pilot ve dağıtım Microsoft Defender for Cloud Apps
Bu makalede, kuruluşunuzda Microsoft Defender for Cloud Apps pilot uygulama ve dağıtmaya yönelik bir iş akışı sağlanır. Microsoft Defender XDR ile uçtan uca bir çözümün parçası olarak Microsoft Defender for Cloud Apps eklemek için bu önerileri kullanın.
Bu makalede, üretim microsoft 365 kiracınız olduğu ve bu ortamda Microsoft Defender for Cloud Apps pilot olarak kullandığınız ve dağıttığınız varsayılır. Bu uygulama, tam dağıtımınız için pilot çalışmanız sırasında yapılandırdığınız tüm ayarları ve özelleştirmeleri korur.
Office 365 için Defender, bir ihlalin iş zararını önlemeye veya azaltmaya yardımcı olarak Sıfır Güven mimarisine katkıda bulunur. Daha fazla bilgi için Bkz. Microsoft Sıfır Güven benimseme çerçevesinin bir ihlal iş senaryosunda iş zararını önleme veya azaltma.
Microsoft Defender XDR için uçtan uca dağıtım
Bu, olayları araştırmak ve yanıtlamak da dahil olmak üzere Microsoft Defender XDR bileşenlerini dağıtmanıza yardımcı olmak için serideki 6. makaledir.
Bu serideki makaleler, uçtan uca dağıtımın aşağıdaki aşamalarına karşılık gelir:
| Aşama | Bağlantı |
|---|---|
| C. Pilotu başlatın | Pilotu başlatın |
| B. Microsoft Defender XDR bileşenlerini pilot olarak kullanın ve dağıtın |
-
Kimlik için Defender'ı pilot olarak kullanın ve dağıtın - Pilot uygulama ve Office 365 için Defender dağıtma - Uç Nokta için Defender'ı pilot olarak kullanma ve dağıtma - pilot ve dağıtım Microsoft Defender for Cloud Apps (bu makale) |
| C. Tehditleri araştırın ve karşı yanıt verin | Olay araştırma ve yanıt uygulama |
Defender for Cloud Apps için iş akışı pilotu oluşturma ve dağıtma
Aşağıdaki diyagramda, bt ortamında ürün veya hizmet dağıtmaya yönelik yaygın bir işlem gösterilmektedir.
İlk olarak ürünü veya hizmeti ve kuruluşunuzda nasıl çalışacağını değerlendirebilirsiniz. Ardından test, öğrenme ve özelleştirme için üretim altyapınızın uygun küçük bir alt kümesiyle ürünü veya hizmeti pilot olarak kullanırsınız. Ardından, altyapınızın veya kuruluşunuzun tamamı kapsanana kadar dağıtımın kapsamını aşamalı olarak artırın.
Üretim ortamınızda Defender for Cloud Apps pilot ve dağıtım iş akışı aşağıdadır.
Şu adımları izleyin:
- Defender for Cloud Apps bağlanma
- Uç Nokta için Microsoft Defender ile tümleştirme
- Günlük toplayıcısını güvenlik duvarlarınıza ve diğer proxy'lerinize dağıtma
- Pilot grup oluşturma
- Bulut uygulamalarını keşfetme ve yönetme
- Koşullu erişim uygulama denetimini yapılandırma
- Oturum ilkelerini bulut uygulamalarına uygulama
- Ek özellikleri deneyin
Her dağıtım aşaması için önerilen adımlar aşağıdadır.
| Dağıtım aşaması | Açıklama |
|---|---|
| Değerlendirmek | Defender for Cloud Apps için ürün değerlendirmesi gerçekleştirin. |
| Pilot | Üretim ortamınızdaki bulut uygulamalarının uygun bir alt kümesi için 1-4 ve ardından 5-8 arası adımları gerçekleştirin. |
| Tam dağıtım | Kalan bulut uygulamalarınız için 5-8 arası adımları gerçekleştirin, pilot kullanıcı grupları için kapsam belirlemeyi ayarlayın veya pilotun ötesine geçmek ve tüm kullanıcı hesaplarınızı dahil etmek için kullanıcı grupları ekleyin. |
Kuruluşunuzu korsanlardan koruma
Defender for Cloud Apps kendi başına güçlü koruma sağlar. Ancak, Microsoft Defender XDR diğer özellikleriyle birleştirildiğinde, Defender for Cloud Apps paylaşılan sinyallere veri sağlar ve bu da saldırıların durdurulmasını sağlar.
Burada siber saldırının bir örneği ve Microsoft Defender XDR bileşenlerinin bunu algılamaya ve azaltmaya nasıl yardımcı olduğu verilmiştir.
Defender for Cloud Apps, imkansız seyahat, kimlik bilgisi erişimi ve olağan dışı indirme, dosya paylaşımı veya posta iletme etkinliği gibi anormal davranışları algılar ve bu davranışları Defender for Cloud Apps görüntüler. Defender for Cloud Apps ayrıca bilgisayar korsanlarının yanal hareketini önlemeye ve hassas verilerin sızmasını önlemeye yardımcı olur.
Microsoft Defender XDR, tüm saldırı hikayesini sağlamak için tüm Microsoft Defender bileşenlerinden gelen sinyalleri ilişkilendirmektedir.
CASB ve daha fazlası olarak Defender for Cloud Apps rolü
Bulut erişim güvenlik aracısı (CASB), kullanıcılarınızın bulunduğu her yerde ve kullandıkları cihazdan bağımsız olarak, kurumsal kullanıcılarınız ve kullandıkları bulut kaynakları arasında gerçek zamanlı olarak erişim aracılık yapmak için bir ağ geçidi denetleyicisi görevi görür. Hizmet olarak yazılım (SaaS) uygulamaları karma çalışma ortamlarında yaygın olarak bulunur ve SaaS uygulamalarının ve depoladıkları önemli verilerin korunması kuruluşlar için büyük bir zorluk oluşturur.
Şirket çevresi dışındaki şirket kaynaklarına erişen çalışanlarla birlikte uygulama kullanımındaki artış, yeni saldırı vektörleri de getirmiştir. Bu saldırılarla etkili bir şekilde mücadele etmek için güvenlik ekiplerinin bulut uygulamalarındaki verilerini geleneksel bulut erişim güvenlik aracıları (CASB) kapsamının ötesinde koruyan bir yaklaşıma ihtiyacı vardır.
Microsoft Defender for Cloud Apps SaaS uygulamaları için tam koruma sunarak aşağıdaki özellik alanlarında bulut uygulaması verilerinizi izlemenize ve korumanıza yardımcı olur:
Gölge BT keşfi, bulut uygulaması kullanımına görünürlük, bulutun herhangi bir yerinden uygulama tabanlı tehditlere karşı koruma ve bilgi koruması ve uyumluluk değerlendirmeleri gibi temel bulut erişimi güvenlik aracısı (CASB) işlevselliği.
SaaS Güvenlik Duruş Yönetimi (SSPM) özellikleri, güvenlik ekiplerinin kuruluşun güvenlik duruşunu geliştirmesine olanak tanır
Gelişmiş tehdit koruması, Microsoft'un genişletilmiş algılama ve yanıt (XDR) çözümünün bir parçası olarak gelişmiş saldırıların tam sonlandırma zincirinde sinyalin ve görünürlüğün güçlü bağıntısını sağlar
Uygulamadan uygulamaya koruma, temel tehdit senaryolarını kritik veri ve kaynaklara yönelik izinlere ve ayrıcalıklara sahip OAuth özellikli uygulamalara genişletir.
Bulut uygulaması bulma yöntemleri
Defender for Cloud Apps olmadan, kuruluşunuz tarafından kullanılan bulut uygulamaları yönetilmez ve korumasız olur. Ortamınızda kullanılan bulut uygulamalarını bulmak için aşağıdaki yöntemlerden birini veya ikisini birden uygulayabilirsiniz:
- Uç Nokta için Microsoft Defender ile tümleştirerek Cloud Discovery ile hızla çalışmaya başlayın. Bu yerel tümleştirme, ağınızdaki ve ağınızdaki Windows 10 ve Windows 11 cihazlarınızda bulut trafiğiyle ilgili verileri hemen toplamaya başlamanızı sağlar.
- Ağınıza bağlı tüm cihazlar tarafından erişilen tüm bulut uygulamalarını bulmak için güvenlik duvarlarınızda ve diğer proxy'lerde Defender for Cloud Apps günlük toplayıcısını dağıtın. Bu dağıtım uç noktalarınızdan veri toplamaya yardımcı olur ve analiz için Defender for Cloud Apps gönderir. Defender for Cloud Apps, daha da fazla özellik için bazı üçüncü taraf proxy'lerle yerel olarak tümleşir.
Bu makale her iki yöntem için de rehberlik içerir.
Adım 1. Defender for Cloud Apps bağlanma
Lisanslama doğrulamak ve Defender for Cloud Apps bağlanmak için bkz. Hızlı Başlangıç: Microsoft Defender for Cloud Apps kullanmaya başlama.
Portala hemen bağlanamıyorsanız IP adresini güvenlik duvarınızın izin verenler listesine eklemeniz gerekebilir. Daha fazla bilgi için bkz. Defender for Cloud Apps için temel kurulum.
Sorun yaşamaya devam ediyorsanız Ağ gereksinimleri'ne bakın.
2. Adım: Uç Nokta için Microsoft Defender ile tümleştirme
Microsoft Defender for Cloud Apps Uç Nokta için Microsoft Defender ile yerel olarak tümleşir. Tümleştirme Cloud Discovery'nin kullanıma alınmasını kolaylaştırır, Cloud Discovery özelliklerini kurumsal ağınızın ötesine genişletir ve cihaz tabanlı araştırmayı etkinleştirir. Bu tümleştirme, BT tarafından yönetilen Windows 10 ve Windows 11 cihazlardan erişilen bulut uygulamalarını ve hizmetlerini gösterir.
zaten Uç Nokta için Microsoft Defender ayarladıysanız, Defender for Cloud Apps ile tümleştirmeyi yapılandırmak, Microsoft Defender XDR'de bir geçiş düğmesidir. Tümleştirme açıldıktan sonra Defender for Cloud Apps dönebilir ve Cloud Discovery Panosu'nda zengin verileri görüntüleyebilirsiniz.
Bu görevleri gerçekleştirmek için bkz. Uç Nokta için Microsoft Defender Microsoft Defender for Cloud Apps ile tümleştirme.
3. Adım: Defender for Cloud Apps günlük toplayıcısını güvenlik duvarlarınıza ve diğer proxy'lerinize dağıtma
Ağınıza bağlı tüm cihazların kapsamı için güvenlik duvarlarınıza ve diğer proxy'lerinize Defender for Cloud Apps günlük toplayıcısını dağıtarak uç noktalarınızdan veri toplayın ve analiz için Defender for Cloud Apps gönderin. Daha fazla bilgi için bkz. Sürekli raporlar için otomatik günlük yüklemeyi yapılandırma.
Defender for Cloud Apps, popüler bulut uygulamaları için yerleşik uygulama bağlayıcıları sağlar. Bu bağlayıcılar, uygulama sağlayıcılarının API'lerini kullanarak daha fazla görünürlük sağlar ve bu uygulamaların kuruluşunuzda nasıl kullanıldığını denetler. Daha fazla bilgi için bkz. Microsoft Defender for Cloud Apps ile görünürlük ve denetim elde etmek için uygulamaları bağlama.
Aşağıdaki Güvenli Web Ağ Geçitlerinden (SWG) birini kullanıyorsanız, Defender for Cloud Apps sorunsuz dağıtım ve tümleştirme sağlar:
Daha fazla bilgi için bkz . Bulut uygulaması keşfine genel bakış.
Adım 4. Pilot grup oluşturma — Pilot dağıtımınızın kapsamını belirli kullanıcı gruplarına göre belirleyin
Microsoft Defender for Cloud Apps, dağıtımınızın kapsamını oluşturmanıza olanak tanır. Kapsam belirleme, uygulamalar için izlenecek veya izlemenin dışında tutulacak belirli kullanıcı gruplarını seçmenize olanak tanır. Kullanıcı gruplarını dahil edebilir veya dışlayabilirsiniz.
Daha fazla bilgi için bkz . Dağıtımınızı belirli kullanıcılar veya kullanıcı gruplarıyla kapsama.
Adım 5. Bulut uygulamalarını keşfetme ve yönetme
Defender for Cloud Apps en yüksek koruma miktarını sağlamak için kuruluşunuzdaki tüm bulut uygulamalarını keşfetmeniz ve bunların nasıl kullanıldığını yönetmeniz gerekir.
Bulut uygulamalarını keşfedin
Bulut uygulamalarının kullanımını yönetmenin ilk adımı, kuruluşunuz tarafından hangi bulut uygulamalarının kullanıldığını keşfetmektir. Aşağıdaki diyagramda bulut bulmanın Defender for Cloud Apps ile nasıl çalıştığı gösterilmektedir.
Bu çizimde, ağ trafiğini izlemek ve kuruluşunuz tarafından kullanılan bulut uygulamalarını keşfetmek için kullanılabilecek iki yöntem vardır.
Cloud App Discovery, Uç Nokta için Microsoft Defender ile yerel olarak tümleşir. Uç Nokta için Defender, BT tarafından yönetilen Windows 10 ve Windows 11 cihazlardan erişilen bulut uygulamalarını ve hizmetlerini raporlar.
Ağa bağlı tüm cihazlarda kapsama için, uç noktalardan veri toplamak için güvenlik duvarlarına ve diğer proxy'lere Defender for Cloud Apps günlük toplayıcısını yüklersiniz. Toplayıcı bu verileri analiz için Defender for Cloud Apps gönderir.
Kuruluşunuzda hangi uygulamaların kullanıldığını görmek için Cloud Discovery panosunu görüntüleyin
Bulut bulma panosu, bulut uygulamalarının kuruluşunuzda nasıl kullanıldığı hakkında daha fazla içgörü sağlamak üzere tasarlanmıştır. Ne tür uygulamaların kullanıldığına, açık uyarılarınıza ve kuruluşunuzdaki uygulamaların risk düzeylerine bir bakışta genel bakış sağlar.
Daha fazla bilgi için bkz. Bulunan uygulamaları Bulut bulma panosuyla görüntüleme.
Bulut uygulamalarını yönetme
Bulut uygulamalarını keşfettikten ve bu uygulamaların kuruluşunuz tarafından nasıl kullanıldığını analiz ettikten sonra, seçtiğiniz bulut uygulamalarını yönetmeye başlayabilirsiniz.
Bu çizimde, bazı uygulamalar kullanım için tasdiklenmiştir. Tasdik, uygulamaları yönetmeye başlamanın basit bir yoludur. Daha fazla bilgi için bkz. Bulunan uygulamaları yönetme.
6. Adım. Koşullu erişim uygulama denetimini yapılandırma
Yapılandırabileceğiniz en güçlü korumalardan biri Koşullu erişim uygulama denetimidir. Bu koruma, Microsoft Entra ID ile tümleştirme gerektirir. Tasdiklediğiniz bulut uygulamalarına ilgili ilkeler (sağlıklı cihazlar gerektirme gibi) dahil olmak üzere Koşullu Erişim ilkeleri uygulamanıza olanak tanır.
Çok faktörlü kimlik doğrulamasını ve diğer koşullu erişim ilkelerini zorunlu kılmak için Microsoft Entra kiracınıza saas uygulamaları eklenmiş olabilir. Microsoft Defender for Cloud Apps Microsoft Entra ID ile yerel olarak tümleşir. Tek yapmanız gereken, Defender for Cloud Apps koşullu erişim uygulama denetimini kullanmak için Microsoft Entra ID'da bir ilke yapılandırmaktır. Bu, bu yönetilen SaaS uygulamaları için ağ trafiğini ara sunucu olarak Defender for Cloud Apps yönlendirerek Defender for Cloud Apps bu trafiği izlemesine ve oturum denetimlerini uygulamasına olanak tanır.
Bu çizimde:
- SaaS uygulamaları Microsoft Entra kiracısıyla tümleşiktir. Bu tümleştirme, Microsoft Entra ID çok faktörlü kimlik doğrulaması da dahil olmak üzere koşullu erişim ilkelerini zorlamasına olanak tanır.
- SaaS uygulamalarının trafiğini Defender for Cloud Apps yönlendirmek için Microsoft Entra ID bir ilke eklenir. İlke, bu ilkenin uygulanacağı SaaS uygulamalarını belirtir. Microsoft Entra ID bu SaaS uygulamaları için geçerli olan tüm koşullu erişim ilkelerini zorunlu kıldıktan sonra Microsoft Entra ID oturum trafiğini Defender for Cloud Apps üzerinden yönlendirir (proxy'ler).
- Defender for Cloud Apps bu trafiği izler ve yöneticiler tarafından yapılandırılan tüm oturum denetimi ilkelerini uygular.
Microsoft Entra ID eklenmemiş Defender for Cloud Apps kullanarak bulut uygulamalarını keşfetmiş ve tasdik etmiş olabilirsiniz. Bu bulut uygulamalarını Microsoft Entra kiracınıza ve koşullu erişim kurallarınızın kapsamını ekleyerek koşullu erişim uygulama denetiminden yararlanabilirsiniz.
SaaS uygulamalarını yönetmek için Microsoft Defender for Cloud Apps kullanmanın ilk adımı, bu uygulamaları bulmak ve ardından bunları Microsoft Entra kiracınıza eklemektir. Bulma konusunda yardıma ihtiyacınız varsa bkz. Ağınızdaki SaaS uygulamalarını bulma ve yönetme. Uygulamaları keşfettikten sonra bu uygulamaları Microsoft Entra kiracınıza ekleyin.
Bu uygulamaları aşağıdaki görevlerle yönetmeye başlayabilirsiniz:
Microsoft Entra ID yeni bir koşullu erişim ilkesi oluşturun ve koşullu erişim uygulama denetimini kullan olarak yapılandırın. Bu yapılandırma, isteğin Defender for Cloud Apps yeniden yönlendirilmesini sağlar. Bir ilke oluşturabilir ve tüm SaaS uygulamalarını bu ilkeye ekleyebilirsiniz.
Ardından, Defender for Cloud Apps oturum ilkeleri oluşturun. Uygulamak istediğiniz her denetim için bir ilke oluşturun. Desteklenen uygulamalar ve istemciler de dahil olmak üzere daha fazla bilgi için bkz. Microsoft Defender for Cloud Apps oturum ilkeleri oluşturma.
Örnek ilkeler için bkz. SaaS uygulamaları için önerilen Microsoft Defender for Cloud Apps ilkeleri. Bu ilkeler, tüm müşteriler için başlangıç noktası olarak önerilen bir dizi ortak kimlik ve cihaz erişim ilkesi üzerinde oluşturulur.
7. Adım. Oturum ilkelerini bulut uygulamalarına uygulama
Oturum ilkelerini yapılandırdıktan sonra, bu uygulamalara denetimli erişim sağlamak için bunları bulut uygulamalarınıza uygulayın.
Çizimde:
- Kuruluşunuzdaki kullanıcılardan ve cihazlardan tasdikli bulut uygulamalarına erişim, oturum ilkelerinin belirli uygulamalara uygulanabileceği Defender for Cloud Apps üzerinden yönlendirilir.
- Tasdik edilmemiş veya açıkça tasdik edilmemiş bulut uygulamaları etkilenmez.
Oturum ilkeleri, bulut uygulamalarının kuruluşunuz tarafından nasıl kullanıldığına parametreler uygulamanıza olanak sağlar. Örneğin, kuruluşunuz Salesforce kullanıyorsa yalnızca yönetilen cihazların Salesforce'ta kuruluşunuzun verilerine erişmesine izin veren bir oturum ilkesi yapılandırabilirsiniz. Daha basit bir örnek, daha katı ilkeler uygulamadan önce bu trafiğin riskini analiz edebilmeniz için yönetilmeyen cihazlardan gelen trafiği izlemek için bir ilke yapılandırmak olabilir.
Daha fazla bilgi için bkz. Microsoft Defender for Cloud Apps oturum ilkeleri oluşturma.
8. Adım. Ek özellikleri deneyin
Riski keşfetmenize ve ortamınızı korumanıza yardımcı olması için bu Defender for Cloud Apps makalelerini kullanın:
- Şüpheli kullanıcı etkinliğini algılama
- Riskli kullanıcıları araştırma
- Riskli OAuth uygulamalarını araştırma
- Hassas bilgileri bulma ve koruma
- Kuruluşunuzdaki tüm uygulamaları gerçek zamanlı olarak koruma
- Hassas bilgilerin indirilmelerini engelleme
- Dosyalarınızı yönetici karantinası ile koruma
- Riskli eylemde adım adım kimlik doğrulaması gerektir
Microsoft Defender for Cloud Apps verilerde gelişmiş avcılık hakkında daha fazla bilgi için bu videoya bakın.
SIEM tümleştirmesi
Defender for Cloud Apps Microsoft'un birleşik güvenlik operasyonları platformunun bir parçası olarak Microsoft Sentinel veya bağlı uygulamalardan gelen uyarıların ve etkinliklerin merkezi olarak izlenmesini sağlamak için genel bir güvenlik bilgileri ve olay yönetimi (SIEM) hizmetiyle tümleştirebilirsiniz. Microsoft Sentinel ile kuruluşunuz genelindeki güvenlik olaylarını daha kapsamlı bir şekilde analiz edebilir ve etkili ve anında yanıt için playbook'lar oluşturabilirsiniz.
Microsoft Sentinel, Defender for Cloud Apps dahil olmak üzere Defender XDR gelen tüm sinyalleri Microsoft Sentinel getirmek için XDR veri bağlayıcısı için bir Microsoft Defender içerir. Defender portalını birleşik güvenlik işlemleri (SecOps) platformu olarak kullanın.
Daha fazla bilgi için bkz.:
- Microsoft Sentinel Microsoft Defender portalına bağlama
- Microsoft Sentinel tümleştirmesi
- Genel SIEM tümleştirmesi
Sonraki adım
Defender for Cloud Apps için yaşam döngüsü yönetimi gerçekleştirme.
Microsoft Defender XDR uçtan uca dağıtımı için sonraki adım
araştırma ve Microsoft Defender XDR kullanarak yanıt verme ile uçtan uca Microsoft Defender XDR dağıtımınıza devam edin.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.