Düzenle

Aracılığıyla paylaş

Azure ve Microsoft Defender XDR güvenlik hizmetlerini tümleştirme

Microsoft Sentinel
Azure Monitor
Microsoft Defender for Cloud
Azure Log Analytics
Azure Network Watcher

Çözüm fikirleri

Bu makale bir çözüm fikridir. İçeriği olası kullanım örnekleri, alternatif hizmetler, uygulama konuları veya fiyatlandırma yönergeleri gibi daha fazla bilgiyle genişletmemizi isterseniz GitHub geri bildirimi sağlayarak bize bildirin.

Hem Microsoft 365 hem de Azure'ın güvenlik özelliklerini kullanarak kuruluşunuzun BT ortamının güvenlik duruşunu geliştirebilirsiniz. Beşli serinin beşincisi olan bu makalede, Microsoft Defender XDR ve Azure izleme hizmetlerini kullanarak bu hizmetlerin güvenlik özelliklerini nasıl tümleştirebileceğiniz açıklanır.

Bu makale, serideki önceki makalelere dayalıdır:

  1. Güvenlik bileşenlerini tümleştirmek için Azure izlemeyi kullanma, Azure ve Microsoft Defender XDR'nin güvenlik hizmetlerini nasıl tümleştirebileceğinize ilişkin genel bir görünüm sağlar.

  2. Tehditleri BT ortamınıza eşlemek için yaygın tehditlerin, taktiklerin ve tekniklerin örneklerini hem şirket içi hem de Microsoft bulut hizmetlerini kullanan bir karma BT ortamı örneğiyle eşleme yöntemlerini açıklar.

  3. Azure Güvenlik hizmetleriyle ilk savunma katmanını oluşturma, Azure ortamınızı Azure Güvenlik Karşılaştırması sürüm 3'e göre korumak için ilk savunma katmanını oluşturan bazı Azure güvenlik hizmetlerinin bir örneğini eşler.

  4. Microsoft Defender XDR Security hizmetleriyle ikinci savunma katmanını oluşturma, BT ortamınıza yönelik bir dizi saldırının bir örneğini ve Microsoft Defender XDR kullanarak başka bir koruma katmanının nasıl ekleneceğini açıklar.

Mimari

I T ortamını, tehditleri ve güvenlik hizmetlerini gösteren bu beş makalelik serinin tam başvuru mimarisinin diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

©2021 MITRE Corporation. Bu çalışma, MITRE Corporation'ın izniyle çoğaltılır ve dağıtılır.

Bu diyagramda eksiksiz bir mimari başvurusu gösterilmektedir. BT ortamının bir örneğini, taktiklerine (mavi renkle) ve MITRE ATT&CK matrisine göre tekniklerine (metin kutusunda) göre açıklanan bir dizi örnek tehdit içerir. MITRE ATT&CK matrisi, BT ortamınıza yönelik tehditleri eşleme kapsamındadır.

Diyagramda sunulan önemli hizmetler vardır. Ağ İzleyicisi ve Uygulama Analizler gibi bu hizmetlerden bazıları belirli hizmetlerden bilgi yakalamaya odaklanmıştır. Log Analytics (Azure İzleyici Günlükleri olarak da bilinir) ve Microsoft Sentinel gibi bazı hizmetler, ağ, işlem veya uygulama hizmetleri olmasına bakılmaksızın çeşitli hizmetlerden bilgi toplayabileceği, depolayabileceği ve çözümleyebildiğinden temel hizmetlerdir.

Diyagramın merkezi bölümünde iki güvenlik hizmeti katmanı bulunur. Ayrıca Azure İzleyici ile tümleştirilen belirli Azure izleme hizmetlerini içeren bir katman da vardır (diyagramın sol tarafında). Bu tümleştirmenin temel bileşeni Microsoft Sentinel'dir.

Diyagram, Çekirdek İzleme Hizmetleri'nde ve İzleyici katmanında aşağıdaki hizmetleri gösterir:

  • Azure İzleyici
  • Log Analytics
  • Bulut için Microsoft Defender
  • Microsoft Sentinel
  • Ağ İzleyicisi
  • Trafik Analizi (Ağ İzleyicisi parçası)
  • Application Insights
  • Depolama Analizi

İş Akışı

  1. Azure İzleyici , birçok Azure izleme hizmeti için bir şemsiyedir. Diğerlerinin yanı sıra günlük yönetimi, ölçümler ve Uygulama Analizler içerir. Ayrıca, uyarıların kullanımına ve yönetimine hazır bir pano koleksiyonu sağlar. Daha fazla bilgi için bkz . Azure İzleyici'ye genel bakış.

  2. Bulut için Microsoft Defender, bir BT ortamının ISO ve PCI gibi çeşitli mevzuat standartlarıyla uyumlu hale getirmesine yardımcı olan sanal makineler (VM), depolama alanı, uygulamalar ve diğer kaynaklar için öneriler sunar. Aynı zamanda Bulut için Defender, ortamınızın güvenliğini izlemenize yardımcı olabilecek sistemlerin güvenlik duruşu için bir puan sunar. Bulut için Defender ayrıca topladığı ve çözümlediğini günlükleri temel alan otomatik uyarılar da sunar. Bulut için Defender eskiden Azure Güvenlik Merkezi olarak biliniyordu. Daha fazla bilgi için bkz. Bulut için Microsoft Defender.

  3. Log Analytics en önemli hizmetlerden biridir. Uyarılar, içgörüler ve olaylar oluşturmak için kullanılan tüm günlüklerin ve uyarıların depolanmasından sorumludur. Microsoft Sentinel, Log Analytics üzerinde çalışır. Temel olarak, Log Analytics tarafından alınan tüm veriler Microsoft Sentinel tarafından otomatik olarak kullanılabilir. Log Analytics, Azure İzleyici Günlükleri olarak da bilinir. Daha fazla bilgi için bkz . Azure İzleyici'de Log Analytics'e genel bakış.

  4. Microsoft Sentinel , Log Analytics için bir cephe gibi çalışır. Log Analytics çeşitli kaynaklardan günlükleri ve uyarıları depolasa da, Microsoft Sentinel çeşitli kaynaklardan günlüklerin alımına yardımcı olan API'ler sunar. Bu kaynaklar arasında şirket içi VM'ler, Azure VM'leri, Microsoft Defender XDR'den gelen uyarılar ve diğer hizmetler yer alır. Microsoft Sentinel, BT ortamınızda olup bitenlerle ilgili içgörüler sağlamak için günlükleri ilişkilendirerek hatalı pozitif sonuçları önler. Microsoft Sentinel, Microsoft bulut hizmetleri için güvenlik ve izlemenin temelini oluşturur. Microsoft Sentinel hakkında daha fazla bilgi için bkz . Microsoft Sentinel nedir?.

Bu listedeki önceki hizmetler Azure, Office 365 ve şirket içi ortamlar genelinde çalışan temel hizmetlerdir. Aşağıdaki hizmetler belirli kaynaklara odaklanır:

  1. Ağ İzleyicisi, Azure sanal ağındaki kaynakların günlüklerini izlemek, tanılamak, görüntülemek ve günlükleri etkinleştirmek veya devre dışı bırakmak için araçlar sağlar. Daha fazla bilgi için bkz. Azure Ağ İzleyicisi nedir?

  2. Trafik Analizi, Ağ İzleyicisi bir parçasıdır ve ağ güvenlik gruplarından (NSG) gelen günlüklerin üzerinde çalışır. Traffic Analytics, Azure Sanal Ağ'da giden ve gelen bağlantıdan ölçümleri toplama özelliğine sahip birçok pano sunar. Daha fazla bilgi için bkz . Trafik Analizi.

  3. Uygulama Analizler uygulamalara odaklanır ve .NET, Node.js, Java ve Python gibi çok çeşitli platformlar için destek de dahil olmak üzere canlı web uygulamaları için genişletilebilir performans yönetimi ve izleme sağlar. Uygulama Analizler, Azure İzleyici'nin bir özelliğidir. Daha fazla bilgi için bkz. Uygulama Analizler genel bakış.

  4. Azure Depolama Analytics, günlüğe kaydetme gerçekleştirir ve depolama hesabı için ölçümler sağlar. İstekleri izlemek, kullanım eğilimlerini analiz etmek ve depolama hesabınızla ilgili sorunları tanılamak için verilerini kullanabilirsiniz. Daha fazla bilgi için bkz. Günlükleri ve ölçüm verilerini toplamak için Azure Depolama analizini kullanma.

  5. Bu mimari başvurusu Microsoft Sıfır Güven temel alındığından, Altyapı ve Uç Nokta altındaki hizmet ve bileşenler belirli izleme hizmetlerine sahip değildir. Azure İzleyici günlükleri ve Bulut için Defender, VM'lerden ve diğer işlem hizmetlerinden günlükleri toplayan, depolayan ve analiz eden ana hizmetlerdir.

Azure güvenlik hizmetleri, Microsoft Defender XDR ve Azure İzleyici tarafından sağlanan tüm günlükleri ve uyarıları bağladığından, bu mimarinin temel bileşeni Microsoft Sentinel'dir. Microsoft Sentinel'i uyguladıktan ve bu makalede tanımlanan tüm kaynaklardan günlükleri ve uyarıları aldıktan sonra, sonraki adım bu günlüklerin bir dizi sorguyu eşleyip güvenlik ihlal göstergelerinin (ICS) içgörülerini ve kanıtlarını elde etmektir. Bilgiler Microsoft Sentinel tarafından yakalandığında, olayı araştırabilir veya olayı hafifletmek veya çözmek için yapılandırdığınız otomatik bir yanıta izin vekleyebilirsiniz. Otomatik yanıtlar, Microsoft Entra Id'de bir kullanıcıyı engelleme veya güvenlik duvarı üzerinden bir IP adresini engelleme gibi eylemleri içerir.

Microsoft Sentinel hakkında daha fazla bilgi için Bkz . Microsoft Sentinel belgeleri.

Güvenlik ve izleme hizmetlerine erişme

Aşağıdaki liste, bu makalede sunulan hizmetlerin her birine erişme hakkında bilgi sağlar:

  • Azure güvenlik hizmetleri. Azure portalını kullanarak bu makale serisindeki diyagramlarda belirtilen tüm Azure güvenlik hizmetlerine erişebilirsiniz. Portalda, ilgilendiğiniz hizmetleri bulmak ve bunlara erişmek için arama işlevini kullanın.

  • Azure İzleyici. Azure İzleyici tüm Azure aboneliklerinde kullanılabilir. Buna Azure portalındaki bir izleyici aramasından erişebilirsiniz.

  • Bulut için Defender. Bulut için DefenderAzure portalı. Portalda Bulut için Defender arayın.

  • Log Analytics. Log Analytics'e erişmek için, varsayılan olarak mevcut olmadığından önce portalda hizmeti oluşturmanız gerekir. Azure portalında Log Analytics çalışma alanını arayın ve Oluştur'u seçin. Oluşturma işleminden sonra hizmete erişebilirsiniz.

  • Microsoft Sentinel. Microsoft Sentinel, Log Analytics üzerinde çalıştığından, önce bir Log Analytics çalışma alanı oluşturmanız gerekir. Ardından, Azure portalında sentinel araması yapın. Ardından, Microsoft Sentinel'in arkasında olmasını istediğiniz çalışma alanını seçerek hizmeti oluşturun.

  • Uç Nokta için Microsoft Defender. Uç Nokta için Defender, Microsoft Defender XDR'nin bir parçasıdır. aracılığıyla https://security.microsoft.comhizmete erişin. Bu, önceki URL'den bir değişikliktir. securitycenter.windows.com

  • uygulamaları Bulut için Microsoft Defender. Bulut için Defender Uygulamaları, Microsoft 365'in bir parçasıdır. aracılığıyla https://portal.cloudappsecurity.comhizmete erişin.

  • Office 365 için Microsoft Defender. Office 365 için Defender, Microsoft 365'in bir parçasıdır. Hizmete, Uç Nokta için Defender için kullanılan portal üzerinden https://security.microsoft.comerişin. (Bu, önceki URL'den bir değişikliktir, protection.office.com.)

  • Kimlik için Microsoft Defender. Kimlik için Defender, Microsoft 365'in bir parçasıdır. Hizmetine aracılığıyla https://portal.atp.azure.comerişebilirsiniz. Bu bir bulut hizmeti olsa da Kimlik için Defender, şirket içi sistemlerde kimliği korumakla da sorumludur.

  • Microsoft Endpoint Manager. Endpoint Manager, Intune, Configuration Manager ve diğer hizmetlerin yeni adıdır. aracılığıyla https://endpoint.microsoft.comerişin. Microsoft Defender XDR tarafından sağlanan hizmetlere erişme ve her portalın nasıl ilişkili olduğu hakkında daha fazla bilgi edinmek için bkz . Microsoft Defender XDR Güvenlik hizmetleriyle ikinci savunma katmanını oluşturma.

  • Azure Ağ İzleyicisi. Azure Ağ İzleyicisi erişmek için Azure portalında izleyici arayın.

  • Trafik Analizi. Trafik Analizi Ağ İzleyicisi bir parçasıdır. Ağ İzleyicisi sol taraftaki menüden erişebilirsiniz. Tek tek ağ arabirimlerinizde ve alt ağlarınızda uygulanan NSG'lerinize göre çalışan güçlü bir ağ izleyicisidir. Ağ İzleyicisi NSG'lerden bilgi toplamayı gerektirir. Bu bilgileri toplama yönergeleri için bkz . Öğretici: Azure portalını kullanarak sanal makineye gelen ve sanal makineden gelen ağ trafiğini günlüğe kaydetme.

  • Application Insight. Application Insight, Azure İzleyici'nin bir parçasıdır. Ancak, önce izlemek istediğiniz uygulama için oluşturmanız gerekir. Web Apps gibi Azure üzerinde oluşturulan bazı uygulamalar için, doğrudan Web Apps'in sağlanmasından Application Insight oluşturabilirsiniz. Buna erişmek için Azure portalında izleyici araması yapın. İzleyici sayfasında sol taraftaki menüden Uygulamalar'ı seçin.

  • Depolama Analytics. Azure Depolama, aynı depolama hesabı teknolojisi altında çeşitli depolama türleri sunar. Depolama hesaplarının üzerinde bloblar, dosyalar, tablolar ve kuyruklar bulabilirsiniz. Depolama analiz, bu depolama hizmetleriyle kullanılacak çok çeşitli ölçümler sunar. Azure portalında Depolama hesabınızdan Depolama Analytics'e erişin ve sol taraftaki menüde Tanılama ayarları'nı seçin. Bu bilgileri göndermek için bir log analytics çalışma alanı seçin. Ardından panoya Analizler erişebilirsiniz. İzlemekte olan depolama hesabınızdaki her şey menüde gösterilir.

Bileşenler

Bu makaledeki örnek mimaride aşağıdaki Azure bileşenleri kullanılır:

  • Microsoft Entra Id , bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Microsoft Entra Id, kullanıcılarınızın Microsoft 365, Azure portalı ve diğer binlerce SaaS uygulaması gibi dış kaynaklara erişmesine yardımcı olur. Ayrıca şirket intranet ağınızdaki uygulamalar gibi iç kaynaklara erişmelerine de yardımcı olur.

  • Azure Sanal Ağ, Azure'daki özel ağınız için temel yapı taşıdır. Sanal Ağ birçok Azure kaynağı türünün birbiriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar. Sanal Ağ ölçek, kullanılabilirlik ve yalıtım gibi Azure altyapısından yararlanan bir sanal ağ sağlar.

  • Azure Load Balancer , tüm UDP ve TCP protokolleri için yüksek performanslı, düşük gecikme süreli katman 4 yük dengeleme hizmetidir (gelen ve giden). Çözümünüzün yüksek oranda kullanılabilir olmasını sağlarken saniyede milyonlarca isteği işleyecek şekilde derlenir. Azure Load Balancer alanlar arası yedeklidir ve Kullanılabilirlik Alanları genelinde yüksek kullanılabilirlik sağlar.

  • Sanal makineler , Azure'ın sunduğu çeşitli isteğe bağlı, ölçeklenebilir bilgi işlem kaynaklarından biridir. Azure sanal makinesi (VM), çalıştıran fiziksel donanımı satın almak ve bakımını yapmak zorunda kalmadan sanallaştırma esnekliği sağlar.

  • Azure Kubernetes hizmeti (AKS), kapsayıcılı uygulamaları dağıtmak ve yönetmek için tam olarak yönetilen bir Kubernetes hizmetidir. AKS sunucusuz Kubernetes, sürekli tümleştirme/sürekli teslim (CI/CD) ve kurumsal düzeyde güvenlik ve idare sağlar.

  • Azure Sanal Masaüstü , uzak kullanıcılara masaüstleri sağlamak üzere bulutta çalışan bir masaüstü ve uygulama sanallaştırma hizmetidir.

  • Web Apps , web uygulamalarını, REST API'leri ve mobil arka uçları barındırmaya yönelik HTTP tabanlı bir hizmettir. En sevdiğiniz dilde geliştirme yapabilirsiniz ve uygulamalar hem Windows hem de Linux tabanlı ortamlarda kolayca çalışır ve ölçeklendirilir.

  • Azure Depolama nesne, blob, dosya, disk, kuyruk ve tablo depolama gibi buluttaki çeşitli veri nesneleri için yüksek oranda kullanılabilir, yüksek oranda ölçeklenebilir, dayanıklı ve güvenli depolama alanıdır. Azure depolama hesabına yazılan tüm veriler hizmet tarafından şifrelenir. Azure Depolama, verilerinize erişmesi gereken kişiler üzerinde ayrıntılı denetime sahip olmanızı sağlar.

  • Azure SQL veritabanı , yükseltme, düzeltme eki uygulama, yedeklemeler ve izleme gibi veritabanı yönetimi işlevlerinin çoğunu işleyen tam olarak yönetilen bir PaaS veritabanı altyapısıdır. Bu işlevleri kullanıcı katılımı olmadan sağlar. SQL Veritabanı, uygulamanızın güvenlik ve uyumluluk gereksinimlerini karşılamasına yardımcı olmak için çeşitli yerleşik güvenlik ve uyumluluk özellikleri sağlar.

Çözüm ayrıntıları

Azure'da izleme çözümleri başlangıçta kafa karıştırıcı görünebilir çünkü Azure birden çok izleme hizmeti sunar. Ancak her Azure izleme hizmeti, bu seride açıklanan güvenlik ve izleme stratejisinde önemlidir. Bu serideki makalelerde çeşitli hizmetler ve BT ortamınız için etkili güvenliğin nasıl planlandığı açıklanmaktadır.

  1. Güvenlik bileşenlerini tümleştirmek için Azure izlemesini kullanma
  2. Tehditleri BT ortamınıza eşleme
  3. Azure Güvenlik hizmetleriyle ilk savunma katmanını oluşturma
  4. Microsoft Defender XDR Güvenlik hizmetleriyle ikinci savunma katmanını oluşturma

Olası kullanım örnekleri

Bu başvuru mimarisi, Microsoft Bulut güvenlik hizmetlerinin tüm resmini anlamanıza ve bunları en iyi güvenlik duruşu için nasıl tümleştirebileceğinizi anlamanıza yardımcı olabilir.

Bu mimaride sunulan tüm güvenlik hizmetlerini uygulamanız gerekmez. Ancak, bu örnek ve mimari diyagramında temsil edilen tehdit haritası, kendi haritanızı oluşturmayı ve ardından güvenlik stratejiniz için uygun şekilde planlamayı anlamanıza yardımcı olabilir. BT ortamınızın ihtiyaç duyduğu güvenliğe sahip olması için Azure aracılığıyla tümleştirmek istediğiniz doğru Azure güvenlik hizmetlerini ve Microsoft Defender XDR hizmetlerini seçin.

Maliyet iyileştirme

Bu makale serisinde sunulan Azure hizmetlerinin fiyatlandırması çeşitli yollarla hesaplanır. Bazı hizmetler ücretsizdir, bazıları her kullanım için ücretlendirilir ve bazıları lisanslamaya dayalı bir ücrete sahiptir. Azure güvenlik hizmetlerinden herhangi birinin fiyatlandırmasını tahmin etmenin en iyi yolu Fiyatlandırma hesaplayıcısını kullanmaktır. Hesap makinesinde ilgilendiğiniz bir hizmeti arayın ve hizmetin fiyatını belirleyen tüm değişkenleri almak için bu hizmeti seçin.

Microsoft Defender XDR güvenlik hizmetleri lisanslarla çalışır. Lisans gereksinimleri hakkında bilgi için bkz . Microsoft Defender XDR önkoşulları.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Diğer katkıda bulunanlar:

Sonraki adımlar

Bu başvuru mimarisi hakkında daha fazla ayrıntı için bu serideki diğer makalelere bakın:

Azure Mimari Merkezi'nin ilgili mimarileri için aşağıdaki makalelere bakın: