Microsoft'un birleşik güvenlik operasyonları platformu planlamaya genel bakış
Bu makalede, uçtan uca güvenlik işlemleri (SecOps) için Microsoft'un güvenlik ürünlerinin Microsoft'un birleşik güvenlik operasyonları platformuna dağıtımını planlamaya yönelik etkinlikler özetlenmiştir. Riski azaltmanıza, saldırıları önlemenize, siber tehditleri gerçek zamanlı olarak algılamanıza ve kesintiye uğratmanıza yardımcı olmak için SecOps'unuzu Microsoft platformunda birleştirin ve tümü Microsoft Defender portalından yapay zeka destekli güvenlik özellikleriyle daha hızlı yanıt verin.
Dağıtımınızı planlayın
Microsoft'un birleşik SecOps platformu, Microsoft Defender XDR, Microsoft Sentinel, Microsoft Güvenlik Korunma Düzeyi Yönetimi ve Microsoft Security Copilot gibi hizmetleri birleştirir Microsoft Defender portalı.
Dağıtımınızı planlamanın ilk adımı, kullanmak istediğiniz hizmetleri seçmektir.
Temel bir önkoşul olarak, hem Bulut hem de şirket içi kaynaklar dahil olmak üzere hem Microsoft'u hem de Microsoft dışı hizmetleri ve çözümleri izlemek ve korumak için hem Microsoft Defender XDR hem de Microsoft Sentinel gerekir.
Gelişmiş saldırılara karşı tümleşik koruma sağlamak üzere uç noktalarınıza, kimliklerinize, e-postanıza ve uygulamalarınıza güvenlik eklemek için aşağıdaki hizmetlerden herhangi birini dağıtın.
Microsoft Defender XDR hizmetleri şunları içerir:
| Hizmet | Açıklama |
|---|---|
| Office 365 için Microsoft Defender | E-posta iletileri, URL bağlantıları ve Office 365 işbirliği araçlarının oluşturduğu tehditlere karşı koruma sağlar. |
| Kimlik için Microsoft Defender | Hem şirket içi Active Directory hem de Microsoft Entra ID gibi bulut kimliklerinden gelen tehditleri tanımlar, algılar ve araştırır. |
| Uç Nokta için Microsoft Defender | Uç nokta cihazlarını izler ve korur, cihaz ihlallerini algılar ve araştırır ve güvenlik tehditlerine otomatik olarak yanıt verir. |
| IoT için Microsoft Defender | IoT cihazları için hem IoT cihaz bulma hem de güvenlik değeri sağlar. |
| Microsoft Defender Güvenlik Açığı Yönetimi | Varlıkları ve yazılım envanterlerini tanımlar ve güvenlik açıklarını bulmak için cihaz duruşu değerlendirir. |
| Bulut Uygulamaları için Microsoft Defender | SaaS bulut uygulamalarına erişimi korur ve denetler. |
Microsoft Defender portalında Microsoft'un birleşik SecOps platformunun bir parçası olarak desteklenen ancak Microsoft Defender XDR lisansı olmayan diğer hizmetler şunlardır:
| Hizmet | Açıklama |
|---|---|
| Microsoft Güvenlik Korunma Düzeyi Yönetimi | Şirket varlıkları ve iş yükleri arasında güvenlik duruşunun birleşik bir görünümünü sağlayarak varlık bilgilerini güvenlik bağlamıyla zenginleştirir. |
| Microsoft Security Copilot | Güvenlik işlemlerinizi geliştirmek için yapay zeka odaklı içgörüler ve öneriler sağlar. |
| Bulut için Microsoft Defender | Gelişmiş tehdit algılama ve yanıt ile çok bulutlu ve hibrit ortamları korur. |
| Microsoft Defender Tehdit Analizi | Risk göstergelerini (ICS) ilgili makaleler, aktör profilleri ve güvenlik açıklarıyla ilişkilendirmek için kritik veri kaynaklarını toplayarak ve zenginleştirerek tehdit bilgileri iş akışlarını kolaylaştırır. |
| Microsoft Entra ID Koruması | Ortamınızda her oturum açma riskini değerlendirmek için oturum açma girişimlerinden kaynaklanan risk verilerini değerlendirir. |
| Microsoft Purview İçeriden Risk Yönetimi | IP hırsızlığı, veri sızıntısı ve güvenlik ihlalleri gibi olası kötü amaçlı veya yanlışlıkla insider risklerini belirlemek için çeşitli sinyalleri ilişkilendirmektedir. |
Hizmet önkoşullarını gözden geçirme
Microsoft'un birleşik güvenlik operasyonları platformunu dağıtmadan önce kullanmayı planladığınız her hizmetin önkoşullarını gözden geçirin. Aşağıdaki tabloda daha fazla bilgi için hizmetler ve bağlantılar listelenmektedir:
| Güvenlik hizmeti | Önkoşullar |
|---|---|
| Birleşik SecOps için gereklidir | |
| Microsoft Defender XDR | Microsoft Defender XDR önkoşulları |
| Microsoft Sentinel | Microsoft Sentinel dağıtma önkoşulları |
| İsteğe bağlı Microsoft Defender XDR hizmetleri | |
| Office için Microsoft Defender | Microsoft Defender XDR önkoşulları |
| Kimlik için Microsoft Defender | Kimlik için Microsoft Defender önkoşulları |
| Uç Nokta için Microsoft Defender | Uç Nokta için Microsoft Defender dağıtımı ayarlama |
| IoT için Microsoft Defender ile kurumsal izleme | Defender portalında IoT için Defender önkoşulları |
| Microsoft Defender Güvenlik Açığı Yönetimi | Microsoft Defender Güvenlik Açığı Yönetimi için Önkoşullar & İzinleri |
| Bulut Uygulamaları için Microsoft Defender | Bulut Uygulamaları için Microsoft Defender’ı kullanmaya başlayın |
| Microsoft Defender portalında desteklenen diğer hizmetler | |
| Microsoft Güvenlik Korunma Düzeyi Yönetimi | Önkoşullar ve destek |
| Microsoft Security Copilot | Minimum gereksinimler |
| Bulut için Microsoft Defender | Aynı bölümde çoklu bulut korumasını ve diğer makaleleri planlamaya başlayın. |
| Microsoft Defender Tehdit Analizi | Defender Tehdit Analizi önkoşulları |
| Microsoft Entra ID Koruması | Microsoft Entra ID Koruması önkoşulları |
| Microsoft Purview İçeriden Risk Yönetimi | İçeriden risk yönetimini kullanmaya başlama |
Veri güvenliği ve gizlilik uygulamalarını gözden geçirme
Microsoft'un birleşik güvenlik operasyonları platformunu dağıtmadan önce, kullanmayı planladığınız her hizmet için veri güvenliği ve gizlilik uygulamalarını anladığınızdan emin olun. Aşağıdaki tabloda daha fazla bilgi için hizmetler ve bağlantılar listelenmektedir. Çeşitli hizmetlerin kendi uygulamaları yerine Microsoft Defender XDR için veri güvenliği ve bekletme uygulamalarını kullandığını unutmayın.
Log Analytics çalışma alanı mimarinizi planlama
Microsoft'un birleşik SecOps platformlarını kullanmak için Microsoft Sentinel için etkinleştirilmiş bir Log Analytics çalışma alanı gerekir. Tek bir Log Analytics çalışma alanı birçok ortam için yeterli olabilir, ancak birçok kuruluş maliyetleri iyileştirmek ve farklı iş gereksinimlerini daha iyi karşılamak için birden çok çalışma alanı oluşturur. Microsoft'un birleşik SecOps platformu yalnızca tek bir çalışma alanını destekler.
Microsoft Sentinel için etkinleştirmek istediğiniz Log Analytics çalışma alanını tasarla. Veri toplama ve depolama için sahip olduğunuz uyumluluk gereksinimleri ve Microsoft Sentinel verilere erişimi denetleme gibi parametreleri göz önünde bulundurun.
Daha fazla bilgi için bkz.:
Microsoft Sentinel maliyetlerini ve veri kaynaklarını planlama
Microsoft'un birleşik SecOps platformu, bulut için Microsoft Defender for Cloud Apps ve Microsoft Defender gibi birinci taraf Microsoft hizmetlerinden veri alır. Microsoft Sentinel veri bağlayıcıları ekleyerek kapsamınızı ortamınızdaki diğer veri kaynaklarına genişletmenizi öneririz.
Veri kaynaklarınızı belirleme
Dağıtımınızın bütçesini ve zaman çizelgesini doğru bir şekilde yansıtmanıza yardımcı olmak için, veri almak istediğiniz veri kaynaklarının tam kümesini ve veri boyutu gereksinimlerini belirleyin. Bu bilgileri iş kullanım örneği incelemeniz sırasında veya zaten mevcut olan bir SIEM'yi değerlendirerek belirleyebilirsiniz. Zaten bir SIEM'niz varsa, hangi veri kaynaklarının en çok değer sağladığını ve Microsoft Sentinel alınması gerektiğini anlamak için verilerinizi analiz edin.
Örneğin, aşağıdaki önerilen veri kaynaklarından birini kullanmak isteyebilirsiniz:
Azure hizmetleri: Aşağıdaki hizmetlerden herhangi biri Azure'da dağıtılıyorsa, bu kaynakların Tanılama Günlüklerini Microsoft Sentinel göndermek için aşağıdaki bağlayıcıları kullanın:
- Azure Güvenlik Duvarı
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- Ağ Güvenlik Grupları
- Azure-Arc Sunucuları
günlüklerinin temel alınan Log Analytics çalışma alanına iletilmesi için Azure İlkesi ayarlamanızı öneririz. Daha fazla bilgi için bkz. Azure İlkesi kullanarak uygun ölçekte tanılama ayarları oluşturma.
Sanal makineler: Şirket içinde veya günlüklerinin toplanması gereken diğer bulutlarda barındırılan sanal makineler için aşağıdaki veri bağlayıcılarını kullanın:
- AMA kullanarak olayları Windows Güvenliği
- Uç Nokta için Defender aracılığıyla olaylar (sunucu için)
- Syslog
Ağ sanal gereçleri/şirket içi kaynaklar: Ağ sanal gereçleri veya Ortak Olay Biçimi (CEF) veya SYSLOG günlükleri oluşturan diğer şirket içi kaynaklar için aşağıdaki veri bağlayıcılarını kullanın:
- AMA aracılığıyla Syslog
- AMA aracılığıyla Ortak Olay Biçimi (CEF)
Daha fazla bilgi için bkz. Veri bağlayıcılarını önceliklendirme.
Bütçenizi planlama
Planlanan her senaryo için maliyet etkilerini göz önünde bulundurarak Microsoft Sentinel bütçenizi planlayın. Bütçenizin hem Microsoft Sentinel hem de Azure Log Analytics için veri alımı maliyetini, dağıtılacak playbook'ları vb. kapsadığından emin olun. Daha fazla bilgi için bkz.:
- Microsoft Sentinel'de günlük saklama planları
- Maliyetleri planlama ve Microsoft Sentinel fiyatlandırma ve faturalamayı anlama
Microsoft güvenlik portallarını ve yönetim merkezlerini anlama
Microsoft Defender portalı kimlikleriniz, verileriniz, cihazlarınız ve uygulamalarınız genelinde güvenliği izlemeye ve yönetmeye ev sahipliği yaparken, belirli özel görevler için çeşitli portallara erişmeniz gerekir.
Microsoft güvenlik portalları şunları içerir:
| Portal adı | Açıklama | Bağlantı |
|---|---|---|
| Microsoft Defender portalı | tehdit etkinliğini izleyin ve yanıtlayın ve Microsoft Defender XDR ile kimlikleriniz, e-postanız, verileriniz, uç noktalarınız ve uygulamalarınız genelinde güvenlik duruşunuzu güçlendirin](.. /defender-xdr/microsoft-365-defender.md) |
security.microsoft.com Microsoft Defender portalı uyarıları, olayları, ayarları ve daha fazlasını görüntüleyip yönettiğiniz yerdir. |
| Bulut için Defender portalı | Bulut için Microsoft Defender kullanarak veri merkezlerinizin ve buluttaki hibrit iş yüklerinizin güvenlik duruşunu güçlendirin | portal.azure.com/#blade/Microsoft_Azure_Security |
| Microsoft Güvenlik Zekası portalı | Uç Nokta için Microsoft Defender için güvenlik bilgileri güncelleştirmeleri alın, örnekler gönderin ve tehdit ansiklopedisini keşfedin | microsoft.com/wdsi |
Aşağıdaki tabloda, güvenliğinizi etkileyebilecek diğer iş yükleri için portallar açıklanmaktadır. Kimlikleri, izinleri, cihaz ayarlarını ve veri işleme ilkelerini yönetmek için bu portalları ziyaret edin.
| Portal adı | Açıklama | Bağlantı |
|---|---|---|
| Microsoft Entra yönetim merkezi | Çok bulutlu bir ortamda merkezi olmayan kimlik, kimlik koruması, idare ve daha fazlası ile işletmenizi korumak için Microsoft Entra ailesine erişin ve bu aileyi yönetme | entra.microsoft.com |
| Azure portal | Tüm Azure kaynaklarınızı görüntüleme ve yönetme | portal.azure.com |
| Microsoft Purview portalı | Veri işleme ilkelerini yönetme ve düzenlemelere uyumluluğu sağlama | purview.microsoft.com |
| Microsoft 365 yönetici merkezi | Microsoft 365 hizmetlerini yapılandırma; Rolleri, lisansları yönetme ve Microsoft 365 hizmetlerinizdeki güncelleştirmeleri izleme | admin.microsoft.com |
| Microsoft Intune yönetim merkezi | Cihazları yönetmek ve güvenliğini sağlamak için Microsoft Intune kullanın. Ayrıca Intune ve Configuration Manager özelliklerini birleştirebilir. | intune.microsoft.com |
| Microsoft Intune portalı | Cihaz ilkelerini dağıtmak ve cihazları uyumluluk için izlemek için Microsoft Intune kullanma | intune.microsoft.com |
Rolleri ve izinleri planlama
Microsoft'un birleşik SecOps platformunda yer alan hizmetlere uygun erişim vermek üzere güvenlik operasyonları ekibinizde roller oluşturmak ve atamak için Microsoft Entra rol tabanlı erişim denetimini (RBAC) kullanın.
Microsoft Defender XDR Birleştirilmiş rol tabanlı erişim denetimi (RBAC) modeli, yöneticilerin çeşitli güvenlik çözümlerinde kullanıcı izinlerini denetlemesi için tek bir merkezi konum sağlayan tek bir izin yönetimi deneyimi sağlar. Daha fazla bilgi için bkz. Birleşik rol tabanlı erişim denetimi (RBAC) Microsoft Defender XDR.
Aşağıdaki hizmetler için, kullanılabilir farklı rolleri kullanın veya özel roller oluşturarak kullanıcıların görebilecekleri ve yapabilecekleri üzerinde ayrıntılı denetim sağlayın. Daha fazla bilgi için bkz.:
Sıfır Güven etkinliklerini planlama
Microsoft'un birleşik SecOps platformu, Microsoft'un aşağıdaki ilkeleri içeren Sıfır Güven güvenlik modelinin bir parçasıdır:
| Güvenlik ilkesi | Açıklama |
|---|---|
| Açıkça doğrula | Kullanılabilir tüm veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. |
| En az ayrıcalık erişimi kullan | Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın. |
| İhlal varsay | Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmaları geliştirmek için analizi kullanın. |
Sıfır Güven güvenliği, ağ segmentasyonlarından yararlanarak, yanal hareketi önleyerek, en az ayrıcalıklı erişim sağlayarak ve tehditleri algılamak ve yanıtlamak için gelişmiş analizler kullanarak modern dijital ortamları korumak için tasarlanmıştır.
Microsoft'un birleşik SecOps platformunda Sıfır Güven ilkelerini uygulama hakkında daha fazla bilgi için aşağıdaki hizmetler için Sıfır Güven içeriğine bakın:
- Microsoft Defender XDR
- Microsoft Sentinel
- Kimlik için Microsoft Defender
- Office 365 için Microsoft Defender
- Uç Nokta için Microsoft Defender
- Bulut Uygulamaları için Microsoft Defender
- Microsoft Güvenlik Korunma Düzeyi Yönetimi
- Bulut için Microsoft Defender
- Microsoft Security Copilot
- Microsoft Entra ID Koruması
- Microsoft Purview
Daha fazla bilgi için bkz. Sıfır Güven Rehberlik Merkezi.
Sonraki adım
Microsoft'un birleşik güvenlik operasyonları platformunu dağıtma