Azure Defender
Malum her geçen gün bulut sistemlerinde yeni özellikler, ürünler ve hizmetler duymaktayız. Bende elimden geldiğince ve daha önemlisi vakit buldukça bu servisleri size anlatmaya çalışıyorum. Malum Azure üzerinde çok fazla servis bulunduğu için hepsine yetişmek, uzman olmak, uygulama ve yazmak çok mümkün değil. Bende özellikle aktif müşterilerimde danışmanlık yaptığım konulardan yola çıkarak güvenlik alanındaki yazılarıma devam ediyorum.
Azure Security Center uzun süredir azure platformu üzerinde kullandığımız gerek onprem sistemler gerekse cloud sistemlerimiz, kaynaklarımız için bize güvenlik anlamında muhteşem bir görünürlük sunmaktadır. Güvenlik için görünürlük önemli ve bu noktada pek çok yeni ürün ve hizmetin zaman içerisinde azure security center paneline eklendiğini görüyoruz.
Azure security center temel olarak ücretsiz bir platform olup içerisinde sunduğu ek özelliklere göre farklı fiyatlandırılmaktadır.
Cloud security posture management (CSPM)
CSPM özelliği, security center free lisans ile sunulan özellikler bütünüdür. Secure score, azure sanal makineleri için güvenlik yapılandırma yanlışlıklarının raporu, mevcut varlıklarınızın envanteri gibi özellikler sunmaktadır. Buna yukarıdaki resim güzel bir örnektir.
Cloud workload protection (CWP)
CWP ise makalemizin de konusu olan Azure Defender ile birlikte, Azure ve hibrit kaynaklarınız ve iş yükleriniz için gelişmiş, akıllı koruma sağlar.
Azure Defender’ ı etkinleştirmek, azure security center’ ın sunduğu varsayılan özelliklerin yanında bir dizi ek güvenlik özelliği sağlar. Yerleşik ilkelere ek olarak, herhangi bir Azure Defender planını etkinleştirdiğinizde özel ilkeler ve girişimler ekleyebilirsiniz. Uyumluluğunuzun gerçekten özelleştirilmiş bir görünümü için NIST ve Azure CIS gibi düzenleyici standartların yanı sıra Azure Güvenlik Benchmark’ ı ekleyebilirsiniz.
Hangi Tip Kaynakları Destekler?
Azure Defender; sanal makineler, SQL veri tabanları, konteynır altyapıları, web uygulamaları, ağınız ve daha fazlası için güvenlik uyarıları ve gelişmiş tehdit koruması sağlar.
Azure Güvenlik Merkezi’nin Fiyatlandırma ve ayarlar alanından Azure Defender’ı etkinleştirdiğinizde, aşağıdaki Defender planlarının tümü aynı anda etkinleştirilir ve ortamınızın işlem, veri ve hizmet katmanları için kapsamlı savunmalar sağlar:
Peki ya Hybrid Cloud?
Malum günümüzün hatta cloud’ un geleceği Hibrit cloud için ürünün desteği ne durumda? Aslında bundan önceki pek çok bulut servisinde olduğu gibi Microsoft her zaman Hibrit cloud’ un gücüne inana ve buna göre yatırım yapan bir şirket olarak onprem sistemler veya diğer cloud sistemlere destek sunmaktadır. Gerek izleme, yedekleme, loglama sistemlerinde olduğu gibi Azure Defender da hem onprem sistemleri hem de AWS, GCP gibi platformlardaki sanal makineleri desteklemektedir.
Ancak burada önemli bir detay var. Security center için agent yüklediğiniz on-prem sistemler otomatik azure security center konsolunda görünürken azure defender konsolunda görünmez. Bunun sebebi ise Hibrit it ve diğer cloud sağlayıcılardaki sistemlere erişmek için Azure Arc deployment ister.
Arc hakkında yazdığım makaleyi inceleyebilirsiniz.
Azure Arc Nedir? – ÇözümPark (cozumpark.com)
unucular için Azure Arc ücretsiz bir hizmettir, ancak Azure Defender gibi Arc özellikli sunucularda kullanılan hizmetler, söz konusu hizmetin fiyatlandırmasına göre ücretlendirilecektir. Azure Arc ile Azure olmayan makineler ekleme için aşağıdaki linki inceleyebilirsiniz.
Connect hybrid machine with Azure Arc enabled servers – Azure Arc | Microsoft Docs
Peki Azure Defender özelliğini aktif ettikten sonra neler oluyor?
İlk göreceğimiz şey tabiki Azure Defender security alert, yani uyarılardır. Eğer Azure Defender, ortamınızdaki herhangi bir kaynakta herhangi bir tehlike algılarsa bir uyarı oluşturur. Bu uyarıda etkilenen kaynak, çözüm yöntemi gibi detaylı bilgiler yer alır.
Uyarılardan herhangi birisinin üzerine tıkladığınız zaman aşağıdaki gibi detayları görebilirsiniz.
Benzer bir şekilde burada da ilgili uyarı üzerine tıklayarak biraz daha detaya iniyoruz.
Veya bir kullanıcıda tespit edilen conficker zararlısını inceleyelim.
Hangi makinede, hangi kullanıcının ne yaptığını görebiliyoruz. Burada tespit edilen IP adresi bilinen bir botnet ağı olduğu için hızlıca bildirim almışız.
Tabi böyle bir ürünü kullanan şirketlerin muhtemel SIEM çözümleri vardır ve ayrı ekranlardan gelen uyarıları takip etmek zor olacaktır. Bu nedenle bu uyarıların tamamını ister azure sentinel isterse diğer siem ürünlerine stream edebilirsiniz.
Azure Defender, Just-in-time Access ve adaptive application control gibi yeni nesil erişim ve uygulama güvenliği de sağlamaktadır. Yani makine erişimleri ve makine üzerinde hangi uygulamaların çalışacağını yönetebilirsiniz.
Tabi ki olmazsa olmaz zafiyet taraması ve önerileri sunmaktadır. Tarama motoru her ne kadar qualys firmasına ait olsa bile bunun için ek bir lisans ödemenize gerek yoktur. Bu tamamen defender ile ücretsiz sunulan bir özelliktir.
Evet, makalemin bu bölümünde hızlı bir şekilde Azure Defender’ dan bahsettim. Bir sonraki bölümde ise detaylı kullanım ve onboarding adımlarına değineceğim.
Kaynak