Microsoft'un birleşik SecOps platformlarını dağıtma

Microsoft'un birleşik güvenlik operasyonları platformu, Microsoft Defender portalın, Microsoft Sentinel ve diğer Microsoft Defender hizmetlerinin özelliklerini birleştirir. Bu platform, kuruluşunuzun güvenlik duruşunun kapsamlı bir görünümünü sağlar ve kuruluşunuz genelindeki tehditleri algılamanıza, araştırmanıza ve yanıtlamanıza yardımcı olur.

Microsoft Güvenlik Korunma Düzeyi Yönetimi ve Microsoft Tehdit Bilgileri, gerekli izinlerle yapılandırılmış kullanıcılar için önkoşulları karşılayan herhangi bir ortamda kullanılabilir.

Önkoşullar

• Microsoft'un birleşik güvenlik operasyonları platformunu dağıtmadan önce, çalışma alanı tasarımı ile Microsoft Sentinel maliyetleri ve faturalamayı anlama gibi bir planınız olduğundan emin olun.

  Daha fazla bilgi için bkz . Birleşik güvenlik operasyonları platformu planlamaya genel bakış.

Microsoft Defender XDR hizmetlerini dağıtma

Microsoft Defender XDR, Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender gibi önemli özellikleri hizmetler arasında tümleştirerek olay yanıtlarını bir hale getirme Microsoft Defender for Cloud Apps ve Kimlik için Microsoft Defender. Bu birleşik deneyim, Microsoft Defender portalında erişebileceğiniz güçlü özellikler ekler.

1. Microsoft Defender XDR, gerekli izinlere sahip uygun müşteriler Microsoft Defender portalı ziyaret ettiğinde otomatik olarak açılır. Daha fazla bilgi için bkz. Microsoft Defender XDR açma.

2. Microsoft Defender XDR hizmetleri dağıtarak devam edin. Aşağıdaki sırayı kullanmanızı öneririz:

   1. Kimlik için Microsoft Defender dağıtın.

   2. Office 365 için Microsoft Defender dağıtın.

   3. Uç Nokta için Microsoft Defender dağıtın. Ortamınıza uygun olarak IoT cihazları içinMicrosoft Defender Güvenlik Açığı Yönetimi ve/veya Kurumsal izleme ekleyin.

   4. Microsoft Defender for Cloud Apps dağıtın.

Microsoft Entra ID Koruması yapılandırma

Microsoft Defender XDR, milyarlarca oturum açma girişiminden kaynaklanan risk verilerini değerlendiren ve ortamınızda her oturum açma riskini değerlendiren Microsoft Entra ID Koruması sinyalleri alabilir ve içerebilir. Microsoft Entra ID Koruması veriler, Koşullu Erişim ilkelerinin nasıl yapılandırıldığına bağlı olarak hesap erişimine izin vermek veya bunları engellemek için Microsoft Entra ID tarafından kullanılır.

Güvenlik duruşunuzu geliştirmek ve birleşik güvenlik işlemlerinize Microsoft Entra sinyaller eklemek için Microsoft Entra ID Koruması yapılandırın. Daha fazla bilgi için bkz. Microsoft Entra ID Koruması ilkelerinizi yapılandırma.

Bulut için Microsoft Defender dağıtma

Bulut için Microsoft Defender, bulut kaynaklarınız için birleşik bir güvenlik yönetimi deneyimi sağlar ve ayrıca Microsoft Defender XDR sinyal gönderebilir. Örneğin, Azure aboneliklerinizi Bulut için Microsoft Defender'e bağlayarak başlamak ve ardından diğer bulut ortamlarına geçmek isteyebilirsiniz.

Daha fazla bilgi için bkz. Azure aboneliklerinizi bağlama.

Microsoft Security Copilot ekleme

Gelişmiş yapay zeka özelliklerinden yararlanarak güvenlik işlemlerinizi geliştirmek için Microsoft Security Copilot ekleme. Security Copilot tehdit algılama, araştırma ve yanıt konularında yardımcı olur ve olası tehditlerden haberdar olmanıza yardımcı olacak eyleme dönüştürülebilir içgörüler ve öneriler sağlar. Rutin görevleri otomatikleştirmek, olayları algılama ve yanıtlama süresini kısaltmak ve güvenlik ekibinizin genel verimliliğini artırmak için Security Copilot kullanın.

Daha fazla bilgi için bkz. Security Copilot kullanmaya başlama.

Çalışma alanınızın mimarisini oluşturun ve Microsoft Sentinel ekleyin

Microsoft Sentinel kullanmanın ilk adımı, henüz yoksa bir Log Analytics çalışma alanı oluşturmaktır. Tek bir Log Analytics çalışma alanı birçok ortam için yeterli olabilir, ancak birçok kuruluş maliyetleri iyileştirmek ve farklı iş gereksinimlerini daha iyi karşılamak için birden çok çalışma alanı oluşturur. Microsoft'un birleşik güvenlik işlemleri platformu yalnızca tek bir çalışma alanını destekler.

1. Microsoft Sentinel kaynakları ve koleksiyona rol tabanlı erişimi yalıtmanıza olanak tanıyan idare amacıyla bir Güvenlik kaynak grubu oluşturun.
2. Güvenlik kaynak grubunda bir Log Analytics çalışma alanı oluşturun ve Microsoft Sentinel ekleyin.

Daha fazla bilgi için bkz. Microsoft Sentinel ekleme.

Rolleri ve izinleri yapılandırma

Kullanıcılarınızı daha önce hazırladığınız erişim planına göre sağlayın. Sıfır Güven ilkelerine uymak için, tüm ortama erişim sağlamak yerine yalnızca her kullanıcı için izin verilen ve ilgili kaynaklara kullanıcı erişimi sağlamak için rol tabanlı erişim denetimi (RBAC) kullanmanızı öneririz.

Daha fazla bilgi için bkz.:

• Microsoft Defender XDR Birleşik rol tabanlı erişim denetimini (RBAC) etkinleştirme
• Kullanıcılara Microsoft Entra ID rolleri atama
• Kullanıcıya Azure rollerine erişim izni verme

Birleşik SecOps'a ekleme

Microsoft Sentinel Defender portalına eklediğinizde, olay yönetimi ve gelişmiş avcılık gibi Microsoft Defender XDR özellikleri birleştirerek birleşik bir SecOps platformu oluşturursunuz.

1. İçerik hub'ındanMicrosoft Sentinel için Microsoft Defender XDR çözümünü yükleyin. Daha fazla bilgi için bkz. Kullanıma hazır içeriği dağıtma ve yönetme.
2. Olayları ve uyarıları toplamak için Microsoft Defender XDR veri bağlayıcısını etkinleştirin. Daha fazla bilgi için bkz. verileri Microsoft Defender XDR Microsoft Sentinel bağlama.
3. Microsoft'un birleşik SecOps platformuna ekleme. Daha fazla bilgi için bkz. Microsoft Sentinel Microsoft Defender bağlama.

Sistem yapılandırmalarında ince ayar yapma

Dağıtımınıza ince ayar yapmak için aşağıdaki Microsoft Sentinel yapılandırma seçeneklerini kullanın:

Sistem durumunu ve denetimi etkinleştirme

Microsoft Sentinel Ayarlar sayfasında denetim ve sistem durumu izleme özelliğini açarak desteklenen Microsoft Sentinel kaynaklarının sistem durumunu izleyin ve bütünlüğünü denetleyin. En son hata olayları veya başarıdan başarısızlık durumlarına yapılan değişiklikler ve yetkisiz eylemler gibi sistem durumu kaymaları hakkında içgörüler alın ve bildirimler ve diğer otomatik eylemler oluşturmak için bu bilgileri kullanın.

Daha fazla bilgi için bkz. Microsoft Sentinel için denetim ve sistem durumu izlemeyi açma.

Microsoft Sentinel içeriğini yapılandırma

Dağıtımınızı planlarken seçtiğiniz veri kaynaklarına bağlı olarak Microsoft Sentinel çözümleri yükleyin ve veri bağlayıcılarınızı yapılandırın. Microsoft Sentinel çok çeşitli yerleşik çözümler ve veri bağlayıcıları sağlar, ancak CEF veya Syslog günlüklerini almak için özel bağlayıcılar oluşturabilir ve bağlayıcılar da ayarlayabilirsiniz.

Daha fazla bilgi için bkz.:

• İçeriği yapılandırma
• kullanıma Microsoft Sentinel içeriği bulma ve yönetme
• Veri bağlayıcınızı bulma

Kullanıcı ve Varlık Davranış Analizini Etkinleştirme (UEBA)

Microsoft Sentinel'da veri bağlayıcılarını ayarladıktan sonra, kimlik avı açıklarına ve sonunda fidye yazılımı gibi saldırılara yol açabilecek şüpheli davranışları belirlemek için kullanıcı varlığı davranış analizini etkinleştirdiğinizden emin olun. Daha fazla bilgi için bkz. Microsoft Sentinel'de UEBA'yı etkinleştirme.

Etkileşimli ve uzun süreli veri saklamayı ayarlama

Kuruluşunuzun uzun vadede önemli olan verileri koruduğundan emin olmak için etkileşimli ve uzun süreli veri saklamayı ayarlayın. Daha fazla bilgi için bkz . Etkileşimli ve uzun süreli veri saklamayı yapılandırma.

Analiz kurallarını etkinleştirme

Analiz kuralları, Microsoft Sentinel önemli olduğunu düşündüğünüz bir dizi koşul kullanarak sizi olaylara karşı uyarmasını söyler. Microsoft Sentinel kullanıma hazır kararlar, kullanıcı varlığı davranış analizini (UEBA) ve birden çok veri kaynağındaki verilerin bağıntılarını temel alır. Microsoft Sentinel için analiz kurallarını açarken bağlı veri kaynakları, kurumsal risk ve MITRE taktiğiyle etkinleştirmeye öncelik tanıyin.

Daha fazla bilgi için bkz. Microsoft Sentinel'de tehdit algılama.

Anomali kurallarını gözden geçirme

Microsoft Sentinel anomali kuralları kullanıma hazır ve varsayılan olarak etkindir. Anomali kuralları, kullanıcılar, konaklar ve diğer kullanıcılardaki anormal davranışları işaretlemek için çalışma alanınızdaki veriler üzerinde eğiten makine öğrenmesi modellerini ve UEBA'yı temel alır. Her biri için anomali kurallarını ve anomali puanı eşiğini gözden geçirin. Örneğin hatalı pozitif sonuçları gözlemliyorsanız, kuralı yinelemeyi ve eşiği değiştirmeyi göz önünde bulundurun.

Daha fazla bilgi için bkz . Anomali algılama analizi kurallarıyla çalışma.

Microsoft Threat Intelligence analiz kuralını kullanma

Kullanıma hazır Microsoft Tehdit Bilgileri analiz kuralını etkinleştirin ve bu kuralın microsoft tarafından oluşturulan tehdit bilgileriyle günlük verilerinizle eşleştiğini doğrulayın. Microsoft, tehdit bilgileri verilerinin geniş bir deposuna sahiptir ve bu analiz kuralı, SOC (güvenlik operasyonları merkezleri) ekiplerinin önceliklendirmesi için yüksek aslına uygun uyarılar ve olaylar oluşturmak için bir alt kümesini kullanır.

Yinelenen olaylardan kaçının

Microsoft Sentinel Microsoft Defender bağladıktan sonra, Microsoft Defender XDR olaylar ve Microsoft Sentinel arasında çift yönlü eşitleme otomatik olarak oluşturulur. Aynı uyarılar için yinelenen olaylar oluşturmaktan kaçınmak için Uç Nokta için Defender, Kimlik için Defender, Office 365 için Defender, Defender for Cloud Apps ve dahil olmak üzere Microsoft Defender XDR tümleşik ürünler için tüm Microsoft olay oluşturma kurallarını kapatmanızı öneririz Microsoft Entra ID Koruması.

Daha fazla bilgi için bkz . Microsoft olay oluşturma .

MITRE ATT&CK yaya geçidi yürütme

Fusion, anomali ve tehdit zekası analiz kuralları etkinleştirildiğinde, olgun bir XDR (genişletilmiş algılama ve yanıt) işleminin uygulanmasını sağlamak ve tamamlamak için kalan analiz kurallarını belirlemenize yardımcı olmak için MITRE Att&ck yaya geçidini yürütebilirsiniz. Bu, bir saldırının yaşam döngüsü boyunca algılamanızı ve yanıt vermenizi sağlar.

Daha fazla bilgi için bkz. Güvenlik kapsamını anlama.