Bulut için Microsoft Defender'ı Azure VMware Çözümü

  • Makale
  • Okumak için 4 dakika

Bulut için Microsoft Defender, şirket içi ve Azure VMware Çözümü makineleriniz (VM) genelinde gelişmiş tehdit koruması sağlar. Vm'leri Azure VMware Çözümü güvenlik açığını değerlendirir ve gerektiğinde uyarılar tetikler. Bu güvenlik uyarıları çözüm için Azure İzleyici ilet olabilir. Bulut için Microsoft Defender'da güvenlik ilkeleri tanımlayabilirsiniz. Daha fazla bilgi için bkz. Güvenlik ilkeleriyle çalışma.

Bulut için Microsoft Defender, aşağıdakiler dahil olmak üzere birçok özellik sunar:

  • Dosya bütünlüğünü izleme
  • Dosyasız saldırı algılama
  • İşletim sistemi düzeltme eki değerlendirmesi
  • Güvenlik yanlış yapılandırmaları değerlendirmesi
  • Uç nokta koruma değerlendirmesi

Diyagramda vm'ler için tümleşik güvenliğin tümleşik izleme Azure VMware Çözümü yer almaktadır.

Azure Tümleşik Güvenlik mimarisini gösteren diyagram.

Log Analytics aracısı Azure, Azure VMware Çözümü ve şirket içi VM'lerden günlük verilerini toplar. Günlük verileri Günlükler'e Azure İzleyici Log Analytics Çalışma Alanında depolanır. Her çalışma alanının kendi veri deposu ve verileri depolamak için yapılandırması vardır. Günlükler toplanabilir ve Bulut için Microsoft Defender, sanal Azure VMware Çözümü güvenlik açığı durumunu değerlendirir ve kritik güvenlik açığı için bir uyarı tetikler. Değerlendirmenin ardından, Bulut için Microsoft Defender güvenlik açığı durumunu Microsoft Sentinel'e iletarak bir olay oluşturabilir ve diğer tehditlerle eşler. Bulut için Microsoft Defender, Bulut Bağlayıcısı için Microsoft Defender kullanılarak Microsoft Sentinel'e bağlanır.

Önkoşullar

Bulut Azure VMware Çözümü Defender'a vm ekleme

  1. Bu Azure portal arama Azure Arc seçin.

  2. Kaynaklar'ın altında Sunucular'ı ve ardından +Ekle'yi seçin.

    Azure'Azure Arc sanal makine eklemeye Azure VMware Çözümü sunucular sayfasını gösteren ekran görüntüsü.

  3. Betik oluştur'a seçin.

    Etkileşimli betik Azure Arc sunucu ekleme seçeneğini gösteren ekran görüntüsü.

  4. Önkoşullar sekmesinde, Sonraki'yi seçin.

  5. Kaynak ayrıntıları sekmesinde aşağıdaki ayrıntıları doldurun ve ardından Sonraki: Etiketler'i seçin.

    • Abonelik

    • Kaynak grubu

    • Bölge

    • İşletim sistemi

    • Proxy Sunucusu ayrıntıları

  6. Etiketler sekmesinde, Sonraki'yi seçin.

  7. Betiği indir ve çalıştır sekmesinde İndir'i seçin.

  8. İşletim sisteminizi belirtin ve betiği sanal makineniz üzerinde Azure VMware Çözümü çalıştırın.

Önerileri ve geçirilen değerlendirmeleri görüntüleme

Öneriler değerlendirmeler, kaynağınıza ilişkin güvenlik durumu ayrıntılarını sağlar.

  1. Bulut için Microsoft Defender'da sol bölmeden Envanter'i seçin.

  2. Kaynak türü olarak Sunucular - Kaynak Azure Arc.

    Bulut Envanteri için Microsoft Defender sayfasını, Kaynak türü altında Sunucular - Azure Arc seçili olarak gösteren ekran görüntüsü.

  3. Kaynağın adını seçin. Kaynağınıza ilişkin güvenlik durumu ayrıntılarını gösteren bir sayfa açılır.

  4. Öneri listesi altında, bu ayrıntıları Öneriler , Geçirilen değerlendirmeler ve Kullanılamayan değerlendirmeler sekmelerini seçin.

    Bulut güvenliği için Microsoft Defender önerilerini ve değerlendirmelerini gösteren ekran görüntüsü.

Microsoft Sentinel çalışma alanı dağıtma

Microsoft Sentinel bir ortamda güvenlik analizi, uyarı algılama ve otomatik tehdit yanıtı sağlar. Bu, Log Analytics Çalışma Alanı'nın üzerine kurulu buluta özel, güvenlik bilgileri olay yönetimi (SIEM) çözümüdür.

Microsoft Sentinel bir Log Analytics çalışma alanı üzerine kurulduğundan yalnızca kullanmak istediğiniz çalışma alanını seçmeniz gerekir.

  1. Bu Azure portal Microsoft Sentinel için arama ve seçin.

  2. Microsoft Sentinel çalışma alanları sayfasında +Ekle'yi seçin.

  3. Log Analytics çalışma alanını seçin ve Ekle'yi seçin.

Güvenlik olayları için veri toplayıcıyı etkinleştirme

  1. Microsoft Sentinel çalışma alanları sayfasında, yapılandırılan çalışma alanını seçin.

  2. Yapılandırma'nın altında Veri bağlayıcıları'ı seçin.

  3. Bağlayıcı Adı sütununu altında, listeden Güvenlik Olayları'ı ve ardından Bağlayıcı sayfasını aç'ı seçin.

  4. Bağlayıcı sayfasında akışa eklemek istediğiniz olayları seçin ve ardından Değişiklikleri Uygula'ya tıklayın.

    Microsoft Sentinel'de akışla hangi olayların seçilebileceklerini seçerek Güvenlik Olayları sayfasının ekran görüntüsü.

Bağlan Bulut için Microsoft Defender ile Microsoft Sentinel

  1. Microsoft Sentinel çalışma alanı sayfasında, yapılandırılan çalışma alanını seçin.

  2. Yapılandırma'nın altında Veri bağlayıcıları'ı seçin.

  3. Listeden Bulut için Microsoft Defender'ı ve ardından Bağlayıcı sayfasını aç'ı seçin.

    Microsoft Sentinel'de Bulut için Microsoft Defender'ı Microsoft Sentinel'e bağlama seçimini gösteren Veri bağlayıcıları sayfasının ekran görüntüsü.

  4. Bulut Bağlan Için Microsoft Defender'ı Microsoft Sentinel'e bağlamak üzere Bağlan'yi seçin.

  5. Bulut için Microsoft Defender'a bir olay oluşturmak için Olay oluştur'u etkinleştirin.

Güvenlik tehditlerini tanımlamak için kurallar oluşturma

Veri kaynaklarını Microsoft Sentinel'e bağlayarak, algılanan tehditler için uyarı oluşturmak üzere kurallar oluşturabilirsiniz. Aşağıdaki örnekte, yanlış parolayla bir sunucudan Windows denemeleri için bir kural oluşturuz.

  1. Microsoft Sentinel genel bakış sayfasının Yapılandırmalar'ın altında Analiz'i seçin.

  2. Yapılandırmalar'ın altında Analiz'i seçin.

  3. +Oluştur'a ve açılan listeden Zamanlanmış sorgu kuralı'nı seçin.

  4. Genel sekmesinde gerekli bilgileri girin ve ardından Sonraki: Kural mantığını ayarla'yi seçin.

    • Ad

    • Açıklama

    • Taktikler

    • Önem Derecesi

    • Durum

  5. Kural mantığını ayarla sekmesinde gerekli bilgileri girin ve ardından Sonraki'yi seçin.

    • Kural sorgusu (örnek sorguyu gösteren burada)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Varlıkları eşle

    • Sorgu zamanlaması

    • Uyarı eşiği

    • Olay gruplama

    • Gizleme

  6. Olay ayarları sekmesinde, Bu analiz kuralı tarafından tetiklenen uyarılardan olay oluştur'a tıklayın ve Sonraki: Otomatik yanıt'ı seçin.

    Microsoft Sentinel'de yeni kural oluşturmak için Analiz kuralı sihirbazını gösteren ekran görüntüsü.

  7. Şunu seçin: İleri: Gözden Geçir.

  8. Gözden geçir ve oluştur sekmesinde bilgileri gözden geçir ve Oluştur'a tıklayın.

İpucu

Üçüncü başarısız oturum açma girişiminin ardından Windows kuralı, her başarısız girişim için bir olay tetikler.

Uyarıları görüntüleme

Microsoft Sentinel ile oluşturulan olayları görüntüabilirsiniz. Ayrıca, tüm güvenlik olaylarını Microsoft Sentinel'in içinde çözümlendiklerinden sonra atarak kapattırın.

  1. Microsoft Sentinel'e genel bakış sayfasına gidin.

  2. Tehdit Yönetimi'nin altında Olaylar'ı seçin.

  3. Bir olay seçin ve çözüm için bunu bir ek takıma attayin.

    Olay seçili ve olayı çözüm için atama seçeneğinin seçili olduğu Microsoft Sentinel Olayları sayfasının ekran görüntüsü.

İpucu

Sorunu çözdükten sonra kapatarak kapatarak.

Sorgularla güvenlik tehditlerini avlama

Ortamınıza yönelik tehditleri belirlemek için Microsoft Sentinel'de sorgu oluşturabilir veya kullanılabilir önceden tanımlanmış sorguyu kullanabilirsiniz. Aşağıdaki adımlarda önceden tanımlanmış bir sorgu çalıştırılacaktır.

  1. Microsoft Sentinel genel bakış sayfasının Tehdit yönetimi altında Tehdit avcılığı'nın altında öğesini seçin. Önceden tanımlanmış sorguların listesi görüntülenir.

    İpucu

    Yeni Sorgu'ya seçerek de yeni bir sorgu oluşturabilirsiniz.

    + Yeni Sorgu vurgulanmış Microsoft Sentinel Avlanma sayfasının ekran görüntüsü.

  2. Bir sorgu seçin ve ardından Sorguyu Çalıştır'ı seçin.

  3. Sonuçları kontrol etmek için Sonuçları Görüntüle'yi seçin.

Sonraki adımlar

Sanal sanal Azure VMware Çözümü nasıl koruyacağınızı öğrendiniz: