Bulut için Defender Uygulamaları ile kuruluşunuzu korumaya yönelik en iyi yöntemler

  • Makale

Bu makalede, Bulut için Microsoft Defender Uygulamaları kullanarak kuruluşunuzu korumaya yönelik en iyi yöntemler sağlanmaktadır. Bu en iyi uygulamalar, Bulut için Defender Uygulamaları deneyimimizden ve sizin gibi müşterilerin deneyimlerinden gelir.

Bu makalede ele alınan en iyi yöntemler şunlardır:

Bulut uygulamalarını keşfetme ve değerlendirme

Bulut için Defender Uygulamalarını Uç Nokta için Microsoft Defender ile tümleştirmek, Cloud Discovery'yi kurumsal ağınızın veya güvenli web ağ geçitlerinizin ötesinde kullanabilmenizi sağlar. Birleştirilmiş kullanıcı ve cihaz bilgileriyle riskli kullanıcıları veya cihazları tanımlayabilir, hangi uygulamaları kullandıklarını görebilir ve Uç Nokta için Defender portalında daha fazla araştırma yapabilirsiniz.

En iyi yöntem: Uç Nokta için Defender'ı kullanarak Gölge BT Bulma'yı etkinleştirme
Ayrıntı: Cloud Discovery, Uç Nokta için Defender tarafından toplanan trafik günlüklerini analiz eder ve uyumluluk ve güvenlik bilgileri sağlamak için tanımlanan uygulamaları bulut uygulaması kataloğuna göre değerlendirir. Cloud Discovery'yi yapılandırarak bulut kullanımı, Gölge BT ve kullanıcılarınız tarafından kullanılan tasdik edilmemiş uygulamaların sürekli izlenmesi hakkında görünürlük elde edebilirsiniz.
Daha fazla bilgi için:

En iyi yöntem: Riskli, uyumlu olmayan ve popüler uygulamaları proaktif olarak tanımlamak için Uygulama Bulma ilkelerini yapılandırma
Ayrıntılar: Uygulama Bulma ilkeleri, bu uygulamaları verimli bir şekilde yönetmenize yardımcı olmak için kuruluşunuzda bulunan önemli uygulamaları izlemeyi kolaylaştırır. Riskli, uyumlu olmayan, popüler veya yüksek hacimli olarak tanımlanan yeni uygulamaları algılarken uyarı almak için ilkeler oluşturun.
Daha fazla bilgi için:

En iyi yöntem: Kullanıcılarınız tarafından yetkilendirilmiş OAuth uygulamalarını yönetme
Ayrıntı: Birçok kullanıcı, üçüncü taraf uygulamalara hesap bilgilerine erişmek için gündelik olarak OAuth izinleri verir ve bunu yaparken yanlışlıkla diğer bulut uygulamalarındaki verilerine de erişim verir. GENELLIKLE BT'nin bu uygulamalarla ilgili görünürlüğü yoktur ve bu da bir uygulamanın güvenlik riskini sağladığı üretkenlik avantajına karşı tartmasını zorlaştırır.

Bulut için Defender Uygulamaları, kullanıcılarınızın verdiği uygulama izinlerini araştırmanızı ve izlemenizi sağlar. Bu bilgileri, şüpheli olabilecek bir uygulamayı tanımlamak için kullanabilir ve riskli olduğunu belirlerseniz erişimi yasaklayabilirsiniz.
Daha fazla bilgi için:

Bulut idare ilkelerini uygulama

En iyi yöntem: Uygulamaları etiketleme ve blok betiklerini dışarı aktarma
Ayrıntı: Kuruluşunuzda bulunan uygulamaların listesini gözden geçirdikten sonra ortamınızı istenmeyen uygulama kullanımına karşı güvenli hale alabilirsiniz. Tasdikli etiketini kuruluşunuz tarafından onaylanan uygulamalara, Tasdiksiz etiketini ise onaylanmamış uygulamalara uygulayabilirsiniz. Bulma filtrelerini kullanarak tasdik edilmemiş uygulamaları izleyebilir veya şirket içi güvenlik gereçlerinizi kullanarak tasdik edilmemiş uygulamaları engellemek için bir betiği dışarı aktarabilirsiniz. Etiketleri ve dışarı aktarma betiklerini kullanmak, uygulamalarınızı düzenlemenize ve ortamınızı yalnızca güvenli uygulamalara erişilmesine izin vererek korumanıza olanak tanır.
Daha fazla bilgi için:

Paylaşılan verilerin açığa çıkarma durumunu sınırlama ve işbirliği ilkelerini zorunlu kılma

En iyi yöntem: Bağlan Microsoft 365
Ayrıntı: Microsoft 365'i Bulut için Defender Uygulamalarına Bağlan, kullanıcılarınızın etkinliklerine, eriştikleri dosyalara anında görünürlük sağlar ve Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange ve Dynamics için idare eylemleri sağlar.
Daha fazla bilgi için:

En iyi yöntem: Uygulamalarınızı Bağlan
Ayrıntı: Uygulamalarınızı Bulut için Defender Uygulamalar'a Bağlan, kullanıcılarınızın etkinlikleri, tehdit algılama ve idare özellikleri hakkında gelişmiş içgörüler sağlar. Hangi üçüncü taraf uygulama API'lerinin desteklendiğine bakmak için Bağlan uygulamalara gidin.

Daha fazla bilgi için:

En iyi yöntem: Kişisel hesaplarla paylaşımı kaldırmak için ilkeler oluşturma
Ayrıntı: Microsoft 365'i Bulut için Defender Uygulamalarına Bağlan, kullanıcılarınızın etkinliklerine, eriştikleri dosyalara anında görünürlük sağlar ve Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange ve Dynamics için idare eylemleri sağlar.
Daha fazla bilgi için:

Bulutta depolanan düzenlenmiş ve hassas verileri bulma, sınıflandırma, etiketleme ve koruma

En iyi yöntem: Microsoft Purview Bilgi Koruması ile tümleştirme
Ayrıntı: Microsoft Purview Bilgi Koruması ile tümleştirme, duyarlılık etiketlerini otomatik olarak uygulama ve isteğe bağlı olarak şifreleme koruması ekleme olanağı sağlar. Tümleştirme açıldıktan sonra, etiketleri idare eylemi olarak uygulayabilir, sınıflandırmaya göre dosyaları görüntüleyebilir, sınıflandırma düzeyine göre dosyaları araştırabilir ve sınıflandırılmış dosyaların düzgün işlendiğinden emin olmak için ayrıntılı ilkeler oluşturabilirsiniz. Tümleştirmeyi açmazsanız, buluttaki dosyaları otomatik olarak tarama, etiketleme ve şifreleme özelliğinden yararlanamazsınız.
Daha fazla bilgi için:

En iyi yöntem: Veri açığa çıkarma ilkeleri oluşturma
Ayrıntı: Bilgi paylaşımını algılamak ve bulut uygulamalarınızdaki gizli bilgileri taramak için dosya ilkelerini kullanın. Verilerin açığa çıktığı algılandığında sizi uyarmak için aşağıdaki dosya ilkelerini oluşturun:

  • Hassas verileri içeren harici olarak paylaşılan dosyalar
  • Harici olarak paylaşılan ve Gizli olarak etiketlenen dosyalar
  • Yetkisiz etki alanlarıyla paylaşılan dosyalar
  • SaaS uygulamalarında hassas dosyaları koruma

Daha fazla bilgi için:

En iyi yöntem: Dosyalar sayfasında raporları gözden geçirme
Ayrıntı: Uygulama bağlayıcılarını kullanarak çeşitli SaaS uygulamalarını bağladıktan sonra, Bulut için Defender Uygulamalar bu uygulamalar tarafından depolanan dosyaları tarar. Ayrıca, bir dosya her değiştirildiğinde yeniden taranır. Bulut uygulamalarınızda depolanan veri türlerini anlamak ve araştırmak için Dosyalar sayfasını kullanabilirsiniz. Araştırmanıza yardımcı olmak için etki alanlarına, gruplara, kullanıcılara, oluşturma tarihine, uzantıya, dosya adı ve türüne, dosya kimliğine, duyarlılık etiketine ve daha fazlasına göre filtreleyebilirsiniz. Bu filtreleri kullanmak, verilerinizin hiçbirinin risk altında olmamasını sağlamak için dosyaları araştırmayı nasıl seçeceğiniz konusunda denetime sahip olmanıza neden olur. Verilerinizin nasıl kullanıldığını daha iyi anladıktan sonra, bu dosyalardaki hassas içeriği taramak için ilkeler oluşturabilirsiniz.
Daha fazla bilgi için:

Bulutta depolanan veriler için DLP ve uyumluluk ilkelerini zorunlu kılma

En iyi yöntem: Gizli verileri dış kullanıcılarla paylaşılmaktan koruma
Ayrıntı: Kullanıcının gizli duyarlılık etiketine sahip bir dosyayı kuruluşunuzun dışındaki biriyle paylaşmaya çalıştığını algılayan bir dosya ilkesi oluşturun ve dış kullanıcıları kaldırmak için idare eylemini yapılandırın. Bu ilke, gizli verilerinizin kuruluşunuzdan ayrılmamasını ve dış kullanıcıların bu verilere erişememesini sağlar.
Daha fazla bilgi için:

Hassas verilerin yönetilmeyen veya riskli cihazlara indirilmesini engelleme ve koruma

En iyi yöntem: Yüksek riskli cihazlara erişimi yönetme ve denetleme
Ayrıntı: SaaS uygulamalarınızdaki denetimleri ayarlamak için Koşullu Erişim Uygulama Denetimi'ni kullanın. Yüksek riskli, düşük güven oturumlarınızı izlemek için oturum ilkeleri oluşturabilirsiniz. Benzer şekilde, yönetilmeyen veya riskli cihazlardan hassas verilere erişmeye çalışan kullanıcıların indirmelerini engellemek ve korumak için oturum ilkeleri oluşturabilirsiniz. Yüksek riskli oturumları izlemek için oturum ilkeleri oluşturmazsanız, web istemcisindeki indirmeleri engelleme ve koruma özelliğinin yanı sıra hem Microsoft hem de üçüncü taraf uygulamalarında düşük güven oturumunu izleme olanağını kaybedersiniz.
Daha fazla bilgi için:

Gerçek zamanlı oturum denetimlerini zorunlu kılarak dış kullanıcılarla güvenli işbirliği

En iyi yöntem: Koşullu Erişim Uygulama Denetimi'ni kullanarak dış kullanıcılarla oturumları izleme
Ayrıntı: Ortamınızda işbirliğinin güvenliğini sağlamak için, iç ve dış kullanıcılarınız arasındaki oturumları izlemek için bir oturum ilkesi oluşturabilirsiniz. Bu size yalnızca kullanıcılarınız arasındaki oturumu izleme (ve oturum etkinliklerinin izlendiğini bildirme) olanağı sağlamakla kalmaz, aynı zamanda belirli etkinlikleri de sınırlamanıza olanak tanır. Etkinliği izlemek için oturum ilkeleri oluştururken, izlemek istediğiniz uygulamaları ve kullanıcıları seçebilirsiniz.
Daha fazla bilgi için:

Bulut tehditlerini, güvenliği aşılmış hesapları, kötü amaçlı insider'ları ve fidye yazılımlarını algılama

En iyi yöntem: Anomali ilkelerini ayarlama, IP aralıklarını ayarlama, uyarılar için geri bildirim gönderme
Ayrıntı: Anomali algılama ilkeleri, bulut ortamınızda gelişmiş tehdit algılamayı hemen çalıştırabilmeniz için kullanıma hazır kullanıcı ve varlık davranış analizi (UEBA) ve makine öğrenmesi (ML) sağlar.

Ortamınızdaki kullanıcılar tarafından gerçekleştirilen olağan dışı etkinlikler olduğunda anomali algılama ilkeleri tetiklenir. Bulut için Defender Uygulamaları, kullanıcılarınızın etkinliklerini sürekli izler ve kullanıcılarınızın normal davranışlarını öğrenmek ve anlamak için UEBA ve ML kullanır. İlke ayarlarını kuruluşunuzun gereksinimlerine uyacak şekilde ayarlayabilirsiniz; örneğin, bir ilkenin duyarlılığını ayarlayabilir ve bir ilkenin kapsamını belirli bir grup olarak belirleyebilirsiniz.

  • Ayarlama ve Kapsam Anomali Algılama İlkeleri: Örnek olarak, imkansız seyahat uyarısı içindeki hatalı pozitiflerin sayısını azaltmak için ilkenin duyarlılık kaydırıcısını düşük olarak ayarlayabilirsiniz. Kuruluşunuzda sık sık şirkete seyahat eden kullanıcılarınız varsa, bunları bir kullanıcı grubuna ekleyebilir ve ilke kapsamında bu grubu seçebilirsiniz.

  • IP Aralıklarını Ayarla: Bulut için Defender Uygulamalar, IP adresi aralıkları ayarlandıktan sonra bilinen IP adreslerini tanımlayabilir. IP adresi aralıkları yapılandırıldığında, günlüklerin ve uyarıların görüntülenme ve araştırılma şeklini etiketleyebilir, kategorilere ayırabilir ve özelleştirebilirsiniz. IP adresi aralıkları eklemek hatalı pozitif algılamaları azaltmaya ve uyarıların doğruluğunu geliştirmeye yardımcı olur. IP adreslerinizi eklememeyi seçerseniz, araştırmak için olası hatalı pozitif sonuçların ve uyarıların sayısının arttığını görebilirsiniz.

  • Uyarılar için Geri Bildirim Gönder

    Uyarıları kapattığınızda veya çözümlerken uyarıyı kapatma nedeniniz veya nasıl çözümlendiğiyle ilgili geri bildirim gönderdiğinizden emin olun. Bu bilgiler, Bulut için Defender Uygulamalarına yardımcı olarak uyarılarımızı geliştirir ve hatalı pozitif sonuçları azaltır.

Daha fazla bilgi için:

En iyi yöntem: Beklenmeyen konumlardan veya ülkelerden/bölgelerden gelen etkinlikleri algılama
Ayrıntı: Kullanıcılar beklenmeyen konumlardan veya ülkelerden/bölgelerden oturum açarken sizi bilgilendirmek için bir etkinlik ilkesi oluşturun. Bu bildirimler, tehditleri oluşmadan önce algılayıp düzeltebilmeniz için ortamınızdaki riskli oturumlar konusunda sizi uyarabilir.
Daha fazla bilgi için:

En iyi yöntem: OAuth uygulama ilkeleri oluşturma
Ayrıntı: OAuth uygulaması belirli ölçütleri karşıladığında sizi bilgilendirmek için bir OAuth uygulama ilkesi oluşturun. Örneğin, yüksek izin düzeyi gerektiren belirli bir uygulamaya 100'den fazla kullanıcı eriştiğinde bildirim almayı seçebilirsiniz.
Daha fazla bilgi için:

Adli araştırmalar için etkinliklerin denetim kaydını kullanma

En iyi yöntem: Uyarıları araştırırken etkinliklerin denetim kaydını kullanma
Ayrıntı: Kullanıcı, yönetici veya oturum açma etkinlikleri ilkelerinizle uyumlu olmadığında uyarılar tetiklenir. Ortamınızda olası bir tehdit olup olmadığını anlamak için uyarıları araştırmak önemlidir.

Uyarıyı Uyarılar sayfasında seçerek ve bu uyarıyla ilgili etkinliklerin denetim kaydını gözden geçirerek araştırabilirsiniz. Denetim izi, bir uyarının genel hikayesini size sunmak için aynı türde, aynı kullanıcı, aynı IP adresi ve konumdaki etkinliklere görünürlük sağlar. Bir uyarı daha fazla araştırma yapmayı garanti ederse, kuruluşunuzda bu uyarıları çözümlemek için bir plan oluşturun.

Uyarıları kapattığınızda, bunların neden önemli olmadığını veya hatalı pozitif olup olmadığını araştırmak ve anlamak önemlidir. Bu tür etkinliklerin hacmi yüksekse, uyarıyı tetikleyen ilkeyi gözden geçirmeyi ve ayarlamayı da düşünebilirsiniz.
Daha fazla bilgi için:

IaaS hizmetlerinin ve özel uygulamaların güvenliğini sağlama

En iyi yöntem: Azure, AWS ve GCP Bağlan
Ayrıntı: Bu bulut platformlarının her birini Bulut için Defender Uygulamalarına Bağlan, tehdit algılama özelliklerinizi geliştirmenize yardımcı olur. Bu hizmetlere yönelik yönetim ve oturum açma etkinliklerini izleyerek olası deneme yanılma saldırısı, ayrıcalıklı bir kullanıcı hesabının kötü amaçlı kullanımı ve ortamınızdaki diğer tehditleri algılayabilir ve bu konuda bildirim alabilirsiniz. Örneğin, VM'lerin olağan dışı silinmesi ve hatta bu uygulamalarda kimliğe bürünme etkinlikleri gibi riskleri belirleyebilirsiniz.
Daha fazla bilgi için:

En iyi yöntem: Özel uygulamaları ekleme
Ayrıntı: İş kolu uygulamalarınızdaki etkinliklerle ilgili ek görünürlük elde etmek için özel uygulamaları Bulut için Defender Uygulamalarına ekleyebilirsiniz. Özel uygulamalar yapılandırıldıktan sonra, bunları kimin kullandığı, kullanıldıkları IP adresleri ve uygulamaya gelen ve giden trafik miktarı hakkındaki bilgileri görürsünüz.

Ayrıca, düşük güven oturumlarını izlemek için özel bir uygulamayı Koşullu Erişim Uygulama Denetimi uygulaması olarak ekleyebilirsiniz.
Daha fazla bilgi için: