlı (NRT) kurallar | NRT kuralları, size mümkün olduğunca güncel bilgiler sağlamak için dakikada bir çalışacak şekilde tasarlanmış sınırlı zamanlanmış kurallar kümesidir. | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| Avcılık | Güvenlik analistlerinin güvenlik uygulamalarınız veya zamanlanmış analiz kurallarınız tarafından algılanmayan yeni anomalileri proaktif olarak aramalarına yardımcı olmak için Microsoft Sentinel'in yerleşik tehdit avcılığı sorguları, ağınızda zaten bulunan verilerdeki sorunları bulmak için doğru soruları sorma konusunda size yol gösterir. | Microsoft Sentinel Eklenen çalışma alanları için Microsoft Defender portalının gelişmiş tehdit avcılığı işlevini kullanın. |
| Microsoft Defender XDR Bağlayıcısı | Microsoft Defender XDR bağlayıcısı günlükleri ve olayları Microsoft Sentinel ile eşitler. | Microsoft Defender XDR ve Microsoft Sentinel br> Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| Veri bağlayıcıları | Microsoft Sentinel'de analiz için verilerin alımına izin verin. | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| İçerik hub'ı çözümü -Sıfır Güven (TIC 3.0) | Sıfır Güven (TIC 3.0), Sıfır Güven ilkelerinin otomatik görselleştirmesini sağlayan bir çalışma kitabı, analiz kuralları ve playbook içerir. Bu, kuruluşların zaman içinde yapılandırmaları izlemesine yardımcı olmak için İnternet Bağlantılarına Güven çerçevesine çapraz olarak yürümüştür. | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| Güvenlik düzenleme, otomasyon ve yanıt (SOAR) | Güvenlik tehditlerine yanıt olarak otomasyon kurallarını ve playbook'ları kullanmak SOC'nizin verimliliğini artırır ve size zaman ve kaynak tasarrufu sağlar. | Microsoft Sentinel Eklenen çalışma alanları için birleşik güvenlik operasyonları platformunda Microsoft Sentinel |
| SOC iyileştirmeleri | Belirli tehditlere karşı kapsam boşluklarını kapatın ve güvenlik değeri sağlamayan verilere karşı alım oranlarınızı sıkılaştırın. |
Bu çözümde neler var?
Bu çözüm, güvenlik operasyonları ekibinizin Sıfır Güven bir yaklaşım kullanarak olayları etkili bir şekilde düzeltebilmesi için Microsoft Sentinel ve XDR'nin uygulanmasında size yol gösterir.
Önerilen eğitim
Eğitim içeriği şu anda birleşik güvenlik operasyonları platformunu kapsamaz.
| Eğitim | Microsoft Defender XDR'yi Microsoft Sentinel'e bağlama |
|---|---|
|
Microsoft Defender XDR için Microsoft Sentinel bağlayıcıları tarafından sağlanan yapılandırma seçenekleri ve veriler hakkında bilgi edinin. |
Sonraki adımlar
Sıfır Güven bir yaklaşım için Microsoft Sentinel ve XDR uygulamak için şu adımları kullanın:
- XDR araçlarınızı ayarlama
- Microsoft Sentinel çalışma alanınızın mimarisini oluşturma
- Veri kaynaklarını alma
- Bir olaya yanıt verme
Azure'a Sıfır Güven ilkeleri uygulamak için şu makalelere de bakın: