Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede Microsoft güvenlik hizmetleri ve kimlikler, cihazlar, uygulamalar, veriler, yapay zeka ve altyapı içeren teknoloji sütunları genelinde koruma sağlamak için birleşik bir sistem olarak nasıl çalıştıkları açıklanır.
Modern kurumsal güvenlik, çevre tabanlı korumadan kimlik temelli, bulutla tümleşik bir modele kaydırıldı. Kuruluşların karma ve çoklu bulut ortamlarında kullanıcıları, cihazları, uygulamaları ve verileri güvenli hale getirmek ve bir yandan da sürekli gelişen tehditlere uyum sağlaması gerekir.
Microsoft sinyalleri paylaşmak, tutarlı ilkeler uygulamak, denetimleri uygulamak ve ortam genelinde algılama ve yanıtı koordine etmek için birlikte çalışan tümleşik bir bulut tabanlı hizmetler kümesi sağlar.
Güvenlik sonuçları
Tümleşik Microsoft güvenliği aşağıdaki sonuçları sağlar:
- Birleşik sinyal görünürlüğü: Telemetri kimlikler, cihazlar, uygulamalar, veriler ve altyapı genelinde sürekli olarak toplanır ve merkezileştirilir ve merkezi, eyleme dönüştürülebilir sinyallere dönüştürülür.
- Kimlik temelli karar alma: Erişim ve zorlama kararları kimlik, cihaz durumu, risk sinyalleri ve oturum bağlamı temelindedir.
- Consistent enforcement: Sıfır Güven denetimleri erişim zamanında ve kullanım sırasında uç noktalara, bulut hizmetlerine ve uygulamalara uygulanır.
- Tümleşik algılama ve yanıt: Sinyaller ve uyarılar, tehditleri birleşik işlemler olarak algılamak ve yanıtlamak için etki alanları arasında ilişkilendirilir.
- Sürekli doğrulama ve geliştirme: Algılama ve risk sinyalleri, zaman içinde korumayı güçlendirmek için ilke kararlarına geri döner.
Temel güvenlik hizmetleri
Temel güvenlik hizmetleri, birden çok teknoloji alanını kapsar; bu alanların her biri, platform genelinde sinyal, bağlam ve uygulama sağlar.
|
Sütun Birincil hizmet |
Koruma | Birincil portal |
|---|---|---|
|
Kimlik ve erişim Microsoft Entra Kimlik için Microsoft Defender. |
Microsoft Entra kullanıcılar, iş yükleri ve uygulamalar için erişimi denetler. Erişim kararları almak için kimlik, cihaz ve oturum sinyallerini değerlendirir. Kimlik için Defender, saldırıları algılamak için karma kimlik altyapısını izler. |
Microsoft Entra yönetim merkezi Microsoft Defender portalı |
|
Cihazlar/uç noktalar Endpoint için Microsoft Defender Microsoft Intune |
Uç Nokta için Defender uç nokta telemetrisini toplar ve tehditleri algılar. Microsoft Intune cihaz uyumluluğunu değerlendirir ve ilkeyi uygular. |
Microsoft Defender portalı Microsoft Intune yönetim merkezi |
|
E-posta ve işbirliği Office 365 için Defender |
Exchange ve işbirliği hizmetlerini (Microsoft Teams, SharePoint, OneDrive) kötü amaçlı yazılımlardan, kötü amaçlı bağlantılardan/eklerden ve iş e-posta güvenliğinin aşılmasına karşı korur. | Microsoft Defender portalı |
|
veri Microsoft Purview |
Uç noktalar ve bulut hizmetleri arasında veri koruma ve veri kaybı önleme (DLP) ilkelerini uygular. | Microsoft Purview portalıı |
|
Altyapı/bulut iş yükleri Bulut için Microsoft Defender |
Güvenlik duruşunu geliştirir ve bulut ve hibrit iş yükleri arasında tehdit algılama sağlar. |
Microsoft Azure portalı Microsoft Defender portalı |
|
Networks Azure ağ hizmetleri |
Ağları segmentlere ayırma ve koruma. | Microsoft Azure portalı |
|
SaaS/bulut uygulamaları Bulut Uygulamaları için Microsoft Defender |
Bulut uygulaması kullanımına görünürlük sağlar ve riskli davranışı algılamak için kullanıcı etkinliğini izler. | Microsoft Defender portalı |
|
Duruş/risk Microsoft Güvenlik Açığa Çıkarma Yönetimi |
Kimlikler, cihazlar, bulut kaynakları ve uygulamalar arasında pozlamayı tanımlar, önceliklerini ayarlar ve azaltır. | Microsoft Defender portalı |
|
Tehdit algılama/yanıt Microsoft Defender XDR |
Defender hizmetleri arasında sinyalleri ilişkilendirerek araştırma ve yanıt için birleşik olaylar üretir. | Microsoft Defender portalı |
|
Güvenlik işlemleri Microsoft Sentinel |
Merkezi analiz, araştırma ve yanıt için Microsoft ve üçüncü taraf kaynaklardan gelen telemetri verilerini toplar. |
Microsoft Azure portalı Microsoft Defender portalı |
|
Geliştirici/uygulama güvenliği DevOps için Defender (Defender for Cloud) GitHub Gelişmiş Güvenlik |
Kodun, bağımlılıkların ve derleme ardışık düzenlerinin güvenliğini sağlar ve DevOps iş akışları genelinde güvenlik yönetişimini uygular. |
Microsoft Defender portalı GitHub arabirimi |
Ağ koruma hizmetleri
Tabloda Azure ağ özellikleri ve bunların diğer güvenlik hizmetleriyle doğrudan tümleştirilmesi özetlenmektedir. Hizmetler Microsoft Azure portal içinde yapılandırılır.
| Service | Koruma | Entegrasyon |
|---|---|---|
| Azure Güvenlik Duvarı | Alt ağlar, internet ve şirket içi ağlarda gelen ve giden trafiği denetlemek için IP, bağlantı noktası ve uygulama kurallarını zorunlu kılar. Bilinen kötü amaçlı trafiği engellemek için Microsoft tehdit bilgilerini kullanır. | Defender for Cloud, yapılandırma durumunu değerlendirir. Tanılama günlükleri Azure İzleyici/Log Analytics'e aktarılır ve tespit ile ilişkilendirme için Microsoft Sentinel tarafından analiz edilir. |
| Azure DDoS Koruması | Volumetrik, protokol ve uygulama katmanı saldırılarını azaltır. Sanal ağlardaki (VNet) İnternet'e yönelik kaynakları büyük ölçekli sel saldırılarına karşı korur. | Ölçümler ve saldırı telemetrisi Azure İzleyici/Log Analytics’e aktarılır ve Microsoft Sentinel ile analiz edilebilir. Defender for Cloud duruş önerileri sağlar. |
| Azure sanal ağı | Azure kaynakları için ağ yalıtımı, segmentasyon ve özel IP adresleme sağlar. Hizmetler arasında denetimli bağlantıyı etkinleştirir. | Defender for Cloud, genel erişim yolları gibi pozlama da dahil olmak üzere yapılandırma durumunu değerlendirir. |
| Ağ Güvenlik Grupları (NSG'ler) | İzin verme/reddetme kurallarını kullanarak alt ağ ve ağ arabirimi düzeyinde trafiği filtreler. Kaynaklara yönelik istenmeyen trafiği kısıtlar. | NSG akış günlükleri (Azure İzleyici aracılığıyla), trafik görünürlüğü ve algılama için Microsoft Sentinel'de analiz edilebilir. Defender for Cloud NSG kuralı yapılandırmasını değerlendirir. |
| Azure Web Uygulaması Güvenlik Duvarı (WAF) | OWASP kural kümelerini kullanarak HTTP/HTTPS uygulamalarını korur. SQL ekleme ve siteler arası betik oluşturma (XSS) gibi yaygın web saldırılarını önlemeye yardımcı olur. | WAF günlükleri Azure İzleyici/Log Analytics’e aktarılır ve Microsoft Sentinel tarafından analiz edilir. Defender for Cloud, WAF yapılandırma durumunu değerlendirir. |
| Azure Front Door | Yönlendirme, hızlandırma ve uç güvenlik özelliklerine sahip web uygulamaları için genel bir giriş noktası sağlar. Uygulama koruması için WAF ile tümleştirilir. | Tanılama günlükleri (Front Door/WAF) Log Analytics'e alınır ve Microsoft Sentinel tarafından analiz edilir. Defender for Cloud, yapılandırma durumunu değerlendirir. |
| Azure Application Gateway | Uygulama trafiğini korumak ve yönlendirmek için yerleşik web uygulaması güvenlik duvarı özellikleriyle bölgesel yük dengeleme sağlar. | Erişim ve WAF günlükleri Log Analytics’e aktarılır ve Microsoft Sentinel tarafından analiz edilir. Defender for Cloud yapılandırma duruşu ve pozlama ayarlarını değerlendirir. |
| Azure VPN Gateway | Şirket içi ortamlar ve Azure sanal ağlar arasında şifrelenmiş IPsec/IKE bağlantısı sağlar. Genel ağlar üzerinden aktarılan verileri korur. | Bağlantı ve tünel günlükleri Log Analytics’e aktarılır ve Microsoft Sentinel’de analiz edilebilir. Defender for Cloud, şifreleme ayarları dahil olmak üzere yapılandırma duruşu değerlendirir. |
| Azure ExpressRoute | Şirket içi ortamlar ve Microsoft omurgası üzerinden Azure arasında özel, ayrılmış bağlantı sağlayarak genel İnternet'i önler. | İşletimsel telemetri (BGP, bağlantı hattı durumu gibi) Azure İzleyici aracılığıyla kullanılabilir ve Microsoft Sentinel analiz edilebilir. Defender for Cloud, yüksek düzeyli yapılandırma durumunu değerlendirir. |
| Azure Bastion | Bir tarayıcı üzerinden sanal makinelere güvenli RDP ve SSH erişimi sağlayarak genel IP'ye maruz kalma ihtiyacını ortadan kaldırır. | Tanılama günlükleri Log Analytics'e alınır ve Microsoft Sentinel tarafından analiz edilir. Defender for Cloud, küçültülmüş sanal makineyi değerlendirir, ancak Azure Bastion yapılandırmasını doğrudan değerlendirmez. |
| Azure Özel Bağlantı | Özel IP adreslerini kullanarak Azure PaaS hizmetlerine ve müşteri hizmetlerine özel bağlantı sağlayarak genel kullanıma sunulmasını ortadan kaldırır. | Hizmet düzeyi günlükleri (Depolama, SQL, Key Vault gibi Özel Bağlantı üzerinden erişilen hizmetler için) Log Analytics’e aktarılır ve Microsoft Sentinel tarafından analiz edilir. Defender for Cloud, özel bağlantıların pozlamayı azaltmak için kullanılıp kullanılmadığını değerlendirir. |
| Azure Ağ İzleyicisi | Azure kaynakları arasında ağ tanılama, izleme ve akış düzeyinde görünürlük sağlar. | NSG akış günlükleri ve tanılama verileri Log Analytics’e alınır ve Microsoft Sentinel’de analiz edilebilir. Defender for Cloud, doğrudan Ağ İzleyicisi yerine NSG ayarları gibi temel kaynak yapılandırma durumunu değerlendirir. |
Güvenlik iş akışı
Güvenlik hizmetleri kesintisiz bir işlem hattı olarak çalışır. Sinyaller sürekli olarak toplanır, değerlendirilir, zorlanır ve algılamayı ve yanıtı yönlendirmek için kullanılır.
| Pipeline | Action | Önemli etkinlik |
|---|---|---|
| 1. Aşama: Sinyal toplama | Güvenlik hizmetleri kimlikler, cihazlar, uygulamalar ve altyapı genelinde telemetri oluşturur. | - Defender for Endpoint cihaz telemetrisini toplar. - Microsoft Intune cihaz uyumluluğunu değerlendirir. - Defender for Identity, şirket içi kimlik faaliyetlerini izler. - Defender for Cloud Apps SaaS etkinliğini izler. - Defender for Cloud altyapıyı/iş yükü yapılandırmasını ve etkinliğini izler. |
| 2. Aşama: İlke kararları | Sinyaller erişim koşullarını ve denetim eylemlerini belirlemek için değerlendirilir. | Microsoft Entra Koşullu Erişim kimlik riskini, cihaz güvenini, konumu ve oturum bağlamlarını değerlendirir. |
| 3. Aşama: Denetimin uygulanması | Güvenlik denetimleri kimlik, cihaz, oturum, veri ve ağ katmanlarına uygulanır. | Zorlama noktaları şunlardır: - Koşullu Erişim (MFA/kısıtlamalar) - Intune (cihaz uyumluluğu) -Defender for Cloud Apps (oturum denetimi) - Microsoft Purview (DLP) - ağ Azure (bağlantı kısıtlamaları). |
| 4. Aşama: Algılama ve yanıt | Sinyaller ve uyarılar tehditleri algılamak, araştırmak ve düzeltmek için ilişkilendirilir. | Microsoft Defender XDR, tüm Defender ürünlerden gelen sinyalleri birleşik olaylarla ilişkilendirmektedir. Microsoft Sentinel üçüncü taraf kaynaklar da dahil olmak üzere tüm ortamda günlükleri, olayları, avcılığı ve güvenlik düzenlemesi, otomasyonu ve yanıtı (SOAR) merkezileştirir. |
| Geri bildirim döngüsü | Algılama sonuçları, korumayı sürekli geliştirmek için ilke kararlarına geri döner. | Risk ve tehdit sinyalleri, gerçek zamanlı ilke güncellemelerine yön vererek uyarlanabilir ve otomatik koruma sağlar. |
Güvenlik hizmeti tümleştirmesi
Microsoft güvenlik hizmetleri, tutarlı bir işlem hattı olarak çalışan birden çok akışla tümleştirilir ve sürekli bir koruma sistemi oluşturur.
- Sinyaller (telemetri) kimlikler , cihazlar, uygulamalar ve diğer kaynaklar arasındaki etkinliği yakalar.
- Bağlam (kimlik, cihaz duruşu ve veri sınıflandırma), doğruluğu ve karar alma sürecini geliştirmek için sinyalleri zenginleştirir.
- Politika, değerlendirilen koşullara göre hangi erişime izin verileceğini veya erişimin engelleneceğini belirler.
- Eylemler otomatik denetimler ve yanıtlar aracılığıyla kararları zorlar.
Sinyaller platformda ilerledikçe zenginleştirilir, ilkelere göre değerlendirilir ve sürekli bir koruma ve yanıt döngüsü oluşturur.
Hizmetler nasıl tümleştirilir?
Tablo, güvenlik hizmetlerinin her birinden gelen sinyalleri ve bağlamı nasıl kullandığını ve hangi çıktıları ürettiklerini ve hangi eylemleri gerçekleştirdiklerini özetlemektedir.
| Service | Tüketir | Outputs |
|---|---|---|
| Microsoft Entra ID |
Sinyaller: Kimlik doğrulama etkinliği (oturum açma işlemleri, risk olayları). Microsoft Intune cihaz uyumluluk durumu. Context: Uç Nokta için Defender erişim kararlarına yönelik cihaz bağlamı. Defender for Cloud Apps erişim kararlarına yönelik oturum bağlamı. |
Eylemler: Koşullu Erişim kararları (izin ver, engelle, kısıtla, denetim gerektir). |
| Microsoft Intune |
Sinyaller: Yönetilen cihaz envanteri, sistem durumu, uyumluluk durumu. Context: Microsoft Entra ID kimlik ilişkilendirmesi. |
Çıktılar: Microsoft Entra ID'ye cihaz uyumluluğu durumu. Cihaz denetim günlükleri Microsoft Sentinel'e |
| Microsoft Purview |
Signals: Microsoft 365, SaaS uygulamaları ve şirket içi sistemlerde kurumsal veriler. Bağlam: Veri sınıflandırması (duyarlılık etiketleri, içerik denetimi, kullanıcı etkinliği). |
Outputs: Defender XDR’ye yönelik iç risk ve veri kaybı koruması (DLP) uyarıları. Microsoft Sentinel uyumluluk ve denetim günlükleri. Eylemler: Uç noktalarda DLP uygulaması (Uç Nokta için Defender) ve oturumlarda (Bulut Uygulamaları için Defender). |
| Uç Nokta için Defender |
Sinyaller: Uç nokta telemetrisi (işlem, dosya, ağ etkinliği). Context: Microsoft Entra ID (kimlik bağlamı). Microsoft Intune (cihaz duruşu). Microsoft Purview (DLP ilkeleri). |
Outputs: Defender XDR ve Microsoft Sentinel için uç nokta uyarıları ve telemetri. Eylemler: Uç nokta üzerinde yaptırım uygulama (cihaz yalıtımı, engelleme, iyileştirme). |
| Kimlik için Microsoft Defender | Sinyaller: Active Directory kimlik sinyalleri. | Output: Defender XDR ve Microsoft Sentinel için kimlik tehdidi uyarıları. |
| Bulut Uygulamaları için Defender |
Sinyaller: SaaS uygulama etkinliği (bulut kullanımı). Defender for Endpoint'ten ağ ve gölge BT telemetrisi. Context: Microsoft Entra ID oturum ve kimlik doğrulama bağlamı. Microsoft Purview DLP ilkeleri. |
Outputs: Defender XDR ve Microsoft Sentinel için bulut uygulaması uyarıları. Eylemler: Oturum zorlama (erişimi engelleme, izleme, kısıtlama). |
| Defender for Cloud |
Signals: Azure kaynak işlemlerine ilişkin bilgiler. Uç Nokta için Defender sunucu/iş yükü telemetrisi. Bağlam: Kaynak yapılandırması ve duruşu. |
Outputs: Defender XDR ve Microsoft Sentinel için güvenlik uyarıları ve duruş içgörüleri. |
| Microsoft Güvenlik Açığa Çıkarma Yönetimi |
Signals: Defender for Endpoint'ten cihaz risk puanları. Defender for Cloud'dan bulut kaynak envanteri, güvenlik duruşu, maruz kalma ve saldırı yüzeyi bulguları. Microsoft Entra kimlik envanteri ve risk sinyalleri. Defender for Cloud Apps SaaS uygulama envanteri, riski ve kullanım bağlamı. Bağlam: Birleşik maruz kalma ve risk korelasyonu. |
Çıktılar: Microsoft XDR ve Microsoft Sentinel için maruz kalma içgörüleri ve risk korelasyonları. |
| Defender XDR | Signals: Defender for Endpoint’ten (cihazlar), Defender for Identity’den (kimlik sinyalleri), Office 365 için Defender’ten (e-posta ve iş birliği), Defender for Cloud Apps’ten (SaaS/uygulama etkinliği) gelen uyarılar. Microsoft Purview'den (DLP, kurum içi risk, veri sınıflandırması), Microsoft Entra ID Koruması'tan (kimlik riski sinyalleri) ve Defender for Cloud'dan (iş yükü ve bulut duruşu) gelen ek sinyaller. |
Çıktılar: Microsoft Sentinel'e iletilen ilişkilendirilmiş uyarılar, olaylar. Eylemler: Otomatik etki alanları arası yanıt. |
| Microsoft Sentinel | Signals: Uyarılar, günlükler, Defender XDR, Microsoft Purview, bulut hizmetleri ve diğer birinci taraf/üçüncü taraf kaynaklarından gelen telemetri. |
Çıkışlar: Analiz, araştırma ve olaylar. Eylemler: Playbook'ları kullanarak otomatik yanıt. |
| Microsoft Security Copilot |
Signals: Microsoft Sentinel ve Defender XDR gelen olaylar ve uyarılar. Context: Microsoft Purview'dan hassas veri ve içeriden risk bağlamı. Microsoft Güvenlik Pozlama Yönetimi'nden pozlama bağlamı. |
Çıkışlar: Araştırma özetleri, öneriler, yapay zeka odaklı içgörüler. Actions: Microsoft Sentinel ve Defender XDR iş akışları üzerinden yönlendirilen yönlendirmeli yanıt eylemleri. |
Sonraki Adımlar
- Mevcut güvenlik durumunuzun Sıfır Güven değerlendirmesi ile başlamak.
- Sıfır Güven benimsemeye başlamak için yapılandırılmış adoption modelimizi izleyin.
- İş liderlerine yönelik kritik güvenlik çıktılarını, benimsediğimiz iş senaryoları ile yakından inceleyin. veri ve cihazlar gibi iş çözümleri ve teknoloji sütunları içinteknik çözümler uygulayarak işe başlayın.