Bulut için Microsoft Defender nedir?
Bulut için Microsoft Defender, tehditleri önlemenize, algılamanıza ve yanıtlamanıza ve kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim sahibi olmanıza yardımcı olur. Aboneliklerinizde tümleşik güvenlik izleme ve ilke yönetimi sağlar, normal koşullarda gözden kaçabilecek tehditleri algılamaya yardımcı olur ve güvenlik çözümlerinin geniş ekosistemiyle çalışır.
Bulut için Defender veri toplamak ve depolamak için izleme bileşenlerini kullanır. Ayrıntılı bilgi için bkz. Bulut için Microsoft Defender'de veri toplama.
Bulut için Microsoft Defender Nasıl yaparım??
Bulut için Microsoft Defender Microsoft Azure aboneliğinizle etkinleştirilir ve Azure portalı. Portala erişmek için portalda oturum açın, Gözat'ı seçin ve Bulut için Defender için kaydırın.
Bulut için Defender deneme sürümü var mı?
Bulut için Defender ilk 30 gün ücretsizdir. 30 günden daha fazla kullanım, fiyatlandırma şemasına göre otomatik olarak ücretlendirilir. Daha fazla bilgi edinin. Depolama için Defender'da kötü amaçlı yazılım taramasının ilk 30 günlük deneme sürümünde ücretsiz olarak dahil olmadığını ve ilk günden itibaren ücretlendirileceğini unutmayın.
hangi Azure kaynakları Bulut için Microsoft Defender tarafından izlenir?
Bulut için Microsoft Defender aşağıdaki Azure kaynaklarını izler:
- Sanal makineler (VM'ler) (Cloud Services dahil)
- Sanal Makine Ölçek Kümeleri
- Ürüne genel bakış bölümünde listelenen birçok Azure PaaS hizmeti
Bulut için Defender ayrıca Amazon AWS ve Google Cloud dahil olmak üzere şirket içi kaynakları ve çoklu bulut kaynaklarını korur.
Azure, çoklu bulut ve şirket içi kaynaklarımın geçerli güvenlik durumunu nasıl görebilirim?
Bulut için Defender Genel Bakış sayfası, ortamınızın genel güvenlik duruşunu İşlem, Ağ, Depolama ve Veriler ve Uygulamalar'a göre ayrılmış olarak gösterir. Her kaynak türü, tanımlanan güvenlik açıklarını gösteren bir göstergeye sahiptir. Her kutucuğun seçilmesi, Bulut için Defender tarafından tanımlanan güvenlik sorunlarının listesini ve aboneliğinizdeki kaynakların envanterini görüntüler.
Güvenlik girişimi nedir?
Güvenlik girişimi, belirtilen abonelik içindeki kaynaklar için önerilen denetim kümesini (ilkeler) tanımlar. Bulut için Microsoft Defender, şirketinizin güvenlik gereksinimlerine ve her abonelikteki uygulama türüne veya verilerin duyarlılığına göre Azure abonelikleriniz, AWS hesaplarınız ve GCP projeleriniz için girişimler atarsınız.
Bulut için Microsoft Defender'de etkinleştirilen güvenlik ilkeleri, güvenlik önerilerini ve izlemeyi yönlendirir. Güvenlik ilkeleri, girişimler ve öneriler nedir? hakkında daha fazla bilgi edinin.
Güvenlik ilkesini kimler değiştirebilir?
Bir güvenlik ilkesini değiştirmek için Bir Güvenlik Yönetici istratörü veya bu aboneliğin Sahibi olmanız gerekir.
Güvenlik ilkesini yapılandırmayı öğrenmek için bkz. Bulut için Microsoft Defender'de güvenlik ilkelerini ayarlama.
Güvenlik önerisi nedir?
Bulut için Microsoft Defender Azure, çoklu bulut ve şirket içi kaynaklarınızın güvenlik durumunu analiz eder. Olası güvenlik açıkları belirlendiğinde öneriler oluşturulur. Öneriler, gerekli denetimi yapılandırma işleminde size yol gösterir. Örnekler şunlardır:
- Kötü amaçlı yazılımları tanımlamaya ve kaldırmaya yardımcı olmak için kötü amaçlı yazılımdan koruma sağlama
- Sanal makinelere gelen trafiği denetlemek için ağ güvenlik grupları ve kuralları
- Web uygulamalarınızı hedefleyen saldırılara karşı savunmaya yardımcı olmak için web uygulaması güvenlik duvarı sağlama
- Eksik sistem güncelleştirmelerini dağıtma
- Önerilen temellerle eşleşmeyen işletim sistemi yapılandırmalarını ele alma
Burada yalnızca Güvenlik İlkeleri'nde etkinleştirilen öneriler gösterilir.
Güvenlik uyarısı tetikleyen nedir?
Bulut için Microsoft Defender Azure, çoklu bulut ve şirket içi kaynaklarınızdan, ağdan ve kötü amaçlı yazılımdan koruma ve güvenlik duvarları gibi iş ortağı çözümlerinden günlük verilerini otomatik olarak toplar, çözümler ve sigortalar. Tehditler algılandığında bir güvenlik uyarısı oluşturulur. Örneklere şunların algılanması dahildir:
- Bilinen kötü amaçlı IP adresleri ile iletişim kuran tehlikeye girmiş sanal makineler
- Windows hata raporlaması kullanılarak gelişmiş kötü amaçlı yazılım algılandı
- Sanal makinelere karşı deneme yanılma saldırıları
- Kötü Amaçlı Yazılımdan Koruma veya Web Uygulaması Güvenlik Duvarı gibi tümleşik iş ortağı güvenlik çözümlerinden gelen güvenlik uyarıları
Microsoft Güvenlik Yanıt Merkezi tarafından algılanan ve uyarı verilen tehditler ile Bulut için Microsoft Defender arasındaki fark nedir?
Microsoft Güvenlik Yanıt Merkezi (MSRC), Azure ağının ve altyapısının belirli güvenlik izlemesini gerçekleştirir ve üçüncü taraflardan tehdit bilgileri ve kötüye kullanım şikayetleri alır. MSRC, müşteri verilerine yasa dışı veya yetkisiz bir taraf tarafından erişildiğini veya müşterinin Azure'ı kullanımının Kabul Edilebilir Kullanım koşullarına uymadığını fark ettiğinde, güvenlik olayı yöneticisi müşteriye bildirir. Bildirim genellikle Bulut için Microsoft Defender'de belirtilen güvenlik kişilerine veya bir güvenlik kişisi belirtilmezse Azure aboneliği sahibine bir e-posta gönderilerek gerçekleşir.
Bulut için Defender müşterinin Azure, çoklu bulut ve şirket içi ortamını sürekli izleyen ve çok çeşitli kötü amaçlı etkinlikleri otomatik olarak algılamak için analiz uygulayan bir Azure hizmetidir. Bu algılamalar, iş yükü koruma panosunda güvenlik uyarıları olarak ortaya çıkar.
Kuruluşumdaki kimlerin Bulut için Defender'de Microsoft Defender planını etkinleştirmiş olduğunu nasıl izleyebilirim?
Azure Aboneliklerinde fiyatlandırma ayarlarını değiştirme izinleri olan birden çok yönetici olabilir. Hangi kullanıcının değişiklik yaptığını öğrenmek için Azure Etkinlik Günlüğü'nü kullanın.
Kullanıcının bilgileri Olay tarafından başlatılan sütununda listelenmiyorsa ilgili ayrıntılar için olayın JSON'unu inceleyin.
Bir öneri birden çok ilke girişiminde olduğunda ne olur?
Bazen birden fazla ilke girişiminde bir güvenlik önerisi görünür. Aynı aboneliğe atanmış aynı önerinin birden çok örneği varsa ve öneri için bir muafiyet oluşturursanız, düzenleme izniniz olan tüm girişimleri etkiler.
Bu öneri için bir muafiyet oluşturmaya çalışırsanız aşağıdaki iki iletiden birini görürsünüz:
Her iki girişimi de düzenlemek için gerekli izinlere sahipseniz şunları görürsünüz:
Bu öneri birkaç ilke girişimine dahildir: [girişim adları virgülle ayrılmış]. Bunların hepsinde muafiyetler oluşturulur.
Her iki girişimde de yeterli izinlere sahip değilseniz bunun yerine şu iletiyi görürsünüz:
Tüm ilke girişimlerinde muafiyeti uygulamak için sınırlı izinleriniz vardır, muafiyetler yalnızca yeterli izinlere sahip girişimlerde oluşturulur.
Muafiyeti desteklemeyen öneriler var mıdır?
Bu genel kullanıma sunulan öneriler muafiyeti desteklemez:
- Tüm gelişmiş tehdit koruma türleri SQL yönetilen örneği gelişmiş veri güvenliği ayarlarında etkinleştirilmelidir
- Tüm gelişmiş tehdit koruması türleri SQL sunucusu gelişmiş veri güvenliği ayarlarında etkin olmalıdır
- Kapsayıcı CPU ve bellek sınırları zorunlu kılınmalıdır
- Kapsayıcı görüntüleri yalnızca güvenilen kayıt defterlerinden dağıtılmalıdır
- Ayrıcalık yükseltmesi olan kapsayıcılardan kaçınılmalıdır
- Hassas konak ad alanlarını paylaşan kapsayıcılardan kaçınılmalıdır
- Kapsayıcılar yalnızca izin verilen bağlantı noktalarını dinlemelidir
- Varsayılan IP Filtresi İlkesi Reddet olmalıdır
- EDR yapılandırma sorunları sanal makinelerde çözülmelidir
- EDR çözümü Sanal Makineler yüklenmelidir
- Makinelerde dosya bütünlüğü izleme etkinleştirilmelidir
- Kapsayıcılar için sabit (salt okunur) kök dosya sistemi zorunlu kılınmalıdır
- IoT cihazları - Cihazdaki bağlantı noktalarını açma
- IoT Cihazları - Zincirlerden birinde izinli güvenlik duvarı ilkesi bulundu
- IoT Cihazları - Giriş zincirinde izinli güvenlik duvarı kuralı bulundu
- IoT Cihazları - Çıkış zincirinde izinli güvenlik duvarı kuralı bulundu
- IP Filtresi kuralı büyük IP aralığı
- Kapsayıcılar için en az ayrıcalıklı Linux özellikleri zorunlu kılınmalıdır
- Kapsayıcıların geçersiz kılınması veya devre dışı bırakılması AppArmor profili kısıtlanmalıdır
- Ayrıcalıklı kapsayıcılardan kaçınılmalıdır
- Kapsayıcıları kök kullanıcı olarak çalıştırmaktan kaçınılmalıdır
- Hizmetler yalnızca izin verilen bağlantı noktalarını dinlemelidir
- SQL sunucularında bir Microsoft Entra yöneticisi sağlanmış olmalıdır
- Konak ağı ve bağlantı noktalarının kullanımı kısıtlanmalıdır
- Pod HostPath birim bağlamalarının kullanımı, güvenliği aşılmış kapsayıcılardan düğüm erişimini kısıtlamak için bilinen bir listeyle kısıtlanmalıdır
MFA'yı zorunlu kılmak için zaten koşullu erişim (CA) ilkesi kullanıyoruz. Neden hala Bulut için Defender önerileri alınıyor?
Önerilerin neden hala oluşturulduğunu araştırmak için MFA CA ilkenizde aşağıdaki yapılandırma seçeneklerini doğrulayın:
- Hesapları MFA CA ilkenizin Kullanıcılar bölümüne (veya Gruplar bölümündeki gruplardan birine) dahil ettiniz
- Azure Yönetim uygulaması kimliği (797f4846-ba00-4fd7-ba43-dac1f8f63013) veya tüm uygulamalar, MFA CA ilkenizin Uygulamalar bölümüne eklenir
- Azure Management uygulama kimliği, MFA CA ilkenizin Uygulamalar bölümünde hariç tutulmaz
- OR koşulu yalnızca MFA ile kullanılır veya VE koşulu MFA ile kullanılır
- Kimlik Doğrulama Güçlü Yönleri aracılığıyla MFA'nın zorunlu tutması için koşullu erişim ilkesi şu anda değerlendirmemizde desteklenmemektedir .
MFA'yı zorunlu kılmak için üçüncü taraf MFA aracı kullanıyoruz. Neden hala Bulut için Defender önerileri alınıyor?
Bulut için Defender'nin MFA önerileri üçüncü taraf MFA araçlarını (örneğin DUO) desteklemez.
Öneriler kuruluşunuz için ilgisizse, kaynakları ve önerileri güvenli puanınızdan muaf tutma bölümünde açıklandığı gibi "azaltılmış" olarak işaretlemeyi göz önünde bulundurun. Bir öneriyi de devre dışı bırakabilirsiniz.
Bulut için Defender abonelik üzerinde izinleri olmayan kullanıcı hesaplarını neden "MFA gerekli" olarak gösteriyor?
Bulut için Defender MFA önerileri Azure RBAC rolleri ve klasik Azure abonelik yöneticileri rolü. Hesaplardan hiçbirinin böyle rolleri olmadığını doğrulayın.
PIM ile MFA'yi zorunluyoruz. PIM hesapları neden uyumsuz olarak gösteriliyor?
Bulut için Defender MFA önerileri şu anda PIM hesaplarını desteklememektedir. Bu hesapları Kullanıcılar/Gruplar bölümünde CA İlkesine ekleyebilirsiniz.
Hesaplardan bazılarını muaf tutabilir veya kapatabilir miyim?
MFA kullanmayan bazı hesapları muaf tutma özelliği, önizlemedeki yeni önerilerde kullanılabilir:
- Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir
- Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir
- Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir
Hesapları muaf tutabilmek için şu adımları izleyin:
- İyi durumda olmayan bir hesapla ilişkilendirilmiş bir MFA önerisi seçin.
- Hesaplar sekmesinde, muaf tutulacak bir hesap seçin.
- Üç nokta düğmesini ve ardından Hesabı muaf tut'a tıklayın.
- Bir kapsam ve muafiyet nedeni seçin.
Hangi hesapların muaf tutulacağını görmek isterseniz, her öneri için Muaf tutulan hesaplar'a gidin.
İpucu
Bir hesabı muaf tutarak, bu hesap iyi durumda değil olarak gösterilmez ve bir aboneliğin iyi durumda görünmemasına neden olmaz.
Bulut için Defender kimlik ve erişim korumalarında herhangi bir sınırlama var mı?
Bulut için Defender kimlik ve erişim korumalarıyla ilgili bazı sınırlamalar vardır:
- 6.000'den fazla hesabı olan abonelikler için kimlik önerileri kullanılamaz. Bu gibi durumlarda, bu abonelik türleri Geçerli değil sekmesi altında listelenir.
- Bulut Çözümü Sağlayıcısı (CSP) iş ortağının yönetici aracıları için kimlik önerileri kullanılamaz.
- Kimlik önerileri, ayrıcalıklı kimlik yönetimi (PIM) sistemiyle yönetilen hesapları tanımlamaz. PIM aracı kullanıyorsanız Erişimi ve izinleri yönet denetiminde yanlış sonuçlar görebilirsiniz.
- Kimlik önerileri, kullanıcılar ve gruplar yerine dahil edilen Dizin Rolleri ile Microsoft Entra koşullu erişim ilkelerini desteklemez.
EC2 örneklerim için hangi işletim sistemleri destekleniyor?
SSM Aracısı'nın önceden yüklenmiş olduğu AMI'lerin listesi için AWS belgelerinde bu sayfaya bakın.
Diğer işletim sistemleri için SSM Aracısı aşağıdaki yönergeler kullanılarak el ile yüklenmelidir:
CSPM planı için AWS kaynaklarını bulmak için hangi IAM izinlerine ihtiyaç duyuldu?
AWS kaynaklarını bulmak için aşağıdaki IAM izinleri gereklidir:
| Datacollector | AWS İzinleri |
|---|---|
| API Ağ Geçidi | apigateway:GET |
| Uygulama Otomatik Ölçeklendirme | application-autoscaling:Describe* |
| Otomatik ölçeklendirme | autoscaling-plans:Describe* autoscaling:Describe* |
| Sertifika yöneticisi | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
| CloudFormation | cloudformation:Describe* cloudformation:List* |
| CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
| CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
| CloudWatch | cloudwatch:Describe* cloudwatch:List* |
| CloudWatch günlükleri | logs:DescribeLogGroups logs:DescribeMetricFilters |
| CodeBuild | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
| Yapılandırma Hizmeti | config:Describe* config:List* |
| DMS - veritabanı geçiş hizmeti | dms:Describe* dms:List* |
| DAX | dax:Describe* |
| DynamoDB | dynamodb:Describe* dynamodb:List* |
| Ec2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
| ECR | ecr:Describe* ecr:List* |
| ECS | ecs:Describe* ecs:List* |
| EFS | elasticfilesystem:Describe* |
| EKS | eks:Describe* eks:List* |
| Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
| ELB - elastik yük dengeleme (v1/2) | elasticloadbalancing:Describe* |
| Elastik arama | es:Describe* es:List* |
| EMR - elastik harita azaltma | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
| GuardDuty | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
| IAM | iam:Generate* iam:Get* iam:List* iam:Simulate* |
| KMS | kms:Describe* kms:List* |
| Lambda | lambda:GetPolicy lambda:List* |
| Ağ güvenlik duvarı | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
| RDS | rds:Describe* rds:List* |
| Redshift | redshift:Describe* |
| S3 ve S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
| SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
| Gizli dizi yöneticisi | secretsmanager:Describe* secretsmanager:List* |
| Basit bildirim hizmeti SNS | sns:Check* sns:List* |
| SSM | ssm:Describe* ssm:List* |
| SQS | sqs:List* sqs:Receive* |
| AZİZ | sts:GetCallerIdentity |
| WAF | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
GCP kaynaklarımı Bulut için Defender bağlamak için bir API var mı?
Evet. REST API ile Bulut için Defender bulut bağlayıcıları oluşturmak, düzenlemek veya silmek için Bağlan orLAR API'sinin ayrıntılarına bakın.
hangi GCP bölgeleri Bulut için Defender tarafından desteklenir?
Bulut için Defender GCP genel bulutundaki tüm kullanılabilir bölgeleri destekler ve tarar.
İş akışı otomasyonu herhangi bir iş sürekliliği veya olağanüstü durum kurtarma (BCDR) senaryolarını destekliyor mu?
Hedef kaynağın kesinti veya başka bir olağanüstü durumla karşılaştığı BCDR senaryoları için ortamınızı hazırlarken, Azure Event Hubs, Log Analytics çalışma alanı ve Logic Apps yönergelerine göre yedeklemeler oluşturarak veri kaybını önlemek kuruluşun sorumluluğundadır.
Her etkin otomasyon için aynı (devre dışı) bir otomasyon oluşturmanızı ve farklı bir konumda depolamanızı öneririz. Bir kesinti olduğunda, bu yedekleme otomasyonlarını etkinleştirebilir ve normal işlemleri sürdürebilirsiniz.
Azure Logic Apps için iş sürekliliği ve olağanüstü durum kurtarma hakkında daha fazla bilgi edinin.
Verileri dışarı aktarmanın maliyetleri nelerdir?
Sürekli dışarı aktarmayı etkinleştirmenin bir maliyeti yoktur. Log Analytics çalışma alanınızdaki yapılandırmanıza bağlı olarak verilerin alınması ve saklanması için maliyetler tahakkuk edebilir.
Birçok uyarı yalnızca kaynaklarınız için Defender planlarını etkinleştirdiğinizde sağlanır. Dışarı aktarılan verilerinizde alınan uyarıları önizlemenin iyi bir yolu, Azure portalındaki Bulut için Defender sayfalarında gösterilen uyarıları görmektir.
Log Analytics çalışma alanı fiyatlandırması hakkında daha fazla bilgi edinin.
Azure Event Hubs fiyatlandırması hakkında daha fazla bilgi edinin.
Bulut için Defender fiyatlandırması hakkında genel bilgi için fiyatlandırma sayfasına bakın.
Sürekli dışarı aktarma işlemi tüm kaynakların geçerli durumuyla ilgili verileri içeriyor mu?
Hayır Sürekli dışarı aktarma, olayların akışı için oluşturulur:
- Dışarı aktarmayı etkinleştirmeden önce alınan uyarılar dışarı aktarılamaz.
- Öneriler bir kaynağın uyumluluk durumu her değiştiğinde gönderilir. Örneğin, bir kaynak iyi durumdan iyi durumda olmayana dönüştüğünde. Bu nedenle, uyarılarda olduğu gibi, dışarı aktarmayı etkinleştirdiğinizden beri durumu değişmemiş kaynaklara yönelik öneriler dışarı aktarılamaz.
- Güvenlik denetimi veya abonelik başına güvenlik puanı , güvenlik denetiminin puanı 0,01 veya daha fazla değiştiğinde gönderilir.
- Kaynağın uyumluluk durumu değiştiğinde mevzuat uyumluluğu durumu gönderilir.
Neden öneriler farklı aralıklarda gönderiliyor?
Farklı öneriler, birkaç dakikada bir ile birkaç günde bir arasında değişen farklı uyumluluk değerlendirme aralıklarına sahiptir. Bu nedenle, önerilerin dışarı aktarmalarınızda görünmesi için gereken süre değişir.
Öneri için örnek bir sorguyu nasıl alabilirim?
Öneriye örnek bir sorgu almak için öneriyi Bulut için Defender açın, Sorguyu aç'ı ve ardından Güvenlik bulguları döndüren sorgu'yu seçin.
Sürekli dışarı aktarma, iş sürekliliği veya olağanüstü durum kurtarma (BCDR) senaryolarını destekliyor mu?
Sürekli dışarı aktarma, hedef kaynağın kesinti veya başka bir olağanüstü durumla karşılaştığı BCDR senaryolarına hazırlanmak için yararlı olabilir. Ancak Azure Event Hubs, Log Analytics çalışma alanı ve Logic App yönergelerine göre yedeklemeler oluşturarak veri kaybını önlemek kuruluşun sorumluluğundadır.
Azure Event Hubs - Coğrafi olağanüstü durum kurtarma hakkında daha fazla bilgi edinin.
Aynı anda tek bir abonelikte birden çok planı program aracılığıyla güncelleştirebilir miyim?
Tek bir abonelikte birden çok planı aynı anda program aracılığıyla güncelleştirmenizi önermeyiz (REST API, ARM şablonları, betikler vb. aracılığıyla). Microsoft.Security/pricings API'sini veya başka bir programlı çözümü kullanırken, her istek arasına 10-15 saniyelik bir gecikme eklemeniz gerekir.