Uç Nokta için Microsoft Defender sıfırdan nasıl etkinleştirilir ve yapılandırılır

Uç Nokta için Microsoft Defender sıfırdan nasıl etkinleştirilir ve yapılandırılır

01/01/2024

Bu teknik ve eğitici makale, Microsoft Defender for Endpoint'in (MDE) sıfırdan nasıl etkinleştirileceği ve yapılandırılacağı konusunda pratik ve ayrıntılı bir kılavuz sağlamayı amaçlamaktadır. MDE, önleyici koruma, ihlal sonrası tespit, otomatik araştırma ve yanıt için birleşik bir uç nokta güvenlik platformudur. Microsoft ortamlarının güvenlik duruşunu güçlendirmek isteyen güvenlik analistleri, BT yöneticileri ve sistem mühendisleri için önemli bir araçtır.

Giriş

Siber tehdit ortamı, saldırıların daha karmaşık ve hedefe yönelik hale gelmesiyle sürekli olarak gelişmektedir. Uç noktaların (bilgisayarlar, sunucular, mobil cihazlar) korunması her kuruluş için en önemli önceliktir. Uç Nokta için Microsoft Defender (MDE), gelişmiş Uç Nokta Tespiti ve Yanıtı (EDR), Güvenlik Açığı ve Tehdit Yönetimi, Saldırı Yüzeyini Azaltma, Yeni Nesil Koruma ve Otomatik Araştırma ve İyileştirme yetenekleri sağlayarak geleneksel antivirüsün ötesine geçen güçlü bir çözüm sunar [1].

Bu kılavuz, ilk ön koşullardan temel kaynak yapılandırmasına, doğrulamaya ve en iyi uygulamalara kadar MDE'yi uygulamaya yönelik temel adımları kapsayacaktır. Okuyucunun süreci kendi ortamında tekrarlayabilmesi ve sonuçları doğrulayabilmesi için adım adım talimatlar, komut örnekleri ve açıklamalarla odak noktamız %100 pratiktir.

Uç Nokta için Neden Microsoft Defender?

MDE, Microsoft 365 Defender, Azure Active Directory (şimdi Microsoft Entra ID), Microsoft Intune ve Microsoft Sentinel gibi diğer Microsoft güvenlik çözümleriyle yerel olarak bütünleşerek uyumlu bir güvenlik dokusu oluşturur. Başlıca faydaları şunlardır:

  • Kapsamlı Koruma: Kötü amaçlı yazılımları, fidye yazılımlarını ve dosyasız saldırıları tespit edin ve engelleyin.
  • Derinlemesine Görünürlük: Şüpheli davranışları tanımlamak için uç nokta etkinliğinin sürekli izlenmesi.
  • Hızlı Yanıt: Tehditleri hızlı bir şekilde kontrol altına almak için otomatik araştırma ve iyileştirme araçları.
  • Duruş Yönetimi: Güvenlik açıklarının değerlendirilmesi ve güvenlik hijyeninin iyileştirilmesine yönelik öneriler.

Önkoşullar

Uç Nokta için Microsoft Defender'ı yapılandırmaya başlamadan önce aşağıdaki önkoşulların karşılandığından emin olun:

  1. Lisanslama: Uç Nokta için Microsoft Defender'a yönelik geçerli bir lisans. Bu, Microsoft 365 E5, Microsoft 365 E3 (güvenlik eklentili), Windows E5 veya bağımsız lisanslar gibi paketlerin parçası olabilir [2].
  2. Yönetim Erişimi: Microsoft 365 Defender portalında (security.microsoft.com) Genel Yönetici veya Güvenlik Yöneticisi izinlerine sahip hesaplar.
  3. Ağ Bağlantısı: Uç noktaların MDE bulut hizmetleriyle iletişim kurabilmesi için internet erişiminin olması gerekir. Güvenlik duvarlarında ve proxy'lerde gerekli URL'lere ve bağlantı noktalarına izin verildiğinden emin olun [3].
  4. Desteklenen İşletim Sistemleri: MDE, aşağıdakiler de dahil olmak üzere çok çeşitli işletim sistemlerini destekler:
    • Windows 10/11 Kurumsal, Pro, Eğitim
    • Windows Sunucusu (2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS (son sürümler)
    • Linux (çeşitli dağıtımlar)
    • Android ve iOS (Microsoft Intune aracılığıyla)
  5. Microsoft Intune (İsteğe Bağlı, ancak Önerilen): Merkezi yönetim ve büyük ölçekli cihaz katılımı için Microsoft Intune ile entegrasyon önemle tavsiye edilir.

Adım Adım: Etkinleştirme ve İlk Yapılandırma

1. Uç Nokta için Microsoft Defender'ı etkinleştirin

İlk adım, hizmeti kiracınızda etkinleştirmektir. Bu genellikle lisans satın alınırken otomatik olarak yapılır, ancak hizmetin sağlanıp sağlanmadığını kontrol etmek ve sağlamak çok önemlidir.

  1. Microsoft 365 Defender portalına gidin: https://security.microsoft.com.
  2. Sol gezinme bölmesinde Ayarlar (dişli simgesi) > Uç Noktalar'a gidin.
  3. Servis durumunu kontrol edin. Etkin değilse, sağlama işlemini başlatmak için talimatları izleyin. Hizmet şartlarını kabul etmeniz gerekebilir.

2. Genel Ayarlar ve Gelişmiş Özellikler

Etkinleştirmeden sonra, MDE'nin algılama ve yanıt verme yeteneklerini geliştiren gelişmiş özelliklerin gözden geçirilmesi ve yapılandırılması önemlidir.

  1. Microsoft 365 Defender portalında Ayarlar > Uç Noktalar altında,Gelişmiş Özellikler'i seçin.
  2. Korumayı en üst düzeye çıkarmak için aşağıdaki özellikleri etkinleştirin (zaten etkinleştirilmemişse):
    • Örnek analizine izin ver: MDE'nin analiz için şüpheli dosya örneklerini toplamasına olanak tanır. 'Otomatik' veya 'Güvenli' arasında seçim yapın.
    • Blok Modunda EDR Algılaması: Yeni nesil antivirüs pasif modda olsa bile MDE'nin EDR tarafından tespit edilen kötü amaçlı yapıları engellemesine olanak tanır.
    • Kaynakları önizleyin: Hala önizleme aşamasında olan kaynaklara erişimi etkinleştirir. Test ortamları için önerilir.
    • Microsoft Intune ile entegrasyon: Cihazları ve güvenlik politikalarını yönetmek için gereklidir.
    • Microsoft Cloud App Security ile entegrasyon: Görünürlüğü ve kontrolü bulut uygulamalarına kadar genişletir.
    • Azure Information Protection ile entegrasyon: Hassas verilerin korunmasına olanak tanır.
    • Otomatik analiz için dosya içeriği erişimi: Otomatik araştırma yeteneğini geliştirir.

3. Cihaza Ekleme

Ekleme işlemi, cihazları MDE hizmetine bağlayarak güvenlik verileri göndermelerine ve politika almalarına olanak tanır. Kuruluşunuzun büyüklüğüne ve altyapısına bağlı olarak katılım sağlamanın birkaç yolu vardır.

Seçenek A: Manuel Ekleme (birkaç cihaz için)

  1. Microsoft 365 Defender portalında Ayarlar > Uç Noktalar > Cihaz Yönetimi > İlk Katılım'a gidin.
  2. Entegre etmek istediğiniz cihazın işletim sistemini seçin (ör. Windows 10 ve 11).
  3. Dağıtım yöntemini seçin. Manuel katılım için Yerel Komut Dosyası'nı seçin.
  4. İlk katılım paketini indirin (PowerShell betiği içeren bir .zip dosyası).
  5. Komut dosyasını hedef cihaza kopyalayın ve yönetici ayrıcalıklarıyla çalıştırın.

```powershell

İlk katılım betiğini çalıştırma örneği

WindowsDefenderATPLocalScript.cmd dosyasının geçerli dizinde olduğundan emin olun

.\WindowsDefenderATPLocalScript.cmd ''''

Seçenek B: Microsoft Intune aracılığıyla katılım (büyük ölçek için)

Bu, kurumsal ortamlar için en çok önerilen yoldur çünkü katılım sürecini otomatikleştirmenize ve güvenlik politikalarını yönetmenize olanak tanır.

  1. MDE-Intune Bağlantısını Kontrol Edin: Microsoft 365 Defender portalında Ayarlar > Uç Noktalar > Gelişmiş Özellikler altında Microsoft Intune Entegrasyonu'nun etkinleştirildiğinden emin olun.
  2. Microsoft Intune portalına (Microsoft Endpoint Manager yönetim merkezi) erişin: https://endpoint.microsoft.com.
  3. Sol gezinme bölmesinde Uç Nokta Güvenliği > Uç Nokta için Microsoft Defender'a gidin.
  4. Bağlantı Durumu'nu kontrol edin. 'Etkin' olarak görünmelidir. Değilse bağlantıyı ekranda belirtildiği şekilde yapılandırın.
  5. Katılım için Cihaz Yapılandırma Politikası Oluşturun: Intune'da Uç Nokta Güvenliği > Cihaz Ekleme'ye gidin.
  6. Profil oluştur'u tıklayın.
  7. Platform için Windows 10 ve üzeri ve Profil için Uç Nokta için Microsoft Defender'ı seçin.
  8. Politikaya bir ad ve açıklama verin.
  9. Ayarlarda entegrasyon nedeniyle katılım türünün Intune tarafından otomatik olarak yapılandırılması gerekir.
  10. Politikayı istenen cihaz gruplarına atayın.

4. Güvenlik Politikalarını Yapılandırma (Örnek: Saldırı Yüzeyini Azaltma)

İlk katılımdan sonra uç noktaları koruyacak politikaları yapılandırmak çok önemlidir. Örnek olarak Saldırı Yüzeyi Azaltma (ASR) kurallarını kullanacağız.

  1. Microsoft 365 Defender portalında Ayarlar > Uç Noktalar > Saldırı yüzeyi azaltma'ya gidin.
  2. Saldırı Yüzeyi Azaltma Kuralları'nı seçin.
  3. Kötü niyetli davranışları engellemek için belirli kurallar yapılandırabilirsiniz. Örneğin, kimlik bilgilerini korumak için Windows Yerel Güvenlik Yetkilisi Alt Sistemi Kimlik Bilgisi Hırsızlığını Engelle kuralını etkinleştirin.
  4. Kural modunu Denetim (engellemeden önce etkiyi izlemek için) veya Engelle (korumayı hemen uygulamak için) olarak ayarlayın.

Doğrulama ve Test Etme

Yapılandırmanın doğrulanması, MDE'nin doğru şekilde çalıştığından ve uç noktalarınızı koruduğundan emin olmak için kritik bir adımdır.

1. Uç Noktadaki Sensör Durumunu Kontrol Edin

Yerleşik cihazda MDE hizmeti durumunu kontrol edebilirsiniz.

  1. AçYönetici olarak Komut İstemi veya PowerShell.
  2. 'Sense' hizmetinin (MDE sensörü) durumunu kontrol etmek için aşağıdaki komutu çalıştırın:

```cmd sc sorgusu Sense ''''

  • Beklenen Sonuç: Durum "ÇALIŞIYOR" olmalıdır.

2. Portaldaki Katılım Durumunu Kontrol Edin

  1. Microsoft 365 Defender portalında Varlıklar > Cihazlar'a gidin.
  2. Eklediğiniz cihazın adını arayın. Listede 'Etkin' durumu ve risk ve maruz kalma düzeyiyle görünmelidir.
  3. Uyarılar, zaman çizelgesi ve uyumluluk durumu dahil ayrıntıları görüntülemek için cihaza tıklayın.

3. EDR Algılama Testi (EICAR Test Dosyası)

Gerçek bir zarar vermeden algılama yeteneğini test etmek için EICAR test dosyasını kullanabilirsiniz. MDE bunu algılamalı ve bir uyarı oluşturmalıdır.

  1. Yerleşik bir cihazda bir tarayıcı açın ve "https://www.eicar.org/download/eicar.com.txt" adresine gidin.
  2. EICAR dosyasının içeriğini cihazınıza indirmeyi veya kopyalamayı deneyin.
  3. MDE eylemi engellemeli ve bir uyarı oluşturmalıdır. Oluşturulan uyarıyı görmek için Olaylar ve uyarılar > Uyarılar altında Microsoft 365 Defender portalına bakın.

Güvenlik İpuçları ve En İyi Uygulamalar

  • MDE'yi Güncel Tutun: MDE güvenlik aracılarının ve tanımlarının her zaman güncel olduğundan emin olun. Microsoft, korumayı geliştirmek için sürekli olarak güncellemeler yayınlar.
  • Diğer Çözümlerle Entegrasyon: Birleştirilmiş bir görünüm ve katmanlı koruma için MDE'nin Microsoft Intune, Microsoft Sentinel, Azure AD Identity Protection ve Microsoft Cloud App Security ile entegrasyonundan yararlanın.
  • Aktif Olarak İzleme: Microsoft 365 Defender portalındaki uyarıları ve olayları düzenli olarak inceleyin. Kritik uyarılar için e-posta bildirimlerini yapılandırın.
  • ASR için Denetim Modunu Kullanın: Yeni Saldırı Yüzeyi Azaltma kurallarını uygularken, engelleme modunu uygulamadan önce etkiyi anlamak ve kesintileri önlemek için denetim modunda başlayın.
  • Ağı Bölümlere Ayırın: Bir uç nokta tehlikeye girse bile saldırıların yanal yayılmasını sınırlamak için ağ bölümlendirmeyi uygulayın.
  • Kullanıcıları Eğitin: Kullanıcı farkındalığı çok önemli bir savunma hattıdır. Çalışanlarınızı siber güvenlikle ilgili en iyi uygulamalar konusunda eğitin.

Genel Sorun Giderme

  • Cihaz portalda görünmüyor: Ağ bağlantısını, uç noktadaki "Sense" hizmetinin durumunu ve ekleme komut dosyasının doğru şekilde çalışıp çalışmadığını kontrol edin. Intune bulunan ortamlarda Intune-MDE bağlantısının durumunu kontrol edin.
  • Eksik uyarılar: Gelişmiş algılama özelliklerinin etkinleştirildiğinden emin olun. Algılamayı engelleyebilecek antivirüs tarama dışı durumlarını kontrol edin.
  • Performans sorunları: MDE, düşük performans etkisi için optimize edilmiştir, ancak nadir durumlarda diğer güvenlik yazılımlarıyla çakışmalar meydana gelebilir. Microsoft'un uyumluluk yönergelerini inceleyin.
  • İlk katılım komut dosyası başarısız oldu: Hata mesajları için uç noktadaki sistem olay günlüklerini kontrol edin. Komut dosyasının yönetici ayrıcalıklarıyla çalıştırıldığından emin olun.

Sonuç

Uç Nokta için Microsoft Defender, siber tehditlere karşı modern savunmaya yönelik güçlü ve önemli bir araçtır. Bu kılavuzu takip ederek, ortamınızda MDE'yi etkinleştirebilir, yapılandırabilir ve doğrulayabilir, böylece uç noktalarınızın güvenliği için sağlam bir temel oluşturabilirsiniz. Güvenliğin sürekli izleme, ayarlamalar ve güncellemeler gerektiren devam eden bir süreç olduğunu unutmayın. MDE'nin etkili bir şekilde uygulanması, kuruluşunuzu sürekli gelişen tehdit ortamına karşı korumaya yönelik önemli bir adımdır.

Referanslar:

[1] Microsoft Learn. Uç Nokta için Microsoft Defender. Şu adresten ulaşılabilir: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] Microsoft Learn. Uç Nokta için Microsoft Defender'a yönelik minimum gereksinimler. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] Microsoft Learn. Uç Nokta için Microsoft Defender'ın ağ ortamını yapılandırmaT. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''