Uç Nokta için Microsoft Defender ile Linux ve macOS Uç Noktalarını Koruma

Uç Nokta için Microsoft Defender ile Linux ve macOS Uç Noktalarını Koruma

10/14/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine, Linux ve macOS işletim sistemlerinde Uç Nokta için Microsoft Defender'ı (MDE) dağıtma ve yapılandırma konusunda rehberlik etmeyi amaçlamaktadır. Gittikçe çeşitlenen kurumsal ortamda, uç nokta koruması Windows ortamının ötesine geçiyor. MDE, tehdit algılama ve yanıt (EDR) yeteneklerini Windows dışı platformlara genişleterek, bir kuruluşun teknoloji parkı genelinde siber saldırılara karşı birleşik bir güvenlik duruşu görünümü ve sağlam savunma sağlar [1].

Giriş

Linux ve macOS cihazlarının kurumsal ortamlarda geliştiriciler, tasarımcılar ve diğer profesyoneller tarafından yaygınlaştırılması, güvenlik ekiplerine yeni zorluklar getirdi. Bu sistemler, genellikle daha az savunmasız olarak algılansa da, giderek daha karmaşık saldırıların hedefi haline geliyor. Tüm büyük platformları kapsayan bir uç nokta güvenlik çözümüne duyulan ihtiyaç, tutarlı ve etkili bir güvenlik duruşunun sürdürülmesi açısından kritik öneme sahiptir. Uç Nokta için Microsoft Defender, merkezi yönetim için Microsoft Defender XDR portalıyla sorunsuz bir şekilde entegre olarak Linux ve macOS için gelişmiş koruma, algılama ve yanıt yetenekleri sağlayarak bu boşluğu dolduruyor [2].

Bu pratik kılavuz önkoşulları, Linux ve macOS aygıtlarını MDE'ye ekleme sürecini, güvenlik ilkelerini yapılandırmayı, dışlamaları yönetmeyi, algılama testlerini gerçekleştirmeyi ve korumayı doğrulamayı kapsayacaktır. Okuyucunun uç noktalarının güvenliğini güçlendirerek ve kurumsal güvenlik politikalarıyla uyumluluğu sağlayarak, uç nokta için Microsoft Defender'ı heterojen ortamlarda dağıtabilmesi ve yönetebilmesi için adım adım talimatlar, örnek terminal komutları ve talimatlar sağlanacaktır.

Uç Nokta için Microsoft Defender, Linux ve macOS için neden önemlidir?

  • Kapsamlı Koruma: Linux ve macOS için yeni nesil antivirüs, uç nokta algılama ve müdahale (EDR), güvenlik açığı yönetimi ve erişim kontrolü özellikleri sağlar.
  • Birleşik Görünürlük: Microsoft Defender XDR portalındaki tüm uç noktaların (Windows, Linux, macOS, Android, iOS) güvenlik izlemesini ve yönetimini merkezileştirir.
  • Gelişmiş Tehdit Algılama: Gelişmiş, platforma özgü tehditleri tanımlamak ve azaltmak için Microsoft tehdit istihbaratından ve makine öğreniminden yararlanır.
  • Hızlı Olay Müdahalesi: Güvenlik ekiplerinin tüm platformlarda güvenlik olaylarını hızlı ve etkili bir şekilde araştırmasına ve yanıt vermesine olanak tanır.
  • Uyumluluk ve Yönetişim: İşletim sistemi ne olursa olsun tüm uç noktaların güvenlik politikaları ve düzenlemeleriyle uyumlu olmasını sağlamaya yardımcı olur.
  • Microsoft Ekosistem Entegrasyonu: Bütünsel bir güvenlik yaklaşımı için Microsoft Sentinel ve Microsoft Intune gibi diğer Microsoft çözümleriyle entegre olur.

Önkoşullar

Linux ve macOS'ta Uç Nokta için Microsoft Defender'ı dağıtmak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Uç Nokta lisansları için Microsoft Defender (örneğin Microsoft 365 E5, güvenlik eklentili Microsoft 365 E3 veya bağımsız MDE lisansı) [3].
  2. Yönetim Erişimi: Microsoft Defender XDR portalında (https://security.microsoft.com) 'Güvenlik Yöneticisi' veya 'Genel Yönetici' rolüne sahip bir hesap.
  3. Kök/Sudo Erişimi: Kurulum ve yapılandırma için hedef cihazlarda kök (Linux) veya sudo (macOS) izinleri.
  4. Ağ Bağlantısı: Cihazların iletişim ve tanım güncellemeleri için MDE hizmeti uç noktalarına bağlantısı olmalıdır.
  5. Desteklenen İşletim Sistemleri: Desteklenen Linux ve macOS dağıtımlarının belirli sürümleri için Microsoft belgelerine bakın [4].

Adım Adım: Linux ve macOS'ta MDE'yi Ekleme ve Yapılandırma

Her iki platform için de katılım sürecini ve temel ayarları ele alalım.

1. Uç Nokta için Microsoft Defender'a Cihaz Ekleme

Katılım süreci, Microsoft Defender XDR portalından bir entegrasyon paketinin edinilmesini ve bunun cihazlara dağıtılmasını içerir.

  1. Microsoft Defender X Portalına erişinDR:

    • Tarayıcınızı açın ve "https://security.microsoft.com" adresine gidin.
    • Gerekli izinlere sahip bir hesapla oturum açın.

  2. İlk Katılım Paketini Alın:

    • Sol gezinme bölmesinde Ayarlar > Uç Noktalar'ı seçin.
    • 'Cihaz Yönetimi' altında Entegrasyon'u seçin.
    • Bölüm `1'de. Entegrasyon işlemini başlatmak için işletim sistemini seçin, ardından 'Linux Sunucusu' veya 'macOS'u seçin.
    • Bölüm `2'de. Dağıtım yöntemini seçin, manuel kurulum için 'Yerel Komut Dosyası'nı veya büyük ölçekli dağıtımlar için 'Yapılandırma Yönetim Aracı'nı (örn. Linux için Puppet, Ansible; macOS için Intune, JAMF) seçin.
    • 'Entegrasyon paketini indir' seçeneğine tıklayın.

1.1. Linux'ta Katılım (Manuel)

  1. Yükleme Önkoşulları: Gerekli paketlerin kurulu olduğundan emin olun. Çoğu dağıtım için buna "curl", "wget", "gnupg", "apt-transport-https" (Debian/Ubuntu) veya "yum-utils" (RHEL/CentOS) dahildir. ``` bash # Ubuntu/Debian örneği sudo apt-get güncellemesi sudo apt-get install -y curl wget apt-transport-https gnupg

    RHEL/CentOS için örnek

    sudo yum install -y curl wget yum-utils gnupg ''''

  2. Microsoft Repository Ekle: Bu, dağıtımınızın paket yöneticisini kullanarak MDE'yi kurmanıza olanak tanır. ``` bash # Ubuntu/Debian örneği wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > paketler.microsoft.gpg sudo install -o root -g root -m 644 package.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm paketleri.microsoft.gpg sudo apt-get güncellemesi

    RHEL/CentOS için örnek

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ''''

  3. MDE'yi yükleyin: `mdatp' paketini yükleyin. ``` bash # Ubuntu/Debian örneği sudo apt-get install -y mdatp

    RHEL/CentOS için örnek

    sudo yum kurulumu -y mdatp ''''

  4. MDE'yi Onboarding Paketi ile Yapılandırın: İndirilen WindowsDefenderATPOnboardingPackage.zip dosyasını Linux sunucusuna kopyalayın, zip dosyasını açın ve ekleme komut dosyasını kullanın. ``` bash # .zip dosyasını Linux sunucusuna kopyalayın # scp WindowsDefenderATPOnboardingPackage.zip user@linux_sunucunuz:~/

    WindowsDefenderATPOnboardingPackage.zip dosyasını açın -d mde_onboarding sudo mdatp yerleşik üst düzey işlemler --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ''''

  5. Durumu Kontrol Et: MDE'nin çalışıp çalışmadığını ve eklenip eklenmediğini kontrol edin. ``` bash mdatp sağlığı ''''

1.2. MacOS'a katılım (Manuel)

  1. MDE'yi yükleyin: İndirilen MicrosoftDefenderATPOnboardingPackage.zip dosyasını macOS cihazınıza kopyalayın. Zip'i açın. Bir .pkg dosyası bulacaksınız (örneğin: wdav.pkg).

  2. Paketi Kurun: .pkg yükleyicisini çalıştırın. ``` bash sudo yükleyici -pkg wdav.pkg -hedef / ''''

    • Ekrandaki talimatları izleyin. 'Sistem Tercihleri' > 'Güvenlik ve Gizlilik' bölümünde MDE'ye tam disk erişim izinleri ve sistem uzantısı izinleri vermeniz gerekecektir.

  3. MDE'yi Katılım Paketi ile yapılandırın: Katılım komut dosyasını kullanın. ``` bash # .zip dosyasını Mac'e kopyalayın # .zip dosyasını açın sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh ''''

    • Not: İlk katılım komut dosyasının tam yolu farklılık gösterebilir. '.zip' dosyasının içeriğini kontrol edin.

  4. Durumu Kontrol Et: MDE'nin çalışıp çalışmadığını ve eklenip eklenmediğini kontrol edin. ``` bash mdatp sağlığı ''''

2. Güvenlik Politikalarını Yapılandırma (Linux ve macOS)

Linux ve macOS'ta MDE'ye yönelik güvenlik politikaları, JSON dosyaları (manuel/komut dosyası dağıtımı için) veya Intune, JAMF, Puppet, Ansible vb. araçlar aracılığıyla yönetilebilir.

Antivirüs kontrolü için JSON dosyası aracılığıyla örnek bir yapılandırma kullanalım.

  1. JSON yapılandırma dosyası oluşturun: İstediğiniz ayarlarla bir mdatp_config.json dosyası oluşturun. ```json { "antivirüsMotoru": { "etkin": doğru, "taramalar": { "hızlıTarama": { "etkin": doğru, "program": { "type": "günlük", "saat": "02:00" } }, "tam Tarama": { "etkin": yanlış } }, "realTimeProtection": { "etkin": doğru, "scanOnAccess": doğru, "scanOnModify": doğru }, "hariç tutulanlar": [ { "yol": "/var/log", "tip": "dizin" }, { "yol": "/opt/app/data.db", "tip": "dosya" } ] }, "Bulut Hizmeti": { "etkin": doğru, "diagnosticLevel": "dolu" } } ''''

    • Bu örnek, gerçek zamanlı koruma sağlar, günlük hızlı taramayı yapılandırır ve bir günlük dizini ve veritabanı dosyası için istisnaları ayarlar.

  2. Yapılandırmayı uygulayın: 'mdatp config' komutunu kullanın. ``` bash sudo mdatp yapılandırma seti --path mdatp_config.json ''''

  3. Uygulanan yapılandırmayı kontrol edin: Etkin yapılandırmaları kontrol edebilirsiniz. ``` bash mdatp yapılandırması get --json ''''

Merkezi Yönetim için İpuçları (Intune/JAMF)

  • Microsoft Intune (macOS): MacOS için Intune, MDE'yi dağıtmak ve yönetmek için tercih edilen araçtır. MDE paketini dağıtmak ve güvenlik ayarlarını (gerçek zamanlı koruma, dışlamalar vb.) yapılandırmak için yapılandırma profilleri oluşturabilirsiniz.

  • Yapılandırma Yönetimi Araçları (Linux): Linux için, Puppet, Ansible veya Chef gibi araçlar, büyük ölçekli MDE dağıtımını ve yapılandırma yönetimini otomatikleştirmek için yaygın olarak kullanılır.

3. Hariç Tutulanları Yönetme

Hariç tutmalar, meşru uygulamalarla çakışmaları önlemek veya yüksek G/Ç yüküne sahip sistemlerde performansı artırmak için önemlidir. Ancak güvenlik açıkları yaratmamak için dikkatli kullanılmaları gerekir.

  1. Komut Satırı aracılığıyla Hariç Tutma Ekle (Linux/macOS): ``` bash # Bir dosyayı sil sudo mdatp hariç tutma --path /path/to/file.log --file dosyasını ekle

    Bir dizini sil

    sudo mdatp hariç tutma add --path /path/to/directory --type dizini

    Uzantıya göre sil

    sudo mdatp hariç tutma add --extension .tmp --type extension ''''

  2. Hariç Tutulanları Listele: Yapılandırılmış hariç tutmaları kontrol edin. ``` bash mdatp dışlama listesi ''''

  3. Hariç Tutulanları Kaldır: Artık gerekmiyorsa bir hariç tutmayı kaldırın. ``` bash sudo mdatp hariç tutma kaldır --path /path/to/file.log ''''

Doğrulama ve Test Etme

Çözümün beklendiği gibi çalıştığından emin olmak için Linux ve macOS'ta MDE korumasının doğrulanması çok önemlidir.

1. Microsoft Defender XDR Portalında Durumu Kontrol Edin

  1. Microsoft Defender XDR portalında (https://security.microsoft.com), Varlıklar > Cihazlar'a gidin.
  2. Yerleşik Linux ve macOS cihazlarının listede göründüğünü ve "Sağlık Durumu"nun "Etkin" olduğunu doğrulayın.
  3. 'Koruma Durumu' ve 'Güvenlik Önerileri' dahil olmak üzere ayrıntılarını görüntülemek için bir cihaza tıklayın.

2. Antivirüs Tespit Testi (EICAR)

Antivirüsünüzün düzgün çalışıp çalışmadığını kontrol etmek için EICAR (Avrupa Bilgisayar Antivirüs Araştırma Enstitüsü) test dosyasını kullanın.

  1. EICAR dosyası oluşturun: Tam olarak aşağıdaki içeriğe sahip bir metin dosyası oluşturun (fazladan boşluk veya satır sonu olmadan): '''' X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* ''''

    • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
    • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

  2. Algılamayı Gözlemle: Gerçek zamanlı koruma etkinse MDE, EICAR dosyasını hemen algılamalı ve engellemelidir.

  3. MDE Portalında Uyarıları Kontrol Edin: Microsoft Defender XDR portalında Olaylar ve Uyarılar > Uyarılar seçeneğine gidin. Linux/macOS cihazında EICAR algılamasıyla ilgili bir uyarı görmelisiniz.

3. EDR Tespit Testi (Saldırı Simülasyonu)

Microsoft, komut dosyaları sağlarSaldırı senaryolarını simüle etmek ve MDE'nin EDR işlevselliğini doğrulamak için ste.

  1. Linux için: Linux için MDE algılama testi komut dosyasını indirin ve çalıştırın. ``` bash curl -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh ''''

  2. macOS için: macOS için MDE algılama testi komut dosyasını indirin ve çalıştırın. ``` bash curl -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh ''''

  3. MDE Portalındaki Uyarıları Kontrol Edin: Betiği çalıştırdıktan sonra, Olaylar ve Uyarılar > Uyarılar altında Microsoft Defender XDR portalını kontrol edin. 'Şüpheli komut yürütüldü' veya 'Şüpheli komut dosyası etkinliği' gibi simüle edilen etkinliklerle ilgili uyarıları görmelisiniz.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Merkezi Yönetim: MDE'yi büyük ölçekte dağıtmak ve yönetmek için yapılandırma yönetimi araçlarını (Intune, JAMF, Puppet, Ansible) kullanın ve ilkelerde tutarlılık sağlayın.
  • MDE'yi Güncel Tutun: En son tehditlere karşı koruma sağlamak için MDE istemcinizin ve güvenlik tanımlarınızın her zaman güncel olduğundan emin olun.
  • Hariç Tutmaları Dikkatli Bir Şekilde Yönetin: Güvenlik açıkları yaratmamak için hariç tutmaları inceleyin ve en aza indirin. Tüm hariç tutmaları ve bunların gerekçelerini belgeleyin.
  • SIEM/SOAR Entegrasyonu: Daha iyi görünürlük ve olaylara müdahale için MDE uyarılarını Güvenlik Bilgileri ve Olay Yönetimi (SIEM) veya Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) (Microsoft Sentinel gibi) ile entegre edin.
  • Sürekli İzleme: Linux ve macOS uç noktalarınıza yönelik güvenlik uyarıları ve öneriler için Microsoft Defender XDR portalını aktif olarak izleyin.
  • Kullanıcı Eğitimi: Kullanıcıları uç nokta güvenliğinin önemi ve şüpheli etkinliklerin nasıl bildirileceği konusunda eğitin.
  • Kurcalama Koruması: Windows'ta daha belirgin olmasına rağmen, kötü niyetli kullanıcıların Linux/macOS'ta MDE ayarlarını devre dışı bırakmasını veya değiştirmesini önlemek için eşdeğer kontrollerin mevcut olduğundan emin olun.

Genel Sorun Giderme

  • MDE yüklenmiyor/yerleşik değil: Önkoşulları kontrol edin (dağıtım/işletim sistemi sürümü, gerekli paketler). Hatalar için yükleme günlüklerini kontrol edin. İlk katılım paketinin doğru olduğundan ve süresinin dolmadığından emin olun. Microsoft uç noktalarına ağ bağlantısını doğrulayın.
  • MDE portala rapor vermiyor: "Katılım" ve "sağlıklı" durumu için "mdatp sağlık" komutunu kontrol edin. Cihazın internete ve MDE hizmetlerine bağlantısı olduğunu doğrulayın. İletişimi engelleyebilecek proxy veya güvenlik duvarı ayarlarını kontrol edin.
  • Yüksek CPU/Bellek Kullanımı: Yüksek kullanıma neden olabilecek işlemleri belirlemek için MDE günlüklerini kontrol edin. Yapılandırılmış hariç tutmaları inceleyin. Tarama ayarlarını optimize edin (örneğin tam taramaları yoğun olmayan saatlere planlayın).
  • Diğer Güvenlik Çözümleriyle Çakışmalar: Başka antivirüs veya uç nokta güvenlik çözümleri yüklenirse çakışmalara neden olabilirler. Microsoft, MDE'yi yüklemeden önce diğer çözümlerin kaldırılmasını önerir.
  • Yanlış Pozitif Uyarılar: MDE çok sayıda hatalı pozitif uyarı üretiyorsa, uyarıyı tetikleyen etkinliği araştırın. Meşru işlemler veya dosyalar için hariç tutmalar eklemeyi (dikkatli bir şekilde) veya algılama politikalarını ayarlamayı düşünün.
  • İzin Sorunları (macOS): MacOS'ta, "Sistem Tercihleri" > "Güvenlik ve Gizlilik" bölümünde tüm sistem uzantılarının ve tam disk erişim izinlerinin MDE'ye verildiğinden emin olun.

Sonuç

Uç Nokta için Microsoft Defender, Linux ve macOS ortamlarına etkili bir şekilde yayılan yeni nesil bir uç nokta güvenliği çözümü sunar. Tehdit korumasını, tespitini ve yanıtını tek bir platformda birleştirerek kuruluşlar, güvenlik yönetimini basitleştirebilir ve tüm teknoloji parklarında siber saldırılara karşı duruşlarını güçlendirebilir. Dikkatli uygulama, uygun politika yapılandırması ve sürekli izleme, MDE faydalarını en üst düzeye çıkarmak için kritik öneme sahiptir. Bu pratik kılavuzla güvenlik profesyonelleri, Linux ve macOS uç noktalarını korumak için iyi bir donanıma sahip olacak.İşletim sisteminden bağımsız olarak tüm cihazlar daha güvenli ve dayanıklı bir kurumsal ortama katkıda bulunur.

Referanslar:

[1] Microsoft Learn. Linux'ta Uç Nokta için Microsoft Defender. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] Microsoft Learn. macOS'ta Uç Nokta için Microsoft Defender. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] Microsoft Learn. Uç Nokta lisanslama gereksinimleri için Microsoft Defender. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] Microsoft Learn. Linux'ta Uç Nokta için Microsoft Defender'ın önkoşulları. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prerequisites [5] EICAR. EICAR Test Dosyası. Şu adreste bulunabilir: https://www.eicar.org/download-anti-malware-testfile/