• Buradasın

    Microsoft Defender for Endpoint ve Microsoft Intune Eğitim Videosu

    youtube.com/watch?v=v0DrKDiej2w

    Yapay zekadan makale özeti

    • Bu video, bir eğitim formatında sunulan teknik bir içeriktir. Konuşmacı, Hasan, Mustafa Hoca ve diğer teknoloji uzmanları ile birlikte Microsoft Defender for Endpoint ve Microsoft Intune konularında detaylı bilgiler vermektedir.
    • Video, Microsoft Defender for Endpoint'ın ne olduğu, nasıl kurulacağı ve yapılandırılacağı konusunda kapsamlı bir eğitim sunmaktadır. İçerikte Active Directory, Azure AD Connect ve Microsoft Endpoint Manager gibi sistemlerin entegrasyonu, Configuration Manager ile Intune entegrasyonu, antivirüs yapılandırması, grup yönetimi, disk şifreleme (BitLocker), Atak Surface Reduction (ASR) ve Windows'un çeşitli güvenlik özellikleri adım adım gösterilmektedir.
    • Eğitim, hem Windows hem de diğer işletim sistemleri için güvenlik yapılandırmalarını içermekte olup, büyük kurumsal yapılar için özel olarak tasarlanmış çözümlere odaklanmaktadır. Konuşmacılar, statik grup oluşturma, cihaz uyumluluğu, şartlı erişim, Office paketleri için koruma, PowerShell komutları ve USB sürücüler için güvenlik yapılandırmaları gibi konuları detaylı şekilde anlatmakta ve test ortamında gösterimlerle desteklemektedir.
    00:13Microsoft Defender for Endpoint Tanıtımı
    • Bu master class serisinin ikinci bölümü olup, önceki derste genel konsept anlatılmıştır.
    • Microsoft Defender for Endpoint, bir son makine yönetim tulumu olup, endpoint manager ile karıştırılmamalıdır.
    • Microsoft Defender for Endpoint, önceki Windows Defender Essentials adlı ücretsiz versiyonun geliştirilmiş hali olup, artık merkezi bir şekilde yönetilebilen bir yapıya sahiptir.
    01:24Microsoft Defender for Endpoint'in Özellikleri
    • Microsoft, bu ürünleri iki çatı altında toplayarak yönetebilme imkanı sağlamıştır.
    • Ürün, machine learning kullanarak klasik signature tabanlı antivirüslerden farklı olarak daha fazla atak gerçekleştirmektedir.
    • Defender for Endpoint, server, Mac, Linux, Windows ve mobil cihazlar dahil olmak üzere farklı platformları koruma yelpazesi sunmaktadır.
    02:28Demo Ortamı ve Kurulum
    • Bugün slayt kullanılmayacak, sadece demo ortamı üzerinden anlatım yapılacak.
    • Eğitmen, demo için domain controller, SSM server, Azure AD Connect ve Windows client kurmuş durumda.
    • Anlatım, Microsoft Endpoint Manager portalı üzerinden yapılacak ve lisanslar ve paketler hakkında daha önce anlatılmıştır.
    06:31Hibrit Yapı ve Active Directory Entegrasyonu
    • Microsoft Endpoint Manager, hem on-premises hem de bulut ortamında yönetilebilen hibrit bir yapıya sahiptir.
    • Hibrit yapıda, Azure AD Connect kullanılarak on-premises Active Directory ile bulut arasında entegrasyon sağlanır.
    • Türkiye'de %99 oranında hibrit yapı kullanılmakta olup, bu yapı mevcut on-premises yapıyı bulut yönetimi için genişletmektedir.
    09:54MDM ve Intune Yapılandırması
    • Mobility bölümünde MDM ve MAM olarak iki farklı bölüm bulunur, bunlar Android ve iOS cihazları yönetmek için gerekli yönergeleri içerir.
    • MDM, özellikle macOS yönetiminde kullanılır ve buradan master olarak enable edilerek register işlemleri gerçekleştirilmelidir.
    • Cihazları Intune altında görmek için lisans ataması gereklidir; Defender P2 veya E5 Security lisansı olmalıdır.
    13:17Cihazların Intune'a Onboard Edilmesi
    • Yapıdaki sistemlerin durumunu görebilmek için lisans adetleri ve kullanıcı adları önemlidir.
    • Cihazları Intune'a onboarding etmek için Configuration Manager (CM) kullanılır ve bu işlem "CMG" (Cloud Management Gateway) olarak adlandırılır.
    • Büyük yapılarda SSM (System Center Configuration Manager) kullanılır ve bu cihazlar cloud'a entegre edilir.
    16:17CMG Yapılandırması ve Pilot Projesi
    • CMG ile Azure'a entegrasyon yapılır ve SSM içindeki koleksiyonlardaki cihazlar cloud'a onboarding edilir.
    • Proje yürütüldüğünde pilot projesi ile başlanmalı, tüm cihazları aynı anda onboarding etmek yerine adım adım ilerlenmelidir.
    • CGE (Cloud Governance Experience) terimi, iş yüklerinin Configuration Manager'da mı yoksa Intune'da mı yönetileceğini belirler.
    19:20Onboarding Durumunu Kontrol Etme
    • Cihazın onboarding durumunu kontrol etmek için "cmgstatus" komutu kullanılabilir.
    • Bu komut, cihazın durumunu, device ismini, gerekli ID'leri ve sertifikaları gösterir.
    • Bu aşamalar, cihazın Intune ile yönetilebilir hale gelmesini sağlar.
    21:01Endpoint Manager Kullanım Nedenleri
    • Endpoint Manager (eski adıyla Intune) şirket kararı olarak üç farklı şekilde yönetilebilir: Intune, Active Directory veya SSM üzerinden.
    • Grup politikaları daha statiktir ve alt gruplar açmak için takla atmak gerekebilir, bu nedenle tavsiye edilmez.
    • Microsoft'un Intune'a yatırım yaptığı ve monitörün aşamasında daha fazla seçenek sunduğu için tercih edilmektedir.
    22:37Antivirüs Politikası Oluşturma
    • İlk adım olarak antivirüs politikasını oluşturmak gerekir ve bu politika Windows 10 ve sonrası sürümler için yapılandırılabilir.
    • Cloud protection özelliği kesinlikle etkinleştirilmelidir, ancak zero tolerance seviyesi çok agresif olduğu için genellikle tavsiye edilmez.
    • Real-time protection, network protection (internet üzerinden gelen phishing saldırılarından koruma) ve diğer antivirüs seçenekleri yapılandırılabilir.
    26:07Performans ve Güncelleme Yönetimi
    • Antivirüs politikasında CPU kullanımı limitli tutulabilir, örneğin %15'e sabitlenebilir.
    • Günlük quick scan ve düzenli full scan zamanlamaları ayarlanabilir.
    • Büyük yapılarda güncelleme yönetimi çok önemlidir, genellikle SSM üzerindeki patching metotları ve otomatik depo kuralları kullanılarak güncelleme sağlanır.
    28:12Şartlı Erişim ve Uyumluluk
    • Conditional Access (şartlı erişim) kavramı, makinenin güncel olup olmadığına göre erişimi kısıtlama imkanı sunar.
    • Endpoint Manager, cihazların envanter bilgilerini, sürüm bilgilerini ve lokasyonlarını alarak makine uyumluluğunu kontrol edebilir.
    • Şartlı erişim, kullanıcıların oturum açmadan önce şifrelerini yenilemesi gibi ek politikaları da uygulayabilir.
    31:11Grup Oluşturma ve Yapılandırma
    • Gruplar bölümünde statik ve dinamik gruplar oluşturulabilir, ancak dinamik gruplar büyük yapılarda tavsiye edilmez çünkü dışlama yapmak zorlaşabilir.
    • Statik grup oluşturmak için isim, açıklama ve üyeler seçilebilir, bu gruplara kullanıcı veya cihaz eklenip çıkarılabilir.
    • Gruplara kurallar uygulandığında, kuralın başarılı bir şekilde uygulandığı veya çakışma olup olmadığı gözlemlenebilir.
    34:12Windows Güvenlik Özellikleri
    • Temple Protection özelliği, arka planda bazı şeylerin değiştirilip değiştirilemeyeceğine izin verip vermemeyi kontrol eder ve hacklenmeleri önler.
    • Bu özellik "kurcalama" olarak adlandırılır ve Windows Defender ile ilgili şirket politikalarına göre yapılandırılmalıdır.
    • Kuralın uygulanması için bir grup seçilmeli ve cihazlar için senkronizasyon işlemi yapılmalıdır.
    36:33Senkronizasyon ve Sorun Giderme
    • Senkronizasyon işlemi, Windows ayarlar kısmından "Erişim paneli" bölümünden veya Windows Defender'dan yapılabilir.
    • Sorun giderme için "Create Report" ve "Export" seçenekleri ile log dosyaları oluşturulup Microsoft'a gönderilebilir.
    • Bu log dosyaları, hangi kuralların uygulanıp uygulanmadığını göstererek sorun gidermede yardımcı olur.
    38:04Microsoft Defender for Endpoint Özellikleri
    • Konuşmacı, bir uygulamanın pendik olarak gelip gelmediğini kontrol ediyor ve bu işlemlerin On Prem'den farklı olarak daha yavaş ilerlediğini belirtiyor.
    • Microsoft Defender for Endpoint'in klasik antivirüs bölümü olduğunu ve bu portalın Microsoft tarafından otomatik güncellendiğini açıklıyor.
    • Grup politikalarının On Prem yapıda olduğu gibi hemen uygulanmadığını, bu durumun Microsoft'un global ölçeğinde çalıştığı için kontrol dışında olduğunu vurguluyor.
    39:49Microsoft'un Güvenlik Çözümleri
    • Microsoft'un sadece antivirüs çözümü değil, disk şifreleme (BitLocker) yönetimini de bu platformda sunduğunu belirtiyor.
    • BitLocker yönetiminde key'lerin nerede tutulacağı gibi sorunların bu platform sayesinde çözülebileceğini açıklıyor.
    • Android cihazları da dahil olmak üzere farklı platformları yönetme imkanı sunan ve conditional access gibi özelliklere sahip olduğunu vurguluyor.
    43:34Atak Surface Reduction
    • Microsoft'un en önemli ön plana çıktığı noktalardan biri olan Atak Surface Reduction özelliğini tanıtıyor.
    • Saldırganların genellikle proses içerisinden alt proses yaratma, random işlemler yapma ve makro üzerinden saldırılar gerçekleştirme yöntemlerini kullanma alışkanlığını açıklıyor.
    • Bu özelliklerin tamamen Microsoft'un machine learning mekanizmasıyla çalıştığını ve binlerce sensörden gelen dataların sonucunda sunulan bir hizmet olduğunu belirtiyor.
    46:07Office Paketleri ve Zararlı Yazılım Koruması
    • Office paketlerine yönelik injection saldırılarında kod seviyesinde manipülasyonlar olabilmektedir.
    • Office uygulamalarının alt prosesleri yırtılmasını engellemek için gerekli yapılandırmalar yapılmalıdır.
    • Antivirüs yazılımı yapılandırıldıktan sonra tüm özelliklerin "adet modu"da yapılandırılması tavsiye edilmektedir.
    47:01Güvenlik Kuralları ve Yapılandırması
    • Java üzerinden indirme ve zararlı yazılım çalıştırılmasını engellemek için gerekli koruma kuralları yapılandırılmalıdır.
    • PowerShell komutları ve VMİ komutları saldırganlar tarafından bypass etmek için kullanılabilir.
    • Kendi sistem komutlarını dijital olarak imzalamak, zararlı olmayan işlemlerin engellenmesini önler.
    48:31USB ve Klasör Koruması
    • USB cihazları üzerinde "block" modunda yapılandırma yapılması tavsiye edilmektedir.
    • Folder Protection özelliği etkinleştirildiğinde, korunacak klasörler belirtmek gerekir.
    • Bazı verilerin belirli lokasyonlara yazılmasını engellediği için bu konuda dikkatli olunmalıdır.
    49:34Güvenlik Kuralları Oluşturma ve İzleme
    • Güvenlik kuralları oluştururken ülke veya şehir isimleri gibi belirtilen isimler verilmelidir.
    • Microsoft'un belirttiği gibi, güvenlik kurallarını "audit modu"da yapılandırmak önemlidir.
    • Güvenlik kurallarının etkinleştirilmesinden sonra oluşan engellemeleri izlemek için özel görünümler oluşturulabilir.
    51:34Güvenlik Kurallarının Etkisi
    • Güvenlik kurallarını yapılandırmadan önce cihazların çökmesi gözlemlenebilir.
    • İç uygulamalar veya geliştiricilerin kodları tarafından oluşturulan işlemler de engellenme riski taşır.
    • Güvenlik kurallarının etkinleştirilmesinden sonra oluşan engellemeleri gözlemlemek önemlidir.
    53:05Windows Güvenlik Özellikleri
    • Windows 7'deki ajanların yeni adı "Exploit Protection"dur.
    • Eski ajanlar sıfırıncı gün açıklarından korurken, yeni sistem farklı bir yapı sunmaktadır.
    • Yeni sistemde XML dosyaları kullanılarak güvenlik kuralları oluşturulmaktadır.
    54:16Windows Güvenlik Yapılandırması
    • Konuşmacı, Windows'ta güvenlik yapılandırması yaparken dikkat edilmesi gereken noktaları anlatacak.
    • Windows'ta güvenlik yapılandırması iki seviyede uygulanabilir: sistem seviyesinde ve uygulama bazlı koruma.
    • Uygulama bazlı koruma, her uygulama için birçok seçenek sunar ve bu seçeneklerin bazıları performans sorunlarına neden olabilir.
    57:13Güvenlik Yapılandırmasında Dikkat Edilmesi Gerekenler
    • Güvenlik yapılandırması yaparken paranoyak seviyede başlamak yerine basit adımlarla başlamak tavsiye edilir.
    • Microsoft'un güvenlik açısından iki büyük silahı vardır: Attack Surface Reduction ve Explore Protection.
    • Yapılandırma yaparken dikkat edilmesi gereken bir püf noktası, bazı seçeneklerde sadece "true" seçeneğinin olması ve "not configured" seçeneğinin olmamasıdır.
    58:46XML Dosyası Kullanımı ve Geri Alma
    • Güvenlik yapılandırması için XML dosyası kullanılır ve hata yapıldığında geri alım yapılamaz.
    • Bir şey kreş edildiğinde geri almak için register dosyasından referans dosyası silinmesi ve Microsoft'un geri çeviren scriptinin yazılması gerekir.
    • Bu yapılandırma yaparken son derece dikkatli olunmalı ve zaman alacağı için en sona bırakılabilir.
    1:00:24Device Control Özellikleri
    • Windows'ta farklı sürümler (16, 17.3, 18.9, 19.9) bulunur ve güvenlik yapılandırması yapmadan önce sistem güncellemesi yapılması tavsiye edilir.
    • Device Control bölümünde USB cihazları whitelist veya blocklist olarak tanımlanabilir.
    • Microsoft'un CSP (Configuration Service Provider) adı verilen bir yapı seti oluşturabilme özelliği vardır ve bu özellikler arayüzden değil bu yapı üzerinden yapılandırılmalıdır.
    1:05:28Application Control
    • Application Control kısmında dört seçenek bulunur ve tüm seçeneklere "enforce" (uygula) denildiğinde koruma sağlanır.
    • Smart Screen özelliği, web üzerinden gelebilecek phishing saldırılarına karşı koruma sağlar.
    1:06:05Windows Güvenlik Özellikleri
    • Microsoft'un Vidak tool adlı bir araç kullanılarak referans dosyası oluşturulup uygulanması gerekiyor.
    • Browser isolation (Application Guard) özelliği, web tabanlı saldırıları engellemek için kullanılıyor.
    • Application Guard'ı aktif etmek için minimum 8 GB RAM gerekiyor ve BIOS üzerinde virtualizasyon tiki açık olmalı.
    1:08:12Application Guard Yapılandırması
    • Bu özellik sadece Edge tarayıcısı için yapılandırılabilir ve arka planda Windows feature altında container servisi ve Application Guard servisi aktif hale getirilir.
    • Bu yapılandırma restart gerektirir ve sonrasında pop-up ekranında seçenekler sunulur.
    • Güvenilmez sitelerden gelen iletişimler konteyner içerisinde açılır ve copy-paste işlemleri kısıtlıdır.
    1:09:43Isolation Polisi
    • Isolation polisi ile şirketinizin sınırları belirlenebilir, örneğin ms6.org gibi şirket kaynakları konteynerden dışlanabilir.
    • Şirket IP rangeleri ve proxyler tek tek girilmelidir, aksi takdirde gereksiz olarak her şey konteynerde çalışacaktır.
    • Makro üzerinden gelen saldırılar için bu özelliği yapılandırmak tavsiye edilir.
    1:10:38Web Protection
    • Web Protection, web üzerinden gelebilecek spamlar, skanlar, phishing ataklara ve repitasyon düşük web sitelerinden koruma sağlar.
    • Bu özellik basit bir arayüze sahip ve audit modda yapılandırılarak etkileri şirkette görülebilir.
    • Chrome gibi diğer tarayıcılarda da benzer komponentler bulunmakta ve yönetilebilir.
    1:13:36Windows Defender
    • Windows Defender antivirüs artık manuel kurulum gerektirmiyor, sistemde varsayılan olarak bulunuyor.
    • Yeni teknolojilerle birlikte Windows Defender daha önemli hale gelmiş ve klasik antivirüs çözümlerine alternatif olarak kullanılıyor.
    • Yapılandırılan politikaların etkilerini görmek için sistem restart edilmesi gerekebilir.
    1:16:24Intune'da Komple Uyumluluk
    • Bilal Bey'in sorusu üzerine Intune'da komple uyumluluk konusu ele alınıyor.
    • Komple uyumluluk, sistemde tanımlanan kurallara göre değerlendirilir ve uyumlu olmayan cihazlar "komple değil" olarak işaretlenir.
    • Örneğin, hard'da secure boot kapalıysa ancak compline'da enabled seçilmişse cihaz komple olmaz ve uyumluluk hatası çıkarır.
    1:17:27Komple Uyumluluk Faktörleri
    • Komple uyumluluk, şirketin politikaları ve güvenlik uyumlulukları ile ilgilidir.
    • Antivirüs versiyonunun güncel olmaması bile cihazın komple gözükmemesine neden olabilir.
    • Cihazın portal üzerinden kurulması ve otomatik olarak Azure Active Directory'ye kaydedilmesi önemli bir adımdır.
    1:19:00Komple Politikalar ve Yönetimi
    • Komple politikalar, cihazların uyumluluk durumunu belirlemek için oluşturulur.
    • Büyük firmalarda komple yönetimi için özel departmanlar bulunur ve bu bölüm çok önemlidir.
    • Microsoft'un bazen bug olması durumunda, cihazın gerçekten komple olsa bile "komple değil" göstermesi mümkündür.
    1:21:15Toplantı Özeti
    • Konuşulan konular canlı bir ortamda gösterilmiştir ve bir kişi CLI üzerinden binlerce cihazı yönetebilir.
    • Hibrit yapı ve Azure Active Directory ile otomatik olarak binlerce makine yönetilebilir.
    • Sonraki konuşmalarda Defender Endpoint, Defender Identity ve cloud security entegrasyonları gösterilecektir.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor